中小企業の「ゼロトラスト」はクラウドで実現できる　低コストで「利便性とセキュリティ」を両立させる方法

テレワークの普及で顕在化した課題

寺園雄記氏：本日の題名のとおり「利便性の両立」も考えないといけませんが、こちらは、テレワークの普及で利便性は向上したものの、ネットワークの課題が顕在化していることを示すスライドです。

左側が、旧来型の境界線防御でテレワークを実施した場合の課題です。いくつかビックリマークで挙げていますが、先ほどから申している脆弱性の部分もしかりですし、ID認証の強度の部分やアクセス権。テレワークでVPN（仮想プライベートネットワーク）に入ったらどこにでも入れてしまい、侵入されたらもう終わってしまう。

あと社内のVPNに入っていない状態で、自宅で業務PCからインターネットアクセスした時にマルウェアに感染する危険性。それを避けるために、業務PCでインターネットアクセスをする際は完全にVPNを通過させる構成をとっているお客さまもいらっしゃいます。そうすると、例えば本社のファイアウォールがボトルネックになって通信の遅延が発生し、Web会議ができずに仕事にならないといった課題などが挙げられると思います。

このネットワークセキュリティに対する課題については、ゼロトラストの考え方を情報システム部でコーディネートするかたちが、中堅・中小企業でゼロトラストを成功させる1つのポイントになるのかなと考えています。

ゼロトラスト環境を構築するサービス「Verona」

ここからは少し、当社が提供するサービス「Verona」についてご紹介差し上げたいと思います。

今お話しした顕在化した課題に対して、Veronaを実装いただくとすべてを払拭したセキュアなゼロトラスト環境を構築できます。

「ネットワークとセキュリティの両立」ということで、こちらのスライドには「プライベートアクセス」と「インターネットアクセス」の2つを書いています。

Veronaでは、VPNを張って「セキュアに社内に入る」、もしくは「クラウドにアクセスする」という環境をご提供しています。

さらに先ほど課題として挙げた、VPNをつないでいない時の端末のセキュリティを保全する仕組みもご提供しています。詳しくは後半でご紹介いたします。

Veronaはフルマネージド型のゼロトラストネットワークとなっていまして、こちらの01番から03番がワンパッケージの中に含まれているのが特徴です。

導入時の初期設定や導入後の追加、設定変更。そして先ほど一番重要と申し上げた運用の部分。

運用の部分について、一つひとつご紹介しますと、アカウントの管理、証明書の発行／停止や、接続ログの記録や保管、そしてファームウェアアップデートなど。セキュリティ対策の運用で必要な部分が、すでにインクルードされています。さらに障害時の対応や不具合時の対処も、スライド上部の「クラウド管理センター」で技術者がお客さまに代わって対応を進めます。

さらに詳しくご紹介しますと、例えば左側の旧来型ですと、セキュリティ設定を行ったあとは、WindowsのPCのように自動でアップデートがかかったりしないので、どうしてもメーカーから適用されるセキュリティパッチを自分でネットワーク機に当てる、もしくは業者さんに当ててもらうという作業が必要で、だいたいここがおろそかになって侵入されてしまいます。

しかしVeronaであれば、先ほどのクラウド管理センターから自動でファームウェアがアップデートされますので、お客さまが意識されなくても、最新のセキュリティ状態でお使いいただくことができます。

「なりすましの侵入」を防ぐ仕組み

また、先ほど「ID／パスワードはすぐに漏洩して（ネットワークに）入られますよ」という話がありましたが、市販の一般的なVPN装置は、誰が認証にくるかわからないのでインターネット上で聞き耳を立てて待っている状態で、なりすましでIDとパスワードを総当りで試して侵入されたという事件も実際に起きています。

Veronaではセンターでの認証がOKにならないと通信できない仕組みになっており、基本的にこの「V-edge」というVPNルーターがポートを全部閉じているので、外からなりすませない仕組みが実装されています。これが「ダイナミックポートコントロール」の機能です。

証明書認証も標準で搭載されており、市販の一般的な機器ですとスライドの③にあたるID／パスワードだけなので、なりすまされて入られる危険性が高いんですが、Veronaでは証明書認証とパスワード認証も組み合わせた多要素認証での接続を標準としています。スライドの①②③の3つの接続フローがこれにあたります。

例えばスライド上部の「CAS-Center」というクラウドセンターに、私が「社内の人間として入っていいですか」という確認をとって、センターがOKであればVPN装置に「今から寺園が入ってくるので、寺園宛だけにポートを開けて待て」という動的な指示が出て、私の端末がVPN装置にトンネルを張って、セキュアな通信が行われると。作業が終わればポートを閉じて、外から侵入されない動きになります。

増減するユーザー情報の「管理の手間」を減らす機能

ID管理を簡単にするAzureAD（ Microsoft Azureのクラウドベースのユーザー管理サービス）との連携の説明スライドもご用意しました。

ユーザーIDの管理は情シスさまの手間になりますが、入退室者の管理をおろそかにしてしまうと、退職した方のIDで不正侵入されてしまうといったリスクもあります。

VeronaではVPN装置のID管理とAzureADのID管理を統一できるので、AzureAD側だけ見ていれば勝手にVeronaにアカウント連携ができるという、シングルサインオンができる仕組みになっています。現在はAzureADのみですが、HENNGE Oneとの連携も近日リリース予定となっています。

さらに、Veronaは細かくアクセス権を設定することで被害を最小化できるようになっています。例えば、スライドでは営業部と開発部を一例で挙げていますが、相互通信できる対象のアクセス制御を設定できます。

