ユーザエクスペリエンスを犠牲にしないセキュリティ

この投稿は、 LinkedInでもご覧いただけます。

パンデミックによるロックダウンが発生する前の話です。2019年11月、私はプロフェッショナルサービスを提供するグローバル企業のCISOでした。当時、私が関わっていた最も重要な戦略プロジェクトでは、「常時接続VPN」の構築、そしてモダナイゼーションにより、グローバルなリモートアクセスのセキュリティを強化することを目指していました。現行のシステムでは、セキュリティ境界の外から会社の資産にアクセスする際にいくつもの手順を踏まなければならず、また、リモートで働く社員の増加も予測されていました。この時点では、パンデミックが起こることになるとは知る由もありませんでしたが…。

私とCIOは、常時接続VPNを構築する上で最も問題となる課題4点と対策を検討しました。

• 不便性：あらゆるデバイス、あらゆる場所からシングルサインオン（SSO）のログインを可能にし、煩雑な手続きを減らしてユーザエクスペリエンスを向上させる
• 脅威のリスク： セキュリティ境界外の社員の増加にともなう攻撃対象領域を減らす
• パフォーマンスの低下： MPLS接続によるデータセンターへのバックホールトラフィックを減らし、ユーザエクスペリエンスを向上させる
• 高いオーバーヘッド： インターネットへの直接接続により、MPLSバックホールのコストを削減する

私とCIOでは優先順位や重要度についての考えが異なることもありましたが、現行のアーキテクチャでは、クラウドを優先したリモート接続環境へ移行できないという点では意見が一致していました。

何度も繰り返されるジレンマ
ユーザエクスペリエンス優先か、エンタープライズセキュリティか

CIOは、会社のリモートアクセス方式を疑問視していました。「企業ネットワークへ接続するために、会社のノートPCで認証をして、VPNクライアントを起動し、ネットワークパスワードをさらに入力して、ソフトウェアの多要素認証（MFA）トークンを有効化する、さらに8桁の認証コードのローテーションを手動で入力しているが、本当にこれだけの面倒な手順が必要なのだろうか？」

ネットワークセキュリティのための煩雑なログインワークフローは、ユーザエクスペリエンスを著しく低下させており、手順が面倒なあまりセキュリティを迂回しようとする社員もいました。さらには、社員が日常的に銀行サービス、ソーシャルメディア、eコマースなど、他のサービスを利用するため、多要素認証（MFA）のプッシュ通知が登録端末に届くことも、問題を悪化させました。

CIOのユーザエクスペリエンスに対する懸念は、私も同様に抱いていました。加えて、三大陸のDMZで稼働する3つのインバウンドVPNのリスナサービスと、2つのVDIゲートウェイの数を減らすことも検討していました。当時、VPNコンセントレータの攻撃がいくつか公表され、緊急パッチやアップデートが求められました。アップデートには、運用面への影響を確認するためテストが必要で、修正の反映までに時間がかかり、その間ネットワークはリスクにさらされることになるので、それも憂慮するべき事項でした。

つまり、ユーザエクスペリエンスとセキュリティの問題はつながっていたのです。

きっかけはOffice 365

当時、米国内のすべてのリモートトラフィックは、アリゾナ州フェニックスにあるコロケーションデータセンターのVPNコンセントレータにバックホールされていました（ほかに、ロンドンと北京にあるデータセンターも、それぞれヨーロッパとアジアで同様の構成をとっています）。2019年の戦略計画として、Azureテナントを使用したOffice 365の導入を検討していました。ビジネスインパクト分析では、SharePoint、OneDrive、Teams、SkypeといったOffice 365アプリの使用増加により、すでに増加傾向にはあったのですが、モバイルによるユーザトラフィックが急増していました。

米国内のリモートワークの対象者が一斉にリモート勤務になった場合、インターネットとOffice 365のすべてのトラフィックは一旦フェニックスにバックホールされ、それからロサンゼルスのサービスエッジに送られた後、本来の接続先となるクラウドに向かいます。Office 365のデータが複数のネットワークを経由することにより、アプリのパフォーマンスの低下が予測されました。

当時、私に求められていたのはOffice 365のパフォーマンスを上げる方策でした。選択肢として、スプリットトンネルの導入もありましたが、この方法ではデバイス、トラフィック、ネットワークを可視化できず、想定外のリスクの発生が懸念されます。このため、インターネット接続のためのトラフィックと、内部アプリケーションに接続するためのトラフィックを分離する方法が必要でした。

