近年、サイバーセキュリティは取締役会の最前線で議論されるようになってきています。現在の地政学的緊張と経済不安はサイバー攻撃の脅威を強め、世界中のあらゆる分野の企業に影響を与えています。深刻なランサムウェア攻撃や、重要な顧客情報が流出する可能性のあるデータ漏洩など、リスクは現実的であり、壊滅的な打撃を与える恐れあります。その結果、企業はレジリエンスの強化とサイバーセキュリティへの備えの重要性に対する意識がますます高まっています。企業は、サイバーセキュリティ戦略において、攻撃が発生したときに対応するだけでなく、避けられない事態に備えて積極的に計画を立てる必要があります。
近年、Zero Trustセキュリティ戦略が大きな支持を得ています。その基本原則はシンプルで、「何も信用せず、すべてを検証する」ことです。従来のネットワーク境界ベースのサイバーセキュリティアプローチは、今日のデジタル分散環境ではもはや適切ではなく、最新のZero Trustアーキテクチャの導入が進んでいます。セキュリティを確保するために、組織はネットワークやデータにアクセスするすべてのユーザー、デバイス、システムのIDと信頼性を検証する必要があります。
Zero Trustは、これまでかなりの間、ビジネスリーダーや役員たちに意識されてきました。Cloudflareは「The Journey to Zero Trust(Zero Trustへの旅)」調査を発表し、回答者の86%がZero Trustを認識していることを明らかにしました。Zero Trustはもはや単なる概念ではなく、必要不可欠なものです。リモートワークやハイブリッドワークが一般的になり、サイバー攻撃が増加する中、企業はサイバーセキュリティにまったく新しいアプローチを採用しなければならないことを認識しています。このような戦略的変化を実行に移すのは難しいかもしれません。多くの企業がZero Trustのプロセスや技術の導入を始めていますが、それらを全面的に統合している企業はごくわずかです。Cloudflareは、65%の企業がZero Trustの手法と技術の導入を開始していることを明らかにしました。Zero Trustをビジネスに不可欠なものとして確立する機会はまだたくさんあります。
多国籍企業の多くは、Zero Trustプログラムの実施段階で課題を抱えています。問題は、しばしばリーダーシップと説明責任が不明確であることから生じます。組織内でZero Trustを確実に導入し、実施する責任は「正確には」誰にあるのでしょうか?ここで、「最高Zero Trust責任者」(CZTO)という役職が違いを生む可能性を秘めています。
大きな組織では、舵取りをし、業務を円滑に進めるために有能なリーダーが必要です。企業では、最高経営責任者(CEO)や最高財務責任者(CFO)のような経営幹部としての職責を担うユーザーに、このようなリーダーシップの責任を割り当てます。これらの役職は、指示を与え、戦略を定め、重要な決定を下し、日常業務を管理するために存在します。また、多くの場合、全体のパフォーマンスと成功について取締役会に対して説明責任を負います。
同様に、大きな組織や企業では、Zero Trustの取り組みをリードする担当者を1人置くことが求められます。このリーダーは揺るぎない集中力を持ち、組織全体でZero Trustを実行する権限を与えられます。こうして考え出されたのが最高Zero Trust責任者という概念です。「最高Zero Trust責任者」は単なる役職に思えるかもしれませんが、大きな意味を持っています。これは注目に値し、Zero Trustを実施する道のりで直面する数々の障壁を克服する可能性を秘めています。
Zero Trust担当役員は、Zero Trustを実施する際に発生する可能性のあるいくつかの技術的課題を克服する上で組織を支援します。特定のベンダーの複雑なアーキテクチャを理解し、実装するのに時間がかかり、広範なトレーニング、または必要な専門知識を得るためにプロフェッショナルサービス契約が必要になる場合があります。Zero Trust環境では、ユーザーやデバイスの識別や検証も課題となります。そのためには、組織のユーザーベース、ユーザーが所属するグループ、ユーザーのアプリケーションやデバイスの正確なインベントリが必要です。
組織面では、Zero Trustを効果的に実装するためには、異なるチーム間の連携が重要です。IT、サイバーセキュリティ、ネットワーク部門間のサイロをなくし、明確なコミュニケーションチャンネルを作成し、頻繁にチームミーティングを行うことで、まとまりのあるセキュリティ戦略を実現できます。また、変化に対する一般的な抵抗も、大きなハードルになる可能性があります。リーダーは、模範を示す、透明性のあるコミュニケーション、変更プロセスへの従業員の参加などの戦術を使用し、それを軽減する必要があります。また、懸念事項に先回りして対処し、サポートを提供し、従業員トレーニングの機会を設けることも、移行を進める上で役立ちます。
組織にとってCZTOは必要でしょうか?CTOやCISOのオフィスで、現在セキュリティを監督している人がその役職を与えられるのでしょうか?企業は、戦略的関連性のレベルに基づいて役職を割り当てます。そのため、最高Zero Trust責任者、Zero Trust責任者、Zero Trust担当副社長など、呼び方がどうであっても、注目を集め、サイロをなくし、官僚主義を断ち切る力を備えている必要があります。
新たな経営幹部の役職は珍しくありません。最高デジタルトランスフォーメーション責任者、最高エクスペリエンス責任者、最高カスタマー責任者、最高データサイエンティストなどは、近年登場した新しい役職のほんの数例です。最高Zero Trust責任者という役職は、おそらく長期的なものですらないでしょう。しかし、この担当者は、企業のリーダーシップや取締役会のバックアップを受けながら、Zero Trustイニシアチブを推進する権限とビジョンを持ちます。
従来の境界ベースのセキュリティ戦略では、今日の高度なサイバー攻撃から保護するには、もはや不十分であるため、Zero Trustセキュリティへの移行は、多くの企業にとって必須となっています。CZTOのリーダーシップは、Zero Trustの実施に伴う技術的・組織的なハードルを乗り越えるために不 可欠です。CZTOは、Zero Trustイニシアチブを主導し、チームを調整し、障壁を取り除くことで、シームレスな導入を実現します。CZTOの役割は、企業におけるZero Trustの重要性を強調しています。これにより、Zero Trustイニシアチブが成功するために必要な配慮がなされ、必要な資源が確実に提供されます。今、CZTOを採用する組織は、将来成功するでしょう。
この記事は、技術関連の意思決定者に影響を及ぼす最新のトレンドとトピックについてお伝えするシリーズの一環です。
この記事は当初、CEO Insights Asia向けに作成されたものです。
John Engates — @jengates
Field CTO、Cloudflare
この記事を読めば、以下が理解できます。
Zero Trustの導入障壁をいかに克服するか
CZTOが組織の成功につながる理由
利用開始
リソース