国内企業でもゼロトラストネットワークの導入がすでに始まっている。その多くが第一歩として導入したのが、多要素認証とIDに基づくアクセス制御だ。

 auカブコム証券は米Microsoft(マイクロソフト)の「Microsoft 365 E5」を中心に、ゼロトラストネットワークに取り組んだ。多くの社内システムをスマホで操作できるように改善しているという。

auカブコム証券の構成
[画像のクリックで拡大表示]

 まずスマホにはMDM/MAM(Mobile Device Management/Mobile Application Management)ツールである「Microsoft Intune」を導入した。クラウドで提供するIDaaS(ID as a Service)である「Azure Active Directory」を介して、Intuneがアプリケーションの利用を制御する。「例えば業務アプリでテキストをコピーした場合、そのテキストを業務アプリにはペーストできるが非業務アプリにはできないようにするといった制御ができる」(auカブコム証券の石川陽一システム統括役員補佐兼システム開発部副部長兼IT戦略グループ長)。

 パソコンの基本的なアクセス制御にもIntuneを使う。ただし「パソコンは自由度が高いためスマホほど細かな制御ができない」(石川IT戦略グループ長)。そこで「Windows Defenderアプリケーションガード」を追加して対応する計画だ。Windows Defenderアプリケーションガードを使うと、外部サイトなど信頼できないサイトを開こうとすると、自動的に新たな仮想マシンが起動し、そこで動作するEdgeブラウザーにアクセスさせる。この機能を使うことにより、細かなアクセス制御が可能になるという。

Windows Defender アプリケーションガードの仕組み
[画像のクリックで拡大表示]

 一部の社内アプリについては、米Akamai TechnologiesのID認識プロキシーである「Enterprise Application Access(EAA)」を「VPNの代わりとして導入した」(石川IT戦略グループ長)。

 同社は現状端末からのアクセスをゼロトラスト化しているが、サービス間のゼロトラスト化は実現していない。将来は対応するために、現在ログを収集している段階だという。

この先は日経クロステック Active会員の登録が必要です

日経クロステック Activeは、IT/製造/建設各分野にかかわる企業向け製品・サービスについて、選択や導入を支援する情報サイトです。製品・サービス情報、導入事例などのコンテンツを多数掲載しています。初めてご覧になる際には、会員登録(無料)をお願いいたします。