ゼロトラストモデルの人間的側面

組織の72%が、セキュリティリスクを軽減するためにゼロトラストモデルの導入を計画しています。しかしゼロトラストはスイッチ一つで簡単に実現できるものではありません。ゼロトラストモデルの実現には、あなたのセキュリティ戦略に対する従業員の支持が必要不可欠です。

記事 | 読了時間 4分
2020年11月24日

コロナウイルスによるパンデミックが2020年のニュースの見出しを独占する中、ゼロトラストはテクノロジー界隈で同等の規模の話題となりました。パンデミックとゼロトラストフレームワークは決して関連のない話題ではありません。多くが新型コロナの影響を受けて在宅勤務する中、パーソナルデバイスの使用やクラウドアプリケーションやサービスへの加速化された移行が大幅な拡大を見せています。また、この状況は企業の従来型トラストモデルの限界点を超え、組織はゼロトラストモデルへと移行することで、極めて標的を絞った攻撃からのリスクを軽減し、その他の拡大する脅威に応戦しています。

ゼロトラストフレームワークがビジネスとITに利点をもたらす明確な分野があり、これには向上されたリモートアクセスセキュリティ、悪意ある内部関係者からもたらされるリスクの軽減、そして政府や産業規制のより良いコンプライアンスが含まれます。しかしゼロトラストポリシーが個々の従業員に与える影響に対して十分な注意が払われていないのが現状です。この記事ではゼロトラストフレームワークの人間的側面を掘り下げ、従業員たちがよりスマートなセキュリティ判断を行えるよう支援する方法を考察します。

60%
の組織がCOVID-19によるパンデミック中にゼロトラストモデルの実装を加速化したと回答

出典:企業のゼロトラストネットワーク戦略:セキュアなリモートアクセスとネットワークセグメンテーション

ゼロトラストモデルが人間の判断に依存する理由

以前は、従来型の企業トラストは、組織によってワークフォースのために判断されてきました(リンクをクリックするかどうかという判断を除く)。組織が企業トラストについて考慮する際、彼らは信頼性の高い企業デバイス、ネットワーク、アプリケーションといったテクノロジーを真っ先に考え、その後ロケーションや物理的な空間について考えていました。しかし大半の従来型企業トラストの仮定は既に有効ではなくなっており、実際に私たちはワークフォースの行動や無為がこの信頼性に最も影響を与えている様子を目の当たりにしてきました。

ゼロトラストモデルの基盤は、すべての信頼は獲得するものであるという考えにあります。情報セキュリティにおいて、信頼性は推測するものでも、後から考えるものでもありません。組織がデータを他者に託す前に、信頼性は慎重に裏付けられる必要があり、組織のリスク許容度に準じるものであるかを検証する必要があります。そしてゼロトラストモデルを実装後も、すべてのアクションと判断はすべて継続的かつ状況に応じて把握され、状況的にそのリスクに妥当なものである必要があります。つまり、ゼロトラストモデルの成功は以下の質問に掛かっています。適切な信頼性を保つために従業員が適切な判断を継続的に行えるよう強化する方法とは?

ゼロトラストモデルを人間化する方法

最善の信頼性を導き出すためには人々の存在が欠かせないため、セキュリティテクノロジーのみに頼るのではなく、ゼロトラストモデルを人間化することが重要です。留意すべき重要なポイントは以下の通りです。

  1. 信頼性に関する判断を行うのはテクノロジーではなく人間です。これはつまり従業員を教育することの重要性を示し、しっかりとした教育を行うことで彼らは多数の信頼性要因の評価(「企業データへアクセスするのに、このネットワークは安全だろうか?」といった問い)を行うようになり、適切なセキュリティ判断を行うことができるようになります。従業員が複雑な信頼関係を理解するほど、信頼性を獲得すべき状況や信頼性が見当違いである場合をより的確に特定できるようになります。 
  2. 人々は信頼の基点の提供と信頼の連鎖の確認のためにテクノロジーを使用し、依存しています。最新のWebアプリケーション ファイアウォール、Endpoint ManagementFIDO2認証はすべて、リモートで勤務するワークフォースの作業の安全性向上に貢献します。その一方で、正しい信頼性判断を行えるように従業員をトレーニングすることは、こうしたテクノロジーを効率的に使う方法を教育することと同様に重要です。
  3. 人々が各組織内でのゼロトラストの意味を決定します。各ゼロトラストモデルが特定のプロトコルを共通で有している一方で、ゼロトラストとは教育マニュアルというよりも根本的原理や指針であると言えます。企業のためのゼロトラストフレームワーク設計はITリーダーの判断に掛かっており、状況毎に望ましい信頼性を実現するために導き、自動化する多面的な信頼性ポリシーやテクノロジーを選択するのは彼らです。

ゼロトラストフレームワークは能動的かつ共有の責任である

セキュリティ戦略において唯一普遍なこととは、状況は変化するということです。組織は今後新しい従業員を雇用し、彼らはしっかりとトレーニングを受け、保護すべき新しいデバイスやワークスペースに順応し、機密データに忍び寄る拡大を続ける脅威に立ち向かわなければなりません。これはつまりゼロトラストフレームワークを継続的に発展させ、組織内の全員が能動的に共有する責任とすることが重要であることを意味します。

あなたは企業のリーダーとして企業文化を育む必要があり、こうして促進することにより企業文化が表現され、「原則としての文化」にきちんと反映されるのです。ゼロトラスト原則を支持し、体現する企業文化の構築を意図的に進めましょう。またセキュリティベストプラクティスに関して従業員を積極的に教育することで、彼らは新しい脅威に立ち向かうために成長することができます。企業内の全員が信頼に値する場合と信頼が破られる場合に関する共通の理解を有する際には、従業員たちは自身と組織の両方を守るための強固な責任ある判断を行う方法をしっかりと理解することでしょう。