[00:00:00] ジェームズ・クリスチャンセン: つまり、リーダーになるには革新者になる必要があると思います。現状に挑戦し続けなければなりません。昨日の考えに挑戦し続けなければなりません。私たちが実際にチームとして座り、同僚の意見に耳を傾け、その意見と彼ら自身のコストを考慮してこれらの原則を実際に開発し、これまでのやり方に疑問を投げかけ、このデジタル化が私たちと私たちの組織をどのように変えるのかを真剣に考えたのです。
[00:00:34] プロデューサー: こんにちは。Netskope の最高セキュリティ責任者兼最高戦略責任者である Jason Clark が主催する「セキュリティ ビジョナリー」へようこそ。この番組では、Netskope の副社長兼最高情報セキュリティ責任者である James Christianson 氏の話をお聞きいただきました。James のような世界レベルの実践者や思想的リーダーから、ネットワークとクラウド セキュリティの分野でどのようにトップの地位を維持しているかについてお話を伺います。これから、セキュリティ変革の原則に関する 2 部構成のディスカッションの後半をお聞きいただきます。このパートでは、Jason と Erick に加え、Netskope の副社長兼最高情報セキュリティ責任者である James Christianson も参加します。Netskope の副最高情報セキュリティ責任者 James Robinson 氏と、Netskope の最高情報セキュリティ責任者 Lamont Orange 氏。以下のディスカッションとセキュリティ ビジョナリーのポッドキャストは、セキュリティ変革プレイブックの一部です。このプレイブックは、Netskope と業界で最も先進的なリーダーたちが今日のセキュリティにおける最も重要な問題を調査した新しいリソース セットです。本題に入る前に、スポンサーからの短いメッセージをご紹介します。
[00:01:38] スポンサー: Security Visionaries ポッドキャストは Netskope のチームによって運営されています。Netskope は SASE のリーダーです。今日のビジネスのスピードに合わせて、高速なデータ中心かつクラウド スマートなユーザー エクスペリエンスを提供するために必要なすべてを提供します。詳細については、 Netskopeをご覧ください
[00:01:57] プロデューサー: では、早速、ホストのジェイソン・クラークによるセキュリティビジョナリーの第 2 話をお楽しみください。
[00:02:05] Jason Clark: 前回のエピソードでは、Erick と私はセキュリティ変革プロジェクトの起源について話し、将来に向けて取り組むべきいくつかの原則があることを説明しました。今日は特にこの 10 の原則について詳しく説明します。それで、まずはエリック、ルディアックが参加します。エリック、お元気ですか?
[00:02:24] エリック・ルディアック: こんにちは、ジェイソン。戻って来れて嬉しいです。ご参加いただき誠にありがとうございます。
[00:02:29] ジェイソン・クラーク: 来てくれて嬉しいです。そしてラモントオレンジ。
[00:02:31] ラモント・オレンジ: ジェイソンさん、番組に出演させていただきありがとうございます。会話を楽しみにしています。
[00:02:36] ジェイソン・クラーク: そしてジェームズ・ロビンソン。
ジェームズ・ロビンソン: こんにちは。ここに来られて嬉しいです。ありがとう。
ジェイソン・クラーク:そしてジェームズ・クリスチャンセン。
James Christiansen: さあ、ロックンロールしましょう!
Jason Clark: 皆さん、ようこそ。会話へようこそ。皆さん調子はどうですか?準備はいいですか?
ジェームズ・ロビンソン: 準備はできています。やってみましょう。
ジェイソン・クラーク:素晴らしいですね。ラモントさん、あなたは、ええと、今朝、ええと、すでにパネルディスカッションのステージに上がっていたと知っています。あなたはこの会話に急いで参加しなければなりませんでした。ありがとうございます。でも、連続して行うのはおそらく簡単で楽しいでしょう。
[00:03:06] ラモント・オレンジ: そうですね。喜んで。
[00:03:09] ジェイソン・クラーク: ご存知のとおり、私たちは過去 2 年間にわたって一緒に取り組んできました。本当に業界と同じですね。何百回もの円卓の夕食会やワークショップ、アンケート調査や一対一の会話に時間を費やしてきました。収集しようとしています。セキュリティの将来はどうなるのでしょうか?そして、この新しい世界では、ある種のデジタル変革がまさに起こっているのです。右。あらゆる組織向け。セキュリティは、私たちが取り組んでいるこの逆さまの世界のようなもので、セキュリティ チームは信じられないほどに追い詰められています。右。そして、追いつこうとしています。それで、彼らはどのようにパフォーマンスを発揮し、影響力を獲得できるのでしょうか。この新しいモデルですよね?なぜなら、彼らは明らかにストレスを感じており、レガシーなテクノロジー アーキテクチャを検討しているからです。そして最終的に、過去 25 年間、あるいはそれ以上この業界で働いてきた私たちのこれまでのやり方について、将来に向けた 10 の原則について一緒に時間を費やしました。右。そして、セキュリティ変革プレイブックの残りの部分は、20 年、25 年、さらにそれ以降までに達成する必要がある場合に何をするかという部分です。皆さんはこれに多大な貢献をしてきましたよね?ですから、皆さんそれぞれが、私たちが彼らと話すときに、それぞれの原則についての背景や、会話の中で得た経験などを話してくれることを期待しています。私たちが行ったこれらの会話は、おそらく 1,000 人以上の CISO や CIO との会話の中でのことでした。これについては。右。しかし、CISO としてのこれまでの経験、つまり他の組織を運営してきた経験においても、CISO は過去について書き、未来へと進んでいきます。それで、それでは、原則的なところから始めたいと思います。 第一の原則は、既存のすべての原則に挑戦すること、ですよね?では、過去のどのような原則に挑戦する必要があるとお考えですか?
