1週間
ゼロトラストの展開に要した期間
6,000人
保護されたスタッフと請負業者の数
12.2万
3か月でブロックされた脅威の数
課題
従来の境界型セキュリティ アーキテクチャーは、クラウドファーストのビジネス運用に対応するための拡張性が不十分
旧式のMPLSネットワークは大量のトラフィックのバックホールが必要で、ITサービスの速度低下やコストの増大につながっていた
従来のファイアウォール アプライアンスは、暗号化されたトラフィックをインラインで検査することができず、脅威に対する脆弱性が増大していた
採用したアプローチ
- クラウドネイティブで包括的なゼロトラスト セキュリティ プラットフォームを導入し、より俊敏性と拡張性に優れたIT環境を構築
- ファイアウォール アプライアンスへの依存とネットワーク コストの低減を、インターネットとSaaSアプリへの安全な直接アクセスで実現
- 高度な脅威検知機能を活用してセキュリティ エコシステムを合理化し、データ侵害のリスクを排除
成果
すべてのユーザーを1週間でゼロトラストに移行し、120以上のプロジェクト サイトでのネットワーク アクセス プロビジョニングを高速化
ゼロトラスト接続の採用により数百のレガシー ファイアウォール アプライアンスを廃止し、ネットワーク コストを50%削減
ユーザーの接続を保護しながら400 TBのトラフィックを処理し、四半期あたり9,800万件のポリシー違反を防止
事例の詳細
柔軟な働き方を実現するための持続可能な基盤の構築
John Hollandは、シドニー フットボール スタジアムの改修やオーストラリア初の自動運転の地下鉄の建設を行った大手インフラ企業です。現在では、金鉱跡地を利用したクリーンな揚水水力発電所の建設に携わっています。大規模な公共インフラ プロジェクトにおいて、設計、建築、管理を担っているため、アジャイルかつスケーラブルなIT環境を必要としています。
John HollandのITテクノロジー運用担当ゼネラル マネージャーであるKier Morrison氏は、次のように述べています。「私たちは、プロジェクト拠点を立ち上げるためのITサービスを提供し、業務の進捗に合わせてそれを廃止する必要があります。従業員が接続する場所を問わず、アプリやインターネットへの高速かつ安全なアクセスを提供するためのよりシンプルな方法を求めていました」
John Hollandではハイブリッド ワークが標準となっているほか、オーストラリアとニュージーランドに5か所の本部拠点と140のプロジェクト拠点を抱えています。従業員、下請け業者、ジョイント ベンチャーのビジネス パートナーは、プロジェクト拠点、オフィス、自宅、移動中や外出先など、あらゆる場所で重要なSaaSアプリ、クラウド サービス、インターネットにアクセスできる必要があります。
クラウドファーストに求められるセキュリティ トランスフォーメーション
John Hollandでは、クラウドファーストの戦略によってアジリティーを強化し、より優れた成果をクライアントに提供できるようになっていました。一方、SaaSアプリの導入が進むなかで、承認済みアプリへの迅速かつ簡単なアクセスの提供、新しいプロジェクト拠点へのITサービスのプロビジョニングの迅速化、ITコストの削減が課題となっていました。
「クラウドファーストを取り入れてはいましたが、SaaSに送信されるものを含めたすべてのトラフィックをデータ センターにバックホールしてクラウドにルーティングしていました。SaaSアプリへの移行が増えるにつれ、クラウド ネイティブのセキュリティ モデルが必要になりました」とMorrison氏は語ります。
同社では、従来のMPLSネットワークと境界セキュリティ アーキテクチャーによって、ITサービスの提供速度が制限され、ユーザー エクスペリエンスに悪影響が出ていました。すべてのSaaS/インターネット トラフィックは、脅威の検出とセキュリティ ポリシーの施行のためにデータ センターにルーティングしてからクラウド プロバイダーに送信する必要があり、これがアプリケーションの応答速度の低下、ネットワーク リソースの消費、IT環境の複雑化につながっていました。オフサイトで働くユーザーはリモート アクセスVPNを必要としていましたが、これもアプリケーションの応答速度の低下を招き、さらには不正侵入に対する脆弱性を増大させていました。
John Hollandは、重要なビジネス アプリとインターネットへのゼロトラスト ネットワーク アクセスをユーザーに提供したいと考えました。IT部門は、セキュリティ サービス エッジ(SSE)ソリューションをネットワークとセキュリティのトランスフォーメーション計画の一部として組み込む形で、安全なネットワーク サービスを遠隔地のプロジェクト拠点に迅速に展開できるようにするとともに、手作業のセキュリティ業務を削減し、より効率的かつ計画的なセキュリティ アプローチを導入することを望みました。
「SSEソリューションを厳格に評価するために、アジリティー、セキュリティ、簡素化という3つの主要領域に焦点を当てました」
あらゆる場所のユーザーのSaaSアプリへのアクセスの保護
John Hollandは、クラウド ネイティブのサイバーセキュリティ プラットフォームであるZscaler Zero Trust Exchangeを選択しました。Zero Trust Exchangeは、あらゆる場所のあらゆるネットワーク上のユーザー、ワークロード、IoT/OT、B2Bパートナーを接続し、そのセキュリティを確保します。
