fbpx

戦略をより速く回す

あなたは素晴らしい戦略を持っています。この電子ブックは、アクティブストラテジーマネージメントを使用して、より完全に早く実現するための新しいデジタル方式を提供します。

戦略の調整プロセスが中断されました

戦略的優先事項の理解不足

  • トップチーム 51%
  • シニアエグゼクティブ 22%
  • ミドルマネージャー 18%
  • 現場監督 13%

市場の変化が速くなるにつれて、戦略サイクルは縮小しています。5年間の計画は、Amazonとすべてのものによってデジタルで潰されました。スピードは競争力のある必須事項ですが、戦略の設定、調整、および測定であり、その実行は多くの組織の市場よりも遅くなります。

戦略計画と説明責任のサイクルが低速の場合、高速で価値を生み出すことは困難です。さらに、従来のプロセスは基本的な目的を果たせませんでした。MITスローンは、トップエグゼクティブの51%が戦略的優先事項を理解しており、ミドルマネージャーの22%しか理解していないことを発見しました。

企業の80%が戦略的優先事項の達成に苦労しています。ほとんどの組織にとっての障壁は内部的なものです。

戦略的優先順位の理解が不十分だと、ミスアライメント、遅いペースと実行の質、透明性の欠如、意思決定の質の低下、および費やした時間と必要な結果の間に回復不能なギャップが生じます。

企業はどのようにして、混乱に陥ったり、ビジョンに失敗したりせずに、より速く動くのですか?

組織が戦略をより迅速に反復およびアクティブ化できるようにする、革新的な新しい分野とソリューションです。

マネージャーは、人々を価値の高い成果に導く代わりに、半分の時間を手動で計画対実際のビューを組み立て、数十のスプレッドシートとシステムを調べて実行の事実を見つけ、戦略的な計画とターゲット自体は記録のシステムにありません。会議、トラッカー、スライド資料の無限のサイクルは、戦略的計画と実際の結果の関係者に関係者に全体像を示し、サイロ全体で三角測量を行うために必要です。総称して、これらはビジネスフライホイールと成長を粉砕します。

戦略の調整と管理プロセスを変換およびインテリジェントに自動化することにより、より高いケイデンスの反復、透明性、測定、および戦略的優先事項の継続的な調整を可能にします。この変革により、あらゆるレベルでのマネージャーの作業と影響力が高まり、組織全体が活動ではなく価値の結果の言語に精通することができます。これはテクノロジーを燃料とするデジタル革命であるため、ほとんどの組織にとって重要な結果は1四半期以内に実現されます。

戦略の調整と実行におけるデジタル革命

戦略の動き

  • ビジネスレビュー
    • 目的
    • 主な成果
    • 実行
    • 会議

組織が戦略をより迅速に反復およびアクティブ化できるようにする、革新的な新しい分野とソリューションです。不確実性が当たり前でスピードが不可欠な場合に、価値創造を最大化することができます。

戦略の調整と実行におけるこのデジタル革命は、次のような新しい「デジタルフライホイール」を生み出します。

  • 適応、学習、反復の結果を可能にするために、短い増分で速く回転します
  • 戦略的優先事項に関する体系的な調整と部門間の調整を可能にします
  • 作者と所有権を配布して、戦略的洞察のネットワークを作成します
  • 組織のすべてのレベルで戦略的な勢いと目的を生み出します
  • 最前線から役員室までの決定を知らせるための継続的なデータを提供します

戦略の調整と実行のベンチマーク

これらの5つの質問を使用して、戦略の調整と実行を改善する機会を評価します。

1.戦略的優先事項の理解

従業員の何パーセントが戦略的優先事項を理解していますか?何パーセントですか?

2.計画の維持

昨年の最上位事業計画の実績はどうでしたか?

3.戦略実行の信頼性

今年の戦略的優先事項を達成する可能性と確率はどのくらいですか?

4.成長と戦略的達成への先駆者

成長と戦略的達成への摩擦のトップソースをランク付けします。

  • 市場状況
  • 職域を超えた連携
  • ミスアライメント
  • 戦略と実行のギャップ
  • 透明性の欠如
  • 思決定の質が低い
  • リスクと機会を迅速に検出/対処する能力
  • 資源や資本の不足
  • 実行のペース
  • 戦略的優先事項の理解不足

5.市場の状況

市場の成長、ペース、競争のダイナミクスに丸を付けます。

  • 成長
  • 急いで
  • フラット
  • 適度に
  • 契約
  • ゆっくり
  • 途絶
  • 激しい競争
  • やや競争
  • 競争不浸透

1. 評価目標が主要な結果を生み出す

破壊

よく理解されておらず、市場とのペースが合わない脆弱な年間計画

変換

チームにローカライズされた短期的なターゲット結果による反復的な戦略的優先事項

戦略的優先事項と指標の再考

アクティブ戦略管理の最も破壊的で効果的な側面は、戦略目標を定義、調整、測定、伝達する方法と速度です。戦略をより短い範囲の戦略的優先度と目標に分割し、結果の目標を設定して、それらを頻繁に繰り返し、サイクルをデジタルで管理することにより、フライホイールをより速く回すことができます。この手法は、多くの高速テクノロジー企業の加速器であり、目的と主要結果の「OKR」として一般に知られています。

目的は、組織にあなたの意図、焦点、方向性を明確に提供します

何を達成したいのか、なぜそれが重要なのか?

他の人が目的を読んだ場合、それは彼らの選択に通知しますか?

  • 次の1〜4四半期で達成したい3〜5つのことを伝えます。
  • 大きなアイデアとその理由を宣言します—(まだ)数値ではありません。
  • 目的意識を持った人に刺激を与え、動機付けをして、参加したいと思います。

アジャイル開発への移行と同様に、これは、長いサイクルの確実性を前提とするウォーターフォールアプローチから、より速い結果、実験、学習のために最適化された短い増分に移行します。また、アジャイルと同様に、戦略的優先事項を作成する実行チームを除外ではなく、含めて、結果の所有権を高めます。

戦略的優先事項と目的を定義する

組織が次の6か月から2年の期間に達成する必要があることを明確に示す3〜5つの戦略的優先順位と目的(これ以降は「戦略的目的」を使用します)を確立します。四半期ごとにそれらを再検討します。それらの一部は、より明確にしたり、新しい洞察を得るために改良する必要があり、その他は廃止され、より関連性の高い戦略目標に置き換えられます。

戦略的目標を明確で説得力のある独特の方法で明確にし、組織全体の人々にとって意味のあるものにします。幹部チームが略記または不可解なラベルが何を表しているのかを知っているかどうかは関係ありません。実行する必要のある幅広い人々にコミュニケーションし、動機づけます。

ビジネスの実行とビジネスの変更の両方の戦略的目標を含めると、すべての従業員が自分自身を組織にとって価値があると見なします。

  • 効果的でない
    コミュニケーションの機会を逃すジェネリックまたは漠然としたバージョン
  • 効果的
    目的とモチベーションを提供する明確で説得力のあるバージョン

    • ハイパフォーマンスチーム:魅力的な人々が魅力的で、ここで最高の仕事を行えるようにします
    • ユニット経済学:ユニットの経済性を最適化することで成長する能力を最大化
    • 優れた運用:最大限の運用を行い、資本と才能を活用して最大の影響力を可能にする
    • カスタマーエクスペリエンス:卓越した顧客体験により、顧客を驚かせ、関係を拡大
    • 収益:スマートな成長を推進し、適切な顧客の最大のシェアを獲得する
    • イノベーション:私たちのイノベーションはABCの市場を形作ります

主要な結果は、短期的な成功を定義するビジネス結果です

何が素晴らしいでしょうか?何が本当ですか?

目的を達成したら、多かれ少なかれ何を得るでしょうか?

  • 期間内の各目標の成功を定量化する4〜6の結果を特定します。
  • 最も可能性が高くない、可能な限り最良の結果を定義します。
  • 最も価値を生み出すものに焦点を当てます。
  • 数値を使用して最終状態を数値化します。アクションアイテムや意見は避けてください。
  • 主要な結果のバランスを取り、適切な増分結果を達成します。

指標と主要な結果の設定

各戦略目標について、次の90日間の客観的に測定可能な主要な結果を確立することにより、成功をどのように定義するかについて組織に根本的な明確性を提供します。主要な結果はKPIではなく、期間の4〜6の特定の結果です。

「私たちの顧客は私たちを愛しています」という目標の成功は、「第4四半期の維持率が7%増加する」と定義でき、「10人の顧客が製品XYZから得られるROIのケーススタディを行う」と定義できます。彼らは彼らの声と財布で私たちを愛していると言っているので、私たちは彼らが私たちを愛していることを知っています。

最も可能性の高い結果ではなく、可能な限り最高の結果を特定して、全体的なパフォーマンスを向上させ、最高のアイデアを前進させます。それらを特定して同意しない場合、最高の結果を優先することはありません。可能な最善のことをまだ知りませんか?主要な結果を設定して、次の四半期を改善する今四半期のベースラインまたはベンチマークを確立します。

四半期全体にわたって、主要な結果を週ごとに管理および監視します。注意ケイデンスが高ければ高いほど、達成度も高くなります。既存のビジネスシステムからの主要な結果に向けた進捗状況を簡単に更新できるため、計画と実際の状況を常に把握できます。

主要な結果が徹底的な明快さを促進する

  • 組織:ワークグループ
    エコシステム:最前線のメトリック
  • 組織:管理者
    エコシステム:運用メトリック
  • 組織:エグゼクティブ
    エコシステム:財務指標

所有権をローカライズする

今日、業績の原動力はチームです。チームは、結果の共有された定義を使用して、共通の目的に向けて機能的または機能的に機能する人々の創造的で権限を与えられた集団である場合に、最高のパフォーマンスを発揮します。

戦略的目標をすばやく活性化し、意思決定の質を高め、結果を加速し、組織内の各チームにローカライズします。高速のカスケードプロセスを使用して、チームがローカルバージョンのOKRを定義し、その上のレベルに調整します。OKRは最前線のチームを通じて翻訳されるため、より具体的になり、戦略に結果としてネットワーク効果をもたらします。

OKRをチームの名詞、動詞、数字に変換することで、チームの洞察、専門知識、およびドメイン知識でそれらを豊かにします。この著者は、より高い所有権を推進し、誰もが組織の戦略的優先事項とそれらがどのように貢献するかを理解することを保証します。

四半期ごとのケイデンス

OKRの四半期ごとの反復ケイデンスで、学習と新しいデータを活用します。四半期ごとに目標を見直して改善し、次の90日間の主要な結果を再設定します。四半期ごとに何をどのように測定するかをより賢くすることに管理時間とスキルを集中させ、長期にわたる強力な利益を実現します。

ガバナンス

管理の重要な作業は、直属の部下のOKRを確認し、四半期の明確な合意に達することです。90日間の四半期の最初の7日間を徹底的に明確にすることで、チームは独立して自信を持って適切に実行し、結果に基づいて意思決定を行うことができます。OKRを1対1の議題に配置することでこのプロセスを自動化し、戦略的な目標について透明性を全員に提供します。

2.主要な結果が実行を促進

破壊

ミスアライメントと現状維持活動

変換

四半期ごとの戦略的成果を加速する結果に基づくアクション

主要な結果を使用して行動計画を推進する

本質的に、OKRは所定の期間の結果についての合意および調整です。それらは、中間および最前線のマネージャーに、結果に合わせた実行の選択を日々行うための明快さ、権限、および自信を提供します。上昇中のマネージャーにとって、フレームワークはタスク指向ではなく結果指向であるため、フレームワークはその有効性と影響をレベルアップします。

各四半期の初めに戦略目標と成功の測定基準をこのように明確にすることで、全員の影響を最大化します。8人のチームの場合、四半期の初めに3時間のミーティングが行われ、結果の共有システムにより、チームの4,000時間の実行時間が十分に費やされます。

このフレームワークがなく、戦略的目的の理解の衰退率が与えられている場合、マネージャーは、実行のために「最良の推測」と現状維持に頼らなければなりません。

戦略実行ギャップを閉じる

各チームリーダーに、各四半期の10日目までに行動計画を立ててもらいます。上級管理者とVPは、主要なギャップと説明責任について、OKRに対するダウンラインチームの実行計画を確認する必要があります。計画には、結果を達成するために必要な主要な実行要素が含まれていますか?チームが必要なアクションを識別できない場合、結果は追跡されません。

高性能のリーダーシップチーム

ほぼ使う

  • 低パフォーマンスのチームが戦略を定義するよりも20%時間が長くなります。
  • その戦略の周りの組織の調整にかかる時間が12%長くなります。
  • 主要なメトリクスを確認し、それに応じてリソースをシフトすることで、戦略目標に対する進捗状況を14%以上時間チェックします。

結果で管理

四半期が進むにつれて、チームリーダーとマネージャーは主要な結果に向けた進捗状況を監視し、それらを達成するために必要なアクションについてチームを指導します。すべてのマネージャーが目標の期待に遅れている結果や、実行が遅い、または調整がずれている結果を簡単に見つけることができます。

各四半期の初めに戦略目標、成功指標、および行動計画をこのように明確にすることで、全員の影響を最大化します。チームが方法論に熟練すると、OKRの設定と計画の調整が迅速に行われ、明快さによって士気とモチベーションが高まります。8人のチームの場合、四半期の初めに3時間の作業セッションが行われ、結果のシステム全体を通して、チームの4,000時間の実行時間が十分に費やされます。結果は目に見える形で目に見えるので、チームは付加価値を知ることで満足感を得ます。

このフレームワークがなく、戦略的目的の理解の衰退率が与えられている場合、マネージャーは、実行のために「最良の推測」と現状維持に頼らなければなりません。

透明性

Jira やGithub などのタスクシステムをそれにリンクすることで、結果に沿った実行を合理化します。これにより、数十のシステムをチェックしたり、時間のかかるレポートを手動で作成したりする必要なく、上級管理者や部門を超えた同僚にOKRに対する実行ステータスを提供できます。

3.アクションと実行のリスクと決定

破壊

非生産的なステータスミーティング、労働集約的なレポート、リスクへの対応の遅れ

変換

結果への障害をより早く取り除くリスク、結果、意思決定に基づく会議

ステータスではなくリスクと決定を中心に会議を構成する

戦略的優先事項とOKRの実行には、必然的にリスクと障害があります。デジタルフライホイールを使用すると、これらのリスクはチームおよび組織全体で自動的に表面化されます。

  • 遅延実行
  • 実行への障害
  • 現在の軌道で目標の結果を達成する可能性は低い

隔週のエンタープライズeStaff 会議では、会議のコンテンツの25%に対応するためだけに20ページ以上のスライドデッキを準備するために20人以上が関与する100時間以上の準備が必要になるのは珍しいことではありません。すべてのステータスを収集、編集、繰り返し提示することにより、組織は同じ期間に新しい事実やリスクにタイムリーに対応する能力を失います。(このデータポイントを却下する前に、直接レポートに、彼らとそのチームが会議の準備に費やす時間と計算を行う時間を尋ねてください。)

時間と知性は私たちの最も乏しい資源です—私たちはそれらを賢く使っていますか?

