「ゼロトラストを検討せよ」と言われたら
第 1 回：情報収集はどうやる？

Aさん：B課長、先日いただいたゼロトラストの検討の件ですが、現状の報告と今後の進め方について相談させてください。自分なりにゼロトラストについて調べているのですが…

B課長：C部長から「当社としてクラウド移行を本格的に進めていくにあたり、ゼロトラストを検討せよ」と言われた件だったね。まずはAさんの調べた内容を簡単に共有してもらえるかな。

Aさん：はい。ゼロトラスト関連の書籍や、インターネットでゼロトラストについて調べていました。KDDIの解説記事 (注1) によると、『「ゼロトラスト」とは端的に言い換えると、「全ての通信を信頼しない」』とのことです。
当社のようにネットワーク境界内を安全とみなす境界型セキュリティと違い、どのようなアクセス通信でも、社内外、通信の属性を問わずに信頼を疑う (信頼をゼロベースで考える) 考え方のようです。

B課長：考え方…今までと変わるということはなんとなく分かったけど、どういったソリューションを導入すればよいのかな。以前に検討していたEDRを導入すればよいのかな。

Aさん：EDRもゼロトラストを構成する要素 (コンポーネント) の1つですが、ほかにもアイデンティティー管理するIDaaS、ネットワークセキュリティ製品のSASE/SSE、端末を管理するMDM…それ以外にも監視機能の仕組みも必要なようです。ゼロトラストは1つのソリューションを導入することで達成できるわけではないようです。

B課長：1つのソリューションを導入するだけではなく、複数のソリューションを組み合わせて実現していくのか。まだ具体的なイメージまでは湧かないけれど、Aさんは次にどうやって検討を進めようとしているの？

Aさん：次に何をやるべきか悩んでおりまして…業種によっては監督官庁や業界団体からのセキュリティガイドラインも参考となるようですが、当社においては該当する資料がありませんでした。まずはいつものようにRFIを発出して、ベンダー数社からソリューションに関する情報を提供してもらおうかと考えています。

B課長：ゼロトラストが1つのソリューションで実現できないのであれば、いきなりソリューションの情報収集から始めても整理できないんじゃないかな。過去にベンダーからソリューションを紹介されたこともあったけれど、結局、何をどこまでやればよいか判断できなかったんだよね。当社として、ゼロトラストを何のためにやるのか？そもそもゼロトラストをやるべきなのか？を検討すべきじゃないかな。

Aさん：確かにそうですね。RFIを作成するうえでも、当社の目的・ねらいを検討した方がよいですね。
IPA (情報処理推進機構) の『ゼロトラスト移行のすゝめ (注2)』に、ゼロトラスト構成に移行するための全体的な流れとして、Phase1「As-Is分析、ありたい姿の検討」とあったのですが、ありたい姿の検討をするためにも、もう少し検討材料が必要かと思います。

B課長：検討するうえで、他社のゼロトラスト導入事例を情報収集するのはどうだろうか。他社がどのような経緯・目的で、どのように実現しているか、導入しているソリューションもあわせて分かれば、当社の検討の参考になるんじゃないかな。

Aさん：よいアイデアですね。いくつかの書籍にもゼロトラスト導入事例はありましたので再度確認します。ゼロトラストを導入済みの企業に、直接話を聞いたり、質問することができると、より参考になるのですが、何かいい方法はないでしょうか。

B課長：そういえば、モバイルの打ち合わせの際に、KDDIがゼロトラストを全社に導入していると言っていたから、KDDIに自社事例を紹介してもらえないか連絡してみるよ。
以前KDDIからもらった資料に、ゼロトラストの勉強会も開催できるとあったから、ITインフラ課のほかのメンバーにも参加してもらおう。

Aさん：ありがとうございます。IPA (情報処理推進機構) の『ゼロトラスト移行のすゝめ』(注2) にも「ゼロトラスト移⾏の効果を最⼤限発揮するためには、ゼロトラストに対する担当者の理解が不可⽋」とあったので、ITインフラ課のメンバー全員で参加できると助かります。