目次
ゼロトラストは自社の課題や目的に応じて組み合わせるソリューションが異なるので、「これさえ実装すれば完了する」という考え方ではありません。
だからこそ、自社のケースではどのようにゼロトラストを推進すればいいのか悩み「同じような事例を参考にしたい」と考えている方は多いでしょう。
既にゼロトラストの実装を進めている成功事例には、下記のような14の企業があります。
金融業や製造業、サービス業など様々な業種の企業で、ゼロトラストの実現に取り組んでいます。
| 企業名 | ゼロトラストの取り組み |
| 金融業・商社のゼロトラスト事例 | |
| auカブコム証券株式会社 | MicrosoftとSplunk、Akamai Technologiesのツールを多数活用してゼロトラストを推進 |
| 大和証券株式会社 | インターネット利用と社内アプリへのアクセス制御の2段階でゼロトラストを推進 |
| 住友商事株式会社 | 情報共有基盤を「Microsoft 365 E5」で構築してデバイスやアプリ、データ、認証の一貫した保護を実現 |
| 株式会社仙台銀行 | 社外からでも安定・安全性を確保できるリモートアクセスサービスを導入 |
| 製造業のゼロトラスト事例 | |
| 株式会社LIXIL | 社内外から安全にアプリにアクセスできるソリューション(Enterprise Application Access)を導入 |
| 富士フイルムホールディングス株式会社 | 構想から半年でパソコンなどの端末をサイバー攻撃から守るソリューション(EDR)を導入 |
| アサヒグループホールディングス株式会社 | 3層に分けたセキュリティ構造でIT基盤を構築 |
| 武田薬品工業株式会社 | セキュアリモートアクセスやVPNの廃止など4つの優先項目を立ててゼロトラストを推進 |
| 旭化成株式会社 | ゼロトラストを推進するソリューション導入と社内教育の2軸でセキュリティを強化 |
| サービス業のゼロトラスト事例 | |
| 株式会社トリドールホールディングス | SaaS(クラウドサービス)導入にあたりセキュリティを強化する3つの要件を策定 |
| 鴻池運輸株式会社 | 従来のネットワークやセキュリティを見直してゼロトラストを推進 |
| 自治体・教育機関のゼロトラスト事例 | |
| 大阪府豊中市 | 4層に分けて一連のデジタル基盤を整えセキュリティ強化と利便性を両立 |
| 同志社大学 | セキュリティ基盤を強化するソリューションを導入してオンライン講義や在宅勤務に対応できる環境を構築 |
ゼロトラストの導入を進めている企業には下記のような共通点があり、これからゼロトラストに取り組みたい企業のヒントになるはずです。
自社と同じ業種や課題、目的の導入事例を参考にしながら、どのようにゼロトラストを推進しようか参考にしてみましょう。
そこでこの記事では、業種別のゼロトラスト導入事例と、導入事例に共通する推進のポイントをご紹介します。
導入事例では各企業の課題や推進方法を詳しくまとめているので必見です。
この記事を最後まで読めば実際のゼロトラスト導入事例が把握でき、自社がどのようにゼロトラストを進めるべきかイメージできるようになります。
自社の目指すゼロトラストを実現するためにも多くの導入事例を参考にして、検討できそうな方法を増やしていきましょう。
1. ゼロトラストの導入事例一覧
ゼロトラストの導入方法は企業の課題や規模、既存システムなどにより大きく変わります。
だからこそ自社ではどのようなゼロトラスト導入ができそうかイメージが湧きにくく、実際の事例を参考にしたい担当者は多いでしょう。
この記事では、全13社のゼロトラスト導入事例を業種ごとにご紹介します。
2. 金融業・商社のゼロトラスト導入事例
まずは、金融業・商社のゼロトラスト導入事例をご紹介します。
金融業や商社は高度なセキュリティを求められるため、いち早くゼロトラスト導入を進めている傾向があります。
課題に応じて導入しているツールやソリューション、工夫しているポイントが異なるので、チェックしてみてください。
| 企業名 | ゼロトラストの取り組み |
| auカブコム証券株式会社 | MicrosoftとSplunk、Akamai Technologiesのツールを多数活用してゼロトラストを推進 |
| 大和証券株式会社 | インターネット利用と社内アプリへのアクセス制御の2段階でゼロトラストを推進 |
| 住友商事株式会社 | 情報共有基盤を「Microsoft 365 E5」で構築してデバイスやアプリ、データ、認証の一貫した保護を実現 |
| 株式会社仙台銀行 | 社外からでも安定・安全性を確保できるリモートアクセスサービスを導入 |
2-1. auカブコム証券株式会社|9つの観点に適応できるツールを導入
| auカブコム証券株式会社 | ||
| 課題 | テレワークがメインとなる環境に境界防御では対応しきれない | |
