課題
・コロナ禍で多様化を求められる新しい働き方を高いセキュリティで実現したい
成果
ビジネスニーズに素早く対応できるアジリティの確保
機能と体制の集約による高度な運用体制の整備
SaaS利用によるグローバル拠点管理コストの削減
第一生命ホールディングス株式会社 の概要
北米、アジアパシフィックに構える9つの生命保険会社をはじめ、国内外に広く保険事業を展開するグローバル企業の第一生命グループ。グループ全体のセキュリティガバナンス態勢の底上げ、急加速度で進化するクラウドサービスを活用したビジネスアジリティの確保、そして新型コロナにも負けない強靭なワークスタイルの実現のためには、従来型のセキュリティ対策には限界を感じていた。そこで、選ばれたのがゼットスケーラーだ。クラウド上のゼットスケーラーにセキュリティ機能を集約することで、これらを安全かつ円滑に実現することを目指している。まずは持ち株会社である第一生命ホールディングスのグローバル拠点のインフラ全体を刷新しており、次なる展開として国内環境の段階的な刷新を進めている。
業界:
金融サービス/保険
本社:
東京都千代田区有楽町1-13-1
Size:
従業員数:824名(2022年10月1日現在)
事例の詳細
第一生命グループのビジネスを揺るがす2方向の大きな課題
第一生命グループが抱えていた課題は、持ち株会社である第一生命ホールディングスと、事業会社である第一生命保険とで大きく異なる。
第一生命ホールディングスの課題は、グローバル拠点のシステムインフラ運用体制、セキュリティガバナンス態勢をどう維持、強化していくかにあった。海外グループ会社を統括する地域統括会社(Regional Headquarter:RHQ)や市場調査等を行う駐在員事務所など7つの拠点においては、それぞれにシステムインフラを維持運用していくためのIT人材が不足していた。また、拠点毎のセキュリティ対策レベルには濃淡があり、複雑化・巧妙化するサイバー攻撃に的確に対応するためにはセキュリティ人材も不足していた。グローバルのセキュリティガバナンス態勢を維持、強化するためには新たな運用スキームの構築が至上命題となっていた。
一方、第一生命保険では新たなワークスタイルを目指しMicrosoft Teams™やMicrosoft 365™といったクラウドサービスを段階的に導入、インターネットアクセス経路はブレイクアウト構成を選択していた。しかしながら新型コロナの影響で働き方が急激にテレワーク前提にシフトし、そしてデジタル化によるビジネスアジリティ向上のニーズも高まってきたことから、当初想定以上にクラウドサービスへのシフトを余儀なくされることになった。活用するサービスは多種、多様化を極め、従来型のセキュリティ対策では的確にリスクヘッジすることが難しい。いかに急加速度で進化するクラウドサービスを安全に活用し、ビジネスアジリティを加速させるか、が至上命題となっていた。
19の脅威と11の施策を見える化して戦略イメージを経営層と共有
これらの課題を解決するために第一生命ホールディングス、第一生命保険の双方の観点で徹底的に議論を重ね、一気に解決する策として最終的に選択したのがゼットスケーラーのゼロトラストソリューションだ。決め手は機能、実績、そしてなによりもゼットスケーラーの戦略コンセプト。第一生命グループのサイバーセキュリティ戦略とITインフラ戦略を担う太田 俊規フェロー シニアエグゼクティブITスペシャリストはゼットスケーラーのゼロトラストソリューションがもたらす効果に確信を得る一方で、グループ戦略として進めていく必要があると考えた。
まずは世間のセキュリティ被害の事例を徹底的に収集し、第一生命グループでも発生しうるセキュリティの脅威を19パターンに集約した。そこから11の施策を取りまとめ、その中心にはゼロトラストソリューションを置いた。想定するセキュリティ脅威に対して11の施策がどれだけ第一生命グループのリスクを軽減できるかは、ヒートマップ化して徹底した見える化を行った。リスクの可視化とビジネスに与える影響を繰り返し訴えるとともに、必要に応じてリスクの線引きを行うことで、経営層にも第一生命グループに必要な戦略アイテムであるという理解を得て、ゼットスケーラーのゼロトラストソリューション導入はグループ戦略として進めることになった。
グローバルな戦略にはグローバルなフレームワークを
