脆弱な海外拠点のセキュリティ強化に有効的なゼロトラストアプローチ。海外拠点でゼロトラストを導入する必要性、導入効果と導入のポイントについて、失敗事例を紹介しながら解説していきます。
-
通信と多様なケイパビリティを活用し、DXと事業基盤サービスでお客さまビジネスを支援します。
-
CO2排出量の可視化から削減まで、一貫してカーボンニュートラル実現を支援します。
-
KDDIは『つなぐチカラ』でビジネス、ライフスタイル、社会をアップデートします。
-
場所にとらわれずつながるソリューションを、デバイスからセキュリティまで支援します。
-
多数の次世代型低軌道衛星により高速・低遅延通信を提供します。
-
データセンターからネットワークまで、業務に最適なソリューションをトータルで提供します。
-
中小規模の事業者向けに特化したスマートフォンのご利用方法のご案内です。
-
中小規模事業者のやりたいことや変えたいことを、モバイルとクラウドの技術を用いてサポートします。
導入事例を検索
閉じる
閉じる
閉じる
閉じる
閉じる
ゼロトラストブログ vol. 17
経営層を説得し、ゼロトラスト予算を確保するには?
2024 9/30
「せっかくゼロトラスト計画を作成したのに、経営層に納得してもらえない!」そんな経験はありませんか?企業がゼロトラストに取り組むうえで、社内IT担当が困っていることの一つが「予算の確保」です。KDDIとしても企業のゼロトラスト推進をご支援していく中で、費用対効果を示せず予算取りに苦慮されているお客さまの声をよく耳にします。ゼロトラストは複数の製品を組み合わせてセキュリティを高度化していく考え方なので、取り組みを進めていくとコストが膨らみがちです。また、導入後のセキュリティ効果の可視化・検証が難しく費用の妥当性を示しづらいことも、予算の確保が難しい理由の一つです。
本記事では、ゼロトラスト環境の構築に必要な予算を確保するための経営層へのアプローチについて、ゼロトラスト推進部の北島が4つのポイントを踏まえご説明いたします。本記事をご覧いただくことで、ゼロトラストを上申する際の一助となれば幸いです。
本記事では、ゼロトラスト環境の構築に必要な予算を確保するための経営層へのアプローチについて、ゼロトラスト推進部の北島が4つのポイントを踏まえご説明いたします。本記事をご覧いただくことで、ゼロトラストを上申する際の一助となれば幸いです。
ポイント① 現状リスク
自社にどれほどのセキュリティリスクがあるのか?
セキュリティの観点から企業経営に影響を与えるリスクを説明することで、意思決定に必要な情報を経営層へ示すことが可能です。現行環境におけるセキュリティリスクと、そのリスクが顕在化した場合に発生し得る影響を、自社でセキュリティインシデントが発生したことを想定したシナリオをもとに定量的・定性的に整理することで、ホラーストーリーでセキュリティ対策の必要性を説明します。
定量的な影響評価
リスクを定量的に説明する方法の一つとして、自社でセキュリティインシデントが発生した際に想定される損害額を想定シナリオをもとに算出する方法があります。JNSA (NPO日本ネットワークセキュリティ協会) の「インシデント損害額調査レポート第2版」(注1) によると、セキュリティインシデントが発生した際に想定される損害は以下6つの要素で構成されます。
これらの各要素について、自社でセキュリティインシデントが発生した際の想定シナリオをもとに損害額を算出することができます。インシデントが発生した際の影響を具体的な金額を示すことで定量的に説明できるため、ゼロトラスト製品導入の費用対効果が説明しやすくなります。
| 損害種別 | 概要 |
|---|---|
| 1. 費用損害 (事故対応損害) | インシデント対応にかかる費用 |
| 2. 賠償損害 | 個人情報漏洩などによる損害賠償金 |
| 3. 利益損害 | システム停止などによる事業中断における利益損失 |
| 4. 金銭損害 | ランサムウェアの身代金やビジネスメール詐欺への支払金などの金銭支払 |
| 5. 行政損害 | 個人情報保護法やGDPR (EU一般データ保護規則) 違反により課される制裁金 |
| 6. 無形損害 | 風評被害や株価下落、無形資産などの価値の下落 |
定性的な影響評価
他社のセキュリティインシデントの事例を参考に、自社で発生し得る影響を想定シナリオをもとに定性的に考えます。自社が展開する事業の中で社会的影響の大きい事業 (人命や社会インフラに関わる事業など) や、主力製品を取り扱う事業がランサムウェア被害などによりストップすることを想定すると、事業や会社自体への影響の大きさをアピールできます。
<他社のセキュリティインシデント事例>
- 大手通信会社:セキュリティ管理体制不備により発生した内部不正の責任を取るため、社長退任
- 大手食品会社:ランサムウェア被害により財務会計システムが復旧不可能となり、決算報告が数カ月遅延
- 大手自動車メーカー:部品仕入れ先のランサムウェア被害により、国内全工場が稼働停止
<定性的な影響の一例>
- 物流システムの停止によるサプライチェーンへの影響の波及
- 金融システムの停止によるユーザーの口座取引の停止
- 医療関連製品の生産停止による人命への影響
- 研究データが競合へ漏えいすることによる企業の競争力低下
- 注1) 出典:「インシデント損害額調査レポート第2版」JNSA (NPO日本ネットワークセキュリティ協会), 2024年2月(※ 外部サイトへ遷移します。)
ポイント② 期待効果
ゼロトラスト導入によるポジティブな影響は何か?