[00:05:04] ジェームズ・クリスチャンセン: ええ、本当にそう思います。私は常にあらゆることに挑戦します。毎日思っています。つまり、リーダーになるには革新者でなければならないと思います。現状に挑戦し続けなければなりません。昨日の考えに挑戦し続けなければなりません。そして、私たちが話し合ったときに実際にやったことはまさにそれだったと思います。そして、チームとして同僚の意見に耳を傾け、その意見と自分たちの考えを合わせてこれらの原則を実際に発展させていくことは、現状に挑戦することと同じでした。 これは、これまでのやり方に疑問を投げかけ、ビジネスのデジタル化が私たち自身や組織にどのような変化をもたらしているのか、そしてどこからでも仕事ができるという急速な変化が、私たちが求めている仕事にどのような影響を与えているのかを真剣に考えることです。
[00:05:51] ジェイソン クラーク: 「壊れていないものは直さない」という原則についてはどうでしょうか。
[00:05:54] ジェームス・クリスチャンセン: そうです。わからない。私はいつも物事を壊すのが得意なので、この質問をするのに適任ではないと思います。
[00:06:00] ラモント オレンジ: デジタル変革について考えると、正直言って、もう手遅れかもしれません。もう壊れてるよ。組織をどのように前進させたいかという観点から、組織はすでに壊れており、攻撃者からの攻撃が依然として増加しているため、修復が必要であると言わざるを得ません。彼らは今も成功しており、しかもその成功速度は速いです。だから、戻って考えなければなりません、それはすでに壊れています。今、どうやって種を植えて前進していくのか?
[00:06:32] Jason Clark: ジェームズ、あなたは製品セキュリティとアプリケーションの専門家ですね。そして私の見解では、あなたは非常に長い間、非常に大規模な組織のためにそれをやってきたのです。さて、校長はどのように交代するのでしょうか?アプリ セキュリティ、製品セキュリティ、またはソフトウェア パイプラインの観点から。
[00:06:50] ジェームズ・ロビンソン: そうですね、頭に浮かんだのは、信頼と検証という原則で、これもまた別の原則に結びついていると思います。これは、私たちが製品セキュリティの AppSec ドメイン全体を通じて長い間頼ってきた原則でした。そして今、その点は本当に多くの挑戦を受けていると思います。それは実際、非常に心地よい原則でした。ええと、私が長年頼りにしてきたものが、今では完全に壊れ、完全に挑戦を受けており、ゼロ トラストの原則とそれが独自のものであることについて多くの会話があることを知っています。しかし、実際にはゼロ トラスト アーキテクチャなのです
[00:07:24] Jason Clark: いい指摘ですね。「信頼するが、検証する」が「ゼロ トラスト」に変わりました。右?それは非常に良い点ですね。これが原則2です。ブラック ボックス ソリューションの購入をやめて、オープンで統合されたソリューションを購入してください。つまり、一般的にベンダーは多くのテクノロジー企業を買収し、それらを統合してきた、あるいは統合したと主張している、と言いたいのです。しかし、一般的には、統合は価格表と営業担当者があなたに販売することです。それで、全体として、業界がテクノロジーを調達する方法をどのように変える必要があるかについて、皆さんの見解をお聞かせください。
[00:07:59] ジェームズ・ロビンソン: まず最初にこの件についてお話しします。これは、実は私がラモントと社内でよく話し合っていたことなのです。えっと、それがそのアイデアです。私はオープン、つまりオープン NDR、オープン XDR、オープン クラウドという考え方が大好きです。そうですね、そういった類のものは、ご存知のとおり、ほぼ第一の要件として実現できなければなりません。いろいろな意味で、多くのものの合計は 1 つの合計よりも優れていることはわかっています。ブラック ボックスを購入した場合、得られるのは 1 つの合計、またはいくつかの合計です。つまり、オープンになることでそのインテリジェンスを構築する必要があります。まさにそこが重要なのです。私は、あなたが、ええと、それらのいくつかのうちの、ええと、私たちが話したのはたった 2 つだけだということは承知していますが、今のところ、これは私にとって、私たちが課題などについて話し合った原則 1 よりもおそらく上位にランクされています。これは、ご存知のとおり、これがコアです。私たちが将来成功するためには、
[00:08:54] ジェームズ・クリスチャンセン: 私はジェイソンです。これまでのキャリアを通じて、最高品質の製品を数多く購入してきました。ご存知のとおり、私たちは、私が働いていたような、非常に積極的な企業を積極的に追いかけていましたが、今日の世界では、最善のプラットフォームに目を向けなければなりません。これらすべての異なるソリューションを管理するのに必要な人員を雇用する余裕はありません。そして、それが組織にもたらす複雑さは、人為的なエラーやパッチ、適用されたバージョンの取得や更新が行われないことにつながります。そのため、私は思考プロセスを最高のプラットフォームから離れ、最高のプラットフォームを検討し始める必要がありました。 さて、最初の会話でおっしゃったように、最も緊密な統合を実現できるのは、偏った数字を持つ人ではなく、本当の問題を解決できる真に統合されたプラットフォームでなければなりません。
[00:09:50] Jason Clark: では、Erick さん、オープン性と統合性について何かご意見はありますか?今後私たちが購入するすべてのソリューションは、過去に調達したブラックボックスのようなものと比べると、エコシステムの一部となるべきなのです。
[00:10:03] エリック・ルディアック: そうです。素晴らしい質問ですね、ジェイソン。オープン性と統合性について、そしてそれがなぜそれほど重要なのかを考えると、私たちのシステムは非常に相互に関連していることがわかります。システムの複雑さと相互接続性などの可視性を作成するための API がない場合、1 つの防御システムからの信号を他の防御システムが利用できるようにして、攻撃者のいる場所に最も近い場所での対応を調整できるようにし、一貫したユーザー エクスペリエンスを実現する必要があります。うーん、そして、ディフェンダーにとって、それを管理するのは非常に難しくなります。そして率直に言って、統合されたオープンなシステムをまとめ上げるには、無駄な労力と複雑さが伴い、それが彼らにとって優れたパターンとなるのです。
[00:10:51] ジェイソン・クラーク: 素晴らしい答えです。大好きです。したがって、原則 3 では、セキュリティ エコシステム全体と統合される基礎テクノロジーに重点を置いています。それで、まずラモントさんから伺います。ご存知のとおり、あなたはグリーンフィールド セキュリティ プログラムを構築する機会がありました。 それを右から見ると、それは何を意味するかお分かりでしょう。最初に構築したスタックは何でしたか?このグリーンフィールド インフラストラクチャを構成する 5 つのコアとなる基盤テクノロジーは何でしたか?
