ゼロトラストを推進するに当たり、幾つかのハードルを越える必要がある。特に文化的な問題を軽視すべきではない。
ゼロトラストは概念的なアーキテクチャのモデルで、マイクロペリメーターとマイクロセグメンテーションによって会社のネットワークを守る。難読化技術を使ってデータセキュリティを強化し、過剰なユーザー特権に伴うリスクを制限し、分析と自動化を通してセキュリティ検出と反応を劇的に向上させる。
EU一般データ保護規則(GDPR)対応のために、企業は自分たちのデータについて、それがいつのもので、自分たちの組織の内外でどう流れ、データへのアクセスがどう統制されているのかなど、より多くのことを知るようになった。そうした知見があれば、ゼロトラストの実装において相当有利なスタートを切ることができる。
だが、技術的セキュリティコントロールの利用可能性は国によって大きく異なる。ForresterはCISOに対し、ゼロトラストモデルの導入を計画する際は常に、欧州の地元の文化的、規制的常識に注意を払うよう勧告している。関連する法令やステークホルダーを洗い出し、それに対応した計画を立てる必要がある。
従業員主導のコーポレートガバナンスが確立されている国では、従業員の監視に抵抗する。フランス、ドイツ、オランダといった国のコーポレートガバナンスは従業員の参加に重点を置く。労働者評議会は強い権限を持って経営陣に対抗し、従業員の利益を守り、従業員の行動やシステム利用に対する監視を厳しく制限する。
セキュリティユーザー行動分析(SUBA:Security User Behavior Analytics)やデータ損失防止(DLP:Data Loss Prevention)、特権ID管理(PIM:Privileged Identity Management)を使って従業員の行動をモニターする場合、セキュリティ責任者には慎重さが求められる。労働評議会に対して、自分たちの計画が従業員の権利を損ねたり従業員の行動を侵害したりすることはないと証明しなければならない。あるサプライヤーの幹部はこう表現する。「昔はドイツでDLPを売り込むことはなかった。今は全面的な否定ではなく、『どうすれば安全にできるか』から会話が始まる」
CISOがこうした移り変わりを利用すれば、セキュリティコントロールとプライバシー法について、さらに洗練された形で理解できる。ステークホルダーに関わる取り組みについては相手の不安に耳を傾け、その見解を考慮する姿勢を示す必要がある。
参照アーキテクチャの策定に当たっては、分かりやすい検証の計画とステークホルダーの承認手順をゼロトラストロードマップに盛り込む必要がある。プライバシー不安や文化的不安をどう回避するかを示すリスク回避計画を確立しなければならない。
ForresterはCISOに対し、国際間のデータ転送や暗号鍵管理の検証を促している。
EU市民の個人識別可能情報をEU以外の国(EU離脱後の英国など)に転送する必要がある場合、モデル契約条項や拘束力のある企業ルールなど、追加的な枠組みの導入が必要になる公算が大きい。
データを米国に転送する場合は、「プライバシー・シールド」(訳注:個人データをEUから米国に移転するための枠組み)に従う必要がある。データが保存あるいは処理される場所を明確にして、社内のプライバシーチームや法務チームと連携しながら、最も適切な対策を見極める。たとえ暗号化されたデータであっても、政府への開示を要求される事態を想定しておく必要もある。
中国対テロ法は企業に対して、地元当局に情報の解読を求められたら暗号鍵を引き渡さなければならないと規定している。
データが暗号化されると、ゼロトラストに求められるセキュリティの可視性は低くなる。データの匿名化はデータ保護に関する懸念をある程度払拭(ふっしょく)できるかもしれない。だがGDPRでは、個人情報としての性質を持たないのは完全に匿名化されたデータのみだ。
データはほとんどの場合、仮名化される。つまり、個人を再識別することもできる。だがデータ匿名化技術を適用すれば、匿名化された形態のデータの機密性や重大性を見極めるのが難しくなり、ゼロトラストの可視性は複雑化する。
Cisco Systemsのセキュリティ担当技術ディレクター、コリン・マクミラン氏は言う。「データ匿名化は欧州の一部の顧客によって、データ主権問題への対応に使われている。だがそれでもゼロトラストを導入する際は可視性を必要とする。顧客はこれを回避するために非標準的な方法で技術的解決策を実装しており、メンテナンスとサポートが関係者全員にとっての課題になっている」
非セキュリティ幹部は、ゼロトラストを単なるネットワークセキュリティアーキテクチャだと考える。欧州ではこれまで、ネットワークセキュリティの意思決定者がゼロトラスト普及の原動力となってきたが、CISOより上のレベルで論議されることはほとんどなかった。
これは欧州において、エンタープライズセキュリティに関して最高の意思決定権を持つ管理職が、高い割合(42%)でCIO(最高情報責任者)の直轄になっていることに起因するのかもしれない。ForresterはCISOに対し、ネットワークの域を越えたゼロトラスト拡張フレームワークの多数の要素を強調しなければならないと勧告している。
CISOがゼロトラストを昇格させることができなければ、その導入の取り組みはビジネス目標もセキュリティ目標も達成することはできない。
本稿はForresterのアナリスト、ポール・マッケイ氏、チェース・カニンガム氏、エンツァ・イアンノポーロ氏による「How To Implement Zero Trust Security In Europe」より抜粋。
Copyright © ITmedia, Inc. All Rights Reserved.
サービスアカウントによる特権アクセスの管理に頭を悩ませるセキュリティ担当者は少なくないだろう。重要なシステムやデータを守るには、こうした特権アクセスを適切に管理し、アカウントを保護することが求められる。
サービスアカウントの悪用や誤用が問題になっている。システムやアプリケーションへのアクセスに特別な権限を有しているだけに、悪用されれば大きな被害につながる可能性もある。管理・保護のベストプラクティスをチェックしよう。
eコマースの登場以降、デジタル決済の選択肢は急速に広がり、利用者の利便性は飛躍的に高まった。一方で、それぞれの決済方法を利用するユーザーを標的とした金融犯罪や不正行為も爆発的に増加している。どう防げばよいのだろうか。
金融サービス業界において、金融犯罪を防ぐための対策は不可欠だ。デジタルサービスが増え、システムが複雑化する中で、どう対策を実践していくか。取引詐欺やマネーロンダリングなど4つのシーンを取り上げ、具体的な対策を解説する。
クラウドシフトが進み、リモートワークも普及した現代のIT環境で重要性が高まっているのが、ゼロトラストに基づくセキュリティ対策だ。その新たなアプローチとして、ブラウザベースの手法が注目されている。どういった手法なのか。
お知らせ
米国TechTarget Inc.とInforma Techデジタル事業が業務提携したことが発表されました。TechTargetジャパンは従来どおり、アイティメディア(株)が運営を継続します。これからも日本企業のIT選定に役立つ情報を提供してまいります。
「パーソナライゼーション」&「A/Bテスト」ツール売れ筋TOP5(2025年4月)
今週は、パーソナライゼーション製品と「A/Bテスト」ツールの国内売れ筋各TOP5を紹介し...
Cookieを超える「マルチリターゲティング」 広告効果に及ぼす影響は?
Cookieレスの課題解決の鍵となる「マルチリターゲティング」を題材に、AI技術によるROI向...
「マーケティングオートメーション」 国内売れ筋TOP10(2025年4月)
今週は、マーケティングオートメーション(MA)ツールの売れ筋TOP10を紹介します。
ITmediaはアイティメディア株式会社の登録商標です。
