JSOLとダイキン工業が語る「ゼロトラストセキュリティ」を実現するためのポイントとは?
DX推進やテレワーク導入、クラウドの利用拡大など、環境変化に応じたセキュリティモデルとして注目される「ゼロトラストセキュリティ」。海外含め300以上の拠点を持つダイキン工業の事例、JSOLが語るSI企業としての視点からサイバーセキュリティ対策や経営陣・ステークホルダーの理解を得るための方法論などをお伝えする。
アーカイブ動画
「変化に強い」セキュリティシステム実現に向けたダイキン工業の取り組み
ダイキン工業株式会社 IT推進部 武輪 圭映氏
ダイキン工業では、「製品・ソリューションサービス」「生産工場」「社内オフィス」と大きく3つの領域でセキュリティ対策を行っている。従来は社内オフィスを中心とした対策であったが、現在はグローバル28カ国、87カ所以上に及ぶ生産拠点に対しても全社横断でセキュリティ対策を進めている。
グローバル各拠点にキーマンとなるセキュリティ担当者を配置し、そのキーマンが現地のセキュリティの責任者となる体制にした。そのメリットを、武輪氏は次のように語る。
「グローバル各拠点で法令や空調の仕組みや製品、さらには言語や文化なども異なるため、現地のことをよく知っているローカル体制が最適だと考えました」(武輪氏)
体制だけでなく、ソリューションも変えた。以前はアンチウイルスソフトやウイルス対策ソフトといったEPP(Endpoint Protection Platform)を導入していたが、昨今のセキュリティトレンドを鑑み、パソコンやサーバーでの不審な挙動を検知して対応するEDR(Endpoint Detection and Response)を2020年から導入。IT推進部が主体となりグローバルでセキュリティを監視している。
ところが、グローバルで300以上の拠点があるため、EDRの導入に際して「キーマンの意識醸成・啓発」「抜け漏れのない施策展開」「事業横断型の推進」という課題が生じた。
キーマンは、事業も含め現地のことを熟知している。一方で、セキュリティに関しては知識もノウハウも乏しいケースが少なくなかった。そのため知識を学んでもらうのはもちろん、セキュリティに対する意識改革などを行う必要があった。
また、EDRでは、パソコンやサーバーといったエンドポイントにソフトをインストールすること、廃棄する際にはアンイストールが必須となる。リージョン全体に対して、管理をしっかりと行うことが必要不可欠である。
生産はタイで、販売はオーストラリア・ベトナム・フィリピンなどに行っているといったグローバルレベルで展開するサプライチェーンもネックとなった。オーストラリアでインシデントが発生した場合、他地域でも発生する可能性がある。ところが、グローバルの横連携が十分に取れておらずスピード感が足りなかった。そこで、キーマン同士のコミュニケーションや明確なガイドラインの策定を今まさに検討している段階だという。
製品・ソリューションのフィールドでは、BtoB、BtoCどちらの領域でもIoT、クラウドの活用が進んでおり、サイバー攻撃が懸念される。そこで同社が取り組んだ2つの事例も紹介された。
1つは、空調機から得られるデータを活用し、様々なパートナー企業と協業して新たな価値やサービスを生み出す協創型プラットフォーム『CRESNECT』、もう一つが顧客との接点を創出するためのオンラインプラットフォーム『DAIKIN LAUNCH X』である。
さらなるセキュリティ強化を目指し、3つのテーマに着目し取り組んでいると、武輪氏は語る。IT資産の管理では、サイバーハイジーン(Cyber Hygiene:サイバー衛生管理)の実現を検討しており、社員一人ひとりのセキュリティ意識の向上・醸成を目指している。
クラウドに関しては、各種接続状況を可視化し包括的に管理する。可視化においては多様化するセキュリティソリューションやIT資産でも同様に進めていく必要があると述べた。
