【ゼロトラストは製品ではない】営業目線のDX時代に“本当に意味のある”セキュリティ対策とは

【ゼロトラストは製品ではない】営業目線のDX時代に“本当に意味のある”セキュリティ対策とは

はじめに|なぜ今、セキュリティがうまくいかないのか

「ゼロトラストを導入しました」
「EDRを入れました」
「SOCを外注しています」

──それでも、インシデントは減らない。

これは、私がこれまで多くの企業と向き合ってきて感じた率直な違和感です。

最近では「ゼロトラスト」という言葉が一人歩きし、
あたかも“何かの製品を入れれば解決するもの”のように扱われています。

しかし、ゼロトラストの本質はそこではありません。

ゼロトラストとは「製品」ではなく「考え方」

ゼロトラストの提唱者自身も、次のように述べています。

ゼロトラストは特定の製品や技術を指すものではなく、
組織がセキュリティを考える上での「概念」である。

つまり、

  • 何かを導入すれば完成するものではない

  • 企業ごとに設計が異なる

  • 運用が伴わなければ意味がない

という考え方です。

にもかかわらず、現実では

  • ゼロトラスト=SASE

  • ゼロトラスト=EDR

  • ゼロトラスト=クラウド認証

のように「製品ありき」で語られることが多くなっています。

私が現場で見てきた“うまくいかないセキュリティ”の共通点

私はこれまで、セキュリティベンダーとして多くの企業の現場を見てきました。

そこで感じたのは、次のような共通点です。

❌ よくある状態

  • ログは取っているが誰も見ていない

  • アラートは来るが判断できない

  • インシデント時の判断基準がない

  • 担当者が属人化している

  • ベンダーの言う通りに構成している

これは「対策をしていない」のではなく、

“運用できない対策”をしている状態

です。

IPAの「情報セキュリティ10大脅威」が示していること

IPAが毎年発表している
「情報セキュリティ10大脅威」を見ると、ある特徴が見えてきます。

  • ランサムウェア

  • 標的型攻撃

  • 内部不正

  • サプライチェーン攻撃

これらに共通しているのは、

✔ 完璧な防御が不可能
✔ 侵入を前提に考える必要がある
✔ 技術よりも“運用”が重要

という点です。

つまりセキュリティとは、

「守る」よりも「被害を最小化する設計」

が重要になってきています。

私が考える“現実的なセキュリティの考え方”

私自身、セキュリティ営業として多くの企業を支援してきましたが、
最も大切だと感じているのは次の考え方です。

✅ セキュリティは「業務ありき」

  • どんな業務があるのか

  • どこが止まると困るのか

  • 誰が使っているのか

これを理解せずに製品を入れても、必ず歪みが出ます。

✅ DXとセキュリティは表裏一体

DXで業務を効率化すると、

  • クラウド利用が増える

  • リモートアクセスが増える

  • データの流れが複雑になる

= 攻撃対象も増える

だからこそ、

DXを進めるなら、同時にセキュリティ設計が必要

なのです。

✅ セキュリティは「制限」ではなく「判断の材料」

よくある誤解がこれです。

❌ セキュリティを強化すると業務が止まる
⭕ セキュリティを理解すれば、判断が早くなる

例えば、

  • どこまでなら許容できるか

  • 何が起きたら止めるのか

  • どこは割り切るのか

これを決められるようになると、
セキュリティは「足かせ」ではなく「武器」になります。

私が営業として意識している立場

私は自分を、こう定義しています。

「製品を売る人」ではなく
「判断材料を提供する人」

だから初回の商談では、製品の話をほとんどしません。

  • 最近の攻撃動向

  • 他社で起きている事例

  • 業界全体の傾向

  • よくある失敗パターン

こうした話を共有しながら、

「御社の場合、どこが一番リスクになりそうですか?」

と一緒に考えるところから始めます。

その結果として、

  • すぐ案件にならないこともあります

  • 数か月後に相談が来ることもあります

  • 他社製品を選ばれることもあります

それでもいいと思っています。

なぜなら――
信頼関係がなければ、セキュリティは機能しないからです。

まとめ|ゼロトラストの本質とは

最後に、この記事の要点をまとめます。

✔ ゼロトラストは製品ではなく「考え方」
✔ セキュリティは運用できなければ意味がない
✔ DXとセキュリティは切り離せない
✔ ベンダー任せではなく、主体的に考えることが重要
✔ 正解は1つではない

