計画原則:なぜこの順序なのか(クリティカルパス)
- 資産可視化がないと、何にIAM・パッチ・監視を掛けるかが決まらず、後続が迷走します。
- IAMは入口の成功率を下げ、以後の分離・監視の“軸(ID)”を揃えます。
- パッチは境界機器や公開面の露出を速やかに下げ、被害の入り口を閉じます。
- 分離は横展開を遅らせ、影響範囲を限定。最小のネット/テナント設計から着手します。
- 監視は「回す」ための神経系。最低限のログ網羅と保存・相関で検知遅延を縮めます。
判断基準:「入口を絞り、横展開を遅らせ、検知を早める」三位一体で90日をデザインします。
90日ロードマップ(0–30–60–90日)
| 期間 | 主目標 | 成果物(証跡) | KPI例 |
|---|---|---|---|
| Day 0–30 | 資産・接続の可視化/MFA展開開始/重大CVE緊急処置 | 資産台帳v1、接続トポ図、MFAポリシー、重大CVE対応リスト | MFAカバレッジ≧70%、重大CVE未対応ゼロ、公開資産棚卸100% |
| Day 31–60 | 特権のJIT化/共有ID撤廃/更新SLA運用化/分離の第1弾 | PAM運用記録、共有IDゼロ宣言、パッチSLA、セグメント設計書 | 共有ID=0、特権JIT率≧95%、重大パッチ中央値≦5営業日 |
| Day 61–90 | ログ網羅・保存・相関の“最小セット”/自己評価ドライラン | ログ一覧・保持年限表、相関ルール最小10本、自己評価レポート | 主要ログカバレッジ≧95%、MTTD中央値≦24h、是正率≧80% |
同時並行は最小限に。週次で「完了・未了・阻害要因」を3行で共有すると、速度が落ちません。
領域別プレイブック(手順・KPI・証跡)
1) 資産可視化(0–30日)
- 目的「誰が・何に・どう繋ぐか」を網羅する。
- 手順①IDソース(人・端末・SaaS)収集→②公開資産の棚卸→③発注者内部への接続境界の列挙→④クラウド責任分界の書面化→⑤台帳v1固定。
- KPI資産台帳の完全性100%(対象範囲内)/公開面の棚卸100%。
- 証跡資産CSV、図(L2〜L3レベル簡易)、責任分界メモ。
2) IAM(0–60日)
- 目的入口の成功率を下げ、監査可能な“誰が”の主軸を確立。
- 手順①MFA全面化(人・特権・API)→②最小権限のロール化→③共有ID撤廃→④PAM導入(JIT・操作録画)→⑤退職・異動連動の自動剥奪。
- KPIMFAカバレッジ100%/共有IDゼロ/特権JIT率≧95%。
- 証跡MFAポリシー、ID棚卸表(残存例外リスト付)、PAMログ。
3) パッチ(0–60日)
- 目的境界機器・公開面の露出を短期に圧縮。
- 手順①重大CVEの即日暫定措置→②更新SLA(重大=翌営業日、重要=5営業日など)→③例外承認と仮想パッチ→④可視化ダッシュボード→⑤定例レビュー。
- KPI重大CVE未対応ゼロ/重大パッチ中央値≦5営業日。
- 証跡パッチ適用台帳、例外記録、週次サマリー。
4) 分離(31–90日)
- 目的横展開の速度と範囲を制限する。
- 手順①顧客別/機密区画のセグメント化→②発注者接続セグメントの厳格分離→③テナント分離の原則化→④アカウント分離(人・機械・API)→⑤通信の許可リスト化。
- KPI機密区画の未許可通信ゼロ/顧客接続の横移動遮断ログ確認。
- 証跡セグメント設計書、FW/ポリシー差分、変更申請の記録。
5) 監視・ログ(61–90日)
- 目的「見える化→検知→是正」を最小限で回す。
- 最小ログセットID、ネットワーク(FW/Proxy/VPN)、エンドポイント、クラウド管理プレーン、主要SaaS監査ログ。
- 相関の最小10本①異常ログイン連続失敗→成功、②高権限の時間外アクセス、③VPN地理的矛盾、④EDR高優先→横展開兆候、⑤管理プレーン設定変更、⑥新規共有リンク大量発行、⑦WAF検知→同一送信元複数面、⑧MFAバイパス試行、⑨特権JIT長時間保持、⑩ログ欠落の自己監視。
- KPI主要ログカバレッジ≧95%/MTTD中央値≦24h/誤検知率≦5%(初期目安)。
- 証跡ログ一覧・保持年限表、相関ルール定義、アラート月次レビュー議事。
ゼロトラストの段階導入(SSO/ZTNA/マイクロ分割)
段階1:SSOでIDを単一化
人・端末・SaaSをSSOに束ね、MFA・条件付きアクセスを一元化。効果:入口の成功率低下、可視化の単純化。
段階2:ZTNAで常時接続を撤廃
VPN恒常接続→アプリ単位のオンデマンド接続へ。効果:踏み台・横移動の抑制。
段階3:マイクロ分割
機密区画に対し、ワークロード・IDベースのきめ細かい許可リスト化。効果:侵害時の影響半径縮小。
ゼロトラストは「製品名」ではなく「運用の質」。Day4では段階1〜2の“動く仕組み”を先に完成させます。
第三者に説明できる証跡設計(★3/★4意識)
| 領域 | 証跡(例) | 保管先 | 更新頻度 |
|---|---|---|---|
| 資産 | 台帳CSV、公開資産リスト、接続トポ図 | 文書管理/CMDB | 月次 |
| IAM | MFA方針、ID棚卸結果、PAM操作ログ | ISMS文書庫/SIEM | 月次/四半期 |
| パッチ | SLA、適用台帳、例外承認、暫定措置記録 | チケ管/セキュリティ台帳 | 週次 |
| 分離 | セグメント図、FW差分、変更申請/承認ログ | ネット設計リポジトリ | 都度 |
