PROJECT ゼロトラスト導入で大和証券のセキュリティを強化

プロジェクトメンバー

福原一樹

2006年入社
ビジネスソリューション本部
システムインフラ第二部
MEMBER.01
- システム
阪本大佑

2007年入社
ビジネスソリューション本部
システムインフラ第二部
MEMBER.02
- システム
岡田雄太

2008年入社
ビジネスソリューション本部
システムインフラ第二部
MEMBER.03
- システム
粟ケ窪康平

2020年入社
ビジネスソリューション本部
システムインフラ第二部
MEMBER.04
- システム
濱田竜人

2016年入社
フロンティア研究開発センター
デジタルソリューション研究開発部
MEMBER.05
- システム

はじめに

信頼性と柔軟性を両立する最新セキュリティシステムを導入

大和証券の社員の日常業務に欠かせない2in1タイプ（※1）のファットクライアント端末（※2）やスマートフォン等のオフィスインフラ。2020年に導入したファットクライアント端末の業務での利用範囲拡大を受けて、これまでよりも信頼性と柔軟性の強化を目的としたゼロトラスト環境への移行を進めています。ファットクライアント端末約12,000台、スマートフォン約7,000台を対象に、最新鋭のセキュリティシステムの導入に挑む大和総研の担当者が成功の秘訣や導入に至るまでのプロセスについて語ります。

※1　画面が180度回転したり、キーボードが取り外せたりと、お客様と画面を共有することに適したタブレット兼ノートパソコン。
※2　クライアント端末にはファットクライアントと呼ばれる従来からのものと、シンクライアントと呼ばれる新たな端末がある。ファットクライアント端末は、記憶媒体やアプリケーションソフト等の環境をすべて実装しており、データを端末上に保存することができるが、セキュリティおよび管理面での課題を有する。

QUESTION.01

プロジェクトについて教えてください

モバイル端末の業務利用拡大に伴い「ゼロトラスト」に着目

大和証券では、2020年に従来のシンクライアント（※3）からファットクライアント端末に移行しました。これにより、オフィスや外出先等場所にとらわれずにインターネットや社内情報・業務アプリケーションの利用が可能となり、高機能な端末の機動性を活かした業務活動を実現しました。

※3　サーバーに接続するための最小限のネットワーク機能を備え、クライアント側にデータを持たせないという特性から、機密情報や顧客情報の漏えいを防止できるというセキュリティ面のメリットが大きい。ただし、ネットワークに接続できなければ利用できないというデメリットを持つ。

ファットクライアント端末の導入とともに、最新機能の活用や迅速なサービス提供を目的として、業務アプリケーションのパブリッククラウドへの移行が進んでいます。また、今後は事業の多角化により、大和証券グループ内やグループ外提携企業との相互接続等の機会が増える可能性があり、そうした多様な環境においてもより安全に業務利用できる環境の整備が急務となっています。
そこで大和証券・大和総研双方で検討を進めた末に導入を決めたのがゼロトラスト型のセキュリティ環境の整備でした。

「ゼロトラスト」とは、従来の社内アクセスを安全と考え、社内と社外に防御する境界を設ける「境界型防御」という概念を捨て去り、守るべき情報資産へのアクセスに対して安全性を検証して、脅威を排除するというセキュリティ対策の新たな考え方です。

QUESTION.02

プロジェクトでの役割を聞かせてください

インフラ設計の有識者や旧環境の開発担当者を招集

私が担当したのはプロジェクト全体の管理業務です。主な業務は進捗管理と大和証券との連携です。設計やスケジュール、コストに影響を及ぼす場合は、大和証券に説明して対応を協議します。また、大和証券に利用者として導入の検証に協力してもらう等、プロジェクトが確実に遂行できるように連携を行っています。

ゼロトラストセキュリティを手がけるプロジェクトリーダーを任されています。設計や構築が進む中で新たな課題が発生した場合には、課題を集中的に検討する分科会等を開催し、速やかな課題解消とコミュニケーションロスが起きないように努めています。

既存のファットクライアント端末の信頼確保や安全稼働を支え、現行セキュリティシステムの設計を熟知している技術者の一人としてプロジェクトに参加しています。ゼロトラスト環境への移行に際して、既存のセキュリティシステムについての理解は必須となります。チームの一員として、これまでの経緯や考え方を考慮した設計やレビューを担当しています。

