米シスコが各社の信頼性評価に使用する枠組みを公開した。顧客やサプライヤーとの取り決めのようなものとして利用するとともに、他社にも追随してほしいと考えている。

「信頼できるプロバイダーとはどういうものかについて、業界の考え方を形成する一助となることを期待しています」。シスコの最高個人情報保護責任者（CPO）、Harvey Jang氏は言う。「やりがいのあることに、一貫した標準が今はありません」

「The New Trust Standard」（新しい信頼性基準）は、シスコが顧客のデータをどのように管理し、プライバシーをどのように維持するかについて顧客に概要を示したものだ。また、シスコはすべてのサプライヤーやベンダーに対し（Jang氏によるとその数は3,000社以上だという）、同標準を遵守するよう求めていくという。

また、今月1日、シスコは大手クラウド企業のAmazon、マイクロソフト、Googleなどが参加する業界イニシアチブ「Trusted Cloud Principles」に加わり、クラウド時代におけるデータプライバシーと人権の擁護を約束した。

Jang氏によると、ハイブリッドワークモデルに移行する企業が増え、顧客データの収集量も増えていることから、信頼性がますます重要になっているという。一方で、サイバー脅威が増加しているなか、顧客は企業各社に対し、顧客情報の安全性を確保するだけでなく、顧客のプライバシーを尊重し、データの収集・使用方法や顧客が直面しうる潜在的なリスクについて透明性を提供するという保証を求めている。

「New Trust Standard」に加えて、シスコは「コンシューマプライバシー調査2021」も発表した。12カ国2,600人の回答者が参加したこの調査の結果は信頼構築の枠組みにも影響を与えている。

「当社では、何千社ものエンタープライズ企業のお客様から長年にわたって学んできたことを1つにまとめようとしています。彼らが何を求めているのか、新しい信頼性の基準は何かということです」。Jang氏は言う。

シスコが提唱する信頼の5つの要素

シスコはこの目的のため、顧客の信頼を獲得・維持するために不可欠な5つの要素を明確にした。これらの要素には、人、プロセス、技術がすべて含まれる。1つ目はゼロトラストアーキテクチャだ。

「当社の新しい標準で中核となる考え方の1つにゼロトラストアーキテクチャがあります」とJang氏。「これはシスコに限ったことではありません。セキュリティ全般に見られる傾向です」

氏の説明によると、以前は既知のシステムやベンダーを暗黙のうちに信頼する傾向だったのが、信頼しつつも検証を行うやり方に変わり、現在はゼロトラストに移行したという。ゼロトラストとは1つの技術を指すのではなく、継続的に検証がなされているユーザーやデバイスのみが企業リソースにアクセスできるようにし、最小特権ベースでデータ利用を制限する枠組みだ。

「まず悪意のアクターであることを前提に、そうでないことを確認するための制御を入れるのです」。Jang氏は言う。

ゼロトラスト以外の4つの要素は、信頼できるサプライチェーン、データの保護とアクセス制限を行うデータガバナンス、企業が何のデータを収集しどう使用するのかについての透明性、第三者による監査を含む認証や規制の遵守だ。

独自の信頼性基準を導入したいと考えている企業にとっては、透明性に取り組むのが良い取っ掛かりになるとJang氏は言う。「収集しているデータを把握し、それを使って何をしているのか、そしてそのデータセットがもたらすリスクについても把握するのです――使用目的だけに注目するのではなく」と氏。「ほとんどの企業は法を守っており、善良な動機で活動しています。しかしさらに一歩踏み込んで、自社のしていることが意図しない結果を引き起こした場合、考えられる結果にはどのようなものがあるかを考えなくてはなりません」

Jang氏はエンジニアと仕事をする時には、最悪の敵がそのデータセットにアクセスできるとしたら、と想像してくれるよう頼むという。「彼らがこのデータを使ってあなたに危害を加えたり、窮地に立たせたりするにはどうすればいいか。悪役になったつもりで考えてみてください」

https://www.sdxcentral.com/articles/news/cisco-pushes-trust-standard-across-its-supply-chain/2021/10/