  • 組織は年間10億回のビジネス会議を開催しており、そのうち25%は無関係または不要なトピックに関するものです。
  • 会議の出席者の90%は空想にふけり、73%は時間の有効利用ではないため、会議中に他の仕事をしています。

会議の議題を変更する

ステータスに関する会議を完全に排除し、リスク、決定、および機会に関する議題をリセットします。組織の意思決定とリスクへの対応が速ければ速いほど、その期間の結果は高くなります。そして、不要な会議の準備を排除することにより、人々は週の25%を得て、それらの決定に基づいて行動する能力が高まります。

ブレイントラストを賢く使う

全員が結果と実施状況を知らされ、ロードブロッキングに集合的に取り組み、事実に基づいた決定を行う準備ができている会議に参加することを期待します。ステータスとリスクの日々の継続的な可視性を提供するため、会議を招集して理解する必要はありません。

4.リスク、結果、決定は戦略目標を通知する

破壊

脆弱な計画、変化する戦略的状況と体系的な障壁への対応の遅れ

変換

学習を活用し、パフォーマンスに対する体系的な障壁を取り除くための戦略的優先事項のよりスマートで高速な反復

意思決定とリスクデータを使用して目的を反復する

四半期ごとに行われたリスク、実行の障害、および決定に関するデータを使用して、次の四半期ごとの戦略的優先事項を通知します。体系的な問題を防ぐためにどのような変更が必要ですか?これらは次の期間の目標と主要な結果に組み込む必要がありますか?このデータはアクセス可能でデジタルなので、組織は四半期ごとに迅速かつスマートになります。

フライホイールの各回転は、前の四半期のデータと洞察を組み込んで、よりスマートになる必要があります。アクティブな戦略管理により、戦略実行データをすばやく理解し、それに基づいて行動することができます。中で顧客、反復の一貫したパターンは以下のとおりです。

  • エグゼクティブの80%が四半期ごとに1つの目標を完全に変更または削除します。
  • 役員の83%が四半期ごとに1つの目標の表現を洗練しています。
  • 主要な成果目標の94%が四半期ごとにリセットされます。
  • 主要な結果で測定されるものの66%が四半期ごとに変更されるこれにより、企業は俊敏性とパフォーマンスを向上させることができます。

5.nningビジネスレビュー:ハブ

破壊

四半期ごとのビジネスレビュー、面倒で遅れたレポート、計画と実際の可視性の制限

変換

目標、指標、アクション、リスクがリアルタイムでどのように展開されているかについての継続的な可視性

スピードと結果のデータでリード

目標、結果、アクションを調整および反復し、リスクに対処することで、結果がすぐに向上します。ただし、最大の加速は、アクティブストラテジマネジメントが提供するOKRと実行に対する継続的な透明性の変革力によるものです。

デジタルは真の透明性

低コストの透明性と高品質のデータを提供します。これにより、リーダーは時間の40%をデータを検索するのではなく、データを操作することにシフトできます。

Running Business ReviewsTM は、デジタルフライホイールの継続的なハブとして機能します。これにより、計画するギャップを特定し、発生する摩擦やロードブロッキングをできるだけ早く取り除くことができます。依存関係のビューは、1秒間のシステミックリスクを示します。それがなければ、四半期全体が明らかになる可能性があります。ヒートマップは、すべてのチームの目標と主要な結果への進捗状況を示し、各戦略的目標ごとに説明責任を簡素化します。

組織全体のビューにより、人々は全体像のどこにどのように貢献しているかを確認できます。これは、社会的な成功の勢いを築くのに役立ち、人々は同僚のチームが何に向かって取り組んでいるかを見ることができるため、信頼とコラボレーションを向上させます。

スピード管理

戦略的な目標を繰り返し、四半期ごとに再調整するためのこの共通のフレームワークを使用して、マネージャーとリーダーの有効性と能力を高め、結果を加速させます。機敏で段階的なアプローチは、構造と反復の適切なバランスを提供し、組織が迅速かつ意図的に移動できるようにします。OKRを四半期ごとに繰り返してローカライズすることで、90日単位でより多くの組織が理解し、関与し、貢献できるようになるため、組織は長期戦略に向けて速度を上げることができます。

より効果的なデジタルフライホイールとより迅速な戦略的反復により、中間管理職の作業が向上します。以下を所有することで、管理の焦点から説明責任の焦点に移行できます。

  • 四半期ごとに意味のあるOKRを定義して調整する
  • 1on1sを開催し、四半期の開始から7日間でOKRを確認して同意するよう指示する
  • 四半期の開始から10日以内に主要な結果を達成するための高レベルの行動計画を確実にし、レビューする
  • OKRを含む直属の部下がいる月2回の1対1
  • リスクと意思決定に基づく会議の議題を設定し、ステータスに関する会議を排除する
  • アクティブ戦略管理システムでリアルタイムにステータスとリスクを監視
  • 実行品質と結果に関するコーチング
  • 管理管理の代わりに結果管理

戦略の調整と実行を組織の最もデジタルでアジャイルな側面にする

第一原則

  1. 熱望し、刺激する
    私たちは本当に何を達成したいのですか?なぜそれが人々にとって重要ですか?そして私たちの可能な最高の結果は何ですか?
  2. 根本的な明快さ
    成功とは何ですか?どのように客観的に測定しますか?これから行う仕事からどのような価値を生み出したいですか?
  3. 速く集中したペース
    最高の価値を生み出す努力に集中するために、可能な限り最高の結果を中心に次の90日間の時間を整理します。
  4. ローカライズ、調整、透明化
    チームは、名詞と動詞に翻訳して、ドメインの専門知識を追加し、世界に適用し、所有権を高めます。
  5. 目的と結果が実行を促進する
    チームが自分の仕事の目的と仕事が生み出すべき結果を知っていると、実行力が向上します。

権限を与えられた結果文化

戦略の調整と実行におけるデジタル革命の時です。戦略的目標と結果は、おそらく組織内で最も重要な情報です。それは、あなたが向かっているところ、どこまでまだ進んでいないか、そしてどのようなスピードバンプが進んでいるかです。しかし、ほとんどの組織では、戦略的なビジネス目標と四半期の結果目標の記録システムはなく、機能横断的な計画と実際の計画を比較する場所もありません。また、これらの目標に対するリスクや実行ペースを体系的に理解することもできません。透明性は、データよりも多くの意見を生み出す、報告や会議の費用がかかる頭脳流出によって苦痛に達成されます。

外部の変化率が加速するにつれ、ビジネスはますます複雑になり、データ主導になり、才能のある人々は仕事でより多くの目的を望み、企業は戦略の調整と実行プロセスを再キャストする必要があります。プロセスをインテリジェントに自動化し、より高速、透明性、品質で動作します。OKR手法と組み合わせると、戦略の調整と実行は、組織になりたいアジャイルでデジタルなものになります。

戦略の動き

  • ビジネスレビュー
    • 目的
    • 主な成果
    • 実行
    • 会議

ビジネス向けのデジタルフライホイール

戦略の調整と実行をソフトウェアで変革し、戦略的な目標と結果をより迅速にアクティブ化および達成し、チームを通じてそれらを「ローカライズ」して全員が結果に関与できるように指導します。より多くの透明性とデータを使用してビジネスを運営し、市場のスピードでビジネスを成長させ、持続的なイノベーションと俊敏性のために人々を成長させます。

  • 機能チームおよび機能横断チームに目標をローカライズする
  • 主な結果を定義し、成功を客観的に測定する
  • アクションを再調整し、プロジェクトを主要な結果に優先順位付け
  • 事実に基づく会議でリスクと意思決定にすばやく対処
  • 実行中のビジネスレビューとヒートマップを使用して結果を高速化する

新しいベンチマーク

  • 従業員は戦略的優先事項と、今四半期にどのように貢献しているかを理解している 100%
  • 四半期ごとの結果がより高く、1年でさらに複雑になる 18%
  • 組織横断的な調整と調整により、全員が共通の結果に向けて取り組んでいる 100%
  • 会議時間を短縮し、戦略的成果を推進するための時間を確保する 40%
  • 透明性と自動リスク可視性 100%

OKRでビジネスパフォーマンスを向上

OKRでビジネスパフォーマンスを向上

今日、多くの高速組織は目標と主要結果(OKR)を使用して、戦略的優先事項をより早く達成しています。OKRは、真の明快さ、より高い目的意識を駆り立て、短期的なアクションを望ましい短期的なビジネス成果に合わせる強力な方法です。リーダーは組織の俊敏性と説明責任を高めたいと考えていますが、透明性、説明責任、透明性を促進するための俊敏なモデルがないことがよくあります。OKRは理想的なソリューションです。

Google、Influitive、IBM、Trendkite、TeraReconなどの企業は、OKRを使用してすばやく優れた結果を達成し、アプリを使用してこのアジャイル管理方法を運用します。OKRは、チームまたは組織が達成しようとしていることに関する定性的な声明を提供し、メトリックで結果を定量化し、結果を達成するための行動計画を推進し、それらの結果に自己反映を組み込みます。

OKRは強力なコミュニケーション手段であり、リーダーと組織の効率を劇的に向上させることができます。急成長している組織であるTrendkiteのCEOであるErik Huddlestonは、ビジネス目標の明確なコミュニケーションが高速での運用には不可欠であると述べています。

  • 目的
    四半期の定性的で刺激的な目標 ―あなたが達成することを熱望するもの。
  • 主な結果
    目的の定量的結果— 成功の様子
  • 行動
    主要な結果を達成するために必要な実行— 何をすべきか。
  • 洞察
    結果と実行からの学習-私たちにできること。

OKRにより、リーダーはより完全かつ効果的にコミュニケーションをとることができます。従来、戦略的なテーマで管理してきたリーダーにとって、主要な結果を定義することは、それらのテーマを人々が焦点を当てることができる重要な成果に変換するのに役立ちます。

指標に基づいて管理するリーダーの場合、目標は目的を提供し、人々が優れた結果に到達するように促す意欲を伝えます。OKRを組織全体に展開することで、ミッションと測定基準を各チームにローカライズできるため、関連性のある実際の到達可能な結果に完全に従事できます。四半期ごとのビジネスレビュー(QBR)を通じて管理するリーダーにとって、OKRは結果のアクセラレータであり、説明的なレポート作成と以前の四半期の結果の読み上げから、規定の定義と現在の四半期の結果の調整にシフトします。

管理方法論として、OKRは高速で効果的です

組織はOKRを使用して次のことを行います。

  1. 各四半期の初めに、組織が達成したいと考えている具体的な目標と定量化可能な結果を根本的に明確にします。望ましい結果を定義するための事前のエネルギーと努力により、実際の結果が大幅に改善されます。
  2. 組織と各チームが達成できる最良の結果を特定し、それらの結果と、より少ない結果をもたらす他のすべてのアクティビティに焦点を合わせて調整します。
  3. 進行状況と主要な結果に対するリスクを継続的に可視化し、組織がアクティブなOKR用SaaSアプリで管理されている場合、リスクを早期に対処し、面倒な運用状況の会議を置き換えることができます。
  4. ミレニアル世代に特に魅力的な、関連する目的、はしごの結果、透明性に基づいて、所有権と説明責任の俊敏なシステムを作成します。誰もが自分の所有物とそれがどのように価値を生み出すかを理解しています。
  5. オペレーショナルエクセレンスを推進し、ビジネスパフォーマンスを段階的に向上させます。一部のリーダーはオペレーショナルエクセレンスOKRを確立していますが、プロセス自体は、可能な限り最高の結果に努力を集中し、高い成果のケイデンスを推進し、各サイクルで学習をキャプチャする回顧を制度化することにより、エクセレンスを促進します。

OKRはどのように機能しますか?

