反対意見を克服して、ゼロトラストへの道を切り開く
Google Cloud Japan Team
※この投稿は米国時間 2022 年 12 月 3 日に、Google Cloud blog に投稿されたものの抄訳です。
組織改革を阻害する恐れのある障害や落とし穴を克服することは、あらゆる IT 変革またはセキュリティ変革イニシアチブの鍵です。多くのセキュリティ リーダーとリスク リーダーは、ユーザー エクスペリエンスの向上とセキュリティ強化の手段として、ゼロトラスト アクセスモデルを採用することを優先事項としています。しかし、チェンジ マネジメントについて考える以前の段階から、組織内の反発に直面することも少なくありません。
今年の初め、Forrester のシニア アナリストである Jess Burn 氏から二度にわたり、CISO がゼロトラストへの移行を計画する際に直面する一般的な課題についてお話を伺う機会がありました。このときの会話の内容が非常に啓発的で実のあるものであったため、移行を現在検討している、またはすでに進めているできるだけ多くの組織と重要なインサイトを共有したいと思います。Jess Burn 氏に対して行ったインタビューのハイライトは次のとおりです。
Q: ゼロトラストの実装に着手する組織が知っておくべきこととして、ゼロトラストの実装後に実際に得られるメリットと当初の期待との間に見られる最大の違いは何ですか?
私が考えるに、多くの組織は、全体的なセキュリティ体制を改善するという観点からゼロトラストのメリットをとらえています。これは素晴らしい目標ですが、目標とするゴールポストは絶えず動いています。しかし、ゼロトラストへの移行を開始した企業から聞いた話では、移行の過程には、小さな成果を達成したり、意外なメリットがもたらされたりする場面が数多くあります。たとえば、ゼロトラストによって、従業員はポリシーに準拠したデバイスで適切に認証されている限り、どこからでも任意のデバイスを使用して作業できるようになります。
また、ゼロトラストによって、従業員はセキュリティに対する責任に縛られず、技術的なコントロールでセキュリティを確保したうえで仕事を進められるようになります。たとえば、パスワードを覚える代わりに、デジタル証明書や生体認証システムを使用して本人確認を行うことが可能です。
また、ゼロトラストは、切実に必要とされているプロセス変更のきっかけとなることで、テクノロジー ツールの統合も促進します。たとえば、あるクライアントは、ゼロトラスト モデルの導入過程で重要なビジネス資産を分類し、ゼロトラスト アプローチに適合するツールを特定しました。その後、多くは機能が重複しているポイント ソリューションの数を 18 か月で 58 個から 11 個に減らすことができました。これによって大幅な経費削減が可能になります。
企業はどのように成果を測定し、ゼロトラスト変革を正当化していますか?
ゼロトラストの取り組みの成果と変革の効果を測定する際の重点領域として、ネットワーク アクセスからきめ細かなアプリケーション固有のアクセスに移行できているか、難読化によってデータ セキュリティを強化できているか、過剰なユーザー権限に関連するリスクを制限できているか、分析と自動化によってセキュリティの検出と対応を大幅に改善できているかを評価するようクライアントにアドバイスしています。また、戦略(取締役会 / 経営幹部)、運用(IT / ビジネス部門の責任者)、戦術(セキュリティ チーム)のいずれかを問わず、共有相手に適した成果重視の指標を作成することの重要性も説明しています。ゼロトラストの指標は、次の 3 つの包括的な目標に照らして作成する必要があります。
顧客からの信頼を維持しながら顧客のデータを保護する。個人情報の盗難や詐欺に遭った顧客は、企業がデータの保護を怠ったと考える場合、その企業との取引を停止します。また、セキュリティ侵害後のコミュニケーションが遅かったり、あいまいであったり、共感や具体的なアドバイスに欠けたものであったりした場合も、企業との取引をやめる可能性があります。戦略的な指標の場合は、特定の侵害の前後における顧客の獲得率、保持率、拡充率の変化を明らかにすることで、顧客に関する、成長を妨げる可能性のある信頼の問題についてビジネス リーダーに警告できるようになります。戦術的な指標について考えるときは、顧客による 2 要素認証プロセスの採用率の変化と、暗号化された顧客データの割合を調べることで、セキュリティ チームが今後何に集中して取り組むべきかを判断できます。
