- Vol.
- 33
働き方改革を推進している東芝グループは、それを具現化するさまざまな施策を進めています。テレワークの導入もその一つです。さらに、コラボレーションツールやクラウドサービスの活用も、今後ますます増えて盛んになっていくことが見込まれます。しかし、このような柔軟な働き方を行う際、現状のセキュリティ対策では会社の情報資産を十分に守り抜けないという理由から、デバイスやサービスの利用が厳しく規制されたり、利用のための手続きに多くの時間がかかったりするなどの課題がありました。そこで東芝デジタルソリューションズでは、新たな情報セキュリティのマネジメントポリシーを策定し、それを基に、新たなネットワークセキュリティ「ゼロトラストネットワーク」を構築することにしました。ここでは、私たちが今構築しているゼロトラストネットワークについて、ご紹介します。
増え続けるサイバー攻撃の脅威
東芝デジタルソリューションズでは、社員一人ひとりの自主性と自律性(自立性)を促し、会社へのエンゲージメントと仕事へのモチベーションを高めるために、働き方改革を推進しています。その具体的な施策の一つとして導入しているのが、社員の自宅やサテライトオフィスを活用して仕事を行うテレワークです。
当社では、すでに全社員の約半数がこれらの手段を活用し、柔軟かつ効率的な働き方の実現に取り組んでいます※。また昨今では、オープンコミュニティー活動などを通じた、社外の人たちとの連携や共創も一般化しつつあります。
- ※
- 現在(2020年4月)東芝グループでは、新型コロナウイルスの感染拡大を受けて、業務の性格上、出社が必要な社員を除き、原則、テレワーク(在宅勤務)での勤務を実施しています。
その一方で、世間ではサイバー攻撃による被害のニュースが後を絶ちません。情報通信研究機構が2020年2月に公開したレポートでは、ダークネット観測という、使われていないIPアドレスに届いたパケット数の観測を行ったところ、サイバー攻撃に関連する通信が年々増加傾向で、2019年は2018年の1.5倍にも及んでいたことが報告されています。(出典:情報通信研究機構
NICTER 観測レポート
2019)
デジタル技術の進化や、IoT機器の更なる普及などの反面で、今後ますますサイバー攻撃による脅威が高まることは間違いありません。
働き方改革と情報セキュリティの両立から生まれた新たなセキュリティポリシー
しかし、セキュリティ対策を強化することで、便利なサービスの利用制限や禁止事項で利用ポリシーをガチガチに固めてしまうことは、本来の事業活動や作業効率化、さらには働き方改革を推進することへの妨げにしかならないため、これらのバランスを考えた施策を行うことが重要になってきます。例えば、サイバー攻撃の予兆を事前に把握して対策したり、インシデント時の被害を最小限にしたりするなど、事業の拡大や業務効率化を安全に図れるようなセキュリティ対策が求められます。そこで当社では、独自ネットワークを構築して、そのセキュリティポリシーを従来の「防御や規制」の重視から、「アクセス制御と継続的な監視」を重視することに再定義しました(図1)。
この定義をもとに生まれたのが、「リスクベースセキュリティマネジメント」「ゼロトラスト」「カスタマーゼロ」という3つのセキュリティマネジメントポリシーです。
1つ目のリスクベースセキュリティマネジメントは、画一的な対策ではなく、発生頻度(確率)が高く、かつ影響度(損失)が大きいリスクから優先的に対応するという方針です。また2つ目のゼロトラストでは、性悪説をもとに、社内外のどこからのアクセスであっても信頼することをやめ、アプリケーションやデータにアクセスしてきたすべてに対して認証と監視を行います。つまり、社内からのアクセスに対しても社外からと同様に不正に利用されることを防御するための認証・監視を実施することで信頼のマネジメントを築くのです。最後に、3つ目のカスタマーゼロとは、私たち自身が最初のカスタマー(お客さま)となり、知識と経験を蓄えた上でお客さまにサービスや付加価値を提供していくという考え方です。
これまでの社内ネットワークインフラが抱える課題
当社には社内ネットワークの中に多くのソフトウェア開発用のシステムや、開発情報資産があります。これらはこれまで、強固なセキュリティの境界を設けて社内と社外を完全に分離することで、安全に守ってきました。しかし昨今、パートナー企業や社外のコンサルタントを交えたイノベーション活動や、お客さまとの協業が増えています。必要な情報へのアクセスは、社員に限られなくなってきたのが実情です。
また、社員がこれらの情報にアクセスする場所はオフィスにとどまらず、テレワークの活用によって、自宅やサテライトオフィス、移動中、外出先など、オフィス以外のさまざまな場所からアクセスするようになりました。パソコン以外のデバイスによるアクセスや、クラウドサービスを活用したいというニーズも高まっています。さらに今後は、会社から支給されたデバイスではなく、個人が保有するデバイスを仕事に使用するというBYOD*の活用も主流になっていくでしょう。今までのように、セキュリティの境界を固定できない状態になっていきます。これからは、「お客さまや社員の事情や状況など、個々の要求に応じて最適なセキュリティの境界を適用させる」というポリシーの実現が重要な課題になっていきます。
