カシオ計算機はこのほど、ゼロトラストネットワーク(ゼロトラスト)の概念を取り入れたセキュリティーの仕組みを国内拠点に構築したと明らかにした。ゼロトラストは、接続元のネットワークを問わず常にアクセスを精査し、適切に認証・認可をするセキュリティーモデル。ファイアウオールを軸にした「境界型防御」のセキュリティーから切り替えている。
新たな仕組みによって、社内システムはもちろん、クラウド上に構築したシステムとの接続も高いセキュリティーと利便性を実現した。同社はデジタルトランスフォーメーション(DX)向けシステムの開発を円滑に進める目的などで、外部のクラウドを積極的に活用している。クラウド利用時の安全性を高め、開発を下支えする狙いだ。
SaaSを組み合わせ認証・認可の仕組みを構築
カシオのゼロトラストの取り組みで中心的な役割を果たすのは、同社が「セキュリティゲートウェイ」と呼ぶ仕組みだ。社用スマートフォン向けに2021年に導入、パソコン向けには2022年の4月から展開を続けている。
社内外のシステムと安全に接続する通信経路を確保する「ネットワーク経路認証」、利用者を認証する「ユーザーアカウント認証」、許可していないクラウドと通信していないかなどを可視化する「アクセス先制御監視」で構成する。セキュリティー機能を提供する複数のSaaS(ソフトウエア・アズ・ア・サービス)を組み合わせて実現している。
社員が社内外のシステムを使いたい場合、まずセキュリティゲートウェイへアクセスする。ゲートウェイでパスワードとスマートフォンなどの所持情報によるユーザーアカウント認証を受ける。認証が済むと、カシオの社内システムや各種の業務用SaaS、「Amazon Web Services(AWS)」などのクラウド上に構築したシステムに、ネットワーク経路認証の機能で安全に接続できる。
さらに、社員がどのようなクラウドをどのように使っているのかをアクセス先制御監視で可視化している。例えばストレージやソースコード管理ツールなどのクラウドを社員が使っていた場合、その利用状況を確認。情報流出のリスクがあるときなど、必要に応じて遮断できる。
IDaaSやCASBを組み合わせる
3つの機能はそれぞれ、セキュリティー機能を提供するSaaSを活用して整備した。例えばユーザーアカウント認証には、IDaaS(アイデンティティー・アズ・ア・サービス)を使う。IDを管理し、IDを使った認証・認可やシングルサインオンを提供するSaaSである。アクセス先制御にはSaaSの利用状況を可視化するCASB(クラウド・アクセス・セキュリティー・ブローカー)を使っている。
ネットワーク経路認証には、マルウエア(悪意のあるプログラム)のダウンロードや危険なWebサイトとの通信を遮断するSWG(セキュア・ウェブ・ゲートウエイ)や、利用者や端末の状態を基にアクセスを仲介するZTNA(ゼロ・トラスト・ネットワーク・アクセス)の機能を持つサービスを採用した。通信がどのような経路を通ってきたかをサービス側で確認し、アクセスを制御する。
これらの仕組みに加え、端末の防御にはEDR(エンドポイント検知・対応)ツールを2021年10月に導入した。ゼロトラストの考え方に基づいて社内の端末であっても信用せず、プログラムの挙動など様々な要素を基に脅威を察知。マルウエアなどから端末を守れるようにした。
今回の仕組みを構築する以前は、社内外をファイアウオールで区切り、内側を安全と見なす境界型防御の考え方でセキュリティー対策を講じていた。社外からオンプレミスへのアクセスを原則として遮断し、どうしても必要な社員は例外的にVPN(仮想私設網)を利用して接続していた。
だが2020年以降の新型コロナウイルス禍で状況が一変した。テレワークを利用する従業員が増えてVPNの利用が例外ではなくなった結果、自社拠点のVPN装置に接続が集中。通信のパフォーマンスが低下する懸念が出てきた。さらにクラウドの利用が増えたため、ファイアウオールだけでは社員の通信や業務システムの安全を守ることも難しくなった。
整備したセキュリティゲートウェイの仕組みはこれらの課題を解決している。セキュリティー機能を提供するSaaSは一般に、アクセスの増加に応じて必要なリソースをクラウド側で割り当てる。オンプレミスのVPN装置のように、アクセスが集中してパフォーマンスが低下するリスクは少ない。クラウド上に構築したシステムとの通信も、ユーザーアカウント認証などで安全性を担保している。
さらに、外部のクラウドへのアクセスを制御する設定も柔軟にできるようになった。