[00:11:16] ラモント・オレンジ:これは非常に重要な質問だと思います。セキュリティがあなたを通して行わなければならない変革について話すとき、それを検討する必要があるからです。重要なのは、スタックにどのようなツールが含まれているかだけでなく、どのような機能が必要か、そしてそれを結果とより一致させることです。これが私が望んでいた最初の機能だと言えます。視認性についてです。何が起こっているのかを把握し、組織のリスク レベルに影響を与え、それを制御する制御を導入する必要がありました。また、何が起こっているのかを理解するのに役立つツールは、SaaS、IaaS、PaaS テクノロジだけでなく、レガシー アプリケーションの使用状況を確認するツールでもあり、ユーザーの ID も考慮する必要があります。多くの企業は、複数の IDP を抱えているため、アイデンティティ管理に苦労しています。生産システムであろうと、企業システムであろうと、それらの ID の管理者は複数存在します。そして、あなたがやりたいことは、その周りに何らかのガバナンスを設けることです。したがって、アイデンティティは私が重点を置いたもう一つの領域でした。次に、データ保護について考えます。そうです、私たち全員がデータを保護するために取り組んでいます。それは悪役にとっての最高の宝物です。私たちが所有する貴重なデータは何か、また保護したいデータは何かを理解する必要があります。そして、それがどこに向かっているのか見てみましょう。したがって、ユーザーからアプリ、エンドポイントまでのデータ保護を理解する必要があります。したがって、XDR、NDR、そして私たちが前面に出すものすべてに対してオープンであることについての James Robinson のコメントに立ち返る必要があります。DR 機能については、そのデバイスの構成や、そのデータを使用する可能性のある組織についても理解する必要があります。 そして、組織の規模拡大を支援するために非常に重要だと考えるもう 1 つの機能があります。ええと、グリーンフィールドを検討している場合、構成の自動化とオーケストレーションを管理できるものが必要です。これらは 1 つの領域に留めることができるソリューションですが、効果を発揮するには次の 3 つの機能が必要です。
[00:13:29] Jason Clark: Erick、基礎的なテクノロジーに関する原則について教えてください。ご存知のとおり、他の組織に移ったのです。そして今、CTOとして、セキュリティに関するエコシステムの観点から、この点について何かご意見はありますか?
[00:13:43] Erick Rudiak: いくつかあります。 つまりアイデンティティは一つです。ええと、ご存知のとおり、私は、システム内の人々が、回線の向こう側にいる人間が誰なのか、または別のシステムが連携しているシステムが誰なのかについて、さまざまなレベルの主張を行えるという観点から考えています。つまり、多要素からディレクトリ サービスに至るまですべてを網羅することになりますが、これを正しく行うことが絶対に重要です。データ保護、保存中のデータと移動中のデータの可視性を確保するという点では、私はラモント氏の意見に同意します。もう 1 つは、最近では特に面白いことではありませんが、暗号化と構成管理のごく基本的なことです。構成管理について考える際には、構成ドリフトのゴールデン ビルド、システム強化、そして脆弱性管理の両方を組み込むことになります。私はこれをそのクラスのインスタンスだと考えています。それを全部まとめたようなものです。これらは、私が所属するどの組織でも、間違ったことをしたときの憤りの要因となる基本的なブロックとタックルが管理され、最小限に抑えられているという保証を、私が自分自身で最初に求めた場所の 1 つです。
[00:15:04] ジェイソン・クラーク: わかりました。したがって、原則 4 では、クラウドを活用した新しいテクノロジーのみを購入します。右?したがって、基本的に購入するものはすべて、クラウド対応またはクラウド生まれのクラウドパワーである必要があります。ご存知のとおり、ガートナー社の論文があります。それは。セキュリティの未来はクラウドにあります。このツアー中に、クラウドはセキュリティ プログラムにとって最適なリセットである、という一文がありました。だって、新鮮な気持ちで物事を始められるから。 皆さんにとって全体的に、この原則について、そしてなぜ私たちがこれを書いたのかについて、皆さんがどう思うか興味があります。
[00:15:34] ジェームス・ロビンソン: 原則としては良いと思います。私たちが活用し、顧客に対応するには、社内でよく言っていることの 1 つは、顧客が現在いる場所、つまり、顧客がクラウド内にいるか、クラウドに移行しているか (顧客がこれからクラウドに移行するのがさらに良い) を把握し、その場所に対応することです。この原則を採用する必要があります。それは、あなたが見ているあらゆるものの基礎となる要素でなければなりません。知ってる?そして、もしそれがクラウド支援であれば、検討してみるのも良いでしょう。たとえば、クラウド支援 EDR などです。はい、正しくやってください。エンドポイントに何かがなければなりません。すべてがクラウドになるわけではありませんが、ネットワーク スタック上のもの、アプリケーション スタックやサーバー スタック内のもの、その中間にあるものなど、あらゆるものに対して、この原則を必ず適用する必要があります。
[00:16:17] ジェームズ・クリスチャンセン: ジェイソン、これは私がこれまでのキャリアで経験した 3 回目の大きな変革であり、テクノロジーとセキュリティ、そしてメインフレームからクライアント サーバーへの移行です。次に、クライアント サーバーからクラウド対応システムへ。そして今、ビジネスデジタス、デジタル化によって、私たちはこうした変革を目の当たりにしており、それに抵抗し、認識しなければ、ますます遅れをとることになると私は思います。クラウドとクラウドの有効化について考え始めると、私は毎年、300 人から 400 人という多くの CISO と話をすることになります。そして、彼らの計画が何であるか、 SASE登場やセキュア サービス エッジをどう見ているかについて話し合うとき、定義を見始めます。 私が組織との仕事を始めて、彼らがどこにいるのかを探し始めたとき、彼らはすでに道のどこかにいます。 彼らは、はしごのずっと下の方にいるかもしれませんが、すでにその道を歩んでいます。つまり、私たちが最も頻繁に登場するセキュリティ担当者であり、これが進むべきパターンであると認識しているということです。 これが方向です。私が目にする唯一の新しい投資は、実際には再生可能エネルギーだけです。 なぜなら、彼らは新しいクラウド対応テクノロジーに十分な速さで移行できないからです。しかし、ご存知のように、人事プロセスとテクノロジーの観点から見ると、これら 3 つの点すべてにおいて、これらのクラウド テクノロジーでの作業方法を従業員にトレーニングすることが重要だと考えています。それは、それらや物事をサポートするプロセスを構築し、最終的にテクノロジーを実装して、人々やプロセスが今日必要なレベルの制御を提供できるようにすることです。しかし、ビジネスは確かにそこに向かっています。私たちは、ビジネス界とセキュリティ専門家として、その動きが加速しているのを目の当たりにしてきました。
