スマートな社会を実現するための「IOWN構想」を提唱すると共に、スマート化の具体的な取り組みとして「Smart10x」を打ち出している西日本電信電話株式会社。同社はリモート ワークを基本とした新たな働き方を実現するため、ゼロ トラスト ネットワークが構築されています。その取り組みで注目したいのが、以前は仮想デスクトップだった端末環境を Microsoft 365 E5 に含まれるセキュリティ機能を幅広く活用することで、ファット クライアントに戻したこと。これによってユーザー体験の大幅な改善とセキュリティ強化を同時に実現しているのです。また、導入プロジェクトは社内 IT 部門だけではなく、外販部門との共創で行われているのも大きな特長です。同社はこの社内ネットワーク刷新の経験を、顧客への提案にも積極的に活かしていく計画です。
リモート ワークを余儀なくされたことで顕在化した既存ネットワークの問題
新型コロナ ウイルス感染症拡大を経験したことで、大きく変化した IT 活用スタイル。社外からのユーザー アクセスは当たり前のものになり、クラウド活用も一気に広がることになりました。このような状況の中、セキュリティのあるべき姿も大きく変化しています。従来のように、企業ネットワークの内側と外側の間に境界を設けて防御する「境界型セキュリティ」は十分に機能しなくなり、インターネットを含むあらゆる場所でアイデンティティをベースにアクセス制御やアクセス ログを記録する「ゼロ トラスト」へのシフトが、強く求められるようになっているのです。
このようなニーズにいちはやく対応し、約 50,000 ユーザーというきわめて大規模な「ゼロ トラスト ネットワーク」を構築しているのが、西日本電信電話株式会社 (以下、NTT西日本) です。
同社は地域電気通信を事業の柱とする大手通信事業者。日本電信電話の再編成によって、1999 年 7 月に誕生し、富山県、岐阜県、静岡県以西の 30 府県をサービス エリアとしています。また近年は、光技術をベースにした「オールフォトニクス・ネットワーク」、現実世界とデジタル世界を掛け合わせて未来予測等を実現する「デジタルツインコンピューティング」、あらゆるものをつないでそれらの制御を可能にする「コグニティブ・ファウンデーション」を融合し、スマートな社会を実現する「IOWN (アイオン) 構想」を提唱。その一方で、スマート化への取り組みをより具体的に示した「Smart10x」も打ち出しており、非通信事業の売上比率を 2025 年度までに 50% 以上にすることを目指しています。
NTT西日本がゼロ トラスト ネットワーク構築に踏み出した背景について「2020 年 3 月の緊急事態宣言でリモート ワークを余儀なくされたことがきっかけです」と語るのは、NTT西日本 デジタル改革推進部 デジタルガバナンス部門で IT 基盤戦略担当の担当部長を務める久保田 敏 氏。当時のネットワーク環境は、全従業員によるリモート ワークを前提としていない設計だったため、Web 会議を開催しても映像や音声がすぐに止まってしまう、といった状況だったと言います。「IT 基盤を担当する私たちのところには、毎日のように、Web 会議ができない、1 日でも早く何とかして欲しい、といったユーザーの声が届いていました。インターネット回線や VPN のパンクを回避するため、Web 会議は映像を使わずに音声だけ、という使い方も一般化していました」。
また当時は、従業員が使う端末をシン クライアントにしており、ネットワーク経由で VDI (仮想デスクトップ) 環境にアクセスしていたことも、ユーザー体験を悪化させる要因になっていました。ログインが集中する時間帯には PC 画面が起動するまで 10 分程度かかるようになり、Web 会議でのファイル共有やメール検索にも、かなりの時間がかかっていたと、久保田 氏は振り返ります。
「リモート ワーク化の加速に伴う IT 環境の見直しの必要性は、NTTグループ全体が直面していました」と言うのは、NTT西日本 デジタル改革推進部 デジタルガバナンス部門で IT 基盤戦略担当の担当課長を務める岡本 治 氏。そのためグループ全体でゼロ トラスト化していこうという話も、早い段階に出ていたと語ります。
Microsoft 365 E5 に含まれる各種セキュリティ機能でゼロ トラスト化を実現
ここで当初から検討されていたのが、マイクロソフト テクノロジーを積極的に活用したゼロ トラスト ネットワークの実現でした。ユーザー端末は Microsoft 365 E5 を導入したファット クライアントとし、このライセンスに含まれる各種セキュリティ機能を幅広く利用することが目指されたのです。その理由について久保田 氏は次のように説明します。
「当社では以前からユーザー認証基盤として Microsoft Active Directory を活用しており、これを中心にゼロ トラスト ネットワークを構築することを考えた結果、自然と Microsoft 365 E5 の機能を活用すべきだという結論に至りました。またリモート ワークでのコミュニケーションを円滑化するため、Microsoft Teams の活用が広がっていたことも、Microsoft 365 E5 の採用を後押しする結果となりました」。
2021 年 9 月には小規模なトライアル環境の構築を開始。図に示すような環境が作られていきます。
まずユーザー端末からのアクセスは、IAP (Identity-Aware Proxy:アイデンティティ認識型プロキシ) と SWG (Secure Web Gateway) の機能を持つ SSE (Secure Service Edge) に集約。ここで Microsoft Azure AD によるユーザー認証を行ったうえで、社内システムを運用する NTTデータセンターや、Microsoft Teams などのクラウド サービスへとアクセスするようになっています。
