Zscalerによって世界で最も過酷なリモート ワーク環境でユーザーとデータを保護するTOYOTA GAZOO 

ゼロトラスト セキュリティがラリー選手権に挑むチームのリモート ワークの限界を拡張

TOYOTA GAZOO Racing World Rally Team Oy (TGR-WRT)は、リモート ワークの限界を、文字どおり地球の果てまで延長しています。

高度な専門知識を持つ250人以上のプロフェッショナルで構成されたTGR-WRTの専門チームは、国際自動車連盟(FIA)主催の世界ラリー選手権(WRC)の一環として開催される14のモータースポーツ ラリー競技シリーズに毎シーズン参加しています。この選手権では、ケニアのリフト バレー盆地の平野から北極圏のすぐ南にあるスウェーデンの森林まで、世界で最も過酷な地域に大規模なチームを送る必要があります。

過酷な場所で選手権を戦う精鋭チームに効率的かつ高パフォーマンスなリモート ワーク環境を提供し、機密性の高いレース データを保護するための堅牢なセキュリティ態勢を確保するには、従来のセキュリティ アプローチでは実現できない絶妙なバランスが求められます。

TGR-WRTは、広範なクラウドファーストの運用戦略の一環として、ゼロトラスト アーキテクチャーによるセキュリティの最新化を目指しました。「私たちの仕事場は1つの施設に限定されません。非常に遠く離れたラリーの開催地を含め、多様な環境で活動する必要があります。私たちにとって、ゼロトラスト セキュリティとは、どこからでも安全に仕事ができる柔軟性を提供してくれる存在です」とTGR-WRTの情報セキュリティ責任者であるRiku Nykänen氏は語ります。

Zscaler Zero Trust Exchangeによるユーザー、アプリケーション、転送中データの保護

TGR-WRTは常に移動を続けるチームです。公式WRCラリーに活動拠点を設置し、競技に備えてヨーロッパ全土でテスト走行を調整する間、移動しながら活動しており、リモート拠点では年間を通じてほぼ毎週イベントが開催されています。

従来のセキュリティ ソリューションは、こうしたノマド ワークに必要な柔軟性や拡張性を提供できませんでした。従来のネットワーク インフラでは、活動拠点からフィンランドの本部に接続することが難しく、従来のVPNとファイアウォールによってリモート ワークのメンバーの接続の信頼性が損なわれていたほか、組織のリスクも増加していました。

TGR-WRTは、ラリー開催地を含む世界中の活動拠点でユーザー、アプリケーション、データを保護するためのクラウド ネイティブのゼロトラスト プラットフォームを求めていました。Microsoft Azure、Microsoft Defender for Endpoint、Microsoft Entra IDなど、Microsoftの複数のソリューションを使用する予定であったため、Microsoft製品とのシームレスな統合が必須条件でした。最も重要なのは、既存のセキュリティ アーキテクチャーを簡素化し、従来の複数のポイント製品を単一の包括的なゼロトラスト プラットフォームに置き換え、クラウドファーストのリモート ワークをサポートすることでした。

TGR-WRTは、フィンランドのテクノロジー インテグレーターであるMintlyと協力してゼロトラストの導入に乗り出しました。Mintlyは、Zscaler Zero Trust Exchangeが最適であるとの見解を示し、概念実証(PoC)が成功するとTGR-WRTのIT部門もZscalerの導入に全面的に賛同しました。

「率直に言えば、Zscalerを紹介された際、そのコンセプトに少し衝撃を受けました。Zero Trust Exchangeが私たちの戦略要件を満たす最適なプラットフォームであることはすぐにわかりました」とTGR-WRTのITマネージャーであるJussi Luopajärvi氏は語ります。

Mintlyののマネジメントの下、Zero Trust Exchangeを段階的に展開することで、Nykänen氏とLuopajärvi氏はTGR-WRTのセキュリティ スタックの簡素化、エンド ユーザー エクスペリエンスの合理化、そして組織全体のセキュリティ態勢の強化に成功しました。