| 監視 | ログ一覧・保持年限表、相関ルール、月次アラートレビュー | SIEM/運用レポ | 月次 |
提出のコツ:「方針(Policy)→実装(Procedure)→証跡(Evidence)」の三点セットで束ねると、短時間で第三者に伝わります。
RACIと会議体:週次/月次の運用回し
| 領域 | R | A | C | I |
|---|---|---|---|---|
| 資産・接続可視化 | IT運用 | CISO | 各事業部 | 経営会議 |
| IAM(MFA/最小権限/PAM) | セキュリティ | CIO | 人事/総務 | 監査 |
| パッチ・CVE対応 | IT運用 | システムオーナー | 開発/ベンダ | 事業責任者 |
| 分離(NW/テナント) | ネットワーク | IT部門長 | プロダクト | 経営会議 |
| 監視・SIEM | SOC | CISO | 法務/個情保 | 監査 |
- 週次(30分):未了タスク・阻害要因・例外承認の3点のみ。全員で「次の1手」を合意。
- 月次(45分):KPIダッシュボード、アラートレビュー、翌月の重点3件。
失敗パターンと回避策
- 可視化前にツール導入 → 台帳v1を先に固定。導入は“当て先”が決まってから。
- MFA例外の放置 → 「期限つき例外」に。延長には役員承認を必須化。
- 共有IDの温存 → PAM+JITを採用し、恒常付与をゼロへ。
- 分離の一気呵成 → 顧客接続/機密区画から優先。許可リストは段階拡張。
- ログの“集めっぱなし” → 最小10本の相関と月次レビューを先に回す。
予算・稟議の通し方(CAPEX/OPEX・見積項目)
| 区分 | 項目 | メモ |
|---|---|---|
| 人件費(OPEX) | プロジェクトPM、運用増強(SOC/運用/ID管理) | 90日間の一時増強と、翌年度の定常化見込みを分けて記載 |
| ライセンス(OPEX) | SSO/MFA、PAM、EDR、SIEM | ★4を見据え、ログ保存年限・操作録画を含めて積算 |
| 機器/CAPEX | 境界更新、収集用アプライアンス等 | レンタル/クラウド化の比較を添える |
| 教育/訓練 | フィッシング訓練、運用手順教育 | KPIと連動(クリック率低下など) |
| 第三者 | 自己評価レビュー、★4想定のギャップ診断 | 更新時の外部評価を見据えた前倒し |
稟議の一文(例):「90日で★3の要件を満たし、重要契約については★4要求(再委託監督・第三者評価)へ移行できる基盤を整える。被害確率と影響半径を同時に下げるための最低投資である。」
テンプレート集(進捗・KPI・リスク台帳)
① 週次進捗フォーマット(3行)
【完了】MFAカバレッジ 72%→83%(営業/カスタマーサクセス適用)
【未了】PAM操作録画の保存年限を12か月→24か月へ拡張(来週)
【阻害】公開資産のDNSレコード棚卸に抜け(所有部門確認中)② KPIダッシュボード(最小)
| KPI | 現状 | 月末目標 | 備考 |
|---|---|---|---|
| MFAカバレッジ | 83% | 95% | 例外は期限付き |
| 共有ID件数 | 2 | 0 | APIキー分離を含む |
| 重大CVE未対応 | 0 | 0 | 維持 |
| 重大パッチ中央値 | 7営業日 | 5営業日 | 仮想パッチで短縮 |
| 主要ログカバレッジ | 82% | 95% | SaaS監査ログを追加 |
| MTTD中央値 | 36h | 24h | 相関ルール10本運用 |
③ リスク登録簿(抜粋)
| ID | リスク | E×L×I | 対応 | 期限 | 責任 |
|---|---|---|---|---|---|
| R-01 | VPN重大脆弱性の再発 | 5×4×5=100 | 更新SLA/仮想パッチ/露出縮小 | 即日 | ネット |
| R-02 | 共有IDの残存 | 4×3×4=48 | PAM/JIT、代替手順整備 | 今月末 | セキュリティ |
| R-03 | ログ欠落 | 3×3×4=36 | 収集計画の見直し、欠落検知 | 来月頭 | SOC |
まとめ
- 順序の意味:資産可視化→IAM→パッチ→分離→監視は、入口を絞り、横展開を遅らせ、検知を早めるための最短ルート。
- 90日の到達点:★3の運用を「回す」状態まで引き上げ、重要契約は★4要求を差し込める準備を完了。
- 運用の肝:週次30分で未了・阻害・例外を潰し、月次でKPIとアラートを磨く。
- 第三者説明:Policy→Procedure→Evidenceの三点セットで束ねると、短時間で伝わる。
FAQ(3問)
- Q1. 90日では“完全対応”になりません。意味はありますか?
- A. 目的は回る運用の立ち上げです。入口・横展開・検知の最小実装が動けば、被害確率と影響半径を短期に下げ、★4拡張や第三者評価に繋がる“土台”ができます。
- Q2. ツールは何から買えばいいですか?
- A. ツールは手段です。まず資産・接続の当て先を固定し、既存機能(SSO、ログ、EDR)の活用余地を洗い、不足のみを最短で補います。
- Q3. 委託先が追随できません。
- A. まず自社の★3運用を標準化し、重要パートナーには年次把握・SLA・証跡を段階導入。契約条項に「期限付き例外」と是正の期日を明記します。
