CSMAとは何ですか？
スティーブに聞く

0:00:01 エミリー ウェアマウス:こんにちは。Security Visionaries ポッドキャストの最新版へようこそ。ここでは、専門家を招いてさまざまなテーマについて質問し、リスナーの皆さんがデータ サイバーや世の中のトレンドや出来事について理解を深めていただけるようお手伝いします。今週のゲストはポッドキャストの友人です。クリスマスが近づいてきたので、友人全員を招待します。スティーブ・ライリーさん、ポッドキャストへようこそ。

0:00:22 スティーブ ライリー:ありがとう、エミリー。ご一緒できて嬉しいです。

0:00:25 エミリー・ウェアマウス:スティーブが出演する前にスティーブ・ライリーのエピソードを聴いたことがないリスナーのために、私はいつも人々のキャリアがどこから始まったのかという話から始めます。 そしてスティーブはシステムアナリストタイプのバックグラウンド出身です。 これは、システム アナリストとしてさまざまなテクノロジー企業で働き、時には Gottner アナリストとして、物事を非常にわかりやすく説明する素晴らしいスキルを磨いた経験から、問題にどのように取り組むかについて、良い感触をつかんでいると思います。そして今、現場の CTO として働いているので、スティーブ、重要なことはすべてカバーできましたか?

0:00:55 スティーブ・ライリー:いいですね。

0:00:57 エミリー・ウェアマウス:今、スティーブを今日のポッドキャストに招いたのは、技術的に言えば私たちの編集規則をすべて破る頭字語についてお話ししたいからです。 私たちは頭字語を疫病のように避けて試していますが、それが今日あなたがここにいる理由だと思います、スティーブ。 頭字語はあちこちに出回っていますが、私たち全員が頭字語の意味を同じに理解しているかどうかを確認するために、少し立ち止まって議論する価値がある場合があります。さて、今日の頭字語は CSMA で、これは Cybersecurity Mesh Architecture の略です。今、誰もが「ああ、このポッドキャストは聞き飛ばそうかな？」と思っているでしょう。このエピソードを見逃してはいけません。本当にいいものになるでしょう。頭字語で始まることをお約束しますが、面白くなります。 それでやめてください、スティーブ。 CSMA とは何ですか?

0:01:36 Steve Riley: CSMA は、ベンダー同士が協力して、これらのセキュリティ ツールが行っている決定に関するシグナルやその他の情報を交換するためのデータ辞書とデータ形式を作成し、他のツールが後で行う決定をより的確に行えるようにするための取り組みです。

0:01:58 エミリー ウェアマウス:では、この頭字語を広めているのは誰ですか?私たち全員がそれを支持すべきだと言っているのは誰ですか?

0:02:04 Steve Riley:このアイデアは以前からありましたが、最近は Gartner とそこにいるあるアナリストによる取り組みが目立っています。そのアナリストは、実は私の親友なのです。私たちは20年以上知り合いです。彼はそれについてたくさん書いています。現時点では、彼は第 3 または第 4 バージョンまで作成していると思います。そして、これに参加しているすべてのベンダーのスライドを表示すると、毎年どんどん大きくなります。

0:02:28 エミリー ウェアマウス:これは、世界中の NIST などが支持しているものなのでしょうか?それとも、それはまだ世界に対する、より学術的なアナリストタイプの視点なのでしょうか?

0:02:39 スティーブ ライリー:それは興味深い質問ですね、エミリー。政府機関がこれに反応しているかどうかはまだ確認していませんが、確認することはできます。すぐには例が思い浮かびません。したがって、現時点ではまだ主に業界の取り組みであると考えられます。

0:02:54 エミリー ウェアマウス:ええ、もしそうだとしても、そしてそうなる可能性もありますが、NIST ではそれほど多くは耳にしていません。ゼロ トラストに関する啓蒙活動は絶えず行われていますが、現時点でその会話の中に挿入されているのを聞いたことがありません。しかし、後ほど説明するように、ゼロ トラスト タイプのフレームワーク内にも位置づけられるのではないでしょうか。これは、本質的には複数のベンダーが関与するプラットフォーム プレイを説明する方法にすぎないのでしょうか。それとも、既に相互に通信するコンポーネントを持つ単一のベンダーをプラットフォームに導入する場合とは実質的に異なるのでしょうか。

