コロナ禍がきっかけとなり、「SASE」「ZTNA」などと呼ばれるセキュリティフレームワークの考え方と、これを支える技術群に関心が集まっています。社内ユーザーのうち、誰をどのように守ればいいのか。そのためにはどういう技術をどう活用すれば良いのでしょうか。
今回は2022年5月16日(月)~ 2022年5月19日(木)に行われた「@IT NETWORK LIVE Week 2022 summer」の基調講演に登壇したパーソルキャリア シニアエンジニア 柿田の講演よりSASEの導入事例から、エンジニアが働きやすい環境の構築のメソッドをレポートします。
- SASE導入ステップとは
- 重要なのは個々の状況に応じて必要な機能を利用すること
- SASE導入:パーソルキャリアの課題定義
- SASEの機能:【セキュリティ機能】【ネットワーク機能】の2つ
- SASE導入マイルストーン:導入まではすぐ!ただ本格導入は慎重に
- まとめ:ツールの導入ではなくニーズを把握し段階的な導入を
SASE導入ステップとは
柿田: “ゼロトラスト”または“SASE”のソリューションを導入する、となった場合にどこから始めればいいか、どういうステップで導入をしていけばいいのか。
一般的に大きく分けて6ステップであると考えています。
- ID基盤整備
→いわゆる認証認可 - デバイス保護
→MDM/MAM/EDRなどによるデバイスセキュリティー保護。こういった機能を使うことによってエンドポイントのセキュリティを担保する - ネットワーク周りの整備
- ネットワーク周りの整備
- クラウドサービス利用の可視化やアクセス制御の実現
- 社内アプリの監視や分析
このような大きなステップで導入していくというのが一般的です。
では我々パーソルキャリアの現状は、若干順番が前後していますが、STEP1,2,5,6が導入済みで、STEP 3~4のところが現在対応中というステータスです。
ID基盤の部分はIdPの製品を導入することによって、認証認可のとこを一元管理できるようにしていて、デバイスセキュリティーはEDRを導入することによって実現しています。
実装した内容がちゃんと適切に正しく動いているかの確認や不正アクセスの監視は、SIEMやCASBを導入して実現しているという状態ですね。
重要なのは個々の状況に応じて必要な機能を利用すること
弊社パーソルキャリアにおける導入状況を説明しましたが、これはあくまで一例です。“ゼロトラスト”や“SASE”というのは、その導入が目的ではなくて、個々の状況に応じて必要な機能を利用することが導入のポイントだと考えています。
それぞれの自社のニーズや状況を把握したうえで、当社の事例を聞いていただきながら、「我々もやってみようかな」というように最初の1歩を踏み出すきっかけになれば、ということで今回のお話をいたします。
では早速「なぜパーソルキャリアが“ゼロトラスト”や“SASE”を導入することになったのか?」パーソルキャリアのエンジニア組織の歩みから紐解いていきます。
たった2人から始まったエンジニア組織
パーソルキャリアは会社としては30年ぐらいの歴史があるものの、エンジニア組織で言うと10年ぐらいと、非常に歴史の浅い組織です。エンジニア組織の始まりは2012年にテクノロジーと事業の間を仲介する存在として2名のエンジニアからスタートした【BITA】から始まります。
そこから少しずつエンジニアの採用を増やしていき2017年デジタルテクノロジー統括部立ち上がり、ようやく3年前の2019年に本部の単位としての立ち上げをするまでになりました。
現在、エンジニアの規模は大体370名ほどになりました。直近ではデザイン推進を専任とする組織も規模を拡張し、UIやUXの向上を役割とした組織も内包しているというのが、今のエンジニアリング組織全体像です。
外注中心だったものが人の採用に伴って内製開発強化に舵を切るというような変遷になっています。このように組織としては順調に拡大を続ける一方、1つの課題に直面しました。
それは
「エンジニアリング用の環境って…ないんでしたっけ?」
という単純な内容でした。
課題の原因は会社の“歴史”と“体制”
