“ゼロトラストの理想型”を実現する――セキュリティ大手がドリームチーム結成 トップ座談会で見えた「狙いと思い」

[PR／ITmedia]

PR

　「日本の企業を本当に強くするのは『ゼロトラストセキュリティ』だ」――ある会議室にそろった4社の経営幹部が口々にそう語る。ITやOTが高度化したりサイバー攻撃の被害が拡大したりするなど、混迷を極めるサイバー空間において自社を守りつつビジネスを成長させる鍵がゼロトラストを正しく導入することだという。

　集まったのはクラウドストライク、Okta Japan、ゼットスケーラーの経営者と、国内で“ITの流通”を担うSB C&Sの役員だ。サイバーセキュリティ領域における世界トップクラスの4社が手を組んで、日本企業のセキュリティ対策を進化させると意気込む。

　“ドリームチーム”と呼ぶにふさわしい4社が連携することで実現する「真のゼロトラスト」とはどのようなものか。4社の幹部による座談会を通して、経営者の視点でゼロトラストの現在地と“正解”を導いていく。

［右奥］クラウドストライクの尾羽沢功氏（代表執行役員社長）、［右手前］ゼットスケーラーの金田博之氏（代表取締役社長）、［左奥］Okta Japanの渡邉崇氏（代表取締役社長）、［左手前］SB C&Sの永谷博規氏（取締役 専務執行役員 兼 ICT事業本部長）

「もう1社だけでは守れない」　カオス化するサイバー空間のいま

ゼットスケーラーの金田博之氏（代表取締役社長）

　「もう、1社のセキュリティ企業だけではゼロトラストを実現できません。個別最適ではなく、全体最適を目指さねばなりません。そのために生まれたのがこの“連合”です。餅は餅屋と言いますが、各社の得意分野を組み合わせることで完成型に手が届きます」――ゼットスケーラーの金田博之氏（代表取締役社長）はこう切り出す。

　ゼロトラストというキーワードの下に集ったのは、EDRを含むセキュリティプラットフォームを提供するクラウドストライク、ネットワークとセキュリティの機能を一つにする「SASE」ソリューションを手掛けるゼットスケーラー、アイデンティティー管理サービスを提供するOkta Japan、これら3社全ての一次代理店として国内展開できるディストリビューターのSB C&Sだ。

　4社の取り組みは、各社の製品を組み合わせて効果を高めるベストオブブリードを体現している。この考え方はユーザー企業にも浸透しているとOkta Japanの渡邉崇氏（代表取締役社長）は説明する。米Oktaの年次調査「Businesses at Work 2024」によると、1社当たりの導入アプリケーション数が世界平均で前年比4％増の93となり、インフラを含むIT環境全体がマルチベンダー化しているという。こうした傾向を受けて、Okta Japanは単なるID管理にとどまらず属性情報なども含めた「アイデンティティー管理」によってアクセス権限を制御するなどの対策が重要になると訴えている。

クラウドストライクの尾羽沢功氏（代表執行役員社長）

　IT環境の複雑化に合わせて、サイバー攻撃も高度化している。クラウドストライクの尾羽沢功氏（代表執行役員社長）は同社の「グローバル脅威レポート」を取り上げて、侵入者が最初にマシンを侵害した後に水平展開（ラテラルムーブメント）するまでの時間（ブレイクアウトタイム」が22年は平均84分だったが、23年は62分になったと明かす。つまり約1時間以内に脅威を抑え込む必要があり、複雑なIT環境をいかに守るか真剣に考えなければならない。

　しかし、その対策が進んでいるとは言えない。ゼットスケーラーの調査「Zscaler ThreatLabz暗号化された攻撃の現状レポート」では、脅威全体の約86％が暗号化されたトラフィックに潜んでいると判明し、「怪しい通信だけを排除すれば大丈夫」という従来の対策が通じなくなっている。これはセキュリティ対策を巡る全ての領域で共通した傾向だ。これまでのルールが通じない状況で脅威から企業を守るには、単一のベンダーや単一のソリューションでは難しいというのが4社の見解だ。

