100以上の機関をゼロトラストで統合し、プライベート アプリへのアクセス速度を600%高速化させたオクラホマ州

デジタル近代化を牽引するオクラホマ州

オクラホマ州は、180以上の機関が抱える複雑な環境やそれぞれの技術要件に対応するため、10年以上にわたりデジタル システムの近代化を進めてきました。3万人以上の職員への安全なリモート アクセスの提供、サイバー脅威からの重要なアプリケーションとデータの保護、IT運用の統合、クラウド移行の推進などの州の目標を達成するうえで、ゼロトラスト アーキテクチャーの採用は非常に重要な役割を果たしています。

州政府のテクノロジーとサイバーセキュリティの中心的な機関である、オクラホマ州マネジメントおよびエンタープライズ サービス局(OMES)は、Zscaler Zero Trust Exchangeでゼロトラストへの取り組みを開始しました。OMESは、パンデミック時、従来のVPNをZscalerソリューションに置き換えてゼロトラストの実装を加速し、職員が場所を問わずにどのデバイスからでも安全に作業できるようにしました。

州は、セキュリティ態勢をさらに強化し、クラウドファーストの取り組みをサポートするため、引き続きゼロトラスト アーキテクチャーを拡張しています。州政府のITインフラは現在、85%がオンプレミス、15%がクラウドにあり、CISOのMichael Toland氏は、2年以内にその割合を逆転させることを目指しています。

Toland氏は次のように話します。「州政府のゼロトラスト アーキテクチャーは、自然発生的に進化してきました。私たちはZero Trust Exchangeを活用することで得られた実績を基に少しずつ基盤を固めています。Zscalerは、貴重なデータやアプリケーション資産を保護しながら、ユーザーや市民を継続的にサポートするという州政府の長期的なデジタル トランスフォーメーション戦略に欠かせない存在です」

リモート ワーカーが安全かつ6倍速くアプリにアクセスできる環境を迅速に整備

OMESは、パンデミックの直前、パッチや修復が難しい既知の脆弱性を抱えていた従来のアプリケーションを保護するために、限定的にZscalerを導入しました。

パンデミックが発生したとき、OMESは、3万人の職員と100を超える機関のリモート ワークに素早く対応する必要がありました。Toland氏が指摘したように、組織の従来のVPNには3社のベンダーが関わっており、ユーザーの負荷により不安定になっていました。これによりネットワークの中断や、1日に数百ものVPN関連のヘルプデスク チケットが発生し、サイバーセキュリティ リスクも増大していました。

「できるだけ早く職員が以前のように働けるよう環境を整える必要がありました。抜本的な対応が求められる中、その解決をサポートしてくれたのがZscalerです。パンデミック時にZscalerを導入したことで、ユーザーの場所や機関によらず、州全体で一貫したセキュリティとユーザー アクセスのアプローチを取ることができるました」(Toland氏)

オクラホマ州は即座にZscaler Internet Access (ZIA)を導入して、インターネットや、ほぼすべての従業員が使用しているMicrosoft 365などのSaaSアプリへのより簡素かつ安全なリモート アクセスを提供しました。

その後まもなく、110以上の州機関で使用されていた高額でメンテナンスに手間がかかるVPNをZscaler Private Access (ZPA)に切り替えました。

「ZPAをわずか2日で稼働させ、全職員がデータ センター内の重要なプライベート アプリケーションに安全にアクセスできる環境を整備しました。また、VPNと比較して、プライベート アプリケーションへのアクセス速度が最大6倍も速くなりました。ハードウェアとソフトウェアへの初期投資、メンテナンス、パフォーマンスの問題による生産性の低下、潜在的なセキュリティ リスクなど、VPNにかかるコストを考慮すると、ZPAはより経済的で生産性を強化できる選択だったと言えます」(Toland氏)

全体として、Zscalerはすべてのユーザーとデバイスへのポリシーの作成と施行を簡素化し、コストの抑制とユーザー エクスペリエンスの大幅な改善を実現しました。

サイバーセキュリティを強化して巧妙化する脅威に対応

パンデミック時におけるZero Trust Exchangeの実装が基礎となり、OMESのZscaler導入はさらに拡大しています。多くの州政府と同様、オクラホマ州もフィッシング、認証情報の侵害、ランサムウェアなど、幅広い脅威の標的となっています。

2022年に現職に就任したときのToland氏の目標の一つは、セキュリティを強化することでした。Toland氏の部署では、引き続きZscalerと連携し、フィッシングの検出およびブロック、ブラウザー分離などのAI活用型の脅威検出で侵害を防いでいます。Webトラフィックの95%以上が暗号化されている現在、組み込みのTLS/SSLトラフィック インスペクションは非常に重要であり、機密性の高い個人データや健康データの大規模な侵害や損失を防ぐのにも役立ちます。ハードウェアベースのセキュリティ アプライアンスには固有の処理制限があるため、同じようには機能しません。

