株式会社クラウドネイティブ

セキュアなリモートワークを実現する
Cloud Native Inc.

Zero Trust Network Architecture

「自社のゼロトラストモデル」では、当社での働き方を実現するために利用するITや考え方を公開しています。

情報システム部門は、数多くのソリューションの選択肢の中から、戦略的に必要となるものを常に選定し続け、会社の成長を後押しする存在であるはずです。製品選定の多くはカタログ値であったり、他製品との組み合わせが考慮されないケースも多く、導入へ至るまでに多大なコストと時間を浪費し、導入後に運用しきれない、使われないケースも珍しくありません。

しかしながら現実問題として、突き詰めた使用感や感覚値などを選定に盛り込むことはリソースの観点だけでなく経験値の観点からも難しく、ベンダーに対してのイメージや好みで話が進まないケースもあり、結局なにをどうしたらいいのか分からないという声も絶えません。

当社では、情報システム部門が注目したい新しい技術やソリューションの導入検証を積極的に行っています。ここで表現する検証とは、一般的にイメージされるようなテストではなく、まず購入し即導入、様々な規模や業種の情報システム部門であればどんなリアクションがあるだろうかと想像を膨らませながら、全てを本番環境で実施します。

自社の為にではなく、全ての情報システム部門の為にどのような効果があるのかを意識するため、中には当社の企業規模には見合わない製品も紹介されます。「自社のゼロトラストモデル」では、自社のシステムを公開し更新していくことで提案の精度を上げ、新たな気づきやアクションを起こす足がかりとなることを目的としています。

Approach

ゼロトラストネットワークス
アーキテクチャへのアプローチ

ゼロトラストネットワークスアーキテクチャとは、社内ネットワークのみが信用できる運用と設計を改め、
「ネットワーク・デバイス・人」を信用しないことを前提とした
企業内ITシステムのアーキテクチャです。当社がコンサルティングサービスを提供する上で軸に取り入れている概念であり、
当社の社内システムは「ゼロトラストネットワークスアーキテクチャ」の概念をもとに、
今実現できる最もセキュアで利便性の高いシステムを実装しています。

1

セキュリティ指針

SOC2 や PCI DSS を含めた数多くの国際監査基準、加えてプライバシーに関わる独自の監査基準に適合させて設計、運用されています。既に公開されている監査基準だけでなく、現在策定中の内容や、海外の動向なども踏まえてより実践的かつ現実的なITを前提とします。

各社におけるセキュリティ指針は組織や事業などで大きく変化があるか、なければ適材適所で変化を行うことが投資目的の明確化に繋がるため、レガシー環境との融合や、事情がある歴史的な閉ざされた運用、価値のない情報には投資しないなどのメリハリを意識しています。

セキュリティの変更はシビアな課題になることがあります。その議論と決断を下すメンバーに、セキュリティを語れる人は少なく、感覚的に不安であるとか、絶対に事故が起きないものにしてほしいなどという声に説得の時間を費やし、何も変化を起こせないのであれば、ゼロトラストネットワークスアーキテクチャを目指した過渡期の中にレガシーに見えるものを加えて、方針や概念、目的を崩すことなく環境の変化を進めることも重要です。

2

多様なワークスタイルに
対応できる環境

従業員の働く場所、使用するネットワークやデバイスを指定せず、従業員の生活に合わせてセキュアに仕事ができる環境を用意しています。

当社はリモートワークが前提の働き方を提供していますが、それが正解ではないことも分かっています。どのような組織や人にたいして会社のITを提供できるのかが重要なのであって、本質的な本来の業務に専念して頂くために、多様な働き方が選べる状態をシステムが担保する、問題があれば自動的に切り離す、情報システム部門として環境の提供に自由度をあげられるかどうかという点に注目しています。

情報資産を扱う対象に応じて、証明書を使ったデバイストラストや、IntuneやJamf Proを利用したネットワーク自動指定など、一切の制限がかからない訳ではありません。制限のかけかたがこれまでとは異なり、全てを制限から解放することもできる状態や、それを目指した中での過渡期として、これまでの運用方法を踏襲するスタイルも場合によっては採用すべきです。

オフィス

当社のワークスタイルはリモートワークとしており、オフィスへの出社を推奨していません。会社の物理拠点としてコワーキングスペース & オフィススペースを構えていますが、仕事に利用する道具のひとつとしてオフィスが提供されています。

企業は働く場所を作るために投資しますが、もしもリモートワークが主流になったとすれば、その物理拠点にかけたコストに人が集まらず使われないわけで、オフィスに対する投資対効果が下がるのは明白です。

従業員に配布するデバイスや、ネットワーク機器、サーバー群と同様に、オフィスのコストや使われ方も巨額の費用を捻出する各種ライセンス費や物理ネットワークと同じように、どのようにロックインされていて誰の為に運用されているのかをSaaSを利用してリアルタイム可視化する企業も海外では珍しくありません。