[00:17:59] Jason Clark: つまり、結局のところ、あらゆる企業がそこに進出しているので、セキュリティはデータが存在する場所、そしてビジネスが存在する場所になければなりません。また、モバイルワーカーがいる場合は、データセンターからだけでは対応できないため、そのワーカーのセキュリティを確保するためにクラウドを活用する必要があります。最も単純な形式では、スケールのてこ比を変えるだけです。
[00:18:18] ジェームズ・ロビンソン: ジェームズの言ったことは素晴らしいと思います。メインフレームからクライアント サーバーへの移行について話していたとき、私たちはその大きな変化を目の当たりにしました。もし誰かがその一部であるなら、私は間違いなくそれを見たし、私もその一部でした。そして、それが起こるのを見ながら、もしその移行を行わなかったら、あるいはその移行を行ったとしても、クライアント サーバーでそれらのコントロールを維持し、メインフレーム経由で配信するのがどれほど大変だったかを思い出しながら、まだ維持し続けることができるのか想像できませんでした。 それはほとんど不可能でした。実際、それは不可能でした。だからこそ、誰もが方向転換し、市場が変化するのを目にしたのです。
[00:18:49] ジェイソン クラーク: 次は原則 5 です。潜在的に、他の多くのものよりも重みがあります。データどこでもフォローしたセキュリティ管理でビジネスデータを守ります。 右。つまり、私にとって本質的には、これはセキュリティの壮大な戦略であり、多くの企業や組織にとってセキュリティが存在する理由なのです。右。情報を保護しているだけです。それで、ちょっと話しましょう。これを原則と名付けたのには理由があります。なぜなら、歴史的に人々はデータ保護に関して十分に成熟していないと感じていたと思うからです。それで、エリックさん、なぜこれを原則として確立したのか、そして人々がデータ セキュリティやデータ保護に対する見方をどのように変える必要があるのかについて、どうお考えですか?
[00:19:34] エリック ルディアック: そうですね、ジェイソン、これには 2 つの要素があると思います。1 つの見方は、セキュリティ業界には、業界自身と対立する交渉をしてきた歴史があるということです。このような制御については、このデータは私たちのデータ センターに保存され、境界制御によって保護されているが、クラウドに移行したいと考えているが、クラウドには同じような機能がない、しかし、クラウドは非常に魅力的なので、それほど受け入れない、と言っています。 うーん、つまり、この原則を見る一つの方法は、それらは相互に排他的ではないということです。データがどこに保存されるかに関係なく、コントロールが重要であるという、このような基本的な考え方については決して妥協せず、受け入れることが重要です。なぜなら、攻撃者は世界をそのように見ていないからです。つまり、それは事業を行うためのコストの一部なのです。それは、ご存知のとおり、機密データを扱う経済性の一部です。ですから、あなたが売買しているデータの所有者に対する義務は変わりません。ある環境から別の環境にデータを移動することを許可した場合。これを別の角度から見ると、これは非常に野心的なことだと言えます。ですから、脅威モデリングを行ったことがある人なら誰でも、その指針を見て、「ジェイソン、私がこれをしたり、ステガノグラフィーを使ったり、 秘密チャネルを使ったり、あるいはMITRE攻撃フレームワークから好きな行と列を選んだりすると、きっとデータを保護することはできないだろう」と言うでしょう。 うーん、そして私は、野心的に、ノーと言うことは私たちにとって挑戦だと思っています。そうです、私たちは管理者としての義務を再確認し、データがどこに送られてもそれを把握できるようにするような管理策を導入するつもりです。私たちは、攻撃者がこれらのよくあるパターンを使用することによって勝つことができないということを制御することを主張するつもりです。
[00:21:42] ジェイソン・クラーク: そうです。それは、ええと、それは、ええと、ご存知のとおり公平です。ユーザーとデータに追従するコントロールを実現できれば、それは至福の時です。特に、そのために多額の投資をする必要がないときはなおさらです。原則 6: セキュリティ戦略を適切に策定する際には、ビジネスとリスク報酬を優先します。あるいは決断。右。そして戦術を構築するなど。右。つまり、本質的にはビジネスは常に変化していたということですね。したがって、トレードオフは常に発生しており、その決定を下すにはビジネスに常に注意を払う必要があります。右。ただし、有効にしてください。そして、ご存知のとおり、私はその言葉が大好きです。これは摩擦をなくすことではないですよね?それはビジネスにとって適切な量の摩擦です。それで、興味深いのは、ジェームズ、皆さんそれぞれが、クリスチャンセン、その原則についてのあなたの考えから始めるといいと思います。
[00:22:29] ジェームス・クリスチャンセン: そうです。これは、私にとっては重要なことです。なぜなら、より成功する CISO が増えるからです。保護されたデータを止めることに重点を置いていません。彼らはビジネスを可能にすることに重点を置いており、ビジネスがリスクと報酬の適切なバランスを見つけられるようにすることの役割を理解しています。右。どちらかに偏りすぎては、会社と株主の価値を高めることができません。自分の役割を果たす必要がありますが、それはビジネスを可能にすることです。そして、変化という観点から、そして物事がどれだけ速く変化するかという観点から、これについて考えてみると。私は、セキュリティ戦略における 7 つの力について真剣に考えています。これらの力は絶えず変化しているため、注意を払う必要があります。そして、それらが変化するにつれて、その変化に合わせて、それが自分のストレスにどのような影響を与えているかを考える必要があります。それは、私が計画していたことと今やるべきことの間に本当に違いをもたらすのでしょうか。そして、7 つの力については、最近ホワイト ペーパーを公開しましたので、ぜひ読んでいただきたいのですが、会社の文化や合併、買収が変化する可能性があるようです。 文化はさまざまな点で変化するかもしれません。それで、経済や経済勢力、政府勢力、紛争など、直接は関係ないけれども全体的な安全保障戦略に影響を及ぼすものに対する見方はどのように変わるのでしょうか。そして、それらが変化するにつれて、組織として機敏に対応する必要があります。ビジネスに対応するには、迅速かつ効果的にシフトできる必要があります。これは、実現することが目的であることを忘れないでください。 ビジネス、それは常に心に留めておくべきものです。
