新型コロナウイルス感染症への対応として、ハイブリッドワーク環境を整えることが必要になったこと、また、同時期に社内サーバー群への不正アクセスを受けたことが、ゼロトラスト セキュリティに取り組むきっかけとなりました。
従業員の ID は Entra ID へ、それに紐付く 40,000 台の自社開発「セキュアド PC」のデバイス管理は Intune へと移行しました。
ID認証やデバイス管理を強化することで、よりセキュアで、利用しやすいハイブリットワーク環境を提供できるようになり、多様な働き方にも貢献しました。
新たな価値の創造とグローバルサステナブル社会の実現を目指し、従業員体験 (Employee Experience 以下 EX) の高度化を推進する NTTグループ。同グループで ICT を活用した働き方改革を牽引する NTTコミュニケーションズは、ゼロトラストに着目し、既存の働く環境を刷新、いつでもどこでも安全かつ快適に働ける環境を整備し、EX 向上に貢献しています。ゼロトラストとは、会社の情報資産へのすべてのアクセスを「信頼しない」ことを前提に対策を講じるセキュリティの考え方です。
同社がゼロトラストに基づいた安全なハイブリッドワーク環境を実現するソリューションとして採用したのが、クラウド型の ID / アカウント管理サービスである Microsoft Entra ID (旧 Azure Active Directory。以下 Entra ID) と、デバイスとアプリを管理する Microsoft Intune (以下 Intune) です。
従業員の ID とそれに紐付く 40,000 台の自社開発した「セキュアド PC」の管理をオンプレミス AD や Microsoft Endpoint Configuration Manager (以下、MECM) から Entra ID と Intune に移行しました。ID の認証を一元管理し、多要素認証および端末認証による認証強化を実現しているため、従業員にはよりセキュアで、利用しやすいハイブリットワーク環境を提供できるようになり、多様な働き方にも貢献しています。セキュアド PC とは、利便性とセキュリティを両立させた NTTコミュニケーションズ独自の Windows PC です。こうした取り組みによって、デバイス管理の仕組みを簡素化できたため、運用に関わる工数や経費の削減、緊急時のより迅速な対応、デバイスのキッティングに必要な時間や手間の短縮にも寄与しています。
ICT を使って、人と世界の可能性を拓くコミュニケ―ションを創造する NTTコミュニケーションズ。同社は、NTTグループが経営戦略の柱として掲げる EX の高度化における自律的なキャリア形成への支援強化に向けた取り組みを展開しています。自律的なキャリア形成への支援強化では、従業員のライフスタイルに応じた多様な働き方・働く環境を整備し、従業員の成長を支援します。
多様な働き方・働く環境整備として、2022 年 7 月からハイブリッドワークを基本に「住む場所」の自由度を高め、日本全国どこからでも働くことを可能とする制度(リモートスタンダード)を導入し、働く時間や場所はもとより住む場所の制限からも従業員を解放することで EX の向上を実現しています。
ハイブリッドワークについて、NTTコミュニケーションズ株式会社 デジタル改革推進部 デジタルイノベーション部門 担当部長 豊嶋 剛司氏は次のように話します。「働く場所を問わず安全に業務ができるハイブリッドワークの実現のためには、ゼロトラストに基づいたセキュリティ対策が重要です」
新型コロナウイルス感染症の流行下でのハイブリッドワークの必要性と同時期に社内サーバー群への不正アクセスを受けたことが、同社がゼロトラスト セキュリティに取り組むきっかけとなりました。豊嶋氏は次のように続けます。「不正アクセス対策のために決断したのが、オンプレミス環境からの脱却です。これまでは社内ネットワークに対して、外部から接続を遮断することで安全な領域を作り上げてきました。しかしながら今日ではクラウド / SaaS 活用や、在宅勤務が日常となり、環境の変化により確固たる「境界」を構築することが難しくなっています。そこで、全てのアクセスを信頼しないことを前提にセキュリティ対策を講じるゼロトラストを実現するためにもデバイスやソフトウェア、社内システム、認証、ネットワーク、ID の管理について、クラウドをベースに考える必要がありました」
