{{item.videoDuration}}
{{item.title}}
{{item.text}}
{{item.videoDuration}}
{{item.title}}
{{item.text}}
次世代のITインフラ‐ゼロトラスト・アーキテクチャ ゼロトラストへの移行に際する検討・留意事項
1.自社はゼロトラスト化すべきなのか?できるのか?
ゼロトラスト・アーキテクチャは、一見すると企業のセキュリティ上の諸課題を解決する打ち手に思えます。それは間違いではありませんが、一方で、安易に「我が社もゼロトラスト化を」と進めてしまうと、思わぬ落とし穴にはまってしまう可能性があります。
ゼロトラスト・アーキテクチャは現代のITユースケースに適合するからこそ注目を浴びている考え方ですが、現状ではいわば「バズワード」の域を出ません。また、利便性やセキュリティを向上させることは間違いありませんが、ビジネスを営む上で「ゼロトラスト・アーキテクチャでなければ成り立たない」わけでもありません。そのため、まずは「なぜ自社にゼロトラスト・アーキテクチャが必要なのか」を明確にする必要があります。そうでないと、そもそもの必要性、もしくは変革にかかるコストおよび人的負荷など、ステークホルダーからの疑問に答えることができません。
また、「アーキテクチャ」という単語が入ることからも、ゼロトラスト・アーキテクチャへの変革は、ITインフラのアーキテクチャ変更を意味します。それには特有の考慮事項やハードルがありますので、これを踏まえなければ思わぬところで足元をすくわれたり、結果としていびつなアーキテクチャが出来上がったり、という結末を招く危険性があります。
本稿では上記の視点を踏まえ、企業がゼロトラスト化を推し進める際の要諦について触れていきます。
2.アーキテクチャを変えるということ
ゼロトラスト・アーキテクチャは概念であるため、特定の機能を持つソリューションや製品を指すものではありません。既存の構成に何かを組み込んで終わりというものではなく、「どうやってゼロトラスト・アーキテクチャを実現するか」という、自社なりの解釈が必要です。また、ゼロトラスト・アーキテクチャは目的ではなく手段ですので、まずは自社におけるITのユースケースや働き方などに関する未来像を描き、その実現手段としてゼロトラスト・アーキテクチャが適切であるかを吟味する必要があります。その後で、自社の現有資産などを考慮しつつ、それを実現するためのソリューション・製品を選定していくべきです(図表1)。
また、前述のように、ゼロトラスト・アーキテクチャへの変革はアーキテクチャの変更を伴うものです。つまり、多くの企業にとってITインフラの「抜本的な変革」になり、ゆえに多額の予算を要する場合がありますし、各システムの管理部門に協力を依頼するべき箇所もあります。ワークスタイルやシステムのユースケースに関するデザインと密接に関連することからも、IT部門だけでなく、多くの関係者を巻き込みながら推進すべきです。
3.ゼロトラスト・アーキテクチャへの変革に向けた考慮事項
ではここからは、企業がゼロトラスト・アーキテクチャを導入する上で考慮すべき事項を見ていきましょう。
(1)どこから、どのようにしてゼロトラスト化していくか
ゼロトラスト・アーキテクチャへの移行は、企業のサービスや製品のユーザーの通信フローに変化を及ぼすことから、少なからずユーザーエクスペリエンスに影響を与える恐れがあります。そのため、全システムを対象として一斉に移行することは、ユーザーサポートなどの現実的なオペレーションを考慮して「ほぼ不可能」と考えるべきです。詳しくは後述しますが、「どのシステムまたはユーザーを」、「いつ・どのような順序で移行していくか」といった視点で移行計画を立てることが重要です。
また、中長期でクラウドマイグレーションを行い、それを終えたシステムから順次ゼロトラスト環境に組み込んでいく、もしくはそもそも「全てをゼロトラスト化しない」という考え方もあり得ます。このような場合においても、移行計画が重要なことは言うまでもありませんが、「ゼロトラストな環境」と「従来型(ペリメター)環境」が併存することによるコストや運用負荷を最小化するための考慮が併せて必要となります。
(2)ソリューション・製品の導入に伴い必要な実施事項はないか
前述のように、ゼロトラスト・アーキテクチャを実現する上では、自社に最適な製品・ソリューションの組み合わせを検討する必要があります。その際、主に認証に関して、ソリューション導入と並行もしくはそれに先行して、自社内で実施すべきタスクが想定されます。そのため、これらにかかるリードタイムをあらかじめスケジュールに組み込んでおく必要があります(図表2)。
(3)グループ会社や海外拠点をどう扱うか
ゼロトラスト化にあたっては、グループ会社や海外拠点をどこまで巻き込むのかも考える必要があります。グループ内におけるITシステムの共通化が進んでいるのであれば、当然グループ全体がゼロトラスト化の対象になるでしょう。そうでない場合でも、海外拠点を含めて、グループ内におけるITガバナンスおよびセキュリティガバナンス強化を目指している企業も多いと思います。ゼロトラスト・アーキテクチャでなくても、アーキテクチャの抜本変革はグループ全体のガバナンス変革のレバーになり得ます。
また、ゼロトラスト化を契機としてグループ内および各国のソリューションを統合し、IT調達の最適化を図るという手もあります。いずれにしても、「どこまで深くテコ入れを行うか」について検討しておくべきです。
以下に、ゼロトラスト・アーキテクチャへの変革に向けた考慮事項をまとめます(図表3)。ゼロトラスト化はITシステムを変えるのみならず、自社のセキュリティやITの使い方・働き方をも変革し得るものであり一朝一夕に導入できるものでもありません。しかしながら、第1回で述べた通り、ゼロトラスト化は近年のITインフラへの要求の変化に合致するものであり、安全かつ柔軟なITインフラの実現を可能にするものと筆者は考えます。社内外のステークホルダーと連携・協議し、メリット・デメリットを吟味した上で変革を進めていただくことを切に願います。
執筆者
神野 光祐
ディレクター, PwCコンサルティング合同会社
{{filterContent.facetedTitle}}
{{contentList.dataService.numberHits}} {{contentList.dataService.numberHits == 1 ? 'result' : 'results'}}
{{contentList.loadingText}}
{{contentList.loadingText}}
{{filterContent.facetedTitle}}
{{contentList.dataService.numberHits}} {{contentList.dataService.numberHits == 1 ? 'result' : 'results'}}
{{contentList.loadingText}}
