複数のソリューションの
組み合わせで実現

　ゼロトラストの基本的な考え方は、「決して信用せず、常に検証する」こと。企業内外の境界に置いたファイアウォール、UTMといった機器によって一度検証してOKなら、社内のアクセスはすべてフリーパスだった境界型の考え方とは大きく異なる。具体的には、次の四つの要素で構成されるケースが一般的である。
 
　一つが「認証」。社内、社外を問わずすべてのアクセスを1カ所の認証基盤に集約し、ユーザーのアイデンティティ（ID）を確認する。ただし、認証を通過してもすべてのデータへのアクセスは保証されない。

　二つめが「アクセス制御」。認証情報やエンドポイントセキュリティを基にデータやアプリケーションへのアクセスをコントロールする。クラウド上のリソースだけでなく、オンプレミス環境へのアクセスを実現する製品もある。

　三つめが「エンドポイントセキュリティ」。アクセス制御基盤は認証後のユーザーの行動をモニターし、リアルタイムにアクセスを制御する。そのために、ユーザーが利用しているPCやスマートフォンなど（BYODを含む）を管理・監視する機能も含まれる。

　四つめが、「ログ監視・分析」。先述の三つの機能からすべてのアクセスデータを吸い上げ、可視化、分析する。社内、社外を問わずユーザーがどこにいても信用しないゼロトラストの重要機能だ。

　企業がこれらの機能を実装する場合、現在はマイクロソフトやグーグルが提供するオールインワンのソリューションを導入するか、機能ごとにソフトウェアベンダー、セキュリティベンダーが提供する製品を組み合わせる方法がある。

　マイクロソフトは、クラウド認証基盤の「Azure Active Directory（AD）」を中心にした複数のソリューションを、一括または部分的に提供するゼロトラスト関連サービスを開始している。自社クラウドを含めた高いセキュリティ基盤を統合しているのが強みである。

買収企業の統合や
コスト削減効果も

　またグーグルは、自社内のネットワークをゼロトラスト化したセキュリティモデルとして「BeyondCorp」を打ち出しているが、そのコンセプトを基にしたリモートアクセス製品の社外への提供を開始している。

　「グーグルのゼロトラストのアプローチには二つの側面があり、一つは社員のリモートワークにコロナの前から積極的に取り組んでおり、従業員の多くがすでにホームオフィス環境を実現していた事情がある。もう1点は、同社は企業買収が非常に多いため、買収した企業と自社のセキュリティのポリシーを合わせる作業には多大な手間と時間がかかるため、それを省いて統合できるゼロトラストを導入した。買収先の企業のネットワークも常に認証をかけることで、手を入れる必要がなくなる」（ラックの仲上部長）。
 
　ゼロトラストを構成する個別の機能を提供する製品の導入にもメリットがあると話すのは、マクニカネットワークスの恒本一樹・第4営業統括部第1営業部主席。「ゼロトラストは難しい課題であり、クラウド認証基盤であればOkta（オクタ）、EDRならCrowdStrike（クラウドストライク）など、各分野のトップ企業の製品でなければ対応できない場合もある。また、顧客企業のシステムはすでにさまざまな製品が混在しているため、一度に全部を切り替えることは現実的でない場合もある」と説明する。

　事業会社の導入例では、米21世紀フォックスの事例が興味深い。同社は多くの外部パートナー（制作プロダクション）と映像データのやりとりをしているが、映画という知財に関わるものなので絶対に社外に漏れてはならない。そのため従来は同社から外部企業にVPNを払い出してデータのやりとりをしていたが、映像データが4K、8Kと高解像度になってきたため、直接社内にデータを取り込むには負荷が大きすぎる事態となった。そのため、ゼロトラストを取り入れてクラウド上で安全にデータをやりとりするようにした。ラックの仲上部長は「このように、ゼロトラストの先進事例を見ると、大企業ではセキュリティ対策に対する費用対効果が見込めるところから採用が進んでいる」と話す。

　国内企業では、LIXILがアカマイ・テクノロジーズのアクセスプロキシ製品「Enterprise Application Access（EAA）」を昨年から導入していることを公開している。クラウド経由で社内のオンプレミス環境にアクセスできるため、リモートワーク時にVPNを介さずに社内データの利用が可能だという。

　ゼロトラスト導入に積極的な企業には、どのような特徴が見られるか。これまで述べてきたように、コロナによるリモートワークへの対応が多くの企業で重要課題となっていることは間違いないが、それに加えてマクニカネットワークスの恒本主席は、企業のグローバル化もきっかけになると語る。