OKRは、カスケードダウンして合体し、再び合体するときに最適に機能します。通常、プロセスは、組織の3〜5の目標を定義する幹部から始まり、それぞれ4〜6の主要な結果があります。次に、各幹部の直属の部下は、3〜5の独自の目標を作成し、4〜6の主要な結果を出して、幹部に次々と到達します。適切に実行されたプロセスはカスケードダウンするだけでなく、組織のOKRで対処または上位に反映する必要のある調整のギャップと運用要素を特定します。

OKRが確立されると、チームはKRに合わせたアクションプランを作成します。これらにより、必要な作業が識別され、四半期全体の主要な結果に確実に焦点が当てられます。チームと組織は、毎週のOKR中心の会話でより良い結果を達成します。営業担当者なら誰でも証明できるように、12週間は飛ぶことになります–わずか3週間の焦点をぼかすことで、チームがすばらしい結果を達成するために費やす時間の25%が無駄になります。

目的と主な結果

次の100日間の目標と主要な結果を確立して調整する

  • 幹部と監督によるOKRに関するワークショップ
  • チームリーダーとその監督のためのOKRワークショップ
  • ワークショップ中のアプリ内のすべてのOKRと関連するワークストリーム→すぐに使用可能

整列した実行

目標と主要な結果を達成するために幹部に努力を集中する

  • KRのために実施されている行動計画
  • リーダーはOKRによって積極的に管理し、透明性を確保
  • マネージャーとチームメンバーはアプリを使用して、調整と集中を維持します

成果と洞察

結果を評価し、OKRをリセットし、運用規律を改善する

  • 結果を予測して評価する-正しい目標は?正しい結果ですか?正しい焦点ですか?
  • 次の四半期のOKRを行う
  • チーム内の回顧は、ベストプラクティスを特定し、結果重視と卓越性を強化します

OKR はそれ自体が目的ではなく、積極的に業績を上げるためのツールです。それらを設定することは、プロセスの終わりではなく、始まりです– それらはあなたの実行とフォーカスと同じくらい良いだけです。リーダーは依然として説明責任を推進する必要があります。方法論とアプリは、責任を負う結果を明確にし、説明責任を促進し、意思決定と行動を促進するためのリアルタイムの事実を提供することで、リーダーの有効性を高めます。

四半期の終わりには、結果を率直かつ臨床的に見る回顧が卓越性の鍵となります。適切な目的があり、適切な主要な結果を設定し、適切な焦点があったかどうかを評価します。非難されるのではなく、学んだことの責任を持ち、次の四半期に向けてリセットします。

OKRに最適なチームは何を設定しますか?

アジャイルな高速チームは、結果と学習率の両方に高い基準を設定しました。高い所有感があり、説明責任は組織全体に行き渡っています。このタイプの組織のリーダーがオペレーショナルエクセレンスの目標を設定すると、すべてのダウンラインチームが、その機能のエクセレンスを体現する真のローカルOKRを開発し、真に所有します。

OKRの何が問題になっていますか?

OKR はすべての組織やチームに適しているわけではなく、さまざまなフレーバーや実装があります。そして、それらがぴったり合っている組織でさえ、それは学習プロセスです。リーダーシップチームと従業員は新しい筋肉を構築する必要があります。すべての新しいことと同様に、OKRの実装には時間、労力、および取り組みが必要であり、第1 四半期には完全ではありません。そうは言っても、回避できる5つの落とし穴があります。

  1. 設定して忘れます。人々はより積極的により良い結果を目指したいのでOKRを採用しますが、四半期ごとの初めにOKRを設定して忘れ、週ごとにそれらのOKRに積極的に向かわない人もいます。プロセスには時間がかかりますが、組織に価値はありません(そして、チームがどれだけ忘れられ、達成されなかったかを見たときに、四半期のマイナスの結果になる可能性があります)。
  2. チェックボックスをオンにします。セットアンドフォーゲットと同様に、一部のチームは、優れた結果を定義するのではなく、OKRを「完了」させることに重点を置いています。誰もがOKRを持っていますが、誰も気にしません。
  3. 検証なし。OKRは、チームリードとチームメンバー間、およびチームリードとアップラインエグゼクティブ間のクリーンハンドシェイクで、全体がパーツの合計であるだけでなく、合計よりも大きくなる可能性があることを確認する必要があります。いったん検証されると、チームは、組織によって認識される巨大な価値を生み出していることを知って、自信を持ってOKRを実行できるはずです。四半期の途中または終わりに断線を見つけることは、時間と善意の両方を浪費します。
  4. アクションとアクションの結果の混同。経営幹部、特に財務および営業の経営幹部は、当然のことながら指標と結果の観点から考えますが、最前線のチームと他の部門のチームは、自分の仕事の結果と結果を定義した経験がない場合があります。結果の定量化は自然な運動ではなく、多くの場合、第1四半期と第2四半期の円滑化が必要です。ヨガの先生と同等の能力が必要になる場合があります。組織が結果を定義して推進する経験を持つと、驚くべきことが実現します。
  5. OKRを埋める。勝つには、あなたとあなたのOKRが同席する必要があります。だれも彼らのOKR を見ることができず、何百ものGoogleドキュメントの中でそれらを見つけることができない場合、彼らはそれらに集中していません。さらに重要なことに、OKRを積極的に推進するには、意思決定を推進し、リスクを軽減し、四半期で可能な限り最高の結果を達成するために、毎週または少なくとも毎月の進捗状況を確認する必要があります。

前進の道:オペレーショナルエクセレンス

この構造化されたアジャイルな管理モデルを使用して、組織を運用の卓越性に近づけます。ビジョンを実行に移す手段を持つだけでなく、結果を測定し、実行に集中し、すばやく学習するための方法とツールが組織にあります。卓越性への最短の道です。

関数OKRの例

エグゼクティブチーム

単位経済を最適化することにより、成長する能力を最大化する

  • $ 310万の正味新規ARR
  • 新規取引のCAC回収期間が10か月から8 か月未満に改善
  • LTVをCACに3.7に改善
  • 粗利益率が74%から79%に移動
  • 合計128万ドルのMRR EOQ

生活のための顧客

  • 平均NPSを8に維持する
  • 四半期に更新する55,000以上のすべての顧客と会う
  • アカウントあたりの平均ユーザー数を45から90に増やす
  • 総収益維持率を83%以上に向上

私たちは、最高の人々が最高の状態で活動できるように引き付け、維持し、可能にします

  • すべてのチームにOKRがあり、主要な結果の85%を達成
  • 80%の人が、私たちの成長と発展を大切にしていると感じています
  • 採用計画の90%を達成し、すべての役割に明確なランププランがある
  • 100%の従業員が360件のレビューを持っています

マーケティング、販売、製品、オンボーディング、計測からカスタマージャーニー全体で価値を統一

  • 高価値の戦略的ユースケースを開発し、すべての機能に組み込む
  • K2を積極的に使用しているT1顧客10人
  • 25のお客様が製品を主要な管理指標に統合
  • 5つのT1顧客の声は、当社の価値差別化要因で公開されています
  • パートナーシップの定義された次のステップまたは計画を備えた3つのT1戦略的パートナーまたは仲間および3つのT2 パートナーとのミーティングから4人のチャンピオンを育成する

CORP DEVおよびBIZ DEV

買収は買収企業の成功を増幅します

  • 従業員のNPSが前年と同じかそれ以上
  • 残念な人的損失はない
  • 従業員の80%が戦略を理解し、それによって動機付けられている
  • スタンドアロンの取引サイクルタイムは、後続の4つの四半期と同じかそれより速い
  • 開発者の速度は、買収前の4分の3の10%以内

xyz 買収のビジネス価値の実現

  • 収益
  • IRR
  • 統合が完了し、カタログで利用可能
  • 1000人の販売者が有効
  • 私たちの紙のエネルギー部門における12の新しいロゴ

ビジネスの戦略的成長アドバイザー

  • 市場でのNPSは9、TRM BUのポートフォリオ分析(彼らは私たちの仕事を愛しています)
  • 10のテクノロジー企業の完全な分析と、ジェームスがAIランドスケープ(ビルド、購入、パートナー)で特定した7つのギャップを埋めるための推奨事項を提供する
  • 成長ビジョンデッキの3つの推奨事項がBUによって採用されている
  • ML または AIドメインの2人の主要プレーヤーの探索的注意に同意し、同意を得る
  • 革新的な相乗効果をもたらす初期の20社を特定する。 それぞれに対処するための高速パスをマッピングする

選択のパートナー、投資家、買収者になる

  • キカスコのカウンターパートとの資金調達を求めておらず、会社が私たちに望んでいる2つの利益を確立しない45の革新企業の仲人
  • シリーズA〜Dの1000社のテクノロジー企業の評判ベースライン調査
  • すべての経営幹部は、トップ100リストにある少なくとも3社と会って、CEOまたは創設者との個人的な関係を構築します。
  • エグゼクティブの「トークトラック」は、これらの企業に提供できる5つ以上の価値ある戦術に支えられています

開発

高品質でスケーラブルなソリューションを提供

  • サーバーリクエストの平均正常応答時間を500ミリ秒未満に維持する
  • 毎月15未満のフィールドで報告されたバグ
  • 100%のアップタイムを維持
  • 量産コードの初期展開に関する重大なバグはありません
  • JIRAでのバグのターンアラウンドタイムは48時間未満

分析力を活用して差別化された製品を作成する

  • 6つのデータサイエンスプロトタイプを特定して実行する
  • 2つの機械学習の機会を評価する
  • チームメンバーの50%がデータ分析スキルトレーニングに参加
  • 3つのデータコード分析実験を実行する

私たちは製品の配送を所有し、毎回学びます

  • レトロの100%のリリース
  • 顧客から報告されたバグ0件
  • 量産コードの最初のデプロイに関する重大なバグはない
  • 本番環境にプッシュされたコードの100%に95%のテストカバレッジがある
  • 将来の支出を削減するために3つの自動化を探索する

私たちは自分たちの成功を祝って毎日学ぶコード忍者です

  • 主要機能の発売を100%祝う
  • 残念な損失ゼロ―忍者は置き去りにされていない!
  • 2人のQA採用
  • 今四半期の3つのソーシャルイベント
  • 2つの技術イベントに参加または主催する

顧客体験

顧客基盤を維持し拡大する

  • 定着率予測70.10
  • 65万ドルのアップグレードクォータ
  • CXは5つのランチをホストし、年末までに顧客と開発者の間で学ぶ(顧客生活の1日)
  • $ 125K更新MRR

優れたものから信じられないほどに私たちを動かすRevOps データと洞察を提供します

  • Rev Opsリクエストの100%が2月15日までにZendeskを使用
  • Revenue Ops SLAを定義して公開する
  • 四半期ごとのツール使用状況レポートの価値調査を提供する
  • 会社全体に見えるリアルタイムのRevOps ワークストリームとプロジェクトの取り込みを提供する

顧客の寿命を延ばす卓越した顧客体験を提供する

  • 新しいアカウントの100%が、週に2回以上、高価値の機能を利用している
  • 顧客の少なくとも50%が差別化された機能を使用
  • 実際の2%以内の保持予測精度
  • NPSが少なくとも6で、アクティブな顧客だけでなくすべての顧客のNPSを測定する
  • 2018年に導入されたコホートのNPS of 8

カスタマーエクスペリエンスチームは最高の状態で運営されています

  • 6人の新規採用者が第1四半期の目標を達成
  • 採用から60日以内に最初のアカウントに搭載された5つの新しいCSM
  • P1チケットの平均初期応答時間を50%削減
  • 今四半期に3つの知識構築セミナーを開催する

マーケティング

営業チームがより多くの取引を開拓、獲得、成約できるようにする

  • 今四半期のパイプライン価値が1,300万ドルの新しいリードを提供する
  • 2つのターゲットチャネルへの2つの統合キャンペーン
  • 3Kインバウンドリード
  • 500個のデモを設定する

優れた販促資料とツールで営業チームに力を与える

  • Webサイトに追加された6つの新しいケーススタディ
  • 4つの購入者ペルソナにメッセージングフレームワークとソリューションの概要を提供する
  • 販売サイクルのすべての段階の販売資料を刷新する
  • 担保の使用が20%増加
  • ホスト2セールスイネーブルメントセッション

私たちのコンテンツは、業界のソートリーダーとしての地位を確立しています

  • 今四半期の5件のブログ投稿
  • ブログの購読者が10%増加
  • ウェブサイトのトラフィックを15%増やす
  • 今四半期に3つのソートリーダーシップイベントを開催する

私たちは会社の市場を動かす情熱的な学習チームです

  • チームの100%が1つの専門能力開発スキルを識別
  • 業界会議に出席しているチームの2人
  • ベストプラクティスを共有するためのメカニズムを確立する

販売

製品とサービスの多様な組み合わせで数を増やします

  • Geronimo製品ラインの米国での予約は1,100万ドル
  • Wombatパイプラインステージ2以降で300万ドル
  • 灯台のアカウントで20ウォンバットがパイロットをコミット
  • Geronimo製品ラインのEMEA予約で900万ドル
  • 四半期ごとにすべての担当者が少なくとも75万ドルを決済

販売へのデータ駆動型アプローチで効率を向上させる

  • 完全なSalesforceカットオーバー
  • SFDCで検証されたすべての機会
  • 4倍のパイプラインカバレッジ比
  • 平均取引サイズは20.5Kから32Kになる
  • 7日以内にMQLを認定する

私たちは無駄のない戦闘機です-武装していて常に勝利しています

  • デモのローテーション、スキップ、アクティビティの目標を体系的に測定
  • 勝率を10%向上させる
  • 新しいロゴARRが$ 310万
  • 250,000ドルの新しいMRR

勝率の向上について戦略的です

  • デモの20%はC-Suite向けです
  • 取引の95%が料金体系に準拠
  • 100%の営業チームが交渉スキルのトレーニングを受ける
  • すべてのセールスチームメンバーは、1か月あたり2時間の1対1の指導を受ける

