なぜゼロトラストは進まないのか？CIO経験者が語る、成功の鍵と落とし穴

クラウドサービスの普及やサイバー攻撃の高度化により、従来の「社内と社外を区別する」セキュリティモデルは限界を迎えています。その打開策として注目されているのがゼロトラストです。

しかし、NRIセキュアテクノロジーズ株式会社が2024年に実施した調査によると、ゼロトラストを「全面的に実装している」「一部実装している」と回答した日本企業は合計でわずか21.1％。「検討したが実装しなかった」企業も9.1％と、実装はまだ一部にとどまっています（※）。

その背景にある大きな課題の一つが人材不足です。社会全体でセキュリティ人材が不足する中、どのようにゼロトラストを実現していけばよいのでしょうか。CIO（最高情報責任者）経験を持ち、現在はプロ人材として企業のサイバーセキュリティなどを支援する村田 すなお氏に聞きました。

※出典:NRIセキュアテクノロジーズ株式会社「情報セキュリティに関する実態調査」

——ゼロトラストの実装が進まない理由について教えてください。

村田氏：まずゼロトラストを「どこから、どのように、どの水準まで取り組めばよいか」が見えにくいことが理由として挙げられます。

たとえば、CISA（米国サイバーセキュリティ・社会基盤安全保障庁）が公表したゼロトラスト推進のロードマップ「ゼロトラスト成熟度モデル」では、ゼロトラストは「アイデンティティ」「デバイス」「ネットワーク」「アプリケーションとワークロード」「データ」の5つの柱に分かれ、それぞれの成熟度を「従来」「初期」「高度」「最適」の4段階で整理しています。

こうした指標に沿って「どの水準を目指せばよいか」を判断するには、ITやセキュリティの専門性だけではなく、経営に対する理解も必要です。年商100億円規模の企業と1兆円を超える企業とでは、求められる水準も、ゼロトラストを実現するために必要な体力やコストも異なりますから。

また、情報システムは止まらないのが当然と見なされがちです。ゆえにセキュリティ対策の再構築が必要だと気付くきっかけは、多くの場合セキュリティインシデントの発生時です。平常時にはゼロトラストに投じるコストや労力の優先度が低く見積もられ、後回しにされやすい傾向があります。つまり、トラブルがない状況ではゼロトラスト実装を推進しにくいという側面があるのです。

——問題が起きる前にセキュリティ体制の見直しを進めるには、どのような考え方が必要でしょうか。

村田氏：私が支援先企業に必ずお伝えするのは、「企業としての成熟度を把握すること」です。

攻撃側が常に進化する世界において企業側も常に改善のサイクルを回すことが求められますが、このようなプロセスの出来栄えを組織成熟度と呼びます。米国のCMMCにおけるサイバーセキュリティ成熟度モデルに照らすと、レベル1は場当たり的に取り組みを行っている状態です。そこから取り組みが文書化され、プロセスの基本が確立された状態、プロセスが標準化された状態と成熟度が上がっていき、レベル5になると毎年有効性のレビューを行い改善する仕組みが定着している状態となります。

つまり「改善を継続するプロセスの定着化」が最も重要であり、改善サイクルが永続的に回っている状態が理想です。そのためにも、自社のセキュリティ成熟度を把握し、ベースラインを引き上げることが重要です。

——その過程で、セキュリティ周りの属人化やブラックボックス化の課題に直面する企業も多そうです。

村田氏：そうですね。複数のクラウドや専門領域を複数人で分担できればよいのですが、現実には人材不足から特定のサービスや領域を特定の一人が担う体制になってしまうことが多く、その結果、ブラックボックス化や属人化が生じがちです。

この状況を打破するには、企業側が個人の専門性を拡大するための研修などの機会を提供するだけでなく、業務経験を通じた成長の場を計画的に与えることが重要だと思います。部下と上司が長期的なキャリアプランを共有し、本人の希望も踏まえた配置の工夫が重要です。仮に3年ごとに異なる領域を経験し、10年で3つの専門性を身につけることで、IT全体を見通せるようになるかもしれません。そうすることで、「特定の人しか対応できない」状態を防ぐことも必要でしょう。