さらにセキュリティを強化するため、Toland氏の担当部門は先日Zscaler CASBを導入しました。このソリューションはSaaSアプリケーション内でのユーザー アクティビティーだけでなく、転送中または保存中の機密データを詳細に可視化します。CASBは、承認済みおよび未承認(シャドーIT)のクラウド サービスとSaaSの両方で機能します。高度なデータ分類とファイル共有制御、およびSaaSアプリケーション構成の監視は、データ侵害を防止し、厳しい政府規制の順守を維持するうえで重要な役割を果たします。

「私の部署では、1日に最大1,700万件もの脅威を確認しています。しかし、Zscalerの高度な自動化とAIを活用した脅威対策により、これらの脅威に迅速かつ適切に対応できています。Zero Trust Exchangeを導入したことで、州の各機関のサイバーセキュリティが大幅に強化され、リスクが軽減し、組織全体の可視性が向上しました」(Toland氏)

ユーザー エクスペリエンス モニタリングでサポート チケットをより迅速に解決して生産性を向上

ユーザー エクスペリエンスをさらに改善し、Toland氏の部門の作業をより効率化するために、OMESはZscaler Digital Experience (ZDX)を導入しました。ZDXにより、従業員がどこで作業していても、アプリケーション、ネットワーク、デバイスのパフォーマンスを常に監視し続けられるようになります。Toland氏は、ZDXの導入によって問題解決のスピードと質が向上したと話します。実際、サポート チケットの再対応や再オープンが減少していることが確認されています。

「診断を実行すると、リアルタイムの有用なデータを取得できます。このデータは、たとえばWi-Fiの接続不良、ネットワーク停止、不適切なデバイス構成などの問題の根本原因を突き止めるのに役立ちます。Zscalerを使用すれば、パフォーマンス パラメーターを測定し、推測に頼らずにサポート チケットをより迅速に解決できます。私自身、これを高く評価していますし、ユーザーにも好評です」(Toland氏)

CrowdStrikeとの統合で脅威のラテラル ムーブメントを阻止

統合は、サイバーセキュリティへの総合的なアプローチを実現するためのもう一つの重要な側面です。ZscalerとCrowdStrikeの統合により、継続的な脅威インテリジェンスとすべてのデバイスのFalcon Zero Trust Assessment (ZTA)スコアがZscalerに提供されるため、Toland氏が率いる、専任のセキュリティ専門家から成るサイバー コマンド部門は、より予防的かつ効果的に行動できるようになります。このリアルタイム データに基づき、Zscalerは迅速に適応し、アクセス ポリシーを施行するとともに、悪意のあるURL、IPアドレス、ドメインをブロックリストに追加します。

この統合による大きなメリットは、脅威のラテラル ムーブメントを防止できることです。Zscalerが新規の潜在的なマルウェアを検知した場合、そのサンプルはZscaler Sandbox内で実行および分析されます。そして、そこで得られたデータをCrowdStrikeと連携させることで、感染したデバイスを特定して隔離し、脅威を即座に阻止します。

「ZscalerとCrowdStrikeの統合によってテレメトリーが提供されるため、脅威が水平方向に移動して市民や職員の機密の財務情報が含まれるデータベース サーバーのような重要なシステムにアクセスするのを阻止できます」(Toland氏)

ゼロトラスト保護の核となるSplunk

ZscalerとSplunkの統合は、OMESのゼロトラスト多層防御戦略のもう一つの重要な要素です。この統合により、Toland氏のサイバー コマンド部門は州のセキュリティ態勢を一元的に把握できるようになり、調査と予防的な脅威ハンティング活動が強化されます。

Zscalerのデータ ログはSplunkのスキーマに対応しているため、相関検索を容易に行えます。Zscalerの豊富なメタデータと接続アクティビティー情報をSplunkの分析と組み合わせることで、Toland氏のサイバー コマンド部門は環境全体をより詳細に可視化し、強化されたテレメトリーを使って脅威を監視および特定できるようになります。同時に、アクセス制御の自動化も進められます。

「ZscalerとSplunkのシームレスな統合により、Splunk内の実用的なデータを利用して、脅威やポリシー違反、脆弱性をリアルタイムで可視化できるようになりました。サイバー コマンド部門は、いくつものセキュリティ コンソール間を行き来する必要がなくなったほか、一元的な管理画面のおかげで、効率とスピードを大幅に向上させました」(Toland氏)

定量化可能なビジネス成果：セキュリティ態勢の強化、コスト削減、コンプライアンスの簡素化

Zscalerを拡張したことは、州の運用の多くの分野に測定可能なプラスの影響を及ぼしました。

堅牢でスケーラブルなZero Trust Exchangeは、世界中の150以上のデータ センターから提供され、どのようなトラフィック量にも対応できるように構築されています。2023年Zscalerは、オクラホマ州で前年の82.4TBと比べて562%増となる545.9TBのトラフィック運用帯域幅を処理しました。また、1か月間で1,760万件のポリシー違反を防止し、394,652件の脅威をブロックしました。さらにZscalerは、90日間で、暗号化されたトラフィックに隠された34,342件の脅威を検出することで、ビジネス リスクを軽減しました。

