信頼ゼロの経済学：なぜ "簡単な "道はコストがかかるのか

By Nate Brady - クラウド・セキュリティ・アーキテクト

2025年7月17日 5 分で読む

サイバーセキュリティ業界は、Zero Trust Network Access （Zero Trust Network Access ）を老朽化したVPNインフラの直接的な代替と位置づけ、最小限の混乱を約束し、時間をかけて徐々にポリシーを移行するという、魅力的なコンセンサスを構築してきた。そのメッセージは説得力がある。組織変更の複雑さを回避しながら、最新のセキュリティ上のメリットを得ることができる。しかし、経済的な面では異なるかもしれない。

この "簡単な "道を進む組織は、短期的な混乱を最小化することを意図したアプローチが、実際には長期的なコストを最大化することに気づくだろうと私は予測している。一方、ZTNAへの移行を根本的なIT変革の機会と考える組織は、汗水たらして取り組んだ努力が、業務効率という形で報われることに気づくだろう。私は「良い-速い-簡単」の3拍子（2つしか選べない）を固く信じており、このブログでは、ZTNAの採用がどのように当てはまるかを説明する。

アプリケーション在庫の危機

このパラドックスの根源は、ほとんどの企業が共有していながら、ほとんど認識していない盲点にある。つまり、自社がどのようなアプリケーションを所有し、誰が（どのようなデータで）それを使用し、どのようなビジネス価値を提供しているのか、実際には把握していないのだ。長年にわたるITの有機的な成長、買収、各部門の取り組みによって、容易に分類できない広大なアプリケーション・ポートフォリオが形成されてきた。

従来のVPNインフラは、この不透明性を可能にしてきた。広範なネットワーク・アクセス・ポリシーは、実際のアプリケーションの使用パターンを不明瞭にしている。従業員が「ネットワーク上のすべて」にアクセスできるようになれば、特定のアプリケーションが存在する理由や、誰がアクセスする必要があるのかを誰も正当化する必要がなくなる。VPNは、基本的なガバナンス・ギャップを覆い隠す便利な抽象化レイヤーとなる。

ZTNA-as-VPN-リプレースメントのアプローチは、このダイナミズムを永続させる。ベンダーは、組織の混乱を最小限に抑えながら、既存のアクセスパターンを複製することを約束している。暗黙のメッセージ：何を保護しているのかを理解するのに不便を感じることなく、ゼロ・トラスト・セキュリティを実現できる。これは、複雑さが報われ、合理化が回避される市場のインセンティブ構造を生み出す。

経済的な影響を考える。組織は日常的に、本来のビジネス上の正当性が失効したアプリケーションを保守している。ユーザー数が減少しているソフトウェアにライセンス料を支払っている。また、統合や廃止が可能なシステムにインフラリソースを割り当てている。VPNリプレース・モデルは、これらの非効率性を維持しながら、新たなテクノロジー・コストを上乗せする。

リスク軽減」という偽りの経済

組織の意思決定の枠組みを検討すると、皮肉はさらに深まる。アプリケーションのインベントリと合理化のプロセスは、「リスキー」である。もし、アプリケーションの所有者が正当化要求を突き返したら？ITポートフォリオが想像以上に混沌としていることに気づいたら？

このような懸念は真の組織力学を反映しているが、リスク計算が逆になっている。実際のリスクは、IT環境に関する永続的な無知にあります。セキュリティチームは、理解できないアプリケーションに対して効果的なコントロールを実施することはできません。コンプライアンスへの取り組みは、実質的なリスク管理ではなく、文書化の練習になってしまう。事業継続計画は、証拠よりもむしろ仮定に依存している。

このようなインセンティブのズレに対して、市場は予想通りの反応を示した。複雑さを軽減するのではなく、複雑さを管理するためのコンサルティング・エコシステムが出現した。企業は、数百ものアプリケーションをZTNAプラットフォームに移行するために、そもそもそれらのアプリケーションが存在すべきかどうかを検討することなく、高額な専門サービスを利用する。この「リスク軽減」のための料金は、適切な合理化が生み出すであろうコスト削減を上回ることが多い。

