ゼロ トラストは現在、誰もが関心を寄せている新しい注目のトレンドです。これは、当社の2022年版アプリケーション戦略の状況レポートで明らかにされた上位3つの「最も注目されている」トレンドの1つであり、この12か月間にわたってGoogleトレンドで一貫して高い関心が寄せられてきました。
その結果、「シフト レフト」が導入されて以来、ゼロ トラストは、最も話題に上っている(そして誤解されている)セキュリティへのアプローチの1つとなっています。ゼロ トラストは、ソフトウェア定義境界(SDP)や、IDアクセス管理(IDAM)といった市場セグメントのような特定のテクノロジと同等であると見なされる場合が多すぎます。
これはさほど驚くことではありません。クラウド コンピューティングが導入されたときも、特定のテクノロジや製品を「新しい注目のトレンド」と同一視する流れが見られました。クラウド ウォッシングは定期的に起きており、多くの場合、ある新製品の実際の「クラウド性」に対する軽蔑的な見方として使用されていました。
そのため、まずゼロ トラストの定義から始めるべきだと思います。それには、このトピックについてすでに優れた指針を発表している同僚のKen AroraとMudit Tyagiの言葉を引用しようと思います。
これは重要な点です。繰り返しますが、ゼロ トラスト セキュリティの核心は概念です。
その概念には一連の前提が含まれており、テクノロジの利用はこれらの前提の結果です。
したがって、SDPやAPIセキュリティのようなテクノロジを実装するからといって、ゼロ トラストを採用したことにはなりません。1つの製品を導入するだけで、直ちに「ゼロ トラスト準拠」となり、攻撃、侵害、悪用に対する免疫ができるわけではありません。
SDPおよびAPIセキュリティは実際に、ゼロ トラスト アプローチを採用するうえで適切な戦術的対策となり得ることは事実です。しかし、そのためには、まず根本的な想定から始めて、そこから論理的に続く最適なツールとテクノロジを決定する必要があります。
これを具体化するために、例をいくつか見てみましょう。この例を見ると、そのタイトルが示すように、ボット対策とWebおよびAPIセキュリティは「ゼロ トラスト」ツールボックスの一部であるという結論に達します。
このアプローチは現在、SDP、IDアクセス制御、ネットワーク ファイアウォール、CASBのような他のツールおよびテクノロジと、これらの想定から自ずと生じる既知のリスクを軽減する多くの他のソリューションにもつながります。しかし、そのうちの1つを実装するだけでゼロ トラスト構想が完了したとは言えません。それは、骨折した足を治療するために、医者に診てもらう代わりにタイレノールを飲むようなものです。この薬は、痛みには効きますが、残りの問題の解決には役に立ちません。
ゼロトラストを採用して考え方を変え、緩和策を講じるだけでは完璧ではありませんが、しかし、適応性を高め、新たな攻撃に迅速かつ確実に対応し、進化することができます。
安全を確保してください。
ゼロ トラスト アプローチによるセキュリティのモダナイズに関する詳細については、当社のブック『デジタル ビジネスのためのエンタープライズ アーキテクチャ』の第5章をご覧ください。