| ゼロトラスト導入の取り組み | ・9つの観点からゼロトラストに必要なツールを導入 ・MicrosoftとSplunk、Akamai Technologiesのツールを多数活用 |
|
オンライン証券取引サービスを提供している「auカブコム証券株式会社」では、2017年よりIT主導の働き方改革を開始しました。
その中で、境界防御(社内と社外の領域に明確な境界線を作って内部の資産を守る考え方)ではテレワークがメインとなる環境に対応しきれないと考え、ゼロトラストに転換しました。
会社が付与したパソコンをゼロトラストに基づいて接続するには9つの観点が必要だと考え、それぞれの観点に応じたツールを導入しています。
| 導入したツールの一例 | ||
| アプリケーション管理 | RDP(リモートデスクトップを実現する規格)やOneLogin(クラウド型ID管理サービス)からエンタープライズアプリケーション(企業の業務に応じて設計されたアプリケーション)、Apps on Azure ADに変更 | |
| 外部ユーザー協業 | メールなどで限定的に協業していたものを外部も二要素化、Teamsゲストユーザー運用などに切り替え | |
| ガバナンス | ・権限の付与、はく奪の効率化 ・情報保護ラベルの使用などガバナンスの強化 など |
|
9つの項目ではMicrosoftとSplunk、Akamai Technologiesのツールを多数活用して、セロトラストセキュリティを構築しているところが特徴です。
例えば、多要素認証ではAzure ADベースに変更してAuthenticator(二要素認証ができる機能)を活用しています。
二要素認証にスマートフォンを活用して、デバイスとIDを同時に確認できる環境を実現。
一度のログインで様々なアプリケーションが使用できるように構築して、利便性を高めています。
ゼロトラストに必要な要素を1つずつ把握してそれに合うツールを組み合わせることで、ゼロトラストを推進している事例だと言えます。
参考:日経クロステック「多数のツールでゼロトラストを構築するauカブコム証券、2つのSIEMを使う理由」
参考:ゼロトラストの実践に必要なのは9つの観点、auカブコム証券の石川役員補佐
2-2. 大和証券株式会社|2ヶ月で約19,000台の端末をゼロトラスト環境に移行
| 大和証券株式会社 | ||
| 課題 | ファットクライアント端末への移行に伴いゼロトラスト型のセキュリティ環境の整備が必要になった | |
| ゼロトラスト導入の取り組み | ・「インターネット利用」と「社内アプリへのアクセス制御」の2段階でゼロトラストを推進 ・ITリテラシーの高い部室店に先行利用してもらい改善点や課題を抽出 ・2ヶ月で約19,000台の端末をゼロトラスト環境に移行 |
|
有価証券の売買などを行っている「大和証券株式会社」では、ファットクライアント端末(クライアント端末内にOSやアプリケーションなどが備わっている端末のこと)への移行に伴い、ゼロトラストに着目しました。
インフラ設計の有識者や現在の環境の開発担当者を招集して、「インターネット利用」と「社内アプリへのアクセス制御」の2段階でゼロトラストを推進しました。
| 段階 |
概要 | ||
| 段階1 インターネット利用 |
社内外からのインターネット利用を監視・保護する環境を構築して不審なURL・IPアドレスへのアクセスを遮断 | ||
| 段階2 社内アプリへのアクセス制御 |
社外ネットワークから業務アプリへのアクセスを制御する仕組みの導入 |
大和証券株式会社には全国に約300の営業部室店があり、一括切り替えはリスクが高いと判断。
そこで、とくにITリテラシーの高い部室店の500名に先行利用してもらい、不具合や課題を把握しました。
業務アプリケーションの改修が必要なケースもあり、各セクションがゼロトラストの必要性を認識しつつ一丸となり進めたそうです。
また、ゼロトラストの推移では隙を与えないように時間をかけて検討することが大切ですが、その間の脆弱性に付け込まれては意味がありません。
できる限り迅速な対応、判断をしながら、能動的にゼロトラストを推進したそうです。
その結果、2ヶ月で約19,000台の端末をゼロトラスト環境に移行できました。
大和証券株式会社は今後、オールインターネット業務スタイルでのゼロトラストセキュリティの実現を目指していく予定です。
参考:大和総研公式サイト「ゼロトラスト導入で大和証券のセキュリティを強化」
2-3. 住友商事株式会社|デバイスやアプリ、データの一貫した保護を実現
| 住友商事株式会社 | ||
| 課題 | ・新しい働き方に対応したい ・複雑化したITインフラ運用をグローバルで統一したい |
|
| ゼロトラスト導入の取り組み | ・パートナー企業のサポートを受けながら基盤コラボレーションを「Microsoft 365 E5」で構築 ・ゼロトラストの鍵となるデバイスやアプリ、データ、認証の一貫した保護を実現 |
|
大手総合商社「住友商事株式会社」では、新しい働き方に対応したい、複雑化したITインフラ運用をグローバルで統一したいなどの課題がありました。
