※本コンテンツは、2023年7月5日に開催されたJBpress主催「第4回サイバーセキュリティフォーラム」のDAY1 セッション2「KDDIが取り組むグローバルゼロトラスト展開とその打ち手」の内容を採録したものです。

KDDI株式会社
ソリューション推進本部 ゼロトラスト推進部
コンサルティンググループ グループリーダー
佐藤 真人 氏

 これまで企業のネットワークセキュリティといえば、ファイアウォールなどで外部への守りを固め、社内を安全な状態に保つ「境界防御型セキュリティ」が主流だった。だがそれはすでに過去のものになり、現在はあらゆるものを信頼しない「ゼロトラスト型セキュリティ」が主流となりつつある。今回は、早くから「ゼロトラスト型セキュリティ」をグローバルで展開してきた実績を持つKDDI株式会社の佐藤真人氏に、サイバーセキュリティの現状と、ゼロトラスト化推進のためのヒントを語っていただいた。

働き方の多様化でネットワークアクセスの安全性が問われている

 セキュリティの本題に入る前に、昨今の働き方の変化と、企業のセキュリティを取り巻く環境について見ておこう。コロナ禍によって一気に普及が進んだテレワークだが、国土交通省の調査では働く人の9割近くが、「これからもテレワークを継続したい」と回答したという。(出典:国土交通省 令和4年度テレワーク人口実態調査)ほかの調査でもほぼ同様の結果が出ており、テレワークはすでに私たちの働き方の選択肢として定着しつつあるといえるだろう。

 人の働き方が大きく変化すれば、それに併せて働く環境やIT環境も進化しなくてはならない。リモートワークを含む働き方の多様化に対応するため、自宅や外出先など、どこからでも安全にかつ快適に会社のシステムにアクセスできる環境が求められていると佐藤氏は指摘する。

「注意すべきは、その一方で外部からネットワーク経由で侵入する、サイバー攻撃の手法も急速に進化している点です。これらは従来の『境界防御型セキュリティ』のネットワークインフラでは基本的には防げないほど、強力かつ巧妙なのです」

 ここ数年を振り返るだけでも、「自動車関連の部品工場の社内システムにマルウェアが侵入して、工場の稼働が数日間停止した」「ランサムウェアによって、病院の電子カルテや予約情報がハッキングされ、病院機能が停止した」といった、サイバー攻撃による重大インシデントが国内で発生している。

 佐藤氏は、「これらはいずれも企業の存続に関わる事例であり、サイバー攻撃への対策は、もはや喫緊の経営課題だと認識する時代が来ているのです」と語る。

世界的な人材不足がセキュリティ対策強化の妨げとなっている

 サイバーセキュリティにおけるリスクの高まりを受けて、政府も法整備などの対応に動き出している。2022年6月には、「サイバーセキュリティに関する行動計画」が、5年ぶりに改定された。ここで企業が注目すべきは、14種の重要インフラ分野の事業者に対して、適切なサイバーセキュリティ対策を講じる義務が盛り込まれている点だ。

「5年前の時点では、適切な対策実施の『期待』にとどまっていたのが、今回『義務』となったことで、もし対策が適切でないことが原因で損害が発生した場合、経営者が損害賠償責任を問われることになります。今後は経営層がサイバーセキュリティ対策に積極的に関与することが、以前よりも強く求められる点に留意してください」

 とはいえ、自社でサイバーセキュリティ対策を行うにあたっては、経営者はさまざまな課題に局面することになる。その一番の課題が、セキュリティ人材の不足だ。IT人材の不足はかねてから言われているが、セキュリティ分野の人材不足はことに深刻で、世界では272万人、このうち日本国内では4万人のセキュリティ人材が不足しているといった調査結果もある。(出典:KDDI サイバーセキュリティアニュアルレポート2022

「グローバル展開をされている企業の場合は、もっと大変です。海外拠点のセキュリティレベルを強化したくても、専門家がいないためセキュリティ対策が難しい、あるいは運用面で不安がつきまとうといった声が、あちこちから寄せられています。こうした企業の悩みに対して、KDDIでは自社の海外現地法人にゼロトラスト化の技術やノウハウを提供しています」

KDDIでは2019年から「ゼロトラストモデル」をグローバル展開中

 KDDIでは、2019年から自社内におけるゼロトラスト型セキュリティを導入する取り組みをスタートさせ、2021年末からはグローバルの各拠点にも展開してきたと佐藤氏は振り返る。

