「ホワイトリスト化」とは、セキュリティチームにゼロトラスト原則と組織の存続のどちらかを選ばせる手法だと報告書は主張している。
セキュリティチームは合理的な判断を下しているのではなく、プレッシャーの下で制御を行使している、と報告書の著者らは付け加えている。
ホワイトリスト化は、ネットワークアクセス管理だけでなく、セキュリティチームにこの2つの手法のどちらかを選ばせることで、メールセキュリティアーキテクチャに永続的な例外を生み出しているのだ。
ホワイトリスト化とは、アクセスが永続的ではなく、無期限に維持されるわけではないことを意味する。
また、ルールによってブロックが制限されている場合でも、可視性を制限する。
監査は合格する。
しかし、その影響は複雑化する。
コメント