コロナ禍を機に、社内外の人材が場所にとらわれず協業しやすい環境が急速に整備されてきました。同時に、サイバー攻撃や情報漏えいなど、増大する情報セキュリティリスクへの対応が企業にとっての喫緊の課題となっており、こういった課題を解決する方法として「ゼロトラスト(誰も信用しない)」が注目されています。

ゼロトラストの真の意義や価値は何か、いかにして企業の成長に貢献するのか―。KPMGコンサルティング株式会社(以下、KPMG)のパートナー、薩摩 貴人とゼットスケーラー株式会社(以下、Zscaler)のエバンジェリスト&アーキテクト、高岡 隆佳氏との対談を通して解説します。

経営陣がゼロトラストを理解する重要性

Q:ゼロトラストの定義を教えてください。

薩摩:まず「相手をトラストするなら、適切なアセスメントを行い、リスクを許容または受容する」というのは、情報セキュリティの原則です。そういった意味で、文字どおり「トラストしない」というゼロトラストは、情報セキュリティの本質を突いています。

従来の日本企業では「社内ではセキュリティリスクがない」「運用システムに携わっている人が悪意ある行動をするはずがない」といった性善説に終始し、セキュリティ対策や監視がないがしろにされる傾向が強くありました。ただ、昨今は「(組織を含め)あらゆる場面で聖域を設けず、トラストしない」という前提に立った情報セキュリティを実践する必要性が急速に高まっています。いわば、今はまさに転換点に立っていると思います。

高岡氏:薩摩さんの考え方をいざ実践するとなると、ベンダー側が自社の「得意」な領域を切り取って製品を勧めたり、それを聞いた顧客が「製品を導入すればゼロトラストが実現できる」と誤解したり、話が矮小化するケースがあるようです。

NIST(米国立標準技術研究所)が示す「ゼロトラスト・アーキテクチャ」に立ち返ると、ゼロトラストはネットワークやアーキテクチャのような部分的な話にとどまらず、各企業が「なぜトラストする範囲をコントロールしたいか」「その基準やそれを実現するために必要な要素技術は何か」という全体を包括した話だと理解できます。「こうしなければゼロトラストではない」ということではなく、各社のビジネス戦略や業務上求められる信頼のレベル、リアルタイムのリスク対応が本当に必要か、といった点を含めて整理し、アーキテクチャに落とし込んで実践していくものだと言えるでしょう。

対談写真:高岡氏、薩摩、岡崎氏

左から、高岡氏、薩摩、岡崎氏(グローバルビジネスハブ東京で撮影)

対談写真_KPMG 薩摩

KPMG 薩摩(グローバルビジネスハブ東京で撮影)

Q:経営陣はどのような視点でゼロトラストを理解する必要がありますか。

薩摩:たとえば昨今、経済安全保障が話題になっています。政治的に国家間の緊張状態が続いている地域もあれば、安全保障の観点から警戒すべき国や地域も存在しています。一方、ビジネスにおいては、そうした国や地域ともサプライチェーンでつながっており、「トラストできないから即排除する」とは簡単に言えない実情もあります。そうした状況をふまえ、経営陣には「経済安全保障上トラストできないとされる相手といかに安全に仕事を続けるか」という発想が求められています。これがまさに経営陣がゼロトラストを考える原点であり、実装を検討する上での出発点になると思います。

情報セキュリティ上のアセスメントは社内でも必要になってきています。自社の従業員はもちろん、委託社員や派遣社員、出向社員、外部委託先など、異なる立場の人が社内の情報にアクセスする可能性がある時代にあって、さまざまな立場の人を「トラストできないこと」を前提に、「どこまでトラストできるか」を考えることが不可欠です。

高岡氏:経営陣に理解してほしいのは、「何のためのゼロトラストか」「ゼロトラストを活用し、企業として何をしたいのか」を明確にして社内インフラチームにゼロトラストのミッションを託す必要がある、ということです。経営陣がゼロトラストに感じるメリットは、サイバーリスク削減の観点で、たとえばリモート業務が主流となる中での攻撃表面を削減する「脱VPN」のため、もしくはオンプレミスに依存しないインフラ移行におけるITシンプル化、そして社内外での安全な業務実現による生産性向上、という3つのうちいずれかだと思います。