全てのアクセスを信頼しないことを前提にセキュリティ対策を講じるゼロトラストを実現するためにもデバイスやソフトウェア、社内システム、認証、ネットワーク、ID の管理について、クラウドをベースに考える必要がありました
豊嶋 剛司 氏, ジタル改革推進部 デジタルイノベーション部門 担当部長, NTTコミュニケーションズ株式会社
同社がオンプレミスからクラウドへの移行のアプローチとして進めたのが、Active Directory (以下、AD) から Entra ID へ、 MECM から Intune への段階的な移行でした。
オンプレミスの Active Directory を廃止し、Entra ID と Intune による ICT リソースの一元管理を実現しました。全てのデータがクラウドに存在し、今までに経験のない情報の可視化や活用が期待できます
西岡 瞳氏, デジタル改革推進部 デジタルイノベーション部門, NTTコミュニケーションズ株式会社
第一段階は、AD の認証方式である ADFS (Active Directoryフェデレーション サービス) を廃止し、フェデレーション認証から Entra ID 単体の認証に移行したことでした。同社 デジタル改革推進部 デジタルイノベーション部門 中島 幸人氏はこのプロセスについて次のように語ります。「ADFS を廃止する際、Entra ID の段階的なロールアウトにより、利用者を絞ったトライアルを実施し、課題が浮かび上がったら、都度、解決していく。事前にこの流れを繰り返したので、本運用では何の問題も起きずに、かつ短期間で切り替えられました」
また、この段階では、オンプレミスのファイルサーバーも廃止しました。既存の全ファイル (550 テラバイト) を Microsoft OneDrive や Microsoft SharePoint に移行したことについて、同社 デジタル改革推進部 デジタルイノベーション部門 担当課長 井上秀治氏は「当初、使い慣れたファイル共有のインターフェースから SharePoint に移行することに多くの反発がありましたが、ゼロトラストの実現に向けたクラウド移行の意義を理解してもらい、既存データの移行は従業員自身でおこなってもらいました。また、SharePoint 移行ツール(SPMT)を案内し、移行作業の負担を軽減するとともに、組織別に段階的に移行することでネットワーク負荷やサポートデスクへの問い合わせを分散させました」と説明します。
続く第二段階では、SaaS や社内システムなどのアプリが使用する認証基盤を、AD から Entra ID へ移行しました。移行については、ガバナンスがポイントになったと 同社 デジタル改革推進部 デジタルイノベーション部門 主査 佐久間 力哉氏は語ります。「情報セキュリティ部門とも連携し、『認証基盤に Entra ID を使う』ことを、まず社内システム規程として定めました。IT ガバナンスを効かせることで、新規の AD の利用を抑制できたと思います。また、AD と既に連携しているアプリについても、社内システム担当が更改のタイミングなどでEntra ID 対応に取り組んでいました。そのため、この段階で AD から Entra ID へ移行が必要なケースは少数でした」
移行が必要なケースでは、「Entra ID = クラウド版 AD」というアプリ担当者の認識を変えることも必要でした。そのため、アプリの方式や製品の変更が必要な場合もあるといったことを社内に周知し、理解を促進しました。また、新しい認証方式に合わせた移行計画の立案と実行を支援し、多くの社内アプリを Entra ID に対応させ、クラウドシフトを実現しました。
この AD の廃止に伴う動きは、社内アプリの移行だけに意識が向いてしまいますが、その範囲は幅広く、オフィスの ICT を構成するさまざまな要素に及びます。「ネットワークや証明書、プリンタ設備、ライセンス認証なども移行する必要がありました。AD 廃止を進めるためには、社内の関係者を早い段階から巻き込むことが重要でした」と佐久間氏は振り返ります。
