全2486文字
PR

 ゼロトラストネットワークは様々なツールを組み合わせ、企業にとって「信頼できる」ユーザーやデバイス、アプリケーションをきめ細かく制御することで実現できる。ただ、そうした完成形をいきなり目指すのはハードルが高い。まずはシングルベンダーで認証基盤の整備とデバイスの保護から始めるのが一つの手だ。

 そうした手法でゼロトラスト導入に乗り出した1社が、ファッション通販サイト「ZOZO TOWN(ゾゾタウン)」を運営するZOZO。IT子会社のZOZOテクノロジーズは2019年8月、働き方改革に向けて、従業員が自宅や社外からいつでも社内やクラウド上の業務システムにアクセスできるテレワーク環境を導入した。これを全面的に支えているのが、米Microsoft(マイクロソフト)が提供するゼロトラスト関連の各種ツールだ。

Azure ADやMicrosoft Defender ATPを導入

 ZOZOテクノロジーズはもともと、アイデンティティー&アクセス管理(IAM)である「Azure Active Directory(AD) Premium」を認証基盤として導入し、外出先での2段階認証やクラウドサービスへのシングルサインオン(SSO)を実現していた。これに加えて2019年7月、「Microsoft 365」の最上位ライセンスである「E5」を契約した。狙いの一つがデバイスの保護機能の強化だった。

 具体的には、E5に含まれているEDR(Endpoint Detection and Response、エンドポイントの検知と対応)ソフト「Microsoft Defender Advanced Threat Protection(ATP)」を利用して、社内の全端末を保護している。パソコンなどの端末内部で専用エージェントを動かし、端末内部の挙動を常時監視する仕組みだ。EDRと併用する形で利用するウイルス対策ソフトには、Windows 10が標準装備している「Microsoft Defender」を採用。もともと他社のウイルス対策ソフトを利用していたが、ライセンス更新のタイミングで順次切り替えた。

 さらにクラウド型のIT資産管理やモバイルデバイス管理(MDM)のツールである「Microsoft Intune」も導入し、認証基盤のAzure ADと連携させた。Azure ADに登録された従業員情報を取り込み、ユーザーのアカウント単位で複数の端末を管理できるようにした。スマホの利用はIntuneによってアプリケーション単位で制御している。

 認証基盤とMDMの連携にはセキュリティー対策をある程度自動化するという効能もある。ZOZOテクノロジーズでは、社内システムの利用を許可するかどうかをアカウントやネットワーク、端末の種類によって自動的に変える「条件付きアクセス制御」を取り入れている。これによってあるデバイスが「Defender ATPを起動していない」など一定のセキュリティー要件を下回ると、自動的に社内システムへのアクセスが禁止される、という仕組みにした。

ツールはマイクロソフトでそろえる

 ZOZOテクノロジーズが製品・サービスの選定においてこだわったのはIT部門としての「生産性」だ。複数のツールを組み合わせるゼロトラスト環境では、運用管理の負担増をどう抑えるかが鍵になる。そこでツールをマイクロソフトでそろえることで、運用管理の一元化と効率向上を目指したわけだ。

 実際、同社はE5が備える各種サービスを活用して運用作業の多くを効率化している。代表的なサービスの一つが、不審な振る舞いをしたユーザーのアカウントをランキング形式でリストアップする「Microsoft セキュア スコア」だ。セキュリティーの「穴」になりやすいアカウントはどれか、ランキングの上位を確認すれば把握できるので日々のチェック作業を効率化できる。ランキングが上位になった理由も管理画面上で調査可能だ。