NTTコム1万4000人の在宅勤務支えるゼロトラスト

10月 12, 2020 在宅勤務
テレワークするNTTコミュニケーションズの従業員(出所:NTTコミュニケーションズ)

テレワークするNTTコミュニケーションズの従業員(出所:NTTコミュニケーションズ)

日経クロステック

新型コロナウイルスの感染が拡大した4月以降、NTTコミュニケーションズでは約6000人の社員に契約社員や協力会社の従業員も含めた最大1万4000人が在宅勤務を継続している。それを支えているのが、VPN(仮想私設網)やVDI(仮想デスクトップ環境)への過度の依存を排した「ゼロトラスト(信用しない)」型のテレワーク環境だ。

NTTコムが新しいテレワーク環境を構築したのは2018年のこと。それまでも同社は、データをサーバーで保存するシンクライアント端末を使うテレワーク環境を従業員に提供していたが、使い勝手が悪いという大きな問題点を抱えていた。

従来のテレワーク環境においては、従業員はオフィスの外で業務をする場合、必ずシンクライアント端末を使用し、VPN経由で社内にあるVDIにアクセスし、仮想デスクトップを使ってオフィスソフトウエアや社内の業務アプリケーションを使用していた。

スマートフォンを使って業務する場合もVPN機能を搭載した「セキュアブラウザー」という仕組みを使わせ、必ずVPNを経由させていたほか、端末へのデータのダウンロードなども禁止していた。

こうした仕組みの問題点は、使い勝手が悪かったことだ。例えば電子メールを確認する場合でも、シンクライアント端末では端末を起動してVPNに接続し、仮想デスクトップでメールソフトを立ち上げてメールを確認するまでに7~8分かかっていた。スマホの場合も、セキュアブラウザーを使ってVPN接続などを済ます必要があるため、メールを確認するまでに40秒を要していた。

■データ保存できる端末持ちだし可能に

使い勝手の悪いテレワーク環境は従業員の生産性を落とす――。そう考えて18年に構築した新たなテレワーク環境では、従業員がオフィス外にノートパソコンやスマホを持ち出して、端末にデータを保存し、端末上でアプリケーションを動かして業務ができるようにした。いわゆる「FAT(ファット)端末」を社外でも利用できるようにしたのだ。

NTTコミュニケーションズにおけるテレワーク環境の変化

NTTコミュニケーションズにおけるテレワーク環境の変化

NTTコムは従業員がパソコンやスマホを社外に持ち出せるようにするために、デバイス保護やアプリケーション管理、ファイル暗号化などのツールを導入し、端末をサイバー攻撃から守る包括的な対策を施した。

従来は、インターネットと社内ネットワークとの境界にVPN機器を設置するなどの対策を施した境界型セキュリティーで守られた社内でなければFAT端末が利用できなかった。それを、境界型ではないセキュリティー対策を導入することでどのようなネットワークにあってもFAT端末が利用できるという、ゼロトラスト型のやり方に切り替えたわけである。

具体的には、まずデバイスの保護に「EDR(エンドポイント検知・対応)」と呼ぶツールである米マイクロソフトの「Microsoft Defender Advanced Threat Protection(マイクロソフト・ディフェンダー・アドバンスド・スレット・プロテクション、ATP)」を採用した。国内外でセキュリティー事業を展開するグループ企業のNTTセキュリティと連携しながら、デバイスへの攻撃をいち早く検知し対策を講じる体制を整備した。

Windowsパソコンに関しては「TPMセキュリティーチップ」を使った暗号化機能である「BitLocker(ビットロッカー)」や、生体認証の「Windows Hello(ウィンドウズハロー)」も利用している。

また、モバイルデバイス管理/モバイルアプリケーション管理(MDM/MAM)ツール「Microsoft Intune(インチューン)」によって、デバイスの利用をアプリケーション単位で細かく制御している。例えばスマホの利用は「会社領域」と「個人領域」に仮想的に分割。業務で利用するクラウド経由のアプリ(SaaS=サース)は会社領域でなければ利用できず、会社領域のアプリのデータを個人領域に持ち出せないようにしてある。

