「ゼロトラストを検討せよ」と言われたら
第 2 回：自社に何が足りない？

Aさん：先日、KDDIにゼロトラスト勉強会を開催してもらって、ゼロトラストの概要や用語、必要な取り組みについて理解できました。
ゼロトラストは、どのような通信でも、社内外、通信の属性を問わずに信頼を疑う (信頼をゼロベースで考える) 考え方であること、1つのソリューションを導入するだけではなく、複数のソリューションを組み合わせて実現していく必要があることが、KDDIの事例や構成、ソリューションの選定理由を聞いて、改めてイメージできました。

B課長：KDDIのゼロトラストモデル化に踏み切った背景や、ゼロトラストモデル検討にあたり重視したポイントも聞けて参考になったね。ゼロトラストの概要や、コンポーネント (構成要素) の理解が深まったところで、次はどうやって進めようか。

Aさん：IPA (情報処理推進機構) の『ゼロトラスト移行のすゝめ (注1) 』に、ゼロトラスト構成に移行するための全体的な流れとして、Phase1「As-Is分析、ありたい姿の検討」とありました。「As-Is分析」として、自社の現状把握をしていこうと思います。

B課長：自社の現状把握はどうやって進めようか。課のメンバーで集まって、課題点をあげてもらうやり方もよいけれど、検討観点の漏れがありそうかな。

Aさん：検討観点の漏れがないように、サイバーセキュリティのフレームワークやチェックリストなどの第三者観点で整理されたアセスメント (現状評価・分析) を実施しようと思います。

B課長：アセスメントといっても、我々の取り組みに合ったものを実施したいね。以前、別の機会に、セキュリティアセスメントを実施したときは、いくつかセキュリティリスクを指摘されたけれど、何から対策すべきか判断できず、アセスメント実施後に改善活動につなげることができなかったんだよね。また、ゼロトラスト移行に関する検討を早めに進めたいから、予算化する前に短期間でやる方法はないかな。

Aさん：おっしゃるとおりですね。アセスメントや現状評価方法について調べる中で、経済産業省の『サイバーセキュリティ経営ガイドラインと支援ツール』(注2) や、IPAの『5分でできる！情報セキュリティ自社診断』(注3) を使った自己診断も検討しました。
ただ、経営目線であったり、サイバーセキュリティ全般に対する評価であったり、ネットワーク、ITインフラのゼロトラスト移行に向けた現状評価・分析としては、直接的に生かすことは難しそうだと感じました。できれば、自分たちだけでなく、外部の知識・力を借りたいと思っています。

先日紹介されたKDDIの『ゼロトラスト成熟度アセスメント』(注4) は、ゼロトラストの考えに基づいたサイバーセキュリティリスクの現状評価を1カ月程度の短期間で定量評価されるようです。
また、対策の優先度や実施後の効果も提示されるとのことです。
まずはKDDIの『ゼロトラスト成熟度アセスメント』から取り組みたいと思いますが、いかがでしょうか。

B課長：それはよさそうだね。KDDIの『ゼロトラスト成熟度アセスメント』はどういう判断基準で評価されるのかな。

Aさん：米国NIST『Cyber Security Framework』(注5) や、米国CISA『ゼロトラスト成熟度モデル』(注6) を基に、KDDIのノウハウを加えた評価がされるようです。

B課長：アセスメントはどのように実施するのかな？今の時点では、あまり時間をかけすぎないやり方がよいね。

Aさん：50問程度のアセスメントシートを記入する形式のようです。KDDIからヒアリング形式での実施も可能なようですが、課のほかのメンバーにも確認しつつ進めたいので、まずは社内で確認し、記入をしようと思います。

Aさん：まずはゼロトラストの中心となるアイデンティティー管理から対策を進めることがセオリーのようですが、当社の事情を鑑みた優先順位の整理が必要ということがわかりましたね。

B課長：提示された簡易なロードマップや他社動向も参考に、具体的な改善策の検討が必要だね。直近の施策は検討できそうだけど、中長目線では、サイバーセキュリティ観点だけでなく、当社の経営方針にあった検討もしなくてはいけないね。

Aさん：おっしゃる通りですね。緊急性の高いサイバーセキュリティリスクに対する施策は進めつつ、中長期の計画は、引き続き検討しようと思います。KDDIによる『ゼロトラスト成熟度アセスメント』の結果報告会でも、利便性やコスト観点の整理も重要との指摘がありました。
一度、社内で検討のうえ、KDDIの『次期ITインフラ構想策定 (コンサルティングサービス)』(注4) も検討しようと思います。