自社の経験を通したゼロトラストモデルの
海外展開における障壁と成功のカギ

海外展開の背景や課題はお客さまごとに様々ですが、代表的なものは以下の3点が挙げられます。

まず、近年の動向として、巧妙なサイバー攻撃への対応がますます重要になっていることが挙げられます。企業の海外拠点は特に標的となる場合があり、情報漏えいリスクが高まっています。

次に、海外拠点におけるIT技術人材不足が挙げられます。海外拠点の社内SEやセキュリティ担当が不足しているため、各海外拠点のセキュリティ強化を実施するために、国内拠点のIT部門の負担が増加しています。

最後に、日本からのITガバナンス強化の必要性が挙げられます。各海外拠点のIT環境やセキュリティの状況をすべて把握できていない場合、ガバナンスが確保できず、セキュリティリスクが増加します。

これらの理由により、海外拠点でのゼロトラストの導入を進める企業が増加しています。

次に当社がグローバルでゼロトラストを展開するにあたり、ぶつかった障壁をご紹介します。

まずは、海外拠点ごとに有する制約の存在です。拠点ごとに異なる「個人情報保護法」への対応や、拠点ごとに異なる既存セキュリティポリシーへの対応の必要がありました。

次に、プロジェクト自体の進め方が国内拠点と海外拠点では大きく異なる点です。海外拠点は、IT専門の担当者がいないことや、紛争をはじめとする政治的要因でスケジュールの遅延が頻繁に発生します。また、拠点担当者の技術スキルに差があることや、長期休暇期間や繁忙期のタイミングによる影響もありました。

最後に、グローバルでの運用についてです。ゼロトラストを導入するためには、今までよりも多くの複数セキュリティサービスを導入する必要があるため、あらかじめグローバルでの運用を見据えた設計を行う必要がありました。

ご存じの方もいらっしゃるかもしれませんが、ゼロトラストの肝はログ収集といっても過言ではありません。その収集されたログ情報は個人情報そのものです。ヨーロッパの個人情報保護に関する規定「GDPR (注)」は有名ですが、他の国にも似たような法規制が存在します。

それらの法規制に対応するために、システムを構築する前の段階で利用するログや個人情報の発生イベントから、データの流れを事前に把握する必要があります。

個人情報データの出元と保存先を越境観点で整理した上で、各国の最新の法律事情を確認。その情報を基に各国の個人情報保護法への対応方針を策定し、システムの全体像を反映させました。

最後に、グローバル展開の成功のカギをプロジェクトベースで解説します。

まずグローバル展開を進めていくにあたり、設計構築や運用はもちろん重要ですが、最も重要な部分は構想策定から展開計画の立案という準備段階です。

構想策定では、各国のシステム構成に関する現地調査やアセスメント、実際の現地拠点との事前の方針合意、法規制の方針検討が重要となります。

要件定義では、各国個別の要件を確認しつつグローバルの標準構成 (パッケージのようなもの) と各国のシステム構成を事前に合意し、標準構成の検証を行います。

展開計画では、日本国内のプロジェクトとは異なり、グローバルプロジェクトならではのスケジュール変更のリスクが多く存在します。そのため、スケジュール変更ありきでプロジェクトを推進することが重要です。実は当社がプロジェクトを展開していた際にロシア・ウクライナ戦争が開戦したため、深刻な半導体不足が発生しました。納期が大きくずれたものの、プロジェクトの初期段階で想定外のケースについての対応方針を決めていたため、プロジェクトを継続することができました。

KDDIでは、国内だけではなくグローバルでのゼロトラストの展開経験や他社導入事例を有しており、お客様の個別の要件に合わせてコンサルティングやプロジェクトの支援が可能です。ゼロトラストのグローバル展開を検討されている方は、ぜひお問い合わせください。