SASEへの移行を経て、電通デジタルがたどり着いた「ゾーントラストとの融合型モデル」とは：「@IT NETWORK Live Week 2022秋」リポート

電通デジタルは早くからSASE／ゼロトラストに取り組んできたが、これを「ゼロトラストとゾーントラストとの融合型モデル」に発展させたという。「@IT NETWORK Live Week 2022 秋」の基調講演で、情報システム部ディレクターの相澤里江氏が経緯を話した。

[柏木 恵子，＠IT]

　電通グループのデジタルマーケティング企業、電通デジタルでは、いち早くゼロトラストモデルへ移行した。これをゾーントラストとの融合モデルに発展させたという。2022年10月にアイティメディアが開催した「@IT NETWORK Live Week 2022 秋」の基調講演では、同社の相澤里江氏（情報システム部 ディレクター）が、同社のネットワークモデルの展開について紹介した。

SaaSの利用拡大で早くからSASEモデルに移行

電通デジタルの相澤里江氏

　電通デジタルは、コンサルティングから関連システムの開発・実装・運用まで、デジタルマーケティングの全ての領域においてソリューションを提供している。それを支えるITでは、SASEをベースとしたセキュリティモデルを導入した。東京オリンピックやコロナ禍でリモート対応を始めた企業が多いが、電通デジタルではそれ以前からSASEへの移行を進めていたという。

　従来のゾーントラストから、SASEをベースにしたゼロトラストに移行した理由は、SaaSを中心としたクラウドの利用が活発化する中で、ビジネス面とシステム面の課題が顕在化したからだと、相澤氏は話した。

　ビジネス面では、以前はオフィス内という限定環境での業務が基本で、デバイスもPCがメインだった。それを、宅内や外出先、シェアオフィスなどどこからでも安全に、PC、モバイル、タブレット等、端末に依存せず、必要なデータやサービスを利用できる、「時間や場所の制約のない業務環境」に変えることで、ビジネスの発展により貢献できると考えた。

　システム・セキュリティ面では、以前は社内閉域網が前提だったが、「最低限のウイルス対策のみで脆弱（ぜいじゃく）性が完全に排除できていない」「クラウドなどの利用状況の把握が困難で、シャドーITをコントロールできない」などの課題があった。これを、安全・安心で管理可能なシステム環境にすることは必要不可欠だった。

　ゼロトラストへの移行では、「EDR（Endpoint Detection and Response）」「CASB（Cloud Access Security Broker）」「IdP（Identify Provider：ID管理）」の3つのソリューションを、PCのみならずスマートフォンやタブレットなど、社用の全端末を対象として導入した。

EDR（Endpoint Detection and Response）

• ウイルス検知
• ふるまい検知（ゼロデイや亜種など、ウイルス検知で防ぎきれない攻撃への対策）
• 脆弱性検知（ソフトウェアの脆弱性検知）
• 攻撃への対応

CASB（Cloud Access Security Broker）

• クラウドサービスの安全性を評価し、評価の低いサイトへのアクセスを制限
• 従業員が利用しているSaaSやクラウドの利用実態を把握
• SaaSの安全性評価データベースを、注意喚起や利用許可の指標として活用

IdP（Identify Provider：ID管理）

• シングルサインオンによるID管理の簡素化／業務効率化
• 二要素認証によるID認証強化

CASB、ID管理、SOCの運用はどうしているか

　上記のうちCASBとID管理、さらにSOC（Security Operation Center）について、相澤氏はより詳しく説明した。

CASBの運用

　会社が貸与する社用PCやモバイル端末にはCASBクライアントがインストールされている。WebアクセスはCASBサービス経由に限定し、CASBによって安全とされているサイト以外にはアクセスできない。CASBシステムにはレポーティング機能があり、またAPI連携によりログをBIツールで可視化している。これをチェックすることで、情報漏えい、セキュリティ規程違反、職務違反などを検知できる。