営業部門や非IT部門にもゼロトラストが必要な理由を理解する方法

ゼロトラストは「情シスの話」ではなく「全社の業務の話」

ゼロトラストは、かんたく言うと「社内だから安全」「VPNにつながっているから安全」といった前提を置かず、すべてのアクセスを都度確認し、必要最小限に許可する考え方です。ここで誤解されがちなのが「セキュリティ製品を入れる話」だという点です。実際には、営業・総務・経理・人事・法務・企画など、非IT部門の業務フローそのものに深く関係します。

理由はシンプルで、攻撃者が狙うのはサーバーだけではなく、日々のメール・クラウド・ファイル共有・チャット・SaaSのログインだからです。たとえば営業が使う見積書、顧客リスト、契約書のドラフト、商談メモは、売上や競争力に直結します。経理の請求書や振込データ、人事の個人情報、総務の取引先台帳も同様です。これらは多くの場合、クラウドストレージやメール添付、SaaS（CRM、会計、電子契約など）に分散し、業務のスピードを優先して共有されます。その「便利さ」が、侵入口にもなります。

さらに近年は、リモートワークや出張、私物端末の利用（BYOD）、外部パートナーとの共同作業が当たり前になりました。境界（社内ネットワーク）の内側に守るべきものが集まっている前提が崩れています。だからこそ、ゼロトラスト＝「境界ではなく、ユーザー・端末・データ・アプリへのアクセスを中心に守る」へ発想を切り替える必要があります。

とはいえ、非IT部門がゼロトラストを学ぶときに、技術用語から入ると挫折します。大事なのは「自部門の業務で、誰が、何に、どこからアクセスしているか」を見える化し、事故が起きたときの損失を具体化することです。本記事では、営業部門や非IT部門でも「なるほど、うちに必要だ」と腹落ちする理解の仕方と、現実的な導入ステップを整理します。

営業・非IT部門が狙われる典型パターン（起きやすい事故を業務で想像する）

ゼロトラストの必要性を理解する一番の近道は、「自分たちの業務で、よくある事故」を具体的に想像することです。攻撃は難解なハッキングだけではありません。むしろ、非IT部門の現場ではメール、ID・パスワード、ファイル共有のミスから始まることが多いです。

請求書・見積書を装うメール（BEC/なりすまし）の被害

「取引先からの請求書が届いた」「口座が変更になった」というメールは、営業や経理にとって日常です。ここに偽装が混ざると、誤送金や口座情報の漏えいにつながります。攻撃者は、過去のやり取りを盗み見て文面を真似ることもあります。メールの信頼性に頼り切った運用が最大の弱点になります。

クラウド共有リンクの拡散

「リンクを知っている人は誰でも見られる」設定のまま、提案書や顧客資料を共有していないでしょうか。チャットに貼ったリンクが転送され、意図しない相手が閲覧できるケースは珍しくありません。ゼロトラストの観点では、リンク＝認証の代替にしないことが重要です。

同じパスワードの使い回しからの乗っ取り

CRM、グループウェア、会計、電子契約、勤怠など、SaaSが増えるほどパスワード管理は難しくなります。どれか1つが漏れ、同じパスワードを使い回していると連鎖的に侵害されます。ここでゼロトラストが効くのは、多要素認証（MFA）や条件付きアクセスで、パスワード単体に依存しない構造にする点です。

退職者・異動者の権限が残る

非IT部門でありがちなのが、「担当者が変わったが共有フォルダの権限がそのまま」「外部委託のアカウントが残っている」など、棚卸し不足です。ゼロトラストでは、誰が何にアクセスできるかを継続的に見直す運用が前提になります。

端末の紛失・盗難、私物端末の混在

営業の外出や出張でノートPC・スマホが紛失すると、端末に残ったメール、ファイル、ブラウザのログイン状態から情報が抜かれる可能性があります。ここでも「端末が社内にあるかどうか」より、端末が安全な状態か（暗号化・ロック・更新・管理）が焦点になります。

