働き方の変化もあり「ゼロトラストセキュリティ」に高い関心
HENNGEは1996年に創業し、クラウドセキュリティのHENNGE Oneの開発や販売、サポートをメイン業務としている。同社はビジョンとして「テクノロジーの解放で世の中を変えていく。」、バリューに「アーリーアダプターであり続けるために、青い果実を食べる。」を掲げており、IT業界に登場する新しい技術を、顧客が使いやすい形にして届ける。そのために新技術を積極的に取り入れ、失敗を繰り返しながら上手くいった技術を世の中に広めていく。社名のHENNGEには、自らが変化にチャレンジするという意味も込められていると山下氏は説明する。
コロナ禍以降さまざまな変化があり、人々の価値観も大きく変わっている。働き方も大きく変わり、HENNGEでも「Web会議が社内外問わずデフォルトになっており、テレワークも業務内容や業務効率を優先し、出社するかしないかを個人の判断に委ねています」と山下氏。オンラインが「正」ではなく、逆に直接的なコミュニケーションが取れること自体にも価値が出てきている。加えて、これまでになかったワーケーションなども可能なため、これまで以上に働く場所と働き方が多様化しているのが企業の現状だ。
このような多様な働き方を可能にしているのが、クラウドサービスの活用だ。以前のHENNGE社内ではオンプレミスのシステムが乱立し、テレワークなどできる状態ではなかったという。しかし、クラウドサービスの活用が当たり前となった今では、各部署が必要なクラウドサービスを活用し、生産性を維持しながら“場所にとらわれない”柔軟な働き方を実現している。
令和4年の総務省による通信利用動向調査によると、2021年時点で7割を超える企業がクラウドサービスを利用。事業を発展させるためには、これまで以上にITの活用が求められており、今後もクラウド利用が進むと考えられる。そして、クラウド利用の拡大にあわせて、セキュリティへの考え方にも変化が表れているという。以前は、働く場所が社内に限られていたため重要なデータも社内にあり、外部から社内ネットワークへの侵入を防ぐことを中心にセキュリティ対策を考えれば問題なかった。
しかし、コロナ禍以降は働く場所の変化にともない、管理すべきユーザーと端末が会社の外に移動。必然的に重要なデータもクラウドに置かれるようになり、従来の管理方法が通用しなくなっている。“社内ネットワークこそが安全”という考え方を棄て、利用しているクラウドサービス、それにアクセスする端末、ネットワーク利用者など、あらゆるものをチェックしてセキュリティを担保する。いわゆる「ゼロトラストセキュリティ」の考え方を取り入れる必要に迫られており、実現に向けて動いている企業も多い。
セキュリティ対策は「終わりのない冒険」
山下氏は、情報システム担当者がゼロトラストセキュリティについて悩んでいる状況を、『HENNGE QUEST 2023』というゲーム世界になぞらえて解説した。企業を1つの王国と見立てると、従業員は住民であり、情報システム部の担当者は住民が日々快適に過ごせるよう、さまざまな支援をする役割だ。
ある日突然、国のトップである社長から声がかかり「取引先がサイバー攻撃に遭った」と告げられ、自社のセキュリティ強化の相談を受けることに。取引先の被害は工場が止まるような逼迫したもので、すぐに対策すべく情報を整理し、付き合いのあるベンダーにも相談するだろう。そこで国の環境をよく知るベンダーから「ゼロトラストセキュリティ」を薦められて導入を前向きに考えるも、その対象領域の広さと情報量の多さに驚愕してしまう。こうした話は珍しいことではなく、どこかで見聞きしたり経験したりした方も少なくないのではないか。
各セキュリティ製品を剣や盾に見立てると、ゲーム同様にさまざまな武器がある。ゼロトラストセキュリティ実現に向けては、最初によく取り組まれるのが認証の領域、いわゆる「IDaaS(Identity as a Service)」の導入だ。IDaaSにも国産製品や海外製品、安価なものから高価なものまで多種多様な選択肢が用意されている。IDaaSを剣としたとき、将来的なことを考えて多機能で高価な剣を購入したとしよう。
しかしながら、いざ使ってみると機能が多すぎて運用が上手く回せず、ユーザーからは「アクセスできない」などの問い合わせが多々寄せられてしまい、ヘルプデスク業務や監視業務も加わったために「担当者は闘う前からボロボロの状態です」と山下氏。実際、セキュリティポリシーの設定方法が複雑で全体把握ができず、設定内容に漏れが発生してしまい不正アクセスを受けるケースは珍しくない。その間にもカバーできていない領域から攻撃を受け、担当者はどんどんと追い込まれていく。
「このときセキュリティを厳しくするためにポリシーを強化すると、住民の利便性が下がってしまい生産性が低下する原因になります。時間とお金をかけて装備した武器は活用できず、会社を守るセキュリティが“足を引っ張る”セキュリティとなるでしょう」(山下氏)
たくさんのゼロトラストセキュリティ向けの製品があると、ネットワークや端末などそれぞれの領域で高機能な武器を揃えたくなる。せっかく対策するのだからと、たくさんの要件を出してしまいそうになるが、その前に一度立ち止まり「どの剣が自社で活用できるものかを運用面やリソース面など、さまざまな角度から検討して“要件の棚卸し”を行ってください」とアドバイスをおくる。
