“ゼロトラスト”が実践できている企業は何が違う？ 専門家対談で見えてきた実情

[PR／ITmedia]

PR

　今、企業のセキュリティを考える上で「ゼロトラスト」は外せないテーマになっている。「境界防御の内側は安全である」という、これまでの前提が成り立たなくなったことを踏まえ、多くの企業が抜本的なセキュリティ対策を検討している。

　近年、DX推進やクラウドシフトでも注目を集めていたゼロトラストだが、新型コロナウイルスの流行によるテレワークの拡大により、セキュリティ課題を解決するアプローチとしてニーズが加速した。また、テレワークの普及に伴ってVPNの許容量を超えてしまい、脱VPNを余儀なくされた点も要因の一つだ。

　だが、目の前の課題を解決し、円滑かつセキュアなテレワーク環境ができれば、それだけでゼロトラストといえるのだろうか。セキュリティ業界でたびたび繰り返されてきたことだが、キーワードに踊らされ、本質を見失ってしまう結果に陥ってはしまわないだろうか。

　そんな共通の問題意識を持つデロイト トーマツ サイバーと日立ソリューションズが提携し、単なる“課題解決として”ではなく「企業のIT戦略、セキュリティ戦略と整合性を持たせたゼロトラスト」の考え方を適用する支援を始めようとしている。

　そこで、デロイト トーマツ サイバーの大森潤氏（シニアマネジャー）と、日立ソリューションズでセキュリティエバンジェリストを務める扇健一氏（セキュリティマーケティング推進部 部長）の対談を通じて、今のセキュリティ対策にどのような課題があるのか、2社が提携することによる相乗効果について聞いてみた。

デロイト トーマツ サイバーの大森潤氏（写真＝左）と、日立ソリューションズの扇健一氏（写真＝右）。感染症対策のため、対談はオンラインで実施した

テレワークの拡大に伴い露呈したVPN問題　しかし、真の課題はその先に

大森　新型コロナの影響で一気に世の中が切り替わり、働き方も大きく変わりました。会社に来てPCをつないでいろんなシステムを使って……というふうに仕事をしていたのが、急に出社を控えるよう国から要請があり、会社としても働き方の切り替えを迫られ、テレワークが広がったように思います。

　そこから生じたのがVPNの許容量の問題です。それまでのVPNは、会社の中でも限られた人だけが利用することを想定していました。しかし、一気にほぼ全員が自宅から働くことになり、VPNがパンクするという事態が頻発するようになりました。

　この状況でどうやってコミュニケーションやコラボレーションを実現するか、メールがチェックできないなら他のツールに切り替えるのか、さらに、そういったものを支えるITインフラはどうあるべきかを問い直す動きが、一気に起きたように思います。

扇　コロナ禍が始まった2020年春にまず問題になったのは、社員に配布するテレワーク用のPCが足りないことでしたよね。そして、急きょ全社員がVPN経由で社内ネットワークにアクセスできるようにしたことでVPNの負荷が高まり、通信が不安定になる問題が浮上しました。

　当時は取りあえずセキュリティには目をつぶって、「Microsoft 365などのSaaSはVPN経由ではなく、直接利用させよう」という動きが大きかったと思いますが、今はようやくセキュリティに目が向き始めた段階だと思います。ファイアウォールを介さずSaaSを自由に使わせることで、情報漏えいやマルウェア感染のリスクが高まるといった課題は、今もあるのではないかと思います。

大森　そうですね。緊急事態宣言によって従業員の出社に制限がかかり、数カ月たったころから、「取りあえずMicrosoft 365を自由に使わせているのですが、これって問題ありますか？　安全かどうかチェックしてください」といったご相談が非常に増えました。

扇　大手企業では、IDaaS（Identity as a Service）やEDR（Endpoint Detection and Response）といったソリューションの導入は進んでいますが、リモートアクセスの拡大とVPNの負荷の問題で、SaaSに直接アクセスするようになり、さらにセキュリティの重要性が増したと思います。

　また、VPNの負荷を解決する方法として、VPNを増強するという方法もありますが、その際、脆弱性対策がされておらず、攻撃されやすい状態となり、IDとパスワードを盗まれ、ランサムウェアに襲われたという話もあります。これはそもそもメーカーからパッチは出ていたにもかかわらず、適用していなかったことが本質的な問題です。このように、今まで露呈していなかったセキュリティの問題が、働き方やIT環境の変化によってあらわになってしまったのかなと思います。

ゼロトラストの導入自体が目的化？　本末転倒の事態も

扇　一部の企業はクラウドシフトも含めた中長期的なIT戦略を立て、それに必要なセキュリティ対策を考えるという形でプロジェクトを進めていますが、まだまったく手つかずの企業も多々あるように思います。

