ゼロトラストの概念を包含した戦略的フレームワーク「CARTA」

ガートナーが提唱するCARTA(Continuous Adaptive Risk and Trust Assessment:継続的でアダプティブなリスクとトラストのアセスメント)

例えば、セキュリティにおける「信頼をゼロにする」というのは、製造における「在庫をゼロにする」のと同じことです。しかし、信頼および在庫は、業務の遂行に必要とされている。

そこでCARTA は、ゼロトラストの概念をリーントラスト、つまり企業の現在の状況とリスク許容度に応じてジャストインタイムで十分な機能を提供し、継続的に監視、評価、適応して企業のセキュリティ態勢を改善するという概念にまで拡張する。

なるほど、CARTAはトヨタ生産方式から着想を得たということか。

CARTAの計画

企業レベルでコンプライアンスとガバナンスを評価。ビジネスリーダーはどの程度のリスクを許容できるだろうか。 分析は、リスクの領域と、ビジネスがより多くのリスクを受け入れる意思がある場合に利用できる機会についてのモデリングと予測を提供します。分析を継続的に監視することで、ビジネス用語でリスクを説明できます。ビジネスには優先順位の設定に関するサポートが必要です。セキュリティの専門家は、合理的なガードレールを構築し、許容可能なレベルの信頼とリスクを定義するために最善を尽くす必要があります。

CARTAを使用してベンダーを評価し、ベンダーが5つの基準を提供していることを確認する必要がある。オープンAPIか、クラウドやコンテナーなどの最新のITプラクティスのサポートをしているか、コンテキストに基づいてセキュリティ体制を変更できるなどの適応ポリシーのサポートや、データへのフルアクセスおよび複数の検出方法など。

CARTAの戦略的アプローチにより、私たちはより肯定的に判断することができます。従来の許可/拒否によるバイナリーアプローチでは、保守的でノーと言うしかなかった。そこでCARTAの戦略的アプローチでは、肯定的に判断できる。これを監視および評価して、過去にリスクが高すぎると考えられていた機会を確実に受け入れることができる。

すなわちゼロトラストを実現するために、企業はCARTAの戦略的アプローチを用いることが有効なようだ。

Gartner – Combat security risks with an adaptive approach to risk management.

投稿者: 二本松 哲也

志を持った人たちと、夢に向かって共に働くことが私の誇りです。 セキュリティコンサルタント、キャリア(個人事業主 PG→SE→PL→PM→ 会社員 ITコンサル 兼 情シス)、資格(2級知的財産管理技能士、個人情報保護士)、IPCC 地球温暖化防止コミュニケーター