私はプロジェクトの後半から参加しましたが、チームメンバーとして、自分自身のネットワークやパブリッククラウドに関する知識も活かしながらゼロトラスト製品から業務アプリケーションへの接続の設計を担当しています。

私はフロンティア研究開発センターに所属して、情報セキュリティ関連の先端技術の調査や開発、検証を担当しています。本センターは国内外のIT関連の政策やトピックスをまとめてレポートにまとめて、社内・社外に発信する役割を有しています。技術動向に関して開発チームから助言を求められたり、お客様への提案に同行したりすることもあります。

QUESTION.03

どのような取り組みがありましたか

「インターネット利用」と「社内アプリへのアクセス制御」を二段階で導入

大和証券の業務システムのゼロトラスト環境への移行は二段階に分けて行っています。まずインターネットへのアクセスを監視・保護する仕組みを導入して、Webサイト閲覧およびインターネットを安全なインフラ基盤として利用できる環境を整備しました。
続いてリモートワーク等で社外から業務アプリケーションにアクセスする際の高い信頼性を確保する仕組みを導入する予定です。
これにより社内の情報資産を安全に守りつつ、業務アプリケーションを自宅等の社外からより安全に利用できる環境が整うこととなります。

2020年にファットクライアント端末に移行しましたが、従来のセキュリティシステムは社用スマートフォンに未対応であり、業務アプリケーションへのアクセスはVPN（※4）を経由する必要がありました。新たに導入した製品ではこうした点についても改善を図りつつ、ゼロトラスト環境を実現しています。
導入に際しては、社内のネットワーク機器との接続において課題もありましたが、海外の製品エンジニアに解決策を問い合わせる等、開発チーム総出で対応にあたることで不具合の解消を図り、ゼロトラスト環境を予定通り提供することができています。

※4　「Virtual Private Network」の略式名称で「仮想専用回線」のことを指す。仮想の専用回線を介してインターネットに接続することで、パソコンやスマートフォン通信時のプライバシーや機密情報を守ることができる通信接続方式。

QUESTION.04

お客様とはどのように連携して進めましたか

大和証券の社員の協力を得て動作検証を実施

セキュリティシステムの移行に際して、新旧のセキュリティシステムが混在する状況は信頼性の低下を招くリスクがあることから、移行を短期間で済ませることが大和証券・大和総研双方の共通認識でした。
一方で、大和証券は全国に約300の営業部室店があり、そこで稼働するファットクライアント端末は約12,000台、スマートフォンは約7,000台と、当然ながら一括切替はリスクが大きいという課題がありました。そこで、大和証券のなかでも特にITリテラシーの高い部室店の社員の方500名に先行利用してもらうことで、早期にサイト閲覧上の不具合や課題を洗い出しました。
これにより、約19,000台の端末を2カ月間で切り替えることができ、大和証券のプロジェクトマネージャーから「短い期間で移行を完了してくれてありがとう」と感謝の言葉をいただきました。

今回導入したゼロトラスト製品の仕様上、大和総研が開発した業務アプリケーションの一部の改修が必要となりました。機能向上に直結しない業務アプリケーションの改修ではありましたが、大和証券・大和総研の関係者全員がセキュリティ強化の必要性やゼロトラスト環境整備の意義を理解していたこともあり、一丸となって対応を進めることができました。普段から丁寧な説明を心がけて緊密に情報共有を図る等、信頼関係の醸成に努めました。大和証券グループは、目的や意図を共有できれば、全力で協力してもらえる文化があることを改めて実感しました。

QUESTION.05

導入成果を教えてください

信頼性と柔軟性を両立した最新セキュリティ環境

ゼロトラストセキュリティの第一段階としては、社内外からのインターネット利用を監視・保護する環境のもと、不審なURLやIPアドレスへのアクセスを遮断します。その上で、ダウンロードされた実行ファイルや文書ファイルはサーバー上の隔離環境で開き、不審な振る舞いがある場合は入手を禁止します。このようにインターネット利用時の信頼性を高めたことで、従来よりも多くのサイトを閲覧することができるようになる等、利便性の大幅な向上が図られています。