大森　2020年の時点でも、緊急事態宣言に追われて喫緊で対応しなければと、“わーっ”と目の前の課題に対応されたお客様と、一から戦略を立てて進めていこうと考えるお客様との二極化がありましたが、今もその状況は続いているように思います。

扇　セキュリティ部門がなく、DXに必要なセキュリティを考えられる人がいないという課題もあります。

大森　中堅企業の場合、一人情シスが多いといったこともあるでしょう。また大企業でも、セキュリティ推進のための組織はあるけれども、目の前の課題をこなすだけで精いっぱいになっており、大きな戦略を描くところまで手が回らない状況もありそうです。この結果、IT戦略とセキュリティ戦略が分断されており、「事業を支えるIT、その中のセキュリティ」という順番で考えられなくなっているのではないでしょうか。

　もちろん、喫緊の課題、例えばテレワークをきちんとできるようにするのも大切なことです。しかし扇さんがおっしゃったように、この先企業としてどうしていくのか、DXやクラウドシフトの戦略を考慮したうえでのセキュリティはどうあるべきかを考える必要があると思います。

扇　もう一つ、「入れろと言われたから入れる」「流行っているから入れる」と、ゼロトラストの導入自体が目的になってしまっている企業もあるように思います。実際、「ゼロトラストください」といわれることもあります。けれど、ゼロトラストって製品でもサービスでもありませんよね。

大森　同感です。テクノロジーを導入すること自体が目的になっているケースが、やはり多いように思います。本来考えるべき未来の事業の姿や働き方を見ずに、「脱VPNソリューションを入れたからうちは、ゼロトラストはOKだ」とテクノロジーを導入しただけで満足してしまうのが非常にもったいないように思います。

　また、自分の会社にいらないものまで導入してしまっているケースもありますね。オンプレミスで業務をしないと回らない業態なのに、同業他社が入れているからと脱VPNソリューションを導入したものの、利用率がまったく上がらず、無駄な投資になるケースもあります。やはり、自社に必要なゼロトラストのあり方を考えずに進めると、無駄な出費に終わる恐れがあるでしょう。

「自社はどこをめざすのか」がIT戦略、セキュリティ戦略のスタートラインに

扇　ゼロトラストは大手企業のものというわけではありません。自社にとって適したゼロトラスト環境は、企業それぞれで違うと思います。リスク分析に似た部分がありますが、信用できない環境がどこにあるのか、どの事業が重要なのか、DX推進をどのように進めていくのか……企業それぞれにとってのゼロトラスト環境は何かを考え、的確なものを当てはめていくことが重要です。

大森　私どもも、「ゼロトラスト、やりたいです」というお客様とお話するときには、まず事業リスクや扱うデータのリスクも踏まえながら「御社がめざすところはどこですか、どのセキュリティレベルが適切ですか」の整理から始めています。また、「そもそも今ゼロトラストに移行すべきか」を問い直す助言も行っております。製造系など、事業によってはゼロトラストに移行してもうまくいかないケースもありますから。

　根本原因としては、やはりIT全体・セキュリティ全体を見る組織がないことが考えられるでしょう。会社全体を俯瞰し、事業にひも付いたIT戦略やセキュリティ戦略がどうあるべきかをきちんと考える人がいないため、システムの導入だけに目が向いてしまっているように思います。会社がどこに向かいたいのか、新しいビジネスなのか、新しい働き方なのか、新しいコラボレーションなのか。そのためにITはどう変わらなければいけないから、セキュリティもこう変わるべきだ、というステップで進めるべきだと思います。

扇　うまくいっている企業は、クラウドシフトも含めたDX部門とIT部門、そしてセキュリティ部門がきちんと情報交換を行い、社内提携がうまく機能していますよね。特に、経営戦略コンサルタントのアドバイスを得ながらビジョンを作り、「このようにDXを推進したい、その中でゼロトラストが必要だ」という順番で進めている企業は、うまくいっているなと思います。

　逆に、外部に意見を仰ぐわけでもなく、社内の横断的な提携もないまま、ITはIT部門で、DXはDX部門でとばらばらに進めるとちぐはぐになりがちです。10年前ならばそれでもよかったかもしれませんが、経営とITが密接に関わり、ITなしに企業を支える基盤があり得ない今の時代には難しいでしょうね。

大森　これから先、業務のデジタル化は避けては通れません。業務の在り方もどんどん変わってくると思います。つまり、ITが事業と一体化していく中でどのようなサイバーセキュリティが必要かを考えることが重要で、そこにうまく当てはまる考え方としてゼロトラストがある、と捉えています。そして、こうした考え方の下、ITやセキュリティも経営活動の一つとして取り組んでいただくよう経営層の方々に理解していただくことも、必要な活動だと思います。