0:03:29 Steve Riley:そうですね、Grand Unified プラットフォームというものは存在しないことを覚えておいてください。これはNetskopeおそらくここ数年にわたって議論してきたことです。 大手ベンダーは主に買収を通じて製品ポートフォリオを構築し、それらをより良く統合することを約束しています。しかし、次の買収を完了させることが常により優先されるようです。しかし、私たちが目にしているのは、多くの情報セキュリティの購入者が、単一ベンダーのものか複数ベンダーのものかを問わず、多数の異なるツールの巨大なコレクションから離れ、この興味深い 4 つのプラットフォーム セットに移行しようとしているということです。1 つは ID 管理ですが、これは単なるディレクトリではなく、ガバナンスや管理、アクセス許可や特権、適切なサイズ設定なども含まれます。次はエンドポイント保護プラットフォームです。私たちは今、雲の中にあるものについて考えています。では、なぜエンドポイントが重要なのでしょうか?

0:04:33 スティーブ ライリー:私たちがエンドポイントを重視するのは、すべての興味深いアイデアは人間の頭の中で生まれ、人間の腕や指を通って何らかのデバイスに伝わり、そのデバイスがその興味深い情報の最初のデジタル表現となるからです。したがって、依然として保護される価値はありますが、その情報はそこに留まるべきではありません。他の人が価値を加えたり、価値を引き出せるように、移動したいのです。3 番目のプラットフォームは、ネットワーキング、データ セキュリティ、つまり US Net Scope になります。そして 4 番目のプラットフォームは、常に必要となる脅威の検出と対応のようなものです。完璧な保護手段は存在しません。◇ これら 4 つの分野のベンダーは、他のさまざまなプラットフォームや他のタイプのツールと相互運用するために、他のベンダーよりも懸命に取り組んでいます。 CSMA は、先ほど説明した 4 つのプラットフォームのようなツールだけでなく、ニッチな用途に役立つ可能性のあるさまざまなスタンドアロン ツールをさらに導入して、すべてのツールが参加して相互に情報を交換し、コンテキスト内でより多くのシグナルを生成できるようにする努力です。

0:05:45 エミリー ウェアマウス:コンテキスト内のシグナルとは具体的にどういう意味ですか?シグナルの部分は理解できましたが、コンテキストの部分は理解できませんでした。

0:05:51 Steve Riley:さて、この会話のゼロ トラスト関連の要素についてお話しします。今。多くのベンダーはゼロ トラストについてさまざまな解釈を持っていますが、ここでは Netscope の解釈を少しだけ紹介したいと思います。

0:06:10 エミリー・ウェアマウス:私は彼に演説台を与えましたが、彼はそれを 使う しました。 そうですね、

0:06:12 スティーブ・ライリー:もちろんですよ。ステージに引きずり上げた音が聞こえましたか？がれき。わかった。これは、私とガートナーのもう一人のアナリストが、ガートナーのゼロ トラストに対する立場を確立するために取り組んでいたときに行った作業の一部から生まれたものです。人間が占める肉体空間、つまり肉の空間では、

0:06:33 エミリー・ウェアマウス:すみません、それは

0:06:34 スティーブ・ライリー:かなり面白いですね。それはサイバースペースでしたよね？わかった。つまり、現実世界では信頼をなくすことは不可能なのです。Lee さん、私が初めて Netskope に入社したとき、あなたと私はお互いを知りませんでした。Netscope だったので、少しは信頼関係がありましたが、人々の間に信頼がゼロになる状況は考えられません。しかし、何年も一緒に仕事をするうちに、私たちはお互いのことをどんどん知り、いろいろなことに協力し、バーの周りに座って一杯か二杯飲むようになりました。ですから、今、私たちの間には高いレベルの信頼関係が存在します。サイバー空間でも同じことが言えます。デジタルシステムへの信頼をなくすことは不可能です。実際、十分な意欲のある人であれば、このジレンマについて議論した 1990 年代半ばの研究論文をいくつか見つけることができるでしょう。ですから、このゼロ トラストという概念は奇妙なのです。このように考えてみましょう。やりとりの初めには信頼がゼロであるということです。

