ゼロトラストセキュリティ導入、成功と失敗を分けるポイントはどこに？

[PR／ITmedia]

PR

　IT環境の変化、社会環境の変化に伴って、これまでの境界防御に変わる新たなアプローチとして「ゼロトラストセキュリティ」の必要性が認識されるようになった。しかし、いざIT部門やセキュリティ部門がゼロトラストセキュリティの導入を提案しても、上層部の理解が得られなかったり、社内からの反発があったりしてうまく進まないケースもあるようだ。

　いったいどこに理由があるのか。そして、解決に向けてどのようなアプローチを取るべきだろうか。世の中に先んじてゼロトラストセキュリティ導入に取り組んできた企業の姿を間近で見てきたデロイト トーマツ サイバーの大森潤氏（シニアマネジャー）と、日立ソリューションズの扇健一氏（セキュリティエバンジェリスト／セキュリティマーケティング推進部 部長）という二人のプロフェッショナルに尋ねた。

デロイト トーマツ サイバーの大森潤氏（シニアマネジャー）（左）と、日立ソリューションズの扇健一氏（セキュリティエバンジェリスト／セキュリティマーケティング推進部 部長）

ゼロトラストセキュリティの導入自体を目的にするのは大きな間違い

Q：ゼロトラストセキュリティの導入において、企業が最も苦労しているのはどんな点でしょうか？

大森：いざゼロトラストセキュリティを導入しようとしても、経営層への説明に苦労するというのが、大企業も中小企業も等しく直面する大きな課題であると感じています。上層部からは「それで投資対効果が出るのか、そこまでお金を掛けてまでやる必要があるのか」で片付けられるケースが多いように思います。

　実際には、ゼロトラストセキュリティの効果はROI（投資利益率）だけではなく、ROSI（Return On Security Investment、セキュリティ投資効果）やその後のデジタルトランスフォーメーション（DX）を含む業務改革につながる側面からも見ていく必要があるのですが、そこまで行き着くのが難しい状況があるのではないでしょうか。

扇：本来ゼロトラストセキュリティは、DX推進を背景に検討すべきものだと思います。DX推進部門が経営層の合意を得て、DXで何をやるかを決めた上でIT部門に依頼が来るというのが、本来のプロセスだと思います。

　いま、経営層の説明に苦労しているのは、DX推進で何をやるのかという議論を飛ばして、IT部門がいきなり「ゼロトラストセキュリティを導入しなければいけない」と言ったり、ゼロトラストセキュリティの導入自体が目的になっていたりする場合ではないでしょうか。これは間違ったやり方だと思います。

大森：IT部門から言い始めるにしても、その先につながる業務や他の会社とのつながりを大きく変え、会社のプラスにつながるんだという道筋がきちんと見えていなければいけません。IT部門だけでその道筋を作るのは難しいかもしれませんね。

特に製造業で高まるゼロトラストセキュリティのニーズ

Q：では、現在ゼロトラストセキュリティに向けて動き始めている企業はどんなところが多いのでしょうか。

扇：日立ソリューションズはこれまでに、100件以上のゼロトラストセキュリティの相談を受け、対応してきました。圧倒的に多いのは製造業で、約4割を占めています。二番目はサービス・インフラ業界で2割、三番目にソフトウェア・通信業界がきています。一方で官公庁や金融は少し遅れており、やっとRFP（提案依頼書）の中に入ってきたところです。

業種別引き合い状況（日立ソリューションズ調べ）

　規模別で見ると、従業員規模が1000人以上の企業が約6割を占めています。この規模は、リモートワークを進めている、多数の資産を保有しておりクラウドシフトを進めている、あるいはグローバル化に伴って海外子会社に対してもガバナンスを効かせたい、といった企業が多いからでしょう。

　ただ、サービス・インフラやソフトウェア業界の中には、小規模でありながら、初めからクラウドベースで最先端のビジネスに取り組み、大いにゼロトラストセキュリティに取り組んでいる企業もあります。

