IT Admin Blog>ゼロトラストセキュリティの実現を目指して。Keeperを導入しパスワード管理を強化 ゼロトラストセキュリティの実現を目指して。Keeperを導入しパスワード管理を強化
全自動の資産運用サービス
「WealthNavi(ウェルスナビ)」を提供するウェルスナビ株式会社。WealthNaviは、ノーベル賞受賞者が提唱する理論に基づき、「長期・積立・分散」の資産運用を、テクノロジーの力で自動化していることが特徴です。
2016年のサービス開始以来、機能性、透明性、シンプルな手数料が高く評価され、利用者は36万人を超えています(2023年3月時点)。「リバランス機能付き自動積立」やNISA(少額投資非課税制度)の非課税メリットを活用しながら資産運用が行える「おまかせNISA」など多彩な機能があり、お客様の資産形成をサポートしています。
同社では、2022年よりパスワードマネージャー「Keeper」を導入しています
課題
対策
効果
ゼロトラストセキュリティの実現を目指して、リスク対策を推進
フィンテック企業として急成長しているウェルスナビ。現在約140名の従業員が働いています(2023年3月時点)。従業員が働く環境をITとセキュリティ面で支えているのがCIT・セキュリティチームです。端末・備品の手配、アカウントの管理、入退室権限の管理、社内LANの運用など、従業員の働く環境をIT面で整備しつつ、セキュリティリスクの低減を図る役割があります。
パスワードマネージャーKeeperを導入したきっかけについて、CIT・セキュリティチームの責任者である下村氏は次のように話します。
「2021年にERM(統合型リスク管理)活動を通じて、セキュリティリスクを網羅的に把握しました。リスク対策を検討する際に、社内外の環境変化やサイバー攻撃による被害事例を踏まえた対策が必要であると考えました。例えば、当時はコロナ禍で多くの企業がリモートワーク制度を導入し、オフィス外で仕事する環境があっという間に広がりました。一方、VPN機器の脆弱性を突いた攻撃による被害が多発して社会問題になりました。このような状況を踏まえて、従来のような「オフィス内は安全・オフィス外は危険」という境界型防御のリスク対策では情報資産を守りきれないと考えました。そこで参考にしたのがゼロトラストセキュリティのコンセプトです。このコンセプトは「オフィス内も危険・オフィス外も危険」という点に特徴があり、境界型防御と大きく異なります。ゼロトラストセキュリティの到達点は標高が高く険しい道のりだと感じたのですが、段階を踏みながらリスク対策を進めることにしました。
リスク対策の一つとしてパスワード管理が課題に上がりました。業務ではSaaSを含む様々なシステムを利用しており、強度の高いパスワードを各従業員が管理することに限界を感じていました。また、一部のシステムでは共有アカウントを利用しており、退職や異動がある度にパスワードを変更する必要がありましたが、組織の規模が大きくなるにつれて運用負荷が増えるという課題がありました」(下村氏)
そこで、パスワード管理の課題を解決するためのソリューションを検討することになりました。当初は既に導入していたAzure Active Directory(Azure AD)に備わっている「パスワードベースのシングルサインオン(SSO)」機能を利用することを検討していました。追加の導入コストもかからず、パスワード管理が可能であるという利点がありましたが、セキュリティと利便性の要件を満たさず、対応していないSaaSも多かったため、他の手段を探すことになりました。
要件にマッチするパスワード管理ツールを比較してKeeperを選定
検討を始めたタイミングで、現在コーポレートITとITセキュリティ業務を担当している大久保氏が入社し、ソリューション選定を引き継ぐことになりました。
「利用状況を調査したところ、社内で非常にたくさんのSaaSが利用されていることがわかり、驚きました。また、SSO非対応のSaaSも多数存在していることも分かりました。そういったSSO非対応のSaaSにも対応ができること、強度の高いパスワードの生成と管理、共有アカウントのパスワード管理といった課題を解決できるソリューションとしてパスワードマネージャーを検討することになり、複数のパスワードマネージャーの比較検討を行いました」(大久保氏)
選定にあたっては次のような要件を検討しました。