Zscalerは、州政府の予算的な制約との整合性という領域でも価値を証明しました。Toland氏はセキュリティ技術を評価する際、初期購入費だけでなく、維持管理費や運用の複雑さ、そしてツールの不具合から生じる潜在的なコストまでを慎重に考慮しています。

「私たちは、その製品が価値をもたらすかどうかを判断するために、費用を細部まで調べています。ゼロトラスト、アイデンティティー管理、アクセスといった機能ごとに別々のツールを揃えなくても、Zscalerの統合プラットフォームで適切かつ効率的にすべてを実行できます。以前は3〜5種類のソリューションが必要でしたが、今ではZscalerの統合機能だけでこれらをカバーできるようになりました。これまでZscalerで対応できなかった問題はありません。Zscalerは、コストを削減しながら効率性を向上させるという困難な課題の解決に大きく貢献しています」(Toland氏)

また、プラットフォームに依存しないZscalerのプロセスは、製品固有のスキルセットを持つ専門家の雇用や、追加のスタッフ トレーニングへの投資を必要としないため、時間とコストを節約できます。たとえば、Zscalerを使用すると、1人で3万人以上の従業員を保護するポリシーをわずか数分で作成できます。従来の方法では、専任の専門家がポリシーを作成し、統合されていないツール間でポリシーを手動で複製し、展開する前に数週間のテストを行う必要がありました。

さらにZscalerは、より強力なセキュリティ対策とベスト プラクティスが求められる複雑化する規制環境への対応についても、オクラホマ州を強力にサポートしています。

「Zscalerは政府や企業のセキュリティ フレームワークに準拠しているため、コンプライアンス要件を確実に満たすことができます。また、Zscalerの包括的なセキュリティとデータ保護に加え、ロールやポリシーに基づいたアクセス ルールを通じて強化されるリスク管理態勢も規制要件順守の取り組みを強力に後押ししています」(Toland氏)

持続可能なゼロトラスト アーキテクチャーを実現

オクラホマ州は、ゼロトラスト アーキテクチャーを系統的に構築することで、セキュリティの成熟度とデジタル トランスフォーメーションに向けて大きな進歩を遂げました。Toland氏は、現在、州機関の大多数がZscalerのゼロトラスト アーキテクチャーを活用しており、州全体で包括的かつ一貫したセキュリティが実現できていると報告しています。

「新しい機関が加わる際も、Zero Trust Exchangeはその機関のニーズに応え、ダウンタイムやセキュリティ負担を最小限に抑えます」(Toland氏)

オクラホマ州がデータ センター環境からマルチクラウド環境への移行を進める中で、ゼロトラストの「決して信頼せず、常に検証する」という基本原則は特に重要な役割を果たしています。リアルタイムのトラフィック検査、ユーザーとそのデバイスの継続的な検証、アプリケーションへの直接接続、コンテキストベースのきめ細かなポリシーなどのゼロトラストの機能は、あらゆる組織の保護に不可欠です。

「私たちはインフラを可能な限りクラウドに移行することを目指しており、そのためには機密データへの安全なアクセスと強力なゼロトラストが不可欠です。Zero Trust Exchangeはここ数年、その取り組みを強力にサポートしてくれました。今後クラウドへの完全移行を進める際には、さらに欠かせない存在になるでしょう」(Toland氏)

クラウド ワークロードとAIを保護

Toland氏は、今後約18か月の間に州政府の大半のワークロードをデータ センターからクラウドに移行することを目指しています。この移行において、州はZscalerをさらに活用してセキュリティ態勢を強化する予定です。最大の課題は、25～30年前に構築されたレガシー アプリケーションをクラウドに対応できるように再設計することです。

クラウド利用の拡大に伴い、Toland氏はMicrosoft Azure、Amazon Web Services、Google Cloud Platformなどの主要なパブリック クラウド プロバイダーのクラウド ワークロードに一貫した脅威対策とデータ保護を提供するために、Zscaler Workload Communicationsを活用する方針です。

「オンプレミスでもクラウド環境でも脅威を軽減するZscalerの機能は、もはや不可欠な存在です。Zscalerは、これまで私たちが直面してきたあらゆる課題に適切に対処してくれました。その成果に心から満足しています」(Toland氏)

さらに将来を見据え、Toland氏のサイバー コマンド部門は、生成AIアプリケーションとツールを活用してワークフローと生産性を向上させる方法についても模索しています。そのため、ChatGPTなどのAIアプリケーションを安全に使用しつつ、情報漏洩を防ぐZscalerのAI活用型イノベーションに関心を寄せています。Toland氏のサイバー コマンド部門では引き続き、AIを活用したZscalerの高度な脅威対策、アプリケーション セグメンテーション、自動データ分類、根本原因分析、クラウド ブラウザー分離が活用されています。

「攻撃者は新たな発想で巧妙な手口を編み出しています。そのため、私たちはAIと同じ速さで対応できるように、Zscalerの防御力をこれまで以上に活用していくつもりです」(Toland氏)