クラウドプロキシとCASBによって利用状況を可視化
従業員を締め付けるのではなく、活用促進の基盤としてSkyhigh SSEを活かすエクシオグループ
関連サービス/製品:Skyhigh Security Service Edge (SSE)
デジタル時代を支える通信ネットワークの敷設やメンテナンスを担うエクシオグループでは、スマートデバイスを活用した新しい働き方を実践する上で、SSL-VPNや回線のボトルネックを解消しつつ、端末やクラウドサービスの利用状況をいかに把握するかが課題となっていた。トラフィックを可視化し、ガバナンスの効いた形でクラウドサービスを活用するための手段として選択したのがSkyhigh Security Service Edge(SSE)だ。
活用場面の増えるスマートデバイス、いかにガバナンスを効かせるかが課題に
主要な通信キャリアのパートナーとして、デジタル時代に不可欠な通信ネットワークの敷設やメンテナンスを担ってきたエクシオグループ。
近年は5Gをはじめとする次世代通信の普及を支え、新型コロナウイルスを機にいっそう高まったテレワーク需要を満たすため、首都圏はもちろん全国各地で事業を展開している。
文字通りデジタル社会の基盤である通信インフラをさらに支える存在として、エクシオグループはその時々のトレンドを踏まえながらセキュリティ対策に取り組んできた。まず端末の保護とセキュリティゲートウェイによる境界セキュリティの整備や従業員教育といったベースラインを整備していったが、事業のデジタル化と高度化する脅威を前に、いっそうの対策が必要であると判断した。
具体的には、デジタルトランスフォーメーション戦略部の中に情報セキュリティ室を設け、全社的なルールの見直しを進めるとともに、セキュリティインシデントの対応に当たる「EXIO-SIRT」のほか、日々のセキュリティ監視を担うSOCといった組織を整備してきた。
それらを具現化する技術的な対策についても強化を進めている。
コロナ禍でリモートワークが普及する前から、エクシオグループでは徐々にリモートワークが広がりつつあった。「かつて、業務用端末は社内だけで活用していました。しかしこの10年でスマートデバイスの活用が広がり、しかも社外に持ち出して使用する機会が非常に増えてきました」(エクシオグループDX戦略部担当課長セキュリティイノベーション担当兼情報セキュリティ室 高馬大輔氏)。
持ち出しPCについてはSSL-VPNでデータセンターのゲートウェイを経由し、UTMなどの機器でチェックを経た上でクラウドサービスに接続するルールとし、セキュリティを担保していた。問題は、リモートワークが広がるにつれてSSL-VPN装置や回線の負荷が高まり、ボトルネックが顕在化したことだ。そもそも折り返し通信が発生するネットワーク構成となっており、非効率であるという課題もあった。
オフィスで端末を利用する場合ならばPCの種類も管理できる上に、ゲートウェイ部分で集中的に監視し、社内ルールを徹底できる。だが、社外に持ち出され、さまざまな環境で使われるPCや多様なスマートデバイスを相手にルールを徹底するのは難しく、マルウェア感染などのリスクにどう対処するかが課題となっていた。スマートデバイスについては事業部や部署ごとに導入していたこともあり端末は多様で、iPadもあればAndroidもあり、OSのバージョンもまちまちといった具合だ。この環境で、どのようなデバイスでどんなサービスをどう活用しているかといったトレーサビリティを確保するのは難しく、本意ではないが業務を制限せざるを得ない状況だった。
近年は5Gをはじめとする次世代通信の普及を支え、新型コロナウイルスを機にいっそう高まったテレワーク需要を満たすため、首都圏はもちろん全国各地で事業を展開している。
文字通りデジタル社会の基盤である通信インフラをさらに支える存在として、エクシオグループはその時々のトレンドを踏まえながらセキュリティ対策に取り組んできた。まず端末の保護とセキュリティゲートウェイによる境界セキュリティの整備や従業員教育といったベースラインを整備していったが、事業のデジタル化と高度化する脅威を前に、いっそうの対策が必要であると判断した。
具体的には、デジタルトランスフォーメーション戦略部の中に情報セキュリティ室を設け、全社的なルールの見直しを進めるとともに、セキュリティインシデントの対応に当たる「EXIO-SIRT」のほか、日々のセキュリティ監視を担うSOCといった組織を整備してきた。
それらを具現化する技術的な対策についても強化を進めている。
コロナ禍でリモートワークが普及する前から、エクシオグループでは徐々にリモートワークが広がりつつあった。「かつて、業務用端末は社内だけで活用していました。しかしこの10年でスマートデバイスの活用が広がり、しかも社外に持ち出して使用する機会が非常に増えてきました」(エクシオグループDX戦略部担当課長セキュリティイノベーション担当兼情報セキュリティ室 高馬大輔氏)。
