対談の最終回となる本稿では、ゼロトラスト化に向けた理想的なステップや留意点、プロジェクトをリードする人材像について、KPMGコンサルティング(以下、KPMG)のパートナー、薩摩 貴人とゼットスケーラー(以下、Zscaler)のエバンジェリスト&アーキテクト 高岡 隆佳氏の対談を通して解説します。
ゼロトラスト化の理想のステップは
Q:企業のデジタル環境を「守る」だけではなく、「攻め」の土台としてゼロトラストを実践するにあたり、理想的なステップはどのようなものですか。
薩摩:大企業ほど既存のインフラやネットワーク環境に制約を受けるケースが多いですが、そういった中でも「現状のネットワークを使いつつ、それとは別にゼロトラストを実現する環境を作り、将来的に全面移行する」という構想のもと、いわば「スモールスタート」でゼロトラスト化に着手する先進的な企業が増えています。
まずサブセットを作り、ビジネス要件やセキュリティ要件を満たしていると確認できた段階で本格的に移行する、という方法は合理的ですが、そうした取組みを実行するには、経営側の英断が不可欠です。「コストをかけてゼロトラスト化するのか、既存の環境で可能な範囲でビジネスを続けるか」という意思決定は重要かつ困難な経営判断になるでしょう。
高岡氏:ゼロトラスト化で最も大切なのは、トラストする相手に対する認証・認可のコントロールを徹底することと、人材の異動や職位の変化に伴う認証・認可のメンテナンスを厳密に行うこと、と言えます。認証・認可のコントロールさえしっかりしていれば、そのポリシーに基づき、Zscalerの製品でも自動的にAPIによる連携でセキュリティ・コントロールができるので、たとえば個々のログを監視するのはSOCに任せることも可能になります。そのような形で、自動化が隅々まで確実に行き渡るのであれば、管理する部分は限定的になり、迅速に物事を前に進められるようになります。
Q:ゼロトラストのプロジェクトを推進する上で、「誰にかじ取りを任せるか」という判断やチーム編成について注意点はありますか。付与すべき権限や検討すべきポイントについても教えてください。
高岡氏:多くの企業では、従来、インフラに関することはITチームが中心になって決めてきたと想像します。そうした状況から、「ビジネス要件として何が必要か」という課題に沿って、経営企画やビジネス、業務といった各部門を巻き込んで考えるという方法へ変えていかねばなりません。つまり、今までネットワークやセキュリティありきでシステムを作り業務に落とし込んでいたところから、発想を大きく転換させる必要があります。
また、一度トラストした相手だったとしても、その状態を保ったままでよいのか、見直す機会を持つことと、その際の判断材料を明らかにすることも重要です。たとえば「どのような状況ならユーザーのアクセスを排除するのか、端末間の通信を切断するのか」といったことを決めておく必要が出てきます。
このようなことを決めるとなると、サイロ化した組織では対応できないでしょう。ネットワークセキュリティやインフラに携わる人だけではなく、社内横断的にコミュニケーションできるかどうか、がゼロトラスト化の成功を左右する要因になります。横断的なコミュニケーションを促し続けるリーダーがいるか、そういった組織を作れるか、が大きな分岐点になるでしょう。
薩摩:知恵を絞って「自分達が本当に取り組みたいことは何か」をしっかり考えることが、企業はもちろん、私たちのようなコンサルティング会社にも求められていると感じています。そうして取り組むプロジェクトの中で、「ゼロトラスト」という言葉が議論の阻害要因になるのであれば、あえてその言葉を用いずとも実質的なゼロトラスト化は可能だろう、と考えています。かくいう私も最近は「ゼロトラスト」という言葉をあえて使わないようにしています。
たとえば、「迅速にビジネスを拡大する」という目標において「かつセキュアに実現する」という課題が与えられた場合に、ゼロトラストのアーキテクチャやベストプラクティスがその解を与えてくれる可能性があり活用を検討することはお勧めしますが、そこで声高に「ゼロトラスト」を叫ぶ必要はないということです。
ゼロトラスト成功のポイントは
Q:ゼロトラストのプロジェクトを成功させるために不可欠な要素を挙げてください。
高岡氏:「企業として何がしたいかを明らかにすることが不可欠だ」ということに尽きます。ゼロトラストに求めるものを経営層が明確に発信するべきで、さもないと、プロジェクトは空中分解して終わってしまうものです。一方、現場は経営層が示したゼロトラストに求めるものやそのメリットを理解した上で、自分達がどう動くべきか、何を変えるべきか、理解する必要があります。
同時に、従業員側は自分の目が届く範囲だけを見るのではなく、企業の最終的なゴールを認識することも求められます。ゼロトラストはインフラ全体の課題であり、経営戦略に直結している、と意識を変えられるかが重要なポイントです。
薩摩:ゼロトラストとは少し焦点をずらして紐解いてみてもよいかもしれません。昨今、自動車会社や家電メーカーは製品自体だけでなく、付帯するさまざまなサービスを提供しています。消費者の立場で使い勝手がよい面はあるのですが、サービスごとにユーザー登録が求められ、それぞれに個別のIDが付与されるケースが少なくありません。消費者としては、各サービスで利用するIDが統一されていたほうが、はるかに便利だと感じるはずです。
一方、企業側も現状ではそれぞれのサービスで得られるデータが共有化できないので、データを活用した新しいサービスを提供したり、サービスの改善ができなかったりという課題があり、機会損失の状態だと考えられます。こういった話が出てくると、技術的な観点からIDを統合する話が持ち上がることが多いですが、「何のメリットがあるのか」と、ビジネス側の理解が得られないことが多々あります。「サービス提供は問題なく進めているので、手間や負担をかけてまでID統合をしたくはない」というわけで、これはまさに組織がサイロ化している証左だと言えます。
組織内に広がるこうした考え方に対し、「今のままでは利便性が低いので、組織の枠を超え顧客優先で進めていこう」とリードする人材が今まさに求められているのではないでしょうか。そうした人材は非常に限られており、おそらくCIO(最高情報責任者)やCISO(最高情報セキュリティ責任者)がその役割を担うことになると思います。
「ゼロトラストを実現すると企業全体としてはメリットがあることはわかっていても、各現場がメリットを理解できず、移行の負担を避けたがるがゆえに変革ができない」という構図は、DXの推進やクラウドの導入と似ていると感じます。消極派を説得して変革を実現するには、やはり多大なパワーが必要でしょう。何としても断行する、という突破力、経営のリーダーシップは、ゼロトラスト化においても不可欠な条件ではないでしょうか。