そこで、グローバル規模のシステムをクラウド化するためにパートナー企業のサポートを受けながら基盤コラボレーションを「Microsoft 365 E5」で構築しました。
|
【従来の基盤】 ・日本とニューヨーク、ロンドンの3拠点のデータセンターでオンプレミスの仮想サーバーを含めた約150台のサーバーを管理していた |
|
【Microsoft 365 E5のゼロトラスト実現例】 ・Azure ADを利用した条件付きアクセスや多要素認証の実現 |
「Microsoft 365 E5」の導入でゼロトラストの鍵となるデバイスやアプリ、データ、認証の一貫した保護を実現できたそうです。
パートナー企業と自社の関係者が一丸となり導入プロジェクトを進めたことで、約2年半で完了。
ゼロトラスト環境の構築後は、グローバルレベルでのゼロラストセキュリティの実現ができたと実感しているとのことです。
とくに、社員が意識しなくても多要素認証や安全なアクセス環境を提供できたことで、安心感につながったそうです。
住友商事株式会社では2029年までのクラウド活用のロードマップを作成して、より高度やゼロトラスト環境の整備を進めていく予定です。
参考:Microsoft公式サイト「住友商事が次期コラボレーション基盤に Microsoft 365 E5 をグローバル採用! ゼロトラストセキュリティなど 3つの成果を得る」
2-4. 株式会社仙台銀行|モバイル端末の持ち出しに対応できる環境を構築
| 株式会社仙台銀行 | ||
| 課題 | 営業力強化のためにモバイル端末の必要性が高まりセキュリティ対策が必要になった | |
| ゼロトラスト導入の取り組み | ・ゼロトラストネットワークアクセス機能を備えた「IIJフレックスモビリティサービス」を導入 ・営業が社内に戻らず業務遂行ができ業務効率の向上を実感 |
|
宮城県に本社を構える銀行「株式会社仙台銀行」では営業力強化のためにバイル端末の必要性が高まるものの、セキュリティに課題がありました。
とくに渉外用タブレットは社外に持ち出しをして、社内のシステムやサーバーに接続して業務を行う必要があります。
目の届かないところでも、一定のセキュリティが担保できる環境が求められるようになりました。
そこで、ゼロトラストネットワークアクセス機能を備えた「IIJフレックスモビリティサービス」を導入。
従来のVPNに代わるリモートアクセス方法として、ユーザーからアクセス要求がある度にセキュリティ状態を検証するリモートアクセスを実現しました。
運用開始後は営業が社内に戻らず、業務遂行ができ業務効率の向上を実感できるようになったそうです。
安心してリモートアクセスできる環境が整ったことで、業務改革にもチャレンジできるようになりました。
参考:デジタル庁「民間企業におけるゼロトラスト導入事例」
3. 製造業のゼロトラスト導入事例
続いて、製造業のゼロトラスト導入事例をご紹介します。
製造業では、セキュリティ強化や多様な働き方に対応するために、ゼロトラスト導入を検討する傾向がありました。
ゼロトラスト導入にあたり企業の工夫が垣間見える事例を厳選したので、参考にしてみてください。
| 企業名 | ゼロトラストの取り組み |
| 株式会社LIXIL | 社内外から安全にアプリにアクセスできるソリューション(Enterprise Application Access)を導入 |
| 富士フイルムホールディングス株式会社 | 構想から半年でパソコンなどの端末をサイバー攻撃から守るソリューション(EDR)を導入 |
| アサヒグループホールディングス株式会社 | 3層に分けたセキュリティ構造でIT基盤を構築 |
| 武田薬品工業株式会社 | セキュアリモートアクセスやVPNの廃止など4つの優先項目を立ててゼロトラストを推進 |
| 旭化成株式会社 | ゼロトラストを推進するソリューション導入と社内教育の2軸でセキュリティを強化 |
3-1. 株式会社LIXIL|業務アプリやデータをサイバー攻撃から守る環境を構築
| 株式会社LIXIL | ||
| 課題 | 従来の社内ネットワークのセキュリティ対策から業務アプリやデータをサイバー攻撃からどう守るかに切り替える必要があった | |
| ゼロトラスト導入の取り組み | ・Akamai Technologiesのクラウドベースのゼロトラストネットワークアクセスソリューション「Enterprise Application Access」を導入 ・テレワーク環境にも適応でき、2.5万人がテレワークを開始した際も、大きな混乱が起きなかった |
|
建築資材や住宅設備を製造している「株式会社LIXIL」は、新しいデジタル体験に移行する過程でセキュリティやガバナンスの問題に直面しました。
社内ネットワークをどう固めるのかという従来の考え方から、業務アプリやデータをサイバー攻撃からどう守るかに切り替え、ゼロトラストセキュリティモデルをアプローチの柱として取り組みました。
