NTTデータ先端技術はゼロトラストアーキテクチャをこうやって実現した

ここからは佐藤氏がいるNTTデータ先端技術がゼロトラストを実現した経緯を追ってみよう。もともとRDP(Remote Desktop Protocol)接続の仕組みがあり、2020年2月から3月にかけて全社的に展開する予定があった。そのため一般社員のテレワーク化はすんなり進んだ。
しかし問題があった。開発や保守担当が使う開発環境が社内OA環境と分断されているため、社内からも社外からもアクセスできないようになっていた。そのため開発や保守担当者は出社しなければ業務ができず、在宅率が半数以下にとどまっていた。
社外から開発環境にアクセスできるようにするには独自の対策や環境を構築しなくてはならない。従来の方法で一から構築するとなると、サイジングやアーキテクチャの検討から始めなくてはならず、コロナ禍初期の混乱で納期も見通せなかった。自宅待機要請に間に合うようにするには、1ヶ月程度の短期間で実現する必要があった。
先述したゼロトラストに必要な技術要素を思い出してほしい。最初に着手するべきリソースの部分にはActive Directoryが導入済みだったので、ここクリアしている。次のネットワーク対策を施す必要があり、NTTデータ先端技術ではプライベートアクセスにはZPA(Zscaler Private Access)、インターネットアクセスにはZIA(Zscaler Internet Access)を採用した。どちらもクラウドサービスなのでハードウェアを必要とせず、契約したらすぐ使える。
プライベートアクセスとは社員や委託先など認可されたメンバーのみが安全に社内環境にアクセスできるようにするためのもの。ZPAはSDPなので、VPNをクラウドベースで実現するものとイメージしてもいいだろう。インターネットアクセスとは外部クラウドサービス利用時の安全性を確保するためのもの。ZIAはアクセスコントロール、脅威からの保護、データ保護などが可能で、SWGやCASBとして機能する。ZPAとZIAでゼロトラストアーキテクチャのネットワーク部分が実現できた。
結果として2020年3月の検討開始から約1ヶ月で開発と保守担当の多くがテレワークに移行できて、在宅率は90%まで高められた。
「めでたし」と言いたいところだが、まだ終わらない。佐藤氏によるとネットワークのインターネットアクセスの部分では利用可能なクラウドサービスの拡充を図っていくという。例えば当初はBoxが認められていなかったものの、取引先とのデータ共有に使えたほうが便利なので利用可能とした。同様に有用なクラウドサービスと認められたら利用可能としていく。
さらにエンドポイントの部分では、端末管理はMDM(モバイルデバイス管理)、データ管理はDLP(情報漏えい対策)、端末セキュリティはEDR(エンドポイントの検出と対応)に対応した各種ツールを組み合わせていくという。佐藤氏は「組み合わせがポイント」と述べる。

繰り返しになるが、現段階では「これひとつでゼロトラスト」を簡単に実現する製品はないと言える。フォレスターリサーチ(当時)のジョン・キンダーバグ氏がゼロトラストを提唱した時、(ゼロトラストを実現するには)「情報セキュリティの専門家がITインフラのパートナーと提携することが重要」と強調した。重要な情報を保護していくためには、特に現状の境界防御モデルにゼロトラストを追加して共存させていくには、まだしばらくは最適な解に到達するために専門家が知恵を出し合う必要がありそうだ。