規模別引き合い状況（日立ソリューションズ調べ）

大森：大企業であればあるほど他社とのつながりが多く、働き方や他社とのコラボレーション、デジタルでのやりとりを意識しているケースが多いように思います。

　製造業でゼロトラストセキュリティの話が増えているのも、サプライチェーンがしっかりしている業種ならではのことかもしれません。また中小企業では、クラウド・バイ・デフォルトのような企業とそれ以外の企業とで、二極化しているように感じます。

扇：サプライチェーンである海外の子会社・関連会社からマルウェアの感染が始まり、被害を受けるケースが増えていることも要因の一つにあるでしょう。マルウェアはガバナンスが効いていない弱いところから入ってくるため、海外拠点も全部クラウドにまとめ、セキュリティもクラウドで実現しよう、という方向に向かっているように思います。

大森：もう一つ私どもが見ている中で多いのが製薬業です。機密情報を扱う一方で、産官学のコラボレーションが活発化したり、海外企業のグループの一員として活動したりする中で、取り組みが加速しているように思います。

扇：すでに事例が公開されている製薬業の場合は、海外企業との協業や資本提携もあり、多くの従業員が海外で勤務していることから、グローバル対応をせざるを得ないという背景がありました。

　さらにもう一つ、東日本大震災の際に薬品の供給が不安定になってしまった反省を踏まえてBCP（事業継続計画）を検討し、サイバー攻撃対応もその一環として捉えてきたという要因もありそうです。製造業の中でも製薬業界は特にゼロトラストの背景となる要素がそろっていると思います。

IT部門だけでなく他部門の巻き込みと企業戦略とのリンクが成功の鍵に

Q：そうした相談がある一方で、ゼロトラスト導入プロジェクトがうまくいかない理由は何でしょうか？

大森：必要性を感じていないなどいろいろな理由があるでしょうが、最も多いのは「上は数字を求めてくる一方で、その効果を説明できない」というものですね。ゼロトラストを入れるとこれだけ変化があることは分かっていても、それをどう上に伝えていくかで悩まれているケースが多いと思います。

扇：VPNの逼迫をきっかけにゼロトラストセキュリティに進みたい、VPNに頼らないセキュアなリモートアクセスに置き換えたいというケースが多いのですが、「それならVPNを増強すればいいじゃないか、なぜそんなに高い金をかけて置き換える必要があるんだ」と却下されてうまく進まないケースもあるようです。

　VPNという一部分だけに焦点を当てて説明しても失敗しがちです。逆にうまくいっている会社では、VPNの負荷対策は、ゼロトラスト導入の一部でしかありませんよね。

大森：VPNの導入だけにフォーカスするのは、まさに、扇さんが先ほどおっしゃった「ゼロトラストセキュリティの導入が目的になっている」という例だと思います。喫緊の対策として必要な要素ではあるでしょうが、その先にあるものは何かを考えなければいけないでしょう。

　将来的にどんな働き方をしたいのか、その第一段階として何に取り組むのかという順番で考えれば、「今はVPNを増強し、クラウドに移行して環境が整ってからあらためて考えよう」と判断を下すこともできます。ゼロトラストセキュリティを導入する最終的なゴールはどこなのか、そして周囲のITプロジェクトや会社の戦略は何かを勘案した上で考えるのが、一つの大きなポイントだと思います。

Q：今のお話を伺うと、ゼロトラストという点ではなく、DXや業務改善といった面で考え、もっと広い視野で計画を立て、IT部門以外も巻き込んでいくことが重要だと感じました。

大森：おっしゃる通り、ゼロトラストの最終的なゴールは業務の変革の下支えです。働き方や他社との関係、ビジネスのスピード感を変えるための、つまりDXに取り組む事業部門が変革するための手助けを、いかにゼロトラストセキュリティの考え方で支えていけるかがすごく大事だと思います。業務の変革に取り組む事業部門と、これからの時代の考え方でその安全を守るIT部門の連携がものすごく重要ですね。