課題を解決するツールとして、Akamai Technologiesのクラウドベースのゼロトラストネットワークアクセスソリューション「Enterprise Application Access」を導入。
アクセス許可の前にユーザーとデバイスの認証を行うため、利便性を損ねることなくセキュリティを強化できます。
この仕組みにより、アプリケーションの変更やVPNの使用を許可することなく、社内システムにアクセスできるようになりました。
それだけでなく、テレワーク環境にも適応でき、2.5万人がテレワークを開始した際も、大きな混乱が起きませんでした。
脱VPNを実現しながらもセキュリティを担保しつつ、DX化や多様な働き方に対応できた事例だと言えるでしょう。
参考:日経クロステック「2万5000人がテレワークしたLIXIL、「VPN渋滞」とは無縁だった理由」
Akamai Technologies「AkamaiがLIXIL のゼロトラスト戦略を促進」
3-2. 富士フイルムホールディングス株式会社|多数のソリューションを導入してセキュリティを強化
| 富士フイルムホールディングス株式会社 | ||
| 課題 | 2021年にランサムウェア攻撃を受けたことをきっかけにゼロトラストの考え方に移行したいと考えた | |
| ゼロトラスト導入の取り組み | ・構想から半年でEDRを導入 ・平行してSIEMやSOCも導入してセキュリティを強化 |
|
医療用電子機器などを製造している「富士フイルムホールディングス株式会社」は、2021年にランサムウェア攻撃を受けた経験からサイバー攻撃により営業ができなくなることを経験しました。
そこで、従来の境界防御の考え方から様々な施策を多重に組み合わせる多層防御や、都度セキュリティ状態を確認する「ゼロトラスト」の考え方に転換することにしました。
富士フイルムホールディングスでは、下記のように段階的にゼロトラストを推進しています。
とくにEDRは半年間で10万台に導入、並行してSIEMも導入し、短期間でサイバー攻撃に備える体制を構築しました。
| 月日 | ゼロトラストの実施内容 | |
| 2022年 | ・EDR(パソコンやタブレットなどの端末を監視して不審な動きを検出するソリューション)を導入 ・平行してSIEM(セキュリティ機器やネットワーク機器を監視して脅威を分析・検出するソリューション)を導入 ・全世界の拠点、ユーザーへのサイバー攻撃を24時間365日監視するSOCを導入 |
|
| 2023年 | SASE(ネットワーク機能とセキュリティ機能を統合させたソリューション)を導入予定 | |
3-3. アサヒグループホールディングス株式会社|IT基盤を全面整備
| アサヒグループホールディングス株式会社 | ||
| 課題 | ・2025年の崖に危機感を抱いた ・ビジネス環境の変化に柔軟に対応する必要があった |
|
| ゼロトラスト導入の取り組み | ・2020~2027年にIT基盤を全面整備する策定を打ち出している ・SoEと抽象レイヤー、SoRの3層に分けてIT基盤を構築 |
|
飲料や食品の製造販売をしている「アサヒグループホールディングス株式会社」は、2025年の崖(2025年以降既存システムが抱える課題が大きな経済損失を与えること)に危機感を持ち、2020~2027年にIT基盤を全面整備する策定を打ち出しました。
この計画では3つの層に分けて、新しいIT基盤を構築しています。
| 1つ目の層 SoE(System of Engagement) |
パブリッククラウドやマイクロサービスなど比較的新しい技術を使い、顧客や取引先との連携を強化する | ||
| 2つ目の層 抽象化レイヤー |
SoEとSoRを連携させる | ||
| 3つ目の層 SoR(System of Record) |
基幹業務系システムを稼働させる | ||
SoEは新しい技術なので素早い開発ができるものの、SoRの多くが既存システムなので双方の開発方法や開発時間に大きな差がありました。
そこで、SoEとSoRで領域を分けて抽象レイヤーで連携することで、幅広い製品の連携を実現させています。
参考:日経クロステック「アサヒ流「2025年の崖」の飛び越え方、鍵はIT基盤の全面整備にあり」
3-4. 武田薬品工業株式会社|ゼロトラスト実現のための優先目標を策定
| 武田薬品工業株式会社 | ||
| 課題 | Shire PLCの買収を機に、多様な働き方に対応する必要があった | |
| ゼロトラスト導入の取り組み | ・ゼロトラスト実現のための優先目標を策定 ・ZPAとZIAを導入 |
|
医薬品等の開発研究、製造をしている「武田薬品工業株式会社」では、Shire PLCの買収を機に、多様な働き方に対応できるよう検討する必要がありました。
そこで、下記の4つを優先目標にして、ゼロトラストに取り組みました。
|
【優先目標】 ・セキュアリモートアクセス |
武田薬品工業株式会社の研究開発では独自の技術やアプリケーションなどを使用する必要があり、オンプレミスからクラウドへの移行に課題があったそうです。