ストレージ

ファイルのやり取りはBoxやG Suiteなどのクラウドストレージを利用しており、従業員は使用するデバイスやネットワークに関係なく、インターネット上からファイル共有を安全に利用することができます。
管理者は、いつ、誰が、何のファイルを編集、ダウンロードしたのかといったクラウド上のファイルのあらゆる操作が制御可能で、秘匿性の高い物はリアルタイムで制御し、それ以外はログからの追跡を容易に行うことが可能です。ファイルへのアクセス権限はユーザー・グループ対して編集、閲覧、ダウンロードなどの権限を細かく設定でき、適切な権限をユーザーに割り当てています。

組織においてデータ生成の多くは、誰かに見せるために作られるものであり、つまり共有されます。これは社内だけでなく社外も含みます。従業員が困惑しない情報共有の場を積極的に整えることで、シャドーITは抑制されます。更に、エンドポイントやネットワークそしてクラウド側にもDLPなどのリアルタイム検知を設置することで、アラートから社内で対応するのではなく、自動的に全てのデータを制御します。

場合によっては従業員がプライバシー性の高い情報を社内端末やストレージへ生成する場合も考慮し、基本的な運用は全てITが自動で行い、管理者が対象のデータにアクセスした場合に当該本人に通知するなどの仕組みもクラウドを利用することで設計できます。

社内におけるデータ管理の透明性を確保することで、社内ITリソースの積極利用を促します。

コミュニケーションツール

リモートワークを行うには、充分なコミュニケーションを円滑に行える環境を整える必要があります。当社では、チャットツール、クラウド上のPBX(電話)、ビデオ会議ツールを導入しています。なお、チャットログ、通信ログに関するデータはクラウド上に90日間記録しています。ビデオ会議は全て録画され、会議の内容は従業員全員が確認することが可能です。

3

エンドポイントセキュリティ

デバイスの情報はIntuneおよびJamf Proを用いてクラウド上にて管理、制御が行われています。デバイスのオンラインを検知すると、直後にDruvaが端末のデータを自動的に別のオンラインストレージ(Amazon S3)に格納され、数多くの監査基準と自社の独自ポリシーによってデータの状態を判断し、必要であれば制御されるようになっています。

DLPルールに基づき、大量の個人情報やクレジットカード番号あるいは機密情報などが含まれていた場合は、このデータの入手先とオフラインデータの居場所を自動的に特定し、バックアップを行ったオンラインストレージ上のデータを含め、全てがアクセス禁止状態に変更されます。

社内のデータが、どの経路で取得され、どこにアップロードされたのか、また、チャットツールなどに記載された文字列など、全てのデータと経路がNetskopeなどのCASBを含めた複数のシステムによって監視されており、危険であると判断された場合は、安全な手段を従業員に提示し、その方法へ自動的に遷移します。

従業員がモバイル端末で社内のデータにアクセスすることを想定し、このデバイスが盗難または紛失した場合にデータを保護するため、情報資産アクセス時のポリシーに強制的に端末の暗号化処理を加えており、この暗号化鍵もシステムによって自動的に管理されます。また、端末暗号化が完了していないデバイスは社内のデータにアクセスすることができません。

標的型攻撃については、Microsoft Defender ATPなどのEDRを活用し、オンライン側からのふるまい検知から開始し、デバイスでの挙動を見ながら重要な情報はマイクロOSに格納するなどして保護し、これらのログも全て自動的に記録され、提出可能なレポートが自動的に生成されるよう設計されています。

macOSについては現時点ではメインにZiftenを採用していますが、今後MicrosoftがmacOS向けにEDRを展開するというロードマップもあり、Crowd StrikeやCarbonBlack、Taniumなどの製品群に加え、シリコンバレースタートアップ数社の動向を見つつ、変化の大きい領域として注目しています。

4

ネットワーク

従業員がどこにいても、安心安全に仕事ができる環境を提供する上では、VPN接続などの信用できるネットワークを利用するという前提条件は排除し、危険なネットワークを利用する可能性があるものとして環境を構築する必要があります。

危険なネットワークへの接続、暗号化処理がされていないネットワークに接続した場合にはこれを検知し、自動的に暗号化通信を行うようになっています。危険なネットワークに接続したとしても、システムが自動的に保護するようになっているため、当社の情報資産アクセスには、ネットワークによる制限をしていません。

また、オフィスにはインターネット専用線、クラウドコントローラー型WiFi環境を提供し、インターネットへ回線速度をより早くするための環境を提供しています。このネットワークへのアクセス権はシステムから自動的に払い出されるよう設計されているため、従業員がオフィスにて必要な情報資産へのアクセスを検知すると、自動的にこのネットワークへ接続されるため、従業員がネットワークやパスワードを意識することはありません。

リモートワークを行う上で課題になるのがインターネット回線です。対象の従業員がリモートワークを行う環境に、会社が必要とする帯域幅と安定性を持った回線で接続しているとは限らない為です。リモートワーク時に利用される共有ストレージやビデオ会議ツールがどの程度の帯域で業務遂行できるかなどに注目することもあります。

