アメリカのゼロトラスト導入と日本の「なんちゃってゼロトラスト」導入はどう違うのか?ディテールに意味がある本格的レポート
以下の2本の投稿と、その下にある3本目の投稿は、かなり議論を巻き起こしたようで、ページビューもめちゃめちゃ多かったです。
アサヒグループが導入する「本家・米国式ゼロトラスト」は日本のなんちゃってゼロトラストとは決定的に違う(2025/12/1)
日本企業がアサヒグループ並みの米国本家ゼロトラストを導入するには今の3〜5倍のIT予算が必要(2025/12/2)
なぜ米国企業はゼロトラスト導入で「大手SIer」を使わないのか?調査でわかった日米のITの構造的な違い(2025/12/22)
日本企業一般がITにかける予算は米国と比較して圧倒的な差があること。(日本企業の経営者が長年それをよしとしてきたこと。つまり"日本スタンダード"をよしとして来たこと。またIT業界誌が長年そのことを指摘してこなかったこと。それはおそらく広告収入を失うことになるため。)
また、サイバーセキュリティにかける予算はさらにさらに米国企業よりも少なかったこと。
そのようにして長年温存されてきた"日本スタンダード"が、"世界スタンダード"のランサムウェア犯罪集団の格好の標的となり、アサヒグループの被害やアスクルの被害がもたらされたこと。
こうした真実は誰かが指摘しなければいけなかった訳です。それがあるため、「なんちゃってゼロトラスト」という"日本スタンダード"のランサムウェア防御製品等を総称する必要がありました。大変に恐縮でした。
アサヒグループやアスクルの被害の深刻さを日本の東証プライム上場企業コミュニティとITコミュニティが認識するようになって、ようやく、「これは日本企業がITにかけるお金が少なすぎることから起こったことなのだ」と理解していただけるようになったと思います。
ズバリ、日本のランサムウェア被害が甚大なものになるのは、ITにお金をかけてこなかったからです。米国のIT水準をよく調べればそれがわかります。
従って、このネガティブループを抜けるには、アサヒグループのトップが最近様々な記事でおっしゃっているように、ランサムウェア等に対処する組織を社長直下に置き、従来とは全く異なる水準の予算を投じる、経営トップの決断が必要なのです。
この決断の重みをよく理解している東証プライム上場企業はまだまだ、まだまだ少数派だと思います。アサヒやアスクル級のランサムウェア被害はこれからも続出するだろうと見ています。
それだからこそ、誰が動くべきか?「社長を動かすことができる、社長直下の組織のスタッフ一人一人」が動かないといけないのです。
手前味噌ですが以下のセミナーの初回分はそのような直球メッセージを受講者の方々に投げて大変好評でした。以下はその二回目ということになります。
ランサムウェア対策の最終解答:
米政府推奨ゼロトラストアーキテクチャ移行の必須知識 -経営企画室が主導するアメリカ基準のランサムウェア対策-
米国政府が推奨するジョン・キンダーバーグのゼロトラスト思想に基づいたゼロトラストアーキテクチャ導入。それは単なるツールの導入ではなく、経営者が決断すべき「経営戦略」そのものです。
なぜ経営企画部が主導すべきなのか?経営企画部が行うべき作業の内容と外部の専門企業との座組み、予算措置について解説します。
前置きが長くなりました。この投稿では、米国のゼロトラストアーキテクチャ導入の実際が、日本企業のゼロトラストアーキテクチャ導入と"全く違う"ということを論じています。
簡単に言うと、米国企業では自社内に高度な技能を持ったITスタッフが社員として雇用されており、自社の情報システム構築ニーズを基本的に自前で処理します。必要がある時/場面だけ、Global Systems Integrator(Tata Consultancy Servicesに代表されるAWS四天王など)やブティック型インテグレータあるいはテーマ特化型IT実装コンサルタント会社に依頼します。ITが本業でない超巨大国際ブランド企業はIT戦略と実装の全てをAccenture米国本社等の最高度のコンサルティング+IT実装力を持つ企業に"丸投げ"に近い形で委託することはありますが、それは特例。基本的には自社のITスタッフでこなします。それがあるため、ゼロトラストアーキテクチャ導入も、極めてコスト効率の高いピンポイントで済む場合もあるのです。ゼロトラストアーキテクチャ導入の5本の柱
米国政府系標準のゼロトラストを構成する「5本柱」【ランサムウェア被害に遭わない米国最新DX】
を自前でハンドリングできるので、実装は比較的軽微で済むということがある...ということが以下の報告書でわかりました。
