企業各社は、具体的にどのようなソリューションを利用して、どこからでも、どんなデバイスでも安全に業務が行えるゼロトラスト環境を構築しているのか。日本マイクロソフトが2022年2月17日に開催した「Microsoft Security Forum 2022」の基調講演(Day2 Keynote)において、花王と日本ペイントグループの取り組みが紹介された。
世界中の従業員からハイブリッドワークを求める声
基調講演では、初めにデジタル庁 大臣の牧島かれん氏が登壇。サイバー空間があらゆる人にとって経済/社会活動の基盤となりつつある中、「近年はサイバー攻撃の手法が多様に変化/高度化しており、サイバーセキュリティの確保を重要課題として一人ひとりが適切に対処していくことが求められています」と話し、「サイバーセキュリティ基本法」や「サイバーセキュリティ戦略」など政府が進めるサイバーセキュリティ施策を紹介した。
基調講演の進行を担当した日本マイクロソフト セキュリティビジネス本部 部長の冨士野光則氏によれば、マイクロソフトが日本をはじめとする世界31カ国、3万1,000人以上の従業員を対象に行った調査で、73%が「これからの職場環境にはリモートワーク、在宅勤務を採用してほしい」と答えたという。
「一方で対面での業務遂行も安全に行いたいという声も多く、それを受けて経営層の66%が在宅勤務を前提とした新しい職場環境の構築、すなわちハイブリッドワーク環境の整備に取り組んでいます」(冨士野氏)
Windows 11はゼロトラスト時代のトラストアンカー
マイクロソフトは、ハイブリッドワークの実現では、次の4つを担保することが重要だとしている。
- Protect(everything)
- Simplify(the complex)
- Catch(what others miss)
- Grow(your future)
例えば、何かを「守る(Protect)」ことを考えた場合、これまでは「クラウドにデータを置いてはいけない」「個人のデバイスを業務で使ってはいけない」など、「〜してはいけない」と制約を課す考え方が一般的だった。
しかし、今日では政府レベルでもパブリッククラウドの活用が積極的に進められており、テレワークやハイブリッドワークで個人デバイスの業務利用も一般的となりつつある。冨士野氏によれば、このような状況で重要となるのが安全なプラットフォーム、すなわち「トラストアンカー」だ。マイクロソフトの最新OS「Windows 11」では、それにふさわしいセキュリティ機能の強化が図られているという。
例えば、Windows 11ではセキュリティモジュール「TPM 2.0」が稼働デバイスの必須要件となり、生体認証機構の「Windows Hello」が搭載されたほか、多要素認証とデバイス属性の組み合わせによるゼロトラストセキュリティへの対応、「Microsoft Endpoint Manager(MEM)」によるエンドポイントのセキュリティ強化などが行われている。
花王は3万5,000人でTeamsを利用。ハイブリッドワークにもスムーズに移行
冨士野氏の解説に続いては、ゼロトラストセキュリティの事例として、花王と日本ペイントグループの取り組みが紹介された。
現在、多くの部門がハイブリッドワークを取り入れている花王では、コロナ禍以前より「Microsoft Teams」を活用するための推進活動を進めていた。「そのため、比較的スムーズにハイブリッドワークへ移行できたのではないかと思います」と同社情報システム部門 ESM部 部長の小久保克也氏は説明する。
「今日ではTeamsを使った会議の数が1日約9,000回に上ることがありますし、利用者数も3万5,000人と、Teamsがコミュニケーションの中心として機能していると言ってよい状況です」(小久保氏)
もちろん、ハイブリッドな働き方では、さまざまな業務システムの利用が必要となる。花王では、リモートでもオフィスと同様に快適にシステムを使うことができ、インターネット経由で社外からスムーズに社内システムにアクセスできるなど、不便を感じさせない環境の実現を目指している。
その前提となるのが、オフィス、自宅、外出先など、どこでも、いつでも、どんなデバイスでも安心して利用できるセキュリティ対策だ。これを従来の境界型セキュリティで実現するのは難しく、花王はゼロトラストのアプローチでセキュリティ施策を進めている。
Azure ADとEndpoint Managerでゼロトラストを実現
その中で現在、力を入れているのがアクセス制御とデバイス管理だ。具体的には、「①デバイスの状態に応じたアクセス制御」「②アプリケーション制御」、そして「③デバイス管理機能の導入」を進めている。