IT

ビジネスを21世紀に移行し、従業員の生活を楽にします

  • ロサンゼルスの9つの会議室で利用できるタッチプロジェクション
  • ハードウェアとソフトウェアの調達時間を30日から7日に短縮
  • すべてのオフィスでWi-Fiを100%カバー―使えない会議室はない
  • ヘルプデスクの新しいクラウドプロバイダーへの完全な移行

アプリをクラウドに移行することで、ビジネスへの投資能力と俊敏性を向上させます

  • 3つのデータセンターを閉鎖する
  • 12個のアプリをクラウドに移行する
  • データ移行時間を14日に短縮
  • ストレージとインフラストラクチャのコストを450万ドル削減

学習は私たちの情熱と優先事項です

  • ランチと月1回の学習
  • 各チームメンバーは、週に1時間、情熱的なプロジェクトに費やしている
  • 今四半期、全員が1つの新しいテクノロジー、方法論、またはツールキットを特定して学習する
  • 2つの実験プロジェクトに取り組み、結果をチームと共有します

私たちの未来の建築家になる

  • 企業の非PROD環境での3つのブロックチェーンの使用例
  • 非PRODでの4つのチャットボットまたはNLPの使用例
  • チームの60%がコーディング可能
  • 投資決定の100%はデータ駆動型の評価プロセスを通過します

エンタープライズ規模のOKR

多くの企業リーダーは、成長を加速するために、目的と主要結果(OKR)をビジネスサイクルに組み込むことを検討しています。OKR技術は、その可能性を最大限に引き出し、組織に意図、焦点、方向性、および段階的な成功を定義するビジネスの成果を明確にすることで、すべてのチームに画期的な結果をもたらします。

企業と投資家は成長率を主要な価値の推進力として重視しており、OKRは組織内の成長を加速させる驚異的な手段です。ダイナミックな市場では、組織はので、より高速な戦略的優先事項に繰り返す必要があり、それはだ、競争力合わせて、迅速だけでなくそれらを活性化することが不可欠。これは、高出力の推進からより高い成果の推進への組織全体の根本的なシフトです。

OKRマジックの一部は、組織全体のチームの価値創造力を利用することから生じます。MITスローンの調査によると、彼らの戦略的優先順位に関する理解と調整は通常非常に低いとのことです。理解不足は、スロームーバーのステータス、容量の損失、時間の損失、市場機会への対応の遅れに直結します。これらはすべて、より適切に調整され、加速している競合他社が直面するコストよりも高いコストです。

続きを読む

クラウド内のユーザーIDを保護するためにすべてのCISOが知っておくべき6つのこと

パブリッククラウドは優れたビジネスイネーブラーでしたが、ユーザーアクセスに関連する多数の盲点を作成し、深刻なセキュリティ上の課題をもたらしました。SaaSアプリとIaaSサービスの数と種類が指数関数的に増加し続けるにつれて、ユーザー特権、リソース権限セット、アプリ機能、およびリスクの管理がますます困難になっています。

したがって、承認は、もはや便利な機能ではなく、必須です。IDaaSによりユーザーIDの権限を明確に定義し、慎重に検証する必要があります。組織の攻撃対象領域を減らすために未使用の権限を排除し、過剰にプロビジョニングされたユーザーを特定し、適切なサイズの権限を付与する必要があります。そうしないと、データ漏洩とクラウドアカウントの侵害の結果は悲惨なものになり、多くの場合元に戻せません。

機密性の高いクラウド情報へのアクセスを制御するための5つのヒントを紹介します。

続きを読む

【チェックリスト】 データセンターとマルチクラウドアプリケーションの使いやすさ

ゼロトラストワールドでの安全なアクセス

セキュアアクセスにより、ゼロトラストの世界では、準拠デバイスを備えた認証済みユーザーのみが、いつでも、どこからでも、どのネットワークを介しても、許可されたアプリケーションと情報に接続できます。

セキュアアクセスは、デジタルトランスフォーメーションを可能にし、従業員、顧客、同僚、パートナーがシームレスに作業、通信、コラボレーションできるようにするため、今日の労働力にとって重要です。ただし、新しいサイバー脅威とセキュリティ侵害が見出しにあるため、企業は生産性とセキュリティのバランスも確保する必要があります。

従来、セキュリティは主に制御に基づいているため、これは困難な目標でした。IT管理者はルールを適用してビジネス要件を満たし、コンプライアンスの義務を遵守します。このアプローチでは、ユーザーエクスペリエンス(UX)が最適化されず、ユーザーが仕事を終わらせるために回避策を模索する可能性があります。シャドウIT の成長は、ユーザーがセキュリティで保護されていない個人用デバイスや認可されていないクラウドサービスを利用して目前のタスクに対処することに非常に優れていることを示しています。

対照的に、セキュアアクセスは、シームレスでシンプルなユーザーエクスペリエンスを念頭に置いて設計されており、ゼロトラスト保護も提供します。これは、制限ではなく有効化に基づくモデルです。目的は、セキュリティを損なうことなく、企業情報、アプリケーション、サービスへの簡単で摩擦のないアクセスを提供することです。その一方で、常に変化する環境に合わせたセキュリティポリシーの実装、管理、適応をITが簡単かつ柔軟に行えるようにします。ゼロトラストは、企業の境界の内外を信頼する必要はなく、ネットワークはアクセスを許可する前に、接続しようとしている人や何かを確認する必要があることを前提としています。接続が許可されるのは、IDが認証され、接続されたデバイスのセキュリティ状態が検証され、ユーザーまたはモノが目的のアプリケーション、サービス、または情報へのアクセスを許可された後です。

安全なアクセスの概要

セキュアアクセスは、企業データ、アプリケーション、IT資産に対するビジネスリスクを次のように軽減します。

  • ユーザーとデバイスの可視性と洞察の強化
  • 権限のないユーザーによるアクセスを禁止する
  • 侵害されたデバイスのリスクの排除
  • 安全でないネットワーク接続の使用の防止
  • インサイダーの脅威と感染の拡大を阻止
  • モノのインターネット(IoT)への露出を減らす

安全なアクセスの提供を形成する傾向

ITチームは、5つの主要なトレンドに牽引されて、常に変化のトレッドミルにいます。

  1.  ITの消費化は革命的です。今日の職場の性質を完全に変え、デジタルビジネスの変革に貢献しています。企業は、スマートデバイスやオンラインアプリの急増に直面しています。2020年までに労働力のほぼ50%を占めるミレニアル世代は、技術に精通しており、外出先での豊富なパーソナルデジタルエクスペリエンスに慣れており、自分のモバイルデバイスを使用して職場でも同様のデジタルエクスペリエンスを期待しています。企業は、労働力のダイナミクスをサポートし、主要なコンプライアンスおよびセキュリティ要件を損なうことなく、この消費者のようなユーザーエクスペリエンスを従業員に提供するという課題に直面しています。
  2. ネットワークはますます攻撃を受けています。新たなサイバー脅威とヘッドラインでのデータ漏えいにより、セキュリティ侵害は危機的な比率に達しています。脆弱性とインシデントに対する平均検出時間(MTTD)と平均応答時間(MTTR)を削減することは、組織にとってこれまで以上に重要です。ITがインサイダーアクティビティ、特権の誤用、非準拠および不許可のデバイス、およびデバイスの損失の結果である脅威と戦うためには、可視性、リアルタイムの防止、および自動応答が不可欠です。
  3. クラウドコンピューティングとハイブリッドIT環境が標準です。従来のデータセンター環境は、企業、クラウド、クラウドサービスの混合環境に変化しました。この新しい世界では、ITリソースは通常、企業独自のプライベートクラウドにデプロイされるか、サービスとしてのソフトウェア(SaaS)、サービスとしてのインフラストラクチャ(IaaS)、サービスとしてのプラットフォーム(PaaS)などのサードパーティのパブリッククラウドを活用します。マルチクラウドが新しい標準になっているにもかかわらず、クラウドのセキュリティは、従来のデータセンターの保護ほど信頼されていない場合があります。結局のところ、GoogleやAmazon Web Services(AWS)などのクラウドプロバイダーが提供する主な製品は、セキュリティではなく、スペース、処理能力、帯域幅です。アプリケーションと情報への適切で保護された接続を確保するために、企業は、実証済みのデータセンターのセキュリティをクラウドに拡張できるセキュアアクセスソリューションを必要としています。
  4. 企業アクセスのための複数のセキュリティサイロの使用。ハイブリッドIT環境は、ITが既存のデータセンターのセキュリティポリシーを拡張してIaaSおよびSaaSの状況をカバーするため、この傾向に大きく貢献しています。残念ながら、さまざまなコンピューティング環境内でアクセスセキュリティに対処するためにポイントソリューションを使用すると、ギャップが残り、可視性が制限され、一貫性のないポリシーが生成されます。これはまた、多くの場合、複雑でイライラするユーザーエクスペリエンスをもたらします。でESGによる2017年の報告、サイバーセキュリティの66%とIT専門家が合意または強くセキュリティ・アナリティクスことで合意し、それが複数の独立したポイントツールに基づいているため、と操作の有効性が限られています。
  5. モノのインターネット(IoT)が爆発しています。プリンター、スマートTV、パーソナルWiFi 、防犯カメラ、センサー、その他の周辺機器が一般的になりつつあります。これらのデバイスはすべて、ラップトップ、デスクトップ、スマートフォンを介して、またはエンタープライズネットワークに直接接続され、さらにIPネットワークを介して他の企業やサードパーティのリソースに接続されることもよくあります。デフォルトのパスワードの変更からパッチのインストールまで、これらのシステムのセキュリティは多くの場合、せいぜい後付けであり、頻繁にIoTデバイスを攻撃や誤用に対して脆弱にします。通常、組織はこれらのデバイス、および内部システムとデータに接続する無数の方法を認識していません。IoTとクラウドを使用して製造出力を向上させるインダストリー4.0の台頭に伴い、サイバーセキュリティへの懸念がITから運用技術(OT)ドメインに波及しています。ハッカーは今やIoTを標的型攻撃の新しい機会と見なしており、セキュリティの弱点と従業員の無知を利用しています。IoTによってもたらされるリスクを制御するには、組織は、ITおよびOTのエンドツーエンドの可視性、コンテキスト認識、およびリアルタイムアクションのために、セキュリティアーキテクチャを再設計する必要があります。

セキュアアクセスソリューションの要件

成功したZero Trust Secure Accessソリューションの重要な要素は何ですか?

統合モバイルセキュリティ

まず、ゼロトラストセキュアアクセスソリューションは、企業のモビリティが労働力の生産性を高めることを可能にする必要があります。これには、さまざまなデバイスとオペレーティングシステム全体で透過的な方法で可視性とコンプライアンス制御を有効にする必要があります。ユーザーの場所やデバイスの所有権に関係なく、ラップトップ、スマートフォン、タブレットなど、デバイスの自動セルフサービスオンボーディングを提供することで、モバイルデバイスの安全な使用を簡素化します。モビリティの実現には、BYODシナリオでプライベートアプリケーションから仕事用アプリケーションとデータを分離することにより、コンプライアンスを保証する機能も必要です。最後に、Secure Accessソリューションは常にサポートする必要があります。

シンプルで使いやすいUX

ゼロトラストセキュアアクセスソリューションは、シンプルで統合されたユーザーエクスペリエンス(UX)に対するユーザーの消費者ベースの期待も考慮する必要があります。たとえば、エンドユーザーは、デバイス、オペレーティングシステム、アプリケーションインフラストラクチャ全体にわたるアプリケーションへのシングルサインオン(SSO)の利便性を求めています。IT管理者は、アクセスセキュリティのすべての要素を調整する直感的で柔軟な方法を求めており、複数のセキュリティシステムとコンソール間でデータとアクションを関連付ける必要をなくします。さらに、クラス最高のソリューションは、統合されたApplication Delivery Control(ADC)ソリューションを活用することでユーザーエクスペリエンスを最適化し、ユーザーがサイト上のアプリケーションにアクセスするかリモートにアクセスするかに関係なく、あらゆる需要を満たすためのタイムリーな応答を保証します。

エンドツーエンドのハイブリッドITセキュリティとVの互換性

サイバー攻撃の増加とハイブリッドIT環境への移行が相まって、ゼロトラストセキュアアクセスソリューションはエンドツーエンドのハイブリッドITセキュリティを提供する必要があります。このようなソリューションでは、アプリケーションがエンタープライズデータセンター、プライベートクラウド、パブリッククラウドでホストされているか、SaaSとして提供されているかに関係なく、SSO認証とアプリケーションへのロールベースおよびデバイス準拠の承認済みアクセスを組み合わせる必要があります。Software Defined Perimeter(SDP)は、新規または既存のハイブリッドIT展開に適用できる魅力的な「ゼロトラスト」アーキテクチャを提供します。SDP は、明示的な認証、コンプライアンスチェック、および承認が完了するまで、リソースをすべてのユーザーおよびデバイスから見えないようにしたり、アクセスできないようにする「最初に認証および検証」アプローチを規定しています。全体的な結果は「ダーククラウド」になり、ハッカーは見えないものを攻撃できないため、ネットワークの攻撃面が減少します。

統合されたスケーラブルなプラットフォーム

複数のセキュリティサイロに関連する問題は、統合されたZero Trust Secure Accessプラットフォームを採用することで軽減できます。統合プラットフォームは、オンプレミス環境とクラウド環境全体で物理および仮想IT リソースをサポートする適切なアプリケーションアクセスを提供します。また、従来のPC、モバイル、さらにはIoTデバイス全体にエンドポイントカバレッジを提供する必要があり、エージェントおよびエージェントレスクライアントテクノロジーのアプリケーションが必要です。ユーザーとデバイスの増加を考えると、統一されたプラットフォームは、安定した状態を処理するために十分にスケーラブルである必要があります

