ゼロトラスト:単なるアイデンティティ以上のもの

エミリー・ウェアマウス[00:00:01] こんにちは。セキュリティ ビジョナリー ポッドキャストの最新版へようこそ。ここでは、サイバー データやその他の関連トピックについて幅広い専門家に質問します。司会のエミリー・ウェアマスです。今日はジョン・キンダーバグとニール・サッカーという2人の専門家ゲストが参加しています。それでは、まずは自己紹介を始めましょう。ジョン、あなたから始めたいと思います。あなたは、この番組でこれまで登場した人の中で最も印象的な非公式の称号の 1 つ、「ゼロ トラストのゴッドファーザー」をお持ちです。 あなたは Forrester でそのタイトルを引き継ぎました。そこで、リスナーのために、ジョンはデータ セキュリティ アプローチとして現在ゼロ トラストとして知られている原則に名前を付けました。 アナリストにとって、『ゴッドファーザー』のタイトルはおそらくキャリアの頂点でしょう。近年、彼は数多くのセキュリティベンダーのエバンジェリストとして活動しており、現在は Illumio のチーフエバンジェリストを務めています。 ジョンさん、番組へようこそ。

ジョン・キンダーヴァグ[00:00:47] こんにちは。お招きいただきありがとうございます。

エミリー・ウェアマウス[00:00:49] ニール・サッカーは、9 月に私たちのパイロット エピソードに参加したので、常連のリスナーなら聞き覚えのある声かもしれません。彼は現役のCSOであり、非常に多忙ですが、それでも時間を作って、ガバナンス、コンプライアンス、AIなど、あらゆる分野の頼りになる専門家の一人です。ニール氏は、現役の CISO として現場からの視点を私たちに提供するためにここにいます。彼は、原則とイデオロギーがビジネスに持ち込まれると実際に何が起こるかについて、私たちに現実を伝えてくれるでしょう。それで、今日私たちが何について話すことになるかわかりますか?そうです、ゼロ トラストは誰もが話題にしている話題です。それでは早速始めましょう。そして、ポッドキャストに『ゴッドファーザー』を取り上げるのは失礼だと思う。ジョン、話を始めてもいいですか？ ゼロトラストについて簡単に説明していただきたいのですが、特に、Forrester に在籍していたときにゼロトラスト アプローチを最初に思いついたきっかけについてお聞きしたいです。

ジョン・キンダーヴァグ[00:01:36] フォレスターに入社する前、私は実務家でした。私はセキュリティ エンジニア、ネットワーク エンジニア、セキュリティ アーキテクト、ペン テスター、ファイアウォールを担当していましたが、最初から、インターフェイスに 0 から 100 の信頼レベルが与えられる信頼モデルを採用していました。そして、最も信頼性の低いインターフェースである 0 がパブリック インターネットに接続され、最も信頼性の高いインターフェースである 100 が内部ネットワークに接続されました。そして、他のすべてのインターフェースには異なる番号が付けられました。しかし、それはゼロでも100でもなく、互いに同じであるはずがありません。そして、それらの信頼レベルがポリシーを決定します。したがって、たとえば、高い信頼レベルから低い信頼レベルに移行する場合、送信ルールを設定する必要はありませんでした。そして、私はデータの流出を心配していたので、常にそれらを入れることを試みていました。それは、メーカーがそうする必要があると指示した方法ではないため、トラブルに巻き込まれることになるからです。 まあ、論理的に考えれば、誰かが入ったら、出ていくことになると思います。そして、ご存知のとおり、一方向にしか通らないドアを設けるのは愚かなことです。したがって、ゼロ トラストは、その壊れた信頼モデルに対する私の反応です。その信頼は人間の感情です。そして、デジタルの世界から抜け出す必要があります。パケットとは関係ありません。人間はパケットではありません。信頼の概念を適用することはできません。ですから、「信頼」という言葉は捨ててください。それが一番簡単なことだ。リソースへのアクセスを自信を持って許可できるように、検証信号を検証に置き換えます。

エミリー ウェアマウス[00:03:14] 私たちは皆、今ゼロ トラストについて話していると思いますが、最初のアイデアを思いついたのは少し時間が経ちましたね。それで、最初にそれを思いついたときの反応はどうでしたか?