対する日本は「ITゼネコン」という言葉がふさわしい、原則として丸投げ。丸投げを受注した大手SIerは多重下請け構造の中で実装は下位の下請けに任される構造があります。(この構造がいつから生じたのか?綿密な調査をしたことがあります。非常に興味深い歴史的な経緯がわかって来ました。後日、余裕がありましたらその調査結果を共有します。)
原則として丸投げという構造があるため、米国のようにスマートなゼロトラストアーキテクチャ導入ができないのです。米国政府が推奨するゼロトラストアーキテクチャを導入するためには、極めて高い費用をかけて、インドに存在する、アマゾン本社からAWSインテグレータ四天王と呼ばれるTCS等に「丸投げ」せざるを得ないのです。これがやたらとお金がかかります。
その辺の事情がよくわかるレポートになっています。
追記:
それらの事情を全的に理解した上で、社内で、社長、CIO、CISO、経営企画室、情報システム部門がめちゃめちゃ勉強して、腹を括るなら、別な道が開けることをこのレポートは告げています。つまり、インドのAWS四天王に頼らずともやれる道はある...訳ですが、それ以前に社内でめちゃめちゃ勉強することが不可欠です。英文最新資料の読解ではフルにChatGPT、Geminiが使えますから、さほど負担にはならないと思います。ITの力とは英語の最新技術資料をひたすら読みこなすことです。
用語定義
-
ZTA (Zero Trust Architecture): NIST SP 800-207に基づく、リソースごとのアクセス制御と継続的な検証を行うセキュリティモデル。
-
なんちゃってゼロトラスト: 日本特有の用語で、実態は境界防御でありながらゼロトラストを標榜する導入形態。
-
GSI (Global Systems Integrator): TCS(Tata Consultancy Services)Accenture, Deloitteなどの大規模システムインテグレータ。なお、アクセンチュア日本法人と米国本社との関係は、実装技術に関して、誤解を恐れずに言えば別法人であり、日本法人はGSIとは言えない。(米国コンサルティングファームの米国本社から日本拠点にシステム実装ノウハウが"下りてくる"経路・プロセスは、米国に本社があるIT大手の本社から日本拠点に実装ノウハウが下りてくる経路・プロセスとさほど変わりがない。つまり日本にノウハウが下りてくるスピードと翻訳/ローカライゼーション等の手間暇は双方でさほど差がない。つまり米国本社と日本拠点の技術の間にかなりの差がある。簡単に言えば翻訳の問題。-> インドにはそれがない)
-
Boutique SI: 特定の技術領域(セキュリティ、クラウド等)に特化した専門パートナー。
日米におけるゼロトラスト導入の本質的差異と実装実態に関する包括的調査報告書
1. 序論:ゼロトラストアーキテクチャ(ZTA)の世界的潮流と市場の乖離
1.1 背景と目的
デジタルトランスフォーメーション(DX)の加速とサイバー脅威の高度化に伴い、従来の「境界型防御」から、NIST SP 800-207に準拠した「ゼロトラストアーキテクチャ(ZTA)」への移行が世界的な急務となっている。しかし、その概念の受容と実装プロセスにおいて、日本市場と米国市場の間には、単なる技術導入の遅速を超えた構造的かつ文化的な乖離が存在する。
本報告書は、日本特有の現象である「なんちゃってゼロトラスト」と、米国における「特定ソリューション主導型のゼロトラスト導入」の本質的な差異を解明することを主目的とする。また、米国市場において、TCS(Tata Consultancy Services)やAccentureといった大規模グローバルシステムインテグレータ(GSI)を介さずに、高度なZTA実装が達成されている実態について、そのメカニズムと組織的能力の観点から詳細に分析する。さらに、ランサムウェア被害におけるZTAの有効性と、被害後のZTA移行事例を通じて、理論のみならず実戦におけるZTAの真価を検証する。
1.2 調査の視座
本分析では、単なる製品機能の比較にとどまらず、以下の三つの次元から日米の差異を構造化する。
-
組織論的次元:「ユーザー企業」と「ベンダー(SIer)」の力関係および責任分界点の違い。
-
実装論的次元:「構築(Build)」から「構成(Configure)」へのパラダイムシフトと、APIエコノミーによるSIの無力化。
-
実証的次元:実際のインシデント(Colonial Pipeline, MGM Resorts, Baker & Baker等)におけるZTAの挙動と復旧プロセス。
