誤解を正し、8つのポイントから真のゼロトラスト導入を考える

ここで重要な点は、それぞれの対策から流入する情報を制御するために、Policy Enforcement Point（PEP、単一のポリシー施行ポイント）を利用することです。安全で堅牢なゼロトラストを実現するために、企業がPEPに組み込む必要がある要素は、IDのほかに以下があります。
デバイス

ユーザーを理解するだけでなく、利用しているデバイスも把握することが重要です。ゼロトラストの仕組みでユーザーが完全に認証されていたとしても、利用するデバイスが侵害されていれば、依然としてセキュリティリスクが伴います。ゼロトラストでは、アクセスを許可する前に、企業デバイスと個人デバイスを区別し、デバイスの健全性、パッチレベル、セキュリティ構成を検査します。
位置

テレワークの普及により、ユーザーが多様な場所から自社のシステムにアクセスすることを、企業は想定しておかなくてはなりません。そのため、異常な傾向があれば警告を発するシステムが必要です。

例えば、あるユーザーがロンドンからログインしようとして、その1時間後には地球の反対側からログインしたのであれば、それを偶然の産物と考えてはいけません。高い確率でインシデントが発生していることを、フラグを立てて示さなくてはなりません。

アプリ

クラウドサービスの利用者が拡大していることにより、同じ機能を持つ競合アプリが多く存在します。セキュリティ部門は、企業として使用する特定のアプリをできる限り精査し、承認しなくてはなりません。場合によっては、データ損失のリスクを軽減するために、未承認のアプリケーションなどに高度な制御や制限を掛ける必要も出てきます。
インスタンスへの理解

それぞれのクラウドアプリ内には、さまざまな種類のインスタンスが存在します。例えば、多くの組織では、従業員がMicrosoft 365の個人インスタンスなどの個人用クラウドアプリを使用することを許可しています。しかし、企業の機密データが個人用アプリと共有されているようなケースでは、情報漏えいのリスクが出てきます。そのため、各アプリのインスタンスを理解しておく必要があります。
活動

ゼロトラストは、アプリケーション同士が対話する方法やデータにアクセスする方法にまで影響を与えます。単一ユーザーのセッション内であっても、アプリケーションがそのユーザーに代わって実行するアクションは、精査しなくてはなりません。
行動