2024年5月9日開催 セキュリティ分科会イベント
【ゼロトラストネットワーク(セキュリティ)を実現するポイント】
2024年5月9日(木)、CIO Lounge情報セキュリティ分科会主催イベントとして、「ゼロトラストネットワーク(セキュリティ)を実現するポイント」と題したセミナーが実施されました。セミナーでは、株式会社マクニカの恒本 一樹様の基調講演の後、グループごとにディスカッションが実施され、最後の懇親会までの5時間半、濃密な学びと気づき、親密な懇親の場となりました。
基調講演
基調講演では、冒頭ゼロトラストネットワークとは?として、ゼロトラストの基本を解説いただき、続けて、ゼロトラストネットワークを実現する2つのポイントが紹介されました。
ゼロトラストの考え方は、従来の境界防御型と異なり、①社内外を問わずあらゆる通信を信頼しないで、ユーザやデバイスな情報や通信内容を可視化してからアクセスを許可する。②アクセス権限は最小限に留める。③内部に侵入されている前提でセキュリティを考える。の3つのポイントを紹介されました。
続けて、ゼロトラストネットワーク構築の2つのポイントとして、①ゼロトラストネットワークアクセスと②マイクロセグメンテーションの紹介がありました。非常に高度な技術の説明でしたが、とても分かりやすいプレゼン資料のおかげで理解が進みました。
ゼロトラストネットワークは、ID管理(認証基盤)、資産管理やEDRなどのエンドポイントセキュリティ、SASEによるネットワークとDLPなどの情報管理で構成され、加えてマイクロセグメンテーションを実施することで、被害の拡散を抑えます。
また、ゼロトラストの構成手法として、マルチベンダーで構成する方法とプラットフォームベンダー一つに集約する構成手法のメリットデメリットの解説が有り、皆興味深く拝聴していました。
最後に、上手くいかない5つの事例と成功のための3つのポイントを紹介いただき、講演後のディスカッションがうまく進むよう配慮いただきました。
5つの事例は以下の通りで、「あるある」と感じた参加者も多かったようです。
1.要件がきちんと社内で議論されていない
2. 機能の〇×比較に基づいた製品選定
3. 製品導入後の運用の変更が議論されていない
4. ID基盤の統合が後回しになっている
5. テレワーク対応がゴールになってしまっている
これに対するポイントは、戦略的プロジェクトで実施する。全体アーキテクチャを整理してからプロジェクトを始める。導入計画・ロードマップの作成。といったオーソドックスな解でした。セキュリティ対策は場当たり対策ではだめで、ゴールを自社の状況に即した形で決め、導入するソリューションの関係を全体像としてしっかりとらえることが重要です。
討議
基調講演の後の討議では、図X(P64)を見ながら、各社のサイバーセキュリティの状況を共有し、参加者同士で貴重な討論が行われました。基調講演の資料が非常に分かりやすいものだったため、参加者も「当社の進捗はステップ4だけど、XXXのソリューションは入れていない」など定量的にシステムの整備状況を話すことが出来て、アンケートでも「他社の状況が良く分かり、自社の立ち位置が良く分かった」「会社毎に考え方の違いがあり勉強になった」などの高評価をいただきました。また、認証基盤は重要ですが、海外のID管理は現地任せのところが多く「グローバルガバナンスに苦労してる」などグローバル企業ならではの悩みなども話され、同様の業態の方からの共感を得る場面やちょっとしたアドバイスなどももらえる素敵な場となったことは参加者の皆様の意識の高さの表れだと思います。
今回はサポート会員企業のの皆様にも多数ディスカッションに入っていただくことが出来たので、「ユーザ企業がどこで悩んでいるのかが良く分かった」などの高評価をいただくことも出来ました。CIOラウンジとしては、サポート会員とユーザ企業・会員企業との懸け橋となることを目指しており、その一部が体現できたことを喜んでおります。
終わりに
サイバーセキュリティ分科会では、今後もサイバーセキュリティにおけるAI活用やIT人材獲得・育成など幅広くテーマ設定を行ってまいりますので、多くのユーザ企業の参加をお待ちしております。特に、今まで参加されたことのない企業の方にも喜んでもらえるように努めてまいります。