JSOLが事例と語るセキュリティフレームワーク『SASE』が有効な理由
株式会社JSOL プラットフォーム事業本部 伯井 孝俊氏
※2022年3月当時
伯井氏は、近年多くの企業が推進するDXやクラウドの利用加速により、セキュリティリスクが日々高まっていると指摘。また、現状では従来のファイアウォール(Firewall)などのセキュリティ対策だけでは十分でなく、進化するサイバー攻撃に対して新たな取り組みや技術者の確保が必要だと警鐘を鳴らす。
さらに、こうしたセキュリティ対策に対して有効な手法であるゼロトラストについて、説明を行った。
ゼロトラストとは、社内と社外の境界でセキュリティ対策を行うのではなく、境界内も安全ではない前提でセキュリティを行う手法だ。ゼロトラスト(すべて信頼しない/すべて検証)という概念であり、技術やソリューションの総称でもある。
ゼロトラストセキュリティのポイントは5つあると伯井氏。侵入されることを前提としているため、いかに被害を最小限に抑えるかが重要であり、単に製品を導入するだけでは足りないと強調する。
速やかな検知、復旧を実現するためには、まさしく先のセッションで武輪氏が紹介したように、運用体制や仕組みを事前に準備しておくことが重要だ。
そして、そのようなゼロトラストセキュリティを実現するのが、次世代ネットワークセキュリティモデルであるフレームワーク「SASE(Secure Access Service Edge)」だ。
「SASEはSD-WANやSWG、CASBといったリューションを組み合わせることで、セキュリティ課題を解決します。そのためソリューションの選定や組み合わせが重要です。それぞれ機能の優劣や長短、得意・不得意があるからです。目指すべきセキュリティ要件を明確化した上で、コストや費用対効果なども検討し、最適なソリューションを構築します」(伯井氏)
続いて伯井氏は、現在進行中のプロジェクトを参考事例として紹介。JSOLではどのようにSASEを構築し、ゼロトラストセキュリティを実現しているのかを説明した。
「いきなりすべてを導入し、置き換えるのは困難ですから、解決すべき課題に合わせていくつかのステップに分け、順に実現していきます」(伯井氏)
まずは、IT化や経営計画も加味した上でのアセスメントを行い、ゼロトラストセキュリティ実現に向けた課題を可視化する。具体的には上記スライドの「エンドポイントのセキュリティ強化」などである。
次のステップでは、各課題をどのようなソリューションで、いつ、解決するのか。ロードマップの作成ならびにソリューションが有効かどうかのPoCなども行う。紹介した事例では、3年越しの計画を見越している。
「SASEフレームワークを中心にシステム全体を構築しますが、開発期間が長いため、拠点や担当者の変更、ソリューションの技術レベルのアップなど、様々な変化が起きます。それらに対応しながら、ゼロトラストセキュリティを実現していきます」(伯井氏)
紹介した参考事例は2024年に実現予定で、完成したセキュリティモデルのイメージ図を「理想形です」と紹介し、セッションを締めた。
【パネルディスカッション】サイバーセキュリティの現状と向き合い方
続いては、伯井氏と武輪氏によるパネルディスカッションとなった。SI視点、ユーザー視点を軸に活発な議論が交わされた。
テーマ1:ぶつかった壁とその乗り越え方は?
伯井:セキュリティ対策部門が情シスではないことが往々にしてあります。また、SASEの導入においては、既存のセキュリティ製品と比較して既存のご利用用途やレベルなどが変更になることがあり、許容されないケースも少なくありません。
武輪:各地域にキーマンを置いて任せる際に、各地域でソリューションやセキュリティポリシーが異なるという課題と、セキュリティレベルの差異が生まれました。そこで、グローバルグループ全体で高いセキュリティレベルを担保する必要があると考え、ソリューションを共通化。EDRはその代表例であり、ポリシーも共通化しました。
テーマ2:技術的困難とその対策は?
