複雑な新セキュリティ戦略に投資するよう重役を説得する方法は?
この問いに対する単純な答えはありません。セキュリティは、ほとんどの企業にとってCレベル(最高責任者レベル)の優先課題になってきています。それでも、重役は、多くのリソースと組織変革を要するセキュリティプロジェクトの支持には消極的になりがちです。
これは、SASE導入を計画するセキュリティリーダーの多くが避けて通れない状況です。
セキュリティリーダーの多くは、SASE(セキュアアクセスサービスエッジ)という用語を使っているか否かはともかく、既に組織内でSASEに必要な慣行の実践を唱えています。しかし、彼らが唱えるZero Trustセキュリティの導入、従業員のインターネットブラウジングの保護、ファイアウォールとWAN接続のクラウド移行などの実践には、組織横断的な協力体制と財務的サポートが必要です。新たにベンダーを探して評価し、既存ベンダーの転用や入れ替えを行わなければなりません。さらに、全社の従業員が新しいセキュリティプロセスを習得する必要があるかもしれません。
こうした要件があるため、非セキュリティ分野の重役からはかなりの懐疑論が出る可能性があります。既存のセキュリティ対策で十分保護できていると考えて、リソース集約的な変更は一切支持しないという立場の人もいれば、SASE導入の緊急性を過小評価して先延ばしにしようとする人もいるでしょう。
有能なセキュリティリーダーは、SASE導入を推進して企業の保護体制を強化するにあたり、ある程度の抵抗は覚悟しています。彼らは、他の重役とSASEを協議する際に以下のベストプラクティスを実践することにより、説得に成功しています。
リスク軽減効果だけでなく、SASEがビジネスにもたらす幅広いメリットを説明
Zero Trustセキュリティとネットワークトランスフォメーションの財務上のメリットに関するデータを提示することにより、SASEの投資収益率を実証
まず何を変えたいか、その変更の結果どうなるのかを記したアクションプランを含め、次のステップを具体的に提示
実際にどういった行動をとればよいのか、以下で見ていきましょう。
SASEを協議する際は、導入により阻止できるセキュリティ脅威を必ず説明するのは言うまでもありません。セキュリティリーダーは、企業ネットワークのトラフィックがパブリックインターネットへトランジットする際に出現するリスクを他の重役が理解できるよう手助けし、それらのリスクから企業を保護するのにSASEがいかに役立つかを説明する必要があります。
しかし、その説明に終始してはいけません。その理由は?重役は、たとえSASEで問題解決が可能と考えたとしても、SASEこそが答えだとは考えていないかもしれません。SASE導入に多くのロジスティック上の障壁があると聞けば、VPNの利用拡大やクラウド上のポイントセキュリティソリューションの追加など、効果では劣る可能性があるものの、よりシンプルで即効性のあるソリューションを頼みにするかもしれません。
セキュリティリーダーは、SASE導入の主張をより説得力あるものにするために、SASEが幅広いビジネス目的の達成にどう役立 つかも説明しなければなりません。たとえば、以下のような効果を主張するのです。
リモートワーカーの効率向上:多くの重役は、リモートワークが企業全体の効率性に及ぼす影響に関心をいだいています。セキュリティリーダーは、幅広く継続的な使用では従来のリモートワークセキュリティツールがいかに信頼できないか、SASEがどのように役立つかを、重役が理解できるよう説明する必要があります。たとえば、VPNの廃止によって遅延や接続中断がどう減るか。ネットワークセキュリティサービスを単一のクラウドプラットフォームに統合することによって、異なるポイントセキュリティソリューション間のトラフィックの「トロンボーン」現象による遅延をいかに排除できるか、を説明するのです。
請負業者オンボーディングの円滑化:サードパーティの請負業者やサービスプロバイダーは通常、緊急性の高い優先プロジェクトのために雇われます。ただ、そうした請負業者のオンボーディングは、ITの観点から見れば面倒な作業になりかねません。(新たに買収した企業についても、同じことが言えます。)SASEなら請負業者が自前デバイスを使用でき、ITチームとセキュリティチームが単一のプラットフォームでネットワークアクセスの管理と監視を行えるため、待望のサードパーティ支援要 員を素早くオンボーディングしやすいことを、重役が理解できるようにします。
