ゼロトラストの経済学：「簡単な」道がより多くのコストを要する理由

Nate Brady 著 - クラウドセキュリティアーキテクト

2025年7月17日 5 分で読めます

サイバーセキュリティ業界では、Zero Trust Network Access (ZTNA) に関して興味深いコンセンサスが形成されています。それは、ZTNAを老朽化したVPNインフラの直接的な代替として位置づけ、最小限の混乱を約束し、ポリシーを時間をかけて段階的に移行するというものです。このメッセージは、「組織変更の複雑さを回避しつつ、最新のセキュリティメリットを得られる」という点で魅力的です。しかし、経済的な側面は異なる見方を示すかもしれません。

私は、この「簡単な」道を進む組織は、短期的な混乱を最小限に抑えることを意図したこのアプローチが、実際には長期的なコストを最大化することを発見するだろうと予測しています。一方、ZTNAへの移行を根本的なIT変革の機会と捉える組織は、彼らの努力が運用効率の向上という形で報われるでしょう。私は「良い・速い・簡単」の三位一体（2つしか選べない）を固く信じており、このブログでは、それがZTNAの導入にどのように当てはまるかを説明します。

アプリケーションインベントリの危機

このパラドックスの根源は、ほとんどの企業が共有しながらもめったに認識しない盲点にあります。それは、どのアプリケーションを所有しているのか、誰が（どのようなデータで）使用しているのか、あるいはどのようなビジネス価値を提供しているのかを実際に把握していないという点です。長年の有機的なIT成長、買収、部門ごとの取り組みにより、容易な分類を困難にする広範なアプリケーションポートフォリオが形成されてきました。

従来のVPNインフラは、この不透明さを可能にしてきました。広範なネットワークアクセスポリシーは、実際のアプリケーション使用パターンを不明瞭にします。従業員が「ネットワーク上のあらゆるもの」にアクセスできる場合、特定のアプリケーションが存在する理由や、誰がアクセスを必要とするかを正当化する必要はありません。VPNは、根本的なガバナンスのギャップを隠す便利な抽象化レイヤーとなるのです。

VPN代替としてのZTNAアプローチは、この力学を永続させます。ベンダーは、組織への混乱を最小限に抑えつつ、既存のアクセスパターンを再現することを約束します。暗黙のメッセージは、「保護対象を理解する手間をかけずに、ゼロトラストセキュリティを実現できる」というものです。これにより、複雑さが報われ、合理化が避けられる市場インセンティブ構造が生まれます。

経済的影響を考えてみましょう。組織は、元のビジネス上の正当性が失効したアプリケーションを日常的に維持しています。利用者が減少しているソフトウェアに対してライセンス料を支払い、統合または廃止できるシステムにインフラリソースを割り当てています。VPN代替モデルは、これらの非効率性を維持しつつ、新たなテクノロジーコストを上乗せするのです。

「リスク軽減」という誤った経済性

組織が意思決定をどのように捉えているかを検証すると、皮肉は深まります。アプリケーションの棚卸しと合理化のプロセスは「リスクが高い」と特徴づけられます。もし誤って重要なものへのアクセスを制限してしまったらどうなるか？アプリケーションの所有者が正当化の要件に反発したらどうなるか？ITポートフォリオが考えていたよりも混沌としていることが判明したらどうなるか？

これらの懸念は、真の組織的力学を反映していますが、リスク計算は逆転しています。実際のリスクは、IT環境に関する永続的な無知にあります。セキュリティチームは、理解していないアプリケーションに対して効果的な制御を実装できません。コンプライアンスの取り組みは、実質的なリスク管理ではなく、書類作成のパフォーマンスに過ぎなくなります。事業継続計画は、証拠ではなく仮定に依存するのです。

市場は、これらの不一致なインセンティブに対して予測可能な反応を示してきました。複雑さを軽減するのではなく、管理することを中心としたコンサルティングエコシステムが出現したのです。組織は、そもそもそれらのアプリケーションが存在すべきかどうかを問うことなく、数百ものアプリケーションをZTNAプラットフォームに移行するために高額なプロフェッショナルサービスを利用するでしょう。この「リスク軽減」のための費用は、適切な合理化によって生み出されるコスト削減額をしばしば上回ります。