2. 「なんちゃってゼロトラスト」と「ソリューション主導型導入」の構造的解剖
日米における「不完全なゼロトラスト」は、一見すると同様のマーケティング用語の氾濫(ゼロトラスト・ウォッシング)に見えるが、その発生機序とセキュリティリスクへの影響は根本的に異なる。
2.1 日本の「なんちゃってゼロトラスト」:形式主義と構造的停滞
日本の「なんちゃってゼロトラスト」は、既存の境界型防御モデルを温存したまま、表面的なツール導入によってゼロトラストのラベルを貼付する現象と定義される。これは技術的な無理解というよりも、日本独特のIT産業構造に起因する必然的な帰結である。
2.1.1 構造的要因:SIer依存と責任の不在
日本のIT環境は、ユーザー企業内に高度な技術力を持つエンジニアが少なく、システムの企画・構築・運用を外部のSIerに依存する「丸投げ」構造が主流である。
-
現状維持バイアス: SIerのビジネスモデルは、人月単価に基づく労働力の提供と、既存システムの保守運用によって成立している。ゼロトラストの本質である「動的なポリシー変更」や「境界の撤廃」は、SIerにとって運用の複雑化と既存の安定収益源(VPN管理や境界ファイアウォール運用)の喪失を意味するため、積極的な提案が行われにくい構造にある。
-
「なんちゃって」の技術的実体: 結果として、既存のVPN装置の手前に多要素認証(MFA)を追加しただけで「ゼロトラスト対応」と謳う事例が多発する。この構成では、認証こそ強化されるものの、一度ネットワーク内部に侵入されればラテラルムーブメント(横展開)が容易なままであり、NIST SP 800-207が求める「マイクロセグメンテーション」や「リソースごとのアクセス制御」は欠落している
1
2.1.2 運用と文化の乖離
ゼロトラストは「性悪説(Assume Breach)」を前提とするが、日本の組織文化は「性善説」と「身内への信頼」を基盤とすることが多い。「社内ネットワークは安全である」という暗黙の了解(Implicit Trust)を打破できず、高価なSASE(Secure Access Service Edge)製品を導入しても、ポリシー設定ですべての通信を許可(Allow All)してしまうケースが散見される。これが「なんちゃって」と呼ばれる所以であり、投資対効果が極めて低い状態を生み出している
2.2 米国の「ソリューション主導型導入」:機能的断片化と実利主義
一方、米国における不完全なゼロトラストは、「Best-of-Breed(最良種)」アプローチによる製品導入が先行し、全体統合が追いついていない状態を指すことが多い。これを本報告書では「ソリューション主導型導入」と呼称する。
2.2.1 課題解決型のアプローチ
米国企業は、「ゼロトラストを導入すること」自体を目的にせず、具体的な経営課題(ランサムウェア対策、M&Aによる拠点統合、完全リモートワーク移行)の解決手段としてZTAを採用する傾向が強い。
-
VPNの撤廃: 米国におけるZTA導入の最大のドライバーは、VPNの脆弱性とパフォーマンス問題の解決である。Zscaler Private Access (ZPA) や Appgate SDP といったZTNA(Zero Trust Network Access)製品を導入し、リモートユーザーをネットワークから切り離すことに主眼が置かれる
2 -
アイデンティティの境界化: クラウドシフトが進んだ米国では、OktaやMicrosoft Entra ID (Azure AD) を中心に据え、IDを新たな境界とするアプローチが一般的である。
2.2.2 「断片化」のリスクとメリット
米国の「特定ソリューション導入」は、必ずしもネガティブなものではない。
-
メリット: 例えば、ZTNAを導入するだけで、リモートアクセス経由のラテラルムーブメントは物理的に遮断される。これは「なんちゃってゼロトラスト」とは異なり、限定的ではあるが確実なセキュリティ向上をもたらす
4 -
リスク(断片化): エンドポイント(CrowdStrike等)、ネットワーク(Zscaler等)、ID(Okta等)がそれぞれ個別のポリシーで運用され、統合的な可視性が失われるリスクがある
6
2.3 日米アプローチの比較分析
以下の表は、日米の導入アプローチにおける本質的な違いを整理したものである。
| 比較項目 | 日本:「なんちゃってゼロトラスト」 | 米国:「ソリューション主導型導入」 |
| 導入の動機 | コンプライアンス、経営層からの指示、バズワードへの追従 | ランサムウェア被害軽減、VPN撤廃、M&A、クラウド移行 |