「①デバイスの状態に応じたアクセス制御」では、多要素認証の考え方に基づきAzure ADの条件付きアクセス機能を活用している。「ID/パスワードによる認証だけでなく、会社が認めたデバイスであることと、その所持情報を認証に加えたかったのが理由の1つ。また、ポリシーに準拠していないなど脆弱性リスクのあるデバイスのアクセスを制限したいという理由もあり、採用を決めました」と小久保氏は説明する。
「②アプリケーション制御」ではアプリケーションプロキシを活用し、インターネットを経由してオンプレミスの社内システムに安全にアクセスすることが可能となった。花王は多くのクラウドサービスを活用しているが、それらの外部システムへのアクセスでもAzure ADの条件付きアクセス機能を利用し、サービスごとに異なるアクセス制限をかけている。
「③デバイス管理機能の導入」ではMEMを活用している。花王は現在、PCやモバイルデバイスなど約2万5,000台を管理対象としているが、その数は今後も増え続け、リモートでも使われる。それらのデバイスに対してセキュリティポリシーの自動適用やOSの効率的なアップデートを行うにはツールが活用が不可欠だ。そこで、「Office 365などのマイクロソフト製品を多数利用している当社は、それらとの親和性や機能性などを考慮し、Microsoft IntuneとMEMの導入を決めました」と小久保氏。これにより、更新管理などの運用業務を大きく効率化できたという。
日本ペイントグループは働き方改革の基盤としてMicrosoft 365を推進
日本ペイントグループは現在、従業員の生産性向上と収益性向上を可能にする働き方改革の実現に向け、「Anytime、Anywhere、Any Deviceで働ける環境」の提供を目指している。
その一環として、2019年よりグループ共通基盤としてMicrosoft 365の導入を進めてきた。「フェーズ1では国内グループ各社にExchange Online、Teams、SharePointなどを導入。昨年からフェーズ2として、導入した機能の利活用に注力しています」と日本ペイントコーポレートソリューションズ IT&ソリューション部 アプリケーション開発グループ グループマネージャーの楠本貴幸氏は説明する。
日本ペイントグループでは、2019年に経営陣よりグローバルスタンダードなサービスとしてMicrosoft 365の導入要望が上がった。IT部門側でも“脱Notes”を検討していたため、急きょプロジェクトを立ち上げて導入を進める。2020年より本格的な展開活動を開始し、最初はExchange Onlineと他社IDaaS製品の導入を進めた。
「ところが、リリース1週間前に『Teamsも使いたい』という要望が高まり、急ぎ導入を決めました。オンプレミス製品では1週間でのリリースなどあり得ませんが、それを実現できたのはSaaSだからだと考えています」(楠本氏)
Azure ADとEMSでゼロトラストを実現
また、2021年にはモバイルアプリの積極展開も行う予定だったが、導入したIDaaS製品がグループの要件を満たせないことがわかり、Azure ADに移行した。
セキュリティに関しては、従来の境界防御からゼロトラストへと転換した。「今は『ユーザーの利便性のためのセキュリティ』という考え方が重要です。それを実現する施策の1つがゼロトラストであり、このアプローチをいかに取り入れてセキュリティ対策を行っていくかが大事だと考えています」(小久保氏)。
日本ペイントグループでは、ゼロトラスト実現の中核となるセキュリティ基盤として、Azure ADともに「Microsoft Enterprise Mobility + Security〔EMS〕」を導入した。
「これにより、多要素認証による認証強化、Microsoft Intuneによるデバイス管理、Azure ADによるシングルサインオン(SSO)など、事業活動を妨げずにセキュリティを高められました。ユーザーにとっては、モバイルで業務に使えるアプリケーションが増え、SSOにより利便性が向上するなどのメリットが生じています」(小久保氏)
このように同社はセキュリティレベルを高めているが、まだ改善の余地があるという。例えば、ゼロトラストを考えた場合、オンプレミスのエンドポイントによる管理は導入/展開の妨げになる恐れがある。小久保氏は、「今後はクラウドを活用したエンドポイント管理へのシフトを検討するほか、エンドポイントのセキュリティ強化、CSIRT組織の立ち上げなどに注力していきます」と話して講演を締めくくった。