ユーザー、デバイス、アプリケーション用の統合ポリシーエンジン

ポリシーの統合は、複数のセキュリティサイロによって生じる可能性のあるギャップに対処するもう1つの方法です。サイロ化されたソリューションとは異なり、ポリシーの統合により、ルールを一度記述すれば、企業全体に自動的に適用できます。SDPアーキテクチャは、コンテキストに対応した統合された一元化されたポリシーエンジンを提供し、ユーザー、ロール、デバイス、場所、時間、ネットワーク、アプリケーション、およびエンドポイントのセキュリティ状態に基づいて、きめ細かいポリシーを適用できます。IT管​​理のワークロードを最小限に抑え、サードパーティのソリューションとの相互運用性を確保するには、ポリシーの適用を標準ベースにする必要があります。

複数のベンダーソリューション間のシームレスな統合

統一されたプラットフォームとポリシーエンジンの確立は、複数のベンダーソリューションにまたがるゼロトラストセキュアアクセス制御を調整できる単一のベンダーと提携することで、より簡単かつ効果的になります。IT管​​理のワークロードを最小限に抑えるには、双方向の相互運用性を標準ベースにして、さまざまなサードパーティソリューションをサポートする必要があります。このアプローチを適用することで、単一のベンダーは新しいテクノロジーが利用可能になったときにそれを組み込み、エンタープライズの可用性、回復力、弾力性、およびスケーラビリティーを向上させることができます。

新しいエンドポイント、サービス、アプリケーションへの拡張性

最後に、IoTとマルチクラウドのセキュリティに対するニーズの高まりからわかるように、ゼロトラストセキュアアクセスソリューションは、インテリジェントで適応可能でなければなりません。ソリューションは、高度なデバイスプロファイリング、分類を使用して、ネットワークおよびプライベートクラウド上の認可されたおよび認可されていないIoTデバイスを検出、セグメント化、および監視できる必要があります。

分析と脅威への対応。さらに、IOTデバイスはITおよびOT(運用技術)の統合を含む企業アプリケーションとインターフェースするため、セキュアアクセス機能は、可用性、パフォーマンス、コンプライアンス、またはセキュリティを犠牲にすることなく、将来のユースケースに対応できる十分な柔軟性が必要です。

今日と明日の安全なアクセス

あらゆる手段でのアプリケーションとデータのアクセシビリティを提供しながらグローバルセキュリティを確保することは、労働力のモビリティ、動的で進化する脅威、マルチクラウド環境、IoT の現在の傾向を考えると、すべてITに影響を与える課題です。ユーザーエクスペリエンス、エンドポイントの多様性と脅威、ハイブリッドクラウドの移行、プラットフォームとポリシーの統合、エコシステムの相互運用性を考慮できる包括的で柔軟で直感的なSecure Accessソリューションを通じて、IT管理者は、アクセスセキュリティのすべての要素を調整する直感的で柔軟な方法を求めており、複数のセキュリティシステムとコンソール間でデータとアクションを必要必要をなくします。

セキュアアクセスソリューションを導入すると、企業は場所、デバイスの種類、デバイスの所有権に関係なく、従業員、ゲスト、請負業者によるポリシーの遵守を実施できます。ユーザーは生産性が向上し、承認されたネットワークリソースやアプリケーションへのアクセスを犠牲にすることなく、どこにいても自由に作業できます。ITは、マルウェア、データ損失、IoTリスクを軽減できます。ITは、リソースを最適化し、企業全体でデジタル変革を可能にする能力を備えています。

ゼロトラストの謎を解く

企業ネットワークと単一のセキュリティ境界の時代は終わりを迎えています。ユーザーはますますリモートで作業し、公共のインターネットを介して作業を行っています。Software-as-a-Service(SaaS)アプリ、クラウドプラットフォーム、およびその他のクラウドベースのサービスの台頭により、リソースを保護するための主要な要素としてネットワークを使用することの効率が低下しています。ネットワーク間の境界がぼやけているため、単一の封印された企業ネットワークに依存することができなくなり、その中にあるすべてのシステムに信頼を与えることができなくなりました。

ゼロトラスト、セキュリティについて考える方法とセキュリティを行う方法に関するサイバーセキュリティの哲学に入ってください。ゼロトラストは、「何も信頼せず、すべてを検証する」という原則に基づいており、物理的またはデジタル的な場所に関係なくリソースを保護し、デフォルトでは何も信頼しないことに重点を置いています。

1つのベンダー、製品、または技術がゼロの信頼を得ることはありません。むしろ、文化の変化と、リソースを確保するパラダイムを変化させるためのさまざまなソリューションが必要です。

この記事では、ゼロトラストの概念、ゼロトラストモデルを実装する利点、および組織がそれに向けて移行するために必要な手順に関するガイダンスを示します。

時が変わった

信頼は情報技術の分野では、特に、その信頼が暗黙のうちにある場合、つまり、資格がないか疑問がない場合、危険な言葉です。

大規模な封印された企業ネットワークセキュリティ境界を作成し、その内部のすべてを信頼することは、設計に欠陥があることが何度も証明されています。これらの柔らかくて歯ごたえのあるセンターは、ハッカーの夢です。中に入ると、それらはしばしば見えなくなります。ネットワーク全体に広がり、重要なシステムにアクセスするなど、セキュリティ制御と最も強力なチェックは境界でのみ行われるので、それは簡単です。

あなたがそれが好きかどうかに関係なく、境界は侵食されています。

ユーザーは、喫茶店の公衆Wi-Fiのような信頼できないネットワークでリモートで作業したいと考えています。クラウドにデータを保存して、必要なときにいつでもアクセスできるようにしたいと考えています。彼らは自分の個人用デバイスを使用または使用して、企業のデータとリソースにアクセスしたいと考えています。ユーザーがいつでもどこでも好きなように作業できるように、摩擦のないアクセスがユーザーから求められています。

サービスとしてのソフトウェア(SaaS)アプリ、クラウドプラットフォーム、およびその他のクラウドベースのサービスを使用すると、データが企業の境界の外側に残り、パブリッククラウドプラットフォームは、企業の境界内で実行されるデバイスまたはサービスの多くが今ではその外で実行されます。私たちのワークロードは、私たちが所有し、制御し、信頼しているネットワークから離れて、それらを処理するのに最も費用効果の高い場所に移動しています。

すべてがどこにでもあります。静的な防御機能を備えた古い「企業ネットワーク」モデルでは、企業がクラウドなどの機能を利用できると同時に、データ、ユーザー、顧客を保護できません。パラダイムシフトが必要です。

ゼロトラストに入ってください

ゼロトラストは、これらの脅威とビジネスの仕組みの変化に対処するセキュリティへの全体的なアプローチです。これは、セキュリティをどのように考え、どのように実行するかについてのモデルと哲学です。

企業ネットワークの内外を問わず、ネットワーク自体であっても、自動的に信頼する必要はありません。従来のファイアウォールのような静的な防御を備えた、ネットワークの場所に基づく暗黙的な信頼は制限する必要があります。

最終的に何かが信頼される必要があるが、ゼロ信頼して、この信頼関係は一時的なものである以上、およびデータの複数のソースから動的に確立私たちがきた今まで使用し、過去に、それが評価され再常にあります。データのソースには、アクセス要求自体に関する情報、ユーザー情報、システム情報、アクセス要件情報、脅威インテリジェンスが含まれます。さらに、データおよび(または)リソースへのアクセスは、必要に応じて、接続ごとにのみ許可されます。

私たちは、インターネットを日常的に使用することにより、信頼されていないネットワークに関する豊富な経験を持っています。公共のインターネットに面しているコンピューターは、従来の境界内のコンピューターとは非常に異なる方法で保護されており、外部の脅威からコンピューターを保護するために、さらなる監視と多層防御が必要です。

ゼロトラストモデルは、すべてのデバイスをインターネットに接続しているものとして扱うようにガイドします。単一の境界を持つのではなく、多数のマイクロ境界(またはマイクロセグメント)を作成し、すべての周囲およびすべての間にチェックと制御を適用する必要があります。

ゼロトラストを採用することの主な利点

ゼロトラストモデルを採用すると、無数のメリットがもたらされます。そのため、人生を楽にするために、いくつかの中核的なものを選びました。

IT資産全体の管理

オフィス内から、使用するクラウドプラットフォームまで。企業の境界外での制御の欠如やリモートユーザーとの苦労はもうありません。

すべてのユーザーを同じ方法で管理および保護する

企業の境界の内側または外側とは見えなくなり、すべてのユーザーを同じように扱うことができます。これにより、ITセキュリティが簡素化されると同時に、すべてのデバイスとユーザーが平等に扱われます。

使用中のインフラストラクチャを完全に制御していない場合でも、セキュリティを維持する

アイデンティティ、場所、デバイスのヘルス、MFAを使用して、および監視と分析重ねることで、あなたはね、まだ環境、プラットフォーム、またはサービスのあらゆる種類の間で強力なセキュリティを持つことができます。

マルウェアや攻撃者の動きを大幅に削減

むしろ、ネットワーク全体の行動の自由を持つよりも、一度彼らがしている内部、攻撃者は感染したユーザがアクセス権を持っていたシステムの最低限へのアクセス権を持っています。認証されたユーザーを信頼し続けることにより、これらのシステム間でチェックが行われ、拡散する能力がさらに制限されます。

ゼロトラストのまとめ

  • ネットワークの「内部」はありません
  • 何も信用せず、すべてを検証します
  • セキュリティはリアルタイムで適応する必要があります

ゼロトラストは大きなアイデアであり、それについて多くの発展的な議論があります。本質的に、私たちは、ゼロ・トラストの主要な概念を、旅の途中で覚えておくべきいくつかのことわざに要約することができます。

ネットワークの「内部」はありません

コーヒーショップの公共Wi-Fiなどの信頼できない場所からビジネス全体を運営していること、すべてのデバイスがすべてのネットワークの中で最も危険なネットワークである公共インターネットに直接接続されていると仮定します。これを現実と考えると、従来の企業の境界の背後にいることに頼ることができない方法でセキュリティを適用する必要があります。

管理用および社内システム用の企業の「信頼できる」ネットワークは常に存在しますが、目標は、アプリケーションプロキシやその他のテクノロジーを使用して一般ユーザーがこれらのネットワークに近づかないようにし、攻撃対象を大幅に減らすことです。

何も信用せず、すべてを検証します

ネットワークの内側と外側の両方に攻撃者がいて、常に攻撃し続けていると仮定します。接続を検討する前に、ユーザーやデバイスを自動的に信頼して認証する必要はありません。想像あなたがしているすべての方向から一定の攻撃を受けて、あなたは、ビルドにプッシュされている、あなたの防御をレイヤー、あなたのリソースへの堅実な認証および承認し、常にあなたの財産全体で起こってすべてを監視し、分析します。

セキュリティはリアルタイムで適応する必要があります

ゼロの信頼を実現するために導入するセキュリティポリシーは動的で、できるだけ多くの異なるテクノロジーからのできるだけ多くのデータソースからの洞察に基づいて自動的に変更する必要があります。「THIS DEVICE」の「THIS USER」などの静的ポリシーは「THIS THING」にアクセスできますが、そのユーザーがデバイスにアクセスしているときにそのデバイスが危険にさらされている場合は保護されません。ポリシーが悪意のある動作の識別などのデバイスの状態も考慮に入れている場合、ポリシーはこれを使用して、管理者の労力なしで状況に動的に適応できます。

これは、長い間、サイバーセキュリティに対するソフォスの戦略と哲学の一部でした。あなたはそれを同期化されたセキュリティとして知っていたら、私たちの製品は彼らがお互いに持っているユニークな洞察を共有することができます。これにより、これらのすべての洞察を利用して、適応性のある動的なポリシーを設定できるため、ポリシーが静的でなく、簡単に循環することはありません。

これの多くは、既に行っている可能性のある優れたセキュリティポリシーとベストプラクティスであり、GDPRの準備ができていれば、この作業の多くはすでに完了しています。

ゼロトラストの原則

何も信用しません。ずっとです。何も信用しない場合、リスクがある場合は常に、関連するセキュリティ対策を模索する必要があります。

すべてを確認します。チェックに合格することで自然に信頼が得られると思い込まないでください。資格情報を持っているからといって、信頼できるというわけではありません。それはあなたが資格を持っていることを意味するだけです。また、資格情報が盗まれる可能性があります。

これを覚えておくために、4つの単純な原則に分解できます。

  • 常に識別する
  • 常に制御する
  • 常に分析する
  • 常に安全

常に識別する

単一で信頼できるIDのソースが必要であり、シングルサインオン(SSO)でどこでも使用できます。多要素認証(MFA)を使用して、すべてを認証する必要があります。ユーザーがどこにいても、アクセスしようとするものは何でも、資格情報を検証し、2番目(または3番目)の要素があることを検証し、定期的に再認証を要求します。

資格情報が盗まれたり、システムが乗っ取られたりした場合、MFAおよび定期的な再認証により、攻撃者はすぐに阻止されます。

常に制御する

必要に応じてコントロールとチェックを適用し、最小限の特権の原則を採用して適用します。ユーザーは、自分のジョブを実行するために必要な最低限のものにのみアクセスできます。ドイツ人スタッフのみが使用する人事システムがある場合、ドイツ人スタッフのみがアクセスできるようにする必要があります。アクセスのリスクが低いと考えられている場合でも、他の誰もがアクセスするべきではありません。