　「ハード型の境界でセキュリティ問題を解決できる企業は、国内に特化した業務を行う企業に限られてきたと感じている。国内だけの利用であれば、東京の大手町のデータセンターに境界を設けて、大阪からアクセスしたとしても、遅延はそれほどない。だがグローバルに業務を行っている企業では、海外から東京のデータセンターにログインしてからでないと仕事ができないというのは、かなりのストレスだ。そういう企業では境界のクラウド化を考えるところが増えている」

ゼロトラストの導入
企業はどこから始めるべきか

　企業の危機感、課題感も十分にあり、また対応サービスも出そろってきたゼロトラストセキュリティだが、実際にどこから手を付ければいいのか分からない企業も多いだろう。

　PwCコンサルティングの神野光祐シニアマネージャーは、ゼロトラストありきで考えるべきではないと語る。
 
　「確かにコロナによって境界型セキュリティの課題が顕在化したことは間違いない。だが、ニューノーマルな働き方の方向性は、まだ定まっていない。暫定的に各社なりの対応をしている状況だ。例えば現在週2日のテレワークを実施している企業は、残り3日を出社させることに合理的な理由を見つけてはいないと思う。感染第2波の様相もあり、方向性が定まるのはこれからだと思う。ゼロトラストを目的化することには意味がない」

　社員の働き方をデザインして、それにふさわしいネットワークを構築する過程でゼロトラストが適切であれば導入するという順番が正しいというのが、神野シニアマネージャーの主張だ。「当社の場合は従業員5000人以上の顧客企業が中心だが、当然企業ごとに事情は異なる。すでにシステムが大方クラウド化している企業であれば、マイクロソフトなどのクラウドベンダーの製品が適している。逆にオンプレミスにがっちりの企業であれば、ネットワーク型の製品を導入するのがいい」と説明する。

　企業ごとに異なるゼロトラストに向けた状態を「クローズド」「リモート」「フレキシブル」「オープン」の四つの段階に分け、それぞれに対応するソリューションを提供しているのがKDDIだ。丸田徹・執行役員ソリューション事業本部サービス企画開発本部副本部長は、次のように語る。
 
　「コロナによって4月～5月の企業は、とにかく事業継続ということで、リモートの環境を整えることに精一杯だった。6月以降に一息ついて、緊急リモートワークのひずみを正す動きが始まり、安全性の再評価などに向かっている。一足飛びにゼロトラストを実現すれば、リモートでのセキュリティ対策はとれるというのが単純な答えになるわけだが、既存の境界型セキュリティをどうやってそこまで持っていくのかが問題だ。社内ネットワークとクラウドを共存させ、ハイブリッドな環境でゼロトラストを実現する段階が最も多くの企業が直面する課題となっている。ここで重要になるのは、認証のためのIDと、その証跡を残していく基盤だ」

  　特に、通信企業としてKDDIが重視しているのがネットワークの設計と監視だ。ゼロトラストはセキュリティのテーマであると同時に、企業ネットワークを再構築する意味合いもある。企業内のトラフィックが大きく変更されるため、業務の内容に合わせて最適な回線容量を確保することも必要だと言う。
 
　「KDDIでは顧客のネットワークトラフィックを把握しており、例えばインターネットの輻輳（ふくそう）を検知したり、設計時に混雑しそうなところを前もって予想したりできる。エンドポイントだけしか見えないと、ネットワークはブラックボックスになってしまう。どこを太くして、どこをオフロードすればいいのかなどの判断も重要になる」（KDDIの梶川真宏・ソリューション事業本部サービス企画開発本部ネットワークサービス企画部部長）。
 
　ラックの仲上部長は、「境界を細かくするためには、自分たちがどういうデータを持っていて、そのデータをどこに保存しているのかを再確認する必要がある。今やデータはオンプレミスやクラウドなど、さまざまなところに分散している。それらを棚卸しして、特に重要なデータの所在を把握することが重要だ。その上で、オンプレミスに置く必要がないデータはクラウドに持っていく。アプリケーションもSaaSに置き換えられれば変えていく。従来のシステムを更新するときに、再びオンプレミスにするのか、それともクラウドにするのかを次のステップとして考えていく必要がある」と語る。
＊　　＊　　＊
　コロナによってゼロトラストへの機運が一気に加速したことは間違いない。だが、今回取材した4社とも、すべての企業がすぐに既存の境界型セキュリティを全廃することはないとみている。企業がまずすべきは、既存のネットワーク、セキュリティインフラを再評価し、自社の状況に合わせて段階的なゼロトラスト環境の導入を検討していくことだろう。