は「決して信頼せず、常に検証する」という原則に基づいているが、これは単なる流行語ではない。組織の内外を問わず、すべてのユーザー、デバイス、アプリケーションがシステムやデータへのアクセスを取得・維持する前に、継続的な認証、認可、検証を受ける必要がある。しかし、多くの組織はゼロトラストを全体的に実装することに苦戦しており、境界防御や認証ツールに注力する一方で、ゼロトラストを効果的にする深層レイヤーを軽視している。
継続的なモニタリングとガバナンスから自動化やデータレイヤーのコントロールまで、重要なコンポーネントが過小評価されたり無視されたりすることが多く、システムや機密データが露出したままになっている。以下では、Forbes Technology Councilのメンバーが、頻繁に見落とされるゼロトラストの要素と、それらを軽視することが最強の防御さえも静かに弱体化させる理由を共有している。
1. 継続的なモニタリングと分析
ゼロトラストで一般的に見落とされるコンポーネントの一つが、継続的なモニタリングと分析である。多くの組織は、多要素認証、最小権限アクセス制御、ネットワークセグメンテーションなどのゼロトラストの中核コンポーネントを一度限りの設定として扱っている。実際には、ゼロトラストはユーザー行動、デバイスの状態、ネットワークトラフィックをリアルタイムで可視化し、異常を検出してポリシーを動的に適応させる必要がある。-Xinxin Fan,IoTeX
2. ガバナンスレイヤーの強化
組織はしばしばゼロトラストのガバナンスレイヤー、つまりアクセス決定を実際のビジネスコンテキストにマッピングする能力を過小評価している。多くの場合、意図ではなくツールに焦点を当てている。例えば、AIモデルの再トレーニングパイプラインは完璧なID確認を持っていても、データ系統を検証するポリシーがない場合がある。信頼ロジックが目的を無視すると、ゼロトラストは静かに失敗する。-Radhakrishnan PN,HPE
3. アーキテクチャの統一
ゼロトラストで最も見落とされがちな側面の一つは、その統一されたアーキテクチャである。多くの人はまだゼロトラストを独立したプロジェクトやツールの集合として捉えており、その結果、不要な断片化、複雑さ、そして最終的にはセキュリティ成果の低下を招いている。プラットフォームアプローチでは、実施、可視性、ポリシーを一つのフレームワークに統合し、脆弱性を減らし、規模での回復力を可能にする。-Justin Brooks,Zscaler
4. JIT認証と認可
IDセキュリティはゼロトラストアーキテクチャの最も重要な柱だが、一部ではそれを無視している。最も重要なコンポーネントは、特定のジャストインタイム(JIT)認証と認可の必要性である。誰かがアクセスを必要とする場合、静的な許可ポリシーを使用するだけでは不十分になっている。検証、認可、アクセス許可を行い、セッション終了時に権限を取り消す必要がある。-Omer Grossman,CyberArk
5. 継続的なアクセス検証
ゼロトラストセキュリティで一般的に見落とされるコンポーネントは、継続的なアクセス検証である。組織はしばしばユーザーを一度認証し、その後は信頼を前提としている。真のゼロトラストでは、行動、デバイスの健全性、コンテキストに基づく継続的な検証が必要であり、これがなければ企業は内部脅威や横方向の攻撃に対して脆弱なままである。-Abhik Sengupta,Hakkoda
6. NHIの追跡
私たちは世界中で150社以上のセキュリティ評価を行ってきた。その多くが盲点を過小評価していたのは事実であり、特に未知のものにゼロトラストを適用する場合に顕著である。そして2025年、その未知とはIDの拡散である:非人間ID(NHI)、AIエージェント、ボット、SaaSサービスがあらゆる場所で増殖している。あなたのデータにアクセスするすべてのNHIを継続的に追跡することは絶対に必要だ!-Santhosh Jayaprakash,Unosecur
7. バックドアアクセスの排除
多くの人が「ゼロトラスト」は本当にゼロトラストを意味するべきだということを忘れている—ベンダーや組織自体も含めて。バックドア(検査のための解読など)があるゼロトラストソリューションは、たとえそのバックドアがあなた自身のためだけに意図されていたとしても、真のゼロトラストとは考えられない。バックドアが存在すれば、いつか賢いハッカーがそれを悪用する方法を見つけ出し、ゼロトラストの概念全体を本質的に無効にしてしまう。-Federico Simonetti, Xiid Corp.
