Zero Trustの準備
ここ数年、サイバーセキュリティの話題は、IT部門から役員室へと移ってきています。地政学的、経済的に不透明な現在の状況下、サイバー攻撃の脅威はより一層緊急を要し、あらゆる規模、あらゆる業界の企業がその影響を受けています。破壊的な影響を与えるランサムウェア攻撃の可能性から、コンシューマーの機密情報の安全性が損なわれるデータ漏洩まで、そのリスクは現実的であり、壊滅的な可能性があります。組織は、サイバーセキュリティに関するより優れた回復力と準備の必要性を認識しています。攻撃を受けたときに単に対応するだけでは不十分であり、企業はサイバーセキュリティへの取り組みにおいて、不可避の事態に積極的に備える必要があります。
Zero Trustの概念は、近年最も勢いを増しているセキュリティの取り組みです。Zero Trustの背後にある基本原則はシンプルです。「何も信用しないこと。すべてを検証すること。」です。現代のゼロトラストアーキテクチャの推進力は、従来の境界ベース「城と堀」のセキュリティモデルでは、今日のデジタル分散環境ではもはや十分でないということです。組織は、ネットワークやデータにアクセスするすべてのユーザー、デバイス、システムのアイデンティティと信頼性の検証に基づき、セキュリティに対する総体的な取り組みを採用する必要があります。
Zero Trustは、これまでかなりの間、ビジネスリーダーや役員たちに意識されてきました。しかし、Zero Trustはもはや議論されている概念ではなく、今では委任されています。リモートワークやハイブリッドワークが一般的になり、サイバー攻撃もエスカレートし続けていることから、企業はセキュリティに対して根本的に異なる取り組みをする必要があると認識しています。しかし、戦略の大きな転換と同様に、その実現は困難であり、取り組みが行き詰まることもあります。多くの企業がZero Trustの手法や技術の実装を始めていますが、組織全体に完全に実装している企業はごく一部のみです。多くの大企業にとって、これがZero Trustイニシアチブの現状であり、実装段階から抜け出せません。
新しいリーダーの役割が登場
しかし、サイバーセキュリティのパズルに、欠けているピースがあり、すべてを変えることができるとしたらどうでしょう。「チーフZero Trustオフィサー」(CZTO)を入れます。この新しい役職は、来年以降、大規模な組織でますます一般的になると思われます。
企業がチーフZero Trustオフィサーの役割を設ける可能性があるという考えは、昨年、CloudflareのフィールドCTOチームのメンバーと米国連邦政府機関の間で交わされた会話から端を発したものです。同様の職務権限は、ホワイトハウスの覚書で初めて言及され、連邦政府機関に「Zero Trustサイバーセキュリティ原則への移行」を指示し、30日以内に「組織のZero Trust戦略実装リーダーを指定、特定」するよう求めています。政府では、このような役割はよく、「シザー」と呼ばれます。しかし、企業内では「チーフ」という役職の方が適切です。
大きな組織では、効率よく物事を遂行するために強力なリーダーが必要です。企業では、最高経営責任者(CEO)や最高財務責任者(CFO)など、「チーフ」という言葉で始まる役職を持つユーザーに、最終的なリーダーシップの責任を割り当てます。これらの役職は、指示を与え、戦略を定め、重要な決定を下し、日常業務を管理するために存在し、多くの場合、全体のパフォーマンスと成功について取締役会に対して説明責任を負います。
なぜZero TrustのCレベルなのか、なぜ今なのか?
古いことわざに、「皆が責任を持てば、誰も責任を取らない」というものがあります。企業内にZero Trustを実装する際の課題を考えてみると、明確なリーダーシップと説明責任の欠如が大きな問題であるように思われます。組織内でZero Trustの採用と実行を推進する責任を*厳密に*誰が負うのかという問題が残ります。
大企業では、Zero Trustジャーニーを推進する責任者が一人必要です。このリーダーには明確な権限が与えられ、「企業をZero Trustにする」という一点に集中する必要があります。そこで、「チーフZero Trustオフィサー」というアイディアが生まれました。 「チーフZero Trustオフィサー」は、単なる役職のように見えますが、大きな重みがあります。注目を集め、Zero Trustの多くの障害を克服できます。
採用の障壁
Zero Trustの実装には、さまざまな技術的な課題に妨げられる可能性があります。一部のベンダーの複雑なアーキテクチャを理解し、実装するのに時間がかかり、広範なトレーニングが必要になる、または必要な専門知識を得るためにプロフェッショナルサービス契約が必要になる場合があります。Zero Trust環境では、ユーザーやデバイスの識別や検証も課題となります。そのためには、組織のユーザーベース、ユーザーが所属するグループ、ユーザーのアプリケーションやデバイスの正確なインベントリが必要です。
組織面では、Zero Trustを効果的に実装するためには、異なるチーム間の連携が重要です。IT、サイバーセキュリティ、ネットワークグループ間のサイロをなくし、明確なコミュニケーションチャンネルを確立し、チームメンバー間で定期的にミーティングを行うことで、まとまりのあるセキュリティ戦略を実現できます。また、変化に対する一般的な抵抗も、大きな障害になる可能性があります。リーダーは、模範を示す、透明性のあるコミュニケーション、変更プロセスへの従業員の参加などの手法を使用し、それを軽減する必要があります。また、懸念事項に積極的に対処し、サポートを提供し、従業員トレーニングの機会を設けることも、移行を容易にするのに役立ちます。
責任と説明責任 - どんな呼び方であろうと
しかし、なぜ組織にCZTOが必要なのでしょうか?他のCレベルの役割は不可欠でしょうか?CISOの組織内で、すでにセキュリティを管理している人を配属してみてはどうでしょうか。もちろん、これらはすべて有効な質問です。このように考えてみてはどうでしょうか。企業は、企業にとっての戦略的重要性のレベルに基づき、役職を割り当てる必要がある。そのため、チーフZero Trustオフィサー、Zero Trustの責任者、Zero Trustのバイスプレジデントなど、どのような役職であっても、注目を集め、サイロをなくし、官僚主義を断ち切る力を備えている必要があります。
新しいCレベルの役職は、前例がないわけではありません。近年、チーフデジタルトランスフォーメーションオフィサー、チーフエクスペリエンスオフィサー、チーフカスタマーオフィサー、チーフデータサイエンティストといった役職ができました。チーフZero Trustオフィサーという役職は、おそらく恒久的な役割でさえないでしょう。重要なのは、その役割を担う人が企業のリーダーシップや取締役会のサポートのもと、Zero Trustイニシアチブを推進する権限とビジョンを持っていることです。
2023年の「Zero Trust」への移行
従来の境界線ベースのセキュリティモデルでは、今日の高度な脅威から保護するには、不十分であるため、Zero Trustセキュリティへの移行は、多くの企業にとって使命となっています。Zero Trustの実装に伴う技術的、組織的な課題を克服するには、CZTOのリーダーシップが重要です。CZTOは、Zero Trustイニシアチブをリードし、チームを調整し、障壁を取り除くことで、スムーズなロールアウトを実現します。C-suiteのCZTOの役割は、企業におけるZero Trustの重要性を強調しています。これにより、Zero Trustイニシアチブが成功するために必要な配慮がなされ、必要な資源が確実に提供されます。今、CZTOを任命する組織は、将来的にトップに立つでしょう。
Zero TrustのためのCloudflare One
Cloudflare Oneは、デプロイが容易で、既存のツールやベンダーとシームレスに統合できるCloudflareのゼロトラストプラットフォームです。Zero Trustの原則に基づき構築され、グローバルに機能する包括的なセキュリティソリューションを組織に提供します。Cloudflare Oneは、Cloudflareのグローバルネットワーク上で提供されます。つまり、複数の地域、国、ネットワークプロバイダー、デバイスにわたり、シームレスに動作します。Cloudflareの大規模なグローバルプレゼンスにより、トラフィックは最適化されたバックボーン上で保護、ルーティング、フィルタリングされ、リアルタイムのインターネットインテリジェンスを使用して最新の脅威から保護し、インターネットの悪天候や障害を回避してトラフィックをルーティングします。さらに、Cloudflare Oneは、最善のアイデンティティ管理およびエンドポイントデバイスセキュリティソリューションと統合し、現在および将来の企業ネットワーク全体を網羅する完全なソリューションを構築します。詳細については、こちらにお知らせください。当社からご連絡いたします。.
まだ誰かと話すのを避けたいですか?Cloudflare Oneのほぼすべての機能は、最大50ユーザーまで無料で利用できます。当社の大企業のお客様の多くは、まずFreeプランでZero Trust製品を検討することから始めています。こちらのリンクからアクセスしてご検討いただけます。
他のZero Trustベンダーと連携していますか?
Cloudflareのセキュリティ専門家は、ベンダーニュートラルなロードマップを構築し、ゼロトラストアーキテクチャと実装のタイムラインの例を提供しています。Zero Trustロードマップ https://zerotrustroadmap.org/は、Zero Trustを実装するメリットとベストプラクティスについてもっと知りたいと思う組織にとって、優れたリソースです。また、現在のZero Trustジャーニーに行き詰まりを感じたら、チーフZero TrustオフィサーにCloudflareに電話をしてもらいましょう!