テレワークでのセキュリティ担保、シャドーIT、退職予定者の情報漏洩リスク…　博報堂プロダクツが語る、ゼロトラスト実現までの道のり

博報堂プロダクツのゼロトラスト施策

白石武氏（以下、白石）：それでは始めさせていただきます。「博報堂プロダクツが語る4,500の端末をプロアクティブに守る　実例解説：ゼロトラスト実現のセキュリティ戦略とは」。本日はこちらの内容で約30分講演をさせていただきます。

特別ゲストに、博報堂プロダクツの杉山さまに来ていただいております。本日はよろしくお願いいたします。まず簡単に自己紹介と会社紹介をお願いできますでしょうか。

杉山祐貴氏（以下、杉山）：よろしくお願いいたします。まず弊社と私の自己紹介を簡単にさせていただきます。会社名は博報堂プロダクツといいまして、広告を主とした総合制作事業会社です。具体的にどのようなことをやっているかは、次のスライドでお話しさせていただければと思います。

こちらが弊社の最近リニューアルしました企業広告です。「こしらえる力で、つくりかえる。」というキーワードで刷新させていただきました。 
弊社は総合制作事業会社の名のとおり、全部で18の事業本部で構成されています。制作領域、プロモーション領域、マーケティング実践領域など、幅広い分野で専門性と実行力のある事業部隊で構成されています。


お客さまの要望をワンストップで、かつ横断的に統合して対応することが強みになります。

私はこの事業本部を支える、いわゆる本社管理部門の情報システム室に勤めています。業務内容はシステムの企画設計、導入から運用・保守を一貫して実践しています。情報セキュリティに関する業務を全般でやっています。



前職はITベンダーでインフラのエンジニアをやっていました。転職して、今の会社でセキュリティエンジニアとして勤務しています。パーソナル情報なんですが、ずっと野球にはまっていて、ちなみに阪神ファンです。

白石：（笑）。ありがとうございます。

Netskopeをどう使っているか

白石：自己紹介の中で「情報セキュリティに関する業務全般」とありましたが、実際どういった環境で、どういった仕事をされているか、具体的に教えていただけますでしょうか。

杉山：弊社のセキュリティ環境を簡単に説明させていただきます。今映っているスライドがNetskopeの簡易的な図にはなるんですが、弊社はNetskopeのプランがCASB（従業員のクラウドサービスの利用を監視、適切なセキュリティ対策を行うソリューション）とSWG（ユーザーが社外ネットワークへのアクセスを安全に行うためのクラウド型プロキシ）を利用するプランになっています。


デバイスはPCだけで約4,500台利用していまして、スマートフォンは2,000台ほど利用しています。計6,000〜7,000台ぐらい利用しているような環境になっています。

白石：多いですね。

杉山：簡単な紹介なんですが、エンドポイントセキュリティとして、クラウドストライクを導入しています。こちらもNetskopeとAPI連携をしている設定になっています。


白石：質問してもいいですか？　SaaSの箱の中にYouTube、Instagram、Pinterestと記載されておりますが、これは実際に御社の社員がどういった業務をされているんですか？

杉山：弊社はかなりSaaSを活用しているんですが、業界特有なところがあります。普通の会社だと、SNSが禁止されているものが多いと思うんですけど、逆に弊社はSNSも業務で活用するので、基本的に許可しています。

例えばデザインの参考資料などでYouTubeを利用しているので、かなり多く使っていますね。InstagramやPinterestもデザインの参考資料で確認したりします。

白石：なるほど、ありがとうございます。

杉山：Netskopeを入れるまではあまり実態が把握できなかったんです。YouTubeも「まあ使っているんだろうな」という、具体的に何人ぐらい使っているかはあまりわからなかったんですけれども。

それがNetskopeを入れてからわかってきまして、Office365も普通に使うと思うんですけど、それぐらいYouTubeも使っていることがわかりました。

白石：そうなんですね、さすが制作会社と言いますか。

杉山：そうですね、弊社特有なのかなと思います。

博報堂プロダクツが抱えていたセキュリティ課題

杉山：弊社が抱えていた問題、課題を紹介させていただきます。いろいろ細かい問題や大きな問題もあったんですが、だいたいほかの企業もあるあるなのかなというところで、3つご紹介させていただきます。


1つ目が「テレワーク普及によるセキュリティの担保が難しい」。2つ目が「SaaSの利用が増えることによるシャドーIT」の問題。3つ目が「退職者・退職予定者によるデータの持ち出し」の問題でした。