ジョン・キンダーヴァグ[00:03:22] まあ、あまり熱心ではなかったですね。実際、私は完全に気が狂っていると人から言われた。これではどこにも行けないでしょう。公開ポッドキャストでは言わない他の事柄。それで、ご存知のとおり、11年後の2010年に、私は最初のレポートを書きました。11年後、大統領はこれに関する大統領令を発令し、米国の連邦政府機関すべてにこれを採用するよう義務付けた。そして今やそれは世界的な運動となっています。だから、そんなことは絶対に起きないと思っていました。そして多くの人から、そんなことは絶対に起こらない、文字通り私は地球上で最もクレイジーな人間の一人だとはっきり言われました。

エミリー・ウェアマウス[00:04:00] なぜそれが流行ったと思いますか？

John Kindervag [00:04:03] それは論理的に意味があるからです。また、ネットワークのセキュリティ確保に非常に苦労していた多くの初期導入者がそれを試して、それが機能することを他の人に伝えたからです。 そして、それは最前線でその真価を発揮したのです。つまり、最初のレポートを発表する前に、2年間にわたって基礎調査を行ったのです。プロトタイプ環境を構築しました。私は政府機関で働いていました。ですから、私はそれがうまくいくこと、それが正しい戦略であることに何の疑いも抱きませんでした。なぜなら、ゼロ トラストは何よりもまず、米国大統領のようなあらゆる組織の最高レベルに響く戦略だからです。そして、戦術的に実装可能になります 市販の既製技術。 ですから、私は常に、戦略と戦術を切り離す必要があることを認識していました。戦略は変わりません。戦術は時間の経過とともにどんどん良くなっていきます。右。うん。それで、ニールと私はずっと昔にロンドンのホテルに行きました。そうでしょう、ニール？

ニール・サッカー[00:05:13] そうです。私たちが初めて会ったのは2012年だったと思います。だから怖いですね、今から12年前のことです。 そして私はその言葉について聞きました。ゼロトラストの定義についてお聞きしました。そして私たちは議論をしました。会議中の昼食時だったと思います。そうですね、ゼロ トラストがどのように適用できるかについて話していました。当時は、そうですね、ファイアウォール、IPS でした。私は IPS について話し、IPS を取り巻く状況やこれらのツール、あるいはリアルタイム ネットワーク認識など、信頼のさまざまな変数を取り入れようとしている実装されていたこれらの「新しい」機能について検討したことを覚えています。 その通り。おっしゃる通り、ポリシーをどのように定義し、信頼レベルに基づいてポリシーをどのように調整すべきかという点ではそうです。しかし、当時そのホテルにトム・クルーズが宿泊していたというのは興味深いことです。そして、ホテルの周りやホテル内に人がいて、ホテルに滞在したり、ホテルで会議を開いたりしていたという点で、それはおそらく素晴らしい例えだと思います。そして最上階には、トム・クルーズの部屋が6つか7つあり、それらは互いにくっついていました。彼にはジムがあり、もちろん『ミッション:インポッシブル』の撮影中は滞在していた家もありました。ゼロ トラストという点では、これは素晴らしい例えだと思います。実際、あのホテルには人がいましたが、その個人にはゼロ トラストが適用されていましたよね?彼らはその階に行くことを許されなかった。これらのエリアへのアクセスを完全に制限する厳重な警備が敷かれていました。そうですね、それが私たちが初めて会った時でした。それ以来ずっと私はあなたをフォローしています。過去 12 年間、組織としてゼロ トラストを採用してきました。

エミリー・ウェアマウス[00:06:39] ニールさん、正直に伺ってもよろしいでしょうか。ゼロトラストのコンセプトに対する最初の反応はどうでしたか?それは、素晴らしくて実行可能で、すべての答えを持っているものとしてすぐに思い浮かびましたか?それとも、始めることに懐疑的な気持ちがあったのでしょうか？ 最初はどうでしたか?