常に分析する

認証が成功した、またはそのユーザーまたはデバイスにアクセスが許可されたからといって、それが信頼できるとは限りません。インサイダーの脅威や悪意のある人物が有効な資格情報にアクセスする可能性があります。すべてのネットワークおよびシステムアクティビティを記録し、定期的に分析および検査して、認証後の状況を確認します。SIEM(セキュリティ情報とイベント管理)、EDR(エンドポイントの検出と応答)、およびMDR(管理された検出と応答)は、まさにこのニーズに応えるために登場しました。

常に安全

サイバーセキュリティには「裏返し」のアプローチを使用します。重要なデータに焦点を当て、解決策を講じ、データが作成されてから破棄されるまでの、ネットワーク内のデータの移動に伴う脆弱性のポイントを特定する必要があります。

常にコンプライアンスや規制ではなく、何よりもリスクを考慮してください。コンプライアンスチェックまたは規制要件を満たすために純粋にセキュリティを適用することは危険です。コンプライアンス要件では、ネットワークの内容、フローとワークロード、システム、テクノロジーがわかりません。彼らはあなたのネットワークのあらゆる可能な要素に関連するリスクを知りません。リスクを考慮し、組織が直面する脅威をモデル化することで、セキュリティを強化、緩和する場所、およびマイクロセグメントを作成する場所を確実に把握できます。

ゼロトラストに向けて

では、どのようにしてゼロトラストに移行し、ゼロトラストが提供するすべての利点を活用するのですか

  • 表面を定義し、リソースを特定する
  • 標準経路と特権経路をマッピングする
  • Zero Trustネットワークを構築する
  • ゼロ信頼ポリシーを作成する
  • 周囲を監視して維持する

表面を定義し、リソースを特定する

最初に、保護、制御、および監視する表面を定義する必要があります。どのようなあなたのビジネスで使用されているすべてのリソース、サービス、アプリケーション、およびデバイスがありますか?ネットワーク全体で使用されているすべてのものの明確なスコープを持つことは、新しいゼロトラストメンタリティをそれに適用しようとするのに役立ちます。

標準経路と特権経路をマッピングする

すべての範囲を特定したら、次に、標準的な経路をマッピングする必要があります。標準的なものと期待されるものの間のフロー、動作、および関係は何ですか?このユーザーグループはこのアプリケーションにアクセスし、このデバイスはそのネットワークに接続し、このサービスはそのデータストアなどを使用しますが、特権パスとは何ですか?この管理者は、この管理コンソールに接続し、リモートデスクトッププロトコル(RDP)を使用して、機密データをホストしているサーバーにアクセスする必要があります。特権パスでは、ほとんどの場合、追加のセキュリティまたは制御が適用されます。

アーキテクトゼロ信頼ネットワーク

スコープ内にあるもの、およびすべての間の関係がわかったところで、ゼロトラストの哲学をそれに適用し始めることができます。どのセキュリティ対策とアクセス制御を適用するか、どこに適用するか、どのテクノロジーがどのリスクを軽減するのに最適かなどを特定します。

ゼロ信頼ポリシーを作成する

次に、接続または要求にコンテキストを追加するために、できるだけ多くの異なるデータソースを利用するゼロ信頼ポリシーを実装する必要があります。

周囲を監視して維持する

最後に、おそらく最も重要なこととして、新しく作成した境界を維持できるように、すべてを詳細な監視でオーバーレイする必要があります。

これは、管理者が直面する最大の変更の1つです。いったんアンチウイルスをインストールして構成でき、コンソールを見る必要がない場合、ゼロの信頼で、習慣を絞る必要があります。

発生するイベントを監視し、EDRなどのツールを利用して、脅威が環境に侵入した根本原因、および検出前または潜在的な違反の後に発生したイベントを理解する必要があります。

MDRのようなサービスはここで本当に役立ち、サイバーセキュリティの専門家があなたに代わってネットワークを監視し、脅威を粉砕することを支援します

ゼロトラストテクノロジー・スタック

ネットワーク上にあるすべてのリソースと資産を保護するには、多くのテクノロジーが必要です。すべての問題を解決する単一のベンダー、製品、またはテクノロジーはありません。

ゼロトラストテクノロジースタックは、ゼロトラストの管理と、さまざまなリソースおよび資産のセキュリティと制御という2つの主要な領域に対処する必要があります。

管理は3つのサブエリアに分かれています。

  1. 自動化とオーケストレーション
    動的ポリシーを定義し、すべての異なるテクノロジーを調整し、すべてを適切に配置するため
  2. 可視性と分析
    ネットワークの監視を維持し、すべてが機能していることを確認するとともに、脅威や違反が発生した場合または発生した場合にそれを特定する
  3.  API
    さまざまなテクノロジーを統合して、あるシステムから別のシステムにデータを取得する

リソースとアセットは、5つのサブエリアに分類されます。

  1. 人々
    あなたのビジネスのために、またはあなたのビジネスで働いているユーザー、管理者など
  2. データ
    すべての組織の生命線であり、おそらくセキュリティで保護するための最も重要な資産
  3. デバイス
    ビジネスの遂行に使用するサーバー、ラップトップ、仮想マシンなど
  4. ワークロード
    データの処理、計算の実行、レポートの生成などに使用するサービスとアプリ
  5. ネットワーク
    データが流れる通信チャネル、ウェブ、電子メール、Wi-Fi、インターネットなど

サイバーセキュリティに対するビジョン

ゼロトラストとサイバーセキュリティのビジョンである同期セキュリティは、同じ目標の多くを共有し、互いに補完し合っています。

システムとしてのサイバーセキュリティです。すべてのシステムアクティビティ、ユーザーの動作、ネットワークトラフィック、コンプライアンスの姿勢をリアルタイムで動的に監視しながら、ITの最も複雑なタスクを継続的に分析、適応、自動化します。すべてのテクノロジーは相互に情報を共有し、1つだけでは盲目になるような相互の洞察と可視性を提供します。

技術は話し合われるべきです。この話し合いを通してのみ、複数のデータソースに基づいて、ゼロトラストネットワークを実現するために必要な適応的で動的なポリシーを実現できます。

結論

現状では、ゼロトラストはサイバーセキュリティに対する哲学にすぎませんが、すぐに受け入れることはできません。ただし、セキュリティ境界が継続的に侵食されているため、採用の必要性がますます広がっていくでしょう。サイバー犯罪者はますます革新的になっており、防御策はこれに追いつくために苦労しています。ゼロの信頼モデルは、本当にすべてのサイバーセキュリティプロトコルに新たな基準を設定しながら、脅威を最小限にする方法を表しています。

今は違う考え方をする時です。進化の時です。

分散Webアプリケーションファイアウォールによるクラウドアプリケーションの保護

概要

ITセキュリティに対する責任は、ネットワークとITインフラストラクチャから、アプリケーションとソフトウェアアーキテクチャ自体に移行しています。IT組織は、今日の進歩するセキュリティの脅威に対処するだけでなく、このシフトの結果として次のような新しい課題にも対応する必要があります。

  • 分散アプリケーションのセキュリティ
  • クラウド技術との統合
  • 大規模でダイナミックな成長
  • 複数のアプリケーションとリスクプロファイル
  • 急速に変化する脅威とL7攻撃
  • 既存のセキュリティプロセスおよびワークフローとの相互作用

Web Application Firewallは、これらの課題すべてに対処できるように設計されています。

前書き

オンラインビジネスの大幅な成長と規模の拡大に伴い、新しい製品やサービスを展開するというプレッシャーが続いています。つまり、コードの更新と変更が頻繁に行われ、ソフトウェア開発がさらに複雑になります。現代のアプリケーションは、既成のパッケージ、社内サービス、サードパーティのコンポーネントやフレームワークなどのビルディングブロックから作成され、これらすべてに個別の抜け穴や脆弱性があります。

複雑なアプリケーションは、特に開発者が期限を守り、顧客データを保護するというプレッシャーにさらされている場合、より簡単なターゲットです。アプリケーションおよびセキュリティチームは、今日の動的IT環境におけるアプリケーションの脆弱性を解決することが困難であることに気付き、アプリケーションのベンダーは、キャンペーンの締め切りや製品のリリースサイクルに対応できるほど迅速にパッチを提供できない場合があります。

アプリケーションセキュリティの終わりのない物語

毎年、何千もの新しい脆弱性がWebアプリケーションで報告されています。非常に多くの新しい脆弱性があるため、セキュリティの分析とテストが複雑なため、多くの企業がアプリケーションのセキュリティ保護、維持、強化が困難であることは不思議ではありません。

アプリケーションベンダーも同様の問題を抱えています。自社のアプリケーションでサポートされている新しい脆弱性を特定するために注意を払う必要があるだけでなく、カスタム統合プロジェクトが自社または他のアプリケーションのセキュリティも侵害するかどうかを判断する必要があります。彼らがセキュリティの抜け穴を特定して解決するには、パッチやソリューションを市場に投入するためにかなりの時間とリソースを費やす必要があります。

一部のアプリケーションの脆弱性はサードパーティのコンポーネントまたはOSモジュールのパッチですばやく解決できますが、本番システムで解決するのにロジックの欠陥やデータリークに数か月かかることも珍しくありません。一部の既製のアプリケーションは、アプリケーションベンダーの優先順位と認識されるリスクに応じて、1年以上パッチが適用されない可能性があります。

Web Application Firewall(WAF)は、既製のソリューションとサードパーティのフレームワークを含む複雑なカスタムアプリケーションの両方で、アプリケーションレベルのセキュリティのためのスケーラブルなソリューションです。これを使用して、オンライントラフィックにビジネスルールを適用し、SQLインジェクションやクロスサイトスクリプティング(XSS)などの攻撃を検査およびブロックしながら、送信トラフィックをフィルタリングしてクレジットカードデータをマスクし、PCI-DSSおよびHIPAAへの準拠を支援できます。発信データのフィルタリング。

クラウドアプリケーションは幅広い脅威にさらされている

セキュリティ予算は、以前はネットワークファイアウォールとウイルス対策ソリューションに焦点を当てていました。ただし、最近では、攻撃の主な標的がネットワークレイヤーからアプリケーションレイヤーに移行しました。これは、クラウドアプリケーションで使用できるオペレーティングシステムとサービスインターフェイスが強化され、プロファイルが縮小されているためです。その結果、強化されたネットワーク境界の背後にある実際のサーバーよりも、アプリケーションロジックまたはアプリケーションフレームワークをターゲットにする方がはるかに簡単になりました。多くのアプリケーションは社内で作成されますが、セキュリティが開発者の中核スキルになることはめったになく、アプリケーションのライフサイクル全体を通じてセキュリティの問題につながる可能性があります。

さらに、クラウドコンピューティングの幅広い採用により、アプリケーションがインフラストラクチャ、プラットフォーム、ソフトウェアの外部ホスティングプロバイダーを活用するにつれて、攻撃ベクトルが増加しています。包括的なパッチ管理システムを確立することは重要ですが、実際にはこのアプローチは非常に困難でコストがかかることがあります。典型的なWebアプリケーションは、オープンWebフレームワークに依存するサードパーティの開発者によってオープンソースコンポーネントに基づいて構築されています。相互運用性と開発期間の短縮は実現しますが、セキュリティの脆弱性を解決するために複雑なパッチ管理が犠牲になります。オープンソースコードの1つのコンポーネントの欠陥は、それが使用される各アプリケーション全体で使用されるインスタンスごとにパッチを適用する必要があります。動的なインフラストラクチャとアプリケーションフレームワークを備えたパブリッククラウド環境では、これを管理することが非常に困難になる可能性があります。

クラウドの複雑さ

クラウド専用に開発された大規模アプリケーションは、アクセス速度とスケーラビリティに重点を置いた設計で、非常に複雑になることがよくあります。多くのクラウドアプリケーションは、オープンAPIを介してサードパーティ開発に柔軟性を提供します。たとえば、Salesforceです。com、Googleドキュメント、Facebook、Twitterはすべて、カスタムアプリケーションからのアクセスを許可するために公開されたAPIの良い例です。これらの「サービスとして」のアプリケーションは、現在2つの方法で開発されています。(1)オンプレミスアプリケーションをクラウドに移行すること、および(2)アプリケーションをクラウドで直接開発および操作することです。

内部の企業ネットワークからパブリッククラウドインフラストラクチャに移行するアプリケーションは、保護されたソフトウェアを処理するように設計されていない外部の脅威にさらすリスクを伴います。一般的なセキュリティの脅威には、インジェクション攻撃、クロスサイトスクリプティング、クロスサイトリクエストフォージェリなどがあります。

攻撃者にとって重要な「ホットスポット」であるパラメーターの検証、セッション管理、アクセス制御など、クラウドでのWebアプリケーションの開発には、多くのセキュリティ上の課題があります。開発者がアプリケーションセキュリティの設計経験が限られている場合、セキュリティの問題があるアプリケーションを作成する可能性が高くなります。

OWASPトップ10-Webアプリケーションのリスク管理

Open Web Application Security ProjectであるOWASPは、Webアプリケーションセキュリティの主要なオープンソースコミュニティグループであり、ビジネスポリシーからアプリケーションの脆弱性に至るまで、オンラインアプリケーションに対する最も一般的なセキュリティの課題を示す「トップ10」年次レポートを定期的に発行しています。

たとえば、2013年7月に発行された最新の「トップ10」レポートでは、OWASPは、インジェクションの欠陥が最も高いリスクとして上昇したと述べています。高額のデータ漏洩のリスクがあるため、この種の脆弱性は顧客や企業の情報への不正なアクセスを迅速に引き起こす可能性があります。

