自動化された高度な脆弱性管理でリスクを軽減するCushman & Wakefield

従来のインフラからクラウドへの移行

CISOのErik Hart氏がCushman & Wakefieldに入社した頃のビジョンは、インフラやデバイス、アプライアンスに頼るセキュリティ アプローチから脱却し、クラウドベースのSecurity as a Service (SECaaS)に移行することでした。

Cushman & Wakefieldは世界中に事業を展開し、数百の拠点とモバイル ワーカーを擁するグローバル企業です。同社に必要とされていたのは、セキュリティ レジリエンスの強化、ユーザーが利用するSaaSアプリケーションのパフォーマンス向上、アーキテクチャーの簡素化、M&Aに伴う統合の加速でした。

2019年、同社はクラウドネイティブなZscaler Zero Trust Exchangeプラットフォームを採用し、クラウドファーストの目標をさらに積極的に推進しました。Zscalerは、同社のデータ センターとSD-WANの利用を大幅に削減し、脆弱性管理ツールとプロセスを近代化しました。

CISOのErik Hart氏は次のように話します。「当社のビジネス運営は大きな変化を迎えています。Cushman & WakefieldのIT基盤の73%はSaaSによって支えられているため、クラウドファーストかつパートナーファーストのモデルに移行し、データ センターの規模を縮小することで、インフラの簡素化を進めています。私はセキュリティの専門家として、管理の手間が少なく拡張可能なサービスを提供する信頼できるセキュリティ パートナーと協力することを目標にしています。この条件を満たしていたのがZscalerです。特に、Zscalerの高度なエクスポージャー管理ソリューションは、私たちのリスク管理プロセスを改善し、効率化するために欠かせない存在と言えます」

フェーズ1:モバイル ユーザーへの安全なSaaSアプリ アクセスの提供から開始したゼロトラスト ジャーニー

Cushman & Wakefieldのビジネスの性質上、不動産管理者、ビルの設備技師、その他の技術者など多くの従業員が現場で働いています。

Hart氏が求めていたのは、安全なゼロトラスト アーキテクチャーを基盤とし、次世代ファイアウォールやその他の機能を提供しながら、コストの削減、柔軟性の向上、保守負担の軽減を実現するセキュリティ ソリューションでした。そこで選択したのがZero Trust Exchangeプラットフォームの一部であるZscaler Internet Access (ZIA)です。

Hart氏がZscalerを採用した最大の理由は、働く場所を問わず一貫したセキュリティを提供できる点にあります。現場、自宅、オフィスなど、従業員がどこで作業していても、ZscalerはインターネットやMicrosoft 365、Salesforce、Mimecast、Workday、不動産関連のSaaSアプリへの高速の直接接続を提供し、統一されたポリシーを施行します。また、ZIAに含まれるZscaler Digital Experienceは、ユーザー エクスペリエンスをさらに向上させます。アプリ、デバイス、ネットワークのパフォーマンスの問題をエンドツーエンドで可視化することで、ネットワーク運用部門やヘルプ デスクはトラブルシューティングと問題解決を迅速に行い、ユーザーの生産性を維持できます。

Hart氏が重視している主な分野の一つは、高度な攻撃、侵害、悪意や不注意に起因する内部脅威から社内のシステムと機密データを保護することです。侵害を防ぐために、Zscalerは完全かつ大規模なTLS/SSLトラフィック検査を行い、暗号化されたトラフィックに潜むマルウェアとデータ漏洩を特定します。AIを活用したクラウド セキュリティ サービスは、ランサムウェア、フィッシング、ゼロデイ脅威、高度な攻撃をより効果的に検出して阻止し、保護をさらに強化します。また、Zscalerは構成可能なURLフィルタリング ルールとポリシーを通じて、指定されたカテゴリーのWebサイトやリスク スコアの高いサイトへのアクセスを制御し、モバイル ユーザーとデバイスを保護します。

