最新サイバーセキュリティを導入したい場合、経営陣にどう説明するのが最適？【ColorTokensブログ 日本語翻訳】

本記事では、アメリカのサイバーセキュリティ企業 ColorTokens（カラートークンズ）社が発信しているセキュリティ情報（英文）を、日本の代理店である株式会社電巧社が許諾を得て日本語に翻訳・掲載しています。

※本記事は、掲載後に修正される可能性がございますので、ご了承ください
※過去の記事もアップしておりますので、現在の情報と異なる可能性がございます。
記事下の最終更新日をご参考ください

---

経営幹部を味方につける：ゼロトラスト・マイクロセグメンテーションプロジェクトの究極の売り込み方

今日のブログでは、数百の組織におけるマイクロセグメンテーションの実装支援を通じて得た実践的な教訓を共有します。

特に、セキュリティチームがゼロトラスト・マイクロセグメンテーション・プロジェクトの利点を経営陣に効果的に伝える方法について観察したことをお話しします。

また、クライアントがゼロトラストの取り組みの価値を経営層や取締役会に証明できるように、実装ワークフローと報告を最適化した方法についても触れます。

一日中何をしているのか？

セキュリティリーダーとして、ゼロトラスト・プロジェクトの実装だけでなく、その価値を同僚、経営層、そして取締役会に対して明確に伝えることが求められます。

進捗と利益を適切にコミュニケートする責任があります。最初にそれをうまく行わなければ、プロジェクトの予算承認を得ることができず、継続的な支持も得られません。

ここでは、ゼロトラストアーキテクチャの実装を進めるクライアントをサポートして得た教訓をいくつか紹介します。
 

通訳が必要です

CISO（最高情報セキュリティ責任者）は、その役割において大きな課題に直面しています。

CIO、CEO、CFOなどの様々な役員に報告する場合があり、取締役会の会議の最後に、四半期に一度の短い時間枠でイニシアティブの価値を効果的に伝える必要があります。

これにより、ゼロトラストのイニシアティブの価値を数分で伝える必要があります。

CIOは技術的なビジョンに既に同意しているか、そうであるべきです。 

彼または彼女はあなたのそばにいて、満たそうとしているビジネス要件の技術的側面を理解しています。

しかし、他のステークホルダーはビジネスの言葉で話します。

彼らは何台のエンドポイントエージェントをインストールしたのか、いくつのゼロトラストトラフィックポリシーを構成したかには関心がありません。

彼らは、資金提供を求めているサイバーイニシアティブのビジネス成果を理解したいのです。

今回のブログを準備するために話をしたのは、数十億ドル規模の製薬会社のCISOです。

彼は、常に予算を要求するときに取締役会から承認を得ていたと言います。

サイバーセキュリティ戦略と進行中のイニシアティブをビジネスの観点から説明していました。

CEOや取締役会に対して関連する言葉で話し、規制当局やその他のステークホルダーに対して組織を良い光で見せていました。

マイクロセグメンテーションはマルウェアやランサムウェアのラテラルムーブメント（水平移動）を止めるとだけ言うのは不十分です。

これは解決策の重要な機能ですが、マイクロセグメンテーションの利点は、特にビジネスの継続性、回復力、株主価値の向上と関連付けてビジネスの言葉やインフラストラクチャ責任者から聞いたところによると、CEOや取締役会が聞きたいのはそのような言葉だと言います。

 

「なぜ」を説明し、「どのように」ではない

製薬会社のCISOが教えてくれたのはこうです。

これは聞くと明らかで簡単に思えますが、何度も同じ罠に陥ってしまうようです。

我々技術者は「どのように」に精通しており、技術的な問題を解決することに慣れています。

しかし、ビジネスの成果は「なぜ」に焦点を当てています。

我々は快適な領域を抜け出し、サイバーセキュリティ計画やプログラムについて話すときには異なる視点でコミュニケートする必要があります。

以下は実際の例です。

これらは全て事実です。

クライアントは、これらのことを行うために我々のソリューションを評価し、最終的に選択しました。

• 我々のマイクロセグメンテーション計画は、マルウェアやランサムウェアのラテラルムーブメント（水平移動）を阻止します

• 我々は、コンピュータアセットやリソースの周辺に細かい境界を設けます

• リソースへのトラフィックとアクセスを制御するゼロトラストポリシーを設定します

しかし、これらの事実は、経営陣にとって最終的には興味深いものではありません。

しかし、ビジネスの成果と組み合わせると、非常に意味があります。

• 我々のマイクロセグメンテーション・プロジェクトは、マルウェアやランサムウェアのラテラルムーブメントを減少させ、既存のサイバーセキュリティ投資を用いて適切なサイバー防御を行う貴重な時間を提供します

