2020年07月01日 08時00分 公開
特集/連載

ゼロトラスト戦略を阻む「文化的」な壁に注意Computer Weekly製品ガイド

ゼロトラストを推進するに当たり、幾つかのハードルを越える必要がある。特に文化的な問題を軽視すべきではない。

[Paul McKay,Computer Weekly]
iStock.com/taa22

 ゼロトラストは概念的なアーキテクチャのモデルで、マイクロペリメーターとマイクロセグメンテーションによって会社のネットワークを守る。難読化技術を使ってデータセキュリティを強化し、過剰なユーザー特権に伴うリスクを制限し、分析と自動化を通してセキュリティ検出と反応を劇的に向上させる。

データに関する知識

 EU一般データ保護規則(GDPR)対応のために、企業は自分たちのデータについて、それがいつのもので、自分たちの組織の内外でどう流れ、データへのアクセスがどう統制されているのかなど、より多くのことを知るようになった。そうした知見があれば、ゼロトラストの実装において相当有利なスタートを切ることができる。

 だが、技術的セキュリティコントロールの利用可能性は国によって大きく異なる。ForresterはCISOに対し、ゼロトラストモデルの導入を計画する際は常に、欧州の地元の文化的、規制的常識に注意を払うよう勧告している。関連する法令やステークホルダーを洗い出し、それに対応した計画を立てる必要がある。

 従業員主導のコーポレートガバナンスが確立されている国では、従業員の監視に抵抗する。フランス、ドイツ、オランダといった国のコーポレートガバナンスは従業員の参加に重点を置く。労働者評議会は強い権限を持って経営陣に対抗し、従業員の利益を守り、従業員の行動やシステム利用に対する監視を厳しく制限する。セキュリティユーザー行動分析(SUBA:Security User Behavior Analytics)やデータ損失防止(DLP:Data Loss Prevention)、特権ID管理(PIM:Privileged Identity Management)を使って従業員の行動をモニターする場合、セキュリティ責任者には慎重さが求められる。労働評議会に対して、自分たちの計画が従業員の権利を損ねたり従業員の行動を侵害したりすることはないと証明しなければならない。あるサプライヤーの幹部はこう表現する。「昔はドイツでDLPを売り込むことはなかった。今は全面的な否定ではなく、『どうすれば安全にできるか』から会話が始まる」

 CISOがこうした移り変わりを利用すれば、セキュリティコントロールとプライバシー法について、さらに洗練された形で理解できる。ステークホルダーに関わる取り組みについては相手の不安に耳を傾け、その見解を考慮する姿勢を示す必要がある。

 参照アーキテクチャの策定に当たっては、分かりやすい検証の計画とステークホルダーの承認手順をゼロトラストロードマップに盛り込む必要がある。プライバシー不安や文化的不安をどう回避するかを示すリスク回避計画を確立しなければならない。

検証の必要性

 ForresterはCISOに対し、国際間のデータ転送や暗号鍵管理の検証を促している。

 EU市民の個人識別可能情報をEU以外の国(EU離脱後の英国など)に転送する必要がある場合、モデル契約条項や拘束力のある企業ルールなど、追加的な枠組みの導入が必要になる公算が大きい。

 データを米国に転送する場合は、「プライバシー・シールド」(訳注:個人データをEUから米国に移転するための枠組み)に従う必要がある。データが保存あるいは処理される場所を明確にして、社内のプライバシーチームや法務チームと連携しながら、最も適切な対策を見極める。たとえ暗号化されたデータであっても、政府への開示を要求される事態を想定しておく必要もある。

 中国対テロ法は企業に対して、




続きを読むには、[続きを読む]ボタンを押して
ください(PDFをダウンロードします)。






ITmedia マーケティング新着記事

news148.jpg

生活者視点から見たDX 受容層43.1%、拒否層12.5%――日本IBM調査
「IBM Future Design Lab.」の調査によると今後、DXの波は産業の場から生活の場へと拡張...

news146.jpg

マーケティングオートメーション(MA)を導入しない理由1位は4年連続で「高いから」――Mtame調査
2017年から続く「マーケティングオートメーション意識調査」の2020年版の結果です。

news045.jpg

「ファッションテック」から「3密回避」まで データによる価値創造と課題解決の考え方
気象データを活用してファッションコーデを提案するサービスをデジタルエージェンシーの...