複雑化するシステムに潜む“隠れたコスト”を最適化
ゼットスケーラーは、ゼロトラストアーキテクチャに基づくクラウドセキュリティ製品・サービスを提供する米Zscaler社の日本法人。Zscalerはクラウド型のプロキシーサービスおよびリモートアクセスサービスのベンダーとして広く知られるが、それだけでなくゼロトラストの導入による経営効果を顧客企業とともに定量的に評価する「ビジネスバリューアセスメント」というコンサルティングサービスも広く展開している。
一般的にセキュリティソリューションの導入効果を企業の経営層に納得させるのは難しいとされるが、Zscalerでは独自に確立したメソドロジーに則り、ゼロトラストの導入価値を専任のコンサルタントが企業の担当者とともに評価し、その試算結果を経営層に示すことでゼロトラストの導入価値の訴求を図っている。ゼットスケーラー シニアバリューアドバイザーの後藤和枝氏は、同社が「経営効果」の訴求にこだわる理由について次のように説明する。
「現在世界各国でインフレ拡大や物価上昇、政策金利の利上げなどが進んだことにより、企業の収益性が低下しつつあります。そのため多くの企業が、より高い収益性と競争優位性を確保するための道を模索しており、自ずとシステムやセキュリティの投資対効果もシビアに問われるようになってきています」
加えてサイバーセキュリティの脅威が年々増しており、これに対処するために多くの企業が様々なセキュリティ製品を適宜導入してきた結果、セキュリティシステム全体が複雑化してしまい、その運用コストの負担やガバナンス・コンプライアンスの担保に苦慮しているという実態もある。
その点、ゼロトラストアーキテクチャに基づいて開発されたセキュリティ製品は、複数のセキュリティ機能を単一のクラウドサービス上に集約しており、これを導入することで製品の数を減らし、結果的にライセンスコストや運用コストをスリム化できる可能性がある。米Enterprise Strategy Group社の「ESG経済検証レポート」(2022年1月)によれば、Zscalerの製品を導入してゼロトラスト化を実装することで、業務工数を74%削減することが可能になるという。
コスト削減だけじゃない 生産性と収益性向上にも寄与
一方、ゼロトラスト導入による経営効果は「コスト削減だけには留まらず、さらに広範に及ぶ」と後藤氏は指摘する。
「もしセキュリティインシデントに見舞われ、情報漏えいやデータ破壊などの被害が発生した場合、企業が被る損失はシステムの復旧にかかるコストだけには留まりません。企業のブランドイメージの失墜や業務遂行能力の低下、それにともなう企業価値の棄損や収益悪化などが予想されるため、企業経営のあらゆる側面に多大な影響が及びます」
逆にゼロトラストへの投資はこうしたリスクを低減してくれるため、その効果は全社レベルに及び、経営に対して総合的なメリットを提供すると同氏は力説する。
なおゼットスケーラーが実際に経営効果を評価する際には、「生産性・コスト」「サイバー脅威耐性」「収益性」の3つの軸でそれぞれの効果を評価し、それらを合わせることで最終的に総合的な経営効果を割り出す。したがって、この3つの効果を極力バランスよく発揮できるソリューションが最も高い収益性と競合優位性を経営にもたらすことになるが、これまで存在した大半のセキュリティソリューションは最大でも2つまでしかカバーできていなかったと後藤氏は述べる。
「たとえばリモートアクセスのネットワーク環境を整備すれば、従業員の生産性は向上しますが、サイバー脅威のリスクは増します。そこでセキュリティ対策への投資を増やせば、サイバー脅威のリスクは減るものの、今度は収益性が悪化します。このように、従来のセキュリティソリューションで3つの効果をバランスよく発揮するのは極めて困難でした」
しかし同氏によれば、ゼロトラストを導入することによってこうした限界を突破することが可能になるという。クラウドサービス上でセキュリティを集中管理することでサイバー脅威を排除し、複数のセキュリティ製品をばらばらに導入・運用することで生じるコスト面の無駄をなくし、さらにはクラウドサービスへの直接接続を実現することでユーザーの利便性も向上する。その結果、先に挙げた3つの効果を最大化し、コスト削減のみならず収益性や競争優位性の向上も同時に達成できるという。
社内ステークホルダーへの理解を促す、独自レポートの中身
