ゼロトラスト導入に向けた組織の準備状況の評価 - AWS 規範ガイダンス
リーダーシップの連携とコミュニケーションスキル開発とトレーニング組織構造と役割IT インフラストラクチャとアーキテクチャリスク管理、ガバナンス、変更管理モニタリングと評価セクション概要

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

ゼロトラスト導入に向けた組織の準備状況の評価

新しいアーキテクチャ戦略を採用することは、慎重な計画と組織の要因の検討を必要とする重要な作業です。このセクションでは、全社でゼロトラストを採用するための組織の準備状況に関する重要な考慮事項に焦点を当てます。これらの考慮事項に取り組むことで、組織はより強力で効果的なセキュリティ対策への道を開くことができます。

リーダーシップの連携とコミュニケーション

ゼロトラストをうまく実施するには、リーダーシップの連携とコミュニケーションが不可欠です。リーダーシップは、ゼロトラストの利点と必要なリソースを理解する必要があります。また、リーダーは組織の文化やプロセスを積極的に変えていかなければなりません。信頼を築き、賛同してもらうには、従業員とのコミュニケーションが不可欠です。従業員は、なぜ組織がゼロトラストを導入しているのか、それが彼らにとって何を意味するのか、どのように協力できるのかを理解する必要があります。コミュニケーションはオープンで、透明性があり、継続的である必要があります。

リーダーシップの支援と賛同

ゼロトラストアーキテクチャ (ZTA) の導入を成功させるには、アーキテクチャの目標、メリット、成功の尺度について、主要な利害関係者と経営陣の足並みを揃えることが重要です。従来の境界ベースのセキュリティから、よりきめ細かなユーザー中心のアプローチに移行することで、セキュリティを強化し、ビジネスの俊敏性を実現する上で、ゼロトラスト原則の重要性を共有します。このアプローチに切り替えることで、組織は変化や脅威により迅速に適応できます。経営陣が連携することで、組織の雰囲気を整え、変化に対する潜在的な抵抗を克服することができます。

透明性の高いコミュニケーション

ゼロトラストの導入プロセス全体を通じて、従業員とのオープンで透明なコミュニケーションを維持します。導入の根拠、利点、期待される結果を説明し、懸念事項に迅速に対処します。実施の進捗状況を定期的に更新します。これにより、賛同が増え、抵抗が減り、信頼が築かれます。

スキル開発とトレーニング

リーダーシップが合意し、コミュニケーションがオープンになったら、ゼロトラストを導入する従業員がスキルと知識を身に付けることが重要です。これには、ゼロトラストの原則の理解、業務への実装方法、セキュリティイベントへの対応方法などが含まれます。従業員がこれらのスキルを習得できるように、トレーニングと能力開発の機会を提供してください。

クラウドに関する知識とスキル

クラウドテクノロジーとゼロトラストの原則に関する組織のスキルと知識のギャップを評価します。従業員のスキルを向上させ、クラウド中心のゼロトラスト環境で効果的に働くために必要な専門知識を身に付けるためのトレーニングと能力開発プログラムを提供します。進化するテクノロジーやセキュリティ慣行に遅れずについていくために、継続的な学習の文化を育んでください。

セキュリティ文化と意識

組織のセキュリティ文化を評価します。従業員のセキュリティ意識のレベル、セキュリティのベストプラクティスに対する理解、ポリシーと手順の順守状況を評価します。セキュリティに関する知識のギャップを特定します。ゼロトラストの重要性と安全な環境を維持する上での役割について従業員を教育するために、セキュリティ意識向上トレーニングプログラムの実施を検討してください。

組織構造と役割

ゼロトラストの実装を成功させるために、効果的な組織構造と役割を確立します。これには、Cloud Center of Excellence (CCoE) の設立、セキュリティ運用のレビューと変更、脆弱性管理、インシデント対応、セキュリティモニタリングの役割と責任の割り当てが含まれます。

Cloud Center of Excellence

CCoE を確立して、クラウド運用のガイダンス、ベストプラクティス、監督を行います。CCoE は、クラウド関連のベストプラクティス、ガイドライン、ガバナンスポリシーの作成と実施を担当するチームまたは個人のグループです。CCoE にさまざまな事業部門や IT チームの代表者が参加して、コラボレーションと連携を確保します。CCoE は、クラウドホスト型のワークロードへのゼロトラストの原則の導入を促進する上で重要な役割を果たします。組織全体での知識共有を促進するのも、CCoE の役割です。

