境界型モデルの限界を受け、段階的に進めるゼロトラスト化
国内外に多くの拠点を持ち、鉄鋼事業を中核とするビジネスを展開するJFEグループ。DXの推進に伴い、クラウドサービスの利用拡大やリモートワークの定常化が進む中、従来の境界型モデルを前提としたセキュリティの限界を感じ始めてきた。
そこで同社は、ゼロトラストセキュリティへのシフトを決断。SASEとしてパロアルトネットワークスの「Prisma Access」の導入を決めた。現在、各社ごとに異なるIT環境やセキュリティ成熟度を踏まえながら段階的に展開を進め、5万人規模の利用となる計画である。
Prisma Accessの導入によって、同社はネットワークアクセスを可視化し、制御を行える環境を構築中である。また、リモートワークや出張時もクライアントから直接SASEにアクセスすることで通信品質の向上も期待している。
今後はアプリケーション単位でのアクセス制御に取り組みながら、ゼロトラストセキュリティをグループ全体に定着させていく方針だ。
システム環境の変化や利便性の低下を受け
ゼロトラストセキュリティにシフト
日本を代表する大手鉄鋼メーカーの1つで、鉄鉱石を原料に最終製品の生産まで一貫して行っているJFEスチール、鉄鋼製品・鉄鋼原料・資機材などの販売・調達、物流、関連サービスを提供するJFE商事、プラント・社会インフラの設計、調達、建設や事業運営などを手がけるJFEエンジニアリングの3事業会社を擁し、鉄鋼事業を中核とするビジネスを展開しているJFEグループ。持株会社であるJFEホールディングスは、グループ全体の経営戦略立案やガバナンスを担っている。
グループにおけるセキュリティの舵取りもJFEホールディングスの重要な役割の一つだ。同グループは中核となる3つの事業会社と、その傘下のグループ会社を合わせると300社を超える。事業内容はもちろん、IT環境やセキュリティ成熟度も各社で異なり、単一の施策で一律にセキュリティ強化を図ることは難しい。そこで同社は、実情を踏まえながら、各社の自律性も尊重しつつ、全体最適の視点でセキュリティ方針の策定やシステム整備などを進めている。
「サプライチェーン全体を狙った攻撃が現実の脅威となる中、グループのどこかに“弱い部分”があると、それがグループ全体のリスクに発展するおそれがあります。単に統制力を強めれば、それが防げるとは考えていません。各社の状況を理解し、適切に対応しながらグループ全体のセキュリティレベルを継続的に引き上げていく必要があります」とJFEエンジニアリングとJFEホールディングスを兼務している根津 知男氏は話す。
グループのセキュリティをリードする組織「JFE-SIRT」の体制にも、こうした考え方が反映されている。JFE-SIRTは、JFEホールディングスの社員だけで構成される組織ではない。各事業会社からメンバーを集めて、ホールディングスと事業会社の連携を強化している。「各事業の現場を知る事業会社メンバーが参画し、インシデント対応、規程整備や共通施策の企画、実際の施策の展開などを行っています」と同様にJFEスチールとJFEホールディングスを兼務している濱野 智明氏は言う。
JFE-SIRTが現在、大きなテーマの1つとして掲げているのが、ゼロトラストセキュリティへのシフトである。従来は、内部とインターネットとの境界をデータセンターに置き、そこで社内外からのアクセスを集約し、防御するモデルを採用してきた。しかし、DXの推進に伴い、クラウドサービスの利用拡大やリモートワークの定常化が進むにつれ、この従来のモデルではセキュリティと利便性の両立が困難となってきた。従来モデルではセキュリティのため境界にアクセスを集約する必要があり、境界点が通信のボトルネックとなってしまっていた。また、アクセス先やアクセス数に応じた迅速かつ柔軟な構成変更や拡張でも難しさがあり、フレキシビリティやスケーラビリティの面でも課題があった。
グローバルかつ大規模環境で
安定して利用できることを重視