ITチームの効率向上:ITチームの62%が人員不足で、そのために企業はさまざまな戦略的プロジェクトに取り組めない状態だといいます。セキュリティリーダーは、SASEの実装がITキャパシティの解放につながることを、重役が理解できるように説明できます。たとえば、SASEならば、VPNライセンスのプロビジョニングも、ネットワークセキュリティハードウェアのパッチ適用やトラブルシューティングも不要で、リモートセキュリティツールがWebサイト体験の中断を起こした際のサポートチケットに対応する必要もありません。
こうした説明の際、セキュリティリーダーは話をできるだけシンプルにし、「ベンダー名を出さない、略号を使わない」をルールにするとよいでしょう。セキュリティ戦略に関する協議で専門用語がいかに頻出するかは、見落とされやすい点です。不必要なバスワードやベンダー名が挟まれると、そのたびにスピードバンプ(減速帯)に乗り上げるような形となり、オーディエンスの注意が議論の主旨から逸れます 。(「SASE」はこのルールの例外かもしれませんが、それでも用語を明確に定義し、多用は控えるとよいでしょう。)
SASEに関する重役との協議では、SASE導入費用の説明は避けて通れません。SASEは新しいベンダーとの提携が必要なうえ、新たなITスキルセットが必要な場合もあるため、短期的にはコスト面で不利に見える可能性があります。
そうしたコストに関する重役の懸念を払しょくするため、セキュリティリーダーは、SASEはコスト削減にもつながることを実証できるようにしておかなければなりません。
削減効果の1つは、攻撃の阻止と軽減という形で発現します。たとえば、SASEの実行により、攻撃で標的が被るコストを低減することができます。IBMの「Cost of a Data Breach(データ漏えいのコスト)」レポートによれば、Zero Trust導入の成熟段階にある企業はデータ漏えいからの復旧費用が少なくて済んでいます。成熟したZero Trust体制を持つ企業は、漏えい1件あたり平均328万ドル(これに対し、Zero Trust戦略のない企業は504万ドル)を支出しています。
セキュリティリーダーはさらに、複雑なITプロセスの簡素化による具体的な節約効果を算定することによって、前節で概説した幅広いビジネス上のメリットの主張 を強化することができます。たとえば、以下のROIを考えてみましょう。
ITサポートチケットの削減。SASEでは、信頼性が低く大幅な遅延を起こしやすいVPNのような1回限りのリモートアクセスツールは不要です。ユーザーは自前デバイスでVPNクライアントの設定を行わなくて済むため、企業はアクセス関係のチケットに対応する時間を大幅に節約でき、ユーザーの問題解消に費やす時間が最大80%削減されたとの報告もあります。
従業員オンボーディングの時間短縮。VPNやIPベースの制御など従来のリモートアクセスのアプローチに代えて、SASEにした場合を例にとってみましょう。eTeacher Groupなどの団体が、新しいユーザーのオンボーディングに費やす時間の削減を報告しており、新ユーザーのアクセス許可にかかる時間が60%も短縮できたといいます。
余分なハードウェアコストを排除。セキュリティハードウェア(ネットワークファイアウォールやDDoS軽減ボックスなど)は、購入費用だけでなく運用コストが常にかかります。設置、保証、修繕、パッチ管理はすべて追加支出となり、管理にITリソースを割かなければなりません。ネットワークセキュリティをクラウドへ移行することによってそれらのコストを排除すれば、さらなる節約が可能になります。
最後に、SASEによってネットワーキングハードウェアへの面倒な設備投資が減り、長期的な財務状態が改善します。SASEサービスはすべてクラウドから提供されるため、標準的なクラウドサブスクリプションモデルが使われます。このモデルはキャッシュフローを解放し、他の優先投資案件に資金を回すことを可能にします。