このほか外部に機密ファイルが漏洩する事態を想定し、データを自動的に暗号化する「Azure(アジュール)RMS」も利用している。

■「VPN渋滞」を回避

NTTコムがテレワーク環境をシンクライアント端末からFAT端末に移行した背景には、17年5月全面施行の改正個人情報保護法に伴う情報漏洩の扱いに関する国の方針の変更があった。

新しい指針においては、高度な暗号化などの秘匿化が情報に対して施されている場合であれば、その情報を保存した端末を紛失したような場合であっても、情報そのものは外部に漏洩していないとみなされるようになった。シンクライアント端末を使う必要がなくなったため、使い勝手の良いFAT端末に切り替えたわけだ。

テレワーク環境を快適に利用する仕組みも取り入れた。多くの企業ではインターネットへの出口をデータセンターのファイアウオールなどに限定しているが、そこにSaaS向けの通信が集中することでボトルネックになる、いわゆる「VPN渋滞」と呼ばれる事態が生じがちだ。

NTTコムはデバイスからの通信経路を自動的に切り替える技術「スプリットトンネリング」を採用。SaaSについてはインターネット経由で直接利用する。オンプレミス(自社サーバー)の業務システムを利用する際は、SSL暗号通信を行うSSL-VPNに自動的に切り替えて社内に接続する仕組みにして、VPN渋滞を回避している。

同社はこのようにデバイスからアプリケーション、データまできめ細かく制御するテレワーク環境を構築していたことで、新型コロナ禍でも大規模な在宅勤務スムーズに移行できた。

人けの無くなったNTTコミュニケーションズのオフィス(出所:NTTコミュニケーションズ)

人けの無くなったNTTコミュニケーションズのオフィス(出所:NTTコミュニケーションズ)

使い勝手も大きく向上した。シンクライアント端末時代は端末を起動してからメールを確認するために7~8分かかっていたのが、新しいFAT端末ではその時間が1分にまで短縮した。スマホでのメール確認までにかかる時間も、セキュアブラウザーを使っていた従来の環境では40秒かかっていたのが、10秒にまで短縮した。

さらに現在は、テレワーク環境の構築・運用で培ってきたゼロトラストネットワークを社内の隅々まで行き渡らせようとしている。背景にあるのが5月に発覚したサイバー攻撃の被害だ。

■サイバー攻撃被害で対策徹底へ

同社は5月28日、法人向けクラウドサービスの運用サーバーなど自社設備に対する不正アクセスで顧客情報が外部に流出した恐れがあると発表。7月2日には社員になりすました攻撃者による別のサイバー攻撃も受けていたと公表した。

「反省すべきは『社内なら安全』との考え方を残していたこと。ゼロトラストの観点に立って対策を急がなければならない」と、NTTコムの久野誠史デジタル改革推進部情報システム部門担当部長は話す。

実は最初に攻撃者の侵入を許したのは撤去予定だったサーバーで、EDRによる防御の対象ではなかったという。またNTTコムは全社の認証基盤に「Azure Active Directory(アジュール・アクティブ・ディレクトリー)」を利用してIDを一元的に管理しているが、今回攻撃を受けたシステムでは、それが徹底できていなかった。

目下、NTTコムは足元の対策から中長期的な対策まで幅広い再発防止策を進めている。まずはEDRの全社展開を急いでおり、ファイルの利用権をきめ細かく管理する「Azure Information Protection(アジュール・インフォメーション・プロテクション、AIP)」も20年内に本格導入する方針だ。AIPは暗号化されたファイルを開くたびにIDを認証するツールで、ファイル配布後に利用権を取り消したり、どの場所からアクセスされたかを確認したりできる。

また、社内から業務システムにアクセスする際は常に多要素認証を使うことを検討している。オンプレミスの業務システムを段階的に縮小してSaaSに移行させる取り組みも、これまで以上に強化するという。

今回のサイバー攻撃はNTTコム社内の「ゼロトラストネットワークになっていない」範囲を弱点として突いたものとみなせる。言い換えれば、ゼロトラスト型の対策が現代のサイバー攻撃への備えとしてますます重要になっている、ということでもある。

(日経クロステック/日経コンピュータ 高槻芳氏)

投稿者: 瑚心すくい

コメントを残す

メールアドレスが公開されることはありません。 * が付いている欄は必須項目です