ナレッジ・インサイトトップ
ソリューション・サービストップ
サステナビリティトップ
ニューストップ
企業情報トップ
株主・投資家情報(IR)トップ

フリーワード検索

タグ検索

  • 注目キーワード
    業種
    目的・課題
    専門家
    国・地域
JPN ENG CHN

NRIの海外拠点一覧

NRI トップ ナレッジ・インサイト コラム コラム一覧 ゼロトラスト導入~外部パートナーとのつきあい方

ゼロトラスト導入~外部パートナーとのつきあい方

2022/05/31

  • Facebook
  • Twitter
  • LinkedIn

コロナ禍を契機としたテレワーク導入の浸透とともに、各方面から熱い注目を集める「ゼロトラスト」。昨今、このゼロトラストの考え方を実際に取り入れる企業が増えています。一方、「ゼロトラストで何ができるのか」、「移行にあたって何をすればいいのか」と悩んでいる企業も少なくありません。

そこで本記事では、野村総合研究所(NRI)で企業のゼロトラスト導入支援を担当する3名のシステムコンサルタント(中川、浦田、平澤)により、ゼロトラストの導入現場最前線の話題を3回に分けて座談会形式でお届けします。第3回目は、ゼロトラスト導入を共に進めるパートナー企業とのつきあい方について解説します。

座談会メンバー

浦田 壮一郎:
2004年、日本IBMに入社し、国内金融機関やグローバル企業向けのアウトソーシング事業の経験を経て、2016年に野村総合研究所(NRI)入社。現在はシステム化構想・計画の策定、アーキテクチャ標準の策定、PMO支援などコンサルティング業務に従事。専門はシステム化構想・計画の策定、アーキテクチャ設計。

平澤 崇佳:
2016年、国内通信系研究所に入社し、トランスポートレイヤの通信インフラ研究開発に従事。関連会社のクラウドインフラの設計・開発等の経験を経て2020年野村総合研究所(NRI)へ入社。現在は、システム化構想、RFP策定支援などのコンサルティング業務に従事。

中川 尊:
2006年、外資系メーカーに入社し、ストレージを主としたプリセールスを経験。その後国内大手SIerにて大規模PJのPMやクラウドサービスの開発・運用の経験を経て、2019年野村総合研究所(NRI)へ入社。現在は、システム化構想、PMO支援などのコンサルティング業務に従事。専門はシステム化構想・計画の策定と実行支援。

コンサル会社やITベンダーの支援とは?

――ゼロトラスト導入で外部サポートは必要ですか?

中川:
多くの企業では外部サポートが必要になると思います。もちろん自社で完結できればそれが一番望ましいのは間違いありません。しかし、ゼロトラストを実現するソリューションは多岐にわたり、かつこれらの進歩も目覚ましいものがあります。なるべく最新の情報をもとに導入に当たるべきですが、これらの情報を取得し精査するだけでもかなりの労力がかかります。それを踏まえると外部の有識者の知見を求めるのは有用です。

浦田:
ゼロトラストは、パッケージ化された製品やツールを導入して完了するものではありません。自社の業務をどう変えていくのか、その業務のセキュリティをどうしていくのか、全社レベルで業務を整理し、将来像を策定していく必要があります。関係するいくつもの部門に対し、業務とシステムの両面から情報を整理し、将来のセキュリティのあり方を描いていく。一部の企業を除き、その全てを自社のリソースだけで行うことは非現実的であり、外部の知見を借りないと実現は難しいと考えています。

――ゼロトラストの外部サポートにはどのようなものがありますか?

中川:
外部サポートとしては、各社からさまざまなサービスが提供されています。ゼロトラストの個別ソリューションの導入・実装をサポートするものから、全社の業務変革構想を支援するもの、実際に企業の推進チームに入り、各事業の業務改革とセキュリティシステムの両面での業務整理から二人三脚でサポートするものなどがあります。

浦田:
ゼロトラストの個別ソリューションについてはすでにいろいろなものがあります。ゼロトラストは、注目されだしてからかなり時間も経過しているので、サポートするITサービス企業も多く、製品も多種多様です。ゼロトラストは基本的には、単一製品だけでやりたいことをカバーすることはできません。目的にあわせて複数のソリューションを組み合わせていくのが一般的です。

