前回の対談 では、ゼロトラストが今や経営戦略上、不可欠の概念になってきたことが議論されました。連載2回目となる本稿では、KPMGコンサルティング(以下、KPMG)のパートナー、薩摩 貴人とゼットスケーラー(以下、Zscaler)の金融・社会インフラ事業本部本部長 岡崎 修二氏との対談を通じ、ゼロトラストが企業の成長にもたらす可能性について、事例を交えて解説します。
企業間コラボレーションの潤滑油
Q:ゼロトラストの実践によって、企業はどういったメリットを得ることができますか。
岡崎氏:近年、金融業界にも新興企業や異業種が活発に参入しており、メガバンクですら将来安泰とは言えなくなっています。生き残りのためには、異業種との連携でビジネスを拡大する必要があり、クラウドの活用やサードパーティと連携しやすいプラットフォームやITインフラへの移行が不可欠です。
ある大手証券会社がゼロトラストに舵を切った背景には「外部事業者と連携をしようとした際、自社の顧客データベースがまるで“殻に閉じこもった状態”だと知り、構想していたことが実現できないと危機感を覚えた」ことがあったようです。将来のリスクも見据え、サプライチェーン拡大のためにも戦略的にゼロトラスト化を決断した、ということでしょう。
左から、薩摩、岡崎氏(グローバルビジネスハブ東京で撮影)
KPMG 薩摩(グローバルビジネスハブ東京で撮影)
薩摩:私自身も金融セクターを担当しており、そういった状況は想像できます。金融機関からは、「(リモートワークをはじめとする)自由な働き方の実践が必須」という前提で「オンプレミス経由の認証からクラウドに直接アクセスする仕組みに切り替えたい」といった要望が増えています。
実際にオンプレミス経由ではさまざまな制約を受けるだけでなく、多数の社員がネットワークにアクセスすることで生じるキャパシティオーバーの問題やインターネットからの接続点の脆弱性を突かれて攻撃を受ける危険性もあります。これらを回避するためにも「脱VPNをきっかけにゼロトラスト的な仕組みを取り入れたい」と考えるのは自然なことでしょう。ただ、本来的なゼロトラストの価値にまで目が向いておらず、本質的な概念を理解するには至っていない、という感が否めません。
岡崎氏:せっかくクラウド中心に活用すると決めても、既存のデータセンター間とクラウドを専用線で繋ぎプライベート・データセンターのようにしか使えていないことは少なからずあります。「クラウド活用戦略にゼロトラストの概念が加わるとDXをより推進しやすくなるメリットがある」と、気づいてもらえるように促す必要がありますね。
一方、そのメリットに気づいた企業にとって、ゼロトラストは他社との差別化要素になり得ます。国際的にはビジネス先行でゼロトラストを導入している企業が多く、新規サービスのリリースのスピードは格段に上がってきています。この違いが中長期的な企業体力や成長性の差につながりかねません。当社としてはゼロトラストについて、ネットワークやセキュリティの議論に終始するものではないことを伝えるだけではなく、一歩踏み込んだ発展形を示していきたいと考えます。
Zscaler社 岡崎氏(グローバルビジネスハブ東京で撮影)
Q:ゼロトラストを活用し、連携企業同士が保有するデータを共有・融通し合う例があるようですが、こういった取組みはコスト面で企業にどういったメリットをもたらしますか。
岡崎氏:たとえば、製薬業界の競争は年々激化しており、R&D(研究開発)をはじめ、投資額も高額化しています。一社単独でビジネスを続けることは難しくなってきており、「ある特定の領域では競合だが、別の領域では協業関係」という戦略が採られるようになってきました。そうなると、現場では「ネットワークは統合しないまでも、ある一定のデータベースやアプリケーションは共有したい」という考えが生まれます。こうした時、ゼロトラストが土台になっていれば、より連携しやすくなり、結果的に創薬や研究のスピードを加速させることができます。
薩摩:確かに、そういった形で本当の意味でのゼロトラストが実践されれば、非常に規模が大きく、スピード感のある展開が可能になるでしょう。インフラの制約を受けないのは大きなメリットです。今後、製薬業界に限らず、金融やその他の業界でも同様の動きが起きるのではないでしょうか。
ゼロトラストを活用したDXが変革する企業活動
Q:ゼロトラストが広がると、M&Aなど従来の企業活動の目的やモチベーションにも変化が起きるでしょうか。
岡崎氏:製薬会社の例に限らず、今後はあらゆる企業が生き残りをかけ、国内外間で合併・統合・連携や分離を繰り返す時代になるでしょう。新しいビジネスをどう作り、いかにその推進スピードを上げるか、という局面でゼロトラストは1つの鍵になるはずです。昨年米ラスベガスで開催した当社のイベントでは、多くのセッションが「M&Aや企業連合・連携におけるゼロトラストの活用法」といったテーマを掲げ、注目を集めていました。
薩摩:買収した企業の資産や技術を迅速に活用するには、自社と買収先企業とのつなぎ込みが素早くできなければなりません。M&Aを活発に行う企業であれば、被買収会社がコンセントをつなぐと一体化が完成するような環境が理想的ですが、その際にゼロトラストのコンセプトで土台ができていればセキュアにつなぎ込めることが期待できます。
一方、気になるのが大企業の動向です。多くの大企業では上図のようにデータセンターが中心に据えられた従来型のアーキテクチャが基本形としてあり、そこに本社や各拠点、インターネットが繋がるという構造でしたが、近年はクラウドサービスやサードパーティが接続されることでインフラ環境がより複雑化しています。そのため、いざゼロトラストの導入を検討するにあたっては、既存のインフラ環境に手を入れられずに頓挫するケースも珍しくなく、新たにゼロから環境を構築してトランスフォーメーションする戦略を採る企業も増えていると感じています。
岡崎氏:トランスフォーメーションのきっかけは「基幹システムや基盤インフラのEOLや減価償却完了などで交換時期が迫っているのでアウトソースを検討したい」といったことが多いです。ただ、話を聞いてみると、同時並行で各部門がSaaSやIaaSを使い始め、IT部門管理外で独自の検証環境を作るなど、セキュリティ・ガバナンスが効かず混乱している、という実態が明らかになってきます。そうした課題をひも解いていくと、多くの場合「インターネットベースのゼロトラストに移行した方が管理性、将来性、コストメリットや利便性がある」という話に着地します。
薩摩:トランスフォーメーションの観点では、セキュリティ監視の高度化もきっかけとなることが増えています。親会社を頂点に多くの子会社や関連会社がある中で、監視ログの粒度や監視している範囲が違うなどセキュリティ・ガバナンスの整合性が取れていない、といった課題を抱える企業から、グループ全体のセキュリティレベルを標準化するためにSOC(Security Operation Center:サイバー攻撃の検知・分析、対策を講じる組織)を一元化したいという相談を受けることが増えてきました。
従来のデータセンター中心の考え方では全ネットワークを集約する必要があり、規模が大きいほど困難を極めましたが、最近は各拠点からインターネットにさえ出られさえすればクラウド上で監視を一元化できるようになりました。ただ、それを「ゼロトラスト」と呼べるのかについては疑問が残ります。
岡崎氏:やはり単なるネットワークセキュリティの一環としてではなく、新しいビジネスをどう作っていくか、そのための土台をゼロトラストでどう構築するか、という方向に話を進めたいですね。
