ITmedia NEWS > セキュリティ >
ニュース
» 2021年01月25日 10時00分 公開

ZOZOテクノロジーズがゼロトラストなセキュリティ体制に移行 そのきっかけは?

コロナ禍で在宅勤務が広まる中、ゼロトラストの考え方を取り入れたサイバーセキュリティに注目が集まっている。そんなゼロトラストのセキュリティ体制を、コロナ禍以前から取り入れているのがZOZOテクノロジーズだ。同社の荻原直也さんに導入の背景やコツを聞いた。

[谷井将人,ITmedia]

 コロナ禍で在宅勤務が広まる中、「ゼロトラスト」の考え方を取り入れたサイバーセキュリティに注目が集まっている。ネットワークの内側と外側を区別せず、全ての通信を等しく疑って監視するという概念のことで、通信を監視するツールや、ユーザー・端末の権限を管理するツールなどの組み合わせで実現する。

photo ZOZOテクノロジーズのWebサイト

 そんなゼロトラストのセキュリティ体制を、コロナ禍以前から取り入れているのがZOZO子会社のZOZOテクノロジーズ(東京都渋谷区)だ。同社は、2019年8月にリモートワーク制度を導入。同じタイミングでゼロトラストを実現した。

 今回は、同社の荻原直也さん(コーポレートエンジニアリング部長)に導入の背景やコツ、これからゼロトラストのセキュリティ体制を構築する人へのアドバイスなどを聞いた。

当初は働き方改革の一環だった

 ZOZOテクノロジーズがリモートワーク制度を導入したのは、働き方改革の推進が目的だった。少子化による労働者不足などの社会問題がある中で、生産性の向上や労働力の確保を実現するため、従業員のライフスタイルに合わせた環境作りを目指していた。

 従業員の多くは制度の導入後も基本的に出社していたが、コロナ禍の到来で20年3月から原則リモートワークになった。21年1月には日本全国でのテレワークを認める新制度を導入。ゼロトラストのセキュリティ体制がまさに今、リモートワークを陰で支えている。

photo

 荻原さんは「もしゼロトラストセキュリティ体制を構築していなかったら、セキュリティが担保できず、リモートワークする許可が出なかったかもしれない」と話す。20年3月以降、これまで大きなインシデントや攻撃による被害は受けていない。それどころか、同社はコロナ禍における強制リモートワーク状態でも、生産性を落とさずに済んだという。

製品導入の流れ

 同社のセキュリティチームが経営陣からリモートワーク制度の話を聞いたのは18年11月。制度開始までに、従業員がPCを社外に持ち出すことを前提としたセキュリティの仕組みを構築する必要が出てきた。従業員がオフィスにいることを前提に、社内にある端末を守る体制では、リモートワークで端末が社外に持ち出された途端に守り切れなくなってしまう。

 検討の結果、セキュリティチームは19年4月、ゼロトラストのセキュリティ体制の構築に向けて米Microsoft製セキュリティ製品を導入する方向で検証に入った。従業員が使う端末を監視し、不審な動きがあれば通知する「EDR」(Endpoint Detection and Response)、モバイル端末を管理する「MDM」(Mobile Device Management)、クラウドへのアクセスを監視する「CASB」(Cloud Access Security Broker)などの製品の効果を検証した。オフィスの内外に関係なく、全ての通信を監視することで、社外での作業に対応する体制を整えた。

photo MicrosoftのCASB

 1社の製品で固めたのは「セキュリティ製品同士の相性が良くトラブルが少ない」「Windows端末だけでなくMacなども一括で管理できる」というメリットがあるからという。

 19年7月には上記の製品を本番環境に導入。8月にはZOZOテクノロジーズでリモートワーク制度を始めた。親会社のZOZOでも同じプロセスで導入を進め、合計約1000人、3000台以上の端末を抱える両社のリモートワークを支えるセキュリティ体制を整えた。

 導入の過程について荻原さんは「ZOZOテクノロジーズは、課題に対して今までにない手法で行動を起こすことを推奨しているのでスムーズだった」「みんな協力的に動いてくれて、感謝もしてくれるので、セキュリティチームもモチベーションが高いまま仕事ができた」と振り返る。これといった困難はなかったという。

ゼロトラスト体制を構築する際のアドバイス

 生産性を落とさずにリモートワークができる体制を構築する際に重要なことは何か。荻原さんは一言「運用コスト」と答えた。ここで言う運用コストは、金銭面はもちろん人的資源のことも含む。「製品を複数組み合わせたときにシンプルな運用ができるかがポイント」(荻原さん)という。

 別々のツールを導入し、それぞれに異なるセキュリティ基準を設定して運用すると、管理する人間を増員する必要が生じるという。1社の製品でまとめた理由の一つとしてWindows端末もMac端末も一元管理できることを前に挙げたが、これも人的コストを抑えることを重視した結果だった。

 同社は今後、デバイス管理ツールなどから得られるデータを会社の運営に生かせないかと検討している。セキュリティ面での活用はもちろん、取得したログデータを基に、業務で使っているSaaSの利用状況を調査して棚卸しするといった、セキュリティ以外の場面での活用も探っていくという。

Copyright © ITmedia, Inc. All Rights Reserved.