ゼロトラスト戦略を阻む「文化的」な壁に注意：Computer Weekly製品ガイド

ゼロトラストを推進するに当たり、幾つかのハードルを越える必要がある。特に文化的な問題を軽視すべきではない。

[Paul McKay，Computer Weekly]

　ゼロトラストは概念的なアーキテクチャのモデルで、マイクロペリメーターとマイクロセグメンテーションによって会社のネットワークを守る。難読化技術を使ってデータセキュリティを強化し、過剰なユーザー特権に伴うリスクを制限し、分析と自動化を通してセキュリティ検出と反応を劇的に向上させる。

関連記事

• 失敗しない「ゼロトラスト」導入法
• 従来型ネットワークセキュリティからの解放
• クラウド時代の認証方式SDP（Software Defined Perimeter）導入事例
• ペリメータレスセキュリティの第一歩
• 境界のないデジタルワークプレースの実現

データに関する知識

　EU一般データ保護規則（GDPR）対応のために、企業は自分たちのデータについて、それがいつのもので、自分たちの組織の内外でどう流れ、データへのアクセスがどう統制されているのかなど、より多くのことを知るようになった。そうした知見があれば、ゼロトラストの実装において相当有利なスタートを切ることができる。

　だが、技術的セキュリティコントロールの利用可能性は国によって大きく異なる。ForresterはCISOに対し、ゼロトラストモデルの導入を計画する際は常に、欧州の地元の文化的、規制的常識に注意を払うよう勧告している。関連する法令やステークホルダーを洗い出し、それに対応した計画を立てる必要がある。

　従業員主導のコーポレートガバナンスが確立されている国では、従業員の監視に抵抗する。フランス、ドイツ、オランダといった国のコーポレートガバナンスは従業員の参加に重点を置く。労働者評議会は強い権限を持って経営陣に対抗し、従業員の利益を守り、従業員の行動やシステム利用に対する監視を厳しく制限する。

　セキュリティユーザー行動分析（SUBA：Security User Behavior Analytics）やデータ損失防止（DLP：Data Loss Prevention）、特権ID管理（PIM：Privileged Identity Management）を使って従業員の行動をモニターする場合、セキュリティ責任者には慎重さが求められる。労働評議会に対して、自分たちの計画が従業員の権利を損ねたり従業員の行動を侵害したりすることはないと証明しなければならない。あるサプライヤーの幹部はこう表現する。「昔はドイツでDLPを売り込むことはなかった。今は全面的な否定ではなく、『どうすれば安全にできるか』から会話が始まる」

　CISOがこうした移り変わりを利用すれば、セキュリティコントロールとプライバシー法について、さらに洗練された形で理解できる。ステークホルダーに関わる取り組みについては相手の不安に耳を傾け、その見解を考慮する姿勢を示す必要がある。

　参照アーキテクチャの策定に当たっては、分かりやすい検証の計画とステークホルダーの承認手順をゼロトラストロードマップに盛り込む必要がある。プライバシー不安や文化的不安をどう回避するかを示すリスク回避計画を確立しなければならない。

検証の必要性

　ForresterはCISOに対し、国際間のデータ転送や暗号鍵管理の検証を促している。

　EU市民の個人識別可能情報をEU以外の国（EU離脱後の英国など）に転送する必要がある場合、モデル契約条項や拘束力のある企業ルールなど、追加的な枠組みの導入が必要になる公算が大きい。

　データを米国に転送する場合は、「プライバシー・シールド」（訳注：個人データをEUから米国に移転するための枠組み）に従う必要がある。データが保存あるいは処理される場所を明確にして、社内のプライバシーチームや法務チームと連携しながら、最も適切な対策を見極める。たとえ暗号化されたデータであっても、政府への開示を要求される事態を想定しておく必要もある。

　中国対テロ法は企業に対して、地元当局に情報の解読を求められたら暗号鍵を引き渡さなければならないと規定している。

　データが暗号化されると、ゼロトラストに求められるセキュリティの可視性は低くなる。データの匿名化はデータ保護に関する懸念をある程度払拭（ふっしょく）できるかもしれない。だがGDPRでは、個人情報としての性質を持たないのは完全に匿名化されたデータのみだ。

　データはほとんどの場合、仮名化される。つまり、個人を再識別することもできる。だがデータ匿名化技術を適用すれば、匿名化された形態のデータの機密性や重大性を見極めるのが難しくなり、ゼロトラストの可視性は複雑化する。

　Cisco Systemsのセキュリティ担当技術ディレクター、コリン・マクミラン氏は言う。「データ匿名化は欧州の一部の顧客によって、データ主権問題への対応に使われている。だがそれでもゼロトラストを導入する際は可視性を必要とする。顧客はこれを回避するために非標準的な方法で技術的解決策を実装しており、メンテナンスとサポートが関係者全員にとっての課題になっている」

　非セキュリティ幹部は、ゼロトラストを単なるネットワークセキュリティアーキテクチャだと考える。欧州ではこれまで、ネットワークセキュリティの意思決定者がゼロトラスト普及の原動力となってきたが、CISOより上のレベルで論議されることはほとんどなかった。

　これは欧州において、エンタープライズセキュリティに関して最高の意思決定権を持つ管理職が、高い割合（42％）でCIO（最高情報責任者）の直轄になっていることに起因するのかもしれない。ForresterはCISOに対し、ネットワークの域を越えたゼロトラスト拡張フレームワークの多数の要素を強調しなければならないと勧告している。

　CISOがゼロトラストを昇格させることができなければ、その導入の取り組みはビジネス目標もセキュリティ目標も達成することはできない。

本稿はForresterのアナリスト、ポール・マッケイ氏、チェース・カニンガム氏、エンツァ・イアンノポーロ氏による「How To Implement Zero Trust Security In Europe」より抜粋。

ゼロトラストモデルを適用する際の導入問題の事例

• DLPモニター：フランス、ドイツ、イタリア、オランダ、スイス――労働者評議会がある国での強い抵抗
• PIMセッションモニター：欧州中部と東欧（CEE）、フランス、ドイツ、スイス――従業員の行動に対する過剰なモニタリングと見なされた場合および歴史的経緯によって監視に対する嫌悪感が強い国では抵抗される
• セキュリティ分析：フランス、ドイツ、イタリア、オランダ、スイス――従業員の行動に対する過剰なモニタリングと見なされた場合および歴史的経緯によって監視に対する嫌悪感が強い国では抵抗される
• ユーザー行動分析：ドイツ、スイス、CEE、EU／欧州経済圏（EEA）全体――従業員の行動に対する過剰なモニタリングと見なされた場合および歴史的経緯によって監視に対する嫌悪感が強い国では抵抗される
• プライバシー規制とデータセキュリティ：EU全土――GDPRの導入による強化
• 暗号鍵管理：EU／EEAから第三国への制限付き転送――暗号化されたデータを、政府の要求に応じて暗号鍵の提供を義務付けられるEU／EEA以外の国へ転送する場合に制限がかけられる