そこで、オンプレミスのアプリケーションにリモートで安全にアクセスできるように、ZPA(リモートアクセスソリューション)とZIA(クラウド型のセキュリティソリューション)を導入。
VPNから脱却し安全なリモートアクセスを実現しただけでなく、コストダウンにもつながったそうです。
在宅勤務など新しい働き方にも対応でき、短期間でセキュアなリモートアクセスを実現できました。
参考:Zscaler「世界各地のユーザーを強力にサポートする武田薬品工業」
3-5. 旭化成株式会社|サプライチェーンのセキュリティを強化
| 旭化成株式会社 | ||
| 課題 | サプライチェーンのセキュリティ対策は大きな課題だと考えてゼロトラストに取り組む | |
| ゼロトラスト導入の取り組み | ・SD-WANやSASE、EPPなどゼロトラストを実現するソリューションの導入 ・自社内でSOC・CSIRTの運用を実施 ・全工場150か所以上にUTMを導入 ・1年に2回、従業員向けのセキュリティ教育を実施 ・海外現地法人に対してセキュリティモニタリングやICT環境の標準化を実施 |
|
住宅領域やヘルスケア領域などの製品開発、製造をしている「旭化成株式会社」は、2016年以降デジタル変革のロードマップを描き積極的にDXを推進しています。
その中で、サプライチェーンのセキュリティ対策は大きな課題だと考え、ゼロトラストに取り組みました。
サプライチェーンのセキュリティ対策はコロナ渦前より実施し、下記の5つを実現しています。
| 対策項目 |
実施内容 | ||
| ゼロトラストの導入 |
SD-WAN(ソフトウェアでネットワークを管理するシステム)やSASEなどを導入して、ユーザー認証、エンドポイントセキュリティを強化 | ||
| SOC・CSIRTの導入 |
自社内でSOC(サイバー攻撃の対策や分析を行い未然に防ぐ組織)・CSIRT(インシデント時に対応する組織)を運用してサイバー攻撃などの検知や分析、復旧ができる体制を整えた | ||
| 制御セキュリティの確立 |
全工場150か所以上にUTM(統合脅威管理ソリューション)を導入して制御セキュリティを強化 | ||
| セキュリティ教育の実施 |
1年に2回、従業員向けのセキュリティ教育を実施 | ||
| グローバルセキュリティの確保 |
海外現地法人に対してセキュリティモニタリングやICT環境の標準化を実施 |
とくにゼロトラストの導入では、便利かつ安全なIT環境実現のために、ネットワークを再構築しているところが特徴です。
SD-WANやSASEでリモートアクセスの仕組みを一新し、セキュリティを強化するソリューションを加えています。また、サイバー攻撃などに備えてSOC・CSIRTを自社運用する仕組みも整えました。
参考:Security Online「旭化成、サプライチェーンの“Weakest Link”をなくすためにグローバル全体で底上げを徹底」
4. サービス業のゼロトラスト導入事例
続いて、サービス業のゼロトラスト導入事例をご紹介します。
サービス業ではゼロトラストを実現することで、業務効率化や顧客体験の向上が期待できます。
どのようにゼロトラストを推進できるのか、参考にしてみてください。
| 企業名 | ゼロトラストの取り組み |
| 株式会社トリドールホールディングス | SaaS(クラウドサービス)導入にあたりセキュリティを強化する3つの要件を策定 |
| 鴻池運輸株式会社 | 従来のネットワークやセキュリティを見直してゼロトラストを推進 |
4-1. 株式会社トリドールホールディングス|独自のDXビジョンで脱VPNを実現
| 株式会社トリドールホールディングス | ||
| 課題 | レガシーシステムから脱却して顧客体験を向上できるDXを推進したい | |
| ゼロトラスト導入の取り組み | ・SaaS導入にあたり3つの要件を定義 ・「DXビジョン2028」では構築したIT基盤を活かして顧客体験の向上を目指す |
|
国内外に飲食店を展開する「株式会社トリドールホールディングス」は、レガシーシステムから脱却するために2019年よりDX推進を開始しました。
複数のSaaSを導入するにあたり「シングルサインオンの対応」「商品やユーザーの共有機能がある」「取引データの出力機能がある」の3つの要件を設けて、選定を行っています。
「DXビジョン2028」を策定し、今後はゼロトラストネットワークやSaaSなどの環境を活用して顧客体験の向上や業務効率化を目指しています。
参考:株式会社トリドールホールディングス「デジタルトランスフォーメーション戦略」
参考:日経クロステック「全業務システムをSaaS群で構成するトリドール、変化対応へ求めた3つの要件」
4-2. 鴻池運輸株式会社
| 鴻池運輸株式会社 | ||
| 課題 | ・ITインフラがシステム単位でサイロ化している ・同じようなツールが社内に乱立する状況に陥っていた |
|
