MUFGグループ内で唯一の専業ネット証券会社である三菱UFJ eスマート証券。同社は「完全システム内製化」と「MUFGグループ各社との協働」という強みを活かし、最先端のネット証券サービスの提供に取り組んでいる。

IT環境の高度化や利便性の向上に取り組む一方で、同社が一貫して重視してきたのがセキュリティである。「お客様の資産や個人情報を扱う以上、不正アクセスや情報漏えいは許されません。外部のサービスを利用してペネトレーションテストを定期的に行ったり、セキュリティ部門が規程や方針を定め、それに沿って各分野の担当者が実装・運用していく体制によって施策の実効性を高めたりしながら、全方位かつ継続的にセキュリティの改善を行っています」と、同社の宮本喜与士氏は話す。

最近ではデバイス環境の変化に対応し、アクセス制御の見直しを図った。

これまで同社は、業務用デバイスにVDIを採用してきた。データセンターに仮想デスクトップを集約し、物理PCからアクセスして利用するVDIはリモートワークに対応しやすい上、端末の展開や運用をシンプルにでき、物理PCにデータを残さない仕組みであることからセキュリティ強化の観点でも有効だ。

一方、これらの特徴は大きなメリットではあるものの、SEが多く在籍する同社では、PCに求める処理性能が年々高度化していた上、新しい技術を評価するために多様なOSのPCを活用したいというニーズが高まっており、VDIでは対応が難しい場面が増えていた。「“最先端のサービス提供”を目指すために、新しい技術に常に鋭敏であろうという文化があります。例えば、技術によってはMacでしか扱えないものもあり、既存のVDI環境では対応できませんでした。デバイス選びの柔軟性は、お客様に提供するサービスの品質を左右する重要な要素となります」と同社の仲西 翔氏は説明する。

そこで同社は、デバイス環境をVDIから一般的なファットデバイスへと移行した。ネットワークに依存せず安定した性能を発揮できる環境を整えるとともに、PCのスペックやOSに関する選択肢を広げるためだ。

また、デバイス環境の変化に伴いセキュリティの考え方も見直した。「VDI環境では、ユーザーがどこで作業していても、仮想デスクトップ自体はデータセンターにあります。そのため、システムやデータへのアクセスはデータセンターのゲートウェイで一括制御できていました。しかし、ファットデバイスでは同じ前提が成り立ちません。ネットワークアクセスの制御を根本から見直す必要がありました」と仲西氏は振り返る。

同社は、社員全員がオフィスに集まって業務を行うことを前提としていない。オフィスに出社する社員だけでなく、在宅勤務者、さらには協力会社のSEなど、同社の業務に関わる人材は社内外に分散している。当然、業務に用いるファットデバイスも各地に分散することになる。「オフィスにいる人より、社外にいる人の方が多いほどです。ファットデバイスがどこにあっても、同じ水準で安全性を担保できることがセキュリティの基本になります」と宮本氏は言う。

ただし、オフィス、在宅などのリモート環境、協力会社の拠点など、環境ごとに個別の対策を講じることは避けたいと考えていた。背景には、VDI環境を運用してきた経験があった。VDIは、仮想デスクトップ自体はセキュリティ対策を含めて統合的に管理できるが、仮想デスクトップにアクセスするための物理PCには別の対策を施す必要がある。結果、複数の対策を並行して運用する構成となり、管理が想定以上に複雑化する場面も少なくなかったのである。「管理が複雑になるほど運用負荷は高まり、それが対策の抜け漏れを生むリスクにもつながります。ファットデバイスに移行しても、できるだけ1つの仕組みでカバーできることが理想的だと考えていました」と仲西氏は話す。

こうした考えのもと同社が導入を決めたのが、ファットデバイスの所在にかかわらず、ネットワーク側で統合的にアクセス制御を行えるSASEである。

複数のSASEを比較し、同社が選定したのがパロアルトネットワークスの「Prisma Access」である。Prisma Accessは、ユーザーや端末、接続元の状況に応じてアプリケーション単位でアクセスを制御するZTNAをはじめ、インターネット通信を保護するSWG（Secure Web Gateway）、ネットワーク境界の役割を担うFWaaS（Firewall as a Service）、クラウドサービス利用を可視化・制御するCASB（Cloud Access Security Broker）など、SASEを構成する主要なセキュリティ機能を備えたサービスだ。

選定において、同社が重視したのは多様な業務アプリケーションへの対応である。同社には、長年にわたり利用している多様な業務アプリケーションがある。その環境において、アプリケーション側の改修や利用方式の変更を前提とする仕組みの導入は業務への影響が大きく現実的ではない。「同じSASEカテゴリに属していても、サービスによってはアプリケーションへの影響を避けられないものがありました。通信の終端や暗号化の方法が変わることで、特定のアプリケーションが正常に動作しなくなる可能性があったのです」と仲西氏は話す。

それに対しPrisma Accessは、アプリケーション側に大きな変更を加えることなく導入することが可能だった。「実際に業務利用を想定した検証を行い既存アプリケーションへの影響も確認しました」と仲西氏。その結果も踏まえ、同社はPrisma Accessが最も適した選択肢であると判断した。

加えて、将来的な利用拡大を見据えた際のスケーラビリティや大規模環境での運用実績がある点も安心材料となった。

Prisma Accessの導入によって、同社はファットデバイスを利用している場所に関係なく、共通のルールでアクセス制御を統合的に行える環境を実現した。ファットデバイスを安全に利用できる環境が整ったことで、ユーザーはPCの性能問題から解放され、Macをはじめ、多様なデバイスを選択できるようになっている。

アクセス制御は、ユーザーごとにポリシーを設定して行っている。「対策を1つにできたことで運用管理は非常に効率的です。しかも設定操作も非常にシンプルで各ユーザーの業務内容に応じたアクセス制御を柔軟かつ容易に行えます。例えば、特定の関係者とのやり取りに新たなコミュニケーションツールを利用したいというSEの要望を受け、必要なSEにだけアクセスを許可しましたが、そうしたポリシー変更もすぐに行えます。個別の業務要件に対応しながら、必要最小限の範囲でアクセスを認めることで、利便性を損なうことなくセキュリティレベルを高められています」と仲西氏は話す。

同社はパロアルトネットワークスの支援も評価している。「私たちの課題や状況を伝えると、Prisma Accessでどのように対応できるか、また導入スコープに含めるべき範囲はどこまでかを非常に明確に説明してくれました。導入後の計画までをはっきり見据えられたことで、スムーズにプロジェクトを進めることができました」と仲西氏は話す。

このように同社はVDIからファットデバイスへと舵を切り、Prisma Accessで安全性を強化した。デバイスの性能やOSの選択肢といった制約から解放され、最先端の技術を柔軟に取り込みやすい環境を整えた。セキュリティ面では、現在、BCP（事業継続計画）の見直しを進めている。

「ファットデバイスという自由度の高い環境と、Prisma Accessによる統合的なアクセス制御をどう使いこなしていくかは、今後の大きなテーマです。Prisma Accessに蓄積されたログを活用して最適なアクセスルールを整理したり、振る舞い検知を元に動的なアクセスのブロックを行ったり、アクセス制御のさらなる高度化に取り組みながら、金融機関としての安全性と最先端のサービス提供を両立させていきます」と宮本氏は語った。