ドコモ・システムズのゼロトラスト対応「次世代テレワーク基盤」をドコモ・システムズ、日立、シスコが構築
DX/IoT/AI 無料テレワーク環境の安全性と利便性を両立し、コミュニケーションの活性化や生産性の向上を支援
ドコモ・システムズ、日立製作所(以下、日立)、シスコシステムズ (以下、シスコ)は8月26日、ドコモ・システムズのDXプロジェクトの一環として、セキュアで快適なテレワーク環境を整備するため、ゼロトラストネットワーク技術を活用した「次世代テレワーク基盤」を構築したと発表した。
ゼロトラストネットワークは、アクセス情報をすべて信頼せず(ゼロトラスト)、あらゆる端末や通信のログを取得し、都度認証を行うもので、クラウドシフトが進むDX時代に即したセキュリティモデル。
今回の取り組みでは、日立グループのゼロトラストネットワークの導入ノウハウとシスコとの強固なパートナーシップを生かし、先行導入を進めていたMicrosoft 365とシスコのゼロトラスト関連サービスを適材適所に組み合わせ、テレワーク環境の安全性と利便性の両立を実現したという。
2021年7月より、ドコモ・システムズにて、管理部門からシステム開発部門まで700名規模で利用を開始しており、各自の業務端末からインターネットに直接接続し、社内システム・アプリケーションとクラウド上のSaaSの双方へセキュアかつ快適にアクセスすることが可能になった。これにより、今後さらなるコミュニケーションの活性化や生産性の向上が期待されている。
背景
現在、新型コロナウイルスの感染拡大を契機に、多くの企業がニューノーマルな働き方を検討・導入し始めており、テレワークが急速に拡大する中で、コミュニケーション面・セキュリティ面の課題が顕在化し、安全性と利便性を両立する新たなネットワーク環境が求められている。
これまでのテレワーク環境は、社内と社外のネットワークを分離する「境界型セキュリティ」に基づいて構築されており、社内システムをオンプレミス環境で稼働させ、VDIを用いて外部からのアクセスを許可する形で実現していた。この方式では、すべての通信が社内システムを経由するため、テレワークが増加するほどにネットワーク帯域が逼迫し、通信の遅延や切断といった利便性の低下の要因となる。そこで、社内と社外のネットワークの境界を設けず、クラウド側とエンドポイントとなる端末側で、常にすべてのアクセスを監視し、認証・認可を行うゼロトラストネットワークがDX時代に即したセキュリティモデルとして注目されている。
ゼロトラストネットワークには、大きく「認証」「アクセス制御」「デバイス保護・管理」のプロセスがあり、数多くの関連商材を適切に組み合わせて、設計・構築することが必要だ。今回は、その中でも、ユーザの利便性を損なうことなく、強固なアカウント管理や高度なセキュリティサービスを容易に実現することをポイントに、ゼロトラストの概念に基づく「次世代テレワーク基盤」を構築したという。
次世代テレワーク基盤の特長
アカウント管理・認証
アカウント管理・認証を行うAzure Active Directoryと、多要素認証が可能なCisco Secure Access by Duoを組み合わせ、ID管理と多要素認証の管理を分けた上で連携して取り入れることで、強固な認証環境を提供する。アカウントの振る舞いからリスクを検知した場合、早急にアカウントを凍結し、不正なアクセスを防ぐ。
また、異なるベンダ間のシングルサインオン連携により、ユーザは1回認証を行えば、自社システムやMicrosoft 365など必要な業務アプリケーションにシームレスにアクセスすることが可能だ。
インターネットアクセス制御と社内システム・アプリケーションへのアクセス制御
危険サイトや利用禁止サイトへのアクセスを防ぐセキュアインターネットゲートウェイ(SIG)であるCisco Umbrellaを導入することで、全通信を対象に高度なセキュリティを確保している。例えば、クラウド上に配置したドメインネームシステム(DNS)でドメインやIPアドレスを確認し、危険と判断されるアクセスをブロックする。
また、Cisco Umbrellaはセキュアウェブゲートウェイ(SWG)としても機能し、クラウドアプリケーション制御機能(CASB)により、利用状況を可視化し、社員が勝手に使用するリスクの高いアプリケーション(シャドーIT)を個別にブロックするなどの高度なセキュリティサービスを容易に導入することができる。
これらにより、柔軟性の高いインターネットアクセスを実現している。さらに、Cisco Secure Access by Duo により、アカウント認証後も、OSのサポート切れなどデバイスの状態や、アクセス場所およびデバイスとネットワークとの整合性などのセキュリティポリシーをチェックし、問題があった場合は、社内システム・アプリケーションへのアクセスをブロックすることが可能だ。
デバイス保護・管理
エンドポイントとなる端末の監視の強化として、Microsoft IntuneとMicrosoft Defender for Endpointを導入することで、ログ情報を常時取得・分析処理し、サイバー攻撃のマルウェアやウイルスをリアルタイムに検知、管理者に迅速な通知を行う。
また、Azure Information Protectionにより、端末に保存されている機密データを保護することができ、万一の端末紛失やウイルス感染にも対応することが可能だ。
三社は「今後、今回のドコモ・システムズでのゼロトラスト対応のノウハウを、ドコモ・システムズ、日立、シスコのそれぞれの立場で生かし、ゼロトラストネットワークの普及に努めることで、企業のDXの実現やニューノーマルな働き方を支援していく」との考えを示している。