これをどう解決したかを、次のスライドからご説明させていただきます。


まずテレワークの普及なんですが、弊社もコロナ禍に入って在宅勤務が増えまして、テレワークの環境に移り変わりました。そこでセキュリティの懸念ももちろんありました。

家庭のネットワークだとセキュリティのばらつきがどうしてもありまして、エンドポイントセキュリティだけではセキュリティの担保が難しいのかなと考えていました。

そこでNetskopeを導入してゼロトラストセキュリティを実現して、セキュリティの多層化と、ネットワークの制御も可能になりました。裏話ではあるんですが、導入に関しては、経営層への説明も大変でしたね。

白石：どうやって経営層に説明／説得されたんですか。

杉山：説明するのには自分もわかっていなきゃいけません。セキュリティの業界はいろいろ技術が進歩していくので、外に出て情報収集をしなければいけない。

なので、こういったイベントやセミナーに参加して、自分がまず説明できる土台を作るところから、そこで初めてやっと経営層にもわかってもらえる説明ができるようになると思います。

特に社長と話した時は、ビルの警備に例えて説明しましたね（笑）。例えば仮に社員証を誰かが外で落として、知らない人が拾って入ってきても、それを警備員の人はわからない。中に入ってしまえば危ないのが、境界型防御だとお話ししましたね。

白石：わかりやすいですね。ありがとうございます、勉強になりました（笑）。

杉山：ありがとうございます（笑）。結果的に経営層にもゼロトラストセキュリティの考え方を説明して理解を得て、費用対効果も出ていることは認知していただいています。

Netskope導入で可視化されたこと

杉山：続いてSaaSの利用によるシャドーITの問題もあるあるです。弊社でも、利用しているSaaSをどうしても把握することが難しかったです。


先ほどのスライドでも言ったとおり、総合制作事業会社としてさまざまな業務をしていますので、いろいろな幅広いところでSaaSを利用しています。

そして、SaaSを利用するにあたってセキュリティももちろんなんですが、データの保護であったりプライバシーに関する管理など、コンプライアンス的なリスクがないようにしなければいけませんでした。

こういったところが把握できていないのは、シャドーITになってしまいますので、企業に対してリスクもかなり大きいと考えます。

Netskopeを導入したことで、SaaSの利用状況が可視化されました。しかし、最初に見つかったリスクにすぐ対応しようとすると、一時的な対策に終わってしまう可能性があります。

弊社は半年間はまず情報収集として、特に縛るような設定はしませんでした。そこから見えてきたところで、まずは何がリスクなのかを話し合って、情報漏洩がリスクとして一番大きいと考えました。

そこで、クラウドストレージなどの情報漏洩の恐れがあるサービスからまず制限をしました。カテゴリーブロックですね。どうしても利用する場合はまず申請制にすることで対策をとりました。

ほかにはセキュリティリスクがあるようなサイトですね。CCI（Cloud Confidence Index:客観的な基準に基づいてクラウドサービスを評価し、セキュリティリスクの指標となる総合的なスコアを付与するNetskopeの機能の1つ）でスコアが低いサイト、怪しいサイトをブロックして、セキュアな環境作りを進めました。

弊社はコンプライアンス部門がSaaSの利用許可を出しているんですが、そこのコンプライアンス部門にCCIの情報を提供して、利用判断してもらう感じで利用してもらいました。

CCIだと企業が持っているISMSや認証情報も記載しています。そこがコンプライアンス部門が一番気になるところなので利用しています。

白石：これはコンプライアンス部門的にはうれしい話というか。

杉山：そうですね、大変助かっています。

情報漏洩リスクにどう対処したか

杉山：3つ目もあるあるなのかなと思います。昨今退職者もしくは退職予定者によるデータの持ち出しが問題になっていると思います。


こういう内部不正にもゼロトラストセキュリティは有効かなと考えます。弊社では、情報漏洩のリスクがあるクラウドストレージに制限をかけ、さらに個人アカウントのログインを制限しています。

それでも持ち出そうとする人は一定数いるので、そういったものに対して……一番よくあるのが、個人アカウントでの持ち出しですので、個人アカウントのログインをまず制限しました。

ほかにもやっていることとしては、Netskopeの行動分析ですね。Behavior Analyticsからデータのアップロード状況やエラーなどを常に情報システム室でチェックし、必要に応じて各部署と連携して確認していただく対応をしています。