Cushman & WakefieldはZscaler Cloud Firewallも活用し、拠点を含むあらゆるユーザーの場所で、すべてのポートとプロトコルにおけるWebおよび非Webトラフィックを検査しています。このソリューションは高度な脅威に即座に対応して阻止し、悪意のあるドメインをブロックするだけでなく、IT部門が業務に不可欠なアプリへのトラフィックを優先し、YouTubeやソーシャル メディアのトラフィックを適切に制御することを可能にします。

従来の防御を回避してアイデンティティーを侵害しようとする高度な脅威に対しては、Zscaler Deceptionを活用しています。これにより、デコイで攻撃者を誘い込み、ユーザーやデバイスに到達する前に攻撃を検知し、迎撃します。

「Zscaler Zero Trust Exchangeは、攻撃対象領域を最小化することで脅威を食い止めるという重要な役割を果たしています。ユーザーはネットワークではなく特定のアプリのみに接続されるため、攻撃者が水平方向に移動するリスクをなくすことができます。さらに、ユーザーが侵害された場合や内部脅威が発生した場合には、Zscaler Deceptionが攻撃を検知して阻止するため、隠れた脅威を排除できます」(Hart氏)

フェーズ2:高パフォーマンスで安全なカフェ型の拠点エクスペリエンスを構築

Cushman & WakefieldはZscaler Zero Trust Branchを活用し、拠点の接続を近代化しながら、セキュリティの強化を継続しています。

これまで同社では従来型のSD-WANが使用されていましたが、この仕組みにはネットワークの拡張によって攻撃対象領域が広がり、脅威のラテラル ムーブメントが発生しやすくなるという課題がありました。現在はZero Trust Branchを活用したカフェ型モデルを採用し、新しいオフィスを設置しています。この新しいモデルにより、バックホールが排除されたと同時に、パフォーマンスとユーザー エクスペリエンスを低下させる高額で複雑なポイントツーポイントのVPNやファイアウォール アプライアンスが不要になり、ユーザーは快適かつ安全に社内のリソースにアクセスできるようになりました。

拠点をセグメント化し、トラフィックをブロードバンド接続経由でZscalerプラットフォームに転送する新しいアプローチによって、インフラの簡素化、迅速かつ容易なプロビジョニング、パフォーマンスの向上が可能になります。また、すべてのトラフィックはリアルタイムで検査されるため、組織の環境全体で強力なセキュリティが確保されます。

フェーズ3:自動化された高度な脆弱性管理で重大なリスクの検出と修正をスピードアップ

Hart氏にとって、エクスポージャー管理はセキュリティを成熟させるための重要な基盤です。Cushman & Wakefieldのセキュリティ態勢を強化し、企業リスクを最小限に抑えるために、Hart氏はZscaler Data Fabric for Securityを活用したZscaler Unified Vulnerability Management (UVM)に着目し、セキュリティ運用の近代化を目指しました。

導入前は、技術部門が従来型の脆弱性管理ツールやプロセスを使用していたため、セキュリティ運用やインフラ、アプリケーションの担当者は煩雑なスプレッドシートやメール対応に時間を費やし、サイロ化されたセキュリティ ツールから発生する膨大なデータの処理に追われていました。Hart氏は、こうした非効率な方法ではセキュリティ態勢を改善できないと判断しました。

Zscalerは、Cushman & Wakefieldのエクスポージャー管理に対するアプローチを根本から変革しました。Data Fabric for Securityは、数十のセキュリティ ツールからデータを集約して正規化し、重複排除することで、信頼性のある唯一の情報源を作り上げます。その後、このデータを相関付けて独自のインサイトを提供します。UVMは統合されたデータを活用して、コンテキストに基づく動的なリスク スコアを管理する一元的な環境を構築するとともに、自動化されたワークフローやリアルタイムで更新されるレポートやダッシュボードで各部門の作業を効率化します。

同社のテクニカル オペレーション部門で情報セキュリティ担当シニア マネージャーを務めるJames Huntley氏は、次のように話します。「UVMは、情報をより優れた形式で提供するだけでなく、実用的なインサイトも提供します。何を修正すべきか、そしてそれがなぜ重要なのかを明確に示すツールです」