同社は独自の経営効果評価モデルを用いて、顧客企業1社1社に合わせてゼロトラストの導入効果を評価・試算し、最終的にその結果を経営層が容易に理解できるレポートの形にまとめて提示する。具体的には「技術コスト最適化」「業務効率化」「システムのアジリティ」「カーボンフットプリントの縮小効果」「ユーザーエクスペリエンス向上」「サイバー脅威耐性向上」という6つの評価軸を設け、それぞれにおける経営効果を定量的に試算して可視化する。
「このように複数の軸で経営効果を評価することで、ゼロトラストの導入が企業経営全体に与える具体的な効果を幅広い観点から可視化できます。こうして客観的な観点から経営効果を評価することで、ゼロトラストの投資対効果を経営陣により訴求しやすくなります。また評価結果を社内で広く共有することで、立場が異なるステークホルダー間でゼロトラストの導入効果を検討しやすくなります」(後藤氏)
こうした評価・試算を事前に行った上でゼロトラストの導入を決め、最終的に大きな効果を上げた例として、後藤氏は米NOV社の事例を挙げる。NOVは石油やガスの採掘・生産機器メーカーとして世界的に知られる企業で、世界60ヵ国で約2万7000人の従業員を擁する。そんな同社では、すべての従業員が場所を問わずいつでもシステムにアクセスして業務を遂行できる環境の実現を目指し、新たにゼロトラストアーキテクチャに基づいたシステムを構築することになった。
その際、あらかじめZscalerのコンサルタントとともにゼロトラストの導入効果を試算した上でシステムを設計・構築した結果、ネットワーク速度は旧システムと比較して10倍から20倍に向上。ネットワークだけをとっても年間6億5000万円以上のコスト削減を達成し、さらにネットワーク以外のすべてのシステム要素を加味すると全体で数十億円のコスト削減が見込まれるという。
「絵に描いた餅」に終わらせない、現実解への伴走
実際に経営効果を評価・試算するに当たっては、その前にあらかじめゼロトラストに基づくインフラへの移行検討を行い、そこで洗い出されたギャップや課題などを加味しながら各企業の実態に即したアセスメントを行う。
ゼットスケーラーでは、このインフラの移行検討の作業に関しても「アーキテクチャーワークショップ」と呼ばれるサービスを通じて支援を提供している。同社 エバンジェリスト&アーキテクトの髙岡隆佳氏は、同社がこのサービスを提供する目的について次のように述べる。
「お客さまのインフラの現状、つまり『As-Is』を把握した上で、将来目指すべきインフラの『To-Be』像を見定め、そこに至るまでの計画を策定するのがアーキテクチャーワークショップの目的です。そのためZscaler製品にこだわることなく、認証・認可からネットワークセキュリティ、エンドポイントセキュリティ、データ保護など、あらゆる分野にわたって最新技術をどのように適用すべきかを検討し、As-IsからTo-Beへのよりスムーズな移行の道筋をつけます」
同社の経験豊富なコンサルタントが顧客企業の担当者からヒアリングを実施し、その結果に基づきその企業に最も適したゼロトラストへの移行計画を策定し、それぞれの移行フェーズにおいて目指すべきアーキテクチャーとそこで必要な技術の適用方法などについて提案を行う。これらの作業を1~2ヵ月かけて行い、その結果を基にさらにこれを実践に移した際の経営効果を、先述のビジネスバリューアセスメントで3週間~1ヵ月間かけて行う。
こうした取り組みを通じて、同社では今後も単に製品・サービスを提供するだけに留まらず、その導入を経営効果へと直接結びつけるための様々な支援サービスも引き続き提供していくとしている。
「製品ベンダーが謳う導入効果は得てして『絵に描いた餅』に終わりがちですが、弊社のアーキテクチャーワークショップはそうではなく、現実解となり得る青写真をお客さまとともに作り上げていきます。さらにこの結果を基に、ゼロトラスト化を実施した際の経営効果を具体的な数字で示すことで、企業が明確なDXビジョンを描くためのお手伝いをしていきたいと考えています」(髙岡氏)
9月27日開催の「Zenith Live ‘24 Tokyo」申し込み受付中!
ゼットスケーラーの年次イベント「Zenith Live ‘24 Tokyo」が9月27日(金)に開催されます。今年のテーマは「Zero Trust Meets AI」です。AIで進化するゼロトラストのイノベーションが、企業が抱えるリスク、複雑性、コストをどのように低減し、かつビジネス成長に貢献できるのか、本イベントを通じてお届けします。ご参加のお申し込みをお待ちしております!
