課題
・国内グループ会社のネットワークセキュリティに問題が山積 ・インターネットの出入り口防御、アクセスログ対応などが課題 ・ユーザー体験が低下していたシンクライアントからの脱却
成果
Zscalerのクラウド型サービスで全社の安全性を確保
ZIAによりインターネットからの脅威をブロック
ZPAによる安全な端末接続で脱シンクライアントへの道筋
日本ペイントコーポレートソリューションズ株式会社 の概要
業界のリーディングカンパニーとして、塗料をグローバルに提供する日本ペイントグループ。同社の塗料は、自動車やビル、マンション・住宅の内外装から、道路舗装に用いる遮熱塗料、航行中のCO2削減につながる船底塗料など、社会に欠かせない存在として広く浸透している。塗料を軸に社会課題を解決する幅広い事業を展開する日本ペイントグループでは、国内グループ企業のセキュリティ対策にZscalerのクラウド型サービスを導入。セキュアWebゲートウェイとしてZscaler Internet Access™(ZIA™)を活用し、インターネット利用の安全性を確保した。その後、シンクライアントからの移行を想定し、安全なリモートアクセスを実現するZscaler Private Access™(ZPA™)の導入にも踏み切った。
業界:
製造
本社:
大阪府大阪市北区大淀北二丁目1番2号
Size:
Zscaler利用ユーザー数:4300名 (国内グループ会社合計、2023年12月31日現在)
事例の詳細
脆弱だったセキュリティから脱却 ZIAを使い出入り口で脅威をブロック
専門性の高い塗料を含めて幅広く事業展開をする日本ペイントグループで、国内各社の事業を支援するのが日本ペイントコーポレートソリューションズである。同社ではグループ各社のICTインフラや情報システムを構築・運用する業務を担当している。IT&ソリューション部の川口 真氏はグループのサーバーやネットワークを担当する中で「当初からネットワークやセキュリティに問題があることを認識していた」という。インターネットへの出入り口での防御が脆弱で、アクセスログさえ十分に取れていない状態だった。こうした状況からの脱却を図るための改善を、2020年にスタートさせた。
まず取り組んだ課題が、インターネットと社内の出入り口を守ることだった。出入り口で脅威をブロックするためにセキュアWebゲートウェイ(SWG)の仕組みを導入。その際に「オンプレミスの機器ではコストや運用の手間がかかり、新しい脅威パターンへの対応も難しいことからSaaS製品を前提に検討しました。SaaS製品ならば、アクセスログ管理機能を併せて利用できることも魅力でした」(川口氏)。
SWGを実現できる複数のSaaS製品を検討したところ「当時はSWGをSaaSで提供しているベンダーは多くなく、導入実績や納入ベンダーの話からZscalerのZIAが有効だと判断しました」と川口氏は語る。
もちろんZIAは機能の面でも要件を満たしていた。業務へなるべく影響を及ぼさないことを前提にしており、プロキシサーバーを利用していた既存環境からの移行が容易なことが重要な要件だった。さらにAzure ADからシングルサインオン(SSO)で利用できる点も「ユーザーの認証を増やさずにZIAを利用できてありがたかったです」と川口氏は当時を振り返る。将来的なことを考えると、セキュリティ機器などのログデータを収集し脅威を自動で検出して通知する「SIEM」との連携や、ネットワークをソフトウェア制御する「SD-WAN」との親和性が高いことも、ZIAを選ぶ後押しとなった。同社では2021年からグループ全体でZIAの運用を始め、インターネットとの出入り口における脅威への対応を進めた。
新たなクライアントアプリをいれることなく、リモートアクセスを実現 シンクライアントの使い勝手を解消
インターネットからの脅威に対応する一方で、業務用に使ってきたシンクライアントシステムの課題は手つかずだった。画面転送方式を利用したシンクライアントシステムを使うことで一定のセキュリティを担保していたものの、Web会議など一部のアプリケーションはシンクライアント環境で利用できず、端末としてパソコンを利用する必要があった。「シンクライアントのサーバーと、端末としてのパソコンの二重投資になり負担が高まっていました。シンクライアントシステムでユーザーのエクスペリエンスが低下していたこともあり、業務にも影響が及ぶほど使い勝手の悪さが顕在化していました」(川口氏)。
