ゼロトラストで目指すのは、快適に、安心して、楽しく働ける職場を支えるIT基盤――日清食品グループの挑戦：ITmedia エグゼクティブセミナーリポート

コロナ禍以前より取り組んでいる在宅勤務を支えるIT施策の前提となる日清食品グループのゼロトラストセキュリティ。その考え方、取り組みの現状、さらに目指すその先について紹介する。

[山下竜大，ITmedia]

　2020年12月、「ウィズコロナの“新常態”で求められるセキュリティの新たなソリューション」をテーマとするオンラインイベント「ITmedia Security Week 2020冬」を開催。初日の特別講演に、日清食品ホールディングス 情報企画部 次長の成田敏博氏、情報企画部 ゼロトラストチームリーダーの岩下輝彦氏が登場。「日清食品グループが目指すゼロトラストセキュリティのリアル」と題して講演した。

デジタル武装でコロナ禍に挑む日清食品

日清食品ホールディングス 情報企画部 次長 成田敏博氏

　カップヌードル、チキンラーメン、どん兵衛などの即席麺を中心とした総合食品メーカーである日清食品グループは、「EARTH FOOD CREATOR」の理念に基づき、さまざまな「食」の可能性を追求し、夢のあるおいしさを創造するとともに、人類を「食」の楽しみや喜びで満たすことを通じて、社会や地球に貢献できる企業グループを目指している。

　近年はデジタル化に注力しており、2019年1月には「Digitize Your Arms（デジタルを武装せよ ITリテラシーを高めよう）」というメッセージを社内向けに発表し、2019年は脱・紙文化、2020年はエブリデイテレワークに取り組んでいる。

　「エブリデイテレワークは、東京オリンピック開催を見据え、約2年前に策定されたものですが、くしくも新型コロナウイルスの感染拡大（コロナ禍）により、取り組みが加速しました。2020年2月末、全社的に出社制限がかかり、国内グループ約3000人を在宅勤務体制へと移行したことで、テレワークが一気に本格化しました」（成田氏）

　日清食品グループの在宅勤務体制は、2020年5月25日の緊急事態宣言解除後も、出社率25％を上限として、現在に至るまで維持されている。コロナ禍で有効だった取り組みとしては、グローバルレベルでのコミュニケーション基盤の標準化、全社的なタブレットPCの展開、重要会議のオンライン化、AIが高い精度で即時回答する社内チャットボットの活用、各種社内文書の電子化、脱VPNなどが挙げられる。

　こうした取り組みが評価され、2020年8月には経済産業省と東京証券取引所が、デジタル技術を活用して、製品やサービス、ビジネスモデルの変革、さらには業務、組織、プロセス、企業文化・風土を変革し、競争力につなげている35社を選定した「DX銘柄2020」にも選ばれている。

　成田氏は、「コロナ禍への対応がスタートしたのは、緊急事態宣言が発出される1カ月以上前のこと。国内でもかなり早いタイミングでした。最初こそ社内に混乱はありましたが、結果としてスムーズに在宅勤務体制へと移行できました。こうしたコロナ禍における新たな働き方を実現する取り組みの土台には、以前から進めてきた“ゼロトラストセキュリティ（ゼロトラスト）”の考え方がありました」と話している。

逆転の発想でゼロトラストの実現を目指す

日清食品ホールディングス 情報企画部 ゼロトラストチームリーダー 岩下輝彦氏

　日清食品グループでは、ファイアウォール、プロキシ、アンチウイルスなど、会社の情報資産が社内にあることを前提に、壁を作ることで守ってきた。しかし、Microsoft 365をはじめとするさまざまなクラウドサービスを採用しているほか、2017年より本格的にテレワークを開始したことで、情報資産を社外で扱う機会が増加していた。

　岩下氏は、「セキュリティリスクが増大する中、これまでのやり方では守り切れないという現実に直面し、会社の中だけを守っておけば大丈夫という時代の終わりを感じていました。その一方で、会社はクラウド、グローバル、テレワークへと一気に舵を切りはじめ、板挟みのような状況に陥っていました」と話す。

　セキュリティの課題解決について悩んでいたときに、参加したセミナーで1つのヒントが得られた。これまでの絶対に安全な環境を実現するという考え方から発想を転換し、安全な場所などどこにもなく、全てを疑う。こういった考え方こそが、これまで抱えていた問題の解決につながると考えた。

　「これさえ導入していれば大丈夫という防御製品はほとんどなくなり、即時検知、即時対処で被害を最小限にするセキュリティ製品が増えていることに気付きました。この考え方が、ゼロトラストであるということを知り、チャレンジすることにしました」（岩下氏）。

