火曜日は「DX担当の兼務が組織設計の失敗だ」という話をしました。

同じことが、セキュリティ運用でも起きています。

「ウチのセキュリティチーム、3人で全部やってます」
「VPN の設定、ファイアウォールの保守、ログ監視……全部が誰かの兼務です」

セキュリティも、デジタル変革も、人手不足は同じ。

だからこそ、「やることを絞り込む」戦略が必要です。

前の記事で「ゼロトラスト」という言葉を何度か出しましたが、実は、これは単なる「新しいセキュリティ概念」ではなく、「人手不足を前提とした運用設計」なんです。

その導入順を、公共・金融の両方で進みつつある「段階的アプローチ」に沿って説明します。

目次 [ close ]
  1. ゼロトラスト = 「城壁」から「個人認証」へ
    1. 従来のセキュリティ(境界防御)の発想従来のセキュリティ(境界防御)の発想
    2. ゼロトラストは、その状況に対応する発想
  2. 段階的導入:Phase 1 → Phase 2 → Phase 3
    1. Phase 1(今月〜来月):Identity First — IDを新たな「城門」にする
    2. Phase 2(3ヶ月目以降):Endpoint Security — デバイスの健全性を確認
    3. Phase 3(6ヶ月目以降):Micro-Segmentation & Monitoring — ネットワークを微細に切って、監視の目を入れる
  3. 「人手不足」を前提にした設計
  4. 今週、現場がやるべきこと
  5. Phase 1 の実施チェック
  6. 火曜日との繋がり
  7. 問いかけ
  8. 参考資料

ゼロトラスト = 「城壁」から「個人認証」へ

従来のセキュリティ(境界防御)の発想従来のセキュリティ(境界防御)の発想

  • 「社内ネットワークは安全。外部は危険」
  • だから、VPN で「安全ゾーン」に入る人だけを許可する
  • 一度入ったら、あとはほぼ信頼する

このモデルは、セキュリティチームにとって楽でした。

「城壁の外に敵がいる」という単純な世界観だから。

でも、現代は違います。

テレワーク、クラウド、SaaS……社員も資産も「外」に散らばっています。

城壁の中も外も区別がつかなくなったんです。

ゼロトラストは、その状況に対応する発想

  • 「どこにいようが、何をしようが、信頼しない」
  • 「でも、身分証(ID)と健康診断(デバイスチェック)が確認できたら、その瞬間だけ信頼する」
  • その代わり、「エレベーター式に権限を段階的に与える」

段階的導入:Phase 1 → Phase 2 → Phase 3

「ゼロトラストをやれ」と言われても、いきなりは無理です。

自治体や金融機関でも、段階的に進めています。

Phase 1(今月〜来月):Identity First — IDを新たな「城門」にする

従来:VPN を通ってネットワークに入る → その後は信頼
ゼロトラスト:「お前は本当に本人か?」を毎回確認

具体的には:

IDaaS(Identity as a Service)の導入
Okta、Azure Active Directory、Ping Identity などを使い、「全社員の ID を一元管理」する。

MFA(多要素認証)の強制
パスワード+スマホの認証コード、みたいな 2 段階認証を全員に強制。
金融機関では既に「管理者は MFA 必須」が標準ですが、これを全員に拡大。

VPN からの脱却
わざわざ VPN を通さず、クラウドサービスに直接ログインする。
セキュリティは「ID が正しいか」で判断する。

これだけで、セキュリティレベルが跳ね上がります。

なぜなら、VPN より ID 管理の方が監査しやすく、ログも取りやすいから。

セキュリティチームの仕事も「VPN の運用」から「ID の監視」に変わり、人手が少なくて済むのです。

Phase 2(3ヶ月目以降):Endpoint Security — デバイスの健全性を確認

Phase 1 で「ID は信頼できる」となったら、次は「そのデバイスは安全か?」を見ます。

EDR(Endpoint Detection and Response)
社員が使う PC やスマホに「見張り」を入れる。ウイルス、不正な操作がないかを監視。

デバイス管理(MDM)
OS が最新か、セキュリティパッチが当たってるか、暗号化されてるかを確認。

ゼロトラスト NAC(Network Access Control)
「このデバイス、ウイルス対策ソフト入ってないな」→データアクセスはブロック、といった動的な制御。

この段階から、「ネットワーク境界」という概念が本格的に消えます。

Phase 3(6ヶ月目以降):Micro-Segmentation & Monitoring — ネットワークを微細に切って、監視の目を入れる

ここからは「事故が起きることを前提」にした設計です。

マイクロセグメンテーション
「営業部のデータは営業部からのアクセスだけ」「経理のサーバーは経理部からだけ」という細かい区切り。

SIEM(Security Information and Event Management)
全ログを一箇所に集めて、AI が異常を検知。
「あ、この人、いつもと違う動き。ちょっと警戒しましょう」みたいな判断。

「人手不足」を前提にした設計

ここが重要です。

火曜日の「DX 担当兼務」の話と同じで、セキュリティチームも人手不足です。

だからこそ、「人手で監視」ではなく「機械で監視」という流れに変わったんです。

Phase 1(ID 管理)までなら、「外部サービスを入れるだけ」で済みます。

つまり、セキュリティチームの仕事が「運用」から「監視と判断」に高度化するかわりに、量は減る。

自治体でも金融機関でも、この転換を進めているのは、「セキュリティ人材不足」が理由です。

今週、現場がやるべきこと

経営が「ゼロトラスト導入」を決めたら、現場は「Phase 1 から始める」という確認を取ってください。

Phase 1 の実施チェック

① IDaaS(クラウド ID 管理)の検討開始
AWS なら「AWS Single Sign-On」、Azure なら「Azure Active Directory」、独立したなら「Okta」など。
まずは「トライアル」で動かしてみる。

② 管理者から MFA を強制開始
AWS、Azure、Salesforce などで「MFA なしでログインできない」という設定を入れる。
金融機関では既に標準ですが、民間企業はまだという組織が多い。

③ VPN に代わる「クラウド経由のアクセス」をテスト
わざわざ VPN を通さず、IDaaS 経由で SaaS に直接ログイン。
「あ、実はこっちの方が楽だ」という体験を作る。

火曜日との繋がり

火曜日に「兼務は組織設計の失敗」という話をしました。

同じことがセキュリティにも言えます。

Phase 1 の「ID 管理」は、実は「自動化可能」な仕事です。

つまり、セキュリティチームが「人海戦術」から「仕組みの設計」にシフトできるということです。

そして、仕組みが効けば、チームの負担が減り、新しい人も育てやすくなる。

問いかけ

御社のセキュリティチーム、何人いますか?

その人たちは「VPN の保守」「ログの手作業確認」といった「消える仕事」に時間を使っていませんか?

もしそうなら、Phase 1(ID 管理の自動化)は、「セキュリティを強くするだけでなく、人手を救う魔法」です。

来週の火曜日は「PoC 貧乏」問題について。小さく実験しているのに、なぜか何も残らない……その根本原因を切ります。

参考資料