ゼロトラストを実現する手段として、同社が決めたのがSASE(Secure Access Service Edge)の導入である。従来のような境界型ネットワークに依存せず、SASEを通じてグループ全体のネットワークアクセスを制御することで、場所や拠点に左右されない安全なアクセスを実現しようと考えたのである。
ゼロトラストの実現手段としては、個別の製品を組み合わせるという選択肢もあったが、全体の最適化を図り維持し続けることも重要であることから、その負荷も考慮して統合型のサービスであるSASEを選択した。また、ネットワーク側でトラフィックを制御するSASEであれば、アプリケーション側に大きな変更を加えることなく導入し、そこで利用者や接続元の状況を踏まえた柔軟な制御が可能になる点もメリットであった。
SASEの選定にあたっては、まずグローバルで安定して利用できることを重視した。世界各地に拠点を持つ同グループにとって、地域によって品質にばらつきのあるサービスは現実的ではない。また、将来的に約5万人規模のユーザーが利用することを想定し、その規模にも耐えうる安定性とスケーラビリティを求めた。
十分な実績に安心感
「Prisma Access」を採用
こうした要件のもと検討を重ね、同社が選定したのがPalo Alto NetworksのPrisma Accessである。
Prisma Accessは、SASEを構成する主要なセキュリティ機能をクラウド上で提供するサービスである。ユーザーや端末、接続元の状況に応じてアプリケーション単位でアクセスを制御するZTNAをはじめ、インターネット通信を保護するSWG(Secure Web Gateway)、ネットワーク境界の役割を担うFWaaS(Firewall as a Service)、クラウドサービス利用を可視化・制御するCASB(Cloud Access Security Broker)などを備えている。
同社が重視した要件についてもPrisma Accessは、グローバルかつ大規模な利用を前提に設計されており、世界各地の基盤を通じて、地域による品質差のないサービスレベルを実現している。またスケーラビリティについても、すでに大規模環境で稼働している事例を持っている。「Palo Alto Networks社のネットワークセキュリティ分野におけるこれまでの実績も大きな安心材料でした」と根津氏は話す。
セキュリティと利便性を両立
ゼロトラスト実現に向けた第一歩
現在、同社はPrisma Accessのグループ各社への展開を段階的に進めている。計画は現在進行中であり、セキュリティと利便性の両面で効果発現を期待している。
まずセキュリティ面では、場所や拠点に関係なく、あらゆるネットワークアクセスをPrisma Accessで制御できるようになる。これにより従来の境界型ネットワークでは把握が難しかった通信も含めて利用者や接続元の状況を横断的に可視化し、社内およびクラウド上のシステムやデータへのアクセス制御を統合的に行える環境が整った。
また、利便性の面ではリモートワーク中や出張中など、従来、データセンターを経由していたインターネットアクセスについては、利用場所に近い経路からPrisma Accessを経由する通信が可能になり、遅延リスクなどの抑制を期待している。
「グループ各社への展開を進め、個別にファイアウォールなどを導入・運用している海外拠点などもPrisma Accessに収容することで、上記の効果に加え個社の運用負荷軽減にもつながることを期待します」と濱野氏は話す。
アプリケーション単位の
アクセス制御を見据える
同社は現在、Prisma Accessによるネットワークアクセスの可視化を中心に進めているが、今後はアプリケーション単位でのアクセス制御やポリシーの高度化も視野に入れている。「アプリケーションは利用実態や重要度がさまざまです。影響範囲や運用負荷を見極めながら、適切な方法を選択し、慎重に進めていきます」と根津氏は話す。
今回の取り組みは、同社にとってゼロトラストセキュリティの実現に向けた1つの節目となる。今後もグループ各社の状況を踏まえながら、段階的かつ確実にゼロトラストセキュリティへの移行を進めていく考えだ。
この事例を共有