セキュリティオペレーション

ゼロトラスト環境のニーズを満たすには、現在のセキュリティ運用組織を見直し、修正します。モニタリング、インシデント対応、脅威インテリジェンス機能を向上させるには、セキュリティオペレーションセンター (SOC) またはマネージドセキュリティサービスプロバイダー (MSSP) の導入を検討してください。脆弱性管理、インシデント対応、セキュリティモニタリングの役割と責任を確立してください。軽微なセキュリティイベントを迅速に検出して修正し、一連のイベントを中断させるには、インシデント対応プロセスを適切に機能させることが不可欠です。これにより、軽微なイベントがより影響の大きいイベントに発展するのを防ぐことができます。

IT インフラストラクチャとアーキテクチャ

会社の IT アーキテクチャとインフラストラクチャを調べて、ゼロトラストアプローチの導入に影響する可能性のある制約や依存関係がないか調べます。現在のアプリケーションやシステムが、必要なゼロトラストアーキテクチャコンポーネントと互換性があるかどうかを判断します。ゼロトラスト原則の導入を成功させるためには、インフラストラクチャの改善や調整が必要かどうかを分析します。アプリケーションまたはシステムごとに、ゼロトラストを現場で実装するのが最適なのか、それとも大規模なモダナイズ努力によって実装するのが最善なのかを検討してください。

リスク管理、ガバナンス、変更管理

ゼロトラストの実装を成功させるために、効果的なリスク管理、ガバナンス、変更管理のプロセスを確立します。これには、リスク管理とゼロトラスト原則との連携、インシデント対応計画の策定、法務部門やコンプライアンス部門との協力、変更管理プロセスの確立などが含まれます。

リスク管理

自社で実施されているリスク管理戦略を調べ、それがゼロトラストの原則にどの程度準拠しているかを判断してください。現在のインシデント対応システム、セキュリティ対策、リスク評価手順の効率性を分析します。ゼロトラスト戦略に準拠するために改善が必要な分野を特定します。解決までの時間を短縮するために、自動インシデント対応システムまたは継続的なモニタリングと分析のフレームワークの開発に取りかかってください。

変更管理プロセス

クラウド関連のすべての変更がセキュリティとコンプライアンスの要件を満たすようにするために、効果的な変更管理方法を確立します。セキュリティ構成分析、リスク評価、承認、文書化を含む体系的な変更管理手順を確立します。ゼロトラストアーキテクチャの完全性を維持するために、更新を頻繁に確認して監査してください。

モニタリングと評価

ゼロトラストの実装を成功させるには、組織はセキュリティ体制を継続的にモニタリングし、評価する必要があります。これには、重要業績評価指標 (KPI) の確立、KPI のモニタリングと評価、継続的改善の文化の促進が含まれます。これらのステップに従うことで、組織はゼロトラストの実施を成功させ、常にセキュリティの向上に取り組んでいることを確認できます。

重要業績評価指標

適切な重要業績評価指標 (KPI) を確立して、ゼロトラスト導入の成功と有効性を評価します。これらの KPI により、ユーザー満足度、設備と展開の進捗状況、コスト削減、コンプライアンス順守、セキュリティ手段の発生回数を測定する場合があります。全体的な開発状況を把握し、改善の機会を見つけるために、これらの KPI を定期的にモニタリングして評価します。

継続的な改善

ステークホルダーから意見やインサイトを引き出すシステムを確立することで、継続的な改善の文化を育むことができます。クラウド環境のセキュリティ、有効性、ユーザーエクスペリエンスを改善するための考えや提案を共有するよう、スタッフに促します。この意見を手順の効率化、セキュリティ対策の改善、イノベーションの促進に役立ててください。

セクション概要

このような組織的および文化的な考慮事項に対処することで、組織はゼロトラストのセキュリティモデルのクラウド導入を支援する環境を促進できます。次のセクションでは、段階的な導入アプローチを検討し、ゼロトラストの原則を実用的かつ管理しやすい方法で徐々に実装する方法についてのガイダンスを提供します。