5

ID管理

シングルサインオン環境を提供しています。また、従業員が会社内でアカウントとパスワードを共有することはありません。全てのアカウントが独立して従業員に紐付いており、システムが許可判断を下すと、通常のログイン画面によるログイン処理を行うことなくシステムへログイン出来るよう設計されています。

様々なクラウドサービスを社内展開または、廃止する際に、ID管理とID制御がどれほど柔軟かつ用意であるかは大変重要な要素です。組織が大きい場合には複数のIdPを用途に応じて設計します。分散しても単一の管理画面と単一の制御によって自社内のIDが掌握できている状態を目指します。

Zero Trust Network Architecture

ID基盤

IDはクラウド上のIdPにて管理しており、 IDへのアクセスはインターネットへ通信できる状況であれば認証を行うことができます。IDは端末のログイン、SaaSへの認証、LDAP認証に利用されており、1つのID基盤にてアクセスポリシーを管理することができます。そのため、管理者が特定のIDを停止した際には全てのIDへのアクセスを遮断することができます。これによって、1つのIDのみで複数のサービスにアクセスすることができるシングルサインオンが実現されています。

認証情報の一元管理

従業員のアクセスコントロールは統合認証システムによって一元管理されています。本人以外によるなりすまし利用や、パスワード漏洩時によるのっとりは、本人が意図的に行わない限りは不可能です。

多要素認証

従業員本人しか持ち得ない情報や、知り得ない一時的な情報を利用して認証を行います。情報資産へのアクセス時には、必ず多要素認証を求めるよう設計がされています。この多要素認証は一元管理されており、万が一従業員が多要素デバイスや手段を持ち得ない状況に陥ったとしても、一時的に一定時間バイパスしたり、一度だけ許可するなどのコントロールが可能です。

多要素認証にはスマホアプリを用いたものやSMS通知、PINコード、バイオメトリックスなど、状況や環境、また対象アカウントなどに応じて、複数回追加したり、一定時間バイパスするなど様々な展開が可能です。

6

デバイス・セキュリティ

当社が保有する情報資産へのアクセスについては、ハードウェアやデバイスに制限を設けていません。ただし、セキュリティ上問題のあるデバイス、例えば、セキュリティパッチが適用されていない、OSのバージョンが古い、マルウェアに感染しているなどの状態を事前に検知し、適切なデバイスの状態へ適合させるようにします。個人で所有するコンピュータを接続しても、個人環境に影響が出ないようユーザー環境を切り離してから会社のポリシーを適用させるようにしています。

デプロイ

会社にて購入する端末のセットアップはゼロタッチプロビジョニングを実装しています。デバイス管理は全てクラウド上で行われており、サーバーを用意することなくデバイス統制が行えています。デバイスはインターネットへ接続できることのみが必須の要件となり、IT管理者は個別のセットアップ作業を手動で行う必要が無くなり、従業員にデバイスを渡すだけで良くなります。

現在のゼロタッチデプロイは、Apple製品であれば購入元との信頼関係をシステム的に証明書で結ぶことで、配送された製品をどのユーザーに割り当てるかだけを指定するだけでセットアップが完了します。Windows 10の場合は自動化するセットアップ対象の内容によって、Intuneでスクリプトを組むだけなのか、販売代理店との調整が必要なのかなどが変化します。いずれにしても自動化が可能です。

7

ログ

全てのアクセスログおよび特権ユーザー、管理者などの操作ログは記録されています。保存期間は90日間です。また、情報資産に接続したデバイスの詳細や、インストールされているアプリケーションなど、取得可能な情報は全て取得しており、一元管理されています。また、一部の特権操作はチャットツールなどで自動的に全ての従業員が確認可能な状態で発信されるよう設計されており、不必要な特権操作を抑制しています。

基本的な考え方として、ログは事後のものであると考えます。ログをクレンジングしてアラートを行い運用するのであれば、ログが発生する前のふるまいから制御を行い、その結果がログとして記録され、説明責任を果たすために必要に応じてログを手作業でまとめていくという考えでログを記録しています。

ログデータが必要な場合は、Sumo LogicやSplunkなどを利用し、データクレンジングと可視化、正しい見解と抽出を行います。日々のログを運用する事はありません。

Summary

まとめ

情報システム部門は、会社が本来の事業を成長させるために、全ての従業員がITを意識せずとも安全に正しく使える環境を提供したいはずです。

情報システム部門は、自社のデータ全てを掌握している強力な組織です。

企業ごとに重視する戦略や、重要と考えるデータの価値が違う為、他社と全く同じ情報インフラが存在しません。 自社の考えやこれまで積み上げ、いま働く人たちが自ら設計し、製品を組み合わせ、運用するのです。 そして、事業やITは目まぐるしく変化します。綺麗に描いた1年ロードマップの通りに、世界が動いてくれることはありません。 多くのITが使われず、多くの新技術が生まれます。変化への追従や適合は、自社のITにも必要です。

クラウドの利点は必要な時に必要なだけのIT調達ができることです。正しいロックインを選択して、 守り続けるものと変化せざるを得ない物を理解し、強固かつ捨てやすい柔軟なITインフラを目指しています。