セキュリティの世界は常に進化しており、それに伴い、技術者やセキュリティ業界が使用する言語や新しいテクノロジも進化しています。
昨年、増加傾向にある用語の XNUMX つに「ゼロ トラスト」があります。 しかし、それが何であるかを知っていると確信していますか?
これらの場合に私が常に行うように、最初から、つまり定義から進めることをお勧めします。
それが何を意味するのかを理解するために ゼロトラスト 参考文献を見つけると便利です。この場合は NIST 800-207 です。 何度も述べたように、NIST (アメリカ合衆国商務省国立標準技術研究所) は尽きることのない情報源です。
特に、Publication 800-207 はフレームワークを扱っています。 ゼロトラスト.
現時点では、アメリカの政府機関 (バイデン大統領の大統領令により 2021 年 2025 月から義務化) と、分散型およびクラウド型の作業モデルに何らかの形で関係するすべての人々の参照基準となっています。 Gartner によると、60 年までに少なくとも XNUMX% の組織 (公共および民間) がこのフレームワークを採用する予定です。 ゼロトラスト.
800-207 フレームワークの主な原則は、基本的に次の XNUMX つです。
- 継続的な検証. つまり、何も信用しないでください。
- 事故時の関心範囲の制限. 起こり得る事故によって引き起こされる損害を制限するための一連の手順と技術的対策を実施する。
- 正確な対応を保証するためのコンテキストおよび行動データの自動かつ継続的な収集.
パターン ゼロトラスト ユーザー、ユーザーの特権、および使用されるデバイスとサービスの XNUMX 回限りの検証では、技術とリスクも常に進化しているシステムのセキュリティを保証するには不十分であるという前提に基づいています。
「ゼロ トラスト」という用語は、John Kindervag (Forrester Research Analyst) によって次の意味で導入されました。 決して信用せず、常にチェックしてください!
もちろん、これは多くのデータと情報を収集することを意味し、処理すると、ユーザーの状況 (権限、時間、接続の可能性のある場所など)、デバイス、サービス、およびリスクを正確に把握できます。私たちの組織が対象としています。
ご想像のとおり、これは簡単な作業ではありませんが、現在のリスクのレベルを考えると、おそらく必要です。
「ゼロトラスト」組織への移行は、人々の働き方に影響を与え、変化に対する自然な抵抗を引き起こす可能性があるため、容易ではありません。そのため、CISO のタスクは、少なくともプロジェクト定義などの段階でさらに複雑になります。通常、最初の申請段階で。
一部の市場では、これは、企業が当面のコンサルタント料の増加を予測する必要があることを意味する可能性があります。
詳細に調べると、原則を適用する必要があります。 ゼロトラスト また、インフラストラクチャのさまざまなコンポーネント間のソフトウェア開発および相互作用のレベルでも。 実際、多くの攻撃は、認証ツールの欠如または脆弱性と、異なるモジュール間の継続的な完全性検証に基づいています。 モデル ゼロトラスト ミクロ レベル (ハードウェア、オペレーティング システム、ソフトウェア コンポーネントなど) とマクロ レベル (システム間の相互作用、ビジネス組織など) の両方に適用可能です。
一般に、このようなプログラムを成功させるには、内部コミュニケーションとユーザーのニーズをサポートする能力が必要ですが、何よりも内部スタッフのトレーニングは、サイバー リスクに対する意識レベルを高め、変化への抵抗を最小限に抑えるために非常に重要です。
前述のように、NIST 800-207 は参照フレームワークですが、もちろん、主要なセキュリティ署名には、独自の製品を参照することが多い「ゼロ トラスト」概念の独自の傾斜があります。
つまり、いつものように、 のリスク ベンダーロックイン、どの プログラムを実装する前に、それらを慎重に評価する必要があります、しかし、これは常に当てはまります。
アレッサンドロ・ルゴロ、マウリツィオ・ダマート、ジョルジオ・ジャチント
深める:
- ゼロ トラスト セキュリティとはゼロ トラスト モデルの原則 (crowdstrike.com)
- ゼロ トラスト モデル - 最新のセキュリティ アーキテクチャ | マイクロソフト セキュリティ
- バイデン政権のサイバーセキュリティ大統領令を受けてゼロトラストを定義する | Celent フォースポイント