0:07:28 Steve Riley:お互いを見たことのない 2 つのノードは信頼関係なしに通信を行う必要はありませんが、実際に意味のあるやり取りをするなど、効果的な操作を行うためには、信号とコンテキストから得られる一定の信頼関係を確立する必要があります。それでは、実際に 2 つの異なるシグナルを含む例を見てみましょう。1 つはデバイス タイプで、もう 1 つはドキュメントのラベルです。 デバイス タイプが管理されている場合、その時点でかなり高いレベルの信頼が確立されます。そのデバイスと、たとえばドキュメントを保存する内部システムとの間では、おそらく他の信号を評価する必要はないでしょう。その場合、管理対象デバイス上のユーザーはすべてのコンテンツに完全にアクセスできます。 ◇ デバイス信号が管理されていないことを示している場合、つまり会社が所有していない個人用デバイスである場合、ラベルを二次信号として調べ、ラベルがパブリックである場合、その管理されていないデバイス上のユーザーは依然として完全なアクセス権を持っている可能性があります。 ラベルがプライベートの場合、その管理対象外のデバイスに対するユーザーのアクセス量を減らし、「読む」のみにする必要があります。

0:08:52 エミリー ウェアマウス:つまり、ラベルはデバイスやユーザーではなく、ファイルにあるということですね。

0:08:55 スティーブ ライリー:そうです。それはデータのラベルであり、ファイルのファイルです。そして、ラベルに「機密」と記載されている場合、ポリシーでは管理対象デバイスからのアクセスを一切禁止している可能性があります。つまり、ポリシーでは、機密情報を扱うには、管理対象デバイスのみを使用する必要があると規定されています。これこそが、優れたゼロ トラスト戦略の基盤となります。それは、信号を組み合わせて、それに関するコンテキストを生成し、次のことを正確に決定できるという考えです。これにより、適切な人が、適切な理由で、適切なタイミングで、適切なリソースに適切にアクセスできるようになります。5つの権利。そのため、Netskope ではこれを継続的適応型信頼、ゼロ トラストと呼んでいます。最初は、ファイルのラベルやデバイスの健全性などの信号が変化するにつれて、やりとりが展開されるにつれて、一定の信頼が構築されます。これらの信号は、ユーザーが他の場所から安全でないものをダウンロードしたために、デバイスが何らかの理由で現在何らかの形で侵害されている可能性があることを示しているため、コンテキストに基づいてアクセスを調整できます。その後、状況が改善されるまでアクセスを変更し、その後その制御を削除できます。

0:10:13 スティーブ ライリー:これは、デジタル システムから信頼を完全に排除できると仮定するよりも、その戦略を達成するはるかに効果的な方法です。現在、CSMA が重要な理由は、最も多様なツールが、それらのポリシーを適用できる他の最も多様なツールに信号を提供するための最良のメカニズムの 1 つとして浮上しているためです。 ただし、注意すべき点があります。ポリシー適用ツールと、それらに必要なシグナルを提供するツールには、何らかの共通言語、何らかの共通データ定義とデータ形式、文書化された API が必要です。したがって、この情報は交換可能であり、ベンダー コミュニティ全体でこれらの標準のいくつかを設定することが CS MA の目標です。

0:11:08 エミリー ウェアマウス:こうした標準を固定化する作業はどの程度進んでいますか。それとも、ベンダー同士が互いの知見を自社のプラットフォームにどう統合するかについて、まだ交渉が必要なのでしょうか。

0:11:21 Steve Riley:そうですね、先ほども申し上げたように、これに関する Gartner の調査は現時点で 3 回目または 4 回目の段階にあり、関心を示しているベンダーのコミュニティは非常に大きくなっています。現時点では、標準化されたフォーマットに同意したベンダーが実際に多数存在するとは思えません。したがって、それらのフォーマットがどのようなものになるかについての話し合いは継続中であると思います。覚えておいてください、これは多くのベンダーを、ある意味不快な領域に追いやることになります。一部のケースでは、すべての購入者がより多くの利益を得ることができるようにどのように協力するかを考え出す必要がある競合企業があり、それがこの取り組みにおいて依然として存在する摩擦の一部である可能性があると思います。 これが努力を妨げていると言っているわけではありませんし、時間が経てばアベンジャーズはこれを回避する方法を見つけ出すだろうと確信していますが、現時点ではそれが存在しています。