持ち出しPCについてはSSL-VPNでデータセンターのゲートウェイを経由し、UTMなどの機器でチェックを経た上でクラウドサービスに接続するルールとし、セキュリティを担保していた。問題は、リモートワークが広がるにつれてSSL-VPN装置や回線の負荷が高まり、ボトルネックが顕在化したことだ。そもそも折り返し通信が発生するネットワーク構成となっており、非効率であるという課題もあった。
オフィスで端末を利用する場合ならばPCの種類も管理できる上に、ゲートウェイ部分で集中的に監視し、社内ルールを徹底できる。だが、社外に持ち出され、さまざまな環境で使われるPCや多様なスマートデバイスを相手にルールを徹底するのは難しく、マルウェア感染などのリスクにどう対処するかが課題となっていた。スマートデバイスについては事業部や部署ごとに導入していたこともあり端末は多様で、iPadもあればAndroidもあり、OSのバージョンもまちまちといった具合だ。この環境で、どのようなデバイスでどんなサービスをどう活用しているかといったトレーサビリティを確保するのは難しく、本意ではないが業務を制限せざるを得ない状況だった。
締め付けるためではなく、スマートデバイス活用促進のためにCASBで可視化を実現
こうした背景からエクシオグループは新たなセキュリティ対策のあり方を検討し、ゼロトラストセキュリティの構成要素でもあるクラウドプロキシとCASBを導入し、通信状況を可視化する方針を決めた。同時にMobile ThreatDefenseおよびEDRソリューションも取り入れ、持ち出しPCやスマートデバイスの脅威対策を強化することとした。
決定の背景には、単に締め付けを厳しくするのではなく、安心・安全にスマートデバイスを活用できる環境を整えることで業務を活性化、効率化したいという思いがあったという。
「社内環境か、在宅環境かにかかわらず、どこでもスムーズに業務ができるようにし、PCだけでなくスマートデバイスの業務利用も促進したいと考えていました。それらの利用状況を可視化することによって、Webアクセスに関するさまざまな制限自体も緩和できるのではないかという期待がありました」(高馬氏)
各事業部門でどのようなスマートデバイスを利用しているかを把握し、SSL通信も含めどんなサービスがどのように使われているかを把握するためのソリューションとして選んだのが、Skyhigh Securityの「Skyhigh Security Service Edge」(SSE)だった。旧マカフィー時代からの信頼感に加え、「CASB機能が充実し、きめ細かく制御できることと、今後、どのようなスマートデバイスOSに対応していくかのロードマップが明確だったことが決め手でした」(高馬氏)
同時に、各端末やスマートデバイスを保護するため、同じく旧マカフィーのソリューションを引き継いだ「Trellix EDR」の導入も決定した。双方を組み合わせることで、コストも低く抑えられるという利点も得られた。
決定の背景には、単に締め付けを厳しくするのではなく、安心・安全にスマートデバイスを活用できる環境を整えることで業務を活性化、効率化したいという思いがあったという。
「社内環境か、在宅環境かにかかわらず、どこでもスムーズに業務ができるようにし、PCだけでなくスマートデバイスの業務利用も促進したいと考えていました。それらの利用状況を可視化することによって、Webアクセスに関するさまざまな制限自体も緩和できるのではないかという期待がありました」(高馬氏)
各事業部門でどのようなスマートデバイスを利用しているかを把握し、SSL通信も含めどんなサービスがどのように使われているかを把握するためのソリューションとして選んだのが、Skyhigh Securityの「Skyhigh Security Service Edge」(SSE)だった。旧マカフィー時代からの信頼感に加え、「CASB機能が充実し、きめ細かく制御できることと、今後、どのようなスマートデバイスOSに対応していくかのロードマップが明確だったことが決め手でした」(高馬氏)
同時に、各端末やスマートデバイスを保護するため、同じく旧マカフィーのソリューションを引き継いだ「Trellix EDR」の導入も決定した。双方を組み合わせることで、コストも低く抑えられるという利点も得られた。
Skyhigh SSE導入によって利用状況の可視化とルールの整備を両輪で推進
