国内企業でもゼロトラストネットワークの導入がすでに始まっている。その多くが第一歩として導入したのが、多要素認証とIDに基づくアクセス制御だ。
auカブコム証券はマイクロソフトの「Microsoft 365 E5」を中心に、ゼロトラストネットワークに取り組んだ(図4-1)。多くの社内システムをスマホで操作できるように改善しているという。
まずスマホにはMDM/MAM▼ツールである「Microsoft Intune」を導入した。クラウドで提供するIDaaS▼である「Azure Active Directory」を介して、Intuneがアプリケーションの利用を制御する。「例えば業務アプリでテキストをコピーした場合、そのテキストを業務アプリにはペーストできるが非業務アプリにはできないようにするといった制御ができる」(auカブコム証券システム統括役員補佐兼システム開発部副部長兼IT戦略グループ長の石川 陽一氏)。
パソコンの基本的なアクセス制御にもIntuneを使う。ただし「パソコンは自由度が高いためスマホほど細かな制御ができない」(石川氏)。そこで「Windows Defenderアプリケーションガード」を追加して対応する計画だ。Windows Defenderアプリケーションガードを使うと、外部サイトなど信頼できないサイトを開こうとすると、自動的に新たな仮想マシンが起動し、そこで動作するEdgeブラウザーにアクセスさせる(図4-2)。この機能を使うことにより、細かなアクセス制御が可能になるという。
一部の社内アプリについては、米アカマイ・テクノロジーズのID認識プロキシーである「Enterprise Application Access(EAA)」を「VPNの代わりとして導入した」(石川氏)。
同社は現状端末からのアクセスをゼロトラスト化しているが、サービス間のゼロトラスト化は実現していない。将来は対応するために、現在ログを収集している段階だという。