そこで、将来的にシンクライアントを廃止し、パソコンですべての業務を処理できるようにする方針を立てた。課題となったのが、これまで画面転送方式で確保していた社外からのアクセスに対するセキュリティの点だ。「脆弱性が指摘されているVPNを導入することは考慮しづらく、クラウド型のリモートアクセスソリューションを検討しました。そこで選んだのがZPAだったのです」。
すでにZIAを利用しており、ZscalerのクライアントアプリケーションであるZscaler Client Connector™(ZCC™)は各パソコンに導入済み。新たなクライアントアプリをインストールして、ZPAならば異なるログイン方式などを教育する現場の負担がなくても利用できることが選んだ最大の理由だった。
「すでにZCCが入っているため、ZPAならばポリシーを当てるだけで導入できます。ユーザーが新たな手順を実行する手間が1人1回1分として、200日働くと全体では膨大な工数が発生します。ZPAの追加ならばユーザー側に新しい手間はありません」(川口氏)。2023年からZPAの導入を進めた同社では、2024年度以降にシンクライアントのサーバーを廃止する意向だ。
さらに、ZPAの導入と並行して同社が取り組んだのが、クラウド型のプラットフォームとしてユーザーの端末からSaaSまで通信状況を包括的に監視できるZscaler Digital Experience™(ZDX™)の導入だ。「現在はまだ導入したばかりですが、ZDXにより不具合を可視化して、障害による停止時間を圧縮できることを期待しています」(川口氏)。
アセスメントを評価の指標に ZIAは脅威のブロックに効果
ZIAから、ZPA、ZDXとZscalerのクラウド型サービスを次々と導入した日本ペイントグループだが、闇雲に製品を追加していったわけではない。川口氏は「当初の状況から改善するために、まずベンダーと相談してセキュリティ状況のアセスメントに取り組みました。具体的には、情報セキュリティ基準や海外で使われている情報セキュリティガイドラインを参考に、セキュリティや可用性の側面から評価しました。現状が把握できないと、目標すら立てられないからです」と振り返る。実際、数値的な後ろ盾を得たことで経営陣にZscaler導入のアピールがしやすかったと言う。
「Zscalerのクラウド型サービスを導入した後は、目標値を超える状況を実現しています。取引先からセキュリティ要件の問い合わせがあっても、対応できていることを即答できるようになりました。先回りして対応してきたことで、結果論として対外的にも効果があったと考えています」(川口氏)。
サーバーやネットワークを見ている川口氏にとっても、効果は実感できている。「ZIAを導入して、脅威をブロックしているレポートが上がってきています。脅威を可視化し、ブロックした実績も見えることで、きちんと守られている安心感につながってきています。社内のユーザーからも『使いにくい』『つながりにくい』といった声はなく、良い状況で運用できていると考えています」。
もちろん安定運用までには苦労もある。「ZIAの導入時に、ホワイトリスト/ブラックリストの運用が安定するまでに大量のブロックが発生したのも事実です。SSLで暗号化した通信への脅威をチェックするために導入したSSLインスペクションのチューニングにも多少の手間がかかりました。それもZscalerや導入ベンダーと相談しながら、落とし所を探していけたので助かりました」(川口氏)という。
今後について川口氏は「Zscalerはクラウド型サービスとして完結しています。そのため、新しい技術への対応がスムーズになると期待していますし、今後はデータ漏洩対策も手掛けたいと思います」と語る。セキュリティ対策はエンドレスで常に新しい脅威や新しい守りへの対応が求められるだけに、クラウド型で安心感のあるサービスを利用できるZscalerは信頼が高いという。「単に、セキュリティ製品を提供するだけでなく、当社の立場に立ったセキュリティ全体を提案してもらえるので、その点でも安心しています」と川口氏はソリューションパートナーとしてのZscalerを高く評価している。
製品
ソリューション