フェーズ1: Zscalerが提供するインターネットへの直接接続によって、あらゆる環境を安全なリモート ワーク拠点に

各レースには100人を超えるメンバーが必要であり、TGR-WRTの標準的な年の活動には、延べホテル11,000泊、飛行機移動5,500回、レンタカー移動500回、電車移動400回という驚異的な移動を伴います。場合によっては、こうした移動先や移動中の環境のすべてがリモート ワーク環境として機能する必要があります。

信頼性が高く安全なインターネット アクセスは、旅行時の贅沢ではなく、業務に不可欠なものです。「私たちは世界中を毎日のように移動するメンバーを抱えています。各メンバーが移動中でも常に接続し、業務を行えるようにする必要があります」とLuopajärvi氏は説明します。

TGR-WRTはZscaler Internet Access (ZIA)を展開し、主要なハブ空港から、チリの森林や愛知の山岳地帯にあるラリー キャンプまで、世界中のあらゆる場所からインターネットとSaaSアプリケーションに安全に接続できる環境を実現しました。

Zscalerは、世界中の160以上のエッジ ロケーションのうち、できる限りエンド ユーザーに近い場所でセキュリティ検査とポリシーの適用を行います。この地理的な対応範囲の広さによって、TGR-WRTでは、ユーザーが働く場所を問わず、中央のセキュリティ ソリューションにトラフィックをバックホールすることなく、信頼性が高く一貫した高速かつ安全なインターネット接続を提供できます。

Zscaler Internet Accessには、クラウド ファイアウォール機能、URLフィルタリング、TLS/SSLセキュリティ検査、高度な脅威対策も含まれています。これまで複数のポイント製品を必要としていた重要なセキュリティ対策を、現在では包括的なZscalerプラットフォームの一部として管理できるようになりました。

「私たちは非常に過酷な場所で働いており、多くの環境上の課題を回避しなければ、チームの能力はすぐに制限されてしまいます。Zscalerによって、信頼性が高く安全なインターネット接続を常に利用できるため、活動のあらゆる側面において以前よりはるかに簡単に連携と進行を維持できるようになりました」とLuopajärvi氏は語ります。

フェーズ2:従来のVPNをゼロトラスト アクセスにリプレースし、一秒一秒が重要な状況でレース データを保護

TGR-WRTにとって、ラリー競技中に機密性の高いパフォーマンス データをラリー カーから現地のエンジニア チーム、そしてフィンランドにある本部の専門家チームに送信できることは非常に重要です。パフォーマンス データの分析は、マシンを最適化し、チームを成功に導き、表彰台に上がるための助けとなります。しかし、このデータは競技でのチーム パフォーマンスを向上させるためだけに使われるわけではありません。親会社であるトヨタ自動車グループは、選手権のサーキットを自動車技術革新の重要なプラットフォームと見なしており、TGR-WRTが各ラリー ステージで収集する独自のデータは、最終的にすべてのドライバーにとってより良い自動車の設計と製造につながる可能性があります。

機密データを保護し、そのアクセスを制御することは、チームの大きなミッションを推進するための基本となります。しかし、従来のVPNアプライアンスのパイプラインには、重大なリスクや安定性とパフォーマンスの問題がありました。VPNは本質的に攻撃対象領域を拡大するため、こうした従来型のテクノロジーではチームのデータ侵害や流出のリスクも高まります。

TGR-WRTは、VPNアプライアンスをZscaler Private Access (ZPA)にリプレースしました。ZPAは、ユーザーをネットワーク全体ではなく、アクセスを許可されているプライベート アプリケーションとデータに直接接続します。チームのプライベート リソースの一部はMicrosoft Azureでホストされていますが、Zero Trust Exchangeの背後に隠すことで脅威アクターに対して不可視化され、全体的な攻撃対象領域も削減されます。Zscalerは、セッションごとにユーザー アイデンティティー、デバイス ポスチャー、コンテキストを検証し、接続が確立される前に不正アクセスを防止します。また、マイクロセグメント化されたアプリケーション アクセスにより、潜在的な脅威のラテラル ムーブメントを阻止します。

「ラリーでは一秒一秒が重要です。それは競技ドライバーだけでなく、パフォーマンス データを共有、分析するエンジニアにとっても同じです。Zscalerにより、さまざまな拠点間でデータをシームレスに転送できるだけでなく、すべての段階でデータを確実に保護できます」とNykänen氏は語ります。