そうした実装のスコープやスピード感、経営戦略を明確にした上で予算化ができていれば、社内インフラチームは「何をすべきか、運用をどう変えるべきか」が見えてくるものです。単にゼロトラスト化を命じるのではなく、そのような点を押さえておくことが正しい実装やベンダー任せにならないゼロトラスト推進につながると考えます。

対談写真_Zscaler社 高岡氏

Zscaler社 高岡氏(グローバルビジネスハブ東京で撮影)

ゼロトラストをめぐる理解のギャップを埋めるには

Q:企業では、すでにゼロトラストのプロジェクトが始まっていたり、構想段階で停滞していたりするケースがあると思いますが、現場が抱えている問題点は何でしょうか。

高岡氏:経営戦略上のゴールが見えているかどうかは大きなポイントだと感じます。ゼロトラストは一貫した解がなく、取り組む企業にとっては初挑戦のプロジェクトになるものです。社内インフラも運用方法も業務の進め方も、すべてを変えることになるので、マインドセットが変えられるかどうかは問題点になりやすいのではないでしょうか。

薩摩:経営陣の期待と現場が目指していることが乖離していたり、現場から経営陣に向けて「ゼロストラストとは何を意味するか」を説明できていなかったり、といったケースは非常に多く見受けられます。技術実装のことしか話されておらず、あるいはゼロトラストが世の中で騒がれているので導入を決めたもののその意味を理解しきれず前に進まない、といった声も聞こえてきます。

目指すべきことの本質は「すべての人がトラストできないという前提に立ち、通信やアクセス、何らかのアクションをすべて監視していく取組み」にあります。案外シンプルな話だと思われるかもしれません。ゼロトラストという言葉を用いなくても説明可能なはずですが、ひとたび「ゼロトラスト」という言葉が出てくると、実体が見えないためか、途端に何だかよくわからなくなる、という状態に陥ってしまいがちです。

Q:経営陣と現場、ステークホルダーの間に生じたギャップを埋めるには、どういった行動や思考が必要でしょうか。

薩摩:業界側が社会全般に対し、ゼロトラストの正しい理解を広めていく努力が必要だと思います。ベンダー各社でとらえ方が違うという現状は、顧客の誤解や理解のギャップに拍車をかけてしまう可能性があります。ベンダー教育や周知活動が有効ではないでしょうか。

高岡氏:業界内では多くがNISTの発表を注視しているので、それが解だと考える傾向がありますが、一部の切り取りや拡大解釈するケースも見られます。そうした情報に触れた経営陣らが混乱することは十分に考えられます。当社としては、ゼロトラストのプロジェクトを開始する際、「2010年代に米国防総省がゼロトラストというコンセプトを掲げ、NISTがアーキテクチャに落とし込み、拡大解釈が各所で進んだ」という歴史を伝えた上で、ゼロトラストに何を求めるか、問いかけつつ進めるようにしています。

プロジェクトを進めていく際には、経営陣が主導するパターンと現場のインフルエンサーや代表的な人物が調整していくパターンがあり、後者のそういった存在は推進力になり得ます。どちらもいない場合は、ロードマップが描けずプロジェクトが停滞しがちなので、コンサルタントを頼るのも1つの方策でしょう。

薩摩:コンサルティング会社であるKPMGもゼロトラストについて話す際、「アーキテクチャやネットワークといった技術実装の話に偏っているか、全体像の話をしているか」を文脈から読み取り、誤解が起きないよう、情報を整理しています。組織内で優秀なリーダーになる人材を見極め、主体的にプロジェクト運営をしてもらいながら必要なサポートをする、という流れで進めています。

ゼロトラストとは本質的な議論であり、一過性ではない将来にも続くセキュリティの考え方です。そのため、組織内のリーダーはもちろん、私たちのような専門家も共通理解のもとでコンサルティングや実行ができるよう、社会的実装を作っていく必要があると思います。

お問合せ