ID、デバイス、ネットワークの3つを疑う

　「ゼロトラストを社内に持ち込むと決めたものの、何から手をつければよいか分からないのが実情でしたが、ゼロトラストという概念を、自分なりに整理し、ID（認証基盤）、デバイス、ネットワークの3つの要素を全て疑い、検証して、判断していくことこそが、ゼロトラストの概念であると理解しました」（岩下氏）。

　ID、デバイス、ネットワークの3要素の中で、IDに重点をおき、まずは社内のID基盤の整理を開始。日清食品グループでは、Active Directory（AD）を利用したWindows環境、Azure Active Directory（Azure AD）を利用したMicrosoft 365が全社共通基盤として利用されていた。

　ID基盤の入れ替えは、コストも工数もかかるため、最もシンプルで、自社の環境に適していたAzure ADを認証基盤として、日清食品グループのゼロトラストアーキテクチャを構築することからスタートした。

　アーキテクチャは、グループ全体のアプリケーション基盤であるMicrosoft 365、AzureのIaaSで稼働する基幹システム、AWSで稼働する業務システムを、Azure ADを中心としたIDで管理できることをベースに考えた。さらにID管理は、パスワードレス、アカウント運用自動化実現を目指したID集約、認証連携、ユーザープロビジョニングなど、将来的な構想を考慮して作成している。

　岩下氏は、「このアーキテクチャは、まだまだ発展途上ですが、日清食品グループが目指すゼロトラストのゴールをイメージしています。どのようなIT基盤にしたいかを常に思い描きながら、CIOをはじめとした社内の関係者と考えを共有し、ぶれないようにしています。どのようなサービスを利用するかという点にはこだわりはなく、何を実現したいかが重要です」と話している。

ゼロトラストの現在地

　ゼロトラストの具現化では、まずAzure ADをID基盤として整備し、クラウドサービスとの連携を開始している。クラウドのID基盤を活用したことで、導入が進むクラウドサービスとのシングルサインオンやユーザープロビジョニングができるようになり、ユーザーの利便性向上や管理者の運用負荷軽減にもつながった。まさに、一石二鳥である。

　苦労した点は、各クラウドサービスのパートナー企業に、Azure AD連携に関するノウハウが少なかったこと。今後の課題として、導入済みのサービスへの対応、複数のIDを集約することにより、その中心となるID管理の堅牢性を高めることがカギになると考えている。

　次にデバイスでは、タブレットPCに対し、次世代エンドポイントセキュリティ（EDR）を導入し、セキュリティオペレーションセンター（SOC）の運用を開始した。脅威が可視化できるようになったことで、迅速な状況把握が可能となり、Emotet（エモテット）などの未知のマルウェアにもすぐさま対処できるようになった。

　苦労した点は、従来のアンチウイルスソフトのようなネットワーク隔離やフルスキャンといった検知後の定型運用ではなく、さまざまなケースが考えられるなかでの検知後の運用スキーム構築だった。これまでできていなかったことができるようなった一方で、運用工数は増加傾向にある。今後は、運用工数削減に向けたアクション、サーバへの展開、グローバルを含むグループ会社への横展開などに取り組んでいく。

　ネットワークでは、オンプレミス環境のプロキシサーバのEOSをきっかけとして、Webアクセスのセキュリティ強化や社内ネットワークからの脱却を目的に、クラウド型のセキュリティソリューションであるZscalerを導入した。これにより、社内外にかかわらずWebアクセスのセキュリティを強化できたほか、一部の社内システムに社外からアクセスするのに従来必要だったVPNを利用せずともテレワークできるようになりつつあり、VPNに接続する手間や、VPN接続に伴う通信速度の低下をなくすなど、利用者の利便性を大幅に改善できた。

　苦労した点は、自社環境への対応だった。オンプレミス環境のプロキシサーバがEOSを迎えるまでに、社内ネットワークにつながっている3000台以上の機器からプロキシ設定を削除し、それにあわせて各業務システムのデグレードに対応しなければならず、まったく気を抜くことができなかったという。今後は、残存するVPN接続を一切不要にしていくための残課題対応や、グループ全体への横展開などを予定している。

　岩下氏は、「日清食品グループがゼロトラストの実現で目指すゴールは、いつでも、どこでも快適に、安心して、楽しく働ける職場づくりです。あれはダメ、これもダメというIT環境ではなく、自由に使えるポジティブなセキュリティの実現を今後も目指していきます」と講演を終えた。