[00:24:16] Jason Clark: 他には、James、Erick、Lamont などが、ビジネスのリスクと報酬の優先順位付けについて言及しています。
[00:24:23] エリック・ルディアック: この 1 年半で何が起こったかを考えてみると、昨年 3 月 13 日に目が覚めたとき、年間損失予想曲線はすべてひどいものだったのです。つまり、ALE に関してまったく新しいリスクとまったく新しいリスク報酬のニーズが注入されていたため、それらは根本的に欠陥があったのです。10 年前の私たちの業界の状況を考えると、私たち専門家の多くは、10 人を守るために 1,000 ドルも費やすべきではないと言うでしょう。そしてそれ以来何が起こったかというと、経営幹部レベルの同僚たち、つまり我々を統治する取締役会が、はるかに洗練されてきたと思います。そのため、セキュリティ専門家として、私たちは企業のリスク許容度を理解することを期待しています。そして、CISO として、損失予測曲線がリスク許容度とどの程度一致しているかを見てみましょう、という説明をします。ここで、私たちがやるべきこと、つまり、投資が必要な分野もあれば、実際には私たちが十分にコントロールできるため、もう少しリスクを負って調整し、ビジネスにプラスの影響を与え、生産性を向上させるための追加機能をサポートする余裕がある分野もあります。私たち全員、いわば強制的な Sentinel イベントを通じて、この 1 年半でそのスキルを非常に短期間で習得しなければなりませんでしたが、セキュリティ担当者としての私たちにとっての明るい点は、そのスキルが本当に役立つということです。私たちが取締役会に戻り、経営幹部の地位に戻り、テーブルを囲んで同僚たちと議論する時、特定の制御に対して「はい」または「いいえ」と言う理由ではなく、制御環境全体がリスク許容度とどのように一致しているかです。それは、私たちが行っている対話の成熟であり、本当に刺激的なものなのです。それは私たちにテーブルに着席する機会を与えてくれます。
[00:26:29] ジェイソン・クラーク: そうですね、そうだと思います。私たちはそれを検討しています。もう一度考えてみる必要があります。私たちはいつもこう言っているのですが、ビジネスリーダーとして、そして、この活動、つまりビジネスがやろうとしていることは、収益性の高い顧客の獲得と維持に重点を置く企業にとって、どうなるのでしょうか?それは、お金を稼ぐビジネスに関係するあらゆる方法です。そして、活動やビジネスはどのようにそれを加速させていくのでしょうか。そして、彼らを守るために私はどの程度、何を、どれだけ行う必要があるのでしょうか?それとも、彼らを放っておいてから保護を適用し、ビジネスに変化をもたらす可能性のあるものを真に理解するだけでよいのでしょうか。そして、私は個人的に毎日それに対処しています。そして、マーケティング関連のものやセキュリティ関連のものも検討します。ラモントと私は毎日会話をしていますよね?あるいは、私たちがやりたいことを公開したいという気持ちと、それに対するセキュリティのバランスについてです。右。マーケティング チームは常に前進したいと考えていますが、Salesforce 情報にアクセスするためにサインアップするパートナーが安全であることを確認したいと考えています。右。そして、すべては結果次第です。そして、どれくらいの期間が必要なのでしょうか。セキュリティ制御を適用します。ですから、これは、今日のすべてのセキュリティ チームが構築しているものではなく、セキュリティ チームも同様に物事を考えています。例外が必要です。誰がリスクを承認するのか、それとも合理化するのか。さっき言った通りだよ、エリック。したがって、原則 7 は脅威モデルを構築し、それをあらゆるアーキテクチャ上の決定に取り入れることです。 それで、エリック、ジェームズ・ロビンソンが脅威モデルについて話すのを初めて聞いたとき。ある時、あなたは私のところに来て、ジェイソン・ナイトさん、ジェームズ・ロビンソンをあなたから引き抜いて雇いたいと言ったと思います。
[00:28:08] エリック・ルディアック: それは私のようですね。まるで私が厚かましくも、あなた方全員に対しては何も言わないと言ったかのように。それはまさにブランドそのものですね。
[00:28:16] ジェイソン・クラーク: しかし、7 番目の原則についてのご意見を聞かせてください。
[00:28:21] エリック・ルディアック: いや、つまり、見たことも考えたこともないものから身を守るのは、本当に難しいと思います。それで、みんなこれについて軍事的な例え話をするのが好きですが、私が考えてみると、近所のテニスコートに一緒に行くのが大好きな子供がいて、ええと、男の子で、ええと、その子供にスライスバックハンドを投げたとき、それは予想通りとてもおかしかったです。 彼らはトップスピンショットしか見たことがなく、ボールが着地して滑っていくとすぐに、ただスイングしてミスをしてしまったようです。それで、それが私たちのディフェンダーのための練習であり、私たちのディフェンダーは全員だと思います。右?それは私たちのインフラ担当者です。それは私たちのクラウド、つまりエンジニアリングです。それは、当社のソフトウェア エンジニアとその間の全員です。つまり、ユーザー エクスペリエンスの担当者、つまり、データベースとミドルウェアの担当者です。それを効果的に行うには、トップスピンとバックスピンの両方を見なければなりません。レッドチーム演習と攻撃シミュレーションが世界クラスの情報保護組織にとって非常に重要な要素となっているのは、こうした実践が非常に重要だからです。
[00:29:34] Jason Clark: プリンシパル 8 は、セキュリティ運用の自動化を拡張します。右?つまり、最終的には、操作の自動化に重点を置くことになります。それで、ラモントさん、なぜこの主題歌なのか少し話してもらえますか。
