はじめに:なぜ、今この本なのか?
「ゼロトラスト」という言葉がバズワード化して久しいですが、その本質を「物語(ストーリー)」として腹落ちさせてくれる本は稀有です。
George Finney氏の著書『Project Zero Trust』(Wiley社)は、技術書でありながら小説形式をとるユニークな一冊です。
主人公のディランが、ランサムウェア被害に遭った企業を立て直していく過程を通じて、「製品を買い集めること」と「戦略を持つこと」の違いを痛烈に描いています。
本記事では、日本未翻訳(※執筆時点)のこの名著のエッセンスを、全11章にわたり要約・解説します。
「上司にゼロトラストを説明するためのネタ帳」としてご活用ください。
この記事は『Project Zero Trust』特集の一部です。全記事一覧はこちら↓
Part 1: 覚醒と戦略(Chapter 1-3)
~「信頼」という名の脆弱性を知る~
Chapter 1: The Case for Zero Trust(ゼロトラストが必要な理由)
物語は、主人公ディランの初出社の朝、会社がランサムウェア攻撃を受けるところから始まります。
経営陣は「多層防御(ファイアウォールやウイルス対策)にお金をかけたのに!」と激怒しますが、ディランは残酷な事実を指摘します。
「外壁は頑丈でしたが、一度中に入った攻撃者を『信頼』してしまったため、内部は無防備でした」
Chapter 2: Zero Trust Is a Strategy(ゼロトラストは戦略である)
ディランは復旧プロジェクトのリーダーになりますが、開発部門などから「セキュリティ強化は邪魔だ」と反発されます。
ここで彼は、ゼロトラストを「ツール導入」ではなく「経営戦略(Grand Strategy)」として定義し直します。
「これはITの問題ではない。ビジネスを止めないための戦略だ」と説くことで、CEOのコミットメントを引き出します。
Chapter 3: Trust Is a Vulnerability(信頼こそが脆弱性)
侵入経路の特定が進みます。原因は高度なハッキングではなく、「信頼された正規のアカウント」が悪用されたことでした。
「パケット(通信)を人間のように信頼してはいけない」。
Verify Explicitly(明示的に検証する)というゼロトラストの第1原則がここで確立されます。
💡 ZTRラボの視点
日本企業の多くが、「ゼロトラスト対応製品」のカタログを集めることから始めてしまいます。しかし、本書が教える通り、まずは「我々は社内ネットワークすら信頼しない」という宣言(戦略策定)が先決です。製品選びはその次です。
Part 2: 実装の壁(Chapter 4-7)
~何を守り、どう監視するか~
Chapter 4: The Crown Jewels(王冠の宝石)
「すべてを守ろうとする者は、何も守れない」。
ディランは「DAASモデル」を用いて、守るべき資産(Crown Jewels)を以下の4つに分類・特定します。
そして、それらの周囲にだけ強力な防御壁(マイクロセグメンテーション)を築きます。
Chapter 5: The Identity Cornerstone(アイデンティティの礎)
境界防御が崩壊した今、唯一の防御線は「ID」です。
ディランは現場の反発を押し切り、パスワード依存からの脱却(MFAの強制)を断行します。その代わり、SSO(シングルサインオン)を提供することで「利便性」を向上させ、取引を成立させます。
Chapter 6: Zero Trust DevOps(開発者との和解)
「セキュリティチェックは遅い」と嫌う開発部に対し、ディランは「シフトレフト(Shift Left)」を提案します。
開発の初期段階で自動的にチェックを行うことで、結果的にリリースの手戻りが減り、開発スピードが上がることを証明し、彼らを味方につけます。
Chapter 7: Zero Trust SOC(可視化と監視)
ログの洪水に溺れかけたディランは、監視対象を「Protect Surface(守るべき領域)」に出入りする通信だけに絞ります。
さらに、自動化ツール(SOAR)を導入し、単純な攻撃の遮断を自動化することで、少人数のチームでも運用可能な体制を作ります。
💡 ZTRラボの視点
中堅企業にとっての最大の学びはChapter 4です。「予算がないからゼロトラストは無理」ではありません。「予算がないからこそ、守るべきデータを1つに絞って、そこだけを徹底的に守る」のが正しいゼロトラストの歩み方です。
Part 3: 文化と未来(Chapter 8-11)
~システムを超えて、組織の血肉にする~
Chapter 8: Cloudy with a Chance of Trust(クラウドにも「信頼」の雨が降る)
クラウド移行において、「Amazonが守ってくれる」という誤解を解きます。
「責任共有モデル」を理解し、クラウド上の設定ミス(Misconfiguration)を防ぐ仕組みを構築します。
Chapter 9: A Sustainable Culture(持続可能な文化)
システム導入後、ディランは「人の意識」の変革に取り組みます。
社員を監視対象としてではなく「セキュリティ・チャンピオン」として扱い、正しい行動をした人を称賛する文化を作ります。
Chapter 10: The Tabletop Exercise(机上演習)
物語のクライマックスは、全役員参加の「避難訓練」です。
「CEOのPCが盗まれた」というシナリオに対し、誰がどう判断するかをシミュレーションします。これにより、技術ではなく「意思決定プロセス」の欠陥を洗い出します。
Chapter 11: Every Step Matters(すべての一歩が重要)
ゼロトラストに「完了」はありません。
「今日の我々は、昨日より少しだけ安全か?」
この問いを繰り返す「旅(Journey)」こそが、最強のセキュリティであると結ばれます。
💡 ZTRラボの視点
机上演習(Tabletop Exercise)は、最もコストパフォーマンスの高いセキュリティ対策です。お金をかけずに会議室だけで実施でき、経営層の意識を劇的に変えることができます。ぜひ次回の役員会で提案してみてください。
まとめ:理論から実践へ
『Project Zero Trust』は、技術書であると同時に、情シス担当者が社内で戦うための「政治と交渉の教科書」でもあります。
理論は理解できた。でも、「具体的に、うちの会社で明日から何をすればいいの?」
そう思った方は、この本の内容を日本の中堅企業向けに超訳・実践シミュレーションした連載記事シリーズをぜひご覧ください。
▼【実践ドキュメンタリー】連載記事はこちら
- Vol.1 【覚醒編】 その日、「防御」は死んだ。
- Vol.2 【政治編】 最大の敵はハッカーではなく「社内」にいる
- Vol.3 【設計編】 「なんとなく」を許さないアーキテクチャ
- Vol.4 【実装編】 IDこそが新しい「境界」である
- Vol.5 【運用編】 見えないものは守れない
- Vol.6 【文化編】 ゼロトラストは「終わらないプロジェクト」
👉 『Project Zero Trust』特集トップへ戻る