セキュリティの重要性を正しく理解している、満足度の高い生産的な従業員を採用して保持する。戦略レベルの目標では、新しい人材を採用する組織の能力の変化と従業員満足度の変化を追跡する必要があります。人材の定着率を調べることで、生産性やカスタマー サービスに影響を及ぼす士気の問題があるかどうかを知ることができます。怒りや不満を抱えている従業員や、組織に対して落胆している従業員は、金銭的利益を得るためや、軽視されたと感じたことに対する報復として、データを盗む可能性が高くなります。戦術レベルでは、従業員による 2 要素認証プロセスの使用、特権 ID 管理ソリューションの実装、ID 管理とガバナンスのための強固なプロセスを調べると、セキュリティ チームの優先事項を特定できます。
組織の IP を保護し、セキュリティ インシデントの費用を削減する。IP には、自社のプロダクトやサービスを競合他社と差別化する企業秘密、製法、設計、コードなどが含まれる場合があります。IP が侵害されると、組織の将来の収益が脅かされるほか、組織の生存能力も危険にさらされる可能性があります。戦略レベルでは、組織が企業スパイや国家単位の不正行為者の標的になっているかどうかと、これらの不正行為者がどれだけの IP をすでに侵害しているかを経営陣が把握している必要があります。戦術レベルでは、セキュリティ チームが複数の場所やホスティング モデルにわたるセンシティブ データをどの程度暗号化しているかを調べることによって、セキュリティ スタッフがセンシティブ データと IP を検出、分類、暗号化するための作業をどこに集中させるべきかがわかります。
企業がゼロトラスト戦略に移行するのを妨げている最大の誤解は何ですか?
ゼロトラストへの移行についてはいくつかの誤解がありますが、ありがちな誤解の一つは、ゼロトラストへの移行は費用がかかりすぎるうえに、システムやツールの総入れ替えが必要になるというものです。
IT の責任者や上級管理職からこのような反対意見を寄せられているクライアントに対して私たちが最初に伝えることは、すべてをゼロから始めなければならない可能性は低いということです。Forrester のゼロトラストの柱は、データ、ワークロード、ネットワーク、デバイス、人員、可視性、分析、自動化、オーケストレーションで構成されています。これらの柱を、組織がすでに導入しているもの、または現在実装中のものと照らし合わせみてください。たとえば、人員の柱には 2 要素認証プロセスや特権アクセス管理が当てはまり、ワークロードの柱にはクラウド セキュリティ ゲートウェイ、デバイスの柱にはエンドポイント セキュリティ スイート、ネットワークの柱には脆弱性管理、データの柱にはデータ損失防止(DLP)がそれぞれ当てはまります。
おそらく、セキュリティ分析用のエンドポイントでの検知と対応(EDR)またはマネージド型の検出と対応(MDR)がすでに導入されていて、セキュリティ オペレーション センター(SOC)でいくつかのタスクの自動化が開始されているかもしれません。このことは、費用の観点から、セキュリティ チームや IT オペレーション担当者、そして経営幹部にとって朗報であるはずです。ゼロトラスト専用に予算を割り当てる必要はありません。
いずれは新しいテクノロジーに投資する必要が生じるかもしれませんが、ツールが古くなるタイミングですでに投資を行っている可能性が大いにあります。Forrester でわかっていることは、投資が必要となる対象はプロセスであるということです。相当な量のチェンジ マネジメントがゼロトラスト モデルの採用に関連して行われる可能性があり、それに必要な人的資源を確保するべきです。
移行に成功している組織には、どのような共通点がありますか?
