ゼロトラストセキュリティとは？

ゼロトラストセキュリティとは、その名の通り「何も信頼しない」ことを前提としたセキュリティの概念です。従来は、「社内アクセスは信頼できる。社外からのアクセスは信頼しない」という考え方に基づき、社内ネットワークと社外ネットワークの境界のセキュリティを高めることを重視した境界防御が構築されてきました。

昔はクラウドもなく、会社の情報資産がすべて社内ネットワークの中にありました。社内を信頼できる状態とするため、社内と社外を分けて、DMZを挟むことでセキュリティを担保していたのです。しかし時代が変わり、情報資産が社外で使われるようになりました。クラウドサービス利用、PCの社外利用などです。PCの社外利用時にVPNが利用されることが増えました。それによりVPNの脆弱性を突かれて、社内ネットワークに侵入されるケースも増え、社内ネットワークも安全と見なせなくなってきました。従来の「社内アクセスは信頼できる。社外からのアクセスは信頼しない」という考え方では情報資産を守れない時代となりました。そこで登場したのが、ゼロトラストという考え方です。

ゼロトラストセキュリティにおける課題は利便性と社内理解

ゼロトラストは、守りたい情報資産へのアクセスを、社内外問わず検証する考え方です。それだけ聞くと、導入することでより高度なセキュリティを実現できるように感じるかもしれませんが、管理の煩雑さが大きな課題になります。たとえば、業務上よく閲覧される社内データに必要以上に強い制限をかけた場合、セキュリティレベルは高められますが、「業務で必要なのに見られない」と、問い合わせや制限解除依頼が情報システム部門に殺到し、それらを処理する負荷が非常に高くなるでしょう。セキュリティの堅牢さばかりを重視して、運用における利便性を無視すると、内部コストを肥大化させるリスクが生まれるのです。

また、利便性とのバランスに加えて、社員のITリテラシー向上も重要になります。そもそものセキュリティレベル向上目的の背景や意図が社内に浸透していない状態で、急に高度なセキュリティを構築したり、無理に強制力のある仕組みにしたりすると、業務のやりにくさが目立ち、ルールを守るモチベーションの低下につながりかねません。その結果、セキュリティレベル向上に対する社内の反発が大きくなると、ゼロトラストセキュリティの構築や、継続的な維持・強化の取り組みを阻害する可能性が生じます。

そのため利便性への考慮と同時に、セキュリティ強化に対する社内啓蒙を行わないと、セキュリティの強化、ひいてはゼロトラストセキュリティの構築は難しいと考えています。

Microsoft製品で実現するゼロトラストセキュリティ

利便性やITリテラシーといった課題から、当社は、完璧なゼロトラストセキュリティを直ちに実現するのではなく、ゼロトラストの考え方を念頭に、利便性や現場におけるITリテラシーとのバランスを踏まえながら、徐々にセキュリティ対策を実施していく形が良いと考えています。そういった漸進的な取り組みに柔軟に対応できるのが、Microsoft製品です。

Microsoft Defenderシリーズとして、EDRである「Microsoft Defender for Endpoint」、CASBである「Microsoft Defender for Cloud Apps」や、「Microsoft Defender for Office365」、「Microsoft Defender for Identity」等さまざまな製品があります。これらの製品は一気に導入する必要はなく、現在のセキュリティ対策状況を踏まえて、徐々に導入していくことが可能です。

これらの製品導入はMicrosoft製品を使ったゼロトラストセキュリティの実現においても重要です。Microsoft製品を使ったゼロトラストセキュリティでは、IDaaSである「Microsoft Entra ID」を中心に据え、信頼性評価を行い、評価結果に応じて情報資産へのアクセスを制御します。信頼性評価は、「利用している端末の状態」などさまざまな情報を利用して行われますが、導入している製品が多いほど、集められる情報が多くなり、より精緻な信頼性評価ができるようになります。

運用を見据えて、スモールスタートでセキュリティ構築を実施

企業によっては必ずしもITリテラシーが高い社員ばかりとは限りませんので、当社は、どのようにセキュリティレベルや適用範囲を広げていくと社内浸透がしやすいかという点を、しっかりとお客様企業の情報システム部門の方と協議しています。Microsoft製品は多層防御における入口・内部・出口対策それぞれに対応した製品を展開しているので、適用範囲やレベルを柔軟に設定できます。まずはスモールスタートで始めつつ、運用が社内浸透して余力が出てきた際に、次のステップへとセキュリティレベルを上げていくプロセスが良いと考えています。