業務上必要なWebサイトの閲覧が、意図せずブロックされてしまうと大和証券の業務に支障が出てしまいますので、Webサイト閲覧に関する大和証券からの要望には、速やかに対応する必要があります。今回、最新のゼロトラスト製品のAPI（※5）機能を活用した設定ツールを開発し、迅速な対応を実現しています。

※5　「Application Programming Interface」の略式名称でソフトウェアの一部機能を共有する仕組みを指す。API機能を活用することで、ゼロからプログラムを組むことなくソフトウェアの機能を容易に拡張することができる。

第一段階として整備したインターネットの保護・監視に続き、第二段階である社外ネットワークから業務アプリケーションへのアクセスを制御する仕組みの導入が完了します。これにより、サイバー攻撃リスクのあるVPN（※6）を使わずに、社外ネットワークから業務アプリケーションを安全に利用できるようになります。
なお、本プロジェクトでは、全ての業務アプリケーションについて、大和総研と大和証券にて何度も動作検証を実施しました。想定外のエラーもありましたが、迅速に対応した結果、大きなトラブルもなく移行を進めることができています。

※6　社外PCと社内LAN間のインターネット回線をトンネルのように他から見られないようにすることで安全性を保つ仕組みであり、セキュリティを担保することができる。
しかし、様々な理由で社内システムへの侵入経路となってしまい、サイバー攻撃が頻発していることが近年問題になっている。

QUESTION.06

プロジェクトを通じて得られたことを教えてください

自分で考えて判断し、行動に移せる力を習得

今回のようなセキュリティに関する案件では、時間をかけて隙のない完全な設計を考えることも大切ですが、そうしている間に脆弱性を突かれてしまっては意味がありません。利用者や協力会社の方から質問を受けた際に、迅速にレスポンスするためには日頃からさまざまな情報に対してのアンテナ感度を高く保ち、自分だったらどうするかと考えておくことが必要です。また、さまざまなステークホルダーに目的を説明し、協力を依頼することも多いことから、「自分の考えを自分の言葉で伝えられる表現力」も欠かせないと感じています。

今回のプロジェクトでは多くの関係部署やステークホルダーに概要を説明し、システム改修や動作検証を依頼する機会がありました。案件を円滑に進めるために、伝え方に配慮しながら納期やルールについて説明したり、進捗状況を随時確認したりと自ら考えて業務に取り組みました。能動的に動くということはどの仕事でも大切なスキルなので、物事の背景や目的を的確に把握し、自ら動くことができる人材になりたいと考えています。
今回、ゼロトラストという新技術に関わることができたのは自分にとって大きなプラスとなりました。今後は自分自身の強みであるネットワークとクラウドに関する知識やスキルを有するセキュリティのスペシャリストを目指したいと思っています。

QUESTION.07

プロジェクトの今後の展望をお聞かせください

脱VPNでゼロトラストセキュリティを加速

今回のプロジェクトによって、新たなセキュリティ環境のもとで社内外からのインターネットをより安全に利用できるとともに、社内ネットワークに負荷をかけることなく、業務アプリケーションを安全に利用できる環境が整うこととなります。将来的には、ビジネスの機敏性を高めるオールインターネット業務スタイルでのゼロトラストセキュリティの実現を目指します。
お客様のビジネスや企業価値の向上に貢献するためにも最新技術を積極的に取り入れ、先進システムの導入に果敢にチャレンジしたいと思います。

例えばリモートワークで自宅から社内ネットワークにアクセスした際にVPN装置がボトルネックとなり、パフォーマンスが低下するとった問題点が顕在化してきています。脱VPNからゼロトラストセキュリティ構築を果たした事例も増えています。
今回、大和証券というお客様の金融資産を預かるための堅牢なセキュリティを必要とする大手金融機関への導入は、セキュリティ対策の高度化の一例として業界をけん引するような事例になると考えています。今後、このソリューションへの関心はますます高まり、お客様への説明機会も増えることが予想されます。

今回、ゼロトラストを導入した背景には、異業種との提携や協業の推進といった金融業界の大きな変化があります。大和証券においても事業の多角化でグループ企業や提携企業も増えており、今後、提携企業も大和証券のファットクライアント端末を利用して、業務を行うケースも想定されています。
今回導入したソリューションでは、特定の業務のみ利用可能とするような制御も可能となっています。信頼性と柔軟性を高めたゼロトラストセキュリティの提供により、今後も大和証券のビジネスに貢献したいと考えています。