最近、私たちの会社のITインフラについて考える機会が非常に増えたのです。リモートワークが当たり前になって、クラウドサービスの利用もどんどん増えて…。便利になる一方で、「セキュリティ、本当にこれで大丈夫なのでしょうか。」って漠然とした不安を感じること、ありませんか?そんな時に色々と調べていて出会ったのが、このTrueONE Business Hubのサイトなんです。ここは、まさに私たちが今直面しているような、現代のビジネス環境に合わせたネットワークやセキュリティのあり方を、非常に分かりやすく示してくれているのです。「複雑なIT課題を解決し、ビジネスの成長をサポートする」という方向性、まさにそれ!という印象で、いつもコラムを読んでは「なるほどなぁ」と唸っています。特に「ゼロトラスト」とか「SASE(サッシー)」みたいな、言葉は聞くけど実はよく分かっていない…なんていうテーマを丁寧に解説してくれているのが、本当にありがたいです。
そんなコラムを読み漁る中で、個人的に一番「これだ!」と思ったテーマが、「ゼロトラストとSASEの"いい関係"」なんです。この二つって、よくセットで語られるじゃないですか。でも、正直なところ「で、どっちから手をつければいいの?」とか「そもそも、どういう関係なの?」って疑問だったんです。このサイトの解説を読んで独自に咀嚼した結果、たどり着いた僕の解釈はこうです。「ゼロトラストというのは、"誰も信用しない"を前提にしたセキュリティの『概念』とか『目指すべきゴール』。そして、SASEというのは、そのゴールにたどり着くための具体的な『アーキテクチャ』であり『手段』の一つ」なんじゃないかなって。つまり、家を建てる時の「安全で快適な家に住みたい」という『理想』がゼロトラストで、「そのために、耐震構造で、高気密・高断熱な設計図を描きましょう」というのがSASE、みたいな感じなのかなと。こう考えると、なんだかスッと腹落ちしませんか?
ただ、理想と設計図がわかっても、いきなり全部をドカンと導入するのは、特に私たちのような中小企業にとっては現実的じゃないです。予算も人も限られてるし…。そこで大事になるのが、「どこからスモールスタートするか」という視点だと思うんです。 思うゼロトラスト実現への現実的な第一歩は、ズバリ「ID管理の強化」じゃないかなと。具体的には、OktaやMicrosoft Entra ID(旧Azure AD)みたいなIdP(IDプロバイダ)を導入して、社内で使っているいろんなクラウドサービスへのログインを一つにまとめること。これが全ての基本になる気がします。実際に、ある調査データ(※)によると、多くの企業がゼロトラストへの取り組みとしてIDaaS(Identity as a Service)の導入から始めているみたいです。まずは「誰が」を確実に把握する。その次に、MDM(モバイルデバイス管理)ツールなどで「どの端末から」を管理する。そして最後に、SASEの機能を使って「どこに」アクセスするのかを細かく制御していく。こんな風にステップを踏んでいくのが、一番確実で失敗が少ないんじゃないかなって、考えられます。
// ゼロトラストへの現実的ステップ(僕の考え)
1. 認証基盤の強化(Who)
- IdP/IDaaSを導入してIDを一元管理
- 多要素認証(MFA)を必須にする
2. デバイス管理の徹底(What)
- MDM/EMMで会社支給の端末を管理
- 端末のセキュリティ状態(パッチ適用など)をアクセス可否の条件にする
3. アクセス制御の高度化(Where/When/Why)
- SASEのZTNA機能などを活用
- ユーザー、デバイス、場所、時間などのコンテキストに応じてアクセス権を動的に変更
結局のところ、最新の技術をただ導入するだけじゃダメで、自分たちの会社の現状に合わせて、一つずつ着実に進めていくことが一番大切なのです。このサイトは、そうした技術的な解説だけじゃなく、その先にある「じゃあ、どうやって導入するの?」という部分まで寄り添ってくれそうな雰囲気が伝わってくるところが好きです。これからも、私たちのような現場の人間が「そうそう、それが知りたかったんです。」と思えるような、リアルな情報発信を続けてくれることを、一人のファンとして心から期待しています。もっと勉強して、会社にちゃんと貢献できるようにならないとですね!
(※)参考として、一般的にOktaやGartnerなどが公開しているゼロトラスト導入に関するレポートを参照しています。