現代のサイバーセキュリティでは、技術的な複雑さを平易な言葉に置き換え、経営層の投資意欲を高めることが重要となる。
HZ Creations – shutterstock.com
ゼロトラストの導入のような大規模なトランスフォーメーション施策を実現するには、単なる技術的理解以上のものが求められる――そしてまさにここに、多くのITセキュリティ責任者が直面する課題がある。彼らは技術的な観点から説明することには慣れているが、文化的な変革を主導することには慣れていない。従来から使い慣れたインフラを置き換えるということは、突き詰めれば「慣れ親しんだ快適ゾーン」から抜け出し、未知の領域に踏み出すことに他ならない。
それに伴う多くのステークホルダーの不安を払拭し、さまざまなレベルで懐疑的な経営陣を説得しなければならない。その際、専門用語に頼っていてはうまくいかない。経営陣には、リスクとその打開策、そしてメリットを理解してもらう必要があり、そのレベルに合わせたコミュニケーションが求められる。
重要なのは「言葉の選び方」
ゼロトラストへの道のりを成功させるカギは、技術理解そのものよりも、サイバーセキュリティ担当者の自信とコミュニケーション能力にかかっている。ゼロトラストは、長年かけて築かれてきたプロセスや前提を問い直すものだ。これまでファイアウォールやVPNは、完全ではないにせよ、ある種の安心感をもたらしてきた。一方ゼロトラストは、暗黙の信頼を排し、継続的な検証に置き換えるアプローチである。この考え方は技術的にはすでに有効性が実証されているが、文化的なレベルで「慣れ親しんだもの」を手放すことを納得してもらうのは、はるかに難しい。
関連記事:ゼロトラストがCISOを悩ませる理由
ITリーダーは、ゼロトラスト・アプローチの利点を、非技術系の経営陣にも響く形で伝えなければならない。これは、技術的な知見を武器にキャリアを積み上げてきたITリーダーにとって、決して容易なことではない。新しいアプローチを技術的に説明すればするほど、意思決定プロセスに関わる人々を説得するどころか尻込みさせてしまうようでは、トランスフォーメーションは行き詰まり、既存インフラの置き換えプロセスは停滞してしまう。
したがって、コミュニケーションのプロセスにおける目標は、経営陣の「言葉」で語り、セキュリティを彼らの概念世界に翻訳することにある。そのため、セキュリティのモダナイゼーションを始める際には、企業全体の事業運営をどのように変革できるかを示すことが重要となる。ポイントは、「自社は今どこにいて、将来どこを目指し、その道のりでどのようなマイルストーンを乗り越える必要があるのか」を明確にすることだ。
ゼロトラストは、単なる技術トレンドとしてではなく、業界全体の必然性に対する適切な対応として位置づけるべきだ。社内ネットワークの内側はすべて信頼できるという「城と堀」モデル(ファイアウォールに象徴される従来の考え方)を捨て去ることは、巨大な課題である。
これに対しゼロトラストは、いかなる事前の信頼も置かず、すべてのアクセスを検証し、その結果として攻撃の影響範囲を限定する。こうしたセキュリティアプローチの成果は、コスト削減、複雑性の低減、そしてそれにもかかわらず高いセキュリティレベルの実現である。このような「言葉」は、価値創出として可視化できる結果を伝えることにつながる。
説得し、賛同を得る
メッセージを分かりやすい言葉に落とし込めたら、次に問われるのは「どう伝えるか」という戦略だ。CTOとインフラチームは、最初に巻き込むべきステークホルダーである。トランスフォーメーションのブレーキ役になってしまうことを防ぐには、緊密な連携が欠かせない。この段階の説得プロセスは、比較的乗り越えやすいはずだ。同じような「言語」を話す相手だからである。
しかし、トランスフォーメーションを成功させるには、ITやインフラチームを超えた賛同が必要となる。実行段階で特に重要な役割を担うのが、各事業部門の責任者だ。彼らの主な関心事は、利益の最大化である。財務的な成果を出し、業務効率と顧客満足度を確保し、業務の中断を最小限に抑えなければならない。
彼らの信頼と協力を得るには、CIOやCISOが事業部門の現場感覚を理解することが不可欠だ。部門長の優先事項を踏まえ、その業務上・財務上のリスクに焦点を当てたオーダーメイドの対話であれば、対等な立場で、的を射た議論ができる。
例えば、工場長との会話で複雑な認証方式の話をしても意味がない。むしろ、サイバー攻撃が生産停止やデータ損失、コンプライアンス違反による罰金につながり得ることを説明する方が有効だ。こうしたテーマこそが、彼らの「眠れない夜」の原因だからである。ゼロトラストを、生産目標の達成と損益計算書の保護のための手段として提示できれば、セキュリティモデルの変更は「ビジネス上のメリット」へと姿を変える。
また、経営陣とのコミュニケーションのタイミングと頻度も、企業全体で一貫した方向性を築き、維持するうえで重要だ。四半期ごとにサイバーセキュリティを議題に取り上げることで、比較的短期間で経営層の間にモメンタムと信頼を醸成できる。
当初の懐疑心が薄れてきたら、こうした会議は半年ごとの短いチェックインに切り替えることもできる。その段階では、実務的な論点と測定可能な成果に焦点を当てるべきだ。あわせて、セキュリティリスクをビジネス上の優先課題として再定義することも可能になる。
「仲間」を増やす
ここ数年でサイバーリスクは、ニッチなテーマから、すべてのCEOや取締役のアジェンダの最上位に位置づけられる重要課題へと変貌を遂げた。そのため、経営陣との対話は、ステークホルダー側からも以前より前向きに受け止められるようになっている。新たなセキュリティアプローチの導入に対する信頼を勝ち取ることができれば、トランスフォーメーションの各要素へのコミットメントを得ることは、次第に容易になっていく。
このようなトランスフォーメーションプロジェクトが承認される前に、CIOやCISOは、経営陣側の当初の慎重姿勢を織り込んでおくべきだ。CFOや法務責任者、監査役会メンバーなどは、ここで心強い味方となり得る。従来の意思決定プロセスがうまく機能しない場合でも、彼らはさりげないプレッシャーをかけ、慎重すぎる経営陣に変革を促すことができる。
CIOやCISOは、既存テクノロジーの番人であるだけでは不十分だ。文化的変革の推進者へと役割をシフトし、モダナイゼーションに向けた橋渡しを担わなければならない。そのためには、リーダーシップスタイルを新たな要件に合わせて変える覚悟が求められる。最終的に、セキュリティトランスフォーメーションを軌道に乗せ、経営陣の言葉で語りかける責任は、彼ら自身にあるのだ。(jm)
翻訳元: https://www.csoonline.com/article/4105647/zero-trust-umsetzung-die-richtige-kommunikation-zahlt.html
