ゼロトラストの概念を包含した戦略的フレームワーク「CARTA」

ガートナーが提唱するCARTA(Continuous Adaptive Risk and Trust Assessment:継続的でアダプティブなリスクとトラストのアセスメント)

詳しくは以下のサイトをご覧下さい。

例えば、セキュリティにおける「信頼をゼロにする」というのは、製造における「在庫をゼロにする」のと同じことです。しかし、信頼および在庫は、業務の遂行に必要なものです。
そこでCARTA は、ゼロトラストの概念をリーントラスト、つまり企業の現在の状況とリスク許容度に応じてジャストインタイムで十分な機能を提供し、継続的に監視、評価、適応して企業のセキュリティ態勢を改善するという概念にまで拡張しました。
つまり、CARTAはトヨタ生産方式から着想を得ていると思われます。

CARTAの計画

企業レベルでコンプライアンスとガバナンスを評価し、ビジネスリーダーが許容できるリスクに基づいて。 アナリティクスはリスクの範囲とビジネスをモデリングして予測します。アナリティクスを継続的に監視することでビジネス面でのリスクが把握できます。ビジネスの優先順位に関して、セキュリティの専門家は合理的なガイドラインを作り、許容可能なレベルの信頼とリスクを定義するために最善を尽くします。

CARTAを使用してベンダーを評価するには、ベンダーが5つの基準を提供していることを確認する必要があります。1. オープンAPIか、2. クラウドやコンテナーなどの最新のITプラクティスのサポートをしているか、3. コンテキストに基づいてセキュリティ体制を変更できる柔軟なポリシーのサポートや、4. データへのフルアクセスおよび 5.複数の検出方法など。

これらのCARTAによる戦略的アプローチにより、私たちはよりアクティブに判断することができます。例えば従来の許可/拒否によるバイナリーアプローチでは、何事も保守的に拒否するしかなかった。そこでCARTAの戦略的アプローチは、状況に応じてアクティブに判断できます。

すなわちゼロトラストは手段であり、企業はCARTAの戦略的アプローチを用いることが有効です。

Gartner – Combat security risks with an adaptive approach to risk management.

投稿者: 二本松 哲也

志を持った人たちと、夢に向かって共に働くことが私の誇りです。 サイバーセキュリティコンサルタント、IPAセキュリティプレゼンター、OWASPメンバー、2020年度総務省事業 テレワークセキュリティ専門家 I キャリア(個人事業主 PG→SE→PL→PM→ システムコンサルティング事業部 部長)、資格(2級知的財産管理技能士、個人情報保護士)、IPCC 地球温暖化防止コミュニケーター