「ゼロトラストを検討せよ」と言われたら
第 3 回：グランドデザインはどう描く？

Aさん：先日実施したKDDIの『ゼロトラスト成熟度アセスメント』によって、ゼロトラストの考え方に基づいたサイバーセキュリティリスクの現状評価ができ、対策のおおまかな優先度、実施後の効果が分かりましたね。

B課長：『ゼロトラスト成熟度アセスメント』の結果をC部長に報告し、当社のサイバーセキュリティリスクについてご理解いただいたよ。
特に、ランサムウェアの感染経路の8割がVPN機器とリモートデスクトップ (注1) で、リモートワークで利用しているVPN機器の脆弱性が狙われる点は、優先して対策が必要だとおっしゃっていたね。

ただ、ゼロトラスト移行の取り組みに関する社内稟議はC部長から却下されてしまってね。C部長から「当社において、なぜゼロトラスト移行が必要であるかの理由や当社の事情を鑑みた優先順位の整理、サイバーセキュリティリスク観点だけでなく利便性やコスト観点でも検討が必要」とご指摘いただいたよ。

Aさん：なるほど。
ゼロトラスト移行というとサイバーセキュリティ観点のみを考えてしまいがちですが、利便性等にも視野を広げた検討が必要なのですね。

B課長：経営層に訴求するうえで「現場視点による課題の解決策の検討はもちろん、経営視点として経営方針やIT戦略に紐づけた検討が必要」ともおっしゃっていたね。

また、稟議申請においては、今後も踏まえた投資である旨の説明が必要だね。今後のロードマップと併せて、複数年度にまたがるゼロトラスト移行の超概算は提示したいかな。今後の検討方法について、何かアイデアはあるかな？

Aさん：『ゼロトラスト成熟度アセスメント』の結果報告会でも、無駄な投資や手戻りが発生するリスクを軽減・回避するためにも、今後も見据えて検討し、ありたい姿・グランドデザインを策定すべきとアドバイスがありました。

IPA  (情報処理推進機構) の『ゼロトラスト移行のすゝめ』(注2) の、ゼロトラスト構成に移行するための全体的な流れにあるように、ゼロトラスト導入後のあるべき姿を定め、そこに向けて対応するべく、「グランドデザイン作成 (構想策定）」を進めるのはいかがでしょうか。

B課長：そうだね、次のステップとして、グランドデザイン作成  (構想策定)  を実施しよう。稟議のためだけでなく、今後我々が進めるうえでもロードマップは策定しなくてはね。
ゼロトラスト移行は、我々情報システム部以外も巻き込んでいって、関係者間で共通認識を醸成する必要があるからね。

Aさん：おっしゃるとおりですね。
KDDIの『ゼロトラスト成熟度アセスメント』で簡易なロードマップを提示されましたが、我々情報システム部以外の関連部署も巻き込んで検討を行い、サイバーセキュリティ以外の課題も加味した形で更新していきたいと思います。

B課長：先週、次のステップとしてグランドデザイン作成 (構想策定) を実施することになったけれど、その後の進捗はどうかな？自社で進められそうかな？

Aさん：『ゼロトラスト成熟度アセスメント』で提示された簡易ロードマップも参考に、社内でも整理を試みたのですが、ゼロトラスト移行はネットワーク、セキュリティ、運用といった複数の領域にまたがり、また1つのソリューションを導入すれば実現できるものではないため、担当者間で意見が割れたり、自身の担当範囲のみ検討を進める方がいたり、うまく話がまとまらず悩んでおります。

B課長：それは困ったね。社内で対応しきれないのであれば外部コンサルティングサービスを検討しようか。
提案ありきの恣意的なコンサルティングは避けたいけれど、よいサービスはあるかな？

Aさん：外部コンサルティングサービスの検討ですね。特定のソリューション提案に限定されないサービスを検討するのであれば、KDDIの『次期ITインフラ構想策定 (コンサルティングサービス)』(注3) がよいのではないかと考えています。

先日KDDIに、ゼロトラストを全社に導入した自社事例 (※外部サイトに遷移します) を紹介してもらいましたが、KDDIはゼロトラスト移行のグランドデザイン作成（構想策定）の実績や、国内外のさまざまな業種に対するゼロトラスト導入実績が多数あるようです。