このセキュリティの課題は、ビジネスポリシーに照らして入力を検証し、基になるアプリケーションアーキテクチャとは独立した方法でデータ漏洩の疑いがある発信データをスクリーニングできるソリューションの必要性を強調しています。

また、攻撃者が毎年新しいツールや手法を使用して、悪用される可能性のある新しいギャップや抜け穴を特定することは役に立ちません。したがって、ソリューションは、変化するリスクの優先順位に適応するのに十分な俊敏性と、何百万もの顧客とトランザクションを処理する高スループットのWebアプリケーションに対する大規模な攻撃を処理するのに十分に堅牢である必要があります。

従来のWebアプリケーションファイアウォールでは不十分な理由

Webアプリケーションファイアウォール(WAF)およびその他のセキュリティソリューションは、通常、ハードウェアアプライアンスに限定されます。専用のハードウェアボックスでは、単一のセキュリティポリシーメカニズム内で複数レベルの委任管理が許可されないため、クラウドインフラストラクチャに深刻なボトルネックが生じる可能性があります。その結果、従来のネットワークハードウェアに加えて、不要なスペースとリソースを占有する専用のWAFアプライアンス(クライアントアプリケーションごとに1つ)をラックに搭載する必要がある場合があります。その結果、セキュリティは仮想化環境の効率に対する障壁となり、このコストは顧客に転嫁されるため、より多くのアプリケーションをクラウドに移行することが難しくなります。

クラウドでは、インフラストラクチャとサービスが顧客間で共有されます。つまり、クライアントアプリケーションとビジネスユニットの多くが1セットのハードウェアアプライアンスを共有している可能性があります。各アプリケーションには、ポリシー設定、ユースケース、および管理施行要件の固有のレイヤーが必要であるため、セキュリティの維持は非常に複雑になります。たとえば、主要なエンタープライズまたはクラウドプロバイダーには、数千のクライアントアプリケーションがあり、それぞれに可変のポリシー設定があります。このような場合、アプリケーションポリシーとそれらのそれぞれのフィルター設定を管理する必要があります。

理想的な世界では、仮想およびクラウドアーキテクチャの課題に対応できるようにアプリケーションをゼロから設計し、セキュリティ対策を直接統合することで、現在のクラウドアプリケーションアーキテクチャの主要な問題を解決します。それまでは、パブリッククラウドコンピューティングの潜在的かつ経済的なモデルを最大限に活用するには、従来のWebアプリケーションファイアウォールアプライアンスの代替が必要です。

分散Web アプリケーションファイアウォールによるクラウドセキュリティ

クラウド内のWebアプリケーションのセキュリティは、スケーラブルで柔軟性があり、仮想であり、管理が容易である必要があります。以下は、ソリューションで探すべき主要な機能です。

大規模なスケーラビリティ

分散型WAFは、CPU、コンピューター、サーバーラック、およびデータセンターの境界を越えて動的に拡張でき、個別のハードウェアフォームファクターに限定されることなく、個々のアプリケーションの要求を満たすようにカスタマイズできる必要があります。リソース消費は最小限で、検出と強制のスループットに合わせてスケーリングする必要があります。クラウドにはあらゆるサイズと形状があり、アプリケーションのセキュリティプラットフォームは変化する需要に柔軟に対応できる必要があります。

クロスプラットフォームの移植性

データセンターを進化させて変換するときは、さまざまな従来のテクノロジーと仮想テクノロジーを使用するため、セキュリティ戦略は混合環境に対応する必要があります。既存のネットワークへの影響を最小限に抑えながら、既存のシステムと統合できる仮想ソフトウェアアプライアンス、プラグイン、SaaS、またはソリューションを検討してください。

分散管理と委任管理

Webベースのユーザーインターフェイスでは、セキュリティポリシーを管理するためのアクセスを管理者および顧客に委任する必要があります。構成は、保護対象の各アプリケーションに合わせて調整する必要があります。これにより、単一の中央ホストによって定義されるのではなく、アプリケーションごとにさらに細かい設定が可能になります。ルールセットの構成はシンプルで、セットアップウィザードでサポートされている必要があります。統計、ロギング、レポートは直感的で、他のシステムにシームレスに統合する必要があります。さまざまなポリシー適用スキームを効果的に管理できるように、複数管理者権限を利用可能かつ柔軟にする必要があります。あなたは、コア保護のセットを探す必要のための政策を委任する能力を個々のクライアントとアプリケーション。

検出と保護

アプリケーションの要求と応答に、ブラック、ホワイト、グレーのリストを使用して、セキュリティの強力な基盤が必要です。また、セキュリティ管理者の承認なしに新しいポリシーがアクティブ化されないように、検出専用モードで新しいルールセットをテストおよび調整できることも重要です。検出専用のルールセットが安定している場合にのみ、それをクラウドまたはデータセンター内の選択されたアプリケーションにコミットできます。これにより、セキュリティ管理者は、既存のポリシーの施行を犠牲にすることなく新しい階層化ルールセットをテストしながら、ポリシー変更の結果を予測することができます。特に大規模なクラウドアプリケーションでは、誤検知や防御の弱体化を回避することが不可欠です。

自動化された学習とルールセットの推奨事項により、セキュリティチームがポリシーを管理しやすくなり、各ルールセットのアクティブ化と非アクティブ化を完全に制御できます。このレベルの制御がないと、正当なトラフィックがブロックされ、ポリシー設定が侵害される可能性があります。

アプリケーションのシールド

動的なクラウドインフラストラクチャでアプリケーションを強化するには、プロアクティブなセキュリティ機能が不可欠です。検出は、今日のWebアプリケーションのセキュリティには十分ではありません。透過的で安全なセッション管理、URL暗号化、フォームフィールド仮想化などの機能により、アプリケーションの開発とデプロイメントの時間を節約しながら、攻撃に対する強力な抑止力が提供されます。セッション管理、URL暗号化、フォームフィールド仮想化は、アプリケーション自体ではなくebアプリケーションファイアウォールで行われるため、これらの機能は効果的です。

アプリケーションを1つの管理スキーマに統合するのに役立つ認証フレームワークも望ましいです。これにより、アプリケーションの前で認証を処理し、別のセキュリティレイヤーを追加できます。すべてのアプリケーションを専用の権限管理機能で統合することにより、ポリシーの管理を容易にすることができます。

既存のテクノロジーとの統合

ネットワークとアプリケーションのセキュリティの両方でベンダーロックインを回避します。インフラストラクチャまたはアプリケーションを拡張するソリューションは、既存のテクノロジーやビジネスプロセスとシームレスに接続する必要があります。可能な限り最高の保護を作成するには、セキュリティ技術を階層化する必要があるため、分散Webアプリケーションファイアウォールは、セキュリティインシデントおよびイベント管理システム(SIEM)と自由に通信する必要があります。

Web Application Firewall

Web Application Firewall(WAF)は、これらのベストプラクティスをサポートするように設計された純粋なソフトウェアWebアプリケーションファイアウォールです。モジュラー構造のため、クラウドコンピューティング環境に非常に簡単にデプロイでき、アプリケーションレベルのセキュリティのためのスケーラブルなソリューションになります。オンライントラフィックにビジネスルールを適用し、SQLインジェクションやクロスサイトスクリプティングなどの攻撃を検査およびブロックしながら、送信トラフィックをフィルタリングしてクレジットカードデータをマスクできます。ソフトウェアは、3つのスケーラブルなコンポーネントで構成されています。

  1. 執行者
  2. 決定者
  3. 管理インターフェース

執行者

エンフォーサは小さなコンポーネントまたはプラグインであり、あらゆる種類のデバイスにインストールできます。デバイスは、Webサーバーやプロキシ(ApacheやMicrosoft IISなど)にすることも、ネットワークファイアウォールやソフトウェアロードバランサーに統合することも、アプリケーション配信コントローラー(ADC)にすることもできます。エンフォーサは、要求データと応答データをDeciderと呼ばれるコンポーネントに送信し、必要に応じて要求と応答を変更します。エンフォーサは、Webアプリケーションファイアウォールがデータを分析してポリシーを実施するためのアダプタです。

決定者

ポリシーエンジンは、エンフォーサモジュールからのデータをチェックし、各リクエストもしくはレスポンスの管理方法を決定します。独自のアーキテクチャにより、1つから多数のCPUコアまでのスケーリングが可能で、水平方向のスケーリングも可能です。決定者はソリューションの計算集中型の部分であり、決定者のワークロードはその背後にあるWebインフラストラクチャの負荷に依存します。ユーザーとアプリケーションがより多くのトラフィックを生成するにつれて、決定者はより多くのCPUリソースを要求します。

管理インターフェース

管理システムを単一のサーバーとしてデプロイするか、完全に分散化してデプロイするかを選択できます。クラスターインストールでは、すべてのクラスターノードを使用して、アプリケーションとそのポリシーを管理できます。この分散型アーキテクチャはノードの障害に対して回復力があり、セキュリティ管理者のグループが個々のアプリケーションポリシーに取り組みながら、詳細な中央監視とアラート機能を提供できます。

統合されたADCの実装

統合されたADC展開では、WAFはサーバーアプライアンス、または仮想またはクラウドインフラストラクチャのVMのいずれかに展開できます。EnforcerとDecidersは、単一のプラットフォームとして管理されるTraffic Managerパッケージ内に共存します。管理GUは、標準を介してアクセスされるトラフィックマネージャコンソールです。

PaaSとSaaSの実装

サービスとしてのソフトウェア(SaaS)は、シンクライアント(通常は標準のWebブラウザー)を介して仮想化アプリケーションへのユーザーアクセスを提供します。ユーザーにとっての利点は、プログラムを所有することの頭痛の種なしにソフトウェアにアクセスできることです。スケーリングとリソース、そしてパッチとアップグレードはすべて処理されます。SaaSアプリケーションは通常、ユーザーごと、使用ごとに課金されます。

サービスとしてのプラットフォーム(PaaS)は、カスタムデータベースを構築するための仮想データベース、ストレージ、プログラミングモデルを顧客に提供します。このサービスは、プラットフォームの背後にあるスケーラブルなリソースを提供し、顧客がアプリケーションの存続期間を通じて成長できるようにします。あらゆる規模の企業にとって効果的なソリューションであり、多くの場合、使用モデルに基づいて課金されます。

共有クラウド(PaaSおよびSaaS)環境では、ロードバランサーとWebサーバーからの多くのエンフォーサープラグインが、別々のVMに展開されたDecider サービスと通信できます。このDeciderサービスの最初のVMが使用可能なCPU リソースの80%に達すると、クラウドの別のインスタンス上の新しいVM が自動的にプロビジョニングされ、起動されてDeciderクラスターに追加されます。Deciderサービスのクラスター全体のCPU使用率が40%を下回ると、Deciserインスタンスがクラスターから自動的に削除され、リソースがクラウドに解放されます。

IaaSの実装

サービスとしてのインフラストラクチャ(IaaS)では、大規模なリソースにアクセスして、完全な仮想ネットワークを構築および管理できます。アプリケーションのワークロードは時間の経過とともに変化するので、顧客はニーズに応じて仮想リソースをコミッションおよびデコミッションできます。顧客は、幅広いインフラストラクチャコンポーネントとサービスレベルアグリーメントからアプリケーション要件を定義し、インフラストラクチャの使用コストをサービス要件に合わせて選択します。

セキュア仮想Webアプリケーションファイアウォールは、IaaSクラウドに同様にデプロイできます。各顧客は、顧客間で共有されない3つのモジュールすべてのプライベートインスタンスを持つことができます。以前と同様に、多くのインスタンスをクラスター化して、より大きなトラフィック需要に対応するためにスケールアップできます。クラウドプロバイダーは、クラウドインフラストラクチャ内で自動スケーリングを提供して、個々のアプリケーションのライフサイクルを追跡することもできます。

大規模アプリケーション

パブリッククラウドに導入された非常に大きなアプリケーションの場合、分散型アプリケーションファイアウォールは、非常に高いトラフィックレベルに動的にスケーリングし、パブリックに面するアプリケーションの変化するトランザクションの要求に対応する必要があります。たとえば、仮想Web アプリケーションファイアウォールは、Amazon WebサービスやMicrosoft Azureグローバルデータセンターでホストされているような分散型クラウドアーキテクチャにデプロイできます。

ゼロトラストアーキテクチャの検討- 米国の公共部門およびその先の将来を見据えたアプローチ

概要

サイバーセキュリティのトレンドに歩調を合わせれば、近年「信頼度ゼロ」という言葉が頻繁に増えてきていることは間違いありません。この用語は、ForresterのアナリストであるJohn Kindervagによって約20年前に初めて造られ、それから数年で一般化されましたが、ITネットワークをより安全に保護するための方法論を指します。

セキュリティの専門家は、時代遅れで効果のない城と堀のネットワークセキュリティアプローチから、最小特権アクセスとネットワークセグメンテーションに基づくモデルにシフトする必要性を認識しているため、ゼロ信頼が流行語になっています。

しかし、それはキャッチフレーズ以上のものです。これは、従来の境界防御に依存するだけでは、ネットワークとデータを保護するのにもはや不十分であることを示しています。インサイダーの脅威に対する認識の高まりとその現実を組み合わせると、ネットワークの城を安全に保つために堀だけに頼ることはできなくなります。