なぜそのような課題が顕在化したのかというと大きく2つ原因があります。まず1つが<歴史的な背景>。先ほどの通り元々は営業職中心の会社であり、エンジニアの数がそもそも少なく、経営判断として「少数派向けの環境をわざわざ用意する必要があるのか」となるのは当然で、開発も外注前提でした。
故にエンジニアリング用途の開発環境が存在しませんでした。本番データも共存する唯一の環境上で開発業務を行う、すなわち制約がだいぶかかった環境が、脈々と受け継がれてきてしまったというのが原因の1つです。
もう1つはルールや体制に伴う課題です。外部のクラウドサービスを利用するには、コンプライアンス部門内にある情報セキュリティや法務などの確認が必要となります。例えば外部のサービスを使いたいと言った時に都度コンプライアンス部門の承認を得る必要があるのですが、どうしても非エンジニア領域のメンバーですので、説明や理解を得るには、膨大な時間と労力がかかってしまい、結果エンジニアは本来の開発業務に専念できない状態になっていました。
外部環境も大きな要因に
加えて、内部の要因だけではなく、この1~2年で劇的に変化した外部環境も大きな要因となります。ニューノーマルという言い方もされていますが「リモートワークが標準化している」という前提で働きたいという人材も増えています。よってエンジニアリングの適切な環境を整備することで採用競争力を高めることにも繋がります。
ただ環境を整えた上でセキュリティ部分、巧妙化しているサイバー攻撃には備えないといけません。実際に内部の社員のメールアドレスになりすましたような攻撃を仕掛けてくる事例も発生しているためマストで対策を講じる必要があります。
このように、内部要因だけではなく外部環境の変化に対しても、対応を考える必要がありました。この様な環境変化に対してもし何も対応しなければ、エンジニアの生産性が低下して、テクノロジードリブンでのサービス企画やアジリティ高いプロダクト損失ができない、すなわち企業価値の低下の大きな原因になりかねません。
また、社員のワークエンゲージメントが低下し、離職率の高まりや、優秀なエンジニアを採用する場合に苦戦することが予想されるので、このまま放置するわけにはいかない…ということで、改めてエンジニアが業務をしやすい専用の環境を構築しようという運びになりました。
SASE導入:パーソルキャリアの課題定義
ではパーソルキャリアではどういう課題定義をしてどういう機能を導入しているのかという部分をご紹介いたします。
お伝えしたとおりSASEやゼロトラストというのは、それ自体を導入することが目的ではなくて、それを導入実現することによって何を改善及び解消するのかの設定が1番重要な部分です。よって我々パーソルキャリアでも「現状における課題はそもそもなにか?」というのを整理し課題2点の解消を目的として設定をしております。
- 外部のクラウドサービス
「これを使いたい」という時にも、非常にハードルが高すぎて簡単に使えない状態になっている。 - 1により開発効率/柔軟性の低下を招いている
この2つの課題解消を導入の目的として設定をしています。
SASEの機能:【セキュリティ機能】【ネットワーク機能】の2つ
一般的にSASEと言われる機能は【セキュリティ機能】【ネットワーク機能】の2つに分かれます。ここからはそれぞれどういった背景で機能の採用を決定していったかをご説明いたします
まずは【セキュリティ機能】として<SWG>を採用しております。
外部のクラウドサービスをより柔軟に効率的に使わせるというところが目的の1つですので、SWGの中に含まれるクラウドプロキシの機能や、URLフィルタリングというのはまさしく必須の機能ですのでここはまず採用となりました。
またクラウドの操作単位制御の為、DLP機能や<CASB>も採用をしております。DLP(データロスプリベンション)とはパターンマッチングのようなもので、予め定義した情報区分とマッチングを行い、該当する場合にはその取扱を機械的にブロックすることで、不正な情報漏洩防止できる機能です。情報管理においては必須ということで採用に至りました。
導入ステップの部分で少し触れましたが<EDR/SIEM>については、デバイスのセキュリティの確立のために必要になりますので、同じように採用しています。また<IAM>も、導入ステップの最初の部分、認証・認可を一元管理できるようにするという目的で採用しております。一方で全てを一斉に始めようとすると、工数もかかってしまうので、暫定的にVPNで対応できているオンプレアクセスは見送り、次フェーズで対応しようとなりました。