経営陣の賛同はもちろんですが、IT 部門やビジネス部門の関係者といった同僚からの賛同も必要です。ゼロトラスト イニシアチブを推進するために必要となる話し合いやチェンジ マネジメントは、最小権限原則への移行をはじめ、重要なものが少なくありません。ビジネス部門の賛同とその後に続く作業を必要とするものはすべて時間がかかり、おそらくフラストレーションを伴うこともあるでしょう。しかし、このような取り組みは必要であり、相反する優先事項を抱えることの多いこれらのグループ間の理解を深め、協力体制を強化することにつながります。
まずゼロトラストの関係者を特定し、ゼロトラストの誤解を解いて、関係者が参加できるよう土台を築くべきです。
関係者を特定して、その懸念を解消できたら、説得して感化する必要があります。関係者に質問をして答えに耳を傾け、思い込みをせずに相手の意を汲み取ります。戦略を明確に説明して、関係者が果たす役割を示し、成功させるために何が必要かを伝えます。関係者は、ゼロトラストに必要な戦略面とアーキテクチャ面の変化に戸惑うかもしれません。その場合は、既存のセキュリティ コントロールをどのように活用してメリットを得ることができるかを明確に示す、実用的で現実的なロードマップを作成します。
ゼロトラストの実装に苦慮している組織に見られる共通点は何ですか?
ほとんどの人にとって、変化は不安を与えるものです。この不安が、取り組みの進展を継続的に妨げようとする反対者を生み出します。セキュリティ リーダーの周りに反対者が多すぎると、ゼロトラストの導入計画とロードマップはうまくいきません。私たちが話を聞いたセキュリティ リーダーは、変更は不可能だとする IT 部門の関係者からの反対意見にしばしば驚かされており、時にはセキュリティ チームからも反対意見が上がることがあります。
このような状況に置かれている場合は、一歩戻って、関係者を説得し、その懸念を解消することにもっと時間を費やす必要があります。誰もがゼロトラストの用語に精通しているわけではありません。Forrester の The Definition Of Modern Zero Trust(最新のゼロトラストの定義)または NIST(The National Institute of Standards and Technology: 米国標準技術研究所)のゼロトラスト アーキテクチャを参考にして、誰でも理解できる共通の用語集を作成しましょう。
このアプローチにより、関係者がモデルに精通するにつれてネットワーク効果を利用できます。また、関係者は、ゼロトラストに必要な戦略面とアーキテクチャ面の根本的な変化に戸惑うかもしれません。その場合は、既存のセキュリティ コントロールとツールをどのように活用すればメリットを得ることができるかを明確に示す、実用的で現実的なロードマップを作成します。
その後は、ゼロトラストの価値に焦点を当てた、心をつかむキャンペーンを展開します。ゼロトラストが従業員エクスペリエンスをどのように改善できるかなど、関係者が共感できる例を交えてプラスの側面を強調します。従業員エクスペリエンスの改善は、ほとんどの人が個人レベルと組織レベルの両方で関心のあるトピックです。
最後に、これを一人で行おうとしないでください。セキュリティ チームの追加メンバーとして、そして組織全体のインフルエンサーとして行動してくれるゼロトラスト支持者を見つけて、カバーできる範囲を拡大します。ゼロトラストに対する関心と熱意のある人物を特定してゼロトラスト支持者プログラムを確立し、各支持者に任務を割り当て、専門能力開発などの機会を与えることで支持者の意欲向上と育成に努めてください。
次のステップ
ウェブセミナーを見逃した場合は、こちらからオンデマンドでご覧いただけます。また、Forrester の「A Practical Guide To A Zero Trust Implementation(ゼロトラスト実装のための実践ガイド)」をこちらからダウンロードできます。このレポートは、既存のテクノロジー投資を活用し、かつ現在の成熟度レベルに合わせて調整された実践的な構成要素を使用した、ゼロトラスト実装のロードマップを使ったセキュリティ リーダー向けのガイドになっています。
また、12 月 7 日に開催された Google Cloud Security Talks の複数のセッションなど、オンデマンドで利用できるゼロトラスト コンテンツもあります。