扇：我々の場合、ゼロトラストセキュリティについてのご相談は企業のIT部門やIT子会社からいただくことが多いのですが、すでにお客様の社内で業務変革やDXを進めるストーリーができている場合には本当にスピーディーに進んでいきますね。「我々の会社は今後、業務変革やDXでこのような戦略を立てており、IT部門ではここをやっていかなければいけない。すると、ここにはこんなセキュリティが必要になってくるので提案をお願いします」と、IT部門以外の人たちと話し合い、方向性が定まった上でのご相談は非常にうまくいきます。

Q：その場合は、社内のどのような人たちと相談していることが多いのでしょうか？

扇：一概には言えません。例えば働き方改革や効率化といった守りのDXならば、人事や労政といった部門になるでしょうし、システムをどんどんクラウドに上げて改修していく攻めのDXならば、各アプリケーションを持つ事業部との連携になるでしょう。また、グローバルでの競争力を上げるためのDXならば、グローバル推進部門やグローバル統括部門など、DXの方向性によってからむ部署が変わってくると思います。その際、コンサルティング企業の力も借りながら経営戦略を立て、将来のあるべき姿を明確にしているケースもありますね。

大森：やはり一番スムーズに進めるには上から戦略を落としていく必要があるので、経営企画が関与していくことになると思います。働き方改革にせよ何にせよ経営戦略の一つだと思いますから、会社全体の課題、経営アジェンダとして取り組むべきでしょうし、それができれば、事業部門から「うちは協力しないよ」といった反発も生じずにスムーズに進められる体制を組めるのではないでしょうか。

　ただ、なかなかそこまで行き着くのは難しいので、IT部門やCIOからスタートして関係する役員に広げていく、というやり方も多いように思います。以前あるお客様と、ゼロトラストセキュリティのメリットには二段階あるのではないかという話になったことがあります。

　一階部分はゼロトラストセキュリティを実現することで変わっていく中身、例えば場所を問わないシステム利用や社外の方々との安全な共有が可能になること。二階部分はそれらを駆使して業務部門で得られるメリットです。

　ゼロトラストセキュリティによって一階部分が変わることで、二階の自分たちの業務では何をどう変えることができるかを一緒に考えることで、各事業部門も自分事として捉え、展開が進むと思います。そこまでつなげていかないと、ビジネス部門としての上層部の説得は難しいかもしれません。

扇：私の所属する部署では最近、カスタマーサクセスを実現していくにはどんなことが必要か、営業部門といろいろ相談する機会が増えています。

　その中ではお客様の満足度を上げるため、いろいろなクラウドサービスを組み合わせて情報を提供したり、新たなことにチャレンジしたりという話も浮上してきます。そこで、「こんなクラウドを活用したシステムを作りたいが、うちの会社でできるのだろうか」とIT部門に相談し、セキュリティの検討含めてお願いしていくのが、業務の変革を先に考えたあるべき姿かなと思いました。

　ただ、社内から言っているだけではなかなかうまくまとまらなかったりします。そういうときには、外部のコンサルタントの力を借りて、ファシリテーションやプロジェクトマネジメントも含めてうまくリードしていただくといいように思います。社外の方から言ってもらうと、上層部や関連部署を巻き込みやすい、というのもありますよね。

大森：実際、会社の中で何か推進しようと思っても、パワーが足りなかったり、説得する材料が足りなかったりすることもありますよね。そんなとき、その思いを実現するにはどうすればいいか、お手伝いする機会は増えています。

　ただ、そこで示したものが絵に描いた餅であってはいけません。お客様の状況を踏まえてどう進めるかを整理すると同時に、テクノロジー的に「できる」という確証がなければいけません。日立ソリューションズさんのようなパートナーの力を借りて、「こうした製品をこう活用すれば、こういう状態が作れる」ときちんと確証を得た上で進めていくのが大事なポイントだと思います。