Microsoft 365の利用で UTMのホワイトリスト管理が限界に

福岡ひびき信用金庫のシステム部は、サーバー管理、パソコンのメンテナンス、ソフトウエアの開発・管理やサイバーセキュリティ対策など、同信金の情報システムを一手に引き受けている。幅広い業務を抱える同部だが、福岡ひびき信用金庫 業務執行役員でシステム部部長 兼 DX推進室長を務める吉田 篤史氏は「SIerに頼らず、ソフト開発からネットワーク管理、セキュリティ対策までを自前で対応しているのが伝統です」と語る。システム部員は吉田氏を含めて支店などでの業務経験を有する。金融機関特有の業務を知らないと必要な開発ができないという考えだ。

そうした中で、福岡ひびき信用金庫の情報システム部に転機が訪れた。庫内で構築したソフトだけでなく、クラウドサービスのMicrosoft 365を活用する方針にシフトしたことがきっかけだった。「当金庫ではMicrosoft 365などのクラウドサービスを利用する際、境界型セキュリティのUTM（統合脅威管理）システムを介し、ホワイトリスト方式で接続していました」（吉田氏）。

クラウドサービスに接続するURLやIPアドレスは、最低でも半年に1回程度、不定期に変更される。アナウンスはあるものの、自主的に確認した上で登録対応しなければサービスに接続できなくなる。内製で対応する運用では限界があり、UTMの更改時期も迫っていた。

「そこで2022年7月ごろ、UTMによる境界型セキュリティから、ゼロトラスト型のセキュリティへの移行を検討し始めました」（福岡ひびき信用金庫 システム部 調査役の宮地 真之氏）。UTMのホワイトリスト方式と同等の運用ができることと、閉域網で利用していた仮想デスクトップ（VDI）製品が動作することが最低限の要件だった。

同時期に「通話やインターネットアクセス用に職員向けにiPhoneを貸与する話も出てきていました。iPhoneのインターネット側のセキュリティ対策についても、考える必要が出てきたのです」（吉田氏）。

要件を満たし金融機関でも実績がある Zscaler製品の導入を決定

ゼロトラスト型のセキュリティ製品について、福岡ひびき信用金庫では複数製品の調査を実施した。最初にPoCを行った製品は、要件の1つである既存のVDI製品が動かなかった。「調べていくと、当時のその製品ではプライベートアクセスのポートとしてTCPしか使えず、既存のVDI製品で利用するUDPが通らなかったためだとわかりました」（宮地氏）。そこでZscaler製品に目を向けた。

「Zscalerに話を聞くと、インターネットとSaaSへの安全なアクセスを実現するZscaler Internet Access（ZIA）では、既存のVDI製品の利用実績もありました。その上で、多くの金融機関への導入実績を目にしていたこともあり、有力候補に浮上したのです」（吉田氏）。Microsoft 365周りのホワイトリストの作業が減らせるという長所に加えて、Zscaler製品には、福岡ひびき信用金庫にとってほかにも魅力的な部分があった。

その1つが、閉域網を用いたリモートアクセスからの脱却である。同信金では、社外からのアクセスはタブレットに閉域SIMを入れ、閉域網接続により、VDI環境を介してリモートアクセスを行っていた。しかし、閉域SIMを用いたモバイル回線による利用は帯域に制限があり、画面転送型のVDIでは遅延が発生し職員にストレスが溜まっていた。「ZscalerにはリモートアクセスソリューションのZscaler Private Access（ZPA）があり、これを使うことで閉域SIMを使わずに、インターネットを介してリモートアクセスが可能になります。VDIの利用がスムーズになることに期待しました」（吉田氏）。

さらに、今後のiPhoneの導入時において、マルチデバイスであっても1ユーザーとしてカウントされるため、追加ライセンスなしでインターネットアクセスのセキュリティをZscalerに一元化できることも追い風になった。

UTMを縮小し80％のコストダウン見込み リストメンテナンスの負荷も大幅減

総合的な判断の結果、福岡ひびき信用金庫はZscaler製品の導入を決定。2023年春に700IDのZIAから本格展開を進め、ZPAはタブレットの更改タイミングに合わせて2024年6月に運用を開始したところだ。

ZIAの導入について吉田氏は、「システム部で先行的に使った上で、1カ月ほどで切り替えました。クライアント側に特別な設定が必要なかったので、早期に導入できました」と語る。とは言え、すべてが順調だったわけではないようだ。「Microsoft 365利用に関するホワイトリストの設定はとても簡単でした。しかし、ほかのサービスにもホワイトリストを作る必要があり、これまでのUTMとユーザーインタフェースが異なることなどから慣れるまでに試行錯誤をしました。とはいえ、長く運用していく上で、構築の大変さを自分たちで味わうことも勉強だと感じました」（吉田氏）。

実際の導入効果はどうか。「何と言っても、Microsoft 365のURLのメンテナンスをしなくて済むことが大きな負荷軽減につながっています。接続できないといった社内からの問い合わせはなくなりました」（吉田氏）。効果はそれだけではない。既存UTMは一部機能を残しながら、大幅に縮小できた。「5年間で80％のコスト削減を見込んでいます」（同）。

閉域SIMの代替としてリモートアクセスに導入したZPAについて、2024年6月の導入に先駆けて利用した宮地氏は、「確実に高速化のメリットが得られています。VDIが軽快に動きますし、閉域SIM接続ではできなかったWeb会議へのアクセスが可能になりました。これまでリモートワーク時にはVDI用とWeb会議用と2台の端末を持っていないといけませんでしたが、1台で済むようになりました」と喜びを伝える。

2024年7月時点では、6割ほどの職員へのiPhoneの貸与が済んでおり、今後は全職員への普及を進める。iPhoneからのインターネットアクセスはZIAによるブラックリスト方式の制限でセキュリティを担保する。

こうして導入を拡大してきたZscaler製品について、吉田氏は「評価は今のところ上々です。将来的にゼロトラスト型セキュリティの推進を考えたとき、Zscalerを既に導入していることがストーリーの基軸になる可能性を感じています」と語る。例えば、既存のVDI環境の運用がZIAとZPAによるセキュリティによって不要になり、ファット端末による利便性の高いリモートアクセスが可能になるといった考えである。

加えて、「Zscaler Browser Isolationによるブラウザ分離の導入も検討しています。現状では業務用とは別にインターネット接続用の環境がありますが、Browser Isolationが使えれば安全なインターネット接続が1台の端末で実現できます」（宮地氏）。

「金融庁は、境界分離によるセキュリティが難しくなってきていることから、ゼロトラストを指向しています。福岡ひびき信用金庫はもともと境界型でしっかり守る考えでしたが、Zscalerの導入により考えを変えました。セキュリティは検討中と言っていられない案件です。やってみてだめなら撤退、良かったら継続というアジャイルな考えで、ゼロトラスト型のセキュリティに対応していきます」と、吉田氏は金融機関のセキュリティに起こる変化を先取りする意気込みを語った。