Cushman & Wakefieldは、自動化されたチケット管理ワークフローを活用して修復までの時間を短縮し、セキュリティ態勢を継続的に改善しています。たとえば、アプリケーションやインフラの担当者はUVMにログインすることで、自分に関連する脆弱性が優先順位付きで表示されるリストをリアルタイムで確認できます。また、サポート部門もセキュリティ レポートを待つ必要がなくなり、推奨される修復アクションやコンテキスト情報などが含まれた最新データをいつでも確認できるようになります。

「データの議論に時間をかける必要がなくなりました。Zscaler UVMはプロセスを自動化し、技術部門に必要な情報とコンテキストを提供することで、迅速かつ適切な対応を可能にします。UVMはリスクの影響度に基づいて優先順位を設定し、軽減策を体系化するため、最も重要な問題に集中できる環境を確保できます。このツールを導入したことで、脆弱性の数を大きく削減できました」(Hart氏)

次の課題：コンプライアンスの微調整、リスクの可視性向上、継続的な統合、M&Aの簡素化

Hart氏が将来に向けて計画している優先事項は4つあります。UVMのユース ケースの拡大、セキュリティ エコシステムの継続的な統合、Cushman & Wakefieldのセキュリティ リスク プロファイルのより適切な管理、そしてM&Aプロセスを簡素化し、加速させるための戦略策定です。

Hart氏は近い将来、透明性とコンプライアンスに対応するために、UVMに例外管理のワークフローを導入する予定です。サーバーがEOLになる場合や修正に開発予算が必要な場合、担当者は修復が遅れる理由を文書化して承認プロセスに回すことができます。このプロセスにより、予防的かつ適切なリスク管理が可能になり、不十分なデータや非現実的な期限によるコンプライアンス違反を防ぐことができます。

Cushman & Wakefieldのセキュリティ インフラの効率化は、Hart氏が最優先で取り組んでいる課題の一つです。Zscalerとの統合をさらに進めることで、連携したセキュリティ エコシステムの構築を計画しています。特に、新たに投資した次世代のSIEMおよびログ管理ツールであるFalcon LogScaleなどのCrowdStrike製品や、Mimecast (全従業員が利用するクラウドベースのメール セキュリティと管理システム)などの既存のソリューションを最大限に活用することを目指しています。

「現在は、ZscalerのOneAPIを活用して運用効率を最大化することを優先的な課題として取り組んでいます。具体的には、脅威インテリジェンスの共有範囲の拡大、可視性の向上、さらなる自動化の導入を目指しています」(Hart氏)

最後に、M&Aに伴う統合もHart氏がZscalerをさらに活用したいと考えている分野です。今後、同社のM&A活動がさらに活発化すると予想されるなかで、Zscalerは買収した企業を迅速に統合し、ユーザーが数か月ではなく数日で重要な業務アプリを利用できるようにするための重要なツールとなります。Zscalerはアプリへの直接接続を提供し、従来のネットワーク統合の必要性を排除することで、M&Aプロセスを合理化します。

「多くのベンダーが大きな理想を掲げていますが、Zscalerは実際にそれを実現してくれるベンダーです。Zscalerは、将来的な成長や新しい可能性を追求するための明確な技術ロードマップを持っていると感じます」(Hart氏)

ゼロトラスト プラットフォームを進化させる統合

Cushman & Wakefieldのテクノロジー エコシステムにおけるZscalerと他の戦略的ソリューションとの相互運用性は、同社のクラウドファーストとゼロトラストへの移行において不可欠です。ZscalerはオープンAPIを備えており、補完的なソリューションとの統合を簡素化し、インフラ統合と多層型防御を実現します。

Zscalerは、CrowdStrike Falconによって生成されるゼロトラスト評価(ZTA)スコアのしきい値を満たす、コンプライアンスに準拠した信頼できるデバイスのみに組織のアプリケーションへのアクセスを許可します。双方向の脅威インテリジェンス共有に加えて、ZscalerとCrowdStrikeの次世代SIEMの統合により、テレメトリー データの交換が容易になります。これにより、より正確かつ効率的なセキュリティ インシデント対応を促進するための協調的なアクションが可能となります。

