前回、ぼくたちが考えたさいきょうのセキュリティ布陣(ちょっと高いけど)と題して、自社で採用している最強の3点セット(Okta / Netskope / CrowdStrike)について好き勝手に書きました。
今回は、その3点セットをどうやって導入していくかのロードマップを今回も好き勝手に書いていきます。
はじめに:ゼロトラストは「順番」を決めると現実的になるんじゃないかなと思ってます
ゼロトラストという言葉はよく聞く一方で、「結局、何から着手すべきか」が曖昧になりがちです。
結論から言うと、順番の考え方を持って進めると、コストと運用の両面で無理が出にくくなります。
特に、初手から広い範囲を同時に整備しようとすると、投資判断も運用設計も難しくなります。
そこで今回は、Okta(ID)・CrowdStrike(端末)・Netskope(通信/データ)を例に、私が考える段階導入の順番を一例として紹介します。
※具体例のSaaSは Google Workspace / Salesforce / Box を使います。
想定される恐ろしい事故は「アカウント乗っ取り」なのかなって思います
全業種で起きやすく、意思決定者にも伝わりやすく、しかも被害が「情報漏えい」「取引先への二次被害」「社内の信用失墜」まで一気に飛び火する。
それが フィッシング起点のアカウント乗っ取り です。
よくある流れはこんな感じです。
- だれかがフィッシングに引っかかる
- Google Workspace(Gmail/Drive)に侵入される
- Boxに置いた資料や、Salesforceの顧客情報の「痕跡」が辿られる
- 情シスは徹夜でパスワードリセット、ログ追跡、取引先説明など超大変
そしてここで痛いのが、「MFA入れてたのにやられた」パターンですね。
原因はだいたい、例外だらけ運用、端末が怪しくても気づけない、データ持ち出しの兆候を追えないのどれか(または全部)です。
ゼロトラストを“3つの問い”に分けると、急に現実的になります
ゼロトラストを難しくしているのは、製品名や用語が増えすぎることと思います。
いったん雑に「3つの問い」に分解すると整理できます。
- 誰?(ID):その人は本当に本人? 権限は適切?
- どこから?(端末):その端末は健康? 乗っ取られてない?
- 何してる?(通信・データ):どのSaaSに、どんな操作で、データはどこへ?
対応する製品の役割はこうです。
- Okta(ID):入口(ログイン・SSO・MFA・セッション制御)
- CrowdStrike(端末):足元(端末リスク・隔離・検知)
- Netskope(通信/データ):出口(SaaS利用可視化・DLP・制御)
ポイントは、最初から全部揃えなくていいこと。
むしろ、入口(ID)が弱いのに出口(DLP)を入れても、運用うまく回らないことが多いです。
私が考える「段階導入」の順番です
この記事では、よくある「1〜12か月の月次計画」はあえて書きません。代わりに、意思決定に必要な 次に進む判断軸 を示します。
また、以下は唯一の正解を断定するものではなく、読者像(ゼロトラストはこれから)に対して私が現実的だと考える進め方の一例です。
Phase 0:現状把握(最小限でOK)
ガチガチの棚卸しは不要です。まずは「意思決定に効く数字」をサクッと集めます。
- 重要SaaS:Google Workspace / Salesforce / Box はどれくらい重要?
- 現状の認証:MFAはどれくらい徹底? 例外は何件?
- 退職者・委託先:アカウント棚卸しは回ってる?
- 端末:管理できてる端末比率は?(ざっくりでOK)
- 事故対応:もし乗っ取りが起きたら、誰が何をする?手順ある?
ここでのゴール:現状の穴を「気合い」じゃなくて、数字と言葉で説明できる状態にする
Phase 1:入口を固める(Okta中心)— 例外が管理できるMFAへ
私の考えでは、段階導入の初手はここが最も取り組みやすいケースが多いです。
理由は、入口(ID/認証)側の整理が進むほど、後段(端末・通信/データ)の施策が“効く形”になりやすいためです。
やることは3つだけに絞ります。
- Google Workspace / Salesforce / Box を SSO + MFA で標準化
- 条件付きアクセスの“土台”を作る(場所・リスク・端末の信号と連動できるように)
- 例外設計をちゃんと作る(役員・委託先・開発・緊急時)
「Oktaが回っている」判定
- SSO/MFAが“当たり前”になっている(重要SaaSで抜けが少ない)
- 例外が申請・承認・期限・棚卸しの形で管理されている
- 乗っ取り疑い時に「セッション停止・再認証・権限見直し」が標準手順になっている
ここが回るだけで、乗っ取り対応の夜間作業がかなり減ります。
逆に、ここが回らないと「SSO・MFA入れたのに例外だらけ」「情シスが疲弊」になりがちです。
Phase 2:足元を固める(CrowdStrike中心)— 端末状態を判断材料にする
入口が整ってくると、次に効いてくるのが端末です。
同じユーザーでも、端末が怪しいときは「ちょっと厳しめ」にしたい。これができると強いと思います。
ただし、ここも最初から強いブロックを前提にするのではなく、段階的に進めるのがおすすめです。
- 端末の見える化(どの端末が危ない?)