| ゼロトラスト導入の取り組み | ・2018年よりITインフラの見直しを開始してASWやEDR、MDMなどを導入 ・クラウドリフトで業務システムの約9割をクラウド移行 |
|
大阪に本社を構える運送会社「鴻池運輸株式会社」では、ITインフラがシステム単位でサイロ化している課題がありました。
個別のシステムを導入するために専用のDCや閉域網、セキュリティツールを導入した結果、社内に同じようなツールが乱立する状況に陥っていました。
この問題を解決するために、2018年よりITインフラの見直しを開始。
下記のように、セキュリティやネットワークを見直しました。
| 見直した項目 | 見直し前 | 見直し後 |
| ITインフラストラクチャー | ・4か所のデータセンターで管理 | ・ASW(Amazon Web Services)の導入 |
| セキュリティ | ・2種類のウイルス感染ソフト ・公衆Wi-Fiの禁止 |
・EDRやMDM(スマートフォンやタブレットなどのモバイル端末を管理するソリューション)の導入 ・SWGの導入 |
| ネットワーク | ・3種類のキャリア閉域網 ・2種類のVPN |
・キャリア網の1本化 ・業務システムはLAP経由で接続 |
また、業務システムなどは、既存のアプリケーションをそのままクラウドに移行する「クラウドリフト」を採用し、時間と予算の削減を狙いました。
特殊なシステムを除いて約9割の業務システムをパブリッククラウドに移行できました。
参考:日経クロステック「鴻池運輸が業務システムの9割をクラウド移行、4年をかけた成果」
5. 自治体・教育機関のゼロトラスト導入事例
5-1. 大阪府豊中市|ゼロトラストの概念を採り入れたデジタル基盤の構築を実施
| 大阪府豊中市 | ||
| 課題 | ・システムなどの仮想基盤が増えて運用が複雑化する ・ベンダーごとにセキュリティポリシーが異なりセキュリティに不安がある |
|
| ゼロトラスト導入の取り組み | ・ゼロトラストの概念を採用したデジタル基盤の構築を実施 ・4層に分けて一連のデジタル基盤を整えセキュリティ強化と利便性を両立 |
|
大阪府豊中市では、市民サービスの向上を目指して行政手続きのオンライン化や働き方改革などを推進していました。
その中で、システムなどの仮想基盤が増えて運用が複雑化する、ベンダーごとにセキュリティポリシーが異なりセキュリティに不安があるなどの課題が見えてきました。
そこで、ゼロトラストの概念を採り入れたデジタル基盤の構築を実施。
クラウドサービスとシステム、VDI(仮想デスクトップ)、端末の4層に分けて一連のデジタル基盤を整えました。
豊中市のセキュリティポリシーに準拠するために、2要素認証やIDaaS(IDやパスワードを一元管理するソリューション)などのセキュリティ対策も取り入れています。
今後は、物理サーバーを更新するタイミングで、デジタル基盤への統合を進める予定です。
参考:NECフィールディング「仮想基盤統合に合わせSASE、IDaaSなどのクラウドサービスを利用した4層モデルの導入により利便性向上」
5-2. 同志社大学|オンライン講義や在宅勤務に備えてセキュリティを強化
| 同志社大学 | ||
| 課題 | 大学の働き方や学び方の変化に伴いセキュリティ強化が必要になった | |
| ゼロトラスト導入の取り組み | ・セキュリティ基盤を強化するソリューションを導入 ・オンライン講義や在宅勤務にも安心して対応できる環境が整った |
|
同志社大学では大学の働き方や学び方の変化に伴い、セキュリティ強化に課題がありました。
そこで、セキュリティ基盤を強化するために、下記のような機能が備わっているソリューションを導入しました。
|
【導入したソリューションの機能例】 ・ユーザーとデバイスを防御するクラウドベースのセキュアDNS |
クラウドベースのセキュアDNSでは学内外問わずセキュリティ向上が期待でき、オンライン講義や在宅勤務にも安心して対応できる環境が整いました。
今後もゼロトラストの思想に基づいた、セキュアな環境構築を目指していくとのことです。
参考:同志社大学「シスコ、同志社大学と新たな“キャンパス”セキュリティを実現 ~環境の変化に合わせたゼロトラスト対応のセキュリティ基盤を強化~」
6. 導入事例から分かるゼロトラスト推進の4つのポイント
ここまでゼロトラストの導入事例を解説してきましたが、実は導入事例に共通したゼロトラスト推進のポイントがあります。
このポイントを把握してからゼロトラスト導入を検討すれば、失敗のリスクを軽減できるでしょう。
ここでは、導入事例から分かるゼロトラスト推進のポイントを解説します。
| 導入事例から分かるゼロトラスト推進のポイント | |
| ・中長期的な視点で段階的に進める ・現状の課題や得たい成果を把握して戦略を立てる ・担当者を設けてコミットできる状況を作る ・ソリューション選びは知識のある外部業者と連携して行う |
6-1. 中長期的な視点で段階的に進める
1つ目は、ゼロトラストの推進は中長期的な視点で段階的に進めることです。
