ドコモ・システムズ、日立製作所(日立)、シスコシステムズ(シスコ)は2021年8月26日、ゼロトラストネットワークによる「次世代テレワーク基盤」を構築したと発表しました。この基盤は、ドコモ・システムズのDXプロジェクトの一環として、セキュアかつ快適なテレワーク環境を整備するためのもの。従来からのドコモ・システムズのサービス群と最新クラウドサービスを連携させて、生産性を高めることを目的としています。先行導入を進めていたMicrosoft 365と、シスコのゼロトラスト関連サービスを組み合わせて、テレワーク環境の安全性と利便性の両立が可能になりました。
今回の「次世代テレワーク基盤」は、「ゼロトラストネットワーク」技術を活用したものです。ゼロトラストネットワークは、アクセス情報をすべて信頼しないこと(ゼロトラスト)を前提に、あらゆる端末や通信のログを取得して都度認証を行うものです。DX時代に即したセキュリティモデルといわれています。
これまでのテレワーク環境は、社内と社外のネットワークを分離する「境界型セキュリティ」に基づいて構築されていました。この従来の方式では、すべての通信が社内システムを経由します。そのため、テレワークが増加するほどに、ネットワーク帯域が逼迫し、通信の遅延や切断といった状況に陥りやすくなります。
新しいゼロトラストネットワーク方式では、社内と社外のネットワークの境界を設けません。クラウド側とエンドポイントとなる端末側で、常にすべてのアクセスを監視し、認証・認可を行います。この方式がDX時代に即したセキュリティモデルとして注目されています。
図1:ゼロトラストネットワークの概要
ゼロトラストネットワークには、大きく分けて以下3つのプロセスがあります。
・「認証」
・「アクセス制御」
・「デバイス保護・管理」 そのため、数多くの関連商材を適切に組み合わせて、設計・構築することが必要です。 今回の取り組みでは、その中でも以下のポイントを目標に、ゼロトラストの概念に基づく「次世代テレワーク基盤」を構築しました。 ・ユーザーの利便性を損なうことなく、強固なアカウント管理や高度なセキュリティサービスを容易に実現すること 各プロセスについての具体的な特徴は以下の通りです。 1. 認証
認証環境では、アカウント管理・認証を行うAzure Active Directoryと、多要素認証が可能なCisco Secure Access by Duoを組み合わせます。ID管理と多要素認証の管理を分けた上で連携して取り入れることで、強固な認証環境を提供可能です。アカウントの振る舞いからリスクを検知した場合、早急にアカウントを凍結します。それにより、不正なアクセスを防ぎます。また、異なるベンダー間のシングルサインオン連携になります。そのためユーザーは1回認証を行えば、自社システムやMicrosoft 365など必要な業務アプリケーションにシームレスにアクセスすることが可能です。 2. アクセス制御
アクセス制御については「インターネットアクセス制御」と「社内システム・アプリケーションへのアクセス制御」があります。まず、危険サイトや利用禁止サイトへのアクセスを防ぐセキュアインターネットゲートウェイ(SIG)であるCisco Umbrellaを導入します。全通信を対象に高度なセキュリティが確保されます。Cisco Umbrellaはセキュアウェブゲートウェイ(SWG)としても機能します。それにより、柔軟性の高いインターネットアクセスが可能になります。また、Cisco Secure Access by Duoでは、アカウント認証後も、デバイスの状態やセキュリティポリシーをチェックします。そして問題があった場合は、社内システム・アプリケーションへのアクセスをブロックすることが可能です。 3. デバイス保護・管理
エンドポイントとなる端末の監視の強化として、Microsoft IntuneとMicrosoft Defender for Endpointを導入します。これは、ログ情報を常時取得・分析処理します。そして、サイバー攻撃のマルウェアやウイルスをリアルタイムに検知し、管理者に迅速な通知を行います。また、Azure Information Protectionにより、端末に保存されている機密データを保護することができます。それにより万一の端末紛失や、ウイルス感染にも対応することが可能です。
・「アクセス制御」
・「デバイス保護・管理」 そのため、数多くの関連商材を適切に組み合わせて、設計・構築することが必要です。 今回の取り組みでは、その中でも以下のポイントを目標に、ゼロトラストの概念に基づく「次世代テレワーク基盤」を構築しました。 ・ユーザーの利便性を損なうことなく、強固なアカウント管理や高度なセキュリティサービスを容易に実現すること 各プロセスについての具体的な特徴は以下の通りです。 1. 認証
認証環境では、アカウント管理・認証を行うAzure Active Directoryと、多要素認証が可能なCisco Secure Access by Duoを組み合わせます。ID管理と多要素認証の管理を分けた上で連携して取り入れることで、強固な認証環境を提供可能です。アカウントの振る舞いからリスクを検知した場合、早急にアカウントを凍結します。それにより、不正なアクセスを防ぎます。また、異なるベンダー間のシングルサインオン連携になります。そのためユーザーは1回認証を行えば、自社システムやMicrosoft 365など必要な業務アプリケーションにシームレスにアクセスすることが可能です。 2. アクセス制御
アクセス制御については「インターネットアクセス制御」と「社内システム・アプリケーションへのアクセス制御」があります。まず、危険サイトや利用禁止サイトへのアクセスを防ぐセキュアインターネットゲートウェイ(SIG)であるCisco Umbrellaを導入します。全通信を対象に高度なセキュリティが確保されます。Cisco Umbrellaはセキュアウェブゲートウェイ(SWG)としても機能します。それにより、柔軟性の高いインターネットアクセスが可能になります。また、Cisco Secure Access by Duoでは、アカウント認証後も、デバイスの状態やセキュリティポリシーをチェックします。そして問題があった場合は、社内システム・アプリケーションへのアクセスをブロックすることが可能です。 3. デバイス保護・管理
エンドポイントとなる端末の監視の強化として、Microsoft IntuneとMicrosoft Defender for Endpointを導入します。これは、ログ情報を常時取得・分析処理します。そして、サイバー攻撃のマルウェアやウイルスをリアルタイムに検知し、管理者に迅速な通知を行います。また、Azure Information Protectionにより、端末に保存されている機密データを保護することができます。それにより万一の端末紛失や、ウイルス感染にも対応することが可能です。
図2:次世代テレワーク基盤の構成
今回の取り組みでは、ドコモ・システムズにおいて2021年7月より、管理部門からシステム開発部門まで700名規模で利用を開始しています。各自の業務端末からインターネットに直接接続し、社内システム・アプリケーションとクラウド上のSaaSサービスの双方へセキュアかつ快適にアクセス可能になりました。
今後、今回のドコモ・システムズでのゼロトラスト対応のノウハウを、ドコモ・システムズ、日立、シスコ3社それぞれの立場で生かし、ゼロトラストネットワークの普及に努めることで、企業のDXの実現やニューノーマルな働き方を支援していきます。