「ZTAスコア、脅威インテリジェンス、自動化されたワークフローにより、当社の担当部門は脅威環境に関する洞察を得られるため、適切なアクセス ポリシーを適用できます。そして、攻撃対象領域の削減、ラテラル ムーブメントの防止、タイムリーな脅威の検知と対応を行うことができます」(Hart氏)

クライアントのデータ プライバシーとコンプライアンス要件に合わせたセキュリティ

グローバル企業であるCushman & Wakefieldは、規模や地域によって異なるデータ プライバシー要件やセキュリティ対策を必要とするさまざまなクライアントと関わっています。俊敏でスケーラブルなZscalerのアーキテクチャーを通じて、担当部門はクライアントのニーズに合わせたセキュリティ対策を迅速に提供できる環境を整えています。

「Zscalerを導入したことで、セキュリティ ポイント製品を追加購入しなくても、各拠点のクライアントが求めるセキュリティとコンプライアンスのニーズに柔軟に対応できるようになりました。金融業界の大手クライアントに強力な情報漏洩防止が必要になることもあれば、不動産投資家が所有している建物ではテナントの要望に応えるような機能が求められる場合もあります。Zscalerはどちらのニーズにも対応できるため、私たちにとって理想的なソリューションと言えます」(Hart氏)

ビジネスの俊敏性を支える拡張性の高いセキュリティと効率的なインフラ

Cushman & Wakefieldは、Zscalerの導入による顕著な効果を実感しています。Zscalerのプラットフォームは、四半期ごとに200億件以上のトランザクションを処理できる拡張性を持ち、トラフィックの監視を通じてデータ漏洩やマルウェアを検出し、ビジネス リスクを軽減します。導入からわずか3か月で230万件の暗号化された脅威を検出してブロックしたほか、ポリシー違反を5億1,320万件も防止するなど、Cushman & Wakefieldのセキュリティ態勢を大幅に向上させています。

「Zscaler Zero Trust Exchangeを導入してから、クライアントやユーザーに影響を及ぼす重大なセキュリティ イベントは一切発生していません」(Hart氏)

Zscalerは、モバイル ワーカーを多数抱えるCushman & Wakefieldのビジネス モデルを全面的にサポートしています。従来のVPNやファイアウォールなどのソリューションはすでに排除され、結果として、IT環境がより効率的になり、ユーザー エクスペリエンスが向上し、セキュリティ態勢が強化され、柔軟性がさらに高まっています。

グローバル企業の多様なニーズに柔軟に対応するゼロトラスト

Hart氏はこれまでの経験から、デジタル トランスフォーメーションにおいて重要なのは、セキュリティの焦点をインフラの保護から、従業員の働き方(いつ、どこで、どのように仕事をするか)への適応へとシフトすることだと考えています。これに基づき、ゼロトラストを自身の方針の中心に据え、インフラに依存せず、すべてのユーザーがストレスなく、安全にデジタル環境を活用できる仕組みを重視しています。

Zscalerによって中核的なセキュリティをクラウドに移行することで、Cushman & Wakefieldはあらゆる場所のユーザーを保護できるようになりました。ゼロトラスト アーキテクチャーとUVMにより、可視化にとどまらず、現在の高度な脅威から自社と資産を保護する際の対応時間も短縮しています。

「私たちのビジネス モデルでは、リモート ワークのサポートが最優先事項です。グローバル企業のCISOとして世界規模で責任を担う立場では、日々オフィスに通勤するよりも、離れた地域とのコミュニケーションを優先する方が合理的です。Zscalerを導入したことで、ユーザーの接続元、利用しているデバイスの種類、そのデバイス ポスチャーを一元的に把握できるようになりました。加えて、従来のセキュリティ スタックとは異なり、監視やブロックなどの業務が統合されるため、運用効率が大幅に向上しています」(Hart氏)

Hart氏は、Zscalerの導入によって、セキュリティやテクノロジーに関する目標をすばやく達成し、従来のインフラでは解決が困難だった緊急性の高い課題にも対応できるようになったと述べています。特にUVMは、同社のエクスポージャー管理を近代化し、サイバーセキュリティにおける事前対応型のアプローチを強化するうえで大きな役割を果たしています。