0:12:11 エミリー ウェアマウス:後ろに猫の飾りが見えますが、まるで猫の群れをまとめているような感じですね。ガートナー社が猫の群れをまとめようとしているだけなのか、競争上の対立に対処するために、誰もが従う基準を定める、明確に独立した公平な別の団体が必要なのか、疑問に思います。それについてどう思いますか?

0:12:37 スティーブ・ライリー:それはうまくいくと思います。もちろん、それはいつも私に、標準に関する XKCD 漫画を思い出させます。もうひとつ。ああ、それも素晴らしいですね。しかし、そうですね、独立した機関によってもう少し正式なものになれば、これをさらに推進するのに役立つと思います。しかし、それは私が実際に調べていない別の領域です。したがって、私たちのウォッチャーにとって興味深いのは、ベンダーや、おそらくそれらの標準をさらに推進するために取り組んでいる組織における CSMA の真剣さの最新の状況がどうなっているかということです。

0:13:11 エミリー ウェアマウス:組織としてこれが気に入ったら、それは良いことだと思います。セキュリティ スタックには多くのベンダーが関与しており、それらのベンダーがさらに連携して動作することを望んでいるようですね。それで、あなたは全員にこれに署名してもらうために新しい年のミッションに出かけるつもりです。 12 か月後にそれを実行する価値があったかどうかを測定できるようにするには、どのような目標や目的を念頭に置くべきでしょうか。また、具体的に追求すべき指標は何でしょうか。どのような指標に情報を提供したり影響を与えたりするのでしょうか?

0:13:40 スティーブ ライリー:エミリー、あなたはここで実際に重要な点に触れたと思います。アナリストは何かの価値について素晴らしい発言をすることができ、独立した機関はそれらの目標の推進に向けて取り組むことができるからです。しかし現実には、ベンダーが反応するのは、商品を購入する顧客だけです。したがって、この取り組みを実際に実現させる最善の方法は、ベンダーがこの共通データ形式と共通データ定義に向けて取り組み始めるよう、バイヤーが要求し始めることです。そうすれば、情報交換が現実のものとなります。ベンダーは何かを約束したがりますが、今日ここで視聴している、あるいは聞いている、テクノロジーを購入するバイヤーの皆さんが、すべてのベンダー間の相互運用性を向上させるというこの考え方が、より堅牢なゼロトラスト戦略へのより多くのシグナルを生み出すことに賛同するのであれば、ベンダーにその旨を伝え、関心のあるすべてのベンダーが、簡単に入手できる同じ最新の標準に準拠していることを確認する必要があります。

0:14:51 スティーブ ライリー:誰もがガートナーのクライアントなので、クライアントである全員がその情報にアクセスできます。それが実現されるべきことです。具体的な指標については、ロードマップ上に存在し、製品の出荷に取り組みが存在していることを示す能力が指標であるとだけ言っておきます。今、進化する CSMA 標準およびプラクティスに従って情報を共有することに特に関連する API または API セットは利用可能ですか? これらの API が存在する場合、ベンダーはこれにかなり真剣に取り組んでいることになります。しかし、まだ存在していない場合、つまり、実際の実装の裏付けがない単なるマーケティング図のようなものである場合は、ベンダーにこれをリリースし、さまざまな製品とサービスが CSMA 対応になる頻度を提供し、場合によってはデモも要求するように要求し始めます。 CSMA 対応の製品を持っている関心のあるベンダーに、同じく CSMA 対応の関心のある別のベンダーとやり取りできるかどうか尋ね、ベンダーの費用で小さなラボなどを設置して自分の目で確認する機会を作り、その後、組織の残りの部分をさらに前進させる方法について計画を立てます。

0:16:14 エミリー・ウェアマウス:活動家のスティーブが、プラカードを掲げてみんなを励まし、一緒に行進して、ある要求を訴えようとしているのを見ているような気がしました。それは見ていてとても興奮しました。それで、私は質問を少し変えようと思います。 こうした人々がプラカードを持って行進し、売り手とともにこうした質問をすることを期待します。なぜ彼らはそんなことをするのでしょうか?セキュリティ体制の改善が目的ですか?チーム内で効率性を見つけることでしょうか?最終的にはコストが削減されるのでしょうか?ベンダーに支払うお金は減るのでしょうか?この美しい未来の世界が存在する場合、組織にとってのメリットは何でしょうか?