この計算は期限切れです。2019年のレポートによると、昨年のサイバー侵害による世界経済の損失は1.5兆ドルに上ります。2021年までに、これらのコストは推定6兆ドルに急増する可能性があります。しかし、リスクよりもリスクの方が大きいです。(ランサムウェアやその他の脅威ベクトルを介して)米国の公共部門の標的がサイバー犯罪サイトにますます設定されているため、ダウンタイムのリスクと、機密または運用上重要なデータ損失も考慮すべき重要な要素です。

今日のゼロトラスト時代では、ネットワークの外部と内部の両方にいる誰もがサイバーセキュリティに潜在的なリスクをもたらします。そのため、米国の公共部門の一部であるかどうかにかかわらず、すべての組織がデータとシステムを適切に保護するセーフガードを設定することが不可欠です。

ゼロトラストに向けた進化

サイバーセキュリティが企業や政府機関にとって同様に重要な優先事項となって以来数十年、私たちは情報セキュリティ戦略の必要な進化を見てきました。何年もの間、多層防御データ保護ツールがサイバー保護の原則を支配してきました。ただし、データ保護および情報セキュリティ業界は、ゼロトラストアーキテクチャを利用し、データを自己保護するという概念を模索するアプローチにますます移行しています。

境界防御が不十分であることが判明

初期の頃、情報セキュリティ業界は完全に城と堀のアプローチによって導かれるサイバー保護ソリューションを構築しました。組織とそのITスタッフが安全なファイアウォールを介してネットワーク城の周りに深い堀を掘った場合、彼らは悪意のある人物が機密情報にアクセスするのを防ぐことができると考えました。しかし、時間の経過とともに、境界セキュリティを強化する取り組みは、「もぐらたたき」のゲームになりました。サイバー攻撃が一貫違反やファイアウォール回避、IT専門家は城と堀アプローチの限界を認識しました。

内向きシフト

業界の考え方が進化するにつれて、ツールも進化しました。米国の公共部門を含む組織は、ファイアウォールをネットワーク境界内の脅威を根絶するために設計された新しいツールと組み合わせ始めました。資産全体の脆弱性を特定し、定期的なシステムアップデートとアプリケーションパッチの急増を通じてそれらの脆弱性を管理するソリューションです。同じ頃、ArcSightやSplunkなどの企業は、セキュリティ情報およびイベント管理(SIEM)と、ネットワークユーザーの行動に関する洞察を提供するログ分析製品のマーケティングを開始しました。

次のステップは、データとシステムにアクセスするユーザーが、本当の自分であることを確認することです。多要素認証(MFA)などのID /人事管理ツール、およびネットワークマイクロセグメンテーションプラクティスは、組織がより強力なネットワークセキュリティを実装し、攻撃対象を減らすのに役立ちました。

決して信頼せず、常に検証:将来を保証するゼロ・トラスト

サイバー保護の考え方とツールのこの進化の中で、ゼロトラストアーキテクチャの採用と、「決して信頼せず、常に検証する」というその創設の原則が急上昇しています。その変化を補完するものとして、データを自己保護できるようにするソリューションへの関心が高まっています。

右の図は、防御ツール/メソッドの同心円のレイヤーが、最も重要な資産であるデータにますます近づいているため、撤退中のセキュリティ態勢を示しています。この防御姿勢とは対照的に、自己保護データの概念(誰がデータにアクセスする必要があるかを理解し、自動的にアクセスできないように自分自身を保護できるデータ)は、特に次のように、ゼロトラストアーキテクチャ内で牽引力と実際のアプリケーションを獲得しています。サイバー保護業界は、革新的なデータ暗号化とアクセスモデル、さらに人工知能/機械学習を模索しています。

ゼロ・トラストと米国の公共部門

近年、米国の公共部門はゼロトラストへの関心の高まりと、政府の機密データをより安全に保護するためのアーキテクチャの有用性を示しています。その関心は具体的な方法で具体化し始めています。たとえば、2019年9月、米国国立標準技術研究所(NIST)は、タイトルの概念の定義、原則、および「コア論理コンポーネント」を検討する「ゼロトラストアーキテクチャ」というタイトルのドラフト版を発行しました。

新しいNISTの出版物に加えて、国防総省の2019年のデジタル近代化戦略は、政府機関におけるゼロトラストの重要性の高まりも示しています。このドキュメントでは、ゼロトラストを「データ侵害を阻止する目的でアーキテクチャ全体にセキュリティを組み込むサイバーセキュリティ戦略」としています。このデータ中心のセキュリティモデルは、信頼できる、または信頼できないネットワーク、デバイス、ペルソナ、またはプロセスの概念を排除し、(協調が追加された)最小特権アクセスの概念の下で認証および承認ポリシーを有効にするマルチ属性ベースの信頼レベルに移行します。

ゼロトラストコンセプトの米国の公共部門の実装が成長するにつれて、それはより全体的な意味を帯び始めています。かつてネットワークセキュリティツールのみに焦点を当てたアーキテクチャであったものが、今や企業のサイバーセキュリティの姿勢、実践、およびポリシーのより広い範囲にわたって検討、解釈、および適用され始めています。たとえば、NISTドラフトの草案では、データを囲むネットワークセグメントではなく、データ自体(およびその他の重要な企業資産)のセキュリティに特に重点が置かれています。

比較的新しいものですが、ゼロトラストについてのこのより包括的な考え方は、コンセプトの当初の目的に完全に適合しています。それは、戦術だけでなく、サイバーセキュリティ戦略に根本的な変化を起こすことです。デジタルとフィジカルの両方で、内部の多数のセキュリティエントリポイント全体で信頼を検証(および再検証)する必要がある世界で、セキュリティ専門家はこの用語の幅広い有用性を認識しているため、ゼロトラストの傘がさらに拡大する可能性があります。

ゼロトラストを導入するための5つのフレーミングステップ

いくつかの履歴、コンテキスト、およびいくつかのサイバーセキュリティ流行語が武器に含まれているので、組織のゼロトラストアーキテクチャの実装について真剣に取り組む時が来ました。これらの5つのフレーミングステップを念頭に置いて、VPN等からゼロトラストへの移行の開始をできるだけスムーズで管理しやすいものにしてください。

1.在庫を確認する

つまり、サイバーインフラストラクチャのインベントリです。これは困難に聞こえるかもしれませんが、ゼロ信頼を実装するための最初の最も重要なステップです。到達範囲を完全に理解していない場合、コンピューティング環境をどのように保護できますか?

企業全体の環境におけるネットワーク、システム、デバイス、およびユーザーの包括的なインベントリを作成します。ユーザーとデバイスがネットワークで果たす役割のタイプと、ユーザーがアクセスする必要があるデータの種類を、最小特権のアクセス原則を指針として使用して決定します。

2.増分変更に焦点を合わせる

ゼロトラストを実装することは、完全に一歩先を行くものではなく、総入れ替えの作業です。ゼロからコンピューティング環境を構築する場合(その場合、ゼロトラストの原則は最初からガイドする必要があります)を除いて、包括的なゼロトラストアーキテクチャを一気に展開することは期待できません。完全な移行が実現するまで、ゼロ信頼の原則をレガシーの原則と組み合わせる必要があります。

この移行を容易にするために、まずゼロトラストツールが既存のセットアップをどのように補完できるかを決定します。次に、管理可能な増分変更を開始します。企業のレイアウトに最適なものをテストしてから、スケールアップします。

3.ゼロトラストは万能のフレームワークではないことを忘れない

ゼロトラストアーキテクチャに移行した他の人のアドバイスを求めてください。ここアクロニスSCSでは、私たち自身の経験とその前線での闘いを喜んでお話しするだけでなく、私たちが役立つリソースになれるかどうか私たちに連絡することをお勧めします。(この記事の「結論」で、アプローチの詳細をご覧いただけます。)

ただし、最終的には、1つの組織の特定のコンピューティング環境で何が機能するかが、自分の環境に適していない可能性があることを覚えておくことが重要です。組織は、固有の環境内でセキュリティと実用性のバランスをとる必要があります。そのバランスは、保護する必要のあるデータのタイプ、ボリューム、機密性によって異なります。

4.戦術を戦略に変える

アドホックゼロトラストツールを導入することが一つです。もう一つは、体系化ゼロ信頼考え方をして、企業全体の体系的なプラクティスを実装することです。

ITポリシーを作成し、必要に応じて書き換えて、ゼロ信頼の目標を強化します。これには高水準の賛同が必要かもしれませんが、ゼロトラストアーキテクチャと今日のサイバーセキュリティ時代におけるその必要性についてのパブリックディスカッションの増加は、リーダーシップとの会話を容易にするはずです。

5.「ヒューマンファイアウォール」にその役割を任せる

ゼロトラストアプローチの2つの最も重要な原則は、(1)誰も信頼しないこと、(2)すべてを検証することです。ゼロトラストを正しく実装すれば、人為的な侵害の影響と到達を最小限に抑えることができますが、それは、サイバー攻撃、データ損失、または侵害からシステムと情報を安全に保つために人が果たす主な役割を書き留めるべきではないということです。2019年の調査では、データ漏えいのほぼ3分の1がスピアフィッシングの手口であり、人為的なエラーは5分の1以上の侵害に因果関係があるとしています。

したがって、ゼロトラストアーキテクチャを採用する場合は、すべての従業員がサイバーセキュリティ体制に積極的に参加できるようにする必要もあります。従業員全体にセキュリティの文化を浸透させるトレーニングと情報セッションを開催します。各従業員に、ファイアウォール、サイバーフィット、警戒、回復力を強化します。肝心なことは?ゼロトラストアーキテクチャの実装は、チームの努力である場合、成功する可能性が高くなります。

ゼロ・トラスト・イン・プラクティス–実生活の例

アクロニスSCSは、米国の公共セクターに対応する中規模のアメリカのサイバー保護およびエッジデータセキュリティ企業として、幅広い最小特権アクセスアプローチの主要コンポーネントとしてゼロトラストアーキテクチャを採用することを選択しました。このモデルは、オフィスやデータセンターからネットワーク、アプリケーション、エンドポイント、電子メール、クラウドインフラストラクチャに至るまで、企業全体に実装されています。

公共部門のお客様固有のセキュリティの考慮事項を知っているため、米国市民のみを雇用し、アリゾナ州スコッツデールにあるオフィスに入るすべての人にバッジアクセスを要求し、多数の物理的および生体認証による保護を使用して、データセンターを高NIST基準を超えて保護します。ゼロトラストフレームワーク内では、パロアルトネットワークスの次世代ファイアウォールとセグメント化されたネットワークを活用しています。また、FireEye Email Threat Preventionを使用してマルウェアの侵入を防止し、電子メールのセキュリティを真剣に考え、クラウドに多要素認証(MFA)、証明書ベースのVPNなどを適用します。

ゼロトラストモデルの「決して信頼せず、常に検証する」という概念の私たちのアプリケーションは、内部のセキュリティアプローチを超えています。また、製品開発ライフサイクル全体を通じてこの原則を適用します。私たちのプロセスは、設計によって保護された哲学に根ざしています。つまり、自社の環境内ですべての製品コードを自分たちでコンパイルし、IronNet やnVisium などのサードパーティ企業にコードのレビューを依頼しています。

つまり、ネットワークセキュリティ、内部セキュリティ、製品開発アプローチのいずれにおいても、「常に検証する」という概念を採用することは全体論的です。

私たちの組織に最高の内部セキュリティ標準を適用するプロセスは、必ずしも簡単ではありませんでした。組織にとって、すべてが順調に進んでいるわけではないからです。たとえば、私たちが使用している一部のクラウドサービスは、MFAを自動的にサポートしていません。しかし、私たちはこの対策が私たち自身のサイバー保護にとって重要であることを知っているので、別の認証方法でMFAを実行することを選択します。それが余分な思考と時間を必要とするときでさえ、私たちが奉仕する人々の信頼と信頼を維持するためには、余計な努力をすることが重要です。

どのように支援できるかを検討する

最初から始めている場合でも、組織のサイバーアーキテクチャにゼロトラストの原則をすでに実装していて、さらに追加したい場合でも、Acronis SCSが役立ちます。

どの企業にも固有の内部セキュリティのニーズがあります。そのため、あなたのアプローチはおそらく私たちのものとは異なります。しかし、私たちの経験は、顧客、インフラストラクチャ、およびミッションに基づいて組織の固有のサイバーセキュリティニーズを分析する際に、ゼロトラストの旅に光を当てることができます。

幸いなことに、ポリシーと手順を調整することは、必ずしもホイールを再発明する必要はありません。どのような組織にとっても、このプロセスを円滑にするツールがあります。たとえば、アクティブなランサムウェア防止機能を含むバックアップおよびリカバリソリューション(Acronis SCS Backup 12.5や今後の強化されたバックアップ製品など)を使用すると、使いやすい公証とデジタル化を行いながら、不要でコストのかかるデータ侵害から組織を保護できます。認証ソリューションは、悪意のある人物によるデータの改ざんを防ぐことができます。

結論:バズワードを行動に変える

ゼロトラストはもはや単なる流行語や理論ではありません。国防総省の兵器システムの資料を提供するママアンドポップビジネスからアメリカの地方自治体や最大の連邦政府機関まで、あらゆる規模の組織にとって深刻な行動を呼びかけています。

ゼロトラストセキュリティモデルの維持

この記事では、Active Cypher がActive Cypher File Fortress(ACFF)を使用してゼロ信頼セキュリティモデルを実装する方法について説明します。このドキュメントでは、独自の実装を想像できるように、ACFFを十分に理解することを目的としています。ACFF 製品とアクティブサイファー(AC)ゼロトラストセキュリティモデルのこの説明が、ACFF とゼロトラストセキュリティモデルの採用を検討する際の貴重な情報と説明になることを願っています。

続きを読む