現実的なゼロトラスト実装にはワンプラットフォームが鍵に──HENNGEが4つの新製品で「全方位防御」

SSOの“外側”も守る　非対応でもシームレスかつ安全を保持

　HENNGE OneのID管理機能である「HENNGE Access Control」は、これまでSSOによる認証管理を実現してきたが、SSO非対応のサービスはまだ多数存在する。この現実を踏まえ、HENNGE Password Manager プロダクトデザイナーのピラーカ・ネイシー氏は「SSOに対応していないサービスも含めた包括的なアクセス管理を実現すべく、HENNGE Password Managerを出すことを決めました」と述べた。

　ピラーカ氏によると、SSOの管理外に置かれたID・パスワードはチャットやスプレッドシートで共有されることも多く、情報システム担当者には誰がどの認証情報を持っているかの把握さえ困難な状況だという。同製品の設計思想は「セキュリティと利便性の両立」であり、ユーザーが求める「ストレスなくスムーズにログインしたい」という体験と、認証情報の保護を同時に追求した。

　HENNGE Password Managerは、HENNGE Access Controlとの組み合わせでSSO管理外も含めた包括的な認証管理を実現する。製品の特徴は3点だ。ブラウザ拡張機能として業務フローに自然に組み込まれ、新規登録時に強力なパスワードを自動提案してワンクリックログインを実現する「スムーズなログイン体験」。部署・プロジェクト単位のチームでIDとパスワードをマスクしたまま必要なアクセス権だけを付与できる「共有アカウントの安全な管理」。そして「強固なセキュリティ」だ。

　ピラーカ氏は「暗号化と復号化はデバイスでのみ行われるため、HENNGEであってもパスワードにアクセスすることはできません」と強調した。

本物そっくりな巧妙なメールを見破る「DMARC」対応は必須

　1,000名規模の企業では1日6万4000通のメールが飛び交うとされる。HENNGE Domain Protection セールスプロモーションの増田悠里氏は、送信元を偽装するのに特別なツールは不要で、標準的なプログラミングで簡単に実行できるという。ゼロトラストにおけるアイデンティティの検証をメールに置き換えれば、本物のように見えるドメインのメールを無条件に信頼してはならないという命題となる。特に、生成AIの普及で攻撃メールは精巧さを増し、かつては攻撃者にとっての障壁となっていた日本語の難易度は消え去った。

　増田氏は「DMARCは既に『できればやった方がいい』ものから『やるべきもの』へとシフトしていっています」と話す。DMARCとは、自社ドメインのなりすましに対して「隔離」または「拒否」のポリシーを宣言できる技術。2024年にGoogleとYahoo!が1日5,000通超の送信者にDMARC対応を必須化し、クレジットカード業界の国際セキュリティ基準「PCIDSS」をはじめ、金融庁や総務省も対応を求めている。受信側任せだった従来の姿勢から、送信者側が能動的に対策を講じる時代へと移行しているのだ。

　2000年来のメールセキュリティ知見を持つHENNGEのメール配信サービス「Customers Mail Cloud」の開発部門が「伴走から自走へ」をコンセプトに開発したのが「HENNGE Domain Protection」である。ダッシュボードでの可視化、送信元分析、有償の導入支援サービスによるDMARCポリシーの段階的引き上げという3段階で構成され、自社ドメインを悪用したなりすましメールを検出し、対策を支援する。

　増田氏は最後に「適切にDMARCを設定することは、社会全体のなりすましメールの撲滅につながります」と、自社や取引先を守るDMARC対策の必要性を強調した。

「誰が・どの端末で・どこへ」の3軸でゼロトラスト実装へ

　最後に登壇した執行役員の今泉健氏は、ゼロトラストの現状を率直に評し「言葉は浸透した一方で、実装はまだこれからだと考えています」と述べた。

　ゼロトラストの実現にはIDaaS（ID管理）・EDR（端末検知）・CASB（クラウドアクセス制御）・ZTNA（ゼロトラストネットワークアクセス）など複数カテゴリーの製品を別々のベンダーから調達・連携させる必要がある。今泉氏は導入を阻む課題として、責任所在の曖昧化と連携設定の負荷増大という「管理の分散」、ハブアンドスポーク構造が生む遅延・コストという「アーキテクチャの課題」の2つを指摘した。

　HENNGEが描く世界は「通信は分散（P2Pメッシュ）、管理は一元化」だ。今泉氏はゼロトラストの本質を「誰が（Identity）・どの端末で（Device）・どこへ（Network）」という3軸の制御に集約し、発表した4製品でこの3本柱が揃ったと述べた。

　セキュリティの複雑さとコストの壁を取り除くことを目指すHENNGE。今泉氏は最後に「より多くの企業が、本質的なセキュリティを手にできる世界、そういったものを私達は目指していきたいと考えています」と、同社の方針を改めて語った。なお、Endpoint & Managed Securityは2026年3月より販売中で、残る3製品は2026年10月以降のリリースを予定している。