——近年はマルチクラウドを導入する企業も増えていますが、その場合のゼロトラスト推進にはどのような難しさがありますか？

村田氏：マルチクラウドで最も難しいのは、統制の方法です。マルチクラウド環境では「どのクラウドで、どのサービスを、どのように使っているか」という全体像を把握するのが格段に難しくなります。仮想ネットワーク環境管理一つとっても、AWS（Amazon Web Services）、Azure（Microsoft Azure）、GCP（Google Cloud Platform）で仕組みが異なりますから。

その上で、各クラウドのセキュリティ機能をどのように活用し、自社が活用するすべてのクラウドでも同じ水準のセキュリティレベルを担保できるような統一基準を作ることが必要です。その設計を誤るとブラックボックス化してしまい、「誰がどこにアクセスしているか」「どのサービスが守られているか」が把握できなくなります。

また、最近では企業内の各部門でクラウドサービスを独自に契約するケースも多く、情報システム部門が会社全体のサービス利用状況を把握できていないことも珍しくありません。部門単位での契約を容認するのか、容認する場合、それらのクラウドサービスをどう把握し、セキュリティレベルのベースラインを担保するのかも大きな課題です。

結局のところ、経営の責任として自社のセキュリティポリシーと対策要件を明確にし、それを前提にセキュリティ対策を設計しなければ、マルチクラウド環境でのゼロトラスト実装は難しいように思います。

——セキュリティの重要性が増す一方、セキュリティ人材の採用は難しい状況にあり、思うように人材を確保できない企業も少なくありません。

村田氏：おっしゃる通り、高度なセキュリティエンジニアは希少であり、高待遇で各社から求められています。そのため、経営層が想定する条件では採用できないケースも見受けられます。こうした経営層と現場の認識のズレを埋めるためには、コミュニケーションが重要です。技術的な課題や人材不足の深刻さについて、経営層にわかりやすく伝えられる人材が求められるでしょう。

また、組織の成熟度に応じてセキュリティをレベルアップさせるには、セキュリティ責任者と経営層が継続的にコミュニケーションを取り、毎年の戦略を進化させていくプロセスも重要です。

そのためには、まずセキュリティ責任者を経営会議に参加できるポジションにすることが必要です。経営層に近い立場で責任を担うことで、経営方針を理解し、現場と経営層をつなぐ役割を果たすことが期待できます。同時に、経営層もセキュリティの重要性を正しく理解することにつながると思います。

——村田さん自身はCIOとして、人材採用や育成をどのように考えていたのでしょうか。

村田氏：私が人材戦略として心掛けていたのは、「最終的にどのスキルを社内に残したいか」を明確にすることです。

IT領域は年度ごとの計画によって注力領域が変わり、必要な人員ボリュームも変動します。その全てを社内の人材で補うのは現実的でなく、外部リソースを組み合わせてバランスを取る必要があります。セキュリティ人材であれば、スキルマップで設定された職種やレベルを踏まえ、「どの領域の、どの水準までを社員で担う必要があるのか」を考え、それに合わせて採用や育成、キャリアパスを設計すると同時に、不足するリソースは外部の活用を考えるのが理想です。

現実には「セキュリティのこの部分を即強化しなければならない」といった突発的かつ緊急性の高い対応も発生しますが、短期対応だけで終わらせず、長期的な人材戦略を常に念頭に置くことが重要だと思います。

——外部リソースには「SIerやコンサルティング企業などのベンダー」と「外部のプロ人材」の大きく2つの選択肢があります。それぞれどのように活用するのがよいでしょうか？

村田氏：セキュリティ戦略の全体像を描いた上で、「外部リソースとしてどのレベルの人材がどの程度の規模で必要か」を整理する必要があります。

要員数に関してはベンダーの場合は数十～数百単位で人材をアサインしてもらうことも可能ですが、プロ人材の場合は多くても十人程度と考えるべきでしょう。企業側が実務で手足を動かせる人材を求める場合、自ずと多数の要員が必要になりますが、そこに至るまでの道筋を考えたり戦略を策定したりする部分ではより専門性の高い人材を少数求めることになると思います。供給可能な人材数の観点から考えると、前者であればベンダーですが、後者であればプロ人材の活用も有効な手段になってきます。プロ人材の場合、ハイスキル人材であってもベンダーに依頼するよりコストを抑えられる可能性が高い点もメリットです。

