セキュリティコンサルタント2|SEC ConsultingのCEOティム・ホルムズ氏によると、ゼロトラストには、ITのセキュリティ対策においてやるべきこと、やってはならないことが集約されている。「十分過ぎる予算とリソース、それに現状を見極められる常識を持ちながら、全ユーザーと私物端末およびシステムが自分たちをハッキングすることはないと唱える企業がいまだにある」と同氏は言う。
ホルムズ氏はITセキュリティのプロフェッショナルに対し、完全無欠のセキュリティを達成する手段としてゼロトラストの検討を促している。同氏によると、侵入テストの目的はシステムに対する不正アクセスを明確化することにあり、通常はシステムを欺いたり、他人に成り済ましたりすることもテストの一環となる。このテストで、不正アクセスされた場合に何が露呈されるかを試す。「もし私がそのシステムやその人物に成り済ますことができれば私は信用され、そのシステムや人物にできることなら何でもできる」とホルムズ氏。
ゼロトラストには、そのエコシステムに関わる全システムと人に対する厳格な認証が求められる。このアプローチの柱の一つは「最低の権限」のコンセプトだ。サイバーセキュリティ業界のベテラン、イーオン・ケリー氏によると、これは必要なシステムにしかアクセスを許さないITセキュリティシステムを意味する。
「このアプローチの結果が境界内のネットワークとシステムのセグメント化(マイクロセグメンテーションとも呼ばれる)だ。ここではネットワークが区画に分割され、それぞれがアクセスと利用に対して認証を要求する。これは基本的に、セキュリティに対する『信じよ、だが検証せよ』のアプローチになる」(ケリー氏)
ITバイヤーがゼロトラストの検討を始めるに当たって出会う可能性が大きい技術の一つに特権アクセス管理(PAM:Privileged Access Management)がある。ケリー氏によると、これは重要資産に対するセキュリティ対策、コントロール、管理および特権アクセスの監視を支援する一連の製品群のことで、特権アクセス監視はゼロトラストモデルの中核を成す。だがケリー氏は、「最低限の権限はゼロトラストの出発点にすぎない。多くのシステムやアーキテクチャは最小特権やPAMを念頭に置いておらず、そうしたモデルの改造は大掛かりなプロジェクトになる」と警告する。
それが足かせとなって、既存のITインフラにゼロトラストを組み込もうとする企業による採用は遅れている。ケリー氏によると、最も成功しやすいのは組織が何もない所で白紙からスタートする場合だという。
続きを読むには、[続きを読む]ボタンを押して
ください(PDFをダウンロードします)。
ゲーム業界がコロナ禍でTwitterを活用したコミュニケーションに注力した理由
コロナ禍において「巣ごもり消費」が拡大し追い風が吹いているといわれるゲーム業界だが...
コロナ禍の観光に見える20の兆しとは? TBWA HAKUHODOなどが「観光復興ガイド」を公開
SNS上の旅行に対する価値観の激しい変化を分析し、そこから見えた20の新たな兆しとその後...
コロナ禍で縮小したマーケティング施策 1位は「オフラインのセミナー/展示会」――ベーシック調査
B2Bマーケターを対象にした調査で8割以上が「コロナ禍で実施/検討しているマーケティン...
ITmediaはアイティメディア株式会社の登録商標です。
iStock.com/Design Cells