【ネットワーク機能】については様々なサービスがありますが我々は<NaaS>を導入中です。外部のクラウドサービスをより柔軟にで、効率的且つセキュアに使えるようにするという目的にアジャストさせるため、インターネット経由での接続を排除してハイパースケーラーとオンプレ間を専用線接続するサービスを導入しています。
SASEの機能:必要なのは“最低限のガードレール“
細かく導入機能のお話をしましたが、あくまで目的はクラウドサービスを自由かつ柔軟に使ってもらいたい、ただその上で最低限のルールの設定や守るためのガードレールっていうのを設ける目的で使っている、というのが基本的なコンセプトになります。
では「最低限のガードレールを設けるというが、実際にどういう実現しているのか?」CASBで制御している内容をご紹介いたします。
こちらの図でいうと(上図参照)一番上の個人アカウントでのログインは原則ブロックしています。会社が提供する端末でも、個人のアカウントを使って個人で利用しているようなサービスにログインしてしまうと、そこが情報の漏洩の入り口になってしまいます。やはりこういったところは最低限ブロックするというポリシーは必要です。またWebメールで外部に配信されてしまうと、他情報漏洩の入り口になってしまいますので、利用プラットフォームを制限してブロックしています。
クラウドストレージに対するセキュリティはデータ持ち出し部分に少し工夫を加えています。例えば少しずつ外部にファイルを持ち出そうとしているようなケースがある場合に、それをいかにして検出するかを検討した結果、一定のサイズ以上のものをクラウドストレージに対してアップロードしようとすると、「これどういう目的でこのアップロードしようとしていますか」という事由を記載させるようにしています。この記載の承認後、許可させるフローを入れることによって外部漏洩のリスクに備えつつ、クラウド利用に対してある程度の自由化を実現しています。
SASE導入マイルストーン:導入まではすぐ!ただ本格導入は慎重に
ここまでは主なSASE機能についてご説明しましたが、ここでパーソルキャリアの導入マイルストーンを例にして、導入に対する特徴を2点ご紹介します。
1つは実際に導入することを決めてから触り始めるまでのリードタイムの短さです。2020年2Qにこのプロジェクトを立ち上げようという意思決定をしていますが、要件定義を始めてから、同じ2Qの間にもう環境を触り始めており、3Qの早々に利用開始を始めています。導入をしようと決めてから、実際に現場に展開をして触り始めるというところまではそこまで難しい専門的なスキルを要することなく始められる、というところがポイントです。
ただし別ベクトルの重要ポイントとして“本格展開は慎重に”というのがございます。導入する機能は、基本的には守りの部分に寄与する機能だと思います。一方でパーソルキャリアでは、あくまで現場の業務の効率性や柔軟性を上げる目的の元に導入します。この場合、掲げた導入の目的に反して、例えば、あるエンジニアが「今まで普通に使えていたサービスがこの仕組みを入れることによって急に使えなくなる様なこと」があると、それによりネガティブなイメージがつくことによって導入の弊害が生まれてしまう可能性があります。ネガティブな状態が極力発生しないようにするために段階的に投入をしていくようにしているため展開の期間が若干長くなっているというようなスケジュールになっています。
導入の注意点:非エンジニアへの理解が初期段階では重要
ここからはプロジェクトを進める上で実際に注意した点をご紹介いたします。
まず、1つが<社内ステークホルダー>との丁寧な調整です。図の左側の通り、“守る側の目線”と記載しましたが、テクノロジー側ではなく、現状、非エンジニアであるコンプライアンス側に承認権限がある一方、必ずしも専門用語に明るいわけではありません。
“守る側”としては情報漏洩や事故発生させないということが第1優先です。“守る側“からすると新しいものを導入し、仕組みが変わったことにより、新たなリスクが発生するのでは…という懸念があったと思います。