グローバルなグループ戦略としてゼロトラストソリューションを展開していくにあたり、国内標準のフレームワークに準拠するだけのこれまでのスタイルは問題があるとも太田氏は考えた。結果、第一生命グループとして採用したのはNIST(National Institute of Standards and Technology:米国国立標準技術研究所)で定義される「ゼロトラスト・アーキテクチャ」(SP800-207)だ。この中で挙げられる7つの基本原則のうち、重要視したのはNo.5「企業はすべての資産の整合性とセキュリティ動作を監視し測定する」、No.6「すべてのリソースの認証と認可は動的に行われアクセスが許可される前に厳格に実施する」、No.7「企業は資産やネットワークインフラストラクチャ、通信の現状について可能な限り多くの情報を収集し、それをセキュリティ対策の改善に利用する」の3つであり、セキュリティ運用の中核そのものである。つまりはゼロトラストソリューションの採用には、セキュリティ運用体制の整備が不可欠である。無尽蔵にセキュリティ知識を有する人材をかき集めるのも限界があり、第一生命ホールディングスの課題とも相反する。結果として選択したのはセキュリティ対策の機能を集約・連携、ノウハウやスキルを共有、そして徹底した自動化、といったアプローチ。ゼットスケーラーのゼロトラストソリューションは、その課題解決に向けて最もフィットした選択肢であった。
インターネット上にアウトバウンド通信の関所を構築
実際に第一生命が導入したゼロトラストソリューションのアーキテクチャは、インターネット上にアウトバウンド通信のセキュリティ対策を集約・共通化するものだ。
デバイスは「EDR」(Endpoint Detection and Response)で堅牢化し、そこからのアウトバウンド通信はゼットスケーラーのセキュリティ機能で安全に守り、付随して必要となるセキュリティ対策もクラウドサービスとしてインターネット上に集約、それらの一連の通信の現状(ログ)は「SIEM」(Security Information and Event Management)に集約し「SOAR」(Security Orchestration, Automation and Response)で自動対処、その状況をセキュリティ脅威となるインシデントをより素早く検知するエキスパート集団の「SOC」(Security Operation Center)が24時間365日体制で常時監視する。ポイントになるのはこのSIEM/SOAR/SOCのコンポーネントまでもがグローバルで共通化している点にある。
インシデント発生時に事態収束の司令塔「CSIRT」(Computer Security Incident Response Team)は拠点毎に設置されるが、活用するセキュリティソリューションがグローバルで共通化されていることでノウハウやスキルを共有しやすくなる。共通的な活動の負担が軽減されることで、ローカルのレギュレーションなど各拠点ならではの活動に注力しやすい。なお、第一生命グループではガバナンスポリシー・ルール面での強化も同時進行で推進しており、共通のルールの下で共通のセキュリティソリューションや共通のセキュリティ体制を活用することが、強靭な各拠点のCSIRT態勢を醸成するという方針だ。単にゼロトラストソリューションを導入するだけでなく、「技術・プロセス・人材」の三位一体で強化していくのが第一生命グループのゼロトラスト、そしてその中心にいるのがゼットスケーラーのゼロトラストソリューションなのである。
ビジネス戦略上の課題解決の先にあったものはゼロトラストだった
人材不足に悩まされていた第一生命ホールディングスのグローバル拠点は、一気に完全ゼロトラスト化を実現した。社内ネットワークを廃止してすべてをインターネット経由とし、オンプレミスのサーバーもクラウド化してデータセンターを廃止した。クライアントデバイスの管理もMDM(Mobile Device Management)で自動化し、日本語・英語グローバル対応の共通のヘルプデスクを設置するなど、システム運用の最小化も怠らない。そしてこれらすべての通信はグローバルネットワークと呼ばれるクラウドサービスの集合体を経由しており、グローバル共通のSOCにより24時間365日体制で常時監視、グローバル共通のSOARでインシデント発生時の初動対応・封じ込めの自動化を実現している。第一生命ホールディングスはこれらの完全ゼロトラスト対応により、人材不足という大きな課題を払拭することに成功した。
ビジネスアジリティの向上を目指す第一生命保険では、それを阻害しないよう段階的にゼロトラスト化を進める必要があった。オープン系システムやホスト系システムが入り乱れた多種多様なシステム構成で、いきなりすべてをクラウド化するにはビジネス停止のリスクが高いと判断、現在は、ゼットスケーラーのサービスを使って、インターネットアクセス経路をクラウド化する第一段階まで完了している。今後は、オンプレミスのサーバー向けの通信とクラウド向けの通信を分離するスプリットトンネリング構成を経て、オフィス全体のゼロトラスト化といったステップを順次進めていく予定になっている。もちろんその先に見えるのは、クラウドサービスの戦略的な活用によるビジネスアジリティの向上だ。
第一生命グループでは元々「ゼロトラストを導入する」ことを目的とはしてなかった。事業戦略に則ってビジネス上の課題を一つひとつ解決した結果、行き着いたのがゼロトラストであり、それを実現する最高の相棒がゼットスケーラーのゼロトラストソリューションだったのである。
ソリューション