白石：データの持ち出しは、データの一括ダウンロードなどで判別されてたんですね。

杉山：そうですね。本来はDLP（Data Loss Prevention:機密情報や重要データを自動的に特定し、データを常に監視・保護する機能）などを使って引っかけることはできると思います。

DLP上ではどうしても見えないものがあるかもしれないので、そこに関してはもう、各部署の方に実際にデータを見てもらって、自社の資産なのかどうかを確認する必要があるかと思います。

白石：なるほど。ありがとうございます。

杉山：まとめになるんですが、これらの課題は、ほかの企業でもあるあるなのかなと思います。SaaSの製品を導入することで対応が可能なのかなと考えます。

VPN接続との兼ね合いはどうなっているか？

杉山：最後に今後の展望を軽く紹介させていただければと思います。本当に簡単ではありますが、ご紹介させていただきます。

弊社は実はNetskopeを入れてまだ2年目で（笑）、ゼロトラストセキュリティも道半ばです。なので「直近でこんな感じで目指しているよ」の絵になります。

まず1つ目がZTNA（Zero Trust Network Access:「何も信頼しない」というゼロトラストに基づいたネットワークセキュリティの考え方）を導入して、DC（データセンター）などにあるオンプレミスの環境に、セキュアなアクセス環境を作りたいと思っています。

ほかにも自社開発しているプライベートアプリもありますので、そこへのアクセスもセキュアにしたいと考えています。

もう1つが、IDaaSの導入でアイデンティティの保護を進めていきたいと考えています。特に昨今はランサムウェアへの対策が求められているという背景もありますので、こちらも進めていきたいなと考えています。

白石：ご説明いただきありがとうございます。御社はSaaS利用が多いのではないかと認識しております。弊社として、最近よくお客さまから「脱VPNを進めたい」というお声をお聞きするのですが、御社はどれぐらいVPNを使われているんですか？

杉山：弊社では現在もVPNを使用していますが、SaaSへの移行が進んでいます。一部のオンプレミス環境への接続が必要なため、VPNを残しています。

最近では回線の帯域幅やVPNのセキュリティが課題となっているため、ZTNAへの切り替えも検討しながら、よりセキュアで安定したアクセス環境を構築したいと考えています。

白石：ご説明いただきありがとうございます。それではこれより弊社のプラットフォームについて、追加で補足説明させていただきます。VTRをご覧ください、それではどうぞ。

（動画再生）

Netskopeは異常をどう検知するか

片岡大一氏（以下、片岡）：UEBAはユーザーの振る舞い検知のことです。振る舞いの分析によってユーザーのリスクスコアを定義します。怪しい動作を繰り返すと、どうしても信頼性のスコアが下がります。それがなくなってくれば回復し、ユーザーのスコアリングを可視化します。

このリスクスコアに応じてポリシーの制御もできますので、例えば退職を決意された、もしくは退職される予定のユーザーさんが、なにかしらファイルの大量のダウンロードを始めた場合。

どこかのSaaSに対して、ファイルのアップロードが普段よりも非常に多いところを異常な行動として検知をして、リスクスコアに分類して、それに対してポリシー制御をかけていくことも簡単にできるようになっています。

ここが見えることによって、なにかしらの予防や抑制につながるような気づきを得られることも多いと思います。

クラウドサービスなどに対しての脅威対策としては、マルウェア検知だけではなくてDNSのセキュリティですね。

DNSのクエリに対してフィッシングやカテゴリーでのフィルタリングもできます。IPSみたいな機能を使って、既知の脆弱性のパターンにマッチする通信をブロックできる機能も提供しています。

こういった使い方のいずれか、もしくは複数の課題に対してアプローチをする意味で、SWG・CASBの機能からNetskopeを使うケースも多くあります。

より柔軟に対処できる「ZTNA Next」

片岡：次にSWGより、まずは今のリモートアクセス環境を更新するにあたってゼロトラスト化して、ZTNA（ゼロトラストネットワークアクセス）を導入するパターンを考えてみます。こういったところからでも使っていただけるのが、Netskopeの非常に柔軟なところです。

既存のSSL-VPNのシステムの更改や「ゼロトラスト化したい」「VPN設備の攻撃表面を減らしたい」「脆弱性対応などでどうしてもメンテナンスの運用負荷が高いので、クラウド型にしたい」といった課題感から検討されるパターンも大きく増えています。