Skyhigh SSEの導入によってエクシオグループでは、以前からの懸念だった通信の可視化が実現でき、誰がどんなクラウドサービスをどのように利用しているかをより高い解像度で把握できるようになった。インシデントにつながりそうな事象があっても早期に捉え、トレーサビリティを確保するとともに、クラウドサービス利用時のルールの整理が進んでいる。
「以前は、部署や担当者ごとにお客様が指定されたクラウドストレージサービスを使うケースが多く、一元管理できていませんでした。さらに、端末側でのアカウント管理も徹底しているとはいえない状況で、情報漏洩のリスクがないとはいえませんでしたが、Skyhigh SSEで見える化することで状況がわかるようになりました」(高馬氏)
一例としてエクシオグループでは社内共通情報共有サービスとして「Box」を正式に採用し、特段の事情がない限り、社内や顧客とのやりとりに活用している。それも無償で利用できる個人アカウントではなく、社内のアカウント基盤と連携させることで、誰がどのように利用しているかを把握し、ポリシーに沿って統制の効いた形で運用できている。同時に、新たなクラウドサービスの利用を希望する場合はDX委員会に申請し、許可されたテナントについてのみアクセスを許すルールを定めた。
一方、許可外のクラウドサービスへのアクセスが発生している、いわゆるシャドーITが存在することも把握でき、これもCASBならではの効果だと評価している。
この事実をふまえ、今後どのように効果的に制御していくべきかを検討している段階だ。Skyhigh SSEが提供するリスク値も参考として示すことで、「なぜこのサービスは使っていけないのか」ということに根拠をもって説明できるようになったのも大きなアドバンテージだという。
「在宅勤務環境では、従業員がそれぞれどういったサイトにアクセスしているかがわからない状況でした。しかしSkyhigh SSEのクラウドプロキシを経由し、CASBでクラウドサービスの利用状況を可視化することによって、利用者がどういったところにアクセスしているかが把握でき、危険な通信に関しては即応できるようになったことが最も大きな効果です」(高馬氏)。Skyhigh SSEから得られる情報はGUI上で確認するほか、レポートとしてまとめ、経営層も含めた週次の定例会で共有し、どのようにDXとセキュリティを両立させていくかを検討している。
内と外を分ける境界型セキュリティモデルは直感的に理解しやすいが、Skyhigh SSEが実現するゼロトラストセキュリティというコンセプトはしばしば「わかりにくい」と言われがちだ。だが今回の導入では、「ベンダーさんとも、定期的なミーティングを開催することにより、『どのようなタスクをこなさなければならないか』についての理解を深めながら導入を進めることができ、助かりました」(高馬氏)という。
「以前は、部署や担当者ごとにお客様が指定されたクラウドストレージサービスを使うケースが多く、一元管理できていませんでした。さらに、端末側でのアカウント管理も徹底しているとはいえない状況で、情報漏洩のリスクがないとはいえませんでしたが、Skyhigh SSEで見える化することで状況がわかるようになりました」(高馬氏)
一例としてエクシオグループでは社内共通情報共有サービスとして「Box」を正式に採用し、特段の事情がない限り、社内や顧客とのやりとりに活用している。それも無償で利用できる個人アカウントではなく、社内のアカウント基盤と連携させることで、誰がどのように利用しているかを把握し、ポリシーに沿って統制の効いた形で運用できている。同時に、新たなクラウドサービスの利用を希望する場合はDX委員会に申請し、許可されたテナントについてのみアクセスを許すルールを定めた。
一方、許可外のクラウドサービスへのアクセスが発生している、いわゆるシャドーITが存在することも把握でき、これもCASBならではの効果だと評価している。
この事実をふまえ、今後どのように効果的に制御していくべきかを検討している段階だ。Skyhigh SSEが提供するリスク値も参考として示すことで、「なぜこのサービスは使っていけないのか」ということに根拠をもって説明できるようになったのも大きなアドバンテージだという。
「在宅勤務環境では、従業員がそれぞれどういったサイトにアクセスしているかがわからない状況でした。しかしSkyhigh SSEのクラウドプロキシを経由し、CASBでクラウドサービスの利用状況を可視化することによって、利用者がどういったところにアクセスしているかが把握でき、危険な通信に関しては即応できるようになったことが最も大きな効果です」(高馬氏)。Skyhigh SSEから得られる情報はGUI上で確認するほか、レポートとしてまとめ、経営層も含めた週次の定例会で共有し、どのようにDXとセキュリティを両立させていくかを検討している。