ただしセキュリティ戦略を丸ごとベンダーに任せてしまうと、当然コストが大きく膨らむだけでなく、万一の事故発生時に「どこから情報が漏れ、なぜ起きたのか」について、自社内に事情を理解できる人材がいない状況になりかねません。それでは経営としての責任説明が果たせず、対応が後手に回るリスクがあるため、注意が必要です。

このように、社内にセキュリティに関する責任者レベルの人材がいない場合であれば、セキュリティ戦略策定の支援などを通じて、将来のセキュリティ戦略を担う社内のポテンシャル人材の育成も担う役割として、プロ人材を活用するのも有効だと思います。

——プロ人材に依頼をする場合のポイントはありますか？

村田氏：私自身もプロ人材として活動している立場ですが、「何に困っているのか」を明確に伝えていただくことが重要です。セキュリティ面の課題やゼロトラスト導入の背景、不足している人材のスキルなどを具体的に教えていただけると、最適な専門知識を持つプロ人材と出会える確率が上がり、業務もスムーズに進むと思います。

なお、これは外部リソース全般に言えることですが、プロジェクトの進め方や状況の認識に見解の相違が生じることがあります。それはお互いが異なる経験を持って臨んでいるため自然なことであり、必要に応じて外部人材に対して意見を率直に伝えると同時に、相手の意見を受け入れる柔軟さも持つとなおよいと感じます。

重要なのは、現場では調整ができないほど意見が衝突した場合に、お互いの責任者同士がコミュニケーションを取れる関係性を築くことです。特にベンダーに依頼する場合は、関わる人数が多いので、ベンダー選定時にそういった視点を持つことも重要だと感じます。

——その意味でも、社内でゼロトラストの実装を推進する責任者の存在が不可欠ですね。

村田氏：はい。社内にセキュリティの専門家がいない中でゼロトラストを進めても、整合性の取れた対策が取れず結果として無駄な投資を招き、中途半端な状態になりかねません。

セキュリティ人材の採用難易度は高く、育成には時間がかかります。会社の育成方針と個人の意向が合わないこともあり、育成が計画通りには進まない難しさもあります。ただ、ゼロトラストのアーキテクチャ全体を設計する経験は、個人にとってキャリア上の強い武器となります。

ゼロトラスト推進では技術と経営の両面を理解することが特に重要であり、双方の視点からセキュリティを考える経験にも大きな価値がある。そうしたメリットを伝えることで社員のモチベーションを醸成し、前向きに取り組んでもらうことが、ゼロトラストを成功に導くカギとなるはずです。

【プロフィール】

村田 すなお（むらた・すなお）
大手光学機器メーカーにて設計業務に従事した後、電機メーカーに転籍。ソフトウェア開発に従事したのち、ソフトウェアR&D拠点の立ち上げのために5年間の海外赴任を経験。以降、IT/DX推進に異動し、最終的には執行役員CIOとなりグローバルなIT推進全般を担当。業務システム、ITインフラ、サイバーセキュリティ、AI、DXなどの戦略立案、企画、設計、運用などを指揮。

ゼロトラストをはじめとする新たなセキュリティ体制の整備は、重要な経営課題の一つです。リソースが限られる中、自社に最適なセキュリティ基盤を迅速に構築する上で、豊富な経験を持つプロ人材の知見を取り入れるのは有力な選択肢です。「HiPro Biz」に登録しているゼロトラストやクラウドセキュリティに精通したプロフェッショナル人材とともに、実効性のあるセキュリティ戦略を描いてみてはいかがでしょうか。

※AWS、Microsoft Azure、Google Cloud Platformは、それぞれAmazon.com, Inc.、Microsoft Corporation、Google LLCの商標または登録商標です。