[レポート]金融企業出身の目線から語る！ビジネスを加速する「真のゼロトラスト」へのアプローチとは！？ – AWS Security Forum Japan 2023 #aws #awssecurity

皆さん、こんにちは。

明るい笑顔がトレードマーク、ルイボスティーが大好きな芦沢(＠ashi_ssan)です。

今回は2023年10月12日にオフラインで行われたAWS 国内最大のセキュリティイベントであるAWS Security Forum Japan 2023の下記セッションのレポートです。

金融企業出身の目線から語る！ビジネスを加速する「真のゼロトラスト」へのアプローチとは！？

【スピーカー】 ゼットスケーラー株式会社 Chief Information Security Officer

深谷 玄右 氏

DX 推進や高度化するサイバー脅威への対応のため、社内ネットワークのゼロトラスト化を検討・採用する企業が増えています。一方で、ゼロトラストという言葉はバズワード化しており、何をすればよいのかを悩まれる企業様も多いのが現状です。本セッションでは、金融企業を中心に 20 年以上 IT セキュリティに携わった実績をもつ当社 CISO から、ユーザー視点とベンダー視点の両面から企業に必要な失敗しないゼロトラストアプローチのノウハウを、お客様事例とともにご紹介します。

ゼットスケーラー株式会社

Chief Information Security Officer

深谷 玄右氏

株式会社オープンハウスグループ

情報システム部 インフラストラクチャグループ

伊藤 優氏

3行まとめ

• 従来の境界型防御では不正アクセスされる前提のセキュリティ対策ではないので境界の内側のネットワークでの防御が難しいが、ゼロトラストによって不正アクセスされても攻撃者の思うような攻撃ができないように対策できる。
• ZscalerのZero Trust Exchangeによって、「攻撃対象領域の排除」「攻撃・侵害からの防御」「水平移動の阻止」「データ持ち出しの阻止」というゼロトラストのセキュリティを実装できる。
• オープンハウスグループでは、Zscalerの活用によって事業会社にとっては価値を生まずなるべく注力したくないセキュリティ運用の労力が削減できている。

セッション概要

• アジェンダ
  • ゼロトラストの基礎とゼットスケーラー
  • 従来型のセキュリティ対策の課題
  • 事例
  • まとめ
• スピーカーについて
  • 深谷さん（ゼットスケーラーのCISO）
  • 元Zscalerユーザー
• Zscalerについて
  • NPSが７０を超えている（顧客ロイヤリティが高い
  • 解決する領域
    • サイバー脅威保護、データ保護
    • 観測情報をもとにしたビジネスアナリティクス
• 境界型防御とゼロトラストの違い
  • 境界型
    • 社内ネットワークは安全でインターネットは危険なので、その境界をセキュリティで防御するという考え方
      • ただし、VPNなどの脆弱性をつくような不正アクセスによって境界性を超えるケースが近年多い
      • 退職者など不正な利用者が社内データを不正に持ち出す行為も多い
    • データセンターなど社内ネットワークを壁で囲うような体制
  • ゼロトラスト
    • 情報資産はどこにあっても危険で囲まれているという考え方
    • 誰が何にアクセスして良いのかビジネス要件によって決定し、ネットワーク的にはどこからでも接続できる
• 従来型のセキュリティ・ネットワークがなぜ効果的ではなくなったのか？
  • 攻撃者が入り口を発見できてしまう
    • 攻撃対象領域(Attack surface)の存在：　パブリックIPアドレスなど
  • 攻撃者が攻撃できる
  • 攻撃者が水平移動できる
  • 攻撃者がデータを持ち出せる
• Zero Trust Exchangeを活用した対策
  • 攻撃対象領域の排除
    • ZTEの背後にPCやサーバを隠してインターネットからの直接接続を防ぐ
    • セキュリティ対策する箇所が絞れるので、選択と集中が可能になる
  • 攻撃・侵害からの防御
    • ZTEによる通信内容の検査（DNSトンネリング防止やドメイン新規登録監視）
  • 水平移動の阻止
    • ユーザーとネットワークが直接接続せず、ZTEが仲介する
  • データ持ち出しの阻止
    • ZTEで通信内容を検査（DNSトンネリング防止やドメイン新規登録監視）
  • ZTEのゼロトラスト接続により、ビジネス変革を加速できる
• ここからは事例紹介（株式会社オープンハウスグループ）
• オープンハウスグループについて
  • 不動産事業(マンション販売、仲介など)をやっている
• 急成長の成長痛
  • 会社の拡大によるセキュリティリスクの増大
  • インシデントの増加と運用者の疲弊
  • セキュリティ人材の採用難
• これまでの課題（ネットワーク）
  • DCが単一障害点、BCP対策ができていない
  • 大阪、福岡など遠隔地からのパフォーマンス遅延
  • M&A/拠点追加時のコスト増
• これまでの課題（セキュリティ）
  • セキュリティアプライアンス導入時の運用負荷など
  • これまでできることを最低限しかやっていなかった
• 事業会社なので、ネットワーク・セキュリティの運用がメインの業務ではない
  • SASEを導入することに
• なぜZscaler?
  • 色々な製品をPoCで試したが、差はあまりなかった
  • 決め手は以下2つ
  • エージェントを入れるだけで設定できるところ
  • 製品に対するインフラ投資額とスピード感
• 使っているソリューション
  • ZIA(Zscaler Internet Access)
  • ZPA(Zscaler Private Access)
  • ZDX(Zscaler Digital Experience)
• これからやること
  • SASE(Zscaler)で取得したログをSIEMに連携しログ監視する
• 最後に
  • デジタル変革は競争上の必須条件
    • モバイル(5G)、クラウド、IoT(ウェアラブルデバイス)、AI(生成AI)
    • IT部門はビジネスクリティカルな役割を担うことになる
    • ITリーダーを中心にビジネス変革をやっていく
  • 変革すべき3つの分野
    • アプリケーション(CIO) + ネットワーク(CTO) + セキュリティ(CISO)
    • クラウドネイティブなアプリはリフトアンドシフトのアプリに比べて変革に対して有利
    • リフトアンドシフトのネットワークやセキュリティは多くの制約があり、機能しない。クラウドネイティブなアーキテクチャが必要。
  • 変革には意識改革が必要
    • 従来のやり方に慣れた人にとって不快感があり、反発される
    • 現状維持をしたい惰性のモチベーションが働きやすい
    • ITリーダーが主導し、引っ張っていく必要がある
  • Zscalerはゼロトラスト屋でもインフラ屋でもない
    • お客様のDXを推進する、実現したいビジネスゴールに向けたカスタマーサクセスプランを作成します

最後に

従来型の境界型防御とゼロトラストの思想の違いや、ZscalerのSASEのソリューションについてよく理解できるセッションでした、。

個人的に、オープンハウスグループさん事例の「事業会社ならではのセキュリティが本業ではないからソリューションに頼った」というコメントが心に残りました。

以上、芦沢(＠ashi_ssan)でした。