はじめに
wataruです。早いもので、クラウドネイティブに入社して2年半が経ちました。
プロジェクトマネージャとして様々な案件に参加して、日々経験を積まさせていただいております。
ここ数年でゼロトラストモデルの事例を目にすることが増えてきたように感じます。
「コンサルを使わなくても、他社と同じ構成にすればいいんじゃないの?」といった疑問を持たれる方も増えてきているのではないかと思い、今回は弊社が実施している情シスコンサルがなぜ必要なのかというテーマでblogを書いてみました。
情シスのミッションは何か?
本題に入る前に、「情シスのミッションは何か?」を改めて考えてみました。
私は以下のように考えています。
- ビジネスを加速させる
- ビジネスにおけるリスクを低減する
- 上記を実現するためのITインフラを構築・運用する
情シスは間接部門ではあるものの、ビジネスの攻めにも守りにも大切な役割を担っています。つまり、ビジネスを無視して情シスの仕事はできません。自社のビジネスにおける要件を満たし、課題を解決することが情シスの仕事であると言えます。
ゼロトラストモデルに正解はない
「ゼロトラスト」という言葉がマーケティングに使用されるようになって何年か経ちました。
実際に従来の境界型モデルから脱却し、クラウドを活用したゼロトラストモデルのITインフラに移行した事例も増えてきました。弊社もゼロトラストモデルのITインフラで業務を行っています。
上記のような「ゼロトラストモデルの事例」も世の中には増えてきました。それらを模倣したITインフラを構築することがゴールかというとそんなことはありません。
わたしたちは「製品はあくまで手段であり目的ではない」と考えています。なぜならば、自社とまったく同じビジネスというものはこの世に存在しないからです。業種が異なれば従うべき法律やガイドラインも異なりますし、同じ業種であっても業務プロセスは会社によって様々です。他社と同じ製品を導入して同じ構成のITインフラが完成したとして、それが自社のビジネスの課題を解決するかというと、必ずしもそうではありません。
たとえばIdPとしてMicrosoft Entra ID(旧Azure AD)、MDMとしてIntuneを導入するといった構成はよく見られます。製品の選定としてよくあるパターンかもしれませんが、それらの製品をどのように活用するかは自社のビジネスやポリシーに従って検討する必要があります。実は、わたしたちにご相談に来るお客様の半数は、すでにMicrosoft Entra IDやIntuneなど、モダンなセキュリティ製品をすでに導入しています。しかし、その多くのお客様は、残念ながら「導入してはいるが、使えていない。できると聞いて買ってはみたものの、どのように設定すればいいかがわからない」とご相談にいらっしゃいます。
本来であれば、導入にあたって、どのような雇用形態の従業員がいて、デバイスが利用されていて、情報資産を保持しているかを把握し、それらの組み合わせで何を制御すべきなのかというポリシーは自社で考える必要があります。その検討結果を、IntuneのコンプライアンスポリシーとMicrosoft Entra ID(旧Azure AD)の条件付きアクセスなどを組み合わせて実装まで落とし込むことで、はじめて導入目的が果たせると言えるでしょう。たとえ他社事例やベストプラクティスなものがあったとしても、それはあくまで参考情報であり、自社にとっての正解ではありません。
また、セキュリティに完璧は存在しません。
どこまでコストをかけられるのか、どこまで対策をしていれば有事の際も対外的な説明責任が果たせるのか、経営に近い判断も必要になってくるでしょう。自社が取り扱う情報資産とそれらを取り巻く脅威も日々変化していきます。「この製品を入れておけば安全」といった銀の弾丸は無いので、継続的な見直しや運用が非常に大切になってきます。そのためにも、自社のビジネスや資産を把握して、自分達でインフラを掌握しておくことが重要なのです。
クラウドネイティブのコンサルティングについて
弊社のコンサルティングのひとつである「グランドデザイン作成支援」では、情シスのミッションを実現するための全体最適なITインフラの設計のお手伝いをしています。そのためのインプットとして、お客様のビジネスにおける要件や課題、どのようなリスクがあるのかをまずはヒアリングします。
データガバナンスが重要な場合は、どのような情報資産がありそれらの流通経路がどうなっているかを洗い出して、どこに持ち出し経路があるのかしっかりと見ていきます。お互いに非常に手間のかかる作業です。製品ありきの全体設計ではなく、上記のように要件や課題ありきの全体設計をわたしたちは進めていきます。弊社はベンダーフリーなため、忖度なしに最適かつ実現可能な全体構成をお客様と一緒に設計していけるのも強みだと思っています。
「実現可能な全体構成」というのは技術面だけではなく、運用やコストについても考慮した上で検討します。グランドデザインが絵に描いた餅になってしまってはコンサルティングの意味がないので、お客様の会社の規模や体制によって段階を踏んだ提案を実施します。高価なエンタープライズ製品をいきなり押しつけるような提案はしません。むしろ、止めることの方が多くあります。
たとえば、情シスがまだ1名しかいないベンチャー企業がセキュリティ強化のためにCASBやSIEMなどの高機能かつ運用負荷が高いセキュリティ製品を導入したとしても、日々のアラートに対応できず放置されたままになり無駄になってしまうようなケースも想定できます。まずは、費用対効果が高いIdPやMDMの導入などから始め、企業規模が大きくなり情シスの体制も強化された段階で改めてCASBの導入を検討いただくなど、現実的なロードマップを組み込んだグランドデザインを作成しています。
また、情シスだけでなく利用者の目線も考慮した全体設計を実施するように心がけています。よく「セキュリティと利便性はトレードオフ」と言われてきましたが、必ずしもそうではありません。たとえば、SSOや生体認証を導入することで利用者もパスワード入力の手間が省けたり、MDMを導入することでPCの設定が一部自動化されてPC交換にかかる時間が短くなったり、ユーザー体験が向上する仕組みも存在します。ユーザー体験が向上すれば、情シスの実績にもなり、社内からの信頼向上にも繋がります。
新しい製品を導入するからと利用者に不便を強いるのではなく、「この製品を導入することで、誰が助かるんだろう?」と経営者や利用者目線でも考えながら全体設計を進めていきます。あまりにセキュリティを厳しく設定して業務に影響が出そうであれば、「それは利用者反発が大きいと思いますよ」と本音で提言しながら、現実的な落とし所をお客様と一緒に考えていきます。
導入クラウドネイティブのコンサルティングの具体的な流れやグランドデザインがどのようなものなのかは、以下のblogを参照ください。
おわりに
ここまでお読みいただいた通り、弊社のコンサルティングは非常に地道なことをお客様と一緒にやっていきます。
自社のビジネスの要件・課題・リスクをきちんと洗い出して全体設計を考えるとなると、相当なリソースが必要となります。また、自社のみで進めていると「漏れている観点はないか客観的にレビューしてほしい」など不安になってくることもあるかと思います。
そこでぜひわたしたちのコンサルティングサービスを活用していただきたいです。
様々な業種や企業での情シスコンサルティングで培ってきた知見と技術力を活かして、お客様と一緒に最適なグランドデザインを作成させていただきます。グランドデザイン作成だけでなく、各製品の導入支援サービスも提供しております。グランドデザイン作成から引き続き導入支援サービスをご契約いただいた場合は、どういった背景でその製品を導入することになり、どのような実装をすべきかを弊社が把握できているため、より最適な実装を提案できるという強みもあります。
弊社のコンサルティングサービスに興味を持たれた方は、ぜひ以下のページからお問い合わせください!