「John Hollandでは、自社とお客様のデータの保護を重視しています。当社の環境のセキュリティは、Zscalerによって大幅に向上しました。現在では、クラス最高の成熟したサイバー レジリエンス プログラムも整備されています」
Zscaler Internet Access (ZIA)は、さまざまな場所で働く約6,000人の従業員にインターネットとSaaSへの安全かつ高速なアクセスを提供しています。また、TLS/SSLで暗号化されたトラフィックを大規模に検査し、クラウド サンドボックス、クラウド ファイアウォール、クラウド情報漏洩防止(DLP)、クラウド アクセス セキュリティ ブローカー(CASB)の機能を提供しています。ユーザーは許可されたアプリまたはリソースにのみアクセスでき、マルウェアやフィッシングなどのサイバー攻撃から保護されます。
「Zscalerを使用することで、プロジェクト拠点にいるユーザーは、州都でも内陸の遠隔地でもクラウドとSaaSアプリに直接アクセスし、安全かつ効率的に業務を行えるようになりました」
Zscalerは3か月で402.8 TBに上るJohn Hollandのトラフィックを処理し、9,880万件のポリシー違反を防止し、122,821件のセキュリティ脅威をブロックしました。「暗号化されたトラフィックにどれだけ多くの脅威が潜んでおり、Zscalerがどれほど効果的に保護してくれているかがわかり、非常に驚きました」とMorrison氏は話します。
ネットワーク エコシステムの簡素化とコスト削減
Morrison氏は「Zscalerを導入した結果、ネットワーク コストが50%削減されました」と言います。
Zscalerのセキュリティはクラウドで提供されるため、脅威の検出とポリシーの施行のためにユーザーのSaaS/インターネット トラフィックをデータ センターにバックホールしてSaaSプロバイダーに接続し、同様の経路で応答を処理する必要はなくなります。クラウド ネイティブの安全なアクセスによって、アプリケーションのパフォーマンスを改善し、帯域幅のコストを削減できます。
John Hollandは、物理的なファイアウォールを大幅に削減することで、セキュリティ エコシステムの簡素化も実現しました。
「ファイアウォールの管理は専任の担当者が必要となるような仕事でした。Zscalerに移行したことで、多数のファイアウォールを排除できました。これにより、プロセスの簡素化とコストの削減が実現し、セキュリティが大幅に向上しました」
Zero Trust Exchangeによって、IT部門はネットワーク アクセス ポリシーの構成と設定、更新、脅威インテリジェンスを一元的に管理できます。すべてのファイアウォールのセキュリティ ポリシーを手動で作成、管理する時間を削減できるほか、ポリシーのギャップや構成ドリフトを心配する必要もなくなります。
自動化と統合によるIT生産性向上
展開は迅速でした。「ネットワーク部門とクラウド部門は、Zscalerと協力して当社の現在のセキュリティを評価し、最新のクラウド アプローチに適した形でポリシーを調整しました。1週間程度ですべてのユーザーがZscalerを利用できるようになりました」とMorrison氏は語ります。
IT部門が新たなプロジェクト拠点の立ち上げや廃止を行うなかでも、その運用効率は導入初日から常に維持されています。IT部門はビジネス ニーズの変化に合わせて新たなプロジェクト拠点からZscalerにトラフィックを簡単にルーティングし、すでに整備されたポリシー、検査、多層型防御を適用できます。
「Zscalerを導入したことで、新しいプロジェクト拠点からアプリへの安全なアクセスを、以前よりもはるかに効率的に提供できるようになりました」とMorrison氏は語ります。
Zscalerは組織のデバイスの保護と管理をより簡単にするために、Microsoft Entra IDおよびMicrosoft Intuneと統合して、エンドポイントのポスチャー コントロールを提供しています。この統合により、Zscaler Client Connectorエージェントのエンドポイントへの展開とプロビジョニングも自動化され、Intuneのポスチャー ポリシーが適用されます。
ZscalerはMicrosoft Sentinelと統合されているため、数十億の脅威ログとトランザクションを迅速に取り込むことができます。結果として、Sentinelのデータ ポイントを増やし、脅威インテリジェンス、可視性、保護を向上させることが可能です。また、コンプライアンスの確保とイベントの関連付けも容易になります。Morrison氏は次のように述べています。「ZscalerとMicrosoftネットワークとの統合で業務の大幅な簡素化が実現しています。ユーザーがデバイスで行うすべての通信が安全であり、保護されているのだと安心できます」
Zero Trust Exchangeプラットフォームは、John Hollandのネットワーク トラフィックが1年で46%増加するなかでも容易に拡張しました。今後も同社の拡大に合わせてスムーズに拡張を続けるでしょう。同社は、予測可能なコスト モデルによって自社の成長を計画し、従来のネットワークとセキュリティに費やしていた資金を再投資することで、再生可能エネルギー分野での事業拡大に役立てています。
