企業はゼロトラスト／SASEという理想をどこから、どこまで目指すべきか――NTTデータ先端技術が一足早く導入した理由：特集：クラウドを用いて「SASE」で統合　セキュリティとネットワーク（2）

コロナ禍をきっかけに、急きょテレワークの拡大に追われたNTTデータ先端技術。既存のVPNを拡張するのではなく、ゼロトラスト／SASEに基づく新しいセキュリティ対策を取り入れた。その理由と利点、導入のポイントを聞く。

NTTデータ先端技術 セキュリティ事業本部 セキュリティソリューション事業部 ゼロトラストネットワーク担当部長 長田正彦氏

　新型コロナウイルス感染症（COVID-19）の感染拡大をきっかけに、急きょテレワークの整備や拡大に追われた企業は少なくなかったはずだ。NTTデータ先端技術も例外ではない。2020年1月の時点で、それ以前から導入してきたテレワーク環境を拡大して在宅勤務の比率を上げる方針を示したという。

　既に同社内で「OA系」と呼ばれているメールなどのシステムについては、NTTデータグループ共通のリモートアクセス環境を整備していた。VPN接続経由で自席のPCにログインした上でRDP（Remote Desktop Protocol）を用いて画面転送することによって、情報を持ち出さなくても業務が可能な仕組みを構築。事務や営業系の従業員なら、それだけで在宅勤務が可能な状態になっていた。

　問題は、同社の事業の中心、開発／保守業務だった。知的財産の塊といえる「開発ネットワーク」では、セキュリティの観点から、原則として社外からのアクセスを認めてこなかった。このため「開発／保守担当者は、テレワークに移行するのが難しい状況でした」と、NTTデータ先端技術 セキュリティ事業本部 セキュリティソリューション事業部 ゼロトラストネットワーク担当部長の長田正彦氏は話す。

部門で管理するネットワークとなるため、独自のセキュリティ対策が必要（出典：NTTデータ先端技術）

既存のVPNの仕組みでは間に合わない調達のスピード

　在宅勤務比率の向上が必要ならば、素直に考えると、既に整備されているグループ共通のリモートアクセス環境をそのまま拡張する方法が思い付くだろう。だが幾つかの理由からそれは困難だった。

NTTデータ先端技術 セキュリティ事業本部 セキュリティコンサルティング事業部 コンサルティングサービス担当チーフコンサルタント 佐藤雄一氏

　1つはスピード感だ。「1カ月の期限でテレワーク環境を整備しなければなりませんでしたが、OA系と同じようにVPN環境を整備するやり方では間に合わないことが分かっていました」（NTTデータ先端技術 佐藤雄一氏）

　一般的なやり方ならば、企業のプライベートネットワークアクセスと外部との境界にVPNルーターを設置して自宅からインターネット回線を通じてVPNルーターにコネクションを張り、このトンネルを経由して社内のリソースにアクセスする。このVPN接続には専用のアプライアンスが必要だ。また、インターネットやクラウドにアクセスする際の出口対策として、プロキシやファイアウォールといったゲートウェイセキュリティ機器も不可欠となる。

　「ただハードウェアアプライアンスの調達には、どのくらいの性能が必要かを計るサイジングが必要です。さらに、他のセキュリティ製品との組み合わせも検証する必要があります。それらの検討ができたとしても、そもそも機器の調達自体に2〜3カ月ぐらいの時間がかかってしまいます」（佐藤氏）

　もちろん、機器自体も決して安価なものではない。VPNを利用する従業員数に比例して処理性能が高い上位モデルに買い換えたり、負荷分散構成を取ったりしなければならないが、それには相応の投資が必要だ。

　加えて「VPNのテレワークには、接続先となるVPNルーターは必ず外部に公開しないといけません。もちろん、接続に当たっては何らかの認証をしますが、公開された出入り口に対するDDoSや脆弱（ぜいじゃく）性を突いた攻撃を受ける恐れもあります」（長田氏）

ゼロトラストセキュリティに着目して製品を導入