ゼロトラストセキュリティは企業におけるDXとセキュリティの両立のカギだ。だが、自社への導入検討となると途端に難しくなる。どう具体化すればよいのか。キンドリル アソシエート・ディレクター 技術戦略の東根作 成英氏に話を聞いた。
──ゼロトラストの取り組みでは、「SASE(Secure Access Service Edge)」を導入すればいいのではないでしょうか。
東根作氏 SASEを導入するのも1つの解です。最も避けたいのは、ゼロトラストを難しく考えすぎてしまって、取り組みが滞ることですから。ただしベンダーの各製品は、ゼロトラストの構成要素に過ぎません。例えばSASEを入れても、認証・認可の仕組みは実現できません。マイクロセグメンテーション、オンプレミスへの対応の課題も残ります。部品を積み上げていっても、ゼロトラストという完成品ができるわけではないところに難しさがあります。
──では、ゼロトラストを実現するために何が必要なのですか。
東根作氏 大切なのは、自社の事業成長に向けたデジタル基盤の全体像を描き、そのためのセキュリティ像を設計することです。それなしにゼロトラストは成り立ちません。ゼロトラストは、デジタル基盤を用いて自社の価値を最大化する包括的な取り組みの一環ということです。
──とはいえ、ゼロトラストで何をすべきかを明確化するのは難しいです。
東根作氏 ゼロトラストはセキュリティを強化するための手段で、それだけで自社の売り上げが直接伸びるわけではありません。ですが、事業活動や顧客情報の保護、ひいてはビジネスのサステナビリティに直結します。セキュリティは経営課題です。自社のIT基盤・デジタル基盤が過去と比べてどう変わろうとしているかを明確に認識することが必要です。その認識がないままゼロトラストに取り組むと、目的が分からなくなってしまいやすいのです。
──パズルを組み立てるように製品を導入していくと、コストもかさんでしまいます。
東根作氏 予算規模に合わない、ROI(投資対効果)の観点で説明ができないという状況に陥りやすいです。ゼロトラストでは、誰がどのデータにどうアクセスしているかを都度チェックしていくことが重要です。本来は、全ユーザーにその環境を払い出す必要があります。数万人規模の企業では、ユーザー数課金の複数のソリューションを利用することになり、この時点でコストが見合わない、ということもあり得ます。
──ではどういうアプローチでゼロトラストを導入すればいいのでしょうか。
東根作氏 私がおすすめしているのは、IT中期計画の中でセキュリティのあるべき姿を描き、そこにゼロトラストを組み込むことです。「ロードマップアプローチ」と呼んでいます。
──ロードマップアプローチについて、詳しく教えてください。
東根作氏 ロードマップアプローチでは、まず全体像を描き、実現したい目標に合わせて段階的にIT・デジタル環境を整備していきます。IT・デジタル基盤を支えるセキュリティについても同様で、1年目のセキュリティ施策としてはこれをやる、2年目はこれを、3年目はこれを……と進めます。毎年、具体的なプロジェクトのために予算を獲得し、遂行していきます。
──ゼロトラストでよくある落とし穴とは?
東根作氏 従来のネットワークによる境界型セキュリティの延長として考えてしまうことです。例えば、既存のゲートウェイをクラウド化しただけでは、従来の境界を外に持っていくだけのことになります。ゼロトラストとは端的に言うと「ネットワークを問わずセキュリティを担保できる仕組み」です。全てがインターネットに接続されている環境で、デバイスからデータまで、エンドツーエンドでセキュリティを担保できる仕組みを実装できるなら、「ゼロトラスト」という呼び方にこだわる必要はないと思います。
──最後に、ゼロトラストに向けて誰が何をやればよいのか、アドバイスをお願いします。
東根作氏 3年後までの計画を立てるのが難しい企業も多いと思います。そこでおすすめするのが、大きな手戻りがない程度に全体像を描きつつ、直近の課題にスコーピングすることです。リモートワークへの対応、新たに導入するSaaSサービスへの対応、PCの入れ替えなどにスコーピングし、ゼロトラストのスキームをあてがっていきます。最終的には大きな投資になりますので、デジタル化におけるセキュリティの重要性を経営層、IT部門、セキュリティ担当者それぞれが共有することも大切です。ゼロトラストのガイドラインである「NIST SP800-207」は難しいかもしれませんが、全体像を正しく理解することに役立ちます。ゼロトラストの導入検討で課題を感じたら、キンドリルが伴走しながらご支援させていただくこともできますので、ぜひお声掛けください。
Copyright © ITmedia, Inc. All Rights Reserved.
提供:キンドリルジャパン株式会社
アイティメディア営業企画/制作:@IT 編集部/掲載内容有効期限:2023年6月30日