その場合にどういったものを提供できるのか。弊社で言うと「ZTNA Next」というソリューションを展開しています。いわゆるZTNAとSD-WAN（Software Defined Wide Area Network:ソフトウェアによって仮想的なネットワークを作る技術・コンセプトの総称）の機能をワンストップというか、シングルクライアントで同じプラットフォームから提供できるようになっています。

こうすると何がうれしいのかというと、どうしても既存のリモートアクセスの中でサーバー発信系の通信や、音声系やビデオ会議みたいなもので、ZTNAに対応できないアプリケーションが少なからず残っています。

そのためだけに「多くはZTNAにしたんだけど、VPNは残さなきゃいけない」といったことを、課題として聞くケースもよくあります。

そういった使い方を含めて弊社のものでは、ZTNAにできるものはZTNAで。そうでないサーバー発信系についてはSD-WANのテクノロジーを使って収容することによって、1つのソリューションですべての利用方法をカバーすることが簡単にできるようになっています。

まずは既存のリモートアクセスの更改のスコープだけでNetskopeを使って、その次にSWGや、別のセキュリティに対応することも簡単にできるようになっております。

導入パターンとしてWANの最適化も目立つ

片岡：最近の導入形態というか導入のパターンとしては、WAN（Wide Area Network:広域通信網）の最適化という課題に対して検討を進めていただくケースも増えてきています。具体的にどういったものかというと、例えば既存のWANの縮小やコスト最適化です。

例えばクラウド化が進んできて、今までWANですべての拠点を閉域でつないだ上でデータセンターにつなぎ込んでいたものを、ローカルブレイクアウトなりクラウドのリソースが増えてくることによって「WANの帯域はそこまで必要ないよね」というところで見直しがかかるパターンですね。

IoTなどの非ユーザーデバイスのセキュリティと可視化制御を求めるために、ただネットワークをつなぐだけというWANではなくて、そこにセキュリティ要素を取り入れたいパターンもあります。

弊社はBorderless SD-WANというソリューションを展開しています。純粋なSD-WANについても弊社で提供できるようになっています。そうするとSD-WANなのでわかりやすいパターンもあるかと思うんですけど、いわゆる拠点間をつなぐようなネットワークはただつなぐだけではありません。

そこからSSE、CASB、ZTNA、SWGなどのクラウドに対して、オンランプで直接SD-WANからクラウドにトンネルを張ってセキュリティをかけることも簡単にできますし、そこの通信の可視化もできるようになっています。

弊社がおもしろいのは、リモートアクセスの更新でもお話ししたんですけれども、拠点間だけのSD-WANではなくて、エンドポイントからSD-WANの網に直接接続を張るような構成もとることができます。このあたりの見直しは非常に柔軟にできます。

Netskopeは幅広くゼロトラスト実現ができる

片岡：こういった異なる課題に対してどういったソリューションが提供できるのかという観点で、Netskopeについては非常に幅広いアプローチを持たせることができます。

その一番大きな特徴としてはNetskope Oneというかたちで、「One エンジン」「One クライアント」「One ネットワーク」「One ゲートウェイ」で、すべて共通のプラットフォームの中で異なるサービスをそれぞれ適切に提供ができています。

クライアント側についても1つのエージェントで異なるサービスに対して、シームレスに機能を提供できます。

こうすると何がうれしいのかというと、運用としては1つのソリューションもしくは1つのコンソールを管理するだけで、SWGでもZTNAでもSD-WANでも、どういう状況なのかを簡単に可視化・把握することができます。

ユーザー側の目線に立っても、常にNetskopeのクライアントだけが上がっていれば、いつでもどこからでも同じサービスに対して、シームレスにアクセスできるところが非常に強みになります。

なので結果的に、生産性の向上や運用コストの削減などをシンプルにすることによって、リスクの軽減に寄与すると言えるかと思います。

というところで、クラウドセキュリティで導入を検討するにあたって、いろいろな視点から検討することがあるかと思います。Netskopeではお手伝いすることができると思います。何か気になるところや「もう少しこのへん聞きたいことがある」というものがあれば、ぜひ弊社のWebサイトや、お問い合わせをいただければと思います。

（動画終了）

白石：以上をもちまして、講演を終了とさせていただきます。ご清聴いただきありがとうございます。

杉山：ありがとうございました。