0:16:47 Steve Riley:そうですね、サイバーセキュリティ メッシュ アーキテクチャは、情報セキュリティの向上やリスクの軽減など、あらゆる関連する事柄に間違いなく関係しています。なぜなら、情報交換によって対応者やポリシー作成者 (ここで言うポリシー作成者とは、政治のことではありません) が協力できるからです。つまり、コンソールに座ってポリシーを書く人々のことです。これにより、両チームがより効率的に業務を遂行できるようになります。すべてのポリシーにより多くのシグナルを組み込めば組み込むほど、発生する可能性のあるさまざまな問題に応じてポリシーをより適切に作成できるようになります。そして、これらの脅威検出および対応ツールにイベントの具体的な性質に関する情報がより多く提供されるほど、ツールがイベントをインシデントとして統合するのに役立ちます。これらは、対応者が実際に反応する必要があるものです。これはすべての人にとってより良いこととなるでしょう。テクノロジーの購入者にとっては良いことだろう。これはテクノロジーベンダーにとって良いことです。なぜなら、2、3社との小規模なパートナーシップの構築を考えるのではなく、より多くのベンダーと交流する機会がベンダーに与えられ、それによって購入者の選択肢も広がるからです。 プラットフォーム A とプラットフォーム B はうまく連携するが、プラットフォーム A とプラットフォーム C はうまく連携しない場合、また、プラットフォーム C が気に入っているものの、既に使用しているプラットフォーム A とは連携しない場合は、どうすればよいでしょうか。気に入った機能はすべて備えているものの、相互運用性が低いプラットフォーム C を選択しますか?それとも、必要な機能がすべて備わっているわけではないが、相互運用性に優れたプラットフォーム B を選択しますか?現時点では、機能よりも相互運用性を優先することをお勧めします。

0:18:44 Emily Wearmouth:そうですか?

0:18:45 Steve Riley:単純に、機能を優先して相互運用性を軽視するのであれば、10 年前にまったく機能しないツールが 76 個もあったのとそれほど変わりませんよね?したがって、相互運用性を優先することでそれが実現します。シグナルとコンテキストに基づく継続的な適応型信頼戦略の涅槃に近づいています。したがって、ベンダーには、購入者が最良の選択をし、妥協する必要がないように、この道を進み続けてほしいのです。

0:19:15 エミリー ウェアマウス:これに反対する人がいるとしたら、それは誰ですか?それで、ガートナーがベルを鳴らして先頭に立ってこの大規模な抗議活動を先導していると言っていましたが、これは素晴らしいことだと言っているのは確かです。同じ目標に対して異なるアプローチを提案している人はいますか?それとも、これらの統合に抵抗する人がいるのでしょうか?反対意見はあるのでしょうか、それとも、それを実行するにはちょっとした作業が必要で、それが最大の抵抗なのでしょうか?

0:19:40 スティーブ・ライリー:抵抗というのは作業そのものなのです。抵抗は、もし API を持っていて、誰かが私を操作したり、私のポリシーを変更したりできるとしたら、私は競争上の優位性を失うかもしれない、というものです。なぜなら、 ◇ その人はもう私のコンソールにログインして、1 日 8 時間私のロゴを見なくなるかもしれないからです。 CSMA に参加したくない人々が挙げる理由は、顧客を助けることとはまったく関係がなく、むしろ心配することによるものだと私は思います。希薄化などを心配しているのかもしれませんが、私たちは分裂と不信と不信が増大する世界に住んでいます。そこには、自らの生存のみを気にし、繁栄する世界で生きることなどますます気にかけない組織や団体が溢れています。CSMA に関する会話としては少し大げさかもしれませんが、もし CSMA がこれに少しでも反発し、協力を奨励し、協力の価値を示すことができれば、それが、今の世の中に存在する怒りを少しでも軽減する小さな一歩になるかもしれません。