| 技術的実体 | 既存VPN + MFA(境界防御の延伸) | ZTNA(VPN置換)、IDaaS、EDRの個別導入 |
| 信頼モデル | 暗黙の信頼(Implicit Trust)が残存。認証後は内部移動が自由。 | 明示的な検証(Explicit Verify)。ただし適用範囲が部分的。 |
| 運用主体 | SIerへの丸投げ(運用設計のブラックボックス化) | 内製チーム(DevSecOps)または専門ブティックパートナー |
| 失敗の性質 | 無効化:アーキテクチャが変わっていないため、リスクが低減しない。 | 複雑化:ツール間の連携不足により、運用負荷(Alert Fatigue)が増大する。 |
3. 米国における「GSI不在」の導入実態とエコシステム
日本の常識では、大規模なインフラ刷新には大手SIer(GSI)が不可欠と考えられがちである。しかし、米国のゼロトラスト導入において、TCSやAccentureといったGSIが必ずしも主役ではない。むしろ、中堅〜大企業層においては、内製エンジニアリングとSaaSネイティブなエコシステムが主導権を握っている。
3.1 「構築(Build)」から「構成(Configure)」へのパラダイムシフト
かつてのセキュリティインフラ(ファイアウォール、MPLS回線)は物理的な設置と複雑な設定を要したため、GSIの労働集約的な支援が必要であった。しかし、現代のゼロトラストソリューション(Zscaler, CrowdStrike, Oktaなど)はSaaSとして提供される。
-
インフラの消滅: 物理的なアプライアンスをデータセンターに設置する必要がない。Zscalerの導入は、トラフィックの宛先をZscalerクラウドに向ける(GREトンネルやPACファイルの設定)作業であり、物理的な「構築」作業は発生しない
5 -
APIによる連携: 従来、異機種間の連携にはSIerによるスクリプト開発が必要であったが、現代のSaaS製品はAPI連携が標準化されている。例えば、CrowdStrikeが検知した端末のリスクスコアをZscalerが読み取り、自動的にアクセスを遮断するといった連携は、管理画面上のチェックボックス一つで有効化できる
7
3.2 「内製インテグレータ」としてのDevSecOpsチーム
米国企業、特に中堅以上の企業では、IT部門がコストセンターではなく競争力の源泉とみなされており、高度なスキルを持つエンジニアが直接雇用されている。
-
ポリシーのオーナーシップ: ゼロトラストの本質は「誰が・いつ・何にアクセスできるか」というポリシー定義にある。これは外部ベンダーではなく、ビジネスプロセスを熟知した社内のITリーダーやセキュリティアーキテクトが決定すべき事項である。米国企業では、この「論理的な設計」を内製チームが担い、ツールの設定も自ら行う傾向が強い
9 -
事例的証左(SLCC): 後述するサウスルイジアナコミュニティカレッジ(SLCC)の事例
10
3.3 ブティック型パートナーとベンダーエコシステムの役割
GSIを使わない場合、誰が専門的な支援を行うのか。米国では「ブティック(専門特化)型」パートナーの存在感が大きい。
3.3.1 専門特化型パートナー(Boutique SIs / VARs)
巨大なGSIではなく、特定のセキュリティ領域や製品に特化した小規模〜中規模のパートナーが選好される。
-
Quzaraの事例: CrowdStrikeの導入において、連邦政府のセキュリティ基準(FedRAMP)への準拠を支援したQuzaraは、何万人もの社員を抱えるGSIではなく、セキュリティとコンプライアンスに特化した専門企業である
11 -
Six Degreesの事例: 英国・米国で活動するSix Degreesは、単なるツール導入ではなく、「ゼロトラストは製品ではなく戦略である」というコンサルティング的アプローチを提供している
12
3.3.2 ベンダーのエコシステム戦略
CrowdStrikeやZscalerなどの主要ベンダーは、GSIに依存しない導入を促進するために、強力なパートナーエコシステムとトレーニングプログラムを整備している。
-
Zscalerパートナーエコシステム: Zscalerは技術パートナー(Microsoft, AWS, Oktaなど)との事前検証済みの統合を提供している。これにより、顧客は「ベストプラクティス構成」をそのまま適用でき、SIerによる独自カスタマイズを不要にしている
13 -