　「現在はベンダー、パートナー、ユーザーの誰にとってもカオスな状況で、SB C&Sが脅威トレンドやマーケット動向の目利きをしてお客さまに伝えることが役割だと自負しています。同時に、概念が先行しているゼロトラストの領域で、ベンダーではない立場から対策の適切な組み合わせを提示します」とSB C&Sの永谷博規氏（取締役 専務執行役員 兼 ICT事業本部長）は4社連合における立ち位置を説明する。

「セキュリティは不便」はもう古い　経営課題を解決できる理由

　企業を取り巻くサイバー環境が厳しいとはいえ、希望の光はある。企業の経営者がセキュリティのことを考え始めているのだ。クラウドストライクの尾羽沢氏は、CIO（最高情報責任者）やCISO（最高情報セキュリティ責任者）と会話すると「予算が厳しくてもセキュリティにだけはお金を割きたい」という声を多く聞くと話す。サイバー攻撃の被害に遭うと、出し渋った予算以上の損害が生じるという理解が広がりつつある。

　これまで経営者を悩ませてきた「セキュリティと利便性の共存」というテーマが解決に近づいていることも大きい。かつては片方を重視すればもう片方が損なわれてしまった。しかし技術の進歩によって両立できると金田氏は述べる。

　「セキュリティは『コスト』『統制』という意味が強い言葉でした。しかし生産性の向上に役立つ、ビジネスに貢献できるものに代わりました。経営の課題を直接解決できるものになります」（金田氏）

Okta Japanの渡邉崇氏（代表取締役社長）

　国内外にある関連会社の内部ネットワークを堅実に守れればグローバル展開の道が開けるし、ユーザー認証を統一すれば複数のアプリケーションに別々のアカウントでログインする手間が省ける。Okta Japanの渡邉氏によると、情報システム部門の業務の大半の時間が「パスワードを忘れた」「アカウントがロックアウトされた」という問い合わせの対応で占められているといい、シングルサインオンによって従業員と情シスの利便性を向上させられる。

　DXなどで進んだクラウド活用の文脈でも、経営への貢献に期待できる。IT環境を再考する中で、クラウド型のセキュリティ対策が注目されている。セキュリティ機器などを使った従来のレガシーな対策からクラウド型のシンプルな構成に変えることで、運用コストを抑えて新しい投資に回せる。金田氏はここ数年で費用対効果がはるかに向上していると強調する。

　AIや自動化もキーワードの一つだ。現在、CSIRTなどセキュリティ対策を管轄する部署にかかるストレスが大きいと尾羽沢氏は指摘する。専門人材が不足する中で、守っているのが当たり前、何か起きれば大目玉というプレッシャーに向き合う現状に疲弊しているという。自動化によって運用の負荷を減らすことが求められている。

　連合の3社とも機械学習やAIを活用している。ワークフローの作成や設定ミスなどの脆弱（ぜいじゃく）性の発見、バーチャルCISOなどに応用中だ。「CSIRTが1時間かかる仕事を、AIならば3分でできます」（尾羽沢氏）

「日本のセキュリティ領域で最も必要とされている」　4社連合の意義

　各社のコメントからは、もはや境界型防御では脅威を防げないということがにじみ出ている。クラウド利用が拡大して守るべき範囲が曖昧になり、サイバー攻撃が巧妙化する中で、ゼロトラストが果たす役割は大きい。そのとき「これ一つで全てをカバーできます」という対策は夢物語に近い。企業の課題に応じて適切なソリューションを組み合わせることで、効果的な対策になる。

　そこで4社連合の枠組みが力を発揮するというわけだ。セキュリティ3社のソリューションをSB C&Sが取り扱う意義は大きい。日本企業の多くはシステムインテグレーターや販売代理店を通してITシステムを導入することが多い。全国の販売パートナーと強固なつながりを持っているSB C&Sが連合にいることで、北海道から沖縄県まで全国の販売パートナーを通じてユーザー企業に適切な対策を届けられる。さらにSB C&Sはコンサルティング力があり、実装やサポートまで支援する体制が整っていると金田氏は太鼓判を押す。