「Azure ADを使ったSSOに対応していること、Microsoft Sentinelのセキュリティ情報とイベント管理(SIEM)と連携が可能であることを要件として考慮しソリューションを比較した結果、Keeperを選定しました。また、他社製品に比べて導入コストを低く抑えられたこともポイントです。ZUNDAは、日本語でのサポートにも対応しているほか、導入時のサポートも充実しているため、お願いすることになりました」(大久保氏)
パスワード管理がシンプルになり、安全性の高い運用が可能に
Keeperを導入後、全従業員が利用するパスワードマネージャーとして定着しています。新入社員には、オンボーディングの過程でKeeperを利用することを伝えており、スムーズに利用できているということです。
「要件に応じたシングルサインオン(SSO)への対応はもちろん、共有アカウントのセキュアな管理が可能になりました。ショートカット機能を活用すればパスワードの一括変更も容易に行えるため、利便性が高まりました。従業員にとっては、Webブラウザのパスワードマネージャーと同等の使いやすさでストレスなく利用できるうえ、強度の高いパスワードの自動生成と管理がサポートされる点が便利です」(下村氏)
「会社全体で強度の弱いパスワードを利用している人、パスワードのを使いまわしている人、ダークWebに漏洩しているパスワードを利用している人などが特定できます。今後は、注意喚起やセキュリティの啓蒙に活用していきたいと考えています。
またインシデントが発生した場合には、ログから誰がパスワードを開いたのか追跡することも可能で、この点についても評価しています。具体的な活用例はまだありませんが、何か問題が起きた際に追跡できる点は非常に有用です」(大久保氏)
一方で、Keeperには改善の余地もあると感じているそうです。
「パスワード共有のためのチーム登録は現在、管理者向けの管理コンソールから行う必要があります。私が申請を受け作成していますが、従業員向けの管理コンソールの画面(ボルト)で設定できるようになると、より効率的になるのではないかと思いました。 また、一般の従業員には理解しづらい用語があるため、単語の横にツールチップを用意して意味を確認できると、従業員の利用レベルが向上すると思います」(大久保)
さらなるセキュリティ強化のためにやっていきたい施策が盛りだくさん
今後の情報セキュリティ対策については、様々な側面からさらに強化していきたいと考えているそうです。
「やりたいことがたくさんあるのですが、3つに絞ってお話しします。まず1つ目は、ゼロトラストセキュリティの高度化です。Keeperをはじめとしてすでに導入しているソリューションやこれから導入を検討しているソリューションを駆使することができれば、従業員の生産性はを下げずに、これまでよりもセキュアな環境が作れると考えています。チームのメンバーは各ソリューションに関する知見やスキルを向上させるために日々切磋琢磨しています。一段とレベルの高いゼロトラストセキュリティを目指して実務を積んでいます。
2つ目の取り組みは、ゼロトラストセキュリティの高度化にも繋がるのですが、サイバー攻撃の検知、分析、評価、対策を行うSOC(セキュリティオペレーションセンター)の確立です。SOCを担うセキュリティ人材を採用しており、組織として確立させることを目指しています。
3つ目は、ISMS(情報セキュリティマネジメントシステム)の認証を取得し、情報管理を強化することです。認証の取得を通じて、さらなる情報管理体制の強化や、情報資産の見える化、不足しているルールの整備などに取り組んでいきたいと考えています 」(下村氏)
「デバイスの運用、管理、アップデートなどは、Microsoft IntuneとJamf Proを利用しており、これらのソリューションを活用することで利便性が高く、セキュアなデバイス管理が行えると考えています。
また、従業員が新しいSaaSサービスを利用する際、必要な場合は申請を行い適切な承認プロセスを経るように促し、セキュリティポリシーの順守とリスクの管理の強化をしたいと考えています」(大久保氏)
安心・安全かつ安定した社内ITサービスを提供し続けるためにも、社内外を含めたセキュリティ対策の強化に取り組み続けたいと、お二人は力強く語られました。
Keeper managed by ZUNDA について
ZUNDA株式会社は Keeper Security Inc 認定のMSP代理店として、パスワードマネージャーKeeperを法人・組織の皆様にお届けしております。
組織におけるパスワードの管理の効率化やセキュリティの向上を実現すべく、日本語による充実のサポートと運用管理(マネージドサービス)を日本のお客様に提供します。