ゼロトラストの配当

変革の道を選択する組織は、予期せぬことを発見します。それは、適切なゼロトラストの実装が、長らく遅れていたITポートフォリオ最適化の強制力となることです。すべてのアプリケーションに特定された所有者、正当なビジネス目的、および分類されたデータフローがなければならない場合、クリーンアップは自然に発生します。

経済性は急速に説得力を持つようになります。アプリケーションの廃止は、ライセンスコストを排除し、インフラ要件を削減し、セキュリティの攻撃対象領域を減少させます。チームが同一機能のために複数のツールを維持していることを発見すると、統合の機会が生まれます。非推奨システムがその保護的な匿名性を失うと、技術的負債の削減が自然に進みます。

定量化可能なメリットは、しばしばリーダーシップチームを驚かせます。ライセンス最適化だけでも、通常、ソフトウェア支出において20〜40%のコスト削減を生み出します。インフラの合理化は、コンピューティングおよびストレージコストにおいて同様の節約をもたらします。運用効率の向上（パッチ適用、監視、バックアップが必要なシステムが少なくなる）は、時間とともに複利で増加する継続的な配当の流れを生み出します。

おそらくさらに重要なのは、組織が自社のIT環境に関する実際の知識を培うことである。この能力により、インシデント対応の迅速化、より正確なビジネス影響評価、データに基づいたテクノロジー投資の意思決定が可能になる。自社が何を所有し、それがどのように価値を生み出すかを理解している企業にとって、競争優位性は着実に蓄積される。

ビジネスケースの再構築

従来のサイバーセキュリティのビジネスケースでは、セキュリティ改善は必要な費用、つまり直接的な収益を生み出さないリスク削減への投資と位置づけられます。この捉え方は、明白な財務的リターンを約束するイニシアチブと予算を競う際に、セキュリティチームを体系的に不利な立場に置きます。

アプリケーションインベントリの配当は、この力学を完全に変えます。ゼロトラストの実装は、たまたまセキュリティ改善を含むITポートフォリオ最適化のイニシアチブとなるのです。ビジネスケースは、「このセキュリティプロジェクトにはどれくらいの費用がかかるか？」から「この最適化の取り組みでどれくらいの費用が節約できるか？」へと変化します。

タイムラインの考慮事項は、この再構築を強化します。アプリケーション合理化のメリットは直ちに始まります。廃止されたアプリケーションは当月からコストを発生させなくなります。ライセンス最適化は次の更新サイクルで現れます。インフラ削減は四半期ごとのクラウド請求書に反映されます。これらの節約は通常、12〜18ヶ月以内にZTNAの実装費用を賄い、その後はセキュリティ改善が実質的に無料となります。

この捉え方を受け入れる組織は、ゼロトラストの取り組みが異なるステークホルダーの受け入れを得ることを発見します。CFOは懐疑的ではなく、味方となります。事業部門のリーダーは、効率性のメリットを理解すると積極的に関与します。テクノロジーチームは、長年にわたって蓄積された技術的負債を解消する機会を評価します。

戦略的選択

VPNのEOL（サポート終了）危機は、テクノロジーの置き換えをはるかに超える戦略的な転換点をもたらします。組織は、新しいツールで既存の非効率性を永続させるか、移行要件を根本的な改善の触媒として利用するかを選択できます。

「簡単な」道は、組織の快適ゾーンを維持しつつ、テクノロジーの複雑さとコストを追加します。変革の道は、短期的な混乱を伴うものの、ITポートフォリオ管理の改善、運用効率、真のセキュリティ能力を通じて持続可能な競争優位性を生み出します。

経済性は変革を支持しますが、それはこれまで避けてきたアプリケーションインベントリの現実に立ち向かう意思のある組織に限られます。この道を選ぶ組織は、最も困難な問題が最も収益性の高い解決策を持つことが多いことを発見します。市場の力学はこの勇気を報います。クリーンで十分に理解されたITポートフォリオを持つ企業は、複数の側面で競合他社を上回るパフォーマンスを発揮するでしょう。

組織が最終的にアプリケーションポートフォリオを合理化するかどうかは問題ではありません。市場からの圧力、コンプライアンス要件、運用コストが、いずれこの見直しを余儀なくするでしょう。問題は、現在のVPN移行を戦略的に合理化する機会として活用するか、それとも危機が起こるまで待ってから受動的に対応するかです。

今日この選択をする組織は、明日、持続可能な競争優位性を持つことになるでしょう。

ブログへ戻る