ゼロの信託配当

ゼロ・トラストを適切に導入することで、長年の懸案であったITポートフォリオの最適化が強制的に実現するのだ。すべてのアプリケーションが、所有者を特定し、ビジネス目的を正当化し、データフローを分類する必要がある場合、クリーンアップは有機的に行われる。

経済性はすぐに説得力を持つようになる。アプリケーションのリタイアメントにより、ライセンス費用が不要になり、インフラ要件が削減され、セキュリティの表面積が減少する。チームが同一の機能のために複数のツールを維持していることに気づけば、統合の機会が生まれる。非推奨のシステムが保護された匿名性を失うと、技術的負債が自然に減少する。

定量化可能なメリットは、しばしばリーダーシップチームを驚かせる。ライセンスの最適化だけで、ソフトウェア支出は通常20～40％削減される。インフラストラクチャの合理化により、コンピュートとストレージのコストも同様に削減できる。パッチの適用、監視、バックアップを行うシステムの数を減らすという運用効率の向上は、長期的に複利効果をもたらす継続的な配当の流れを生み出します。

さらに重要なことは、組織がIT環境に関する実際の知識を身につけることである。この能力により、迅速なインシデント対応、より正確なビジネスインパクト評価、データに基づいたテクノロジー投資の意思決定が可能になる。自社が何を所有し、それがどのように価値を生み出しているかを理解している企業にとって、競争上の優位性は着実に蓄積されていく。

ビジネス・ケースの再構築

従来のサイバーセキュリティ・ビジネスケースでは、セキュリティ改善は必要経費、つまり直接収益を生まないリスク削減のための投資と位置付けられている。このような枠組みは、明らかな財務的リターンが期待できる取り組みと予算を奪い合う際に、セキュリティチームを組織的に不利な立場に追いやる。

アプリケーション・インベントリの配当は、このダイナミズムをまったく変えてしまう。ゼロトラストの実装は、IT ポートフォリオの最適化イニシアチブとなり、たまたまセキュリティの改善も含まれるようになる。ビジネス・ケースは、"このセキュリティ・プロジェクトにどれだけのコストがかかるか？"から、"この最適化の取り組みによってどれだけのコストを削減できるか？"にシフトする。

時間軸を考慮することで、この再構築が強化される。リタイアしたアプリケーションは、当月のコスト発生を停止します。ライセンスの最適化は次の更新サイクルに現れる。インフラの削減は、四半期ごとのクラウド請求に反映されます。これらの節約により、通常12～18カ月以内にZTNAの導入資金が調達でき、その後はセキュリティの改善が実質的に無料になります。

このフレーミングを採用した組織は、ゼロ・トラスト・イニシアチブのステークホルダーからの評判が異なることに気づく。CFOは懐疑的ではなく、むしろ味方になる。事業部門のリーダーは、効率化のメリットを理解することで、積極的に関与するようになる。技術チームは、長年蓄積された技術的負債を解消する機会を高く評価する。

戦略的選択

ベンチャー・フィランソロピー・ネットワーク（VPN）のサポート終了の危機は、技術的なリプレースをはるかに超える戦略的な転換点を提示している。組織は、新しいツールで既存の非効率を永続させるか、あるいは移行要件を根本的な改善のきっかけとして利用するかを選択できる。

容易な」道は、組織の快適ゾーンを維持する一方で、テクノロジーの複雑さとコストを増加させる。変革の道は、短期的な混乱を必要とするが、ITポートフォリオ管理、業務効率、真のセキュリティ能力の向上を通じて、持続可能な競争上の優位性を生み出す。

経済的には変革の方が有利だが、それは、これまで避けてきたアプリケーション・インベントリーの現実に立ち向かおうとする組織に限られる。この道を選んだ企業は、最も困難な問題が最も収益性の高い解決策であることが多いことを発見します。市場のダイナミズムはこの勇気に報います。クリーンで、よく理解されたITポートフォリオを持つ企業は、複数の側面で同業他社を凌駕します。

問題は、組織が最終的にアプリケーション・ポートフォリオを合理化するかどうかではない。市場からの圧力、コンプライアンス要件、そして運用コストは、いずれこの清算を迫るだろう。問題は、現在のVPN移行を戦略的に実行する機会とするか、危機を待って反応的に実行するかである。

今日この選択をしている組織が、明日持続可能な競争優位性を持つことになる。

ブログへ戻る