本サイト上のコンテンツは、参照目的だけのために、英語の原本から翻訳されたものです。また、本サイト上のコンテンツの一部は機械翻訳されたものです。日本語版と英語版の間に何らかの齟齬がある場合には、英語版が優先されます。当社は改善のためのあらゆる努力を行いますが、翻訳の正確性及び信頼性は保証せず、当社に故意または重大な過失がある場合を除き、不正確性又は遺漏により生じる損失又は損害に責任を負わないものとします。
私たちは、テクノロジー業界におけるゼロトラストの導入をしばらくの間追跡してきました。ゼロトラストの導入は、ロード・オブ・ザ・リングの3つの映画が登場する直前に永遠の展開を開始したIPv6ほど遅くはありません。それでも、Google のような組織が先頭に立っている一方で、他の組織がより慎重なアプローチをとっているのを見るのは興味深いことです。
過去 5 年間で、活動のうねりが見られました。ビジネスリーダーも技術労働者も同様に、ファイアウォールのあらゆる側面にリスクが存在し、ゼロトラストに関しては新しい一連のパラダイムに軸足を移す必要があることに気付く、大多数の組織がようやく変曲点に達しているのを目の当たりにしました。
CompTIA のチーフ テクノロジー エバンジェリストである James Stanger 博士は、このピボットには、境界の考え方から、彼が「境界後の無指向性アプローチ」と呼ぶものへの移行が含まれると詳しく説明しています。しかし、ゼロトラストにはパラダイムチェンジだけではありません。2021年に遡ると、スタンガー博士はゼロトラストの意味について当時 流行していた考え方を記録しました。その中で彼は、伝統的な境界ベースの思考を、『28日後』や『ショーン・オブ・ザ・デッド』などの伝統的なゾンビ映画で起こることと比較した。これらの映画では、ヒーローは通常、ある種の境界の後ろに穴をあけようとしますが、その境界が失敗するのを見るだけです。
今日、組織はゼロトラストを実現する方法に注力しています。さらに、ゼロトラスト環境を作り出す多くの要素がより一般的になるにつれて、「ゼロトラスト」という用語が道端に置かれてしまう可能性さえ十分にあります。なぜでしょうか。なぜなら、数年後には、マイクロセグメンテーション、リアルタイム分析、自動化を賢明かつ協調的に使用することが標準的な慣行になるからです。基本的な実践であるものに特別な名前を付ける必要はありません。
それまでの間、私たちはおそらく、経営幹部、技術営業担当者、技術労働者仲間との会議でこの用語を使用する必要があるでしょう。スタンガー博士は、AFCEAサイバー委員会ゼロトラスト小委員会とATARCゼロトラストワーキンググループの両方に参加した後、彼の洞察を提供します。彼は、業界や政府の専門家と協力することで得られる価値を強調しています。関連リソースへのアクセスを拡大する取り組みの一環として、ゼロトラスト委員会での活動において価値があると考えたいくつかのリソースを共有しています。
- 米国国防総省(DoD)の ゼロトラストの柱レポート: これらの柱には、ユーザー、デバイス、アプリケーションとワークロード、データ、ネットワーク環境、可視性と分析、自動化とオーケストレーションを取り巻くテクノロジーが含まれます。このレポートは決定的なものではありませんが、成熟したゼロトラストネットワークがあると言う前に連携しなければならない多くの要素についての有用な議論です。
- ATARC ゼロトラストラボ: 民間部門と公共部門の両方の対象分野の専門家からの情報とヒントが含まれています。
ゼロトラスト成熟度への移行: 実践的な手順
ゼロトラストアーキテクチャについて議論するのは簡単ですが、実装には、より思慮深く計画的なアプローチが必要です。ゼロトラストを実装した人は、次の手順を実行したと共有します。
- エグゼクティブのゼロトラストリテラシーから始めましょう。 経営陣がゼロトラストの意味を正確に理解しない限り、ゼロトラストの導入で成功する組織はありません。経営陣にゼロトラストを認識させることで、トップダウンのポリシーベースのアプローチが生まれます。それがゼロトラストを成熟させる唯一の方法です。
- 保護する必要がある資産を特定します。 どのネットワーク、データベース、その他の重要な資産にデジタルセキュリティの強化が必要かを検討してください。
- 棚卸しをします。 ゼロトラストについては、何を保護しているのかを正確に特定できなければ、あまりできません。
- リソースに優先順位を付けます。 たとえば、特定のリソースが失われると、組織がビジネスを行う能力を失う可能性がある場合や、特定の顧客またはユーザーのみが不便を被ることを意味する場合があります。
- これらのリソースを保護する能力の概要を説明します。 これは、ゼロトラストツールを調達する場所です。これらのツールを「機能」と呼ぶ人もいます。言い換えれば、ゼロトラストには、リアルタイム分析の使用やマイクロセグメンテーションの自動化などが含まれます。したがって、分析ツールとセグメンテーションツールを保護したいリソースに慎重にマッピングします。
- 各機能の依存関係を特定します。 成熟したゼロトラスト環境には、高価なハードウェアとソフトウェアを購入してから「ミッション達成」を宣言するだけではありません。まず、ゼロトラスト環境は、組織の手順とポリシーが整っている場合にのみ繁栄し、成熟します。
この最後の点が、ガバナンス、リスク、コンプライアンス(GRC)が非常に重要になった理由です。テクノロジー業界のコンプライアンスとリスク管理への関心は、ゼロトラストの実装に直接起因していると主張することもできます。また、その逆だと言う人もいるかもしれません。それにもかかわらず、すべては政策から始まります。第二に、ゼロトラストのすべての技術要素(柱など)を適切に統合する必要があります。そのため、ほとんどの組織は、組織のポリシーをテクノロジーにマッピングした経験のあるサイバーセキュリティの専門家に相談しています。これは、サイバーセキュリティの成熟度を示す正確な指標です。
ゼロトラストの価値と、サイバー脅威に対して政府機関を強化し続ける方法の詳細については、「2024 年のサイバーセキュリティの現状レポート」をご覧ください。
このブログの寄稿者には、CompTIA のチーフテクノロジーエバンジェリストであるジェームズ・スタンガー博士が含まれていました