IPA(情報処理推進機構)『情報セキュリティ重大脅威 2023』を見てわかるように、時代にあわせて脅威も変化する。新たな脅威は常に出てくるため、一時的に完璧な対策を講じたとしてもカバーできない領域が出てくるだろう。つまり、ユーザーの働き方やサービスの利用状況などを鑑み、必要なセキュリティ(ゲームにおける武器)の導入を適宜検討する必要があるという。
一足飛びにセキュリティを強化して完璧にしようとするのではなく、状況に応じてセキュリティ製品を選び、使い分け、段階的に強化する。そうすることで運用も回せるようになり、ユーザーの利便性を下げずに会社を守ることを目指す。「脅威もどんどん進化するため、まさにセキュリティ対策は“終わりのない冒険”です」と述べる。
現実世界における最適解とは、「HENNGE One」で考えてみる
では、ゲームの世界から戻ってきて、どのように現実世界でセキュリティ対策に臨めば良いのか。山下氏は、「HENNGE One」をベースに解説した。HENNGE Oneには、ゼロトラストセキュリティの認証領域を担うための「HENNGE Access Control」、メールセキュリティで誤送信対策や脱PPAPのための「HENNGE Email DLP」、メールアーカイブの「HENNGE Email Archive」、マルウェア対策の「HENNGE Cloud Protection」などが用意されている。
IDaaSにあたるHENNGE Access Controlの強みは、240以上のクラウドサービスとの連携実績だ。これらはすべて無制限で連携可能で、連携によりばらばらだったID/パスワードを1つにまとめられる。「ユーザーはHENNGEのID、パスワードだけを憶えていれば、連携しているサービスにアクセスでき、パスワード忘れやそれにともなう管理者の対応などの工数も削減できます」と山下氏。
ID/パスワードの統一だけでなく、クラウドサービスのアクセス制御も一元的に可能だ。HENNGE Access Controlではユーザーの働き方にあわせて、アクセス制御ができる。社内でしか働かない人には社内ネットワークからだけアクセスを許可し、外出時には会社から貸与したPCでのみアクセスを許可するなど、組織ごとに柔軟な制御が行えるという。また、ユーザー認証を強化するために、スマートフォンでプッシュ通知を受け取った場合にのみ、アクセスを許可するなどの多要素認証も実現可能だ。
さらにHENNGEでは、コスト最小化も叶うという。既存の資産管理ツールやMDM(モバイルデバイス管理:Mobile Device Management)などを入れ替える必要がないため、余分なコストをかけずにセキュリティを強化できる。加えて、「導入後のサポートも無償で提供しています」と山下氏。たとえば、無償サポートの範囲においても、接続実績のないクラウドサービスとの接続を検証し、設定やマニュアルの作成などを行える。
また、メールセキュリティでは、パスワード付きZIPファイルに替わり、添付ファイルの“自動URL化”機能(HENNGE Secure Download)を脱PPAPツールとして提供。これは単純にURL化するだけでなく、メールを受け取った人だけがダウンロードできる仕組みを備えており、よりセキュアなファイル交換をユーザーの負担なしに可能とするものだ。なお、メール添付できないファイル容量の大きなものについては、HENNGE Email DLPとセットで提供しているストレージサービス(HENNGE Secure Transfer)と組み合わせて対応できる。
あわせてメール領域においては、Emotetなどのマルウェアが猛威を振るっており、そちらの対策も欠かせない。HENNGE Cloud Protectionでは、マルウェア付きのメールを受け取らないように、Microsoft TeamsやOneDrive、SharePointなどもチェック対象とし、多方面にわたり多層防御が実現できるという。
また、メールセキュリティの特徴として、Microsoft 365のExchange Online、Google WorkspaceのGmailにアドオンできる点もメリットだろう。これにより、それぞれ上位エディションの契約でなければ使えない機能、たとえば監査や訴訟ホールドのためのメールアーカイブなどのコスト抑制にもつながる。
実際にスズキ株式会社では、HENNGE Email DLPを採用し、メールのクラウド化にあわせて誤送信対策機能もHENNGE Oneでクラウド化。導入後には、問い合わせが減っており、ユーザーからの反応も上々だという。
IT運用管理者の業務が多様化する中、疲弊せずにセキュリティ対策を行い、本来の業務に注力できることこそがDXにもつながる。「手厚いサポートを用意しているのが、HENNGE Oneです。まずはHENNGE Oneからスタートし、ビジネスの拡大、従業員の働き方を考慮しながら適切な武器を装備するなど、段階的にセキュリティを強化して欲しい」と山下氏。HENNGE Oneは幅広いユーザーに選ばれており、ナレッジも豊富に蓄積されている。セキュリティの運用に悩んでいる、またクラウドサービスの活用にあわせてセキュリティの情報収集を始めたという場合には、ぜひ一度HENNGE Oneを検討して欲しいとして講演を締めくくった。
IT運用管理者の強い武器「HENNGE One」導入事例集などを配布中!
記事中で紹介した「HENNGE One」のサービス資料、価格資料、導入事例集などはコチラから無料ダウンロードしていただけます。その他、「DX」「ゼロトラスト」「PPAP」「ID管理」など、IT運用管理者/情シス担当者の参考となる“お役立ち資料”も配布中です。