平澤:
ゼロトラストの個別ソリューションを部分的に導入するケースもあります。その場合、パッケージ化された製品を選ぶことでフットワーク軽く導入することが可能です。ただ、長い目で見たときに、それが正解でないことも多々あります。特定のソリューションを入れるにしても、最終的に会社が目指す方向性にマッチしているのか、会社が目指す方法性や、アーキテクチャと整合しているかを確認した方がよいでしょう。後から入れ直すとなるとかけた費用とリソースがムダになってしまいますので、そうした事前検討が必要です。

ゼロトラストベンダーとのつきあい方

――外部パートナーを選ぶ際の流れや選定ポイントはありますか。

中川:
もし自社で懇意にしているITサービス企業や、自社のシステム運用を委託しているパートナー企業がいれば、彼らに声をかけてみるのもよいかと思います。彼らは自社の業務やシステムを熟知しているため、ゼロトラスト導入の経験があるのであれば、より深い検討に入りやすいかと思います。

平澤:
もしそのようなパートナーがいない、ゼロトラストの知見がない場合、まずは、複数のITサービス企業をフラットに見ることができる立ち位置の支援パートナーに声かけして検討の全体像を整理するのも一つの手です。それから個別ソリューションを提供するITサービス企業に話をしてひとつずつ入れていくというような流れになって行くと考えています。

浦田:
ゼロトラストは、検討から導入・運用までの道のりが非常に長いのですが、なにか決まったルートが用意されているわけではありません。右も左もわからない、障害物だらけのジャングルの中を突き進んでいくようなものです。ですから、企業に必要なパートナーは、一般的な旅行ガイドではなく、方位磁石を片手に道なき道を共に突き進んでくれる密林ガイドが必要です。そうしたパートナーをうまく探し当てないと、最初の目的感を自社に合わせて整理していくことが難しいと考えています。

――ITサービス企業とどうつきあっていくのがよいですか。

中川:
ゼロトラストは、複数のソリューションを組み合わせて導入していく形になります。そのため、ある一つのITサービス企業とだけおつきあいするというスタイルにはならず、複数のITサービス企業と並行して話を進めていくことになります。一方、業務とセキュリティの両面でみつつ、かつ複数のITサービス企業ベンダーを管理するといったことを全部実行できるスーパーエンジニアは社内ではなかなか見つけられませんので、そうした部分を補完する支援パートナーも必要だと思います。

浦田:
ゼロトラストはとにかく完成するまでの道のりが長いです。Googleですら10年ほどかかっています。いったんソリューションを決めたとしても10年もすると、また別の最適なソリューションが出てくる可能性は十分に考えられます。アーキテクチャー自体も徐々に変化していくことになるでしょう。

そうなったとき、あるソリューションを入れて終わりというITサービス企業だけではうまくいかなくなります。長いつきあいができるパートナーを選んでおく必要があるでしょう。

NRIのゼロトラストサポート事例

――NRIではどういう形でサポートすることが多いですか。

平澤:
システムコンサルティング事業本部では、ゼロトラストを検討する上流工程でご相談いただくことが多いですね。お客様の将来の働き方や業務をどうしていくのか、それを実現するためにはどういうアーキテクチャーであるべきなのか、という部分を整理する過程でのご支援が非常に多いです。

中川:
大きく2つのパターンがあり、お客様の課題を解決する企画フェーズの段階から入る場合と、実際に実業務に落としていく実行フェーズの過程で入る場合があります。課題から入らせていただくものは、IT部門からのお話が多いですね。課題の内容はお客様によっていろいろですが、一般的にはアーキテクチャーの企画から構築までをサポートするケースが多いです。

一方、実行フェーズでは、事業部門を巻き込んで、業務上の価値をどうやって上げていくのかをお客様企業と一緒に考えていきます。その場合、企業のさまざまな組織を巻き込んでいくことになります。

――複数部門の巻き込みは大変そうですね。

浦田:
そうですね。ゼロトラストの導入には企業固有の課題が多いのですが、部門連携の課題はどの企業も共通するものです。まず企業側で体制を整えることがなかなかハードル高い。現在私が担当している企業では、どこもまだ全社方針と関係部署間の事業や業務の整合中のものばかりです。導入目的を踏まえた上で、業務実態がどう変化するか、その適合性はどうかなどを整理した上でどの範囲で実施すればよいか、それがどういう効果・影響をもたらすかなどを、時間をかけてつめています。