「きっかけは、働き方の多様化や従来の境界型防御の限界、さらにクラウド利用の加速といった世の中の変化に対応して、利便性とセキュリティの両立を可能にする、新しいゼロトラスト型のセキュリティモデルが必要だと考えたことでした」

 2019年度から環境構築に着手して、翌2020年には400名規模でのトライアルを開始。同年11月には、ゼロトラストモデルを実装した「セキュアPC」14,000台による日本国内の展開を完了した。続く海外への展開が始まったのは、2021年。4月からのシンガポールでのトライアル成果を踏まえて、同年末から世界展開を開始した。その後、2年かけてグローバルへゼロトラストモデルを展開していったという。

 また佐藤氏は、自社のグローバル展開の経験をもとに、海外へのゼロトラスト展開に取り組む際には、①海外現地の制約 ②プロジェクト推進 ③運用 という3つの課題があると語る。

「特に重要なのは、法規制への対応です。ゼロトラストの重要な課題にログの収集がありますが、このログとは個人情報そのものです。個人情報についてはEUのGDPR(一般データ保護規則)をはじめ、国ごとに関連の法規制が存在しています。KDDIでもゼロトラストを世界展開する前に、こうした法規制に関する確認を入念に行って進めていきました」

 これからグローバルにゼロトラストを展開しようと考える企業は、ぜひ「データの流れの整理」や「各国法令調査」に注意して進めてほしいと、佐藤氏は強調する。

プロジェクト着想前から具体的な設計・構築・運用まで一気通貫でサポート

KDDIでは、これまで自社がグローバルで展開してきた「ゼロトラストモデル」の経験と蓄積をもとに、これからゼロトラスト化に取り組もうとする企業に、さまざまなサポートを提供している。その特長は、プロジェクト着手前の企画や構想策定などのコンサルティングから具体的な設計・構築・運用に至るシステムインテグレーション、そして継続的な運用に対する支援まで、ゼロトラスト型セキュリティに関する全てのリソースを一気通貫で提供できる点にある。

「コンサルティングでは、セキュリティアセスメントや海外現地のIT環境の調査から法規制に関するアドバイスまで、あらゆる領域をカバーしています。またシステムインテグレーションでは、プロジェクトマネジメントやセキュリティネットワークサービスの提供。そして運用支援では、セキュリティのマネジメントサービスはもちろんIT運用に関する全てのアウトソーシングを承っています」

「とくに現状把握ではゼロトラストに対する対応レベルから、次期ネットワーク構想策定まで、さまざまなレベルに対応します。現状お客さまのセキュリティがどうなっているかのセキュリティアセスメントや現地ローカルの物理的なIT調査や、お客さま自身のゼロトラスト成熟度レベルを図るアセスメントを、第三者の目から見て評価することできます。それで課題が見つかったお客さまにはその結果をもって次期グローバルインフラやゼロトラストの構想策定をお手伝いすることも可能です。」

 クラウドからID管理、EDR、そしてマネージドサービスまで、多彩なセキュリティソリューションのラインアップもKDDIならではの特長だ。まもなくリリース予定の新しいサービスとしては、「Global SASEプラットフォーム」(※)がある。これまでゼロトラストの実現には、セキュリティとネットワークをそれぞれ別に設計・構築する必要があった。この新しいプラットフォームでは両者を一元化し、なおかつグローバルに提供できるため、導入や運用の労力、コストを抑えながら、高品質なゼロトラスト化を実現できるという。

 佐藤氏は、「依然としてサイバー攻撃は高度化を続け、被害も増加傾向をたどっています。対応にはグループ会社や海外拠点、さらに関連のサプライチェーンまでを視野に入れたセキュリティ対策が不可欠ですが、グローバル展開では法令対応など専門知識も欠かせません。これから着手しようとお考えの皆さまには、ぜひKDDIの経験やノウハウをご活用いただければと思います」と呼びかけ、セッションを締めくくった。

※KDDIは7月31日に法人のお客さま向けにグローバルに対応したセキュリティサービス「Global SASE Platform Service by Fortinet」の提供を開始し、お客さまのグローバルでのゼロトラスト実現をご支援いたします。サービスの詳細やお問い合わせはこちらからご覧ください。

<PR>