そこで私たち”攻める側の目線“として、ただ縛るばかりではどうしても生産性が上がらず、結果的に人が離れていってしまう。よってそれを一定緩和するも、その為に導入する新しい制御の仕組みや内容をプロジェクトの初期段階で時間をかけて、守る側の目線で丁寧に説明するようにしました。ここで共通理解が得られて同じゴールを目指す枠組みができたと思います。
導入の注意点:エンジニアに対しての“棲み分け理解“と”プライバシー配慮“
もう1つ注意した点は、セキュリティに関心の高いエンジニアの取り込みです。前途の通りパーソルキャリアのエンジニア組織が本部として集約されたのが、ここ3年です。それまではそのサービス自体や、プロダクト、組織単位で個々にセキュリティ対策が取られていました。
そこに新しい守りの仕組みを入れようとすると、現場では一部同じ仕組みが入っているというような状態が発生してしまいます。そこで簡単に<実装済みのセキュリティ対策と制御の目的との棲み分け>を整理して理解を得る方法で進めています。
この図の下半分が我々のプロジェクト側です。上は既に利用されている個別のセキュリティ対策であり、一見すると対策に重複感が生じます。
ただ我々が提示しているのは「不特定多数のサービスを柔軟に広く、最低限のガードレールで使用いただくためにこの仕組みを導入している。決して対立関係が発生するプロジェクトの進め方ではない」という説明を丁寧に行い、理解を得て実際のプロジェクト推進をしました。
もう一点、エンジニアリング業務の中には、例えば機械学習や出力したデータの分析、またUI/UXデザインなど、職種は多岐に亘るため、それぞれで不自由なく利用できる環境を展開していただけるよう工夫をしています。
あとは、<プライバシーに対する配慮>にも気を使いました。昨今、心理的安全性というキーワードはいろいろなところで出てきますが、こういった仕組みを入れると感度の高いエンジニアは「会社がブラウジング履歴をチェックしているのでは」「誰かがずっと監視している」のではと心配になり、構えてしまった結果、萎縮してしまって生産性を下げてしまうという懸念もありました。
正直にお伝えをすれば、アクセスログは確かに蓄積していますが、常時誰かが監視しているわけではありません。ただやっぱりどうしても内部犯行が発生してしまった時のために、「蓄積しているログからトレースする」、また内部犯行の発生を未然に防ぐ意味で「明らかな不正流出や業務外サイトの閲覧や操作に関しては確認が入る」という2点については事前に同意してもらうようにしています。
まとめ:ツールの導入ではなくニーズを把握し段階的な導入を
まとめですが、「SASEやゼロトラストは、導入が目的ではなく、それを導入することによって何を実現するのか」「どういった課題を解消するのか」というところが一番重要なポイントなります。
皆様の自社のニーズに照らしあわせて、この部分は使ってみた方がいい、この部分なら導入できそうかな、など段階的に導入を進め行くことを検討いただければと思います。
また現場の業務を止めてしまっては、本末転倒ですので、利用者の方のフィードバックを大切にしながら、現場の業務を止めないことを重視し、利用者の協力を得て進めるというマインドを忘れずに進めていただければ幸いです。
編集後記:
パーソルキャリアでは、今回のSASE導入をエンジニアリング環境だけではなく、さまざまな職種やグループ会社への展開も検討しています。「重要なのは導入する事ではなく、何を実現するのか」と繰り返していた柿田の話からは、巧妙なサイバー攻撃から自社を守り、一方で社員がパフォーマンスを最大限発揮できる自由な環境の双方をバランスよく両立していくことが改めて重要だな、と理解しました。
今後もtechtektでは、これらの取り組みをリアルにお伝えしていきます!
柿田 一 Hajime Kakita
デジタルテクノロジー統括部 デジタルソリューション部 CODグループ シニアエンジニア
2020年6月入社。金融系のシステム保守からキャリアをスタートさせ、2社目の金融系シンクタンクではシンガポール駐在含めPMとしてITインフラ開発に関わる案件全般やチームマネジメントに従事。パーソルキャリア入社後はエンジニアが働きやすい環境作りに従事しており、それに伴う社内ルール、プロセス、体制の見直し等に至るまで幅広く取り組み中。
※2022年6月現在の情報です。