新型コロナウイルス感染症の蔓延で、外出制限などの行動規制が実施された結果、テレワークが急速に普及しました。クラスメソッドでも、2020年1月末にはほぼ全社員がテレワークに切り替えています。テレワークでは、セキュリティの都合上、社内システムの利用を自宅からに限定してきましたが、1回目の緊急事態宣言から約2年が経った2022年5月、これまで禁止してきたカフェやコワーキングスペース等で提供されるネットワークからのアクセスを許可しました。
自宅外からのアクセスに際しては、Cloudflare(クラウドフレア)社が提供するクラウド型VPN・セキュアWebゲートウェイサービス「Cloudflare Zero Trust」を採用し、高いセキュリティを確保しています。Cloudflare Zero Trustの導入経緯と利用メリットについて、当社情報システム部の植木に聞きました。
コロナ疲れで社員のストレス増、カフェやホテルで気軽に働けるアクセス環境を
クラスメソッドでは、社内の情報セキュリティルールとして、カフェ、ホテル、コワーキングスペース、空港等の「公共LAN」への接続を禁止していました。なぜなら、公共LANは無防備な状態で利用せざるを得ない場合が多く、セキュリティホールを突かれて情報を覗き見されたり、改竄されたりといったリスクが存在するからです。悪意のある者が意図的に作ったアクセスポイントに誘導され、知らずに使ってしまう可能性もあります。そこで、社員にはすべての公共LANの利用を禁止とし、屋外で働く機会の多い営業職の社員にはモバイルWi-Fiルーターを支給していました。
「もちろん、すべての公共LANが危険というわけではありませんが、どれが安全で、どれが危険と情報システム部で統制するのは現実的でありません。利用者自身で判断して使ってくださいとお願いするのも無責任な話です。そこでこれまでは会社のルールとして、公共LANからのアクセスを一律で禁止してきました」(植木)
しかし、テレワークにも慣れ、緊急事態宣言も解除されるようになると、社員は自宅から外に出て近所のカフェやコワーキングスペースで働きたい、ワーケーションとして旅先のホテルで働きたいといった思いが強くなっていきます。
「社員が少しでもストレスを感じることなく働くことができる環境を用意したいという思いから、公共LANから安全に社内システムにアクセスできる環境を整備することにしました」(植木)
1つの製品でVPNとDNSの2つに対応し、SSOもできるCloudflare Zero Trustを採用
公共LANからのアクセスにあたり、情報システム部が必要と考えたセキュリティのポイントは2点です。1点目は通信が盗聴されないようにVPNによって通信経路を暗号化すること、2点目はDNS情報を改ざんするDNSキャッシュポイズニングといった攻撃から通信を守ることです。そこで、2つの要件に対応するセキュリティソリューションを調査した結果、最終的に採用に至ったのがCloudflare Zero Trustでした。
Cloudflare Zero Trustは、CDN分野ではトップクラスのシェアを持つCloudflare社が提供するゼロトラストサービスです。世界中に展開されているCloudflare社のCDN用の設備を活用して、VPNや認証などのサービスを提供しています。
Cloudflare Zero Trustは、ユーザー認証機能を提供する「Cloudflare Access」と、コンテンツフィルタリングなどのゲートウェイ機能を提供する「Cloudflare Gateway」、VPNサービスの「Cloudflare WARP」で構成され、Cloudflare WARPをオンにすると利用端末との間がVPNで結ばれ、DNSを保護したうえですべての通信がCloudflareのプラットフォームからCloudflare Gatewayを通ってインターネットに出ていきます。
Cloudflare Gatewayには、Webフィルタリングの機能もあり、会社側でルールを設定して禁止したいサイトへのアクセスを遮断することができます。Cloudflare社が保有するブラックリストに基づき、危険なサイトのアクセスをブロックする機能も有しています。また、Cloudflare Accessは、Azure ADとも連携が可能で、Azure ADアカウントでシングルサインオン(SSO)することもできます。
2018年8月に検討を始めた当初、情報システム部が考えていたのは、既存のプロキシサーバーとCloudflare社のトンネリングサービス(Argo Tunnel)を組み合わせることで、世界中どこからでも社内プロキシを利用可能にすることでした。しかし、当時は既存のプロキシに対応していなかったことから断念。その後、端末を防御するCloudflare Zero Trustの存在を知り、2021年9月に検証を実施し、2週間程度で簡単に導入できることを確認して採用に至りました。
