ゼロトラストセキュリティー(ゼロトラスト)の導入を考える企業にとって整備の対象となる要素には、「ユーザー認証とアプリケーションのアクセス認可」「インターネット中心の接続環境」「安全なモバイルデバイス活用」「ログの取得分析と可視化」などがある。

 これらすべての要素を一度に整備するのは非常にハードルが高い。また、こうしたソリューションは利用ユーザー数やデバイス数に応じて課金されるものが多く、同時期に複数の要素を稼働させると相応のコストがかかる。そのため、企業システムにゼロトラストを導入する際は当初から完全な対策を目指すのではなく、効果のありそうなところから段階的にセキュリティーを固めていくのが現実的だ。

 下図にゼロトラストの導入検討ステップを5段階でまとめた。ここでは、上流工程の「Step1」「Step2」を重点的に解説する。ゼロトラストは広範な技術・製品を含むコンセプトである一方で、「これがゼロトラストだ」というまとまった定義はない。そのため、「自社はゼロトラストで何を実現したいのか」をしっかり整理し、上流工程を固めておかないと導入がうまくいかないためだ。

企業でゼロトラストを検討する際の5段階ステップ
(図は筆者作成)
[画像のクリックで拡大表示]

働き方のコンセプトと現行インフラの課題整理

 まず念頭に置いておきたいのは、ゼロトラストはあくまで手段であって、導入することそのものが目的ではないこと。自社で実現したい将来の働き方やユーザーが得るべきメリットを、目標として明確にしよう。それらを満たすために何が必要か逆算して、実装すべきセキュリティー基盤を描いていく。

 情報システム部門が主導してセキュリティー対策などを検討する場合は、現行システムの問題点や技術動向の整理を基に、望ましいシステム構成を描くことが多い。しかし、このように現在の問題を起点に考えていると、ゼロトラストのような長期的な視野に基づいて導入すべき複雑な技術の実装は難しい。将来的にどんな仕事環境を実現したいか、そのためにどんな情報システムが必要かという、未来を起点にした設計のほうがうまくいく。

 「自社で実現したい将来の働き方」を描くには、まず営業部門、エンジニア、本社スタッフ、社外パートナーなどの登場人物にヒアリングし、それぞれ情報を取り扱う際の課題は何かまとめよう。取りまとめの際は「これが自社の課題である」ことを明確に意識できるよう、抽象度を上げ過ぎないように注意したい。抽象度を高くし過ぎると、切実な課題もただの一般論になってしまうことがある。ここで抽出した課題の解決が、将来の職場環境に移行するための1つの動機付けとなる。

この先は日経クロステック Active会員の登録が必要です

日経クロステック Activeは、IT/製造/建設各分野にかかわる企業向け製品・サービスについて、選択や導入を支援する情報サイトです。製品・サービス情報、導入事例などのコンテンツを多数掲載しています。初めてご覧になる際には、会員登録(無料)をお願いいたします。