内と外を分ける境界型セキュリティモデルは直感的に理解しやすいが、Skyhigh SSEが実現するゼロトラストセキュリティというコンセプトはしばしば「わかりにくい」と言われがちだ。だが今回の導入では、「ベンダーさんとも、定期的なミーティングを開催することにより、『どのようなタスクをこなさなければならないか』についての理解を深めながら導入を進めることができ、助かりました」(高馬氏)という。
脅威情報も組み合わせ、よりリアルタイムな特定・対処も視野に
エクシオグループは今後、PCだけでなくモバイルデバイスについてもEDRの導入を進めていく。
そして次のステップとして、インフラアーキテクチャ全体の再検討とともにXDRの導入にも取り組んでいく計画だ。「利用者の行動がかなり見えてきましたが、まだ足りていない部分もあります。データレイクから得られるIoCなどの脅威インテリジェンスやOSINT情報も組み合わせ、世の中で起きている事例にマッチした形で、よりリアルタイムに脅威を検出し、利用者を特定して、早期の対策を行っていける体制を整えていきたいと考えています」(高馬氏)
ユーザーとしてSkyhigh SSEを活用するだけでなく、セキュリティソリューションの中に組み込んで提供していくことも検討している。エクシオグループはインフラ構築だけでなくさまざまなソリューションを展開しており、中でもセキュリティはニーズの高い領域だ。「自社で導入した経験を踏まえ、レイヤ1から上位レイヤまで幅広いニーズに対応し、時代の流れを取り入れながら提供していきたいと考えています」(エクシオグループ ソリューション事業本部デジタルコンサルティング本部課長代理 井出正敏氏)
そして次のステップとして、インフラアーキテクチャ全体の再検討とともにXDRの導入にも取り組んでいく計画だ。「利用者の行動がかなり見えてきましたが、まだ足りていない部分もあります。データレイクから得られるIoCなどの脅威インテリジェンスやOSINT情報も組み合わせ、世の中で起きている事例にマッチした形で、よりリアルタイムに脅威を検出し、利用者を特定して、早期の対策を行っていける体制を整えていきたいと考えています」(高馬氏)
ユーザーとしてSkyhigh SSEを活用するだけでなく、セキュリティソリューションの中に組み込んで提供していくことも検討している。エクシオグループはインフラ構築だけでなくさまざまなソリューションを展開しており、中でもセキュリティはニーズの高い領域だ。「自社で導入した経験を踏まえ、レイヤ1から上位レイヤまで幅広いニーズに対応し、時代の流れを取り入れながら提供していきたいと考えています」(エクシオグループ ソリューション事業本部デジタルコンサルティング本部課長代理 井出正敏氏)
Skyhighリスク判定
エクシオグループ社内 構成概要 (Skyhigh SSE導入前と後)
エクシオグループ株式会社
会社名:エクシオグループ株式会社
業種:通信・インフラ
本社所在地:東京都渋谷区渋谷3-29-20
創立:1954年5月17日
従業員数:連結15,847名/単独4,194名(2022年3月31日現在)
お客様担当者
エクシオグループ株式会社
DX戦略部
担当課長
セキュリティイノベーション担当 兼 情報セキュリティ室
高馬 大輔 氏
エクシオグループ株式会社
ソリューション事業本部
デジタルコンサルティング本部
課長代理
井出 正敏 氏
関連製品
Skyhigh Security Service Edge (SSE)
クラウドシフト、インターネットブレイクアウト、モバイルワークフォースが進み、これまで以上に多くのデータがクラウドでもやり取りされます。データ保護のため、企業は自社のセキュリティをクラウドにまで広げ、デバイスからクラウドまで一貫したデータ保護の手法が必要となります。
3つのテクノロジー(CASB / SWG / DLP)を1つに統合したSkyhigh Security Service Edge (SSE) は統一されたインシデント管理とワークフローを実現します。
3つのテクノロジー(CASB / SWG / DLP)を1つに統合したSkyhigh Security Service Edge (SSE) は統一されたインシデント管理とワークフローを実現します。
本件についてお問い合わせ
テクマトリックス株式会社
東京本社
ネットワークセキュリティ事業部
第3営業部
セキュリティプロダクツ営業1課
03-4405-7814
メールでのお問い合わせ / mfe-info@techmatrix.co.jp
CONTACT
ITインフラに関してお悩みの方は
お気軽にご相談ください
ご不明な点はお気軽に
お問い合わせください。
お問い合わせください。
ITインフラに関するお役立ち資料は
こちらよりダウンロードできます。
こちらよりダウンロードできます。