• 我々は、コンピュータアセットやリソースの周辺に細かい境界を設け、ビジネスの継続性と回復力を確保し、迅速かつ正確に8Kレポート（アメリカ合衆国の証券取引委員会に提出する報告書）を提出します

• リソースへのトラフィックとアクセスを制御するゼロトラストポリシーを設定し、サイバー攻撃が猛威を振るっても重要なビジネスプロセスを継続的に運営します

彼らにとって興味深いのは、サイバー攻撃の重大な影響について4日以内に正確で具体的な8Kを提出する能力を持つことです。

興味深いのは、デジタル業務の中断を防ぐことや、身代金のためにビットコインを用意しなくても済むことです。

マイクロセグメンテーションを使用することで、必然的な侵害が危機に発展しないようにデジタル業務を設計できるということです。

サイバーセキュリティイニシアティブの資金を確保するために成功したクライアントは、初期の予算正当化およびステークホルダーへの継続的な更新の際に、このような言葉でソリューションを説明しました。

これは、サイバーセキュリティイニシアティブの価値をステークホルダーに伝えるための最初のステップです。 

誰も嵐が来るまで保険に支払いたくない

もう一つのコミュニケーションの課題は、CFOや取締役会がサイバーセキュリティを単なるコストとしか見ていないことです。

人間の本能として、嵐が来るまで保険にお金を払いたくないのです。

サイバーディフェンスイニシアティブに投資しないことは、攻撃の重大な影響がない限り、四半期ごとの純利益にとって純粋な利益となるからです。

古い保険営業マンの話を例にしてみましょう。

彼は常に会社のトップセールスマンでした。

彼は見込み客のキッチンテーブルに行き、保険提案書を取り出す前に、光沢のある黒いラッカーで仕上げられた小さな棺をテーブルの上に置きました。

そしてその棺に言及することなく、保険の提案について話し続けました。

提案書の詳細を話し合っている間中、夫婦はその棺を見つめていて、生命保険の必要性を直感的に実感しました。

もちろん、取締役会の会議に棺を持ち込むことを提案しているわけではありません！

しかし、この話の教訓は、技術者として、サイバー防御への投資の価値をステークホルダーに理解しやすく意味のある方法で伝えなければならないということです。 

金額を見せてください！

では、どうすればいいのでしょうか？

ステークホルダー、特に予算承認者と意味のあるコミュニケーションをするためには、「ジェリー・マグワイア」のように具体的な金額を見せる必要があります！

検証された事実や統計を用いて、ランサムウェアの被害額、デジタル業務の中断日数、規制当局による罰金など、サイバー攻撃の財務的影響を定量化するのです。

これらの業界統計をあなたの組織に関連付けることが重要です。

以下は、クライアントがステークホルダーとのコミュニケーションに使用している指標の例です：

• 身代金の回避

• 保険料の増加

• SECへの重大な影響の報告回避

• コンプライアンス違反による罰金

• 顧客データの喪失による契約違反罰金

• デジタル業務の中断

• 評判のコスト

保守的な見積もりでも、これらの潜在的な損失が提案するサイバーセキュリティイニシアティブのコストを上回ることを示すことができます。

これにより、推定の回収期間とROIを計算できます。これは、私が話を聞いたCISOがそのイニシアティブの資金を確保するために使用した方法です。

利用可能なリソースとして、Statista（https://www.statista.com/）のような統計サイトがあります。

ここでは、業界に関連する検証済みの統計を見つけることができます。以下は、医療業界の垂直市場の例です。

これらの統計は、攻撃の数、支払われたランサムの平均、業務の中断期間の平均などを定量化するのに役立ちます。

 他にも、比較可能な侵害の影響見積もりが公開されています。 

昨夏、SECは、公開企業が重大なサイバーセキュリティインシデントを迅速にForm 8-Kで開示し、サイバーセキュリティリスク管理とガバナンスに関する詳細情報を年次のForm 10-Kで報告するルールを採用しました。