同時に、オンプレミスのデバイスやアプリの管理ツールである MECM を廃止し、Intune への移行が進められました。Intune の機能の 1 つである、Windows Autopilot (以下、Autopilot) によるセットアップ手法を取り入れることで、既存デバイス 40,000 台をわずか 4 カ月で Microsoft Entra ハイブリット参加 (旧 Hybrid Azure AD Join) から Microsoft Entra ID 参加 (旧 Azure AD Join) に移行しました。同社では、もともと Microsoft Entra ハイブリット参加を利用していましたが、Entra ID 参加デバイスに完全に切り替えるにあたっては、一度デバイスをリセットしなければなりませんでした。この切り替えのポイントについて、同社 デジタル改革推進部 デジタルイノベーション部門 担当課長 稲田竜也氏は次のように語ります。「従業員は、在宅勤務中に自分の実施タイミングで、Intune のワイプ (初期化) でセルフリセットするだけです。インターネットを通じて Autopilot により自動的にセットアップが行われ、切り替えを完了することができました」
さらに、デバイス移行のポイントについて「社内に理解者をつくることと、トップダウンでの推進の両輪が必要でした」と同社 デジタル改革推進部 デジタルイノベーション部門 主査 川村 佳子氏は振り返ります。
「各組織にいる IT 管理者向けに、先行して説明会開催やプロトタイプ端末として、検証機の貸与を実施し、私たちが進める移行施策への理解を深めてもらいました。従業員にリセット操作をしていただくためには、従業員自身が Entra ID 参加デバイスに切り替わることのメリットを理解している必要があります。IT 管理者を通じて、そのメリットを伝えることに尽力しました。一方で Intune のデータを元に Power BI で組織ごとのデバイス切り替え率を可視化し、その数字を各組織の責任者に伝えることで、切り替えの推進をトップダウンでも後押ししてもらいました」
最後の第三段階では、オンプレミスとクラウドの環境を完全に切り離すために AD のオブジェクトをEntra ID へ同期する Microsoft Entra Connect (旧 Azure AD Connect) の同期停止を実施しました。中島氏はこの同期停止について次のように説明します。「切り替え作業は、コマンドを 1 つ打つだけで終わります。しかし、そのための事前準備はしっかりと進めました。同期停止対象のオブジェクト数は 16 万個あり、業務に必要不可欠な従業員全員のユーザーアカウント、配布グループ、セキュリティグループが含まれます。同期停止によるオブジェクトを利用できない期間を最小限にとどめるべく、16 万オブジェクトの同期停止時間を事前に検証し、同期停止後すぐに Entra ID でプロビジョニングを開始できる作業計画を立案しました。
さらに、社内環境は AD と Entra ID の同期構成が前提だったため、同期停止による影響が大きく、机上だけでは全てを把握できないと考えました。そのため、実環境を模倣した別テナントを構築し、リハーサルを実施。同期停止の影響が及ぶ業務に対しては情報を提供し、必要な対応の準備を依頼しました。細部にわたり問題点を漏れなく抽出したことで、大きな影響なく同期停止を完了させることができました」
ポイントは、多くの工数をかけて作り上げた複雑なポリシーを運用する必要なく、Entra ID によってゼロトラストに必要な『高度かつ確実な本人認証』や、『複合的かつ動的な認証・認可』を容易に実現できたという点です
佐久間 力哉氏, デジタル改革推進部 デジタルイノベーション部門 主査, NTTコミュニケーションズ株式会社
クラウド移行に伴う業務への影響を最小化するためには、事前にユーザーが新しいユーザー インターフェースに慣れておくことが大切です。同社 デジタル改革推進部 デジタルイノベーション部門 西岡瞳氏は移行時のポイントについて次のように説明します。「Entra ID 対応の新規システムをユーザーに先行して解放したことが、切り替え後の混乱回避につながったと考えています。また、既存システムと新規システムにおいて仕様変更が生じるケースでは、事前説明会や社内ポータルサイトでの情報公開などを通じて、きめ細かくサポートし、ユーザーである従業員の不安を払拭できるように心掛けました」