さらに安全性をより強固なものにするため、端末保護を担う EDR (Endpoint Detection and Response)、端末管理を行う MDM (Mobile Device Management)、クラウド アプリケーションを保護する CASB (Cloud Access Security Broker)、ログの管理および分析を行う SIEM (Security Information and Event Management) といった機能も実装。具体的な製品としては、EDR は「Defender for Endpoint」、MDM は「Microsoft Intune」、CASB は「Defender for Cloud Apps」、ログ管理は「Log Analytics (Azure Monitor)」、ログ分析は「Microsoft Sentinel」が採用されています。
2022 年 4 月にはトライアル環境が完成し、約 200 人規模でのトライアルを 開始。ここで機能検証や運用検証、運用のためのルールや体制を確立したうえで、全社展開に着手しています。2023 年 10 月までには、NTT西日本のグループ企業を含む約 50,000 ユーザーへの展開が完了する予定です。
これに加え、Microsoft Teams をインストールした端末で NTT の固定電話番号が使える「ひかりクラウド電話 for Microsoft Teams」も展開。このサービスを用いることで、リモート ワーク環境においても Microsoft Teams の使い勝手のまま固定電話番号を用いた通話が可能になります。
ユーザー体験向上とセキュリティ強化を両立、その経験を顧客への提案にも活かす
このようなゼロ トラスト ネットワークへと移行したことで、ユーザー体験は大幅に向上しています。「使う人によって差はありますが、PC を起動してから画面が立ち上がるまでの時間は 1 分もかからないようになり、メール検索も 1 ~ 2 秒で完了します」と岡本 氏。Web 会議も円滑に行えるようになり、「涙が出るほど快適」と言ってくれたユーザーもいると述べています。
セキュリティも強化されました。外部からのアクセスやシステムのログを自動的に分析することで、不適切なアクセスを未然に防げるようになったからです。
「たとえば、特権アカウントへの連続したサインインの失敗や、同じ時間帯に異なる国からアクセスしている、といったことも、Microsoft Sentinel のログで即座にわかります。不審なアクセスを検知することで、外部からの攻撃を未然に防ぐことができています」 (岡本 氏)。
このように、NTT西日本におけるゼロ トラスト ネットワークへの移行は大きな効果をもたらしていますが、このプロジェクトにはもう 1 つ注目すべきポイントがあります。それは社内 IT 部門だけではなく、外販部門も参画する形で構築が進められていったことです。
「NTT西日本では以前から、マイクロソフト テクノロジーを活用したゼロ トラスト ネットワークをお客様に提案しており、2020 年ころからは毎年 2 倍のペースで実績を積み上げています」と語るのは、NTT西日本 ビジネス営業本部 エンタープライズビジネス営業部 エンタープライズビジネス推進部門でデジタルデータビジネス担当の担当部長を務める岡本 崇 氏。今回はその一環として、社内に向けたゼロ トラスト ネットワーク構築を提案したのだと言います。「既に境界防御で安全を守ることは不可能です。DX をより積極的に進めるうえでも、ゼロ トラスト型の防御は必須条件になっています」。
実際に社内提案を行った、ビジネス営業本部 エンタープライズビジネス営業部 エンタープライズビジネス推進部門 デジタルデータビジネス担当 主査の寺崎 智博 氏は、次のように述べています。
「社内システム環境を Microsoft 365 E5 ベースでファット クライアント化し、マイクロソフトの各種テクノロジーでゼロ トラスト化すべきだということは、以前から考えていました。今回のプロジェクトでその理想形が完成したと感じています」。
今後はこのゼロ トラスト ネットワークをベースに、クラウド サービスの活用をさらに拡大していきたいと久保田 氏。また Microsoft Power Apps によるノー コード ツールによる開発や、Microsoft Viva による効率的な働き方サポートも検討していきたいと語ります。
その一方で「社内でのマイクロソフト製品活用の経験をお客様への提案にも盛り込んでいきます」と言うのは、外販を担当する岡本 崇 氏。そのために、顧客の DX を加速させるための共創ラボである「LINKSPARK」でマイクロソフト製品のデモ展示を行っており、ChatGPT に代表される生成系 AI である Azure OpenAI Service への取り組みも、マイクロソフトと共に進めていると語ります。すでに ChatGPT を用いたソリューションの開発には着手しており、2023 年 5 月に LINKSPARK 内に開設した Microsoft BASE でもソリューションの体験ができるようになっています。
「当社のように 5 万人規模のゼロ トラスト化の経験があれば、どのような規模の企業や組織のゼロトラスト化も、ご支援できると考えています。日本全体をよりスマート化していくために、これからも積極的なご支援を続けていきたいと考えています」 (岡本 崇 氏)。
“以前から活用していた Active Directory を中心にゼロ トラスト化することを考えた結果、自然と Microsoft 365 E5 の機能を活用すべきだという結論に至りました。また Microsoft Teams の活用が広がっていたことも、Microsoft 365 E5 の採用を後押しする結果となりました”
久保田 敏 氏, デジタル改革推進部 デジタルガバナンス部門 IT基盤戦略担当 担当部長, 西日本電信電話株式会社
Microsoft をフォロー