 公開企業は、重大なサイバーセキュリティインシデントを4営業日以内に報告することが求められています。

この情報は、SECのEDGARウェブサイト（https://www.sec.gov/edgar/searchedgar/companysearch）で見つけることができます。 

これは2つの方法で役立ちます。 

まず、イニシアティブを正当化するための「お金を見せる」カテゴリーに新たな要因を追加し、次にすべて公開情報なので、同業他社に影響を与えた重大なインシデントの状況認識を得ることができます。 

例えば、Dropbox、Microsoft、Oktaの最近の報告が含まれます。

 もう一つの重要なパラメータは時間要素です。

 提案を構築する際には、ビジネスリーダーは次のことを確認したいのです：

• どのような攻撃を防ぐことができるのか

• その攻撃が与える可能性のある影響

• セキュリティ体制を強化するためにどれだけの予算が必要か

• その利益がいつ得られると予測しているか
  具体的なタイムフレームを示すことが非常に重要

私たちが学んだことの一つは、プロジェクトの最初の数日や数週間で即時のセキュリティ向上を示すことが、ステークホルダーの信頼を築くのに役立つということです。 

数ヶ月待たなければならないような成果では、効果がありません。 

ColorTokensでは、ソリューションのワークフローを最適化し、クライアントがステークホルダーに早期の成功を示せるようにしました。

すぐに得られる成果を見せるために、低リスクのポートをブロックし、外部インターネットフローのセキュリティを確保し、内部フローと管理者アクセス制御を実施するなど、企業全体のコントロールから始めます。

その後、アプリケーション固有のゼロトラストコントロールを続け、最終的なセキュリティ目標に向かいます。

我々の実装ワークフローを即時のセキュリティ向上を示すように構成することで、クライアントがサイバーセキュリティイニシアティブの制度的および文化的な課題を克服するのを支援してきました。

実際の顧客事例からの例です。

最初の60日間で、650個のアセットに対してアタックサーフェスの削減と影響範囲の縮小による改善を測定しました。

開発環境では、アセットのうち96個が低リスクに、26個が中リスクに移行しました。

QA環境では111個が低リスクに、そして本番環境では351個が低リスクになりました。

そこから、アプリケーション特有のコントロールを駆使して、徐々にセキュリティ体制を向上させました。

写真がなければ、起きていないのと同じ

このような改善をプロジェクトの初期段階から示すことで、ステークホルダーの信頼を築きます。

しかし、経営層や取締役会は、進捗を視覚的に、容易に消化できる形で見たいのです。

このため、マイクロセグメンテーションプロジェクトの成功をクライアントが簡単に伝えられるように、ダッシュボードやレポートを作成しました。

ColorTokensはあなたのジャーニーの伴走者

ColorTokensでは、クライアントが自社の内部顧客を持っていることを理解しており、ゼロトラストアーキテクチャへの旅を支援する方法を学んできました。

そして、「オズの魔法使い」の忠実な犬トトのように、ずっとあなたのそばにいます。

飛んでくるモンキーを避け、ゼロトラストロードを通ってエメラルドシティの侵害準備に向かうのを支援します。

さあ、今日から始めましょう！

---

■公式サイト（日本語）

ColorTokens マイクロセグメンテーション×ゼロトラスト – 株式会社電巧社

■公式サイト（英語）

Be Breach Ready - ColorTokens

---

翻訳元記事
「Get Your C-Suite Onboard: The Ultimate Pitch for Your Zero Trust Microsegmentation Project 」
最終更新日：2024/5/28

Zero Trust Explained: Persuading Stakeholders on Microsegmentation's Strategic Value - ColorTokens

著者：Bob Palmer

#電巧社 #ゼロトラストセキュリティ情報局 #ColorTokens #ゼロトラスト #ゼロトラストセキュリティ #ゼロトラストアーキテクチャ #マイクロセグメンテーション #セキュリティ #サイバーセキュリティ #サイバー攻撃 #企業 #経営陣