武輪:中国の拠点では、欧米製の優れた製品が使えず、中国製のセキュリティ機器しか使えないことですね。対策としては現地のIT部門と連携しながら、できるだけ要件を満たす製品を採用しています。
伯井:中国では、まだまだゼロトラストやSASEの導入は難しい・浸透していないと感じています。また、回線状況なども整っておらず、レイテンシーが発生する。あるいは、工期が遅れるといった文化的要因による課題も、地域によっては発生していると聞きます。
テーマ3:ゼロトラストなど新しいセキュリティ導入に対する苦労と解決方法
伯井:重要なデータはクラウドではなく、自社のデータセンターに置くことを大原則とする企業は少なくありません。そのような場合は、お客様の考えを無下に否定しません。SASEのような新しい概念やソリューションがすべて良いといった説明ではなく、新たな活用シーンがあるという提案をするように心がけています。
武輪:一度で理解してもらうのではなく、普段から定期的にコミュニケーションを取ることが大切だと考えています。いわゆるCISO(Chief Information Security Officer)的な立場の人と、年に数回はセキュリティの取り組みについて、情報を共有しています。
さらに海外のキーマンに向けても、定期的に日本がどのようなセキュリティポリシーなのか、サイバー攻撃のトレンドなどを共有する取り組みも行っています。
もうひとつ、経営層に提案する際には、ガートナーなどが出しているセキュリティ予算を明確・定量化したレポートのデータを加えるようにしています。投資は妥当であること、逆に導入しない場合、どのようなリスクがあるのか、事実や数字と併せて伝えています。
テーマ4:協業におけるポイント
武輪:文化的な要素も含め、キーマンに応じたコミュニケーションやアプローチを取る必要があります。このようなノウハウを協業しているベンダーにゼロから共有するのは大変なので、勉強会の実施なども必要だと考えています。
伯井:事業会社の視点に立ったサービスやアクションをするように心がけています。例えば稟議書の作成をサポートしたり、セキュリティ製品やシステムを導入した後も、運用業務を担うなど。情シス担当者に社内業務に専念してもらえる環境を構築することが、我々の使命だと考えています。
テーマ5:セキュリティ部門やベンダーのこれから
伯井:サイバー攻撃が増えていることもあり、全部対処することは難しくなり、自動・AI化が進むでしょう。一方、自動化ソリューションを導入したはいいけれど、忙しくて上がってきた監視連絡の対応をさばけていない、といった声も聞きます。そこで対応も我々が行っていく。さらには情シスを超えて、現場の監視を私たちが常駐して行う。そうした境目のない運用ケースが増えていくと思います。
武輪:EDRのような先進的なソリューションであっても、新しい攻撃が出てくることで、今後5年、10年経てば過去の技術になるでしょう。そのためスピード感を持ってセキュリティ対策に取り組むことができる組織であるべきだと考えます。
また、人によるアセットを活用することがセキュリティ対策につながると考えます。今後は欧米企業のようにオートメーション化を推し進め、空いた工数でさらにセキュリティレベルを高める。我々のような事業会社だけでなく、ベンダーも行うような未来が来るのではないでしょうか。
【Q&A】参加者から寄せられた質問を紹介
セッション後は、Q&Aタイムが設けられた。その中からいくつか紹介する。
Q.キーマンに対する教育について
武輪:レベル的には、IPAが公開している共通のスキルフレームワークのレベル2に該当します。教育方法については、まずはeラーニングで行います。ただし、インシデントが発生した際の対応については、eラーニングで学んだ知識だけでは対応が難しい。コロナ禍が明けたら現地に行き、さらなるスキル教育を実施したいと考えています。
Q.経営層、意思決定層のセキュリティに関するリテラシー向上やサポートについて
伯井:サイバー攻撃による被害が増えていることもあり、リテラシーは向上していると思います。実際、トップダウンで1カ月以内にセキュリティシステムを導入してほしいといった依頼もあります。
一方で、セキュリティは実務ではないため、投資を躊躇する経営層も少なくありません。ボトムアップで提案を行う際は、国が出しているテレワークの導入ガイドラインや、IPAが出している「ゼロトラスト導入指南書」、ベンダーからの提案などを参考に、リスクやコスト、費用対効果をまとめて提案されることをお勧めします。
株式会社JSOL
https://www.jsol.co.jp/
株式会社JSOLの採用情報
https://career-jsol-recruit.com/
おすすめイベント
関連するイベント