- 重大アラート時の動き(隔離・初動)を決める
- Oktaと連携して「危ない端末のユーザーは再認証」「セッション停止」などを自動化
「CrowdStrikeが回っている」判定
- 端末が見える化され、危険度の判断軸が共有されている
- 重大インシデント時の隔離/初動が“手順化”されている
- 重要度の高いアラートに集中できる運用になっている(全部対応しない)
Phase 3:出口を固める(Netskope中心)— まずは“止めないDLP”から
最後に出口(通信・データ)です。ここは強力ですが、失敗もしやすい領域だと思います。
最初から厳しくやると、現場の反発でだいたい炎上します。
私が基本形としておすすめする順番は次のとおりです。
- まず 可視化(Google Workspace / Box の利用状況、シャドーIT)
- 次に 止めないDLP(検知・アラート中心)
- 最後に 怪しいときだけ止める(Okta/CrowdStrikeの信号を使って段階制御)
「Netskopeが回っている」判定
- 何が起きているか(誰がどこへデータを動かしたか)を説明できる
- まずは止めずに検知し、改善サイクルが回っている
- “怪しい時だけ”段階的に制御できる(止めすぎない)
連携すると何が変わるんですか?
ここからは、イメージしやすいように「実際に起きる1日」を例にします。
シナリオ:フィッシングでGoogleアカウントが怪しい
- まずは入口(Okta)が気づけるようになる
- 普段と違う場所/挙動でログインが起きる
- 追加認証を要求する、あるいは一旦セッション停止
- SalesforceやBoxへのSSOセッションも“まとめて”制御できる
- 端末(CrowdStrike)が怪しければ、さらに強くできる
- 「この端末、危ないかも」の信号が出たら、Okta側で強制再認証やアクセス制限
- 最悪の場合、感染端末を隔離して被害拡大を止める
- 出口(Netskope)で“持ち出し”の兆候を押さえられる
- Google DriveやBoxで大量DL、外部共有、個人ストレージ転送などの動きを検知
- 怪しい時だけ段階的に止める(いきなり全ブロックしない)
要するに、人が気合いで追う部分を減らして、標準手順+自動化に寄せるのが連携の価値です。
つまずきポイント(よくある落とし穴)
段階導入であっても、ここは注意です。
- MFA例外が増えてカオス化(“期限なし例外”が増える)
- SSO対象が中途半端で抜けが残る(重要SaaSからやるのがコツ)
- EDRのアラートが多すぎて、結局見なくなる(重要度と手順を決める)
- DLPを厳しくしすぎて現場が反発(“止めないDLP”から)
- 製品導入で満足して、運用設計が後回し(ここが一番多い)
ネクストモードがお役に立てるところ
ツールを入れること自体よりも、実は「回る形にする」ほうが難しいです。
ネクストモードが支援できるのは、下記だと思っています。
- 段階導入の順番と到達目標の設計(無理のないスコープ)
- ポリシーの初期セットと例外設計支援(ここで運用が決まる)
- 連携による自動化(効くところから小さく始める)
- 定着支援(レビュー→改善のサイクルを回す)
言い切るなら、「設定して終わり」じゃなく、例外・アラート・ルールを“回る形”にするところが勝負です。
まとめ:まず何から始めるの?
最後にチェックリストです。最初の一歩を小さく、でも確実に。
- [ ] Google Workspace / Salesforce / Box を「重要SaaS」として位置づける(範囲を決める)
- [ ] OktaでSSO/MFAを標準化する(例外設計込み)
- [ ] 乗っ取り疑い時の標準手順(セッション停止、再認証、権限確認)を決める
- [ ] 端末の見える化(CrowdStrike)を進め、重大時の動きを決める
- [ ] 可視化(Netskope)→止めないDLP→怪しい時だけ止める、の順で出口を固める
全部同時に導入じゃなくて、入口→足元→出口の順で、ちゃんと回る状態にしていく。
これが、コストも運用も破綻させない、現実的なゼロトラストの進め方です。
おわりに:
このロードマップはあくまで一例ですし、途中まで導入されているケースなど様々だと思います。皆様の企業にあった順番や構成など現実的にまわる状態にすることで、かなりのリスクを軽減できるのではないかと思っています。
ぜひ皆様の環境にあったセキュリティ対策で、少しでも被害が減ることを祈っております。
お困り、お悩みなどありましたら、ネクストモードにお気軽にご相談ください!