これらはどれも「現場の行動が悪い」という話ではありません。業務スピードを落とさず回すために、便利な運用に寄りがちなのが自然です。ゼロトラストは、その自然な運用を前提に、事故が起きても被害を最小化する仕組みを全社で作るアプローチだと捉えると理解しやすくなります。

「必要な理由」を腹落ちさせる3つの視点：データ・ID・端末

非IT部門がゼロトラストを理解する際は、「ネットワーク」よりも「業務の3要素」に分解するとスムーズです。具体的には、データ（何を守るか）、ID（誰が触るか）、端末（どこから触るか）の3つです。

データ：売上・信用・法令対応に直結する

営業資料や顧客情報は、漏えいすると競合に利するだけでなく、顧客からの信頼を失います。個人情報を扱う部門では、事故対応の工数・顧客対応・場合によっては行政対応も発生します。重要なのは「データの価値」を金額に置き換えることです。たとえば、主要顧客のリストが漏れた場合の失注リスク、契約書ドラフトが漏れた場合の交渉不利、内部の価格表が外に出た場合の値引き圧力など、経営インパクトとして説明できるようになります。

ID：攻撃者は「人になりすます」

ゼロトラストでは「ユーザーIDの安全性」が中心です。攻撃者はサーバーを壊すより、誰かのIDでログインできたほうが簡単です。IDが奪われると、正規の操作に見えるため検知が遅れます。だからこそ、MFA、SSO、アカウントの自動無効化、権限の最小化が重要になります。非IT部門にとってのポイントは、IDは名刺のようなものではなく、金庫の鍵だと理解することです。

端末：安全な端末かどうかで許可を変える

同じIDでも、社給PCからのアクセスと、OS更新が止まった私物PCからのアクセスはリスクが違います。ゼロトラストの実務では、端末管理（MDM/EMM）、ディスク暗号化、画面ロック、ウイルス対策、OS更新状況などを条件にして「アクセス可否」や「追加認証」を切り替えます。現場に伝えるべき要点は、場所や気合いではなく、端末の状態で判断するということです。

この3視点を社内で共通言語にすると、非IT部門でも「何を変える必要があるか」が話しやすくなります。「営業が使うCRMにMFAを必須にする」「見積書フォルダは社外共有を禁止し、必要時は期限付き共有にする」「未管理端末からは閲覧のみ」など、業務ルールに落とし込みやすくなるためです。

営業・非IT部門が「自分ごと化」するための理解手順（ワーク形式）

ゼロトラストの説明会をしても、現場が動かない原因は「自分の業務がどう変わるのか」が見えないからです。ここでは、情シスが主導しつつ、営業・非IT部門も参加して腹落ちさせるための、現実的なワーク手順を紹介します。ポイントは、技術の話ではなく業務の棚卸しから入ることです。

業務で使うSaaS・共有経路を洗い出す

まず各部門に、日常的に使うツールと共有経路を書き出してもらいます。例：メール、チャット、クラウドストレージ、CRM、電子契約、会計、勤怠、名刺管理、Web会議、フォーム、外部委託の共有ドライブなど。「正式に契約しているツール」だけでなく、部署判断で使っているもの（シャドーIT）も対象です。見えないものは守れないため、ここを丁寧にやります。

• 顧客情報：どこにあるか（CRM、Excel、名刺管理、メール）
• 見積・提案書：どこで作り、どこで共有するか（添付、リンク、共同編集）
• 契約：電子契約のアカウント管理、承認フロー、代理承認
• 外部委託：誰に、どの範囲を、いつまで見せるか

「守るべき情報」を3段階に分類する

次に情報を「公開しても問題ない」「社内限定」「厳重（個人情報・機密・重要契約）」のように3段階で分類します。細かいラベル設計は後で構いません。まずは大枠でよいので、部門が理解できる言葉にします。ここで大切なのは、厳重の対象を最小限に絞ることです。全部を厳重にすると運用が破綻します。

