Zscalerでゼロトラストを実現したNOV

コストや労力の削減と効率の向上を安全に両立

NOVは世界のエネルギー産業の顧客に機器や技術を提供しています。業界の性質上、収益は世界のコモディティー市場の変動に大きく左右されます。長期にわたる原油価格の下落により、NOVの最高情報責任者であるAlex Philips氏とそのチームは、デジタル トランスフォーメーションに着手することを余儀なくされました。レガシーなテクノロジーを使用していることによる技術的負債と歴史的なコスト高の負担を軽減し、グローバルな組織全体でアジリティーとセキュリティを向上させるにはそれしかなかったのです。

Philips氏は次のように述べています。「多くの企業と同様、『城と堀』型のセキュリティ モデルを採用した旧式のITシステムはコストがかさむうえ、モバイル化が進み、変化の大きくなったビジネスの状況に対応するには柔軟性が不足していました。コストの削減、セキュリティの強化、ユーザーとIT管理者にとっての利便性の向上を、事業の妨げとなることなく実現する必要がありました」

「スマート クラウド」デジタル トランスフォーメーション

最高情報セキュリティ責任者のJohn McLeod氏もこれに同意しています。「ハイブリッドの環境では従来のネットワーク境界モデルは機能しません。そこで、主要なセキュリティ技術をクラウドに移行し、最終的にアイデンティティーベースのセキュリティ境界に移行することを検討し始めました」

NOVは「クラウド ファースト」ではなく「クラウド スマート」のアプローチを採用しており、社内規定に則り、クラウドへの移行が合理的な領域を合理的なタイミングで移行しています。最初のステップは、従業員をMicrosoft 365 (M365)に移行し、クラウド ネイティブのZscaler Zero Trust Exchangeと、同プラットフォームのサービスであるZscaler Internet Access (ZIA)を実装して、M365やその他のSaaSアプリケーション、そしてインターネットに安全かつ高速にアクセスできるようにすることでした。

セキュリティ イベントは35分の1、法務はSSL復号を即承認

NOVはZIAによってMicrosoft 365のスピーディーなロールアウトを実現しました。ZscalerとMicrosoftのグローバルな提携により、ユーザー エクスペリエンスの劇的な改善にも成功しています。ZIAには、送受信されるTLS/SSL暗号化データのフル インスペクション、URLフィルタリング、サンドボックス、情報漏洩防止などの重要なセキュリティ スタック機能も含まれており、こうした保護機能の追加により、NOVではセキュリティ イベントの発生数が35分の1にまで減少しました。

特に重要だったのは、暗号化されたトラフィックを自社の法務部門に承認された方法で検査できることでした。McLeod氏は次のように述べています。「以前のセキュアWebゲートウェイでは、SSL復号について法務部門から承認を得ることができませんでした。しかし、法務部門に掛け合った際、ZIAがSSL復号時のデータへ アクセスを許可していないことを示したところ、5分も話さないうちに承認されたのです」

ブラウザー分離でより安全なインターネット アクセスを実現

NOVはZscalerブラウザー分離を選択的に展開し、脅威からの保護を強化しています。WebトラフィックはZero Trust Exchangeの通過時にブラウザー分離によってリアルタイムで分離され、Webコンテンツは安全なピクセルに変換されてユーザーにストリーミングされます。主なユース ケースの1つは、個人のメールサイトで送受信されるトラフィックの分離です。これにより、従業員はメールに埋め込まれたフィッシングの脅威に会社をさらすことなく各自のメールにアクセスできます。

また、この機能を使用することで、新たに買収した企業の従業員が速やかにインターネットにアクセスしたり、安全性が不明な未承認のページに即座にアクセスしたりできるようになります。McLeod氏は次のように語ります。「ブラウザー分離には本当に助けられています。NOVにリスクをもたらすあらゆる領域に展開したいと考えています」

場所を問わない働き方の実現を後押し

データ センターのトラフィックを削減し、社内アプリケーションへのリモート アクセスを保護するため、NOVはZscaler Private Access (ZPA)のロールアウトを開始しました。これにより、インターネット上にアプリケーションを配置することなく、ポリシーに基づいて、ユーザーが高速かつダイレクトにアプリケーションにアクセスできるようになりました。

そして、新型コロナウイルスの流行が始まったとき、これが思わぬ効果をもたらしました。Philips氏は当時を振り返り次のように語ります。「経営陣に対して、もし全ユーザー27,500人がリモート勤務をする必要があるなら、それも可能だと言えたのです。経営陣はすっかり驚いていました。...Zscalerは変化に迅速に対応し、当社が求めていた以上のキャパシティー拡張に対応してくれました」

ZPAは非常にうまく機能し、ユーザーからは他の旧式のVPNよりも断然好評でした。NOVは最終的にグローバルな組織全体のVPNの大部分を統合して、従来型のアプリからカスタム アプリ、一般提供されているアプリまで、数千単位のアプリケーションにいっそう簡単かつ安全にアクセスできる環境を実現しました。

簡素化により数百万ドル単位の経費削減に成功

このときまでに、NOVはセキュリティ関係のハードウェアにかかる費用を数百万ドル単位で削減することに成功していました。Philips氏は次のように述べています。「この費用削減は当社にとってとても大きなものでした。寿命もなければアップグレードやパッチ適用もありません。すべてZscalerにお任せです。チームは他のトランスフォーメーション プロジェクトに集中できるようになりました...いわゆる『アプライアンス地獄』から解放されたのです」