CrowdStrike Store: アプリストアのように、サードパーティのツールを簡単に追加・連携できる仕組みを提供し、インテグレーションのハードルを下げている。
3.4 米国における導入主体の類型
| 導入主体 | 特徴 | ゼロトラスト導入における役割 |
| 内製チーム (In-house) | ビジネスロジックを熟知。SaaSの設定・運用を直接担当。 | ポリシー策定、ID管理、製品選定の主導。 |
| 専門ブティック (Specialist) | 特定製品(CrowdStrike, Zscaler等)に深い専門性を持つ。 | 難易度の高い設定、コンプライアンス対応、初期導入支援。 |
| GSI (Accenture, Deloitte等) | 大規模な組織変革、BPOを伴う案件。 | 全社的なDX戦略の一部としてのセキュリティ刷新(フォーチュン100企業中心)。 |
結論として、米国におけるゼロトラスト導入の多くは、GSIによる「丸投げ」ではなく、**「内製チームによる戦略立案」+「SaaSベンダーの機能活用」+「必要に応じた専門パートナーの支援」**というハイブリッドモデルで実行されている。
4. ケーススタディ分析:ZTAの有効性と導入のリアリティ
ここでは、米国における具体的な事例に基づき、ZTAがランサムウェア被害をいかに防いだか、あるいは被害後にどのような変革が行われたかを詳細に分析する。
4.1 【予防的成功事例】Baker & Baker社:クラウドネイティブによる完全移行
欧州の大手製パン企業であるBaker & Bakerは、親会社からの事業分離(Divestiture)を機に、従来のMPLSベースのネットワークから完全なゼロトラスト環境へ移行した
-
背景と課題:
-
12の製造拠点と7カ国のオフィスを持ち、ランサムウェア攻撃を月に平均10回受けていた。
-
従来のハブ&スポーク型ネットワーク(MPLS)とVPNに依存しており、セキュリティインシデントが発生すると事業継続に大きな影響が出ていた。
-
親会社からの分離に伴い、短期間で独立したセキュアなインフラを構築する必要があった。
-
-
導入アプローチ:
-
GSI不在の意思決定: ITセキュリティ責任者であるSteffen Erler氏が主導し、物理的なWANを再構築するのではなく、Zscaler(ZIA/ZPA)を用いたクラウドベースのZTAを採用した。
-
技術選定: 従来のファイアウォールとVPNを全廃し、ユーザーとアプリを直接接続するモデル(Software Defined Perimeter)に移行。OT(運用技術)やIIoT(産業用IoT)トラフィックもZscalerクラウド経由で保護した。
-
-
成果:
-
被害の極小化: 導入直後からランサムウェアインシデントが「ゼロ」になった。VPNを撤廃したことで、攻撃者がネットワークに侵入する経路(Attack Surface)が消滅したためである。
-
コストとスピード: VPN廃止によりコストを70%削減。物理的な機器設置を最小限に抑えたため、GSIによる大規模工事を伴わずに短期間での展開に成功した。
-
4.2 【内製主導の成功事例】South Louisiana Community College (SLCC):データ中心のゼロトラスト
SLCCの事例は、地方の教育機関であっても、適切なツール選定と内製リーダーシップがあれば、GSIなしで高度な防御を実現できることを示している
-
背景とインシデント:
-
「Ryuk」ランサムウェアの攻撃を受け、数百台のサーバーが暗号化された。原因は、管理されずに放置されていたWindows 7端末への侵入であった。
-
-
ZTAの役割(データ保護):
-
ITディレクターのNick Pitre氏は、州政府からの「バックアップをネットワークから切り離せ(テープ等へ戻せ)」という助言を拒否し、Rubrikの「イミュータブル(変更不可)バックアップ」によるゼロトラスト・データ管理を信頼した。
-
Rubrikのシステムは、バックアップデータへのアクセスを厳格に検証し、管理者権限が侵害されてもデータ自体が改ざんされない設計(Zero Trust Design)になっていた。
-
-
成果:
-
高速復旧: ランサムウェア自体は侵入したが、バックアップデータは無傷であった。「Live Mount」機能を使用し、個々の復旧を5〜10分で完了。全体として2時間以内に事態を100%封じ込め、身代金を支払うことなく復旧した。
-
教訓: これは「ネットワークのゼロトラスト」ではなく「データのゼロトラスト」が奏功した事例である。大規模なコンサルティングではなく、製品(Rubrik)に組み込まれたZTA機能を内製チームが正しく運用していたことが勝因であった。