アクセスのパターンを描く（誰が・何に・どこから）

「営業Aが外出先のスマホでCRMにログイン」「経理Bが自宅PCから会計SaaSにアクセス」「外部パートナーCが提案書フォルダにアクセス」など、典型パターンを10〜20個挙げます。ゼロトラストはここから具体化できます。現場のリアルな動きに合わせて設計するからです。

事故シナリオを1つだけ選び、被害と対策を紐づける

「営業のメールが乗っ取られ、顧客に不正な請求が送られる」「共有リンクが外部に流出し提案書が漏えい」など、各部門で最も現実味のある事故を1つ選びます。その上で、被害（信用・売上・対応工数）と、対策（MFA、共有期限、アクセス制御、監査ログ）を紐づけます。ここが腹落ちの核心で、ゼロトラストが“便利を壊す”のではなく“事故のコストを減らす”ことを説明できます。

「守るルール」と「例外の扱い」を決める

現場が嫌がるのは例外が通らないことです。ゼロトラスト導入はルール作りですが、同時に例外運用（期限付き、申請制、緊急時の手当）も設計する必要があります。たとえば「社外共有は原則禁止。ただし取引先との共同提案は期限付きリンク＋閲覧者制限＋透かし」で許可する、などです。例外を先に用意しておくと反発が減り、定着します。

ゼロトラストで現場が実感しやすい施策（優先順位つき）

ゼロトラストは大規模なプロジェクトに見えますが、現場が効果を実感しやすい「効くところ」から始めるのが現実的です。ここでは営業・非IT部門で特に効果が出やすく、情シスの負担も読みやすい施策を、優先順位の考え方とともにまとめます。重要なのは、すべてを一気にやらず、リスクの高い入口から潰すことです。

MFA（多要素認証）を“重要SaaSから”必須化

まずはメール、グループウェア、CRM、クラウドストレージ、電子契約、会計など「侵害されたら終わる」領域にMFAを必須化します。スマホの認証アプリやプッシュ通知を使う方式が一般的です。現場には「ログインが一手間増える」デメリットがあるため、対象を絞って段階導入すると納得されやすいです。パスワードだけに頼らないことが、ゼロトラストの第一歩になります。

SSO（シングルサインオン）で“楽にして守る”

ゼロトラストは「厳しくする」だけでは定着しません。SSOを入れると、ユーザーは一度のログインで複数SaaSに入れ、情シス側は退職時に一括でアクセスを止められます。現場の利便性を上げながら安全性も上がるため、反発が少ない投資になりやすいです。

条件付きアクセス（場所・端末状態・リスク）

たとえば「国外からのログインはブロック」「未管理端末は閲覧のみ」「高リスク判定時は追加認証」など、状況に応じて制御します。ここでのコツは、いきなり厳格にすると業務が止まるので、最初は“検知・通知”寄りにし、ログを見てから段階的に強めることです。止める前に測る設計が失敗を防ぎます。

クラウドストレージの共有ルール（期限・相手・権限）

非IT部門で効果が大きいのが共有ルールの整備です。例として、社外共有は「期限付き」「閲覧者指定」「ダウンロード禁止（可能なら）」「機密は透かし」「共有リンクの棚卸し」を標準にします。現場にはテンプレート化して渡すと運用しやすいです。リンクを配る＝公開に近いという意識を、ルールで補強します。

権限の最小化と棚卸し（Joiner/Mover/Leaver）

入社（Joiner）、異動（Mover）、退職（Leaver）のタイミングで権限が自動的に付与・変更・剥奪される仕組みが理想です。難しければ、まずは月次・四半期で「共有フォルダ」「CRMの管理者」「経理の振込権限」など重要権限だけ棚卸しします。権限は増える一方になりやすいため、減らす仕組みが要ります。

