ゼロトラストの進め方
~コンサルタントが現場で実践しているアプローチ
コロナ禍を契機としたテレワーク導入の浸透とともに、各方面から熱い注目を集める「ゼロトラスト」。昨今、このゼロトラストの考え方を実際に取り入れる企業が増えています。一方、「ゼロトラストで何ができるのか」、「移行にあたって何をすればいいのか」と悩んでいる企業も少なくありません。
そこで本記事では、野村総合研究所(NRI)で企業のゼロトラスト導入支援を担当する3名のシステムコンサルタント(中川、浦田、平澤)により、ゼロトラストの導入現場最前線の話題を3回に分けて座談会形式でお届けします。第2回目は、ゼロトラストの導入を検討するにあたっての進め方や組織連携のあり方について解説します。
座談会メンバー
浦田 壮一郎:
2004年、日本IBMに入社し、国内金融機関やグローバル企業向けのアウトソーシング事業の経験を経て、2016年に野村総合研究所(NRI)入社。現在はシステム化構想・計画の策定、アーキテクチャ標準の策定、PMO支援などコンサルティング業務に従事。専門はシステム化構想・計画の策定、アーキテクチャ設計。
平澤 崇佳:
2016年、国内通信系研究所に入社し、トランスポートレイヤの通信インフラ研究開発に従事。関連会社のクラウドインフラの設計・開発等の経験を経て2020年野村総合研究所(NRI)へ入社。現在は、システム化構想、RFP策定支援などのコンサルティング業務に従事。
中川 尊:
2006年、外資系メーカーに入社し、ストレージを主としたプリセールスを経験。その後国内大手SIerにて大規模PJのPMやクラウドサービスの開発・運用の経験を経て、2019年野村総合研究所(NRI)へ入社。現在は、システム化構想、PMO支援などのコンサルティング業務に従事。専門はシステム化構想・計画の策定と実行支援。
4stepで進めるゼロトラスト導入準備
――一番初めにやるべきことは?
平澤:
お客様にもなんども繰り返し伝えているのですが、導入には目的の明確化(※)が不可欠です。しっかり目的設定をした上で導入を進めていくべきだと思います。設定した目的・コンセプトを、経営層も含め、全社で共有することがはじめに来るべきだと思います。
- ※
中川:
この目的が明確化されている前提になりますが、次にすべきことはユースケースを考えることです。ユースケースは、どのような目的に照らし合わせて働き方の適用ができるか、ということです。例えば、A部門の業務には、こういうツールを使えばいい。一方、B部門の業務ではA部門のような活用は難しいが、これならできる。といった所をきちんとユースケースとして定めることが必要です。
浦田:
同じ会社でも組織ごとに働き方が違います。そのためユースケースでは、従業員のパターンごとに、いつ、どのような環境で、どのシステムを活用して、業務を実施するのかをまとめる必要があります。ユースケースが、従業員のパターンに応じて整理されていると、自分事として意識しやすくなります。「ゼロトラストで柔軟な働き方を実現しましょう」といった漠然としたコンセプトでは導入を進めていくうちに「総論では賛成するが各論は反対です。」という状態になりかねません。ユースケースを整理することは、自社ならではのコンセプトを掲げるためにも必要なステップです。
――ユースケースの検証も必要ですね。
平澤:
ユースケースを定めたら、次は将来のアーキテクチャーを検討するために現状をきちんと分析しなければなりません。当然ですが、現在の業務システムには、オンプレミスのシステムやクラウドサービスというように、いろいろな提供形態があります。どういう業務で、どういう提供形態のシステムを使って、どういう働き方をしているかといったあたりをきちんと分析し、先に定めたユースケースを照らし合わせていく必要があります。その上でどう変えるべきかという方向性を決めていきます。
浦田:
現状のアーキテクチャーには、将来実現したいアーキテクチャーへの移行を妨げる制約が含まれている可能性があります。特に基幹系システムを中心としたレガシーシステムは、業務の根幹を担ってきており、歴史的な変遷を積み重ねてきているため現状分析が必要です。現状分析をすることで、自社での制約条件を明らかにすることが可能です。
――ユースケースが定まったら何をしますか。
平澤:
ユースケースが定まったら、各ベンダーからゼロトラストを構成するソリューションや導入事例などの情報を収集していきます。それらの情報を下敷きとしながら、自社のシステム構成としてどういうものがよいか構成パターンを検討します。
浦田:
ゼロトラストの構成パターンには、端末、認証、ネットワーク、ログなどさまざまな要素が含まれるので、この段階では一部のソリューションに偏りすぎないように情報を収集していくことが大切だと思います。
平澤:
あるべきシステム構成パターンを策定したら、実現に向けてのロードマップを作っていくことになります。
中川:
そのロードマップに従って今度は順次導入を進めていくことになります。ゼロトラストの導入、展開は数年単位での計画となるためPDCAサイクルをきちんとまわして、それを順次、ロードマップ通りに進めていけているのか、効果が出ているのかというのを見極めながら進めていく形になります。
誰が音頭を取るべき?あるべき体制と組織連携
――どういう体制で進めるべきですか。
浦田:
本来あるべき姿という意味では、やはり業務を巻き込んだ上で、トップダウンで落とせる体制が一番よいと考えます。
一番よいのは、全社のIT中計の中で考えることです。もしくは、もう一段上の経営戦略と連携して、関係部署に働きかける体制になっているとゼロトラストを検討しやすくなります。
ただ、ゼロトラストはセキュリティソリューションととらえられがちで、セキュリティ部門が主導で進めることが多い。そうなると、セキュリティ強化の目的ばかりがクローズアップされてしまい、本来考えるべき目的やゴールの部分とアンマッチになってしまうと危惧しています。
中川:
ゼロトラストについては、セキュリティと業務の2つの検討軸があり、「クラウド上にあるデータを守る」というセキュリティの観点だけなら、IT部門だけで進めていくことも可能です。しかし、業務軸で考えるとIT部門がそれを主導するのはかなり難しくなります。
全体の業務をどうしていきたいかを判断する経営層と、実働としてのIT部門、実際にそれを活用する業務部門が絡んでくる話になります。そのため、全社体制でタスクフォースを作って進めていくことが望ましいです。経営層、業務部門、IT部門がチームを組んで各々の立場から参画していくのがよいでしょう。
平澤:
どういう働き方で、どうやってお金を稼いで会社を維持していくのかについての全体方針を整理するための体制、実際に事業部門の方々が事業をまわしていけるのかを考え検証できる体制、そしてそれをどう実装していくかを検討する体制、これら3つの体制ができていることが重要です。その3つをうまく連携させることが一番必要です。それを中川さんがおっしゃるタスクフォースのように、関係者が一堂に会して議論・推進する場所を用意できればいいですね。
――タスクフォースはどう運営すべきですか。
中川:
体制としていうなら、ナタを振るえる人が必要だと思っています。働き方を改善するといっても、全部の要望を汲むことは難しい。こうしたいという要望があっても、技術的にもコスト的にも無理があるものが結構でてきます。一方、歴史的背景などから「絶対に捨てられない」ものも存在します。そんなときに企業としてどう判断するのか。これは、ゼロトラストを推進する上で必ずぶち当たる壁の一つです。
これは外部からどうこうすることは難しく、企業内の人間が考えねばなりません。必要な局面で決断を下せる「ナタを振るえる人」が不可欠になります。権限と知見をあわせもつそんな人をタスクフォースにアサインできるかどうかが体制づくりのカギを握ります。
平澤:
ナタが振るえる人がタスクフォースに必要な理由の一つとして、組織間のギャップがあります。これはタスクフォース運営において難しい課題の一つです。なにかを改革をしようとすると当然組織内から反発が出てきます。現場の声に対してどこを取り入れ、どこを切り捨てるのか、関係部門の相互理解を促しプロジェクトを前に進めるには組織間のコンフリクトをどうマネジメントするかが、タスクフォースで実施なければならないことであり、運営上の大きなポイントとなります。
――組織間のコンフリクトを避ける方法はありますか。
平澤:
以前、ある企業において、関係部門からの意見を集約し働き方のあるべき姿の整理をサポートしたことがあります。その企業ではある業務のユーザビリティが落ちる問題が浮上していました。それを改善するには他業務も含めシステムを変える必要があったのですが、実装の難易度が一段階あがってしまい、コストがあわなくなってしまう。一部門のためにその決断をすべきかどうかで意見が割れたことがありました。その時、社内における各部の業務を広く把握していて、何を優先すべきかを横断的に判断できる方が検討チームの中にいらっしゃって、その一人の存在が全体の流れに非常によい影響を与えていました。
中川:
そうですね。推進には自社の状況や過去経緯をよく知っている方が必要不可欠かと思います。これは外部からのサポートだけではなかなか難しい。特に何かを切捨てる場合、外部の意見は反発を招きやすいです。内部事情をよく知っている「この人が言うのだから」という存在が反発の抑制につながります。
経営と業務側の間にたってプロジェクトをリードできるまとめ役の存在は、その企業内の肝を抑えつつスピード感を持って検討を進める上で非常に大きいと感じています。
浦田:
一方で、これまでのしがらみに影響されないフラットな意見が求められる局面もあります。その意見が言えるのが外部の強みであり、積極的に活用していただきたい部分になります。内部の強力な推進力と外部のフラットな視点の両方が必要になるのでしょう。
中川:
先に述べた目的が事前に全社レベルで共有されていることも重要で、無用な反発を抑制する効果があります。ユーザーと経営の双方にメリットがある目的が設定できているのかどうか。それが現場レベルまで共有されている状態であれば、ベクトル合わせがスムースにいくと考えています。
――組織連携においても、目的の共有が重要なのですね。
中川:
ゼロトラストはよくジャーニーに例えられます。これは「長い時間をかけて状態を変えていく」という意味合いで使われていますが、「あてのない旅」の側面もあります。1つのソリューションを導入するだけでも多くの検討と時間が必要で、それを複数組み合わせて入れていかなければなりません。数年単位の時間と多くの費用・リソースが必要となります。進めていくうちに目的を見失ってしまいがちなのです。
しかし、膨大なコストが発生するゼロトラストが、あてのない放浪の旅になってしまってはいけない。どこに向かうのかしっかりと目的を定め、そこに向かうための体制を組む必要があります。その際、大事な事は「どこに向かっているのか」を全員で共有していることです。目的が共有されていないと、各自がバラバラの方向に走り出してしまい、目的を達成することが困難になります。
浦田:
ゼロトラストには「こうすれば正解」というものはなく、地図が用意されているわけでもありません。どのように進めるべきかは、個々の企業の現状や目的によって異なり、自分たちで地図を作りながら、旅を続けていくことになります。そのため、自分たちだけで全旅程を遂行する事は困難で、旅行ガイドのような外部パートナーの存在が必要です。実は外部パートナーとどうつきあっていくかも結構重要なポイントだったりします。企業独自の目的地に向かって長い道のりを共に歩んでくれる、そんなパートナーが理想的ですね。
次回予告:ゼロトラスト外部パートナーとのつきあい方
業務変革のあるべき姿は企業がトップダウンで決め、関係部門間で目的の整合を図るべきですが、複数の業務を整理し、その将来のあるべき姿を業務とシステムの両面の視点で全体像を描いていくことは、かなり重たいタスクとなります。
自社のリソースだけでは知見も工数も足りず、長い道のりを乗り切るのは難しいかもしれません。そんなとき、コンセプト段階から全体設計を導く第三者の存在は心強いはずです。
次回は、その長い道のりを一緒に乗り切ってくれる外部パートナーについてどのフェーズで何をサポートしてもらうことが有効なのかについて話をしたいと思います。
執筆者情報
DXブログの更新情報はFacebook・Twitterでもお知らせしています。
新着コンテンツ
-
2024/09/18
高齢者の働く意欲を削ぐ在職老齢年金の見直し検討:自民党総裁選でも社会保障制度改革の議論を深めよ
木内登英のGlobal Economy & Policy Insight
-
2024/09/17
一時1ドル139円50銭台まで円高が進む:米国の大幅利下げ観測は行き過ぎか?
木内登英のGlobal Economy & Policy Insight
-
2024/09/17
自民党総裁選討論会:経済政策の具体的な議論は深まらず:高市氏は日銀の利上げに明確に反対
木内登英のGlobal Economy & Policy Insight