[00:29:46] ラモント・オレンジ: 先ほど、攻撃速度が速まっているという話をしましたが、これは非常に重要な原則だと思います。また、私たちの組織が抱えているいくつかの複雑な問題についても触れられたと思います。ですから、これらすべてのこと、そして私たちのチーム、私たちのスキル、私たちのチームがいかに熟練しているかを考えてみると、そして、私たちが持っているツールリソースだけでも、攻撃者のスピードに追いつく必要があります。そして、ある意味では。我々は攻撃者のスピードよりも速く、さらに遠くまで進まなければなりません。もっといい言い方をすれば、それができるでしょう。そして、それを実現する方法は自動化であると私は考えています。私たちは、セキュリティ業界で、以前は SOAR と呼ばれていたセキュリティ自動化、ツール、リソースに取り組んで長い時間を費やしてきたと思います。私たちは、オーケストレーション ツールに時間を費やしてきましたが、それを SOAR ツールと混同していました。そして、私たちは一歩下がって、規模と柔軟性を求めるときには自動化に重点を置くべきだと言う必要があると思います。これにより、速度を信号対雑音比に応じて低減することができます。そして、届いたアラートにさらに反応できるようになります。これらの一部は、ランブックなどの基礎コンポーネントの一部を構築するという形で提供されます。そして、SOC 全体で標準プロセスをどのように実行するかを理解します。これは成熟度の観点から自動化できるものですが、トリアージの方法を理解しながら、最初から対応を調整することができます。トリアージは調整可能なものであり、対応と制御を自動化できます。SOC内での自動化とオーケストレーションについても話す場合、インシデント対応と管理の手順も更新することになります。 私たちがこれまで行ってきたインシデント管理の実践は、攻撃、私たちが抱える脅威の種類、私たちが抱えるやり取りの種類に必ずしもうまく対応できるものではありません。私たちの従業員、私たちのサポートが何を持っているかliers and vendors. We've extended our attack surface, which I know we'll talk about in a different principle, but the extension of that attack surface is really something that we have to look at when we're thinking about how automation helps us again, achieve that scale and flexibility. I think there's another piece of this that we can't always run through our teams and say, well, it's contained into security. As long as security says, it's good, then we're fine. We also have to communicate what we're doing to our team members so that once they understand why we do some of the things we do, they will also be a willing person. And that's part of that transparency that I, that I believe that's part of automating and building out that, that SOC. And that's why it becomes the heartbeat of your security and response programs.
[00:32:54] ジェイソンクラーク:ええ。 これらの原則を見ると面白いですよね? それらはすべて互いに非常に相互に関連していますよね。 そして、本当に、本当に良いためにお互いに依存しています。 以前、原則9に移る前に、誰もがラモントのセキュリティ運用について何かを追加したいと思っています。
[00:33:11] ジェームズ・ロビンソン:ええと、それはそれまたはすべての人への単なる質問です。 ですから、私がますます考えていることの1つで、私の、ええと、ビルダー、開発者、エンジニア、ソフトウェアエンジニア、兄弟の何人かを見て、私はすべてのゲームとランブックやプレイブックなどのアイデアに取り組んできました。 またはそれらのものの1つ、それは一種の、過去のようなものです、場合によっては、自動化に関してはどこに立っているのだろうか、あなたはまだあなたのチームにランブック、プレイブック、そしてそれらの異なるものを構築し、構築させ、それが管理し、設定するものです、スケールのための自動化、 それとも別のアプローチを取っていますか?
[00:33:52] ラモントオレンジ:それは興味深い議論です。 正直なところ、私は、自動化と信頼できる自動化に行ったプログラムはほとんどないと思います。 オーケストレーションのオーケストレーションについて私が言ったことに戻ると、実行する必要のあるタスクの実行になると思います。 ランブックと私はその用語を非常に大まかに使用していると思います。 これは、特定の種類のインシデントに対応するために使用している標準的なプロセスである可能性があります。 または、セキュリティチームの特定の種類の質問、開発内またはチームのいずれかに尋ねられる特定の要件、特定の種類のデータを処理している場合、または特定の種類のシステム相互作用がある場合、それらの応答を調整できると思います。 すべてのプログラムがまだ自動化されたアクションを信頼しているかどうかはわからないため、自動化の部分に成熟する必要があります。 それが課題でした。
