サイバーナレッジアカデミー セキュリティ技術顧問の名和利男様に、不定期でコラムを寄稿いただきます。
はじめに
深刻度を加速させているサイバー攻撃が、企業経営に打撃を与えるようになってきていたことを受けて、経営層自らがサイバーセキュリティ対策強化の号令をかけ始める企業を見かけるようになってきた。
そのような企業に共通して見られることの一つは、「セキュリティ対策の実務や現場を預かる方々」(以下、現場の方々)が新たなソリューションの導入を検討しようと、付き合いの長いベンダーから提案を受けたり、独自にインターネットで検索したりするなどして、有効性の高そうなプロダクトやサービスに関する情報を収集する中で、「ゼロトラスト」に関心を持ち始めていることである。
最近、多くのセキュテリィベンダーやIT関連のメディアが、「ゼロトラスト」について非常に素晴らしい解説を広く提供していることもあり、現場の方々の理解は深まってきていると感じている。特に、筆者が行っている「セキュリティチームに対する能力向上支援」の中で、直近で実務担当者からいただく"ゼロトラスト"に関する質問の多くが、以前とは異なり、その前提や概念を十分に把握されていることが伺える。
セキュリティ実務者の悩みは経営層のゼロトラスト理解
しかしながら、現場の方々が、「ゼロトラスト」を自社内に組み込もうとする努力の中で、さまざまな課題や悩みを持っている。その中でもっとも大きな難題は、「経営層やサイバーセキュリティ対策の責任者からの理解と予算の獲得」である。
筆者が、現場の方々から「経営層や責任者から投げかけられる質問」の一部に対する回答の作成を支援する中で、特に強く印象に残っている「ゼロトラスト」に関するいくつかの質問を紹介する。
・・・