平澤:
今ちょうど、複数の関係部門で整合を行っている企業の案件があります。この企業では、全体の方向性も定まり、実際にシステムにどう落としこむかを整理している段階です。しかしながら、こうして方向性が定まったものでも、個々で中身を詰めていくとそれに適合しないものがでてきます。業務上の使い勝手が改善できていても、経営視点では効果につながらないものだったり、運用面で必要な選択になっていたとしても、コストが合わなかったりなどいろいろです。

中川:
その相反する部分を洗い出し、どのように整合をとっていき、全体戦略に合致させるか、この着地点を見つけていくフェーズが難しいです。この検討はどの企業でも共通する課題であると共に、解は各社各様で考えていかなければならないものだと思います。

――部門整合の課題をうまく乗り越えた事例はありますか。

中川:
代表的な事例としてGoogleがあげられます。同社は過去にサイバー攻撃にさらされた経験を踏まえ、特権的なネットワークを排除したゼロトラストネットワークの導入を決めました。

当時、現場レベルでは既存からの変革に対して反発が多く上がっていましたが、従業員が納得できる形で移行できるよう環境を整備し、徐々に移行を進めたと聞いています。環境整備にあたっては、同社の各従業員がどのように業務を実施しているのか、また新しく導入するゼロトラストネットワークに適合できるかを、つぶさに観測できるようにしました。

新しい業務スタイルの社内導入は、このような形で地道に少しずつ進めていく必要があるのだとわかる事例の一つかと思います。

平澤:
私が支援しているある企業の話もよい事例です。その企業では数多くのお客様サポートを実施するため多くのSaaSを扱う必要があり、クラウドセキュリティを担うゼロトラスト環境の導入が必要でした。一方で過去から利用している多くの社内システムを扱わなければならない。また、コンサル業務、システム開発業務など、部署によって全く異なる働き方が求められていました。このような状況下では全社一律の仕組みでは回らないのは明白で、どちらの業務を優先するのかといった衝突もありました。

この事例では、業務に合わせて環境をスイッチできるように整えることで問題が解決しました。全社一律と比べ、コストがかかりますが、導入目的である「セキュリティの強化によって安全に働き方の実現を実施する」に立ち返って経営側にも納得していただき、進めることができました。

中川:
平澤さんが話した事例では、全社としての目的設定が、各部門の課題解決の延長線上にあり、経営層と現場がしっかりと共通の目的をもつことができていたのが良い部分ですね。

浦田:
やはり、初期の目的設定の部分が肝になりますね。目標設定は、システム側だけ、あるいは経営側だけの視点に偏らず、業務部門全体で共有し合意されているべきです。そのためには、一般的なコンセプト作成で終わらず、自社の従業員がロールごとにどのような働き方を目指すのかを整理し、目的設定されている必要があります。

――最後に:ゼロトラストを検討したい企業にアドバイスをお願いします。

浦田:
DX全体にいえることですが、ITソリューション導入の効果をソリューション単体で評価するという考え方だとうまく進みません。ゼロトラスト導入でも、セキュリティソリューションを入れるという手段を目的化するのではなく、どのような働き方や業務で価値を創出するのか、その働き方や業務を安全に実施するために、どのようなセキュリティが必要なのかという順序で考えるのが重要だと思います。

中川:
ゼロトラストは単一のソリューションで成り立つものではありません。導入の目的と自社の業務を踏まえて、必要となるソリューションを複合的に用いる必要があります。自社に必要なソリューションを見定めてソリューション導入を進めていただければと思います。ゼロトラスト導入を俯瞰的にアドバイスできるITサービス企業やコンサルをパートナーとして選択するのも有効です。

平澤:
最適解が存在しないゼロトラストの検討においては、はじめに明確化した目的・方向性を頼りに企業ごとに最適な姿を模索しながら進めていくことが重要です。長い時間をかけ、都度見直し・軌道修正を行いながら変革を進めていく “ジャーニー” となることを覚悟し、社内各部門や経営層、外部パートナーと協力して旅を進めていただければと思います。

DXブログ一覧ページへ

システムコンサルティングトップページへ

執筆者情報

  • 中川 尊

    ITアーキテクチャーコンサルティング部

  • 浦田 壮一郎

    ITアーキテクチャーコンサルティング部

  • 平澤 崇佳

    ITアーキテクチャーコンサルティング部

  • Facebook
  • Twitter
  • LinkedIn
お問い合わせ

お問い合わせ

メルマガ登録

DXブログの更新情報はFacebook・Twitterでもお知らせしています。

新着コンテンツ

もっと見る

前のページに戻る