ログの見える化（監査ログ・アラート）

ゼロトラストは「信頼しない」だけでなく「確認できる」ことがセットです。誰がいつ、どのデータにアクセスしたかが追えると、事故時の調査が速くなり、抑止にもなります。ここは現場に直接触れない部分ですが、経営にとっては説明責任を果たせる大きな価値です。

導入でつまずきやすいポイントと、非IT部門の巻き込み方

ゼロトラストは正しい方向性でも、進め方を誤ると「情シスが厳しくした」「現場が不便になった」で終わります。ここでは、営業・非IT部門を巻き込みながら失敗を避けるための要点をまとめます。結論としては、セキュリティを“守りの規則”ではなく“業務継続の仕組み”として扱うことが鍵です。

つまずき：現場の例外が多すぎて形骸化する

営業は「急ぎの提案で外部共有が必要」、人事は「採用で外部と履歴書をやり取り」、総務は「取引先に資料を送る」など例外は必ず発生します。例外が多いのにルールだけ厳格だと、裏ルート（個人メール、個人ストレージ）が増えます。対策は、例外を禁止するのではなく、安全な例外手順を用意することです。期限付き共有、承認フロー、共有テンプレ、緊急時の連絡窓口などを整備します。

つまずき：用語が難しく、目的が伝わらない

CASB、EDR、IdPなどの用語で説明すると、非IT部門は置いていかれます。説明は「顧客リストを守る」「誤送金を防ぐ」「退職者が見られないようにする」といった業務言語に翻訳します。必要なら「ゼロトラスト＝入口で全員身分証確認、部屋ごとに入室権限を分けるオフィス運用」といった例えも有効です。技術ではなく被害と業務を起点に話すのがコツです。

つまずき：情シスだけが責任を負って疲弊する

ゼロトラストは全社施策です。情シスだけでルールを作ると、現場の実態とズレます。各部門に「情報資産オーナー」（そのデータの責任者）を置き、最低限の役割分担を決めると回り始めます。たとえば、営業部門は「顧客データ分類と共有ルールの運用責任」、情シスは「ID・端末・ログの基盤整備」といった形です。守る対象の責任は業務部門、仕組みは情シスと切り分けると合意形成しやすいです。

巻き込み方：小さく始めて、数字で示す

最初から全社導入を狙うより、「営業のメール＋CRM」「経理の会計＋振込フロー」など、事故の影響が大きい領域をパイロットにします。導入後は「MFA適用率」「共有リンクの期限設定率」「退職者アカウントの停止までの時間」「不審ログインの検知件数」など、改善が見える指標を定めます。数字で示せると、予算を持つ経営層・管理職に説明が通りやすくなります。

ゼロトラストの目的は、現場を締め付けることではなく、日々の業務を止めないための備えです。特に営業・非IT部門は「止まると売上・信用に直撃する」からこそ、最優先で守る価値があります。

まとめ

営業部門や非IT部門にもゼロトラストが必要な理由は、「社内ネットワークの内側にいれば安全」という前提がすでに成り立たず、攻撃者が日常業務の入口（メール、SaaSログイン、共有リンク）から入ってくるためです。ゼロトラストは情シスの製品導入論ではなく、全社のアクセスの仕方を見直し、被害を最小化する業務設計だと捉えると理解が進みます。

腹落ちさせるには、ネットワークの話より「データ・ID・端末」の3視点で考え、各部門の業務を棚卸しして「誰が・何に・どこから」アクセスしているかを見える化するのが近道です。施策はMFAやSSO、条件付きアクセス、共有ルール、権限棚卸し、ログの見える化など、効果が大きい入口から段階的に進めると現場の反発を抑えられます。

ゼロトラストを成功させるポイントは、例外運用を先に設計し、用語を業務言語に翻訳し、部門と情シスで役割を分担することです。まずは小さく始め、指標で改善を示しながら拡張していきましょう。