切り替え時の工夫について稲田氏は次のように振り返ります。「難しかったのは、AD で管理していたグループポリシーの中に、Intune の構成プロファイルに対応していないポリシーがあったことです。日本マイクロソフトからの提案で、当時プライベートプレビュー版だったグループポリシー分析ツールを使うことにしました。既存のグループポリシーが Intune に対応しているかを分析し、対応している場合は設定方法が示されるのでスムーズに移行ができ、対応していないグループポリシーについては棚卸ができたので事前準備を行うなど、移行管理がしやすくなりました」
Entra ID と Intune を導入したことは、セキュリティ対策だけでなく、シンプルなデバイス運用にも繋がっています。
「ポイントは、多くの工数をかけて作り上げた複雑なポリシーを運用する必要なく、Entra ID によってゼロトラストに必要な『高度かつ確実な本人認証』や『複合的かつ動的な認証・認可』を容易に実現できたという点です」と佐久間氏は振り返ります。一度の認証で終わるのではなく、アクセスのたびにデバイスやネットワークの状況変化を検知し、リスクの度合いに合わせて再度の認証やパスワードの変更をユーザーに要求することで、ハイブリッドワーク時の不正アクセス対策を強化できました。
また、クラウドに完全移行したことで、Entra ID で認証を一元化し、ログデータの活用により高度なセキュリティモニタリングが可能となったことやエンドポイント、ネットワーク、アプリのデータを分析・活用し、従業員やデバイス単位でセキュリティ対策を実施できるようになったことはセキュリティと運用の両面でのメリットです。
「オンプレミスである MECM から Intune に移行したことで、デバイスの管理業務も効率化できました。これまで社内で利用する Windows OS の更新では、マスターイメージを作り直す手間と時間がかかっていたのですが、Intune の Autopilot や Windows Update for Business を利用することで、迅速かつ柔軟な展開を実現できたと感じています」と川村氏は話します。これまではデバイス担当者がセキュリティポリシーを変更する場合、AD を管理する担当者にグループポリシー変更を都度、依頼する必要がありました。「Intune によって、デバイス担当者のみで速やかに対応できるようになったので、デバイス、認証の両担当で業務負荷の軽減が図れたと思います」と同社 デジタル改革推進部 デジタルイノベーション部門 主査 畠山慎平氏は補足します。
また、新しく導入するデバイスの設定や事前構成を、クラウドから利用者に対して自動で行う Autopilot は、提供者側と利用者側の両方に大きなメリットをもたらしました。「提供者としてはキッティングという煩雑な業務から解放され、本来業務に集中する時間を創出できました。現在、管理する端末数は 46,000 台に増えたものの、新規デバイスの展開は Autopilot により非常に楽になり、デバイスセットアップのために出社する必要がなくなったことは、従業員からとても感謝されています。さらに、在宅でデバイスに不具合が生じた際も、出社せずともそのまま自宅でリセットし、Autopilot で再度セットアップすることで業務を継続できる点もビジネスメリットが大きいと思います」と畠山氏はそのメリットを説明します。
これまで社内で利用する Windows OS の更新では、マスターイメージを作り直す手間と時間がかかっていたのですが、Intune の Autopilot や Windows Update for Business を利用することで、迅速かつ柔軟な展開を実現できたと感じています
川村 佳子氏, デジタル改革推進部 デジタルイノベーション部門 主査, NTTコミュニケーションズ株式会社
管理する端末数は 46,000 台に増えたものの、新規デバイスの展開は Autopilot により非常に楽になり、デバイスセットアップのために出社する必要がなくなったことは、従業員からとても感謝されています
畠山 慎平氏, デジタル改革推進部 デジタルイノベーション部門 主査, NTTコミュニケーションズ株式会社
Microsoft をフォロー