セキュリティコンサルタント2|SEC ConsultingのCEOティム・ホルムズ氏によると、ゼロトラストには、ITのセキュリティ対策においてやるべきこと、やってはならないことが集約されている。「十分過ぎる予算とリソース、それに現状を見極められる常識を持ちながら、全ユーザーと私物端末およびシステムが自分たちをハッキングすることはないと唱える企業がいまだにある」と同氏は言う。
ホルムズ氏はITセキュリティのプロフェッショナルに対し、完全無欠のセキュリティを達成する手段としてゼロトラストの検討を促している。同氏によると、侵入テストの目的はシステムに対する不正アクセスを明確化することにあり、通常はシステムを欺いたり、他人に成り済ましたりすることもテストの一環となる。このテストで、不正アクセスされた場合に何が露呈されるかを試す。「もし私がそのシステムやその人物に成り済ますことができれば私は信用され、そのシステムや人物にできることなら何でもできる」とホルムズ氏。
ゼロトラストには、そのエコシステムに関わる全システムと人に対する厳格な認証が求められる。このアプローチの柱の一つは「最低の権限」のコンセプトだ。サイバーセキュリティ業界のベテラン、イーオン・ケリー氏によると、これは必要なシステムにしかアクセスを許さないITセキュリティシステムを意味する。
「このアプローチの結果が境界内のネットワークとシステムのセグメント化(マイクロセグメンテーションとも呼ばれる)だ。ここではネットワークが区画に分割され、それぞれがアクセスと利用に対して認証を要求する。これは基本的に、セキュリティに対する『信じよ、だが検証せよ』のアプローチになる」(ケリー氏)
ITバイヤーがゼロトラストの検討を始めるに当たって出会う可能性が大きい技術の一つに特権アクセス管理(PAM:Privileged Access Management)がある。ケリー氏によると、これは重要資産に対するセキュリティ対策、コントロール、管理および特権アクセスの監視を支援する一連の製品群のことで、特権アクセス監視はゼロトラストモデルの中核を成す。だがケリー氏は、「最低限の権限はゼロトラストの出発点にすぎない。多くのシステムやアーキテクチャは最小特権やPAMを念頭に置いておらず、そうしたモデルの改造は大掛かりなプロジェクトになる」と警告する。
それが足かせとなって、既存のITインフラにゼロトラストを組み込もうとする企業による採用は遅れている。ケリー氏によると、最も成功しやすいのは組織が何もない所で白紙からスタートする場合だという。
続きを読むには、[続きを読む]ボタンを押して
ください(PDFをダウンロードします)。
コロナ禍における「ご自愛消費」の現状――スナックミー調査
「ご自愛消費」として最も多いのは「スイーツやおやつ」で全体の68%。その他、ランチ38...
正月三が日のテレビ視聴は過去10年間で最高値――ビデオリサーチ調査
正月三が日の総世帯視聴率(HUT)は過去10年で最高値となり、年末年始のテレビ視聴は例年...
KOLやKOCによる口コミを創出するために必要なこと
中国向けにマーケティングを行う上で重要なのが口コミである。口コミには友人・知人間で...
ITmediaはアイティメディア株式会社の登録商標です。
iStock.com/Design Cells