フェーズ3:包括的なZero Trust Exchangeによって、グローバルな活動のすべての部分を安全に接続

TGR-WRTは、ユーザーとデータの保護を確立すると、グローバルな活動の他のすべての部分を統一されたゼロトラスト アーキテクチャーのもとで確実に保護することに注力しました。

TGR-WRTは、従来のSD-WANをZscaler Zero Trust SD-WANに置き換え、フィンランド本部のキャンパス(25,000平方メートル以上の施設)、欧州および世界中のラリー競技拠点のユーザーとデバイスを安全に直接接続しました。従来のSD-WANはサイト間VPNに依存し、ゼロトラスト アーキテクチャーを損なう一方、Zero Trust SD-WANはZero Trust Exchangeを介してトラフィックを転送し、組織の拠点とIoT/OTデバイスにおいてアプリケーションやインターネットへのシームレスで安全なアクセスを実現します。これにより、グローバル インフラを簡素化し、リモート拠点から本部の重要なリソースへの脅威のラテラル ムーブメントが発生するリスクを排除します。

機密性の高いエンジニアリングとテスト データ向けのファイル ストレージからプライベート カスタム アプリケーションに至るまで、TGR-WRTはMicrosoft 365やBoxを含む約100のクラウド サービスに接続します。Zscaler Zero Trust Cloudは、すべてのチーム メンバーのデバイスからTGR-WRTが業務に使用するすべてのクラウド環境とデータ センターにまでゼロトラスト保護を拡張し、クラウド ワークロードとアプリケーションに対して一貫したセキュリティ ポリシーを確保します。

このZscalerソリューションの組み合わせによって、セキュリティ アーキテクチャーのコストと複雑さはさらに軽減され、強力なデータ保護レイヤーが追加されています。「Zscalerプラットフォームは、オンプレミス サーバーやクラウド サーバー、ノートパソコン、その他のモバイル デバイスにおいて、インターネット、SaaS、プライベート アプリの全トラフィックを保護するための核になっています」とNykänen氏は語ります。

今後の展望：ユーザー エクスペリエンスの向上とモバイル デバイス保護の拡張に向け、Zscalerソリューションをさらに活用

TGR-WRTではゼロトラスト化を継続的に推進しており、現在は、追加のZscalerソリューションによるユーザー エクスペリエンスの強化とデバイス保護の拡張に取り組んでいます。

今後TGR-WRTでは、Zscaler Digital Experience (ZDX)を展開することで、さまざまな拠点にわたるエンド ユーザー エクスペリエンスをいっそう最適化できると予想されます。ZDXを利用することで、ユーザーからアプリケーションまでのエンドツーエンドの可視性を確保し、デバイス、ネットワーク、アプリケーションをより簡単に監視できるようになります。Nykänen氏とLuopajärvi氏は、TGR-WRTのヘルプデスクとともにZDXのAI機能を活用することで、ユーザビリティーの問題の迅速な検出、検出された問題の根本原因の特定、問題解決までの時間の短縮に取り組む予定です。

Zscaler Client Connectorエージェントをすべてのエンド ユーザーのデバイスにインストールすることで、リモート拠点にいるチーム メンバーにより高速な接続と一貫したセキュリティを提供するとともに、便利なトラブルシューティング ツールも利用できるようになります。特にモバイル デバイス ユーザーにとって重要な点として、Client ConnectorはユーザーがWeb、SaaSアプリケーション、または内部のプライベート アプリケーションのいずれにアクセスしようとしているかを自動的に判定し、Zero Trust Exchangeを介してトラフィックを宛先に安全にルーティングすることが可能です。TGR-WRTは、最近発表されたZscaler Zero Trust SIM (ZSim)に期待を寄せており、このソリューションを活用してセルラー ネットワーク接続を必要とするモバイル デバイスのセキュリティをさらに強化し、すべてのユーザーをすべてのデバイスで確実に保護しようと考えています。

「Branch Connector、Cloud Connector、そして今回のClient Connectorにより、あらゆる場所とデバイスで包括的なゼロトラスト保護を実現できます。Zscalerが提供するさらに強力なモバイル デバイス保護を展開し、ユーザーがリモート ワークをできる限り柔軟に活用できるようにしたいと考えています」とNykänen氏は語ります。

