最近「ゼロトラストアーキテクチャ入門」という本を読んでいるのですが、この中で「ゼロトラストを全面採用している企業の多くが、IT企業や新興企業にとどまっている理由」について書かれておりました。
なぜ長い歴史を持つ企業の多くが、境界型セキュリティを踏襲しつつ、部分的にゼロトラストっぽい実装をするにとどまっているかについてです。
この本の筆者の考えでは以下の通りでした。
これはゼロトラストが優れた概念でありながら、実際にそれを企業が実装するためのテクノロジーやアーキテクチャに関する共通認識が、セキュリティ業界とIT業界全体で作られなかったことが主な理由であると筆者は考えています(以下略)
これは非常に自分のなかでしっくりくる理由でした。
私の感覚値ではありますが、SIerがしっかり入っているような昔ながらの企業では、EDRやCASBの導入など部分的に製品を追加するだけで、ゼロトラストを参考にして全体アーキテクチャの見直しを行っている企業は稀だと思います。
これはSIerにゼロトラストを理解しているエンジニアが少ないこと(そもそも提案ができない)、また「ゼロトラスト」という言葉が単なるマーケティング用語として業界で使われてしまっていることによると思います。
多くのセキュリティ製品ベンダーは「ゼロトラスト」という言葉を使って自社製品を売ることに注力しており、ゼロトラストのアーキテクチャ全体を示しつつ、この製品の守備範囲はここですというメッセージを発信しているセキュリティ製品ベンダーはごく一部だと思います。
残念ながら今現在、ゼロトラストについて理解し、実装できるベンダーはかなり数が限られており、大手のベンダーだから実装できるというわけでもなさそうに感じます。
ゼロトラストについて勉強するにあたり、私が参考になったのはクラウドネイティブさんのYouTubeです。いまでも時折参照しています。