はじめに:そのセキュリティ製品 本当に必要ですか?

第一回目の緊急事態宣言から4年が経過しました。
コロナ禍において直面したさまざまな課題について、緊急性の高いものに関しては一通りの対策を終えたという企業が多いのではないでしょうか。

リモートワークへの急速な移行は社員の働き方を多様化させ、それに伴うセキュリティリスクへの迅速な対応が求められました。
特にSaaSを積極的に利用していた企業では、こうした状況を契機にセキュリティ施策を根本的に見直し、境界型防御からゼロトラストセキュリティへの転換を遂げた事例が見られます。
その結果、初期コストが低いSaaSベースの各種セキュリティ製品を新たに導入したという企業も多いことと思います。

しかしながら、SaaSの機能は日々進化します。
そのアップデートに追随し定期的にシステム全体の機能配置を見直さなければ、そのコスト効果を最大限発揮することは難しいでしょう。
実際に、下記のような問題点を抱えているという声を、IT部門のご担当者様からよく耳にします。

  • 社給PCとモバイルデバイスに対して同様のセキュリティ機能を提供しているにも関わらず、別の製品を導入しており、ライセンス費が二重で発生している
  • 端末種別が複数ありそれぞれ別の端末管理システムで管理しているため、運用コストが重複している

これらの課題感を解消するためには、以下のようなステップでICT環境におけるセキュリティ施策を見直すことが求められます。

  • Step1:既存SaaSの機能一覧を棚卸し、重複している機能や利用していない機能が存在するかを確認する
  • Step2:社内ICT環境に求めるセキュリティ要件を最新化しつつ、上記のようなSaaSの継続要否を判断する
  • Step3:重複している機能は特定製品に統合しつつ、不要となったSaaSを閉塞する
  • Step4:削減したランニングコストを、従業員エンゲージメントや生産性向上に寄与するような次の施策に投資する

こうした営みは、結果的に新規施策へのIT投資を強化することに繋がり、各企業が理想とするワークスペースの実現をさらに一歩加速させることになります。

コラボレーションスイート製品におけるセキュリティ機能の充実

前述のようなコスト最適化が求められる背景には、コラボレーションスイート製品におけるセキュリティ機能の拡充があります。
リモートワークでのコミュニケーション/情報共有のための手段として、Microsoft 365やGoogle Workspaceといったコラボレーションスイートと呼ばれるSaaSの普及が加速しました。
これらの製品は、単純なチャット、ファイル共有といったコラボレーション機能だけでなく、ID管理、認証認可、デバイス管理など、ゼロトラストセキュリティにおいて必須の機能を備えています。

自社のICT環境において、コスト効果を最大化するためには既存ライセンスに包括される前述のセキュリティ機能を余すことなく活用することがポイントとなります。
特に導入済みのSaaS間において、類似機能を包括するライセンスを複数購入している場合には、どちらかのSaaSに統合しつつ、もう一方のライセンスプランを変更することでコスト効果をさらに高めることができます。

ただし前述の統合可否については、「企業として担保すべきセキュリティ要件」と「統合先SaaSの機能一覧」とのFit-Gapを事前に整理した上で判断する必要があります。

セキュリティ製品統合に向けた検討プロセス

セキュリティ要件を整理するためには、先ずは従業員のユースケースとそれに紐づくセキュリティリスクを洗い出す必要があります。
以下にセキュリティ要件の洗い出しから、重複機能の統合までの進め方(例)を記載します。

  • アクセス元の情報(ユーザ名、デバイスなど)とアクセス先の情報(アプリケーション名、アプリケーション上の操作)の一覧を書き出す
  • それぞれの要素の組み合わせパターン(メッシュ)をマトリクスに落とす
  • 組み合わせパターンごとのセキュリティリスクおよびその対策方針を追記する
  • 既存ソリューションでセキュリティ対策が実施済みのものは、対策内容をマトリクスに追記する
  • 統合を検討しているセキュリティソリューションに関連するセキュリティ要件を抽出する
  • 移行元のセキュリティ要件一覧をベースに、統合先製品に対して「机上での機能調査」および「実機検証」を行う

かなり地道ですが、これらを着実に整理することが、セキュリティ機能を確実に移管する上でのポイントとなります。

ROIへのインパクト

このようなSaaS製品の統合は、わかりやすいROIが期待できることが嬉しいポイントです。
特に従業員数が多い企業では、ROI向上に繋がる可能性がより高まります。

SaaS製品におけるライセンスコストの多くは、ライセンス単価 × ユーザ数 × 契約期間で計算されます。
仮に他製品との統合により、3,000円/ユーザ・月 のライセンスのSaaSを削減できた場合、1万人規模の企業では、単純計算で年間3.6億円※(=3,000円/ユーザ・月 × 12か月 ×1万人)のコスト削減となります。

機能移管に際して、仮に1億円の投資がかかったとしても元が取れる計算となり、得られた利益を従業員の更なる生産性向上に向けて投資することが可能となります。

まとめ

いかがだったでしょうか?ゼロトラストセキュリティなど先進的な取り組みを進めている企業様向けには勿論ですが、これからセキュリティ施策の見直しを検討する企業様においても、より無駄のないアーキテクチャを検討する上で参考になったのではないでしょうか?

コロナ禍を機に注目を浴びたICT環境におけるセキュリティのソリューションも、その多くがGartner®のハイプ・サイクルの中で黎明期を超えており、各企業でも検討や導入が既に進んでいることと思います。
従業員の働き方(ユースケース)の更なる多様化、SaaSの機能追加などを踏まえて、一度導入したアーキテクチャも定期的に見直しをかけていくことが、セキュリティ基盤におけるコスト効果を高める上で重要です。

出典:Gartner®、プレスリリース、Gartner、「日本におけるセキュリティ (インフラ、リスク・マネジメント) のハイプ・サイクル:2023年」を発表

https://www.gartner.co.jp/ja/newsroom/press-releases/pr-20231018

従来の生産性を向上させる施策と異なり、わかりやすいROIが算出しやすい点も、本施策を企画する上で自社の上位層への大きな訴求ポイントとなります。
これを機にネクスト施策への投資に向けて、先ずは自社のセキュリティソリューションについて見直しをかけてみてはいかがでしょうか?

※記載されている会社名、 商品名、またはサービス名は、各社の登録商標または商標です。

記事に関するお問い合わせ