[00:34:53] Erick Rudiak: これについては、ソフトウェア エンジニアリングの視点を実際に説明します。 ソフトウェアプログラムのパフォーマンス特性について考えると、そうです。 コンプ、コンプサイエンスには、O、表記法についてすべて学ぶことができます。 またはN表記のO。 それで、私は最近CISOと素晴らしい会話をしました、そして彼女は尋ねていました。 GitHubリポジトリがいくつあるかなど、速度とフィードのいくつかをウォークスルーするには? 1日に何回のコミットを行いますか? 1 日に何回パイプラインを実行するかはわかっています。 そして、セキュリティを O of N または O of log N で拡張できるかどうかについての素晴らしい会話でした。 そして、これは自動化が絶対に不可欠であるところであり、あなたが知っているように、それは実際に人材の課題を物語っており、情報セキュリティと自動化における多様性の課題のいくつかは私たちにとって最良の方法です。 コントロールをNのOからログNのO、またはさらに小さいものにスケーリングすること。 ですから、人間の要素を取り除く能力や、より複雑で興味深い問題の解決に向けて人間の要素を導く能力は非常に重要です。 たとえば、企業が需要の規模にどのように追いつくことができるかはわかりません。 新しい手法と進化するマルウェア、ランサムウェア、ええと、攻撃手法などを備えた攻撃者側の両方、そして、ええと、自動化が唯一の方法であるように、簡単にプロビジョニングされたクラウドサービスなどで攻撃対象領域の供給を拡大する今日の組織の能力だけです。 そしてこの本では、サーバーを名前で実際に知っていた私たちの何人かのために、このアイデアについて話しています。 右。 ええと、彼らはペットのように扱われました。 彼らは愛されていました。 それらは、今日のサーバーがレゴブロックのようなものであり、大量生産され、意図的または極端に短い寿命を持つというこの考えに対して、非常に長い寿命を持つことが期待されていました。 そして、現代のニーズを満たすためのセキュリティ組織の規模を考え出すことができたのは本当に良い方法ではありません。 それは自動化、コア原則を備えていません
[00:37:10] ジェイソンクラーク:私はアナロジーが大好きです、エリック。 そして、ええと、それは誰もが間違いなく読むべき本の素晴らしいセクションです。 ですから、原則9と私は、ええと、ジェームズ・クリスチャニアから始めて、それからこれについてエリックに行きます、なぜなら私はあなた方二人と最高の種類のリスクの会話をしたからです。 しかし、原則9は、継続的な可視性とリスク評価、およびすべてのセキュリティ制御を要求することであり、本質的に、私たちはリアルタイムを望んでいます。 リスク評価と管理対これらの1回限りの評価の種類、右、リスクの年に一度の評価。 だからジェームズはあなたから始めます。
[00:37:43] ジェームズクリスチャンセン:はい。 感謝。 ええと、あなたが知っている、これは私にとって常にホットなトピックです、そしてあなたが知っている、私はこれを取るつもりです、ええと、ほんの少しの指示ですが、私はここで簡単に説明します。 ご存知のように、継続的で可視性のアイデアです。 はい。 最初の原則とリスクは、あなたが知らないリスクを管理することはできないので、あなたは絶対にそのリスクとその可視性を得る必要があります。 そして、私たちが見たのは、クライアントサーバーからクラウドに移行し、この新しい世界に移行したことで、その可視性が失われたことです。 私たちは、あなたが知っているように、私たちが以前の日に持っていたそれらの能力を失いました。 そして、私たちはそれらを取り戻す必要があります。 可視性は絶対に不可欠であり、その他の部分は継続的です。 そして、ゼロトラストという言葉をよく耳にしますが、ええと、それは主に、エグゼクティブチームでは、ああ、あなたはセキュリティ担当者であるという間違った意味合いを持ち出すので、私はあまり好きではない用語です。 あなたは誰も信用していません。 そして、あなたが知っている、セキュリティの人々がいました、彼らはあなたが知っている、トークンについて考えます。 私はそれを大事にしました。 ええと、私は、それを継続的な適応的信頼と考えることを好みます。 または、リスクを自動的に調べ、リスクのさまざまなテレメトリを測定し、それらのリスクへの対応を調整できる、継続的に適応するセキュリティプログラム。 ご存知のように、なぜ同じレベルのコントロールが必要なのですか? もし誰かがESPNに出かけて、これを彼らの、ええと、セキュリティまたは彼らのサッカーのスコアをチェックするつもりなら、彼らが見に行くつもりなら。 ご存知のように、取締役会のプレリリースの資料は、明らかに非常に非常に異なるリスクレベルです。 多くのテレメトリは、そのデバイス、アプリケーション、個人の場所、そのトラフィックにもたらされ、すべてが現在測定できます。 そして、それがリスナーにとって重要なことです。 機能があります。 これを今すぐ実行し、リスクレベル、その制御ルートでこれらの適応的なリアルタイムの決定を下し、それらの制御を適応できるようにすること。 ですから、これは本当にエキサイティングな時期であり、これらのリスクを見て、前進するにつれて適応できると思います。 はい。 サードパーティのリスク、次に第4パーティのリスクについては、別の日のために節約する必要がありますが、それに関する別の素晴らしいテーマがあります。 ジェイソン、あなたにそれを返してください、
[00:39:59] エリック・ルディアック:私は絶え間ない可視性に反対する方法を見つけようとしています。 そして、私はそれを見つけることができません、ええと、あなたが知っている、ええと、私はむしろより多くの情報を持っているか少ないか、私はむしろ攻撃をキャッチして遅かれ早かれ進歩しますか? ええと、私はむしろ長い滞留時間または短い滞留時間が好きですか? はい。 ええと、私はむしろ勝ちたいです。 ですから、ご存知のように、私は継続的な可視性のこのアイデアについて考えています、ええと、それは私をピーターサンドマンと危機コミュニケーションにまでさかのぼります。 ええと、そしてピーター、サンドマンの一種の非正統的なリスクの定義は、危険と怒りの合計です。 そして、知らないことの怒りの要因。 この現代の私たちの能力は、常に何かを監視し、選択するのではなく、コントロールが失敗することを知らず、構成が変更されたことを知らず、悪意のある人物が私たちのシステムに侵入したことを知りません。 それに対する怒りの要因が単純にであるように、ええと、それは受け入れられません
[00:41:09] ジェイソン・クラーク:最後に、ええと、最後の原則、私たちはこれらが何であるかを知っています。 これもまた、私たちが感じた10人で、将来に向けて根本的に最も大切なストレッチの人たちです。 おそらく、私たちが始めたものがいくつかあり、最初は20があり、10に減らしましたが、10つ目はゼロトラスト原則を使用して攻撃対象領域を減らすことです。
[00:41:31] エリック・ルディアック:] ゼロトラストは好きではないと聞きました。 私たちはそれを変えなければならないでしょう。
[00:41:36] ジェイソンクラーク:業界はゼロトラストについて混乱していると思います。 そうではありませんか? ええと、あなたが知っている、何、ゼロトラストとは何ですか?