そして何より大切なのは、

「自社にとって何が最適か」を考え続けること

だと私は思っています。
ここから先はおまけとして、今後のセキュリティ営業として幅を持たせる上で知っておいて損はないであろうIoTとセキュリティ、そしてDXのお話です。

DX時代に避けて通れない「IoT × セキュリティ」という視点

ここまで、ゼロトラストや初回コミュニケーションの重要性について書いてきましたが、
もう一つ、今後必ず向き合わなければならないテーマがあります。

それが IoTとセキュリティの関係 です。

私はこれまで、製造業を中心にしたIoT・セキュリティをテーマとする講演にも登壇してきましたが、
その中で強く感じていることがあります。

それは、

日本のDXは「IT」だけで完結しない
そして、モノとつながった瞬間にセキュリティの前提が変わる

という点です。

日本のDXは「モノ」と切り離せない

日本の産業を支えているのは、今も昔も製造業です。

そして現在のDXは、

  • 生産設備の可視化

  • 稼働データの収集

  • リモート監視

  • 予兆保全

  • 生産性の最適化

といった 「モノ × デジタル」 の領域に広がっています。

これはつまり、

ITシステムだけでなく、
現場の設備そのものがネットワークにつながる時代

になった、ということです。

IoT化が進むほど、セキュリティの前提は崩れる

ここで重要なのは、IoT機器の多くが

  • セキュリティ更新が困難

  • 長期間使われる

  • 設計時に「攻撃」を想定していない

  • 現場で止められない

という特徴を持っている点です。

つまり、

従来の「守る前提のITセキュリティ」が通用しない世界

に入っているということです。

サプライチェーンがつながることで起きる“別のリスク”

さらに問題を複雑にしているのが
サイバーサプライチェーン の存在です。

IPAの「情報セキュリティ10大脅威」でも繰り返し指摘されている通り、

  • 委託先

  • 関連会社

  • 海外拠点

  • クラウド事業者

  • 業務委託先

といった 自社の外にある組織 が攻撃の起点になるケースが増えています。

デジタル化によって、

  • データはリアルタイムで共有され

  • 業務は高速化し

  • 生産性は大きく向上した

一方で、

「自分たちが管理できない範囲」も同時に拡大している

という現実があります。

ゼロトラストが重要になる本当の理由

ここで、ようやくゼロトラストの話に戻ります。

ゼロトラストとは、
「すべてを疑え」という考え方ではありません。

本質は、

信頼する・しないを
感覚ではなく、仕組みで判断すること

です。

・社内だから安全
・長年の取引先だから大丈夫
・昔から使っているシステムだから安心

こうした前提が、IoT・クラウド・DXの時代では通用しなくなっています。

DXとセキュリティは「対立」ではなく「表裏一体」

よくある誤解が、

  • セキュリティを強くすると業務が止まる

  • DXを進めるとリスクが増える

という考え方です。

しかし実際には、

  • どこをデジタル化するのか

  • どこにリスクが生まれるのか

  • どこは割り切るのか

を整理できていれば、
生産性とセキュリティは両立できます。

むしろ、

業務を理解せずにセキュリティを導入することこそが、
DXを止める最大の原因

になることが多いのです。

私が「売らない営業」を選んだ理由

だから私は、営業としてこう考えています。

  • まず業務を理解する

  • 次にリスクを整理する

  • その上で必要な対策を一緒に考える

製品を売ることよりも、

「この会社にとって、今なにが一番大事か」

を一緒に考えることの方が、
結果的に良い関係を長く続けられるからです。

まとめ:DX時代のセキュリティに必要なのは「選べる力」

DX、IoT、サプライチェーン、ゼロトラスト。

どれも難しい言葉に見えますが、本質はシンプルです。

  • 何を守るのか

  • どこまで許容するのか

  • 何を優先するのか

これを 自分たちで判断できる状態を作ること

そのためにこそ、ベンダーの話を鵜呑みにせず、考え方を理解し、ユーザとしては選べる立場になることが重要だと考えています。提案する側としてはこういう状況をきちんと提供した上で自身の『提案したい何か』がきちんと提案出来る道筋を出せればお客様に後悔させない提案ができます。

コメント

タイトルとURLをコピーしました