戦略を立案し、具体的な形に落とし込む　2社の提携が可能にするゼロトラスト

扇　こうした取り組みは、ボトムアップで進めようと思うとかなり難しいと思います。IT部門もセキュリティ部門も、働き方改革や、最近ではランサムウェア対策でてんやわんやですから、やるならトップダウンで組織を作らなければ進んでいかないでしょう。経営層の方々と対話し、理解を共有していくことが必要です。デロイト トーマツ サイバーさんと提携することによって、日本企業のセキュリティに対する考え方を変えていくことができると思っています。

大森　そうですね。事業戦略にひも付いたIT戦略、サイバーセキュリティ戦略のつながりを経営層の方々に理解していただくことは重要なポイントですし、その啓発が大事だと思っています。経営戦略とIT戦略、サイバーセキュリティ戦略とがリンクすべきという道筋を示し、この先何をめざすかを見据えていただくことが大事だと思っています。

　ただその反面、それが絵に描いた餅ではどうしようもありません。考え方をきちんと理解したうえで実現まで持っていけないと、経営層としては「口ではどうとでもいえるよね」と、やはり納得がいきませんよね。道筋をいかに現実に落とし込むか、それもバラバラではなく横串が一本通った形で実現していく人たちが不可欠です。日立ソリューションズさんとの提携はそこがポイントなのですね。同じビジョン、同じ考え方を持ち、しかもそれを導入だけでなく運用やマインドも含めてきちんと考え、形にしてくれます。口だけではなく実現する方法を持っているというのが、大きなポイントです。

扇　まずビジネス戦略があってIT戦略やDX戦略、セキュリティ戦略があり、そこにゼロトラストの考えを適用することになります。デロイト トーマツ サイバーさんにはお客様のビジネス戦略の立案などを支援していただき、5年後、10年後にめざす姿が決まれば、それを実現するには何が必要なのか、運用も含めてお客様に合っている製品やサービスはどれなのかを日立ソリューションズが見極め、落とし込むお手伝いができると思います。

　社名には日立と付いていますが、われわれはマルチベンダーでソリューションを提供しています。お客様のやりたいことをヒアリングしたうえで、「それならこんな方法があります」「こっちの方がいいですよ」と提案したり、大きなビジョンをフェーズごとに分けたりして、今年度はここまで進め、来年度はこちらを進めましょう、という具合に落とし込んでいく、具体的な細かいコンサルを担っていければと思います。

　お客様からすると、われわれの話だけでは「もうちょっとビジネス戦略も踏まえてよ」と思われることがあるかもしれません。一方、コンサルティング会社に依頼すると「そのビジョンをどうやって落とし込めばいいの」と思われることがあると思います。そこを2社でバランス良く支援できればと考えています。

　われわれはゼロトラストの全体像にまたがる技術を持っているので、デロイト トーマツ サイバーさんも自信を持って、実現可能な大きな構想を提案していただけると思います。

大森　そうですね。提携することで、世の中のテクノロジーでは足りないと思われる部分でも、「実はこんなやり方がありますよ」という補完をしていただき、さらに一歩進んだ提案ができると思っています。

扇　提案のスピードもアップできると思っています。われわれはゼロトラスト実現に向けたソリューションを幅広く取り扱っています。その情報を共有することで、デロイトトーマツサイバーさんがお客様の要件整理から計画立案まで実施しやすくなると思います。

大森　実際、コンサルティングを提供する際に、「この部分はこのベンダーが強いし、別の部分はあちらのベンダーが……」と一つ一つやっているとなかなか大変です。それらを総合的に提供できる日立ソリューションズさんと提携することによって、「その範囲だったら日立ソリューションズさんで全部カバーできますよ、一度お声がけしてみてはいかがですか」と自信を持っていえるようになります。安心感という意味でも、スピードという意味でも大きいと思います。

扇　こういうお話ができるのも、ゼロトラストの全体像を語り、それからお客様の進む方向性を決めていくべきだという同じ考え方を持っているからですね。ここまで共感を持てる企業ってほとんどありませんでした。脱VPNどうこうではなく、企業のIT戦略やDXを支えるインフラがゼロトラストネットワークであり、それに必要なセキュリティがゼロトラストセキュリティであり、最終的には自動化・効率化して人手不足まで補っていきたいという考え方を共有しているので、お客様の相談に乗る際も話が早く、ストレートに相談しながらご支援できると思います。

大森　日立ソリューションズさんとならば、まだ準備が整っていないのに無理やりシフトし、業務がやりづらくなったり、負荷が高まってしまったりということもないと考えています。

　ゼロトラストの考え方を実現するには足の長い取り組みが必要で、フェーズごとに少しずつ進めていかなければいけません。そのことをきちんと理解し、「はじめの一年はいきなりゼロトラストではなく、3トラスト、2トラストくらいをめざしていきましょう」といった具合に、無理なくロードマップを描いて実現していけるところが、安心感になると思います。