ゼロトラストが示した道

脅威とセキュリティの対策として、何年も前からクラウドでセキュアWebゲートウェイ（SWG）を使用していたので、ゼロトラストは、私にとっては新しい概念ではありませんでした。SWGはアウトバウンドトラフィックのインスペクションに優れ、脅威やデータ損失を防ぎ、ビジネスSaaSテナントのすべてをシームレスに保護することを可能にします。また、アウトバウンドトラフィックの挙動や使用状況のメトリクスを詳細に可視化できます。そこで私は次のように考えました。「ゼロトラストをベースに、この方法をプライベートクラウドのインバウンドトラフィックに使えないだろうか？」ネタバレをしてしまうと、その答えはイエスでした。

ゼロトラストは新しいパラダイムであり、ネットワーク接続に関する考え方を根本から変えています。従来の城を堀で囲む方式によるセキュリティ対策では、デバイスをネットワークに安全に接続する方法が求められましたが、ゼロトラストでは、さまざまな方法で、より直接的にユーザーをアプリケーションに安全に接続する方法が求められます。

2019年、ガートナー社は、ゼロトラストの実装方法として「ゼロトラストネットワークアクセス（ZTNA）」を提唱しました。

ZTNAは、SDP （Software-Defined Perimeter）とも呼ばれ、適応型のトラストモデルで動作する一連のテクノロジです。信頼（トラスト）は暗黙的ではなくきめ細かいポリシーで定義され、「知る必要がある」最小限の権限を与え、アクセスが許可されます。

ネットワークコネクタを導入し、ユーザプロビジョニング用の簡単なエンタイトルメントを設定しました。つまり、新しくエンドポイントソフトウェアを導入したりインストールしたりする必要はありませんでした。このようにして、VPNソリューションをゼロトラストソリューションに置き換え、すべてのユーザーの攻撃対象領域を縮小化することができました。さらには、数台の「シャドーIT」がすぐに見つかったのです。ただし幸いなことに、自動化によってこれらのサーバは適切に保守されパッチも当てられていましたが、ZTNAが導入されるまでは、所有者も使用目的も不明な存在でした。

COVID-19がもたらす大きな変化

2020年2月には、全社的にゼロトラストを展開する準備ができました。その時、COVID-19による世界的なシャットダウンが発生したのです。

円滑にリモートワークに移行するには、いくつかの障壁がありました。従業員の約20％はリモートワークが未経験で、会社が支給したノートPCやMFAトークンを持たず、BYODアプリケーションの管理も知りませんでした。すべてのIT担当者は、VDI環境へのライセンス付与とインフラの追加作業に追われました。リモートワークの問題が落ち着くと、今度は2019年に実施していたビジネスインパクトの分析が現実のものとなりました。Zoom、Teams、BluejeansなどのWeb会議の使用が急増し、米国のVPNゲートウェイの帯域が飽和状態になったのです。

ゼロトラストは、この問題の対策として最適でした。ユーザエクスペリエンスとセキュリティを1つのソリューションで解決することができたのです。

ゼロトラストの裏話
なぜ私のリモート会議だけが遅いのか？

COVID-19の危機において従業員の安全が確保できた後は、ゼロトラストのインフラ整備を全社的に進めることが焦点となりました。しかし、CIOと私の間ではゼロトラストの進め方の方向性が食い違っていました。私はゼロトラストをさらに推進し、クラウドアプリケーションや資産にインターネットで直接接続する方法を考えていましたが、一方のCIOは、パンデミックの最中に従業員の環境に大きな変化を及ぼすことを懸念していました。

そして、ある出来事が発生しました。2020年4月、CEOが会議の招集をかけたときのことです。CEOと彼の妻は同時に別のZoomミーティングに出席しました。会議の出席者はそれぞれ同程度です。CEOのオンライン会議では、途中で音声と映像が何度も途切れましたが、妻の会議では、音声と映像は高品質のままでした。なぜこのようなことが発生したのでしょうか？何が問題だったのでしょうか？

問題は、私とCIOが1週間ほど前に話題にしていた「バックホール」にあったのです。CEOのWeb会議のトラフィックは、CEOが住むワシントンD.C.の自宅のネットワークを経てフェニックスのデータセンターに届き、ロサンゼルスのゼットスケーラーのサービスエッジに送られた後、Zoomのインフラに接続されていました。彼の妻の会議は、私の推測ですが、デバイスのトラフィックはローカルゲートウェイに直接接続していたであろうと考えられます。私はCIOにこう提言しました。「ゼロトラストで直接インターネットに接続すれば解決できます」。

この会議がきっかけとなり、ゼロトラストのグローバル展開が実現できたのです。そして、今もその快適な環境は継承されています。