ネットワーク、デバイス、ID、セキュリティソリューションから運用まで、さまざまなプロダクトやサービスを一気通貫で扱っているため、ゼロトラスト移行におけるナレッジも聞きやすいかと思います。

B課長：特定のソリューションに限定されないコンサルティングはよいね。ソリューションベンダーのコンサルティングも具体的でよいのだけれど、まずは、フラットな視点でコンサルティングしてほしいからね。
KDDIの『次期ITインフラ構想策定 (コンサルティングサービス) 』は、どういったサービスなのかな？

Aさん：IT環境の全体を見直し、目指す姿を見据えた具体的な構想策定 (グランドデザイン作成) を支援しているようです。
現状のネットワーク構成や課題を整理する現状把握フェーズ、施策やTo-Be像、ロードマップといったグランドデザインを策定する構想策定フェーズに分かれ、最終的には、検討結果を構想策定書の形で取りまとめるとのことです。

B課長：実施期間はどのくらいかかるのかな。

Aさん：3～6カ月程度が標準的なようですが、検討対象とするスコープ、検討する粒度で変わり、こちらの要望に応じて柔軟に対応可能なようです。
我々は、すでにゼロトラストの勉強会、『ゼロトラスト成熟度アセスメント』を実施済みなので、3カ月で実施できればと考えています。

B課長：3カ月であれば、次年度の予算化までに間に合うのでよいね。早速、KDDIに提案してもらおう。
コンサルティングにあたっては、我々情報システム部の管轄であるネットワーク、デバイス、セキュリティ以外に、コミュニケーションツールを所管している総務部の参加も必要かな。
該当する課題、施策の検討時に入ってもらうよう調整しておくよ。

Aさん：ありがとうございます。
それでは、私からKDDIに対して、我々の要望を伝え、『次期ITインフラ構想策定 (コンサルティングサービス)』の提案を依頼しておきます。

Aさん：KDDIによる『次期ITインフラ構想策定 (コンサルティングサービス)』を終えて、課題に対する施策や、目指すべきTo-Be像、優先度を加味したロードマップが整理できました。

よかった点をまとめると次の3点が挙げられます。

① ノウハウに基づいた課題整理

KDDIのノウハウに基づき、他企業から収集された一般課題を踏まえて課題をインタビューされたため、我々で把握済みの課題以外にも、検討すべき課題が整理できました。

② 中期経営計画、外部環境の変化、トレンド・技術動向をふまえたコンセプト

現場目線の課題だけではなく、中期経営計画と紐づけたコンセプトが定義され、我々が一丸となって目指すべき、次期ITインフラの方針の認識合わせができました。
コンセプトは外部環境の変化やトレンド・技術動向もふまえた検討であったため、経営層向けの説得力も増したと考えます。

③ 施策の優先度、自社の固有事情、段階的な展開も考慮されたロードマップ

施策の優先度を定性・定量的に評価するだけでなく、当社の固有事情、ソリューションごとの依存関係、PoC・段階的な展開も加味されたロードマップが策定され、現実的なロードマップとなりました。

B課長：目指すべき姿・方針・全体の流れが整理、関係者間で共通認識が醸成できたね。
いったん、構想策定 (グランドデザイン作成)  プロジェクトとしては完了したけれど、今後、RFPの各社の回答結果や、関係各部署の要員・作業計画も加味して、継続的にブラッシュアップしていこう。

Aさん：継続的に見直し・改善する旨、承知しました。今後に向けて、まず何から対応すればよいでしょうか？

B課長：まずはC部長から指摘があった社内稟議について、経営層を意識した再整理が必要だね。利用者・管理者目線の課題・施策整理や、経営層を説得する材料 (注4) も提示されたから、この構想策定書を基に、経営層向けの稟議資料を作成しよう。

社内稟議が通り次第、各社へ次年度対応分に向けたRFPを発出したいから、社内稟議と並行してRFP発出に向けた整理もしようか。構想策定書がRFPのインプットとなると思うけれど、細かな要件については整理しておいてくれるかな。

Aさん：承知しました。ロードマップにて次年度対応と整理された優先度の高い施策について、RFPの準備に取り掛かります。