「採用の一番の理由は、Cloudflare WARPのアプリケーションを使って、ボタンひとつでVPNをオンにして、DNSを安全なサーバーに切り替えてくれることでした。DNSの安全性確保ならDNSSECでも代替できますが、当時の自社の環境にはマッチしていませんでした。既存のVPNを常時オンにし、すべての通信をプロキシサーバーで保護することも試してみたものの、オンライン会議の接続が不安定になるなどしたために断念しました。反対にCloudflare Zero Trustは、Cloudflare WARPが常時オンの状態でもオンライン会議は安定していました。こうしたことから、1つの製品でVPNとDNSの2つに対応し、Azure ADによるSSOもできるCloudflare Zero Trustを採用しました」(植木)
利用時はCloudflare WARPを「オン」にするだけ、情シスの負担もほぼゼロ
導入は、2021年10月に一部の営業職の社員を対象に機能検証を実施。その後、2022年2月に社内各部のISMS(情報セキュリティマネジメントシステム)担当者約10名を対象に業務影響テストを実施し、そこでの評価結果を受けて2022年5月の長期連休後にMDMツールを使用して全社員にCloudflare WARPのアプリケーションを配布しました。
社員はPCのタスクトレイ上に表示されたCloudflare WARPのアイコンをクリックして「オン」にするだけで設定は終了。初回のみAzure ADとの連携を実行するだけで利用可能になりました。
「ほとんどの社員は1分以内に設定ができているはずです。導入・利用手順書も用意はしたものの、結果的には使うことなく導入は終わりました」(植木)
クラスメソッドでは現在、2021年に先行導入した海外オフィス(ベルリン/バンクーバー/ニューデリー/バンコク/ソウル/ホーチミン)を含め、ほぼ全社員にあたる約550名がCloudflare Zero Trustを利用しています。PCはMacとWindowsの2つのOSを対象にしていますが、スマートフォンについてはアプリケーションの問題で現時点では対象外としています。
「基本的には、カフェやコワーキングスペースなどでPCを利用する際にはCloudflare WARPをオンにして使うルールです。ただし、自宅でオンにしていても通信に影響することはないので、強制ではないものの常時オンにすることを推奨しています。導入後は社員から不満の声が聞こえることもなく、情報システム部に寄せられる問い合わせもほぼゼロで、情報システム部にとってもありがたいサービスです」(植木)
Cloudflare Zero Trustの導入は、社外の公共LANでの利用を可能にしただけでなく、セキュリティの強化にも貢献しました。現在、1週間で3,700万リクエストを処理しているうち、4,000件を危険なサイトとしてブロックしています。これは危険なサイトへの直接的なアクセスのブロックだけでなく、安全なサイトに広告やビーコンなどの形で潜み、バックグラウンドで不正アクセスを図る動きへの防止も含んでいます。
また、社内のテレワーク環境の整備も一元的となり、情報システム部が個別対応することがなくなりました。営業職に支給しているモバイルWi-Fiルーターの貸出数も減ると見込んでおり、コストの低減が期待されています。
全社のVPN環境の一本化や、スマートフォンでの利用拡大を検討
今後は、Cloudflare Zero Trustによる全社のVPN環境の一本化や、スマートフォンでの利用拡大を検討していく予定です。加えて、脱PPAP(パスワード付きzipファイルの解消)やマルウェア対策に向けて、Cloudflare社のメールセキュリティサービスの検証も進めています。
「Cloudflare Zero Trustは、テレワークが多い企業、PCを持ち歩いて社外で利用する機会の多い企業におすすめのサービスです。新たにオフィスを立ち上げる時も、高価な専用線を引くことなく安価にVPN環境を用意することができるので、初期コストや運用コストを下げることができます。当社でも2021年に韓国に新オフィスを立ち上げる際、Cloudflare Zero Trustを利用することで、早期にネットワーク環境の準備ができました」(植木)
クラスメソッドは、Cloudflare社のアライアンスパートナーとして、同社の各種ソリューションの提供と技術支援も行っていますので、興味がある方はご相談ください。