ニール・サッカー[00:06:54] 私はその原則のファンでした。私はその原則に完全に賛同していました。これを長年経験してきました。たとえば、サービスへのアクセスを安全にするために IP アドレスに頼るだけではありません。満たさなければならないさまざまな条件があります。私はいつも「5W」のようなものの大ファンです。何かを作り始めるときは、誰が、何を、どこで、いつ、どこで、どのように行うのかをより深く理解し、それらの原則を適用する必要があります。これは、もちろんセキュリティ以外でも長年にわたって使われてきたキプリング方式です。 ですから、私は常に、そういったものを活用することだけでなく、自分たちが実装しているポリシーをよりよく理解することにも力を入れてきました。 当時の私のチーム、つまりセキュリティ運用チームには、ポリシーや条件を導入する際に、それが実際に何を正しく行っているのか、組織にどのような利益をもたらしているのかを理解させるよう常に要求していました。内部からの脅威や外部からの脅威などについて話すときは、それを考慮する必要があります。そして、これらのケースでは、ゼロ トラストの形式が必要になります。 私はその原則に大いに賛同していましたが、もちろん、人材、プロセス、テクノロジーの要素を通じてどのように実装できるかについても検討していました。

エミリー・ウェアマウス[00:08:00] ジョン、ゼロ トラストが長い間実際に使われてきて、お子さんが学校に通うようになった今、ベンダーがゼロ トラストという言葉を自分たちの目的に合うようにさまざまな方法で解釈しているのを見るのはどんな気持ちですか。彼らは必ずしもあなたのイデオロギーに合わせてあなたのブランドを作り上げているわけではなく、おそらく彼らはすでに多くのことを行っていますし、あるいは意味を自分たちに合うように操作しているのです。どんな感じですか？

ジョン・キンダーヴァグ[00:08:29] そうですね、時々少しイライラすることがありますが、私はそういった人たちをこのコンセプトを推進する力の増幅役と見ています。なぜなら、人々が最終的にたどり着く他の多くのものがあり、何かからそれについて聞くかもしれないので、それが良いように聞こえるかもしれないし、そうでないかもしれないからです。結局彼らは、ああ、それはパズルの1ピースに過ぎない、そうだろう？と気づくだろう。しかし、彼らが注目できる他のものはたくさんあります。NIST からのガイダンスがあり、CISA からのガイダンスがあります。私は、大統領の国家安全保障電気通信諮問委員会のゼロ トラストおよびトラスト ID アクセスに関する小委員会 (NSTAC) と呼ばれる大統領小委員会のメンバーに任命されました。何ですか、それは政府や委員会のようではありませんか?しかし、私たちは2022年2月にバイデン大統領にレポートを発表しました。 それは、ご存知のとおり、民間部門と公共部門の人々が参加した共同レポートでした。 そして、それは他のすべてが一種の 1 つの視点であるため、ユニークです。つまり、それは共同作業だったのです。このレポートはゼロ トラストとは何かについて権威あるものなので、誰もが読むべきものだと私は思います。右。そして、これは私が参加している Cloud Security Alliance Zero Trust ワーキング グループの基礎でもあります。そして、それを基礎として使えば、誰もがそれを構築する方向に動き始めることができます。 私たちはそれが何であるかを議論するのに何年も費やしましたが、それを実行する時間は十分ではありませんでした。したがって、ゼロ トラストの次の段階では、正しく実行することを目指します。ナイキのモットーを心に留めて、とにかくやってみよう。

エミリー・ウェアマウス[00:10:12] ベンダーがゼロトラストという言葉に対して批判されていることの一つは、ゼロトラストは本質的にアイデンティティとアクセスの管理について話したり売ったりする最新の方法に過ぎないと言われていることです。 二人に質問します。ジョン、あなたと一緒に始めましょう。 それは公平ですか？あなたはそれがそのように使われていると思いますか？もしそうなら、なぜそれが問題なのでしょうか？

ジョン・キンダーヴァグ[00:10:32] そうですね、そういう意味では 使う ですが、それは間違っています。 右。アイデンティティは私たちが消費できる重要なシグナルです。したがって、ゼロ トラストでは、アイデンティティはポリシーで消費されます。しかし、それはゼロトラストと同じではありません。当然のことながら、アイデンティティベンダーはこれに賢く対応しました。しかし今、私たちはアイデンティティシステムの侵害を数多く目にしています。 大手のアイデンティティベンダー自体が侵害されているだけでなく、MFA ループに陥ってもう気にしなくなって「はい、はい、はい」と繰り返し答える MFA 疲れも生じています