[00:41:43] エリック・ルディアック:私にとって、ゼロトラストのものは、信頼が時間とともに衰退するということです。 そして、私が考えるとき、ええと、私にとって最も古典的な例はアイドル画面のタイムアウトであり、古典的なコントロールのように、それはPCIの一部です。 それは、何十年にもわたってほとんどすべてのセキュリティフレームワークの一部としてNISTの一部でしたが、ジェイソンのパスワードを知っている人がいれば、近似値がありました。 それをジェイソンの端末に入力し、最終的にはジェイソンのPCまたはラップトップ、そして最終的にはジェイソンの電話に入力しました。 それから、しばらくの間、それはおそらくまだジェイソンであるという仮定がなされました。 ええと、ええと、それは論理に反するように、ええと、特に私たちが考えるとき、あなたが知っている、人的要因とデザイン、そして人々が実際に働く方法を考えるとき、あなたが知っている、そのパスワードが入力されてから14.9分後、私たちはその端末、そのPC、その電話からの入力に同じ量の信頼を持つべきです、 ジェイソンがパスワードを入力した瞬間と同じように。 そして、ゼロトラストとその理由について考えるときのように。 私にとって、それは、セキュリティ業界が何年も容認してきたこの虚偽を認識しているからです、なぜならそれは技術が難しすぎて、それは高すぎるので、そして私たちはこの妥協をしたからです。 私たちは言った、うん。 私たちはその言葉を信頼しています。 最大15分間、入力に同じレベルの信頼を割り当てます, パケット, あなたが知っている, その, そのデバイスは、最初の14ポイント9分に生成しました. ええと、それでは先に進む時が来ました。
[00:43:23] ジェイソンクラーク:ゼロトラストでの議論は、明らかにベンダーがいるということです。 そうです、またはそれはすべてエンドポイントに関するものです、または私はそれだと思います、それはオンでもオフでもないバイナリのものではありません。 右。 信頼はオンかオフかという議論をする人々がいること。 そして、あなたが正面玄関から私の家に入ることができ、私はあなたを中に入れることができるようにそれを見ますが、あなたがすべての部屋に行くことができるという意味ではありません。 あなたが私の金庫に入ることができるという意味ではありません。
[00:43:44] エリック・ルディアック:ああ、ジェイソン、私が最後にあなたの家に来たときのことを話さなければなりません。
[00:43:49] ジェイソン・クラーク:そして、あなたが知っている、あなたの行動に基づいていますよね? あなたが言ったように、あなたはどれくらいそこにいて、そのインスタンスですよね? あなたがここに長くいるほど、私はあなたの行動を見てきたので、多分私はあなたをより信頼しています。 右。 ですから、おそらくすべて認証の観点から、その裏側を議論することができますが、あなたがここに長くいるほど、あなたの行動を見るほど、私はあなたとたむろします。 他の部屋に行かせればやるほど。 私が言おうとしているのは、私にはデバイスの信頼があるということだと思います。 私はあなたのデバイスを信頼していますか、そしていくらですか? そして、その瞬間、そのリアルタイムのリスク評価のようなものです。 私はあなたがネットワークイランから来ているネットワークを信頼しますか。 私はあなたの行動に基づいて、この瞬間に人としてあなたを信頼しますか、私はあなたが正しくしようとしているアプリケーションを信頼しますか? それはあなただけでなく、アプリであり、あなたが操作しているあなたの行為であり、潜在的に侵害されているのでしょうか? アップロードまたはダウンロードしようとしているデータ、その影響は何ですか? 右。 そして私には、私たちに会うためのこのリアルタイムのリスクベースの条件付き制御の決定のようなものがあります。 私の心の中でゼロトラストのニルヴァーナのように、私はあなたにゼロを与えるつもりです。 真。 私はあなたにゼロアクセスを与えるつもりです、さもなければ私はあなたを完全に信頼するつもりです。 それをゼロレベル5と呼び、1、2、3、4、5のようにしましょう。 私にとって、真ん中の3つはデータへのアクセスを許可していますが、オンラインでのみ編集を表示しているわけではありません。 右。 1つは、このデータが必要な理由と、それが緊急事態であるか、またはそれが何であれ、段落を書く複数の余分なホップかもしれません。 ですから、私はこれをゼロトラストとして、私たちが到達する必要のあるこの場所は、攻撃対象領域を減らすためにゼロトラストを推進していますが、最終的には行動によって人々に必要に応じてより多くの信頼を得させていると考えています。 だから私たちは忙しい人に摩擦をかけません。 しかしラモント。 ここでゼロトラストについてよく話したように、私は興味があることを知っていますが、この原則の最初の部分は、ゼロトラストを使用して攻撃対象領域を減らすことでした。 右。 ですから、あなたが組織を守っているとき、あなたは知っていますよね? 毎日、この原則をどのように推進し、攻撃を減らしていますか?
[00:45:46] Lamont Orange: 最初に確認する必要があるのは、可視性と分析、可視性に関するものだと思います。 申し訳ありませんが、分析は、あなたがそれを見ることができない場合、人間は、適用し、制御または保護するのは難しいので、それはあなたのインフラストラクチャ、あなたのデータへのあなたのユーザーの可視性への可視性になります。 そして、その時点で組織にとって最も重要なことは何かについて、これらのユースケースを橋渡しし始めることができます。 私はレベルとあなたがそれをどのように説明したかが好きです。 しかし、最も重要な資産が何であるかを理解する必要があり、私たちは来て同意し、それがデータであると言うことができますが、どのデータがデータを設定し、その可視性と分析機能を使用してそれらのコントロールを見て、それらのコントロールをその日に適用します。
[00:46:32] ジェイソン・クラーク:その10の原則も完全にカバーしたと思います。 セキュリティビジョナリーに耳を傾けてくれてありがとう、そして業界全体のセキュリティ専門家と一緒に毎週ドロップされる新しいエピソードに注意してください。 エリック・ラモントとジェームズ、時間を割いてくれてありがとう。 そして、ええと、それは楽しかったです
[00:46:50] スポンサー: セキュリティビジョナリーポッドキャストは、デジタルトランスフォーメーションの取り組みを可能にする適切なクラウドセキュリティプラットフォームを探している Netskope のチームによって強化されています。 Netskopeセキュリティクラウドは、ユーザーを任意のデバイスから任意のアプリケーションに直接安全かつ迅速に接続するのに役立ちます。 詳しくは Netskope.comをご覧ください。
[00:47:11] プロデューサー: セキュリティビジョナリーを聞いていただきありがとうございます。ショーを評価してレビューし、誰かと共有してください。 隔週でリリースされる新しいエピソードにご期待ください。 そして、次のエピソードでお会いしましょう。
){kind=icon}
