このページはJavaScriptを使用しています。JavaScriptを有効にして、または対応ブラウザでご覧下さい。

閉じる
閉じる
閉じる
「ゼロトラストを検討せよ」と言われたら第 1 回:情報収集はどうやる?
ゼロトラストブログ vol. 09

「ゼロトラストを検討せよ」と言われたら
第 1 回:情報収集はどうやる?

2024 4/1
お客さまへKDDIのゼロトラスト導入事例をご紹介する際や、ITインフラ構想策定支援 (ITインフラコンサルティング) の依頼をいただく際、お客さまから「ゼロトラストを導入したいがどのように検討を進めればよいか分からない」「ゼロトラストを導入中だが今の進め方で問題ないのか自信がない」といったご相談をいただくことがあります。本記事では、ゼロトラストについてどのように検討を進めていけばよいか、進め方の一例をゼロトラスト推進部の茶木が会話形式でご紹介します。全3回を予定しており、今回は「情報収集編」です。本記事をご覧いただくことで、ゼロトラストを検討する際の一助となれば幸いです。

登場人物紹介

Aさん:B課長先日いただいたゼロトラスト検討の件ですが、現状報告今後の進め方について相談させてください。自分なりにゼロトラストについて調べているのですが…

B課長:C部長から「当社としてクラウド移行本格的に進めていくにあたり、ゼロトラスト検討せよ」と言われた件だったね。まずはAさんの調べた内容簡単共有してもらえるかな。

Aさん:はい。ゼロトラスト関連書籍や、インターネットゼロトラストについて調べていました。KDDIの解説記事 (注1) によると、ゼロトラスト」とは端的に言い換えると、「全ての通信信頼しない」とのことです。
当社のようにネットワーク境界内安全とみなす境界型セキュリティと違い、どのようなアクセス通信でも、社内外通信属性を問わずに信頼を疑う (信頼ゼロベースで考える) 考え方のようです。

B課長:考え方…今までと変わるということはなんとなく分かったけど、どういったソリューション導入すればよいのかな。以前検討していたEDRを導入すればよいのかな。

Aさん:EDRもゼロトラスト構成する要素 (コンポーネント) の1つですが、ほかにもアイデンティティー管理するIDaaS、ネットワークセキュリティ製品のSASE/SSE、端末管理するMDM…それ以外にも監視機能仕組みも必要なようです。ゼロトラストは1つのソリューション導入することで達成できるわけではないようです。

B課長:1つのソリューション導入するだけではなく、複数ソリューションを組み合わせて実現していくのか。まだ具体的イメージまでは湧かないけれど、Aさんは次にどうやって検討を進めようとしているの?

Aさん次に何をやるべきか悩んでおりまして…業種によっては監督官庁業界団体からのセキュリティガイドライン参考となるようですが、当社においては該当する資料がありませんでした。まずはいつものようにRFIを発出して、ベンダー数社からソリューションに関する情報提供してもらおうかと考えています。

B課長ゼロトラストが1つのソリューション実現できないのであれば、いきなりソリューション情報収集から始めても整理できないんじゃないかな。過去ベンダーからソリューション紹介されたこともあったけれど、結局、何をどこまでやればよいか判断できなかったんだよね。当社として、ゼロトラストを何のためにやるのか?そもそもゼロトラストをやるべきなのか?を検討すべきじゃないかな。

Aさん:確かにそうですね。RFIを作成するうえでも、当社目的・ねらいを検討した方がよいですね。
IPA (情報処理推進機構) の『ゼロトラスト移行のすゝめ (注2)』に、ゼロトラスト構成移行するための全体的な流れとして、Phase1「As-Is分析、ありたい姿の検討」とあったのですが、ありたい姿の検討をするためにも、もう少し検討材料必要かと思います。

[図 2-1 ゼロトラスト構成へ移行するための全体的な流れ] Phase1:As-is分析 ありたい姿の検討、Phase2:グランドデザイン作成、Phase3:投資判断、Phase4:環境構築、Phase5:検証・改善

B課長検討するうえで、他社ゼロトラスト導入事例情報収集するのはどうだろうか。他社がどのような経緯目的で、どのように実現しているか、導入しているソリューションもあわせて分かれば、当社検討参考になるんじゃないかな。

Aさん:よいアイデアですね。いくつかの書籍にもゼロトラスト導入事例はありましたので再度確認します。ゼロトラスト導入済みの企業に、直接話を聞いたり、質問することができると、より参考になるのですが、何かいい方法はないでしょうか。

B課長:そういえば、モバイルの打ち合わせの際に、KDDIがゼロトラスト全社導入していると言っていたから、KDDIに自社事例紹介してもらえないか連絡してみるよ。
以前KDDIからもらった資料に、ゼロトラスト勉強会開催できるとあったから、ITインフラ課のほかのメンバーにも参加してもらおう。

Aさん:ありがとうございます。IPA (情報処理推進機構) の『ゼロトラスト移行のすゝめ』(注2) にも「ゼロトラスト移⾏効果最⼤限発揮するためには、ゼロトラストに対する担当者理解不可⽋」とあったので、ITインフラ課のメンバー全員参加できると助かります。

ゼロトラスト検討に向けた情報収集の重要なポイント

ゼロトラスト検討を進めるにあたり、情報収集イメージは湧いてきましたか?続いて、情報収集を進める中で特に重要ポイントを2点ご紹介します。

最後に

KDDIは、自社事例他社事例をもとに、ゼロトラストがどのような経緯目的で、どのように実現しているか、その実現にあたって、どのようなソリューション導入されているかをご紹介することができます。ゼロトラストをこれから検討される際、今の進め方に不安を抱えられている場合など、何かお困りごとがあるお客さまは、ぜひ、弊社までお声がけください。

次回は「第2回:自社に何が足りない?」と題し、ゼロトラスト検討するうえでの現状評価分析についてご紹介いたします。

プロフィール画像

執筆者プロフィール

茶木 隆輔 (ちゃき りゅうすけ) [関連する保有資格:CISSP (注3)、CCSP (注4)]
アプリケーション開発、サーバー構築など幅広くIT・サイバーセキュリティ関連業務に従事後、2022年3月にKDDIへ入社。現在は、ITインフラの構想支援やゼロトラスト導入に関するコンサルティング業務、セキュリティのアセスメントサービスの企画・実施業務を担当。大手総合電機メーカー、大手専門商社等、業界問わずITインフラのコンサルティングを実施。
  • 注3) CISSP (Certified Information Systems Security Professional)
  • 注4) CCSP (Certified Cloud Security Professional)

本サービスへのお問い合わせ

KDDI 法人営業担当者が、導入へのご相談やお見積もりをいたします。
何かご不明な点があればお気軽にお問い合わせください。

ホワイトペーパー

最新のイベント・セミナー情報



ピックアップ