- *BYOD:
- Bring Your Own Device
ゼロトラストネットワークとは
働き方改革とセキュリティ対策のバランスをとり、先の課題をどのようにして解決するのか。ガートナーはレポートで、「暗号化されたトラフィックを一度解読し、調査する必要性や、複雑さと遅延が、ネットワークとサービスのセキュリティを、クラウド提供型セキュア アクセス サービス エッジ(SASE)に統合する需要が高まっています」(*Gartner, “The Future of Network Security Is in the Cloud”, Neil MacDonald et al., 30 Aug 2019)と、SASEの考え方を提唱しています。これを参考に、現在、当社が取り組んでいるのが、新たなネットワークセキュリティ「ゼロトラストネットワーク」の構築です。
これは、社内からのアクセスをはじめ、社員やお客さま/パートナーからのパブリックネットワーク経由もしくはモバイル環境からのアクセスすべてに対して、インターネット上のゲートウェイと認証サービスによるセキュリティ対策や暗号処理対策を施し、システム開発業務や協業ビジネスに必要なクラウドサービスを受けられるようにする仕組みです(図2)。これにより社内外からのすべての情報のやりとりや利用者の状況を監視します。
ゼロトラストネットワークは、次の3つのコンセプトからなります。
-
(1)すべてのネットワークを信用しない、アクセス制御と監視を重視した基本設計
-
(2)いつ、どこで、どんな手段でも安全にネットワークに参加が可能
-
(3)ユーザーIDや利用デバイス、ロケーションの監視と管理、アプリケーション制御
ゼロトラストネットワークの肝である監視は、セキュリティオペレーションセンター(SOC)にて常時行います。当社のSOCでは、監視の漏れを防ぐために、第一段階の振り分けにAIのモデルを導入するなど、オペレーションの精度向上と効率化を図っています。この仕組みは、今後ますます監視対象とそのログの数が増えるゼロトラストネットワークにおいて、大いに威力を発揮するだろうと考えています。
このような環境を構築することで、自由度の高いクラウド環境でもセキュリティを担保した社内インフラが実現でき、社員ばかりでなく、協業や共創を行うお客さまやパートナーも、たとえどんな場所から、どんなデバイスでアクセスしても、プライバシーや情報漏洩(ろうえい)・改ざんなどのセキュリティリスクから守ることができます。現在は関係部門でPoC*を行っていますが、2020年度は、開発部門を皮切りに展開を始め、徐々に会社全体に広げていく予定です。
- *PoC:
- Proof of Concept
このゼロトラストネットワークは、経済産業省が策定した「サイバー・フィジカル・セキュリティ対策フレームワーク(CPSF)」や、米国のMITRE社が提唱しているATT&CK*にも準拠しているため、お客さまやパートナーとの共創ビジネスにも利用範囲の拡大が図れます。
- *ATT&CK:
- Adversarial Tactics, Techniques, and Common Knowledge
デバイスのセキュリティ対策も見直し
社員が業務に活用するパソコン(デバイス)のセキュリティ対策も、新たに見直しています。当社では2014年から、会社全体にシンクライアント環境を導入し、データを個々のパソコンに残さないことによるセキュリティ対策を実施してきました。現在は、約7割の社員が常時シンクライアント環境を活用し、在宅勤務のときには8割以上が利用しています。しかし、公共交通機関での移動中や、ネットワーク接続が確保できない場所での業務には不向きであるという欠点が、以前からありました。そこで、ゼロトラストネットワークと並行して、オフライン環境でも使うことができる次世代ワークスペースの検討を進めています。社員の働き方や対応するお客さまの特性に合わせて、シンクライアント型やオンライン&オフラインのハイブリッド型など、どちらの環境で作業するのが最適かつ安全なのかを部門や社員自らがリスクベースで選択できるように整備していく予定です。
働き方改革とセキュリティを両立するゼロトラストネットワーク。これは、東芝グループの中でもソフトウェア技術者が多くを占める当社が先行的に進めている取り組みです。私たちが培ったセキュリティ対策の知恵やノウハウは、東芝グループ内にとどめず、お客さまにも積極的に展開していきます。なぜなら、私たちにとってセキュリティは、競争分野ではなく協調分野だからです。
これからも私たちは社内外の知恵を集め、さまざまなサイバーリスクへの対抗にまい進していきます。
- ※
- この記事に掲載の、社名、部署名、役職名などは、2020年4月現在の情報です。