なので仮に営業の私が感染すると、どうしても営業部の中は感染が広がる可能性がありますが、開発部まで被害が及ばないというかたちを実現できます。

これ以外にも、こちらのスライドの「経路選択と負荷分散」。通信負荷の集中を解消するための機能です。

いわゆる重要データにはVPNトンネルを張って接続されると思いますが、例えばWeb会議ですとか（Office）365などは、テレワークの自宅のインターネットから飛ばした方が速いし便利なため、この機能を使って業務効率を上げていただけます。

スライド右側にロードバランスとありますが、Veronaは100名規模から5,000〜6,000名規模までさまざまな規模の会社さんに使っていただいており、徐々にスケールアップできる構成にしています。最初から高額な機器を導入いただくのではなく、100人や200人単位で1個1個足していただけます。また同時接続台数が多い時は、負荷分散が自動で行われる機能も搭載しています。

危険なサイトやサーバー情報を蓄積した「脅威インテリジェンス」

こちらは直近リリース予定の機能になりますが、「DNSセキュリティ」と申しまして、VPNを張らない状態の端末のWebアクセスをしっかり保護する機能になります。

当社は独自の脅威インテリジェンスというデータベースを持っておりまして、社内にいても社外・ご自宅にいても、この機能がオンになった状態であれば安全なインターネットアクセスしか許可しません。

本人の覚えがないところで感染していて、知らない間にデータが流されていたといったお話はよく聞きます。多くはC＆Cサーバー（サイバー攻撃者がマルウェアに指令を出したり、盗み出した情報を受け取ったりするためにボットネットワークをコントロールする指令サーバー）をキックして、どこに飛ばされたかわからないようになっています。

ただ、私どもはそういったダークサイトやダークなサーバーの情報を脅威インテリジェンスのデータベースとして持っており、そこへのアクセスを遮断します。ですので、仮に知らない間に感染しても、そこにデータが流れない仕組みを標準でご提供しています。

それ以外にも情シスの管理者さま向けですが、煩雑で大変な証明書管理がWebで簡単に行えるようになっていまして、例えば紛失した方がいらっしゃれば、クラウド上の管理画面ですぐに利用停止にして、社内に入ってこれないかたちにできます。

また初期導入の際、20〜30人規模であれば証明書の開封はそんなに大変ではないと思いますが、3,000人や5,000人の規模ですと証明書を配布するだけでもかなりの手間となります。Veronaには管理画面からメールで一括送信できる機能など、管理者さまの運用負担を大きく軽減する機能も標準で装備しています。

またこちらのスライドのように、誰がいつ入り、何をやったかというログが証跡としてしっかり残る作りにもなっています。

クラウドへの安全なアクセスを求める企業の増加

最近増えているのが、こちらのクラウドアクセスのご契約です。

今まではVPNを張って、外出先から社内の重要なサーバーや基幹システムへのアクセスをご要望されるお客さまが多かったんですが、最近はクラウドシフトで、各種クラウドを利用されるお客さまが増えています。社内に入るというよりは、クラウドの環境にセキュアにアクセスしたいというお客さまに向けたサービスになります。

スライドにある「クラウドゲートウェイ」というものをご用意し、社内をキックせずに一度当社の環境に集約させていただいた上で、お客さまがご契約されているIaaS、SaaSにトンネルを張ったり、グローバルIPで制限をかけてセキュアな状態でアクセスしていただくといった提供方法で、契約数がかなり増えています。

左側の「仮想V-edge方式」は、お客さま独自で持っていらっしゃるクラウド環境にVPN装置のソフトウェアモジュールを搭載していただき、ダイレクトにそちらにつないでいただく方式などで、仮想V-edgeとクラウドゲートウェイはお客さまにご選択いただけます。

Veronaは、基本的にお客さまによる設定投入などは一切ないサービスです。

IPアドレスの情報やホスト名など10〜15項目を申込書に書いていただき、証明書をとって端末にソフトウェアをダウンロードしていただくと、すぐにVPNが使えるようになります。その後のセキュリティや通信状況のメンテナンスは、当社が請け負うので、情シスさまのご負担はないサービスパックになります。

機械を購入してそれ以降のメンテナンスを自社でやる、もしくは外注さんに委託するといった部分のコストを考えると、Veronaはすべてがコミコミのサービスパッケージですので、コスト的にもかなりお安くご提供できるものになっています。

「利便性とセキュリティの両立」で、2,900社超の導入実績

ご紹介が前後しましたが、このVeronaは2,900社を超える導入実績がございまして、セキュリティを意識しながら利便性を上げて、快適に場所を選ばず働きたいというお客さまに採用いただいています。

スライドのように、ご覧になればおわかりいただけるような会社さんや施設さんでご利用いただいていますが、1つ事例で挙げさせていただくのが火災報知器のホーチキさんです。

スライドの事例上は2,000ですが、現在は3,000ライセンスぐらいご利用いただいています。

コロナのタイミングで、「全社員でのテレワークを整備せよ」という経営層からのミッションを受け、スライド左側の情シスの鈴木（智）さまが迅速にテレワーク環境を整備するために、Veronaをご契約いただきました。

先ほどお話しした、申し込みからかなり短納期でサービスリリースできるところと、クライアントの証明書認証やダイナミックポートコントロールなどのセキュリティ機能がご要件に合致して採用いただいております。

最後に「ゼロトラストの実現に向けて『Verona』という選択」というスライドをご用意させていただきました。

セキュリティと利便性も兼ね備えたサービスとして、さらに海外製品ではなく、当社・網屋独自で開発・販売を行う国産のサービスですので、安心してご利用いただけるソリューションになっていると思います。

40分少々お時間いただいたと思いますが、何かみなさまのお役に立てればと考えております。今後ともよろしくお願いいたします。