Zscaler Zero Trust Exchangeを活用することで、NOVは500か所を超える施設で従来型のハブ＆スポーク型MPLSネットワークから脱却し、ZIAの保護のもとでインターネットに直接接続できるようになりました。「回線速度が平均で10倍から20倍に向上したほか、重要なSaaSアプリへのレイテンシーは減少し、コストは4分の1以下になりました。本当にあらゆる方面でプラスに働いています」とPhilips氏は言います。移行は75%しか完了していませんが、ネットワーク回線の変更だけですでに年額換算450万ドル以上のコスト削減を達成しています。

NOVでは、他の形でもコストの削減を進めています。たとえば、以前は毎月平均100台のマシンにイメージの再展開が必要になり、大きなリソースの無駄が生まれていました。これは、従来型の防御システムをすり抜けたマルウェア感染のためでした。現在、イメージの再展開が必要になる事案は発生しない月がほとんどです。ポリシーベースの制御により、セキュリティやシステムの管理も簡素化されています。

ゼロトラストとZscalerの全面採用

ZIAおよびZPAの導入を通してZero Trust Exchangeを利用することで、NOVのITチームは、セキュリティを強化するとともに、従業員とサードパーティーの請負業者が場所を問わずに働ける環境を実現しました。これは、同社のデジタル トランスフォーメーションを次のレベル、すなわちゼロトラスト化へと後押ししていくことになりました。

McLeod氏は次のように語ります。「当社はZscalerとゼロトラストの全面採用を決めました。ハイブリッド ネットワークを持つ大企業は、最先端のテクノロジーによってそれを保護しなければなりません。セキュリティ サービス エッジ(SSE)のエコシステムを構築するにあたり、Zscalerのゼロトラスト アーキテクチャーの右に出るものはありませんでした」

NOVが重要視していたOktaおよびSentinelOneとの統合

ゼロトラスト化に向けたあらゆるニーズに単独で対応できるベンダーはありません。そこで非常に重要になるのがシームレスな統合です。NOVにとって、OktaおよびSentinelOneとの統合は特に重要でした。「Zscaler、Okta、SentinelOneはいずれも当社のセキュリティ スタックの重要なコンポーネントで、当社のセキュリティ態勢やゼロトラスト戦略全体の前進を支えています」とMcLeod氏は話します。

NOVは、ユーザー認証のためにZero Trust ExchangeとOktaの統合を行いました。また、Zscaler Identity ProxyとOktaを利用して、自社リソースに条件付きアクセスを適用する予定です。条件付きアクセス ポリシー エンジンもまた、ゼロトラスト化を推進するうえで欠かせない要素です。

NOVでは、Zero Trust Exchangeと併せてSentinelOneのDataSetによるログ管理機能および分析機能を展開し、ネットワークとエンドポイントのアクティビティー全体に対する可視性と脅威ハンティングを強化しました。ZPAによるデバイス ポスチャーの評価時に、Singularity XDRエージェントの存在を確認するようにすることも予定しています。

サービスの追加でクラウド保護の強化などを実現

ZIAとZPAの成功を受けて、NOVはZero Trust Exchangeを通じて提供されるサービスの追加利用を決めました。Zscaler Digital Experience (ZDX)です。ワンクリックでサービスを有効化し、ユーザーのアクセス上の問題をプロアクティブに検出して、迅速に解決できるようになりました。たとえば、問題の原因がローカルのWi-Fi接続、地域のISP、アプリケーションいずれにあるのかをすばやく判断できるため、サポート担当者は問題をスピーディーに解決できるのです。

ZDXによって、NOVはいくつかの主要なSaaSアプリケーションのパフォーマンスの問題を速やかに特定することができました。また、ZDXから得られたデータを活用することで、SaaSベンダーに対しSLA上の責任を追及しやすくなりました。

NOVはさらにZscaler for Workloadsも展開しました。Zscaler for Workloadsは、Posture ControlとZscaler Workload Communicationsで構成されており、クラウド セキュリティ ポスチャー管理(CSPM)、クラウド間の安全なアプリ間アクセス、アイデンティティー ベースのマイクロセグメンテーションを可能にするものです。McLeod氏は次のように述べています。「Zscaler for Workloadsにより、マルチクラウド環境の可視化が可能になりました。脆弱性を発見してくれるほか、修復活動の優先順位を付けるにあたり役立つ情報も提供してくれます」

長期的な敏捷性の向上とリスクの軽減

Philips氏は次のように語ります。「セキュア デジタル トランスフォーメーションにより、当社のビジネスの敏捷性は大幅に向上したほか、数百万ドル単位のコストを節減し、サイバー リスクも軽減できました。ゼロトラスト化にあたって当初設定した目標をはるかに超える成果が出たと胸を張って言えます」

NOVの取り組みは今も続いており、ゼロトラスト トランスフォーメーションの次の段階へ進もうとしています。たとえば、Zero Trust Exchangeを利用して不可視化するアプリケーションを拡大したり、Zscaler Branch Connectivityを展開したりして、ZPAを通じたアプリケーションへのゼロトラスト ダイレクト アクセスの仕組みを、個々のユーザーから複数のオフィス全体に拡張しようとしています。

McLeod氏はこう締めくくっています。「これまでに達成したすべてのこと、そして、ゼロトラスト化の取り組みの中で今後実現できるであろうことを思うと胸が躍ります。Zscalerはこのトランスフォーメーションにおいて不可欠な存在です」