-
4.3 【事後変革事例】Colonial Pipeline:インシデントを契機としたZTAへの転換
米国最大のパイプライン事業者であるColonial Pipelineの2021年のランサムウェア事件は、古い境界防御(VPN)の限界と、その後のZTAへの急激なシフトを象徴する事例である
-
被害の実態:
-
攻撃者は、ダークウェブに流出した「使用されていないVPNアカウント」のパスワードを使用して侵入した。このアカウントにはMFA(多要素認証)が設定されていなかった。
-
一度侵入されると、ラテラルムーブメントによりITネットワーク全体(請求システム等)が掌握された。OT(パイプライン制御)への波及を恐れ、予防的に操業を全面停止したことで、米国東海岸の燃料供給が途絶える事態となった。
-
-
GSIではなく専門家の介入:
-
復旧と調査を主導したのは、一般的なGSIではなく、インシデントレスポンス専門企業であるMandiant(当時はFireEye傘下)であった。MandiantのCharles Carmakal氏らが介入し、脅威の封じ込めと復旧を行った。
-
-
ZTAへの移行:
-
事件後、Colonial Pipelineは連邦政府(TSA)からの新たなセキュリティ指令もあり、急速にゼロトラスト化を推進した。
-
具体的には、ネットワークセグメンテーションの強化(ITとOTの厳格な分離)、MFAの完全義務化、VPN依存からの脱却が進められた。
-
この事例は、被害を受けるまで「なんちゃって」状態(VPNがあるから安全という誤解)であった大企業が、壊滅的な被害を受けて初めて、Mandiantのような「専門家」と内製リーダーシップによって本質的なZTAへ舵を切った典型例である。
-
4.4 【教訓事例】MGM Resorts:ID中心の防御とその限界
2023年のMGM Resortsへの攻撃は、ZTAの要である「ID管理」さえも、運用上の隙(ソーシャルエンジニアリング)があれば突破されることを示した重要な事例である
-
ZTA導入状況:
-
MGMはOktaを使用した高度なID管理システムを導入しており、技術的にはゼロトラストの一角を成していた。
-
-
攻撃手法:
-
攻撃者(Scattered Spider)は、技術的なハッキングではなく、ヘルプデスクへの電話(Vishing)によって「MFAのリセット」を依頼し、正規の権限を奪取した。
-
これにより、Oktaの防御壁が正規の手続きとして突破され、ランサムウェア(ALPHV/BlackCat)の展開を許した。
-
-
示唆:
-
これは「ソリューション(Okta)導入」だけでは不十分であり、人間系を含めたプロセスのゼロトラスト化(ヘルプデスクの本人確認厳格化など)が不可欠であることを示している。
-
事件後、MGMはID管理プロセスの見直しに加え、エンドポイントでの振る舞い検知や封じ込め技術(Xcitium等)への投資を強化しているが、ここでもGSIへの依存というよりは、セキュリティオペレーションセンター(SOC)の強化と専門ツールの活用が中心となっている。
-
5. 比較分析の総括:日本企業への提言
5.1 本質的な違いの再定義
日本の「なんちゃってゼロトラスト」と米国の「ソリューション主導型導入」の違いは、**「停滞」対「前進」**の差である。
-
日本のモデルは、既存の境界防御構造を温存するための「言い換え」に過ぎず、リスク総量は変化していない。SIerへの依存構造が、この停滞を固定化している。
-
米国のモデルは、断片化という課題を抱えつつも、VPN撤廃やIDベースの制御といった「不可逆的な前進」を含んでいる。SaaSの活用により、GSIに依存せずに内製チームが主導権を握ることで、アジリティ(俊敏性)を維持している。
5.2 大規模インテグレータ(GSI)不要論の真実
米国においてGSIを介さないゼロトラスト導入が進む理由は、以下の3点に集約される。
-
SaaS化によるインフラ構築の消滅: 物理的な「工事」が不要になり、設定(Configuration)が主戦場となったため、人海戦術を持つSIerの価値が低下した。
-
APIエコノミーの成熟: Zscaler、CrowdStrike、Oktaなどの主要ベンダーが、コードを書かずに連携できるAPIを提供しており、インテグレーションの難易度が劇的に下がった。
-
内製エンジニアの台頭: セキュリティを経営課題と捉え、ポリシー設計を行える人材を社内に確保しているため、外部に「正解」を求める必要がない。