Zscalerによって高度なニーズを伴うリモート ワーク環境でユーザー エクスペリエンスを改善

TGR-WRTにおけるゼロトラスト導入における主な原動力となったのは、場所を問わず働ける、効率的かつ効果的で柔軟なエクスペリエンスを提供することでした。Zero Trust Exchangeの展開以来、Nykänen氏とLuopajärvi氏はユーザー満足度の向上を実感しています。両氏は、この結果はいくつかの重要な改善によるものと考えています。

従来のセキュリティ インフラでは、プライベート リソースにリモート接続するプロセスが効率の障壁となっていました。「VPNアプライアンスを使用していた頃は、リモート ユーザーがノートパソコンを開いてから実際に生産的な作業を開始するまでに複数の手順が必要でした」とLuopajärvi氏は説明します。Zscalerにより、リモート ユーザーが接続して作業を開始するまでの時間は大幅に短縮されました。Luopajärvi氏の推定によると、リモート ユーザーが接続して作業を開始するまでの時間は96%短縮され、以前は平均5分かかっていたプロセスがZero Trust Exchangeでは約10秒で完了するようになりました。

リモート ユーザーがインターネットやSaaSアプリケーションを閲覧する際に、アクセスを繰り返しブロックされることもなくなりました。ZscalerはURLフィルタリングとブラウザー分離の精度が高いため、不要なブロックにつながる誤検知が減少します。「以前は、不可解な形でWebサイトへのアクセスをブロックされたユーザーから、毎日のようにヘルプ依頼がありました。Zscalerの導入後は、そのような依頼がほとんどなくなり、おそらく月に1回程度になっています」とLuopajärvi氏は語ります。この具体的な所見から、Nykänen氏とLuopajärvi氏は、Zscalerプラットフォームによってセキュリティ プロセス全体の精度が向上していると考えています。

「ラリー チームのサポートに伴うニーズは高度で複雑な場合もありますが、Zscalerを利用することで、こうしたニーズへの安全な対応をシンプルに行えます。Zero Trust Exchangeを使用すると、世界中のどこからでも必要なリソースにシームレスに接続できるため、ユーザーはどこで仕事をするかを心配する必要がなくなりました」とNykänen氏は説明します。

包括的なゼロトラスト保護を1社のパートナーでシンプルに実現し、勝利に向けた活動に集中

TGR-WRTは、セキュリティ インフラを合理化するために、ファイアウォールとVPNをマルチテナントのZscalerプラットフォームにリプレースしました。「セキュリティ アプローチの要素ごとに個別のプロバイダーを利用する必要はなくなりました。Zscalerプラットフォームで利用できるツールを通じて、1社のパートナーだけでチームの活動すべてをカバーする包括的なゼロトラスト保護を実現できます」とNykänen氏は語ります。

セキュリティ アーキテクチャーの合理化により、TGR-WRTはより堅牢なセキュリティ態勢を実現しました。Zscalerは3か月間でTGR-WRTの3億590万件を超えるトランザクションと13.7 TBのトラフィックを処理し、210万件のポリシー違反を防止しました。処理されたトラフィックのうち96%は暗号化されたトラフィックであり、従来のソリューションでは、パフォーマンスを低下させることなくこれらを検出および検査することは困難でした。

軽減策はZscalerによって自動的に適用されるため、TGR-WRTのメンバーはそのエネルギーと専門性をラリーでの勝利に向けた活動に集中させることができます。TGR-WRTは過去4シーズン連続でWRCマニュファクチャラーズ選手権のタイトルを獲得しています。Zscalerは引き続き世界中のユーザー、アプリケーション、データ、デバイスを保護し、タイトル防衛を目指すチームの活動を支えていきます。

「Zscalerの導入は、私たちがこれまでに行った最良の決断の一つです。リモート拠点でもアクセスの安定性とパフォーマンスが向上し、ユーザーは高速かつシームレスな接続を享受しています。0.1秒が勝敗を分ける環境において、包括的なZscalerプラットフォームの存在があらゆるレースで違いを生み出しています」とNykänen氏と締めくくっています。