NTTデータは、今年度(2021年3月期)末までに原則としてゼロトラストネットワークへの移行を目指す。全世界約13万3000人の従業員、および協力会社従業員の一部が対象となる見込み。これだけの規模でゼロトラスト環境へ移行するSIerは国内では初めて。古いシステムや顧客指定の開発環境などで移行が難しいケースが存在するが、NTTデータがクラウド上に構築してきた「統合開発クラウド」に段階的に移行を促していく。また、自らの経験や移行ノウハウを顧客企業向けのビジネスにも応用していくことで、ゼロトラストネットワーク関連ビジネスの受注拡大に弾みをつける。(安藤章司)
世界7人のCISOを中心に移行を推進
NTTデータが今年度末を目標にゼロトラストネットワークへの原則移行を決めたのは、コロナ禍でリモートワークに移行せざる得ない状況に直面したからだ。世界のグループ会社のうち、北米の主要子会社のNTTデータサービシーズは、コロナ禍より前にゼロトラスト環境に移行済みで、「非常にスムーズにリモートワークに移行できた」(NTTデータの本城啓史・システム技術本部セキュリティ技術部長)実績も移行を後押しする。一方、国内に目を向けると「境界防御型」のシステム構成がメインで、今年4月の緊急事態宣言の直後はVPNの接続口が不足。正常に接続できるようになるまで数週間の時間を要した。
本城啓史 セキュリティ技術部長
移行に当たっては、グローバルに配置している7人の最高情報セキュリティ責任者(CISO)が中心となり、地域同士が連携して推進していく。内訳は日本を含むアジア太平洋の3人、EMEA(欧州・中東・アフリカ地域)の3人、北米の1人のCISOからなり、それぞれの地域ごとの業務内容や課題を洗い出す体制を組む。国内で課題となるのは、「古いシステムの維持改修や顧客指定の開発環境で開発業務を行っている部門」だという。メールやグループウェアなど情報系システムの移行ハードルは比較的低いものの、SEが使う顧客向けシステム開発環境には固有の要件が多く残っており、移行には一定の時間がかかる見通し。
NTTデータでは、ウォーターフォール型やアジャイル型などの開発手法に合わせて独自の開発ツール群を整備しており、17年からはこれら開発ツールを同一環境上に統合する「統合開発クラウド」の適用拡大を精力的に進めてきた。緊急事態宣言の直後を振り返ると、VPNの接続口不足で混乱する一部の固有の開発環境に対して、統合開発クラウド上で開発するプロジェクトへの影響は最小限度に抑えられた。プロジェクトごとの事情はあるものの、「開発環境を段階的に統合開発クラウドに集約していく」ことで、ゼロトラスト環境への移行促進やリモートワークへの対応力を高めていく。
データ保護の運用体制がカギ握る
また、本城部長は「データをどこに保存し、どう保護するかの運用面では、克服すべき課題が多い」と指摘する。ゼロトラストネットワークとは関係なく、例えばAWSをはじめとするパブリッククラウドや、Microsoft 365などのクラウド版オフィスソフト、Boxなどのオンラインストレージを使い始めるときも同様にデータ保護を巡って意見が対立しやすい。ゼロトラスト環境の特徴でもある認証部分の技術的なハードルよりも、「データ保護をどう担保するかが、スムーズな移行のカギを握る」と見ている。
具体的には、データの重要度に合わせて機密度を分類し、絶対に漏洩してはならないデータは厳重に暗号化し、外部に送信する挙動を検知した瞬間に通信を遮断する仕組みを導入する。その他のデータについても漏れていたり、改ざんされていないかを検証する機構を組み込むといった取り組みが求められる。機密の度合いによってどこまでデータのやりとりを認めるかを策定し、かつ24時間体制で監視する運用体制の確立が、ゼロトラスト環境に移行したあとの情報セキュリティの保全に役立つ。
NTTデータは、ゼロトラスト関連に技術面のみならず、運用面のノウハウも体系化し、顧客企業に向けた外販ビジネスに応用していく。本城部長は社内の情報セキュリティやゼロトラスト移行を担当すると同時に、蓄積した技術やノウハウの外販を推進する役割も同時に担っている。折しもコロナ禍でゼロトラスト移行の需要は世界的に高まっており、「国内外の事業部門と密接に連携してゼロトラスト関連ビジネスの受注増につなげる」と力を込める。
NTTコムもゼロトラストに注力
不正アクセスの教訓を生かす
NTTコミュニケーションズは、今年5月に発覚した同社への不正アクセスの教訓を踏まえ、ゼロトラスト環境を基本とする情報セキュリティ対策に力を入れている。境界防御型のセキュリティの壁が突破されてしまうと、容易にデータを参照できてしまう構造を問題視。5月に発覚した不正アクセスではどのデータが参照されたかを調べるだけでおよそ1カ月の時間を要した。
ゼロトラスト環境では、端末認証を徹底し、誰がどの情報を参照したのかを遡って検証できるのはもちろん、不審な振る舞いからリアルタイムで不正を検知する仕組みを導入し、さらには重要データの暗号化を一段と強化するなどの対策を打っている。この10月に開催したイベント「デジタルフォーラム2020」の基調講演で登壇したNTTコムの丸岡亨社長は、「知見やノウハウを自社のサービスに反映して顧客に提供していく」と、ゼロトラスト関連のビジネスに生かす方針を示している。
