ホスピタリティと緻密さで社員を守り、ゼロトラスト構築×Active Directoryの廃止で攻める情シス！

■コロナ禍で加速。ゼロトラストの概念とオールアバウトでやる意味とは

―新井さんが3年前から積極的に進めているゼロトラストについて、概念やオールアバウトでやる意味について教えてください。

ゼロトラストとは10年程前に提唱されたネットワークセキュリティモデルの概念です。従来、業務とは社内で完結するものでしたから、社内と社外で明確に境界線があり、境界部分を守っていればセキュリティが保たれた。でも今は、クラウドサービスの利用やリモートワークも当たり前になってきたので、境界線自体が曖昧になっています。

そこで、曖昧な境界を守るのではなく、全てのネットワークトラフィックをとりあえず一旦疑って、都度モニタリング、検証しましょうという【性悪説】のアプローチがゼロトラストの概念です。ゼロトラストは、直訳すると「何も信じない」です。

―話を聞くとなんだか従業員を信用していないように感じてしまう人もいるかと思うのですが……。

性悪説と言われると嫌な気持ちになるかもしれませんが、あくまでもこちらが準備したセキュリティの範囲内で仕事をしてもらえれば、従業員のみなさんは自分の仕事に集中できるという意味です！

実は、情報漏洩原因のうち、内部犯行による悪意のある情報漏洩は5%程度に過ぎず、50％以上がユーザー紛失や誤操作といった不注意から起こっているんです。意図せず情報流出が起こってしまうことがほとんどなので、そういった事故から皆さんを守るために、常にモニタリング、検証、認証して、ユーザー側に近いところをしっかり守りましょうという考え方なんです。

出典：日本ネットワークセキュリティ協会：漏えい原因比率

その概念を実現できる製品・ソリューションが増えてきたことや、コロナで働き方が変わってきたことを背景に、近年盛り上がってきました。

オールアバウトでは私が入社した3年前から、ゼロトラストの方向へ積極的に取り組んでいて、入社した最初の仕事がファイルサーバをGoogleドライブに移行することでした。

その後は、ゼロトラストの土台となる３つのシステムを3年間で導入しました。
３つのシステムとは、ユーザー管理、デバイス管理、そしてクラウドサービスを使う上で、誰がどういうアプリケーションを利用しているか可視化したり、制御するシステムです。

―少し前までは、社内でも個人のPCやスマホでメールのやり取りやログインができたのですが、それは今できなくなっていますね。それもゼロトラストの範疇なのでしょうか？

個人のデバイスは、データが漏れるのを防ぐために今は結構強めに禁止していますが、それがゼロトラストというわけではないんです。ゼロトラストの3つのシステムをもっとうまく連携できれば、個人のデバイスを使いつつ、「状況によってはこのデータはダウンロードできない」とか、「このアプリケーションであれば利用できる」といった制限までできるようになり、その時には、個人のデバイスも使えるよう案内できると思います。モニタリング、検証した上で安全と判断されたものを「許す」のが、ゼロトラストのもう一つの側面です。

―利便性とセキュリティの両立がゼロトラストの本来の姿ではあるけれど、今はその手前で、まず利便性を少し犠牲にして、個人の利用を制御しているということですね。

その通りです。クラウドの力をもっと活用していくためのゼロトラストを考えています。

■Active Directoryの廃止へのチャレンジと、ゼロトラストの掛け合わせで大きな飛躍を

―今年６月にオフィスを移転しますが、移転に伴い考えていることはありますか？

先ほどの話で、土台となるユーザー管理、デバイス管理のシステムは、社内のActive Directory（以下AD）というサーバも使っており、クラウドと二重管理になってしまっているため、移転に伴い廃止して、完全なクラウド管理に移行しようと考えています！

―その作業は、結構大変なことなのでしょうか？

ADサーバって一回導入すると、組織の基幹システムとして根付いて、全部そこを中心にいろいろなほかの設定をしていくことになります。その中心を取ってしまうということは、それによる影響範囲があまりにも大きい。管理の仕方が180度変わってしまうので大きなチャレンジになります。他社でもあまり前例がないと思います。

―それでも余りあるメリットというのは何ですか？

まずは、ADサーバをなくすことで、運用コストが削減できます。また、社内にADサーバがあると、PCセットアップのときや受け渡しのときに会社に来なければいけない。それは今の時代や働き方に合っていないと思います。

―ADを廃止してクラウドのみにするのはセキュリティ面ではどうなのでしょうか。

管理の仕方が全く変わってきますが、我々もネットワークのベンダーも、今はクラウドのセキュリティのほうが優れているという考え方です。

もう一つ移転を機にやろうと思っていることがあります。現在、個人情報管理の端末がオフィスに設置してあり、そこからでないとアクセスできない仕組みになっています。こちらも移転に合わせて廃止しクラウド化します。

これも会社としては新しいチャレンジになりますし、且つ個人情報というセキュリティの高い情報をクラウドに置いて管理するということでいうと、セキュリティを担保するハードルが一段階上がるのかなと思っています。

―今は、個人情報を閲覧したい場合は、会社に来て、2重3重のセキュリティのもとに社員がやっていたけれど、自宅から個人情報にアクセスできるようになるというわけですね。

そうですね。物理的に会社まで来なければならないというのはなくなりますが、2重3重のセキュリティは引き続きあります。裏側で同等レベルのセキュリティをかけて、なおかつデータにアクセスする人が、事前の申請者ですよ、という承認が取れないとアクセスできないようなイメージです。クラウドのセキュリティが優れているからこそできると思っています。

―最後に今後、新井さんを含めて情シスはどうなっていきたいのか教えてください。

社内での情報やコミュニケーションの中継地、ハブといった場所となるよう、自分も含め情シスが存在感を出していければいいなと考えています。そのために、アンテナを張って、新しい技術や仕組みを取り入れながらも、オールアバウトだけではなく、グループ会社も含めて色んな部署のサポートを並行していきたいと考えています。

個人としても情シスのグループミッションを遂行することが必ず自分の成長につながると思っています。