ゼロトラスト導入
~成否を分けるカギはコンセプト設計にあり
コロナ禍を契機としたテレワーク導入の浸透とともに、各方面から熱い注目を集める「ゼロトラスト」。昨今、このゼロトラストの考え方を実際に取り入れる企業が増えています。一方、「ゼロトラストで何ができるのか」、「移行にあたって何をすればいいのか」と悩んでいる企業も少なくありません。
そこで本記事では、野村総合研究所(NRI)で企業のゼロトラスト導入支援を担当する3名のシステムコンサルタント(中川、浦田、平澤)により、ゼロトラストの導入現場最前線の話題を3回に分けて座談会形式でお届けします。第一回目は、ゼロトラストが注目を集める背景や、企業導入の実態について解説します。
座談会メンバー
浦田 壮一郎:
2004年、日本IBMに入社し、国内金融機関やグローバル企業向けのアウトソーシング事業の経験を経て、2016年に野村総合研究所(NRI)入社。現在はシステム化構想・計画の策定、アーキテクチャ標準の策定、PMO支援などコンサルティング業務に従事。専門はシステム化構想・計画の策定、アーキテクチャ設計。
平澤 崇佳:
2016年、国内通信系研究所に入社し、トランスポートレイヤの通信インフラ研究開発に従事。関連会社のクラウドインフラの設計・開発等の経験を経て2020年野村総合研究所(NRI)へ入社。現在は、システム化構想、RFP策定支援などのコンサルティング業務に従事。
中川 尊:
2006年、外資系メーカーに入社し、ストレージを主としたプリセールスを経験。その後国内大手SIerにて大規模PJのPMやクラウドサービスの開発・運用の経験を経て、2019年野村総合研究所(NRI)へ入社。現在は、システム化構想、PMO支援などのコンサルティング業務に従事。専門はシステム化構想・計画の策定と実行支援。
ゼロトラストとは?
――ゼロトラストとはどういう概念ですか?
中川:
ゼロトラストは、実は10年以上ぐらい前からある結構古い概念で、最近ポッと出てきたようなものではありません。ゼロトラストとは、「何も信用しない」が前提にあり、正しい権限を持っている人が正しい内容で正しい操作をするのかということをその都度ひとつひとつ検証した上で、実施させましょうというような概念になります。
クラウドの利用環境ではデータは分散した状態になります。今まではオンプレミスに一極集中型でデータが存在していましたが、昨今では、AのデータはAクラウド、BのデータはBクラウドといった形で非常に分散した形でデータが存在するようになりました。
浦田:
その分散化された環境をどうコントロールするのかという話ですが、サービスを提供する側も受ける側もバラバラに散らばっているので、そのサービスの近くにセキュリティゲートを置いて、セキュリティゲートごとに管理していくことになります。ただ、そうすると各ゲート内を個別で管理するのは非常に難しい。
分散化された環境では、ビルの建物管理のように、機密情報がある役員フロア、研究室、など個々の部屋の前にゲートを置いておき、各ゲートをコントロールセンターでまとめて管理するといった分散管理の考え方がゼロトラストの本質かと考えています。
――ゼロトラストはなぜ注目されているのですか?
