イベント

経済産業省のレポートざっくり動画で解説したよー(後編: レポート解説編)

はじめに

2021年5月、経済産業省DX室がゼロトラストの概念を取り入れた「デジタルツール導⼊実証・調査事業報告書」を公開しました!話題沸騰のレポートはこちら

今回はYoutube Live1本でやっていました!2時間以上の動画なのでブログでは前半と後半にわけてざっくり解説している後半です!前半では、ゼロトラストについて解説しております。前半の記事は、こちら

金融庁のゼロトラストの話

まずは、金融庁が出したゼロトラストの現状調査と事例分析に関する調査報告書についての解説からスタート。レポートはこちら

こちらの報告書は、ゼロトラストの話のはずが、テレワークしていく上でのポイントやセキュリティの一般論なんかになってしまっていて、シンジが(いつものことですが)歯に衣着せぬ物言いで話しすぎていて、こちらの内容はブログで書きづらい、動画をみてね。

IPA(情報処理推進機構)のゼロトラストの話

次はIPA(情報処理推進機構)のゼロトラスト指南書について!

シンジ曰く、個人的な感情は抜きにして、このドキュメントは世間に出回っているゼロトラスト関連のレポートの中で、一番まともなレポートだと思ってる。とのこと。

一部を除いて、いいね!とシンジがお勧めしていました。SASEが最後にちょろっと出てきて、なんだかいろんな事情があるのかなーって感じですね。作っている人たちはわかって書いているんだろうなと。

実際の指南書はこちら

ゼロトラスト売りたい人ってたくさんいるよね

世の中にはゼロトラスト売りたい人がたくさんいます。

弊社にも問い合わせいただく人の中に、「クラウドネイティブさんのゼロトラスト、一丁ください!」みたいな感じで問い合わせをいただくこともありますが、ゼロトラストは売り物ではありません

あくまで、セキュリティに対する考え方というか、概念の話です。

ここで経産省の人きたー

経産省の人Sakaiさん&Hayashiさんが登場!

Sakaiさんはもうすでに退職されているので、ぶっちゃけトークを期待!

Hayashiさんも経産省の人としてではなくプロのID屋さんとしてお話をしていただきました!!

お待ち兼ね、経産省のレポート解説の時間だよ

今回の解説は通常公開されていない、幻の経産省レポート出しちゃってました!幻って聞くと言いたくなるので、言っちゃいます。

「まぼろし〜!」

なんと、経産省と共同で作成し、Webで公開しているレポートは大人の事情を加味されているものです。(みんな大人だからね、世の中には大人の事情があることはよくご存知だよね)

経産省の人がきたところでいきなりぶっちゃけ話からスタート!

なんでこんなに同じ時期に違う省庁から同じようなゼロトラストのレポートがたくさんでたのか・・・

なぜだと思いますか?

色々な理由はありますが、一言で言うと”官庁同士の横の繋がりがない”という、大人の事情があるんです。あとは・・・

Hayashiさん: 「ぶっちゃけ流行ってたよね。ゼロトラスト。何かしなきゃいけない危機感はみんな持っていて、こんなにガチガチに固めていても仕事やりにくいしだめだよねっていう懸念があった。そのタイミングでGoogleがBeyondCorp の研究論文だしたのはでかいよね!」

ByondCorpの話はこちら。 

ここで幻の報告書登場

何が違うかって?見た目が違います!笑

METIのロゴの部分とかね。あとは、出していないドキュメントもあるんで、今日はだしちゃいます!

経産省のレポートって他とどう違うの?

他のレポートと何が違うかというと、具体的なサービスを実際に契約してそのサービス名までしっかり公開しています。

経産省のお二人曰く、一番大変だったのは、色々な製品の契約周りがとても大変だったとのこと。

製品の契約がどれだけ大変か、その製品のサービスがなぜ今回の事業に相応しいか、どのプランがどうやって契約できるかまで本当にリアルな話を書いています。

おすすめポイント

特に力を入れたのがBYODのところです。

BYODはBring Your Own Deviceの意味で、従業員が自分の持っている端末を仕事用として使うことを指します。自分のスマホで会社のメール見ている人いるよね、そういうことです!

ちなみに、日本でも最近増えてきたけど、外国でBYOとレストランに書いてあると、酒類持ち込みOKの意味です。持ち込みOKのカラオケ【まねきねこ】に焼酎の一升瓶を持っていき、朝までコースをしていたのはもうずいぶん前のことです。

経済産業省様向けBYODポリシー雛形

公開されているPDFは実は2部構成になっていて、この経済産業省様向けBYODポリシー雛形が後半部分にのっています。ちなみに、このレポートはBYODの要件文書ではないです。(ここもシンジが好きなポイント)

こうあるべき、とか、こうしたらいいよ、ではなくて、実際にちゃんとするならこういった運用をしていく!というすごく具体的な内容です。

BYODやポリシーをしっかりと定義しているだけではなく、デバイスの所有権や事故が起こった時の話などもちゃんと明記されています。またBYODの場合の行動規範や、適応範囲なども明記しています。利用者の同意書を取りましょうねという話までちゃんとあります。(雛形付き)

同意書の雛形では省庁向けに書いてあるのですが、一般の企業でも利活用できる内容で作成しています。

今まで自分のスマホを業務に使ってきたけど、同意書って書いたことないよなー。事故が起こった時のことなんて考えたことなくて、事故が起こったからスマホのデータ消しまーすとか言われたら・・・怖すぎますね。

ここで内緒のドキュメント登場!