8. 継続的なID検証とデバイスの健全性監視
継続的なID検証とデバイスの健全性監視は、ゼロトラスト実装でしばしば見落とされる。多くの人が初期認証に焦点を当てているが、アクティブなセッション全体を通じたリアルタイムの信頼評価が重要である。リアルタイムのデバイス状態チェック、セッションベースのリスクスコアリング、コンテキスト対応のアクセスポリシーを実装して、初期アクセス後でも横方向の移動を防止する。-Karthik Mahalingam,Amazon.com
9. ハイブリッドクラウドワークロードの移植性
ゼロトラストセキュリティ戦略でしばしば無視されるコンポーネントの一つは、ハイブリッドクラウドワークロードの移植性である。今日、すべての組織が移行や災害復旧のためにクラウド間でワークロードを移植することを検討している。ワークロードの移植性に対応するために、ゼロトラストアーキテクチャでは移植性を考慮し、設計し、実装する必要がある。-Sameer Zaveri,Datamotive.io
10. ZTNAの早期開始
中小企業:緊急になる前に、ゼロトラストネットワークアクセス(ZTNA)を早期に開始しよう。リスクの低い一つのアプリで小規模なパイロットを実行し、シングルサインオン、多要素認証、基本的なデバイスチェックを導入する。フィードバックを収集し、サインインを簡素化する。四半期ごとにアプリを追加し、ヘルプドキュメントを更新し、VPNを最後に廃止する。この緩やかな導入はゼロトラストが必須になったときのショックを避け、信頼を構築する。-Alexander Britkin,NFWare
11. 人的リスクへの対応
攻撃ベクトルは長い間従業員に向けられてきたが、セキュリティはインフラに焦点を当てたままであることが多い。この問題を過小評価することは重大な間違いである—スタッフは情報漏洩による侵害の主要なリスク要因である。彼らを責めるべきではない—AIを活用した犯罪は誤りの余地をほとんど残さない。ゼロトラストは、システムやソフトウェアだけでなく、まず人から始めるように進化する必要がある。-Ivan Shkvarun,Social Links
12. 自動化の役割
組織はしばしばゼロトラストにおける自動化の役割を過小評価している。急速に進化する脅威の状況において、ID、アクセス、デバイスチェックを自動化することで一貫性と適応性を確保し、継続的なモニタリングを可能にし、人的ミスを減らすことができる。自動化は、手動プロセスやポイントツールでは対応できないギャップを埋める。-Eoin Hinchy,Tines
13. データファーストアプローチの採用
多くの人がセキュリティにデータファーストアプローチを取ることの重要性を見落としている。ゼロトラストでは常に検証が必要だが、インフラが侵害されるとこのモデルは失敗する。コンフィデンシャルコンピューティングは、機密データを安全なエンクレーブに隔離することでこのギャップに対処し、攻撃者が環境を侵害した場合でも保護を確保する。-Anand Kashyap,Fortanix
14. すべての相互作用に対する動的リスク評価
組織はしばしばゼロトラストセキュリティ内の継続的な検証を見落としている。内部脅威、侵害された認証情報、信頼されたネットワーク内での横方向の移動は、侵害が検出されないままになる場所であることが多い。真のゼロトラストとは、アクセスを獲得した後でも、すべての相互作用に動的リスク評価を適用することを意味する:ユーザー、デバイス、行動をリアルタイムで検証する。ゼロトラストは決して静的ではない。-Yinglian Xie,DataVisor
15. サードパーティおよびフォースパーティベンダーがもたらすリスク
組織はしばしばゼロトラストにおけるベンダーアクセスを過小評価している。多要素認証と最小権限の原則は運用を確保し、機密情報を保護するが、サードパーティおよびフォースパーティベンダーがもたらすリスクは過小評価されることが多い。すべてのユーザーに対して、安全な認証とスムーズなロールベースのアクセスのバランスを取ることで、生産性を低下させることなくリスクを軽減し、攻撃対象領域を縮小できる。-Fran Rosch,Imprivata
16. ゼロトラストを原則の集合として捉える
組織はしばしばゼロトラストを製品やプラットフォームとして考えている。実際には、セキュリティの設計、実装、維持方法に影響を与える一連の原則である。これを無視すると、単にマーケティングに乗せられただけで、ゼロトラストの利点を何も実現できないことになる。-Leonard Lee,neXt Curve
17. データレベルのガバナンス
ゼロトラストの重要だが見落とされがちな部分は、データレベルのガバナンスである。多くの人はネットワークやデバイスに焦点を当てているが、最大のリスクはデータパイプラインや分析に存在する。真のゼロトラストとは、すべてのクエリ、API呼び出し、ジョブがデータの機密性、ユーザーID、ビジネスコンテキストに対して検証され、データの深部で信頼を強制することを意味する。-Umesh Chauhan,American Express
18. データの回復力
ゼロトラストはネットワークから始まったかもしれないが、多くの人がその最も重要な拡張であるデータの回復力を見落としている。真のゼロトラストは、コントロールプレーン(アプリケーションと管理)とデータプレーン(データが処理・送信される場所)を分離する。すべてのステップで最小権限アクセスと明示的な検証を強制する場合でも、このデータ中心のアプローチはしばしば無視され、ゼロトラスト戦略に大きなギャップを残している。-Rick Vanover,Veeam
19. リモートワーカーと一時スタッフに対するPoLPアクセスの実装と強制
多くの組織は、リモートワーカーや一時スタッフに対する最小権限の原則(PoLP)の実装と強制の重要性を過小評価している。PoLPは、ユーザーと割り当てられたデバイスが、職務を遂行するために必要な特定のデータやアプリケーションにのみ、必要な期間だけアクセスできることを保証する。これに対処するには、ジャストインタイムと時間制限付きアクセスを使用できる。-Pulak De,Cardinal Health
20. AIシステムにセキュリティバイデザインを組み込む
「セキュアバイデザイン」は、現在の多くのAIシステムで大きく誤解されているか無視されている。AIを最初からセキュリティを統合して構築するのではなく、多くのチームはセキュリティを後付けとして扱い、設計段階で脆弱性を防止するのではなく、展開後に脆弱性にパッチを当てている。この反応的な考え方は、データ汚染、モデル反転、プロンプトインジェクション、悪意のある行為者による悪用などの攻撃にモデルをさらしている。-Vasanth Mudavatu,Dell Technologies
