ユーザー企業が語るOkta導入事例(前編)「NTTデータがグローバルに導入したゼロトラストセキュリティ」

Oktaが毎年開催している年次イベント「Okta Showcase」の日本版「Okta Showcase Japan 2021」が2021年11月19日にオンラインで開催されました。このレポートでは、本イベントに登壇したお客様のOkta導入事例を前編と後編に分けてご紹介します。前編は、株式会社 NTTデータ 技術革新統括本部 システム技術本部 セキュリティ技術部長 本城 啓史氏が語った事例です。

グローバル企業ならではの課題

NTTデータは、NTTグループの一員として国内へ事業展開していましたが、事業の発展に伴い、現在は55カ国、14万人を擁し、そのうちの約70%に当たる8~9万人が海外勤務者という、日本を代表するグローバル企業の一社となっています。また、同社は海外企業の買収を進めたことにより、グローバル間をつなぐネットワークへ各グループ会社が接続することとなりました。そこで浮上した課題が、「グローバルセキュリティガバナンスとゼロトラストセキュリティ」だと同氏は明かしました。

ランサムウェアをはじめとするサイバー脅威は激化する一方です。さらに、サプライチェーン攻撃なども巧妙化しています。同氏は「セキュリティレベルの低い拠点が侵入されることでグローバル全体がリスクにさらされる」状況である一方、「商習慣の違いなどもあり、グローバルで統一されたセキュリティガバナンスの実現は難しかった」と語りました。具体的には、APACではセキュリティよりもコスト重視、日本はセキュリティ以上に無停止運用を重視、欧米ではセキュリティを最重要と位置づけていたそうです。そのため、日本のセキュリティ対策を基準とした場合、APACは「やや過剰」と受け止め、北米・EUは「時代遅れ」とされ、簡単には統一できない状況でした。

 
 

NTT%E3%83%86%E3%82%99%E3%83%BC%E3%82%BF slide1

 
 

同社が想定した主なセキュリティリスクとして設定したものは、「インターネット経由のマルウェア感染」「クラウドへの不正侵入による情報詐取」「攻撃検知の遅れによる被害拡大」の3点だったと言います。また、デジタル化の進展やクラウド/リモートワークの利用拡大などもあり、従来の境界防御型のセキュリティ対策からゼロトラストへシフトする必要性が高まりました。

そこで同社はゼロトラストの実現に向け「最新技術の積極的活用」と「グローバル対応」を打ち出し、グローバル全体のレベルを一定以上に引き上げるという方針を立てました。

リージョンごとにセキュリティ対策の考え方も異なっていたため、本方針の実現は難しかったと同氏は振り返りましたが、「環境を変える」「ルールを変える」「文化を変える」の3点を推進することで実現しました。また、本方針の実現によって生産性も向上したと語りました。

導入時には、各リージョンの最高情報セキュリティ責任者(CISO)が連携して推進し、多要素認証を実現するためのアイデンティティ管理、ゼロトラストネットワークアクセス(ZTNA)、そして侵入をいち早く検知するためのEDRやSIEM、さらに個々のユーザーレベルで異常な振る舞いを検知するためのUEBAなどの最新技術が導入されました。そして、同社がGlobal Networkを支えるアイデンティティ管理基盤として選択したのがOktaでした。

NTTデータがOktaを選んだ理由

同氏は、『「1 login for all apps, all devices, all NTTDATA」というコンセプトを実現するためにOktaを選択した』と明かしました。選定ポイントは、「シンプルかつ、利便性のあるUX(User Experience)」「すべてのアプリケーション、デバイスを利用可能に」という点でした。

 
 

NTT%E3%83%86%E3%82%99%E3%83%BC%E3%82%BF slide2

 
 

同社ではグローバルでアイデンティティを集約、統一し、全世界14万人のアイデンティティすべてをOktaで管理可能な環境を実現しました。これによりアイデンティティの集約だけではなく、ドメイン(nttdata.com)の統一も実現しました。結果として、グループ企業間でのコラボレーションもさらに促進されるという効果が得られました。

 
 

NTT%E3%83%86%E3%82%99%E3%83%BC%E3%82%BFslide3

 
 

同氏はOkta導入の効果として、「『運用ルールによる管理』から『システムによる管理』へ変えたことで更なるガバナンス強化を実現できた」と語りました。また、従来は禁止されていたクラウド利用に関しても、「しっかり監視して、安全に使えるようになった」という大きな効果も得られたそうです。

 
 

NTT%E3%83%86%E3%82%99%E3%83%BC%E3%82%BFslide4

 
 

ゼロトラストの実現には、アイデンティティ基盤の確立が必要と言われますが、グローバルでゼロトラスト環境を構築し、各リージョン/各国にてバラバラだったセキュリティレベルを高い水準で統一したNTTデータの取り組みは、今後ゼロトラストの実現を考える各社にとって参考となる部分は多いのではないでしょうか。

本城氏は「『ゼロトラストを活用したセキュリティ基盤をグローバルに展開』と言うことは簡単だが、実現には大変な苦労があった」と振り返りました。同社ではこの経験を踏まえたセキュリティコンサルティングから基盤構築、監視まで包括的なサービス提供を行なっているそうです。

多くの企業がゼロトラスト基盤の構築に取り組むことが予想されます。このような環境でOktaがどのような効果を発揮できるか、その力を明確に示した例と言えるのではないでしょうか。

参考

ニュースリリース ゼロトラストセキュリティサービスをグローバルで提供開始