内緒のドキュメントは、なんとこの付録です!

シンジ「怒られるやつだけどまぁいっか。これがえぐいんですよねーーーー」

と、ニコニコしながら話してました。

こちらの付録では、今回購入した全部のサービスに関して、何をどういう手続きで買って、どういうプランがあるか全部書いてあります。導入のご参考になると思いますよ!

例えば、AWS!

かなり詳細に書いてあります。例えば契約方法で、クレジットカードを登録しての直接契約と、代理店を通しての契約の2種類あり、代理店を通しての場合は請求書による支払いが可能になる。

など。

次に、BOX!シンジ曰く特にえぐいやつ!

Box Keysafeは、Box Enterpriseプラを選定した上でZones オプションとKeysafeオプションを調達しました。Box Keysafeを契約する上で、Boxコンサルティングを契約する必要があります。

しかもBox Keysafeを設定する上で、必要なAWS KMSとAmazon S3をホストとするAWS環境とAWSビジネスサポートの契約を別途調達する必要があり、またその設定は自分でやってね。

Box Keysafe使いたいだけなのにAWSなんてきいてないよ!ってなると思います。こういう実はこれが必要なんだよね。という内容まで詳しく書いております。

行政におけるITの調達ってなかなか難しいですよね。サブスクリプションやクラウドの従量課金は行政のように何年分もきっちり予算取りをする調達と相性が悪かったり、カードの支払いが前提のサービスもあったりします。パッとはじめてパっとやめるっていうのがなかなかできない部分もありますよね。

ここでびっくり

このレポート出されてないと思ってたら、普通に公開されていたw

Sayuriも確認したら、普通にのってましたw なんだ、怒られないやつやん!よかった♪

ダウンロードいただくと、108ページ目以降にかいてあります。みなさん、ぜひチェックしてください。

質問コーナー

ここからは質問コーナーです。チャットに来ている質問にシンジと経産省のお二人がどんんドン答えていきました。ありがたいことに、「これ、終わらないな〜」と思わず呟いてしまうほど、たくさんの質問をいただきました。

ブログでは一つだけ紹介。

今回のシステム構築おいくら万円ですか?

お金かかっているようにみれますが、実は今回の構築は一般に言われている金額から考えるとはるかに安くすみました。なぜかというと、一から全部構築しているからなんですね。

歴史のある会社さんだとオンプレミスなりクラウドのシステムなど何かしらの資産があって、そこに追加の投資が必要になってしまうので、当然一時的に高くついてしまいます。ただ、ゼロトラストの考えのもとシンプルにしていけばコストは最適化されていきます。いらないものはどんどん捨てていきましょう!

シンジ: 「少なくとも僕がコンサルしてきた中で、コストが上がったケースは1件もありません!」

いいものにどんどん変えていって、いらないものをどんどん捨てていく。やらなくていいものはやらない!というような形に運用を見直していくべきです。基本的にゼロトラストはむちゃくちゃお金がかかるものではなくて、運用コストと投資コストを見える化し最適化していくことができます。

宴もたけなわですが

ゼロトラストに対して、よくわかんないなって思っている人もいれば、これからやらないといけない人もいたり、やだなーって懐疑的になっている人もいたりで、色々な感情があると思います。

今回の報告書にあるゼロトラストの中身をみていただければ、「あーうちもやらなきゃな」と共感してもらえると思います。

色々なベンダーが、「うちがゼロトラストだ!」と言っていますが、ここにいる皆さんはどうか冷静になってください。買いたくなる気持ちもわかりますが、一度冷静になって、何しなければいけないんだっけ?ITってどうやればシンプルになるんだっけ?と考えていただけるとうれしいです。

シンプルに考えて、課題を整理して、自社にあったITの形ってなんだろう?って突き詰めていくと、自然とゼロトラストの考え方になっていきますよね。

ポイントはとにかくシンプルにすることです!身軽になることです。まずはそこからはじめましょう。

ここで一旦経産省の方々退室し、シンジのみに。

おわりに

ゼロトラストが経産省や金融庁やIPAなどかなりしっかりとした団体から出てくることはありがたいことです。基本を押さえて、いかにシンプルにするか。ベースをおさえた上で構成を見ていく。

というわけで、ゼロトラストちゃんとしたい人は、クラウドネイティブに言ってね!

おしまい。

さゆり

漫画・アニメとワインとビリヤード(万年B級)が好きです。子供が寝た後に、ワインを飲みながら、NetflixやAmazon Primeで昔のアニメを流し、アプリでひたすら漫画を読んでいる時間が至福の時間。