導入事例は数年単位でゼロトラストの実現を目指しているケースが多く、計画的に進めている印象がありました。
例えば、「auカブコム証券株式会社」は2017年より、DXの一環としてゼロトラストに取り組んでいます。
数年に渡り9つの観点で既存ネットワークを見直し、多数のツールを導入してゼロトラストを実践しました。
また、「アサヒグループホールディングス株式会社」は7年(2020~2027年)かけて、IT基盤を全面整備する策定を打ち出しています。
「単一のツールやソリューションを導入する」「気になるセキュリティツールだけを導入する」では、「すべてのアクセスを最初から信頼しない」というゼロトラストの概念が実現できないことが分かるでしょう。
そのため、まずは社内の課題や今後の目標を明確にしたうえで、中長期的な視点でゼロトラストを推進する計画を立てることが大切です。
|
【ゼロトラストの計画の例】 ・数年間でIT基盤を整備し直す |
例えば、数年間で現在のIT基盤をゼロトラストに対応できるよう整備する場合は、どのようなツールから導入するのか、どの範囲から始めるのかなど決めておくとコストを踏まえて検討しやすくなるでしょう。
6-2. 現状の課題や得たい成果を把握して戦略を立てる
2つ目は、現状の課題や得たい成果を把握して戦略を立てることです。
ゼロトラストは闇雲に取り組むと「同じようなツールが乱立する」「セキュリティに抜け道があった」などの失敗につながります。
どのような課題があり、何を実現するためにゼロトラストに取り組むのか明確にしてから、戦略を立てるようにしましょう。
例えば、事例の「古河電工株式会社」ではテレワークに対応できるセキュリティを担保するという課題に対して、必要なツールから導入しています。
また、「富士フイルムホールディングス株式会社」はランサムウェア攻撃を受けた経験からゼロトラストの考え方に移行したいと考え、計画的に複数のツールを導入しています。
このように、まずは何の課題を解決するためにどのような成果を目指すのか決めてから、具体的な戦略を立てると良いでしょう。
|
【目的を持って取り組めばゼロトラストの成果を実感しやすい】 PwCが実施した「国内企業における「ゼロトラスト・アーキテクチャ」の実態調査2021」によると、ゼロトラストに取り組んだ企業が得られる成果として「4割以上の企業が「DXの推進・多様な働き方の実現」と回答しています。 |
参考:PwC「国内企業における「ゼロトラスト・アーキテクチャ」の実態調査2021」
目的を持ってゼロトラストに取り組めばゼロトラストの成果を測定しやすいので、事前に目的を決めておきましょう。
6-3. 担当者を設けてコミットできる状況を作る
3つ目は、ゼロトラストの担当者を設けてコミットできる状況を作ることです。
ゼロトラストは中長期に渡りやるべきことが多くあり、担当者が不在だと推進することが難しくなるためです。
導入事例としてご紹介した企業の多くは、ゼロトラストに取り組む担当者を設けて、ゼロトラストに注力していました。彼らは主に下記のような業務を担います。
|
【ゼロトラストの担当者の業務例】 ※ゼロトラストの進め方により業務が異なります |
ゼロトラストの担当者がいないと、社内の状況を把握してリードする人材がいません。
また手が空いている人が随時対応する形では全体像を把握していないケースがあり、なかなか前に進まないでしょう。
ゼロトラストを効率良く進めるためにも、社内の責任者や担当者を決めてから取り組むと良いでしょう。
6-4. ソリューション選びは知識のある外部業者と連携して行う
4つ目は、ソリューション選びは知識のある外部業者と連携して行うことです。
ゼロトラストはソリューション選びが成功を左右しますが、社内の人材だけでは適切な判断ができないケースが多いです。
とくにゼロトラストに必要となるソリューションは専門性が高いため「既存を連携できるのか」「どのような機能があるのか」など把握しきれない可能性があります。
その状況でソリューションを選ぶと、下記のような失敗を引き起こすことが考えられるでしょう。
|
【ソリューション選びの失敗例】 ・社内のシステムと連携できなかった |
ソリューション選びで失敗するとコストと時間を無駄にしてしまうので、導入事例の企業の多くは外部業者と連携して選定しています。
社内にゼロトラストのソリューションに詳しい人材が在籍している場合は問題ないですが、社内で選ぶことに不安がある場合は知識のある外部業者と連携しながら進めましょう。
7. ゼロトラストの計画的な導入が難しいと感じているなら「クエスト」にお任せください
ここまで、ゼロトラストの導入事例と導入事例から分かる成功のポイントをご紹介しました。
ゼロトラストは課題や目的を把握したうえで、計画的に進めることが重要です。
とは言え、企業ごとに現在保有しているソリューションや課題、今後の展望が異なるので、「ゼロトラストを実現するにはどのように進めれば良いのか」悩むところではないでしょうか?