SASEのビジネス上のメリットと財務への好影響を重役が理解できるように説明することで、賛同を得やすくなります。しかし、重役はSASE導入の実践プロセスについても理解したいと考えます。
そこで、セキュリティリーダーはこの質問に対する詳細な答えを用意しておく必要があります。つまり、具体的なステップとタイムライン、リソース要件、推定コストを含めた仮定的なSASE導入計画を用意しておくのです。具体的な内容は組織によって大幅に異なりますが、以下の「ステップ1」を出発点として検討しましょう。
サードパーティアクセス用のVPNを廃止:コンサルタントや契約社員を最新の認証サービスへ移行し、既存アカウントまたはワンタイムパスワードでアプリケーションにサインインできるようにします。これにより、オンボーディングのプロセスが簡素化され、VPNで与えられている無制約のネットワークアクセスをサードパーティが悪用できなくなります。
リモートワーク向けにZero Trustセキュリティ体制を採用:「決して信頼するな、常に検証せよ」というアプローチの認証・アクセス管理サービスを利用します。すなわち、リモートワーカーがアプリケーションにアクセスするたびにIDをチェックし、彼らのリクエストをすべて追跡するのです。これにより、高リスクの従業員グループに対する制御を強化できます。
リモートアクセス用VPNを廃止:ステップ1と同様に、リモートワーカーをSSOなどの最新認証サービスへ移行します。これにより、攻撃者は安全性が損なわれたデバイスやVPN接続資格情報を使ってラテラルに移動しづらくなります。
契約更新時にZero Trustセキュリティツールを統合:既存のセキュ アWebゲートウェイ、ブラウザ分離ツール、クラウドアクセスセキュリティブローカー(CASB)を一度に全部入れ替えることは、なかなかできません。そこで、それらのサービスは契約満了時に単一のSASEプラットフォームに追加し、効率よく一元管理できるようにします。
支社ロケーション向けのZero Trustセキュリティ体制:従業員が従来のネットワーク境界内にいる時でも、Zero Trustプラットフォームを介した認証を義務づけます。これにより、データ紛失を阻止し、従業員をパブリックインターネット上の脅威から保護し、攻撃者のラテラルムーブメントを阻止することができます。
セキュリティは、セキュリティチームだけの仕事ではありません。Cレベルの重役がセキュリティプロジェクトに本腰を入れれば、組織全体の安全性が高まります。
SASEの出現とその必要性を生んだ社会の激変は、セキュリティリーダーに、セキュリティプロジェクト推進の気運を醸成する好機をもたらしました。SASEを幅広いビジネス上のメリットと結び付け、ROIを実証し、具体的なアクションプランを提示するのは容易なことではなく、単発の協議を数回持つくらいでは済みません。しかし、セキュリティリーダーが一貫性と自信を 持って上記のベストプラクティスを実践すれば、広範なセキュリティ意識を醸成でき、将来的に自身とチームのためにもなります。
また、Cloudflare Oneプラットフォームのページで、CloudflareがSASEとZero Trustをどのように提供しているかを紹介していますのでご覧ください。Cloudflare Oneは、IDベースのセキュリティ制御、ファイアウォール、サービスとしてのWAN、その他の機能を、ユーザーが世界中どこにいようとその近くの単一ネットワークに統合し、あらゆる企業リソースに高速かつ安全に接続できるようにします。しかも、それらの機能はすべてゼロから構築されており、実装後すぐに連携稼働しますので、セキュリティチームはSASE導入プロセスを簡素化することができます。
この記事は、技術関連の意思決定者に影響を及ぼす最新のトレンドとトピックについてお伝えするシリーズの一環です。
この記事を読めば、以下が理解できます。
最高責任者陣に 対してSASE導入のプレゼンをする際に、独特のアプローチが必要な理由
技術畑でないオーディエンスにSASEのメリットを説明する際の戦略
SASE導入の理想的な第一ステップ