ゼロトラスト導入の必要性を説明するうえで、セキュリティリスクのようなネガティブな影響のみで経営層を納得させることは容易ではありません。
そこで、ポジティブな影響として、ビジネス観点で期待される効果の説明も必要となります。ポジティブな影響を説明することでゼロトラスト導入によるセキュリティ観点以外のメリットを理解してもらうことができます。
ゼロトラスト導入によるビジネスへの期待される効果の一例
| 期待される効果 | 概要 |
|---|---|
| ステークホルダーへの説明責任遂行とブランドイメージの向上 | 高度なセキュリティを実装することで企業の安全性をステークホルダーに担保でき、企業のブランドイメージの向上につながります。 |
| 多様な働き方の実現による従業員満足度の向上 | いつでもどこでもセキュアに働ける環境の実現により、従業員満足度が向上します。さらには、人材流出防止にもつながります。 |
| 外部からの人材獲得 | 企業のブランドイメージの向上、多様な働き方の実現により、外部から人材を獲得しやすくなります。 |
| ITインフラの柔軟性向上によるDX推進の加速 | ゼロトラスト導入によりデータに対するアクセス制御や監視が強化されるため、企業はデータの利活用がしやすくなり、データドリブンなビジネスが促進されます。 |
| データセンター (DC) 撤廃やオフィス縮小によるコスト削減 | ネットワーク機器やセキュリティ製品、サーバーをクラウドに移行することによりオンプレミス資産を削減しDC撤廃が可能になります。また、働き方の多様化により出社人数が減少することで、オフィスの縮小が可能になります。 |
| M&A・企業合併などのビジネス拡張の後押しによるビジネススピードの向上 | ネットワークをクラウドベースで構築することにより、M&Aや合併といったビジネスの拡張を促進し企業のネットワーク統合が行いやすくなります。 |
ポイント③ 他社比較
他社はどの程度ゼロトラストに取り組んでいるのか?
経営層は競合がどのような取り組みを行っているのかを特に気にしているため、同業他社の取り組み状況を説明すると効果的です。
他社のゼロトラスト取り組み状況を共有し、他社と比較した自社の立ち位置を明確にすることで、何をどこまで実施すればよいかを経営層にアピールできます。
他社と比較した自社の立ち位置を明確にするためには、以下の3点の情報を提示すると効果的です。
1. 他社のセキュリティ関連費用
そもそも自社のセキュリティ関連費用が少ない場合、他社のIT予算全体におけるセキュリティ関連費用の割合を提示することで、セキュリティ関連費用増額の必要性を訴求できます。
JUAS (一般社団法人 日本情報システム・ユーザー協会) が発行した「企業IT動向調査報告書2024」(注2) には、売上高別のIT予算に占める情報セキュリティ関連費用の割合が掲載されているので、参考にするとよいでしょう。
2. ゼロトラストツール導入率
他社のゼロトラストツール導入率を提示することで、自社の立ち位置を明確化できます。
2023年度にKDDIが実施した企業500社を対象としたアンケートでは、ゼロトラスト関連ツールの導入状況と今後の導入予定について調査しました。「既に導入済み」の回答で最も割合が高かった項目は「EDR」で27.0%、次いで「MDM」(22.4%)、「IDaaS、IAM」(16.8%)という結果になりました。
3. 競合のゼロトラスト取り組み状況
競合の取り組み状況を意識する経営層は多いため、競合の取り組み事例を提示すると効果的です。競合のIR資料に掲載されているセキュリティの取り組み方針や、ベンダー企業が開示している導入事例を参照されることをおすすめします。
- 注2) 出典:「企業IT動向調査報告書2024」JUAS(一般社団法人 日本情報システム・ユーザー協会) , 2024年3月 (※ 外部サイトへ遷移します。)
- 注3) 出典:ゼロトラストに対する取組状況調査。2024年2月にKDDI株式会社が独自で実施。従業員500人以上の企業の情報システム部門従業員を対象とした。有効回答数は500件。
ポイント④ コスト計画
ゼロトラスト導入によりコストがどう増減していくのか?