0:20:54 エミリー・ウェアマウス:それはいいですね。私は主にエネルギーが好きです。君は私を捕まえた。後で何かのプラカードを必ず出すつもりです。スティーブ、今日はいいエネルギーを持って来ましたね、

0:21:05 スティーブ・ライリー:エミリー、私は 使う エアになりたいです。 私は疑い深い者でありたいと思っています。 初めてこれに遭遇したとき、これらのベンダーはどれも開店しないだろう、開店しないだろうと思ったのを覚えています。

0:21:12 エミリー・ウェアマウス:私が最初にあなたにこのことを話したとき、あなたは「いや、エミリー、それはありえない」とテキストでずっと会話していたのを覚えています。それは仕事が多すぎる。誰もそれに利害関係を持っていません。君はまるで新しい人間になったようだ。何が変わりましたか?

0:21:23 Steve Riley:そうです。変わったのは、調査を書いてきた私の友人が粘り強さを発揮し、どんどん長くなるベンダー リストを示したことです。彼はこれを信じている。私は彼を信頼しています、そして彼はこれが価値のある努力であると私を説得しました。

0:21:42 エミリー・ウェアマウス:彼の名前を調べていただけますか？

0:21:45 スティーブ・ライリー:パトリック・ヘベシです。

0:21:46 エミリー ウェアマウス:さあ、始めましょう。パトリック。スティーブはずっとあなたを応援しています。最後の質問ですが、お分かりでしょうか。ベンダーのブランドの下で CSMA タイプの統合が行われていると思われますか?こういったことは個々のベンダー側からゆっくりと起こっていて、ほぼ製品化されつつあるのでしょうか?

0:22:05 Steve Riley:そうですね、では NES UPP を例に挙げてみましょう。 Cloud Exchangeと呼ばれるものがあり、これはさらに 4 つのコンポーネントで構成されています。 すべての NES UPP 顧客がこれを利用できます。料金はかかりません。文書化されたデータ形式とデータ ディクショナリを備えた一連の API として提供されます。これはまさに CSMA に準拠しているのでしょうか? いいえ、しかしこれは、お客様が購入したより多くのツールと統合したいという当社の意欲を示す取り組みであり、進化する CSMA 標準を当社の既存の業務に組み込むことはそれほど難しいことではありません。 したがって、それはケースである可能性が非常に高いです。 エミリーさん、一部のベンダーがこれに取り組んでいるというのは良い指摘ですが、おっしゃるとおり、それは別のブランド名で行われています。これはおそらく、標準が成熟するまでの暫定的なアプローチのようなものだと思います。

0:23:02 エミリー・ウェアマウス:興味深いですね。素晴らしい。私は、人々が退屈しないようにすると約束しました。そして、その 1 つの頭字語を除いて、他のすべての頭字語を避けてきたと思います。つまり、説明の中にさらに 7 つも入れずに 1 つをうまく説明したと思います。

0:23:16 スティーブ・ライリー:ありがとうございます。

0:23:17 エミリー・ウェアマウス:本日はご参加いただきまして誠にありがとうございます。皆さんにとって少しだけわかりやすくしていただき、ありがとうございます。

0:23:21 スティーブ・ライリー:ああ、どういたしまして。

0:23:22 エミリー ウェアマウス:皆さんは Security Visionaries ポッドキャストを聞いていただいています。ホストを務めたのは私、エミリー ウェアマウスです。このエピソードが気に入ったら、ぜひ過去のエピソードを探してみてください。スティーブが登場して私たちに加わり、少しだけわかりやすくしてくれた他のエピソードもご覧ください。そして、実はもう一つあることもわかっています。今週はダブルレコーディングを予定していますので、今回のレコーディングをお楽しみいただけたなら、すぐに次のレコーディングも予定しています。別の頭字語について説明し、もう少しわかりやすくしました。もしよろしければ、ご参加いただきありがとうございます。また次回お会いしましょう。