当社は、Microsoft のセキュリティ製品である「EMS（Enterprise Mobility ＋ Security）」の出始めから、EMS導入によるセキュリティ向上に取り組んできました。また、クラウド製品である「Microsoft365」だけではなく、「AD（Active Directory）」に代表されるオンプレミスのMicrosoft製品に対するセキュリティ向上にも取り組んでいます。

これらの経験を基に、セキュリティ対策をどこから始めたら良いか分からないというお客様や、購入したMicrosoft製品のライセンスを十分に活用出来ているか分からないといったお客様向けに、状況ヒアリングの上でMicrosoftのセキュリティ製品導入ロードマップを作成し、ゼロトラストセキュリティの実現に向けたご支援を実施しています。

標準機能だけに捉われず、お客様にとっての最適解を提案

ここまでご紹介してきた通り、Microsoft製品はセキュリティ構築においても有用性が高いサービスですが、万能ではありません。Microsoft社自体がアメリカの企業ということもあり、設計思想が日本の企業と合っていない場合もあります。つまり標準機能だけで運用しようとすると、お客様が運用する上で使いにくいものになる場合もあるのです。当社の強みは、標準機能だけに捉われず、お客様にとっての最適解を提案・構築できることにあります。

いくつか、事例をご紹介します。

1つ目は、「Microsoft Teams」によるチーム作成です。「Microsoft Teams」は初期設定で利用すると、社員であれば誰でも自由にチームを作れるため、放っておいたら無制限にチームが乱立します。「そのチームに誰が加入しているのか分からない」、「現在使われているチームがどれなのかわからない」といった状態に陥りがちです。利用者によるチーム作成を抑止したとしても、チーム作成を申請する仕組み作りやその対応に追われることになります。そこで、「Power Platform（ Power Appsなど）」を利用して、「Microsoft Teams」 のチーム作成申請アプリを準備し、情報システム部門が承認すると自動的にチーム作成ができる仕組みの提供や、「Microsoft Teams」の利用状況可視化アプリの提供などを行っています。

2つ目は、社員によるソフトウェアの個別インストールへの対応です。一般社員にPCの管理者権限を付与すると、社員が自由にソフトウェアのインストールを行えてしまうため、脆弱性のあるソフトウェアをインストールしてしまったり、セキュリティ侵害を受けた場合に強い権限を持っていることで被害が拡大したりしかねません。一方で、一般社員にPCの管理者権限を与えない場合は、情報システム部門にソフトウェアのインストール依頼が殺到してしまいます。この課題は一般的に「Microsoft Intune」によるソフトウェア配信により解決しますが、中には「Microsoft Intune」では配信出来ないソフトウェアも存在します。そこで、申請して承認されれば、一定期間内は管理者権限を社員が利用しているPCに付与する仕組みを構築し、提供しています。

いずれも、導入先企業の情報システム部門の方々には、大変喜んでいただいております。

選ばれ続けるために大切にしてきたこと

当社はご紹介した事例以外にも、比較的大規模なカスタマイズのご相談を受ける場合がありますが、「本当にそれがお客様にとって良いことなのか」を、よく検討するようにしています。カスタマイズをやりすぎると維持・管理が難しくなり、将来的なシステムの拡張などを考えると、推奨できない場合もあるからです。たとえば、納品時は運用しやすかったとしても、将来的に製品仕様が変わることで、カスタマイズした部分を改修しなくては機能しなくなってしまう可能性があり、そうなると改修コストがかさみます。当社では、中長期的な時間軸で、お客様にとっての最適解をよく検討するようにしています。

最適解のシステムを構築することで、お客様の業務負荷を低減し、それにより余裕が生まれたら、その分でセキュリティに関する新たな取り組みを提案し、伴走的にセキュリティレベルの向上をご支援していきたいと思っています。そして「富士ソフトは自分たちのことをよく考えてくれる」との信頼感から、お声がけいただける関係を築くことが、大切だと考えています。

当社は、引き続きお客様に寄り添いながら、最適なセキュリティ体制の構築をご支援していきます。ゼロトラストをはじめとする社内構築など、お困りのことがございましたら、ぜひお気軽にお声がけください。

※記載の会社名、製品名は各社の商標または登録商標です。