ドコモ・システムズと日立、シスコがゼロトラスト対応の「次世代テレワーク基盤」を構築

これまでのテレワーク環境は、社内と社外のネットワークを分離する「境界型セキュリティ」に基づいて構築されており、この方式ではテレワークが増加するほどにネットワーク帯域が逼迫し、通信の遅延や切断といった利便性の低下の要因になっていた。

そこでドコモ・システムズ株式会社、株式会社日立製作所、シスコシステムズ合同会社は、クラウド側とエンドポイントとなる端末側で、常にすべてのアクセスを監視し、認証・認可を行うゼロトラストネットワーク技術を活用したリモートワーク基盤、「次世代テレワーク基盤」を構築した。

「次世代テレワーク基盤」の主な特徴は以下の通りだ。

「次世代テレワーク基盤」の特長

アカウント管理・認証

  • アカウント管理・認証を行うAzure Active Directoryと、多要素認証が可能なCisco Secure Access by Duoを組み合わせ、ID管理と多要素認証の管理を分けた上で連携して取り入れることで、強固な認証環境を提供。
  • アカウントの振る舞いからリスクを検知した場合、早急にアカウントを凍結し、不正なアクセスを防ぐ。
  • 異なるベンダー間のシングルサインオン連携により、ユーザーは1回認証を行えば、自社システムやMicrosoft 365など必要な業務アプリケーションにシームレスにアクセスすることが可能。

インターネットアクセス制御と社内システム・アプリケーションへのアクセス制御

  • 危険サイトや利用禁止サイトへのアクセスを防ぐセキュアインターネットゲートウェイ(SIG)であるCisco Umbrellaを導入することで、全通信を対象に高度なセキュリティを確保する。例えば、クラウド上に配置したドメインネームシステム(DNS)でドメインやIPアドレスを確認し、危険と判断されるアクセスをブロックする。
  • Cisco Umbrellaはセキュアウェブゲートウェイ(SWG)としても機能し、クラウドアプリケーション制御機能(CASB)により、利用状況を可視化し、社員が勝手に使用するリスクの高いアプリケーション(シャドーIT)を個別にブロックするなどのセキュリティサービスを導入することが可能。
  • Cisco Secure Access by Duoにより、アカウント認証後も、OSのサポート切れなどデバイスの状態や、アクセス場所およびデバイスとネットワークとの整合性などのセキュリティポリシーをチェックし、問題があった場合は社内システム・アプリケーションへのアクセスをブロックすることが可能。

デバイス保護・管理

  • エンドポイントとなる端末の監視の強化として、Microsoft IntuneとMicrosoft Defender for Endpointを導入することで、ログ情報を常時取得・分析処理し、サイバー攻撃のマルウェアやウイルスをリアルタイムに検知、管理者に迅速な通知を行う。
  • Azure Information Protectionにより、端末に保存されている機密データを保護することができ、万一の端末紛失やウイルス感染にも対応することが可能。