SB C&Sの永谷博規氏（取締役 専務執行役員 兼 ICT事業本部長）

　「クラウドストライク、Okta Japan、ゼットスケーラーがいることで、SB C&S自身が安心感を覚えています。その安心感をお客さまに提供すべく、課題の発見からサポートに至るまで“後ろ盾”として機能します。この取り組みこそ、日本のセキュリティ領域で最も必要とされているものでしょう」（永谷氏）

　SB C&Sは、3社のソリューションを日本の企業に正しく届けるというミッションを担っている。同社には客のIT環境に合致する提案ができる「セキュリティのソムリエ」の役割を担うスペシャリスト「ソリューションSE」もいて、販売パートナーの支援を通じてユーザー企業の課題に真摯（しんし）に向き合う体制がある。

セキュリティ対策における各種機能の位置付け。SB C&SのソリューションSEは、この“地図”を基に顧客のゼロトラストジャーニーを導いている（クリックで拡大）

目指すは「ビヨンド・ゼロトラスト」（Beyond Zero Trust）

　座談会の最後に、クラウドストライクの尾羽沢氏は「社名の『クラウド』とは雲（Cloud）ではなく“群衆”（Crowd）を指します。みんなで守ろうという意図が込められています」と今回の取り組みがいかに理想的なものであるかを説明する。

　SB C&Sの事業ビジョンも「繋ぐ〜テクノロジーのチカラで、ワクワクする未来へ〜」だ。動き出した4社連合は、なるべくしてなった姿なのかもしれない。ベンダーとユーザー企業に加えて、販売パートナーやSIerまでつなげられる日本のビジネス慣習に沿ったセキュリティ対策のスキームが誕生したといえる。

　これによって生まれる成果をSB C&Sは「ビヨンド・ゼロトラスト」（Beyond Zero Trust）というキーワードで表現する。コロナ禍ではやった一過性のバズワードから抜け出して、真のゼロトラストを目指すという意味だ。4社がアライアンスを組むことで、日本ならではの取り組みをしたいと永谷氏は話す。

　「全体像を理解する人だけが適切なソリューションの図を描けます。手前みそですが、間違いなく“トップクラスのベンダー”である3社をワンストップで展開できるのでぜひご期待ください」（渡邉氏）

　企業を取り巻くIT環境が激しく移り変わる中で、有効なセキュリティ対策の一つがゼロトラストだろう。セキュリティ各社が描くゼロトラスト像が千差万別な状況で、自社に合った対策を実現するにはどうすればいいのか。クラウドストライク、Okta Japan、ゼットスケーラー、SB C&Sというドリームチームに相談すれば、広い視野と深い専門知識で答えてくれる。ゼロトラストを導入したい、セキュリティ対策をアップデートしたいと考えている企業、あるいはこの連合に参加したい企業は気軽にSB C&Sに相談してみてはいかがだろうか。

ご相談はこちら

ご相談は、SB C&SのクラウドセキュリティPJ窓口にお気軽にご連絡ください。“ドリームチーム”がお悩みの解決をお手伝いします！

• ご連絡先：SBCASGRP-cloudsec@g.softbank.co.jp
• メールの送信はこちら

オンラインセミナー開催：
Beyond Zero Trust　〜ゼロトラストに向けた現実的な第一歩〜

　注目が集まる「ゼロトラスト」を実現するには、具体的にどうすればいいのか。クラウドストライク、Okta Japan、ゼットスケーラー、SB C&Sのエンジニアを招き、昨今立ち現れてきた「本当の課題」を深堀り。メディア記事では書けない、読めない「実装のリアルと現実的な解決策」を紹介する。

• 日時：2024年4月19日（金）13:00〜14:20
• 形式：ライブ配信セミナー
• お申し込み：こちらから事前登録
• 参加費：無料