5.3 日本企業へのインプリケーション
日本企業が「なんちゃって」を脱却し、真のZTAへ移行するためには、以下の視点が必要となる。
-
「構築」から「利用」へ: SIerに独自のゼロトラスト基盤を作らせるのではなく、グローバルスタンダードなSaaS(Zscaler, CrowdStrike等)を「そのまま」使う勇気を持つこと。カスタマイズは複雑性を生み、GSI依存を深めるだけである。
-
ポリシーオーナーシップの奪還: ゼロトラストの核心は技術ではなく「誰に何を許可するか」というポリシーである。これをSIer任せにせず、社内で定義・運用できる体制(少人数でも可)を作ることが、成功への唯一の道である。SLCCの事例が示すように、適切なツールを選べば、少人数の内製チームでもランサムウェアに対抗しうる強靭なセキュリティは実現可能である。
参照データソース一覧
本報告書は、以下の調査資料および公開情報に基づき作成された。
-
-
: Baker & Baker社におけるZscaler導入事例とランサムウェア対策効果。
-
-
-
-
VPN vs. Zero Trust: Which Does Your Business Actually Need?
Challenges in Zero Trust: The Philosophy vs. The Product | AppGate
Baker & Baker Case Study | Customer Stories | Zscaler
Why Zero Trust architecture is superior to traditional security models
Why Is Zero Trust Cybersecurity So Essential Today? - Zscaler
Holistic Cybersecurity Platforms vs. Best-of-Breed Solutions
How Zero Trust and XDR Work Together | Trend Micro
Zero Trust: Charting a Path to Stronger Security (AWS Whitepaper)
South Louisiana Community College Recovers Before Receiving a Ransom Note
CrowdStrike Case Study | Quzara Project
Zero Trust in Practice - Adopting and Sustaining it in Your Real-World Environment
System Integrator Partners | Drive Success with Zscaler
Join the Partner Ecosystem - Zscaler
Baker & Baker Boosts Enterprise Security Nearly 90% (PDF)
Mandiant Investigation Summary - Gainsight
Colonial Pipeline Ransomware Attack: Lessons After One Year
Cyber Threats in the Pipeline: Using Lessons from the Colonial Ransomware Attack (US Gov)
Colonial Pipeline ransomware attack - Wikipedia
MGM Resorts Data Breach Settlement: Analysis and Lessons for CISOs
Data Breach Costs: MGM's $45M Settlement & Xcitium's Prevention
MGM Cyberattack: A Wake-Up Call for Businesses of All Sizes
What Is Cybersecurity Platformization? - Palo Alto Networks
Announcing The Forrester Wave™: Zero Trust Platforms, Q3 2025
Forrester names Microsoft a Leader in the 2025 Zero Trust Platforms Wave report
Why True Zero Trust Storage is the Future