セキュリティコンサルタント2|SEC ConsultingのCEOティム・ホルムズ氏によると、ゼロトラストには、ITのセキュリティ対策においてやるべきこと、やってはならないことが集約されている。「十分過ぎる予算とリソース、それに現状を見極められる常識を持ちながら、全ユーザーと私物端末およびシステムが自分たちをハッキングすることはないと唱える企業がいまだにある」と同氏は言う。
ホルムズ氏はITセキュリティのプロフェッショナルに対し、完全無欠のセキュリティを達成する手段としてゼロトラストの検討を促している。同氏によると、侵入テストの目的はシステムに対する不正アクセスを明確化することにあり、通常はシステムを欺いたり、他人に成り済ましたりすることもテストの一環となる。このテストで、不正アクセスされた場合に何が露呈されるかを試す。「もし私がそのシステムやその人物に成り済ますことができれば私は信用され、そのシステムや人物にできることなら何でもできる」とホルムズ氏。
ゼロトラストには、そのエコシステムに関わる全システムと人に対する厳格な認証が求められる。このアプローチの柱の一つは「最低の権限」のコンセプトだ。サイバーセキュリティ業界のベテラン、イーオン・ケリー氏によると、これは必要なシステムにしかアクセスを許さないITセキュリティシステムを意味する。
「このアプローチの結果が境界内のネットワークとシステムのセグメント化(マイクロセグメンテーションとも呼ばれる)だ。ここではネットワークが区画に分割され、それぞれがアクセスと利用に対して認証を要求する。これは基本的に、セキュリティに対する『信じよ、だが検証せよ』のアプローチになる」(ケリー氏)
ITバイヤーがゼロトラストの検討を始めるに当たって出会う可能性が大きい技術の一つに特権アクセス管理(PAM:Privileged Access Management)がある。ケリー氏によると、これは重要資産に対するセキュリティ対策、コントロール、管理および特権アクセスの監視を支援する一連の製品群のことで、特権アクセス監視はゼロトラストモデルの中核を成す。だがケリー氏は、「最低限の権限はゼロトラストの出発点にすぎない。多くのシステムやアーキテクチャは最小特権やPAMを念頭に置いておらず、そうしたモデルの改造は大掛かりなプロジェクトになる」と警告する。
それが足かせとなって、既存のITインフラにゼロトラストを組み込もうとする企業による採用は遅れている。ケリー氏によると、最も成功しやすいのは組織が何もない所で白紙からスタートする場合だという。
続きを読むには、[続きを読む]ボタンを押して
ください(PDFをダウンロードします)。
GAFAの序列変動やSpotify、Zoomなどの動向に注目 「Best Global Brands 2020」
世界のブランド価値評価ランキング。Appleは8年連続1位で前年2位のGoogleは4位に後退しま...
日本のスマホ決済アプリのインストール数は75%成長 バンキングアプリ利用も急増――Adjust調査
2020年上半期は特に日本において、新型コロナの影響でファイナンスアプリの利用が活発化...
ニューノーマル初の年末商戦 成功の鍵は「送料無料」と「低価格」、そして……――Criteo予測
コロナ禍の収束が見通せないながらも、人々の消費は少しずつ動き出しています。ホリデー...
ITmediaはアイティメディア株式会社の登録商標です。
iStock.com/Design Cells