平澤:
ゼロトラストが注目されているのは、昨今のクラウド化の流れがあると思います。また、それを後押しするような形でコロナ禍があったと考えています。ゼロトラストという概念をより発展的に使っていくと、昨今言われている働き方改革でいうところのテレワークにたどり着きます。テレワークとなると、インターネットの利用も視野に入ることになるかと思います。ここで「安全なテレワーク環境を担保するセキュリティ」を実現する手段がゼロトラストとなるわけです。
浦田:
そうですね、働く環境として、サービスを使う側、提供する側、双方が分散してきます。従来のように真ん中にデータセンターを置いてそこに全部集約するのは無理があるわけです。結局、インターネットにデータを流していかないといけない。そうした分散した環境を、ちゃんとセキュリティ高くコントロールしていきましょうっていうのが、ゼロトラストの考え方かなと思っています。
中川:
我々はオンプレミスのことをよく城壁に囲まれた城下町に例えて話をします。城壁内にある城下町の中は非常に安全で、特にセキュリティというものを意識しなくてもよい環境だったのですね。でも、それが城壁の外にある、いつ盗賊が出没するかわからないような場所に、大事なデータを置くことになってきます。
自分の管理下にない城壁の外にデータを置くことになると、それが正しく使われているか、そこにいるのは盗賊でなくて、自分の知っている正しい人なのかということを、その都度検証しなければならなくなってきます。これがゼロトラストの概念にはまってくるわけで、それがクローズアップされた大きな理由ではないかと考えています。
ゼロトラストの導入現状と課題
――企業の導入検討はどの程度進んでいますか。
平澤:
今のところ物流や製造などさまざまな拠点を持つ業態や、Webサービス業を中心として導入検討が進んでいる状況です。私たちが実際にご相談をいただいている企業とのやりとりからの推測になりますが、ゼロトラの導入はおおむね3合目~5合目といった段階です。すべてのサービスに対し個別に境界を用意して集中管理し、状況に応じて動的に信頼を与えることができるところまで、実装できている企業は少ないと考えています。
中川:
日本は、人材不足もあり、ゼロトラスト先進国である米国や豪州に比べると遅れています(※1)。部分的に概念を取り入れているところは着実に増えていますが、まだまだこれからというところでしょう。
- ※1
浦田:
現時点では、個別の課題を解決して行くために、ゼロトラストのソリューションを部分的に取り入れているお客様が多いです。システムやサービスの移行に絡めた話や、セキュリティ攻撃を受けたことをきっかけに取り組まれるパターンとなっています。例えば、Microsoft
365(M365)への移行にともない部分的にゼロトラストを検討するケースがあります。M365に移行すると、セッションの持ち方が原因でパフォーマンスが悪くなることがあります。その際、データセンター経由ではなくインターネット経由で直接接続することを検討した場合、「セキュリティ対策をどうすればいいのか?」という話が浮上するわけです。ゼロトラストは、そうした話の延長上で検討されることがよくあります。
ただ、ゼロトラストは複数あるソリューションを組み合わせてエコシステムとして防御していくため、1つ1つのソリューションはそれほど高く見えなくても、個々の課題についてその都度対策を打つやりかただと結果的に高くつくことがあります。全体として働き方・業務をどうしたいのか、経営とセキュリティの両面で考えた目的の明確化が必要だと感じています。そうして全体で価値を創出する取り組みをしていかないと、整合性のとれたアーキテクチャーが実現しないのではないかと思います。
中川:
私も同じ意見ですね。特に上流の目的、本当に実現したいことは何かを考えることが非常に重要だと考えています。
――なぜ上流の目的を考えることが重要なのですか。
平澤:
セキュリティ強化という観点では、先ほど申し上げたように、いろんなところにデータやユーザーが分散するので、そうした環境を守るという目的がまずあります。ただし、それはあくまでシステム面での話であって、実際には多様なニーズに合わせて便利なツールを使って働き方を変えるという、上流の目的が存在するはずです。企業の価値創出につなげるには、それを考えていくことが必要です。
中川:
企業の働く環境、働き方は千差万別です。渋谷によくあるようなWeb関連の企業と、工場でラインを持つ製造業では働く環境がまったく異なるわけで、こうした企業に対して同じようなテレワークのモデルはあてはまりません。それぞれの企業がもつ業務には個別の目的やゴールがあるはずで、ゼロトラストについても、それぞれの働き方にあった千差万別の目的があると考えています。
もちろん、この端末にはこういう製品を入れるべきとか、クラウドの防御はこういうSaaSを使うべきといったある程度の目安となるものは存在します。ただ、個々でそれを積み上げていくと、費用だけが積み上がり、全体として何がやりたいのかが見えない内容になってしまう。当然経営側で承認できるものにはなりません。なぜそれが必要かという目的をまず経営層で、きちんと持ってベースとなる考え方を決めていく、つまりコンセプト設計を行うことが、ゼロトラストを推進していくうえで必要不可欠ではないかと考えます。
働き方をイメージしたコンセプト設計が必要
――コンセプト設計はどう考えればよいですか。
平澤:
自分たちの現在の働き方に対して、「こんな働き方を実現したい」というものを考えた上で、それが将来的に目指すべきなのかどうかを判断するプロセスが必要です。目的を最初に明確化した上で、その実現手段の一つとしてゼロトラストがフィットするかを整理し、コンセプト設計を行います。
浦田:
最初のコンセプトのところである程度自社の働き方のイメージをちゃんとつかむ必要があると考えています。例えば同じ企業でも組織によって働き方は違います。営業、製造現場、研究開発、それぞれの人たちが、どういう相手とどのように情報のやりとりをし、どうシステムを活用しているのかというユースケースを整理して、「今はこういうやり方をしているが、将来的にはこういうふうにしたい」ということを考えて、どういうコンセプトにすべきかを決めていくのが重要だと考えています。
コンセプトを決めるとなると得てして一般論や抽象論にまとまりがちですが、自社の働き方や解決したい課題に結びつけることで、取り組みの優先順位も明確になり、関係部門との合意形成もしやすくなります。
平澤:
一例として、「人材集め」を目的として、その実現手段としてゼロトラストを導入するという考え方があります。「働き方に柔軟性をもたせる」ことを会社の売りにして優秀な人材の獲得を狙う、というコンセプトです。場所を選ばず好きな時に、使い慣れた端末やツールを使って仕事ができる環境は求職者にとって非常に魅力的な条件です。企業はゼロトラストの活用により、理想的な人材を世界中から集められるようになるといったものです。
――考え方は理解できますがハードルが高そうです
浦田:
ゼロトラストの概念を実装するのは難しいと感じている企業はたしかに多いです。実際にゼロトラストの概念を完全に実装できているという企業は日本でも世界でもほとんどなく、実装できているのはGoogleくらいではないでしょうか。Googleのレベルに到達している企業は、日本にはまったくいないと言ってもいい。ほとんどの企業が、ある一部の目的にあわせ、部分的に導入しているのが実態と考えています。
平澤:
ただ、先ほど述べたように、企業の目的と働き方は千差万別で、その企業の目的にあった検討を進めていくことが重要です。そのため、自社にGoogleのような取り組みが必要というわけではありません。必要なのは「自社の業務」にあった取り組みになります。実際、小さな取り組みから初めて芽が出始めている企業もあります。
中川:
NRIで進めているゼロトラストの導入も小さな取り組みから始めています(※2)。時間をかけて成果を少しずつ積み重ねていきながら環境構築を図っています。小さく進めることで、導入時の課題や、他に展開する際の具体的アプローチ方法などが見えてきています。
- ※2
次回予告:ゼロトラストの進め方
~コンサルタントが現場で実践しているアプローチ
ゼロトラストを進める上でまず重要なのは、企業のあるべき働き方を見据えて目的を明確化し、目的に沿ったコンセプト設計を行うことです。ゼロトラストはあくまでも「手段」のひとつであり、手段が目的になってはいけません。
では、ゼロトラストのあるべき意思決定や正しい進め方とはどういうものでしょうか?次回は、その意思決定の上で重要になる「何のため」「誰が」「どう」進めていくのか、体制面や組織としての動き方について話をしたいと思います。
執筆者情報
DXブログの更新情報はFacebook・Twitterでもお知らせしています。
新着コンテンツ
-
2024/11/14
保護貿易主義者のライトハイザー氏がトランプ次期政権で主要ポストに
木内登英のGlobal Economy & Policy Insight
-
2024/11/13
与野党間で経済対策に向けた政策協議が本格的に始まる:なお大きな溝が残る
木内登英のGlobal Economy & Policy Insight
-
2024/11/13
根深い個人消費の弱さを改めて浮き彫りにする7-9月期国内GDP統計が発表へ:定額減税と給付金は空振りか:経済対策の議論にも影響
木内登英のGlobal Economy & Policy Insight