接続元のネットワークやデバイスを問わず常にアクセスを精査し、適切に認証・認可をするセキュリティーモデル「ゼロトラストアーキテクチャー(ゼロトラスト)」が注目を集める。
コロナ禍でテレワークが普及し、社外からインターネット経由でクラウドサービスに直接アクセスする企業が続出した。それに伴い、ファイアウオールで社内外のネットワークを区切り、社内は安全なものとみなす「境界型セキュリティー」ではデータを守り切れないケースが増え、ゼロトラストの注目度はさらに高まっている。
だが何か1つ製品を導入すればよいというものではない。既存の技術で完全なゼロトラストを実現するのは困難ともいわれ、雲をつかむような話に苦戦する企業は多いようだ。
そんな中、経済産業省は2021年5月12日に「DXオフィス関連プロジェクト管理業務等の効率化に関するデジタルツールの導入実証・調査事業」の報告書をソフトウエア開発プラットフォーム「GitHub」上で公開した。同事業ではゼロトラストの概念を取り入れた業務環境を構築し、実証と調査をしたのだという。「なぜ経産省がゼロトラストを」という興味から報告書を確認すると、民間企業でもなかなか見られない、「イケてる」アーキテクチャーを作り上げていたことに驚いた。2つ挙げたい。
ゼロトラスト実現に寄与するツールを積極活用
この事業は2020年7月に、経産省でデジタル関連のプロジェクト推進などを担う商務情報政策局情報プロジェクト室(以下、情報プロジェクト室)が開始した。タスク管理やコミュニケーションのためのデジタルツール導入とツールの管理方法検討を目的とした実証実験(PoC)だ。同省は2018年7月にデジタルトランス・フォーメーション室(DXオフィス)を立ち上げ、行政手続きのデジタル化と省内業務の効率化に向けた検討を続けてきた。その流れをくみ、デジタルツール導入に必要な知見を省内に蓄積することが狙いだ。
アーキテクチャーは米Microsoft(マイクロソフト)のIDaaS(Identity as a Service、アイデンティティー・アズ・ア・サービス)「Microsoft Azure Active Directory(Azure AD)」を使った認証基盤を中心に据える。IDaaSはIDを管理するクラウドサービスだ。Azure ADで利用者を認証した後、各種SaaS(ソフトウエア・アズ・ア・サービス)にSSO(シングルサインオン)する形をとる。1回認証すれば、複数のサービスを利用者が認証を意識することなく使える。ビジネスチャットのSlackやクラウドストレージのBoxなど業務に利用するツールだけでなく、陰からセキュリティーを支える仕組みもSaaSで賄う。
1つ目の驚きは、セキュリティー向上を目的にさまざまなツールをうまく組み合わせていることだ。例えばSaaSの利用状況を可視化するクラウド・アクセス・セキュリティー・ブローカー(CASB)やさまざまなログを収集・分析するセキュリティー情報イベント管理(SIEM)をはじめ、ゼロトラストの概念を実現するために必要とされる複数のSaaSを取り入れている。選定したSaaSの多くはデジタル投資に積極的な企業や、セキュリティー意識の高い企業において採用される実績を持つ。