私たち「クエスト」は、お客様のゼロトラストセキュリティ実現を支援しています。
ゼロトラストセキュリティに必要な下記のようなソリューションと運用監視を提供しており、要望に応じた柔軟な提案ができます。
|
【クエストが提供しているソリューション】 ・エンドポイント(端末)セキュリティ |
「ゼロトラストを推進したいけれど自社に合うツールやソリューションが分からない」「ゼロトラストに詳しい社員がいなくて判断に困っている」など、ゼロトラストへの取り組みに課題がある場合は、お気軽にお問い合わせください。
8. まとめ
この記事では、ゼロトラストの導入事例と導入事例から分かるポイントを解説してきました。
最後にこの記事の内容を簡単に振り返ってみましょう。
○ゼロトラストの導入事例は下記のとおり
| 企業名 | ゼロトラストの取り組み |
| 金融業・商社のゼロトラスト事例 | |
| auカブコム証券株式会社 | MicrosoftとSplunk、Akamai Technologiesのツールを多数活用してゼロトラストを推進 |
| 大和証券株式会社 | インターネット利用と社内アプリへのアクセス制御の2段階でゼロトラストを推進 |
| 住友商事株式会社 | 情報共有基盤を「Microsoft 365 E5」で構築してデバイスやアプリ、データ、認証の一貫した保護を実現 |
| 株式会社仙台銀行 | 社外からでも安定・安全性を確保できるリモートアクセスサービスを導入 |
| 製造業のゼロトラスト事例 | |
| 株式会社LIXIL | 社内外から安全にアプリにアクセスできるソリューション(Enterprise Application Access)を導入 |
| 富士フイルムホールディングス株式会社 | 構想から半年でパソコンなどの端末をサイバー攻撃から守るソリューション(EDR)を導入 |
| アサヒグループホールディングス株式会社 | 3層に分けたセキュリティ構造でIT基盤を構築 |
| 武田薬品工業株式会社 | セキュアリモートアクセスやVPNの廃止など4つの優先項目を立ててゼロトラストを推進 |
| 旭化成株式会社 | ゼロトラストを推進するソリューション導入と社内教育の2軸でセキュリティを強化 |
| サービス業のゼロトラスト事例 | |
| 株式会社トリドールホールディングス | SaaS(クラウドサービス)導入にあたりセキュリティを強化する3つの要件を策定 |
| 鴻池運輸株式会社 | 従来のネットワークやセキュリティを見直してゼロトラストを推進 |
| 自治体・教育機関のゼロトラスト事例 | |
| 大阪府豊中市 | 4層に分けて一連のデジタル基盤を整えセキュリティ強化と利便性を両立 |
| 同志社大学 | セキュリティ基盤を強化するソリューションを導入してオンライン講義や在宅勤務に対応できる環境を構築 |
○導入事例から分かるゼロトラスト推進のポイントは下記のとおり
・中長期的な視点で段階的に進める
・現状の課題や得たい成果を把握して戦略を立てる
・担当者を設けてコミットできる状況を作る
・ソリューション選びは知識のある外部業者と連携して行う
ゼロトラストの導入は、課題や目的に合うソリューション、ツールを選定し、適切な運用をすることが欠かせません。
ゼロトラスト実現に向けて課題がある場合は、ぜひ当社にご相談ください。