経営層に意思決定をしてもらうためには、ゼロトラスト導入のメリットや他社の取り組み状況を示したうえで実際にかかるコストを算出し、費用の妥当性を示す必要があります。
ゼロトラスト導入と聞くと単純にコストが増加するように思われてしまいますが、導入されるゼロトラストツールが従来のオンプレミス機器と置き換わることで、コストが削減される場合があります。ゼロトラスト移行において導入するツールが何と置き換わるのかを整理し、増加していくコストと減少していくコストとを試算することで、単純なコスト増ではないことを説明できます。
ゼロトラスト導入によって置き換わるコスト要素の一例
| ゼロトラスト移行前 | → | ゼロトラスト移行後 |
|---|---|---|
| 境界型セキュリティ機器 (プロキシサーバー (注4) やFirewall (注5) など) | SWG (注8) | |
| VPN機器 (注6) | SDP (注9) | |
| Active Directory (注7) | IDaaS (注10) | |
| セキュリティ監視運用要員 | SIEM (注11)・SOAR (注12) |
ゼロトラスト導入によるセキュリティ関連費用変遷の一例
これら4つのポイントについて、自社の経営層が特に意識しているポイントを考慮したうえでストーリー立てて説明していく必要があります。
また、NIST (米国国立標準技術研究所) のサイバーセキュリティフレームワークなどの権威付けされたフレームワーク、公的機関やベンダー企業が発行したレポートのデータなどを活用し、根拠づけて説明していくことでより妥当性のある報告ができます。
- 注4) インターネットにアクセスする際に、ユーザーとウェブサイトの間に立ってデータを中継するサーバー
- 注5) ネットワークを外部の脅威から守るために、不正なアクセスをブロックするシステム
- 注6) インターネットを通じて安全にデータを送受信するために、仮想的な専用回線を作る装置
- 注7) ユーザーやコンピューターの情報を一元管理し、アクセス権を制御するためのシステム
- 注8) Secure Web Gateway。インターネットへのアクセスを監視し、悪意のあるサイトやコンテンツをブロックするセキュリティ装置
- 注9) Software Defined Perimeter。ネットワークの境界をソフトウェアで定義し、認証されたユーザーだけがアクセスできるようにする技術
- 注10) Identity as a Service。クラウド上でユーザーの認証やアクセス管理を提供するサービス
- 注11) Security Information and Event Management。セキュリティ情報やイベントを収集・分析し、脅威を検出するシステム
- 注12) Security Orchestration, Automation, and Response。セキュリティインシデントに対する対応を自動化し、効率的に処理するためのプラットフォーム
最後に
弊社ではゼロトラスト移行に向けた次期ITインフラ構想策定から、それらの内容を経営層へ報告するための上申支援までを実施しております。次期ITインフラ構想策定では現状の課題・リスクを洗い出したうえで、段階的なゼロトラスト移行に向けた構成検討やロードマップ策定を実施いたします。上申支援ではお客さまの経営層が特に意識されている観点を考慮したうえで、ストーリー立ててゼロトラストの必要性を訴求する資料を作成します。
「ゼロトラストを推進していきたいが何から始めればよいのかわからない」「ゼロトラスト計画を策定したものの経営層の理解が得られず前に進めない」などのお困りごとがあれば、弊社までお声がけいただけますと幸いです。
執筆者プロフィール
北島 佳奈 (きたじま かな)
2020年にKDDIへ新卒入社後、ゼロトラストを中心としたITインフラのコンサルティング業務に従事。大手事業会社向けにゼロトラスト計画策定や上申支援などを実施。
2020年にKDDIへ新卒入社後、ゼロトラストを中心としたITインフラのコンサルティング業務に従事。大手事業会社向けにゼロトラスト計画策定や上申支援などを実施。
本サービスへのお問い合わせ
KDDI 法人営業担当者が、導入へのご相談やお見積もりをいたします。
何かご不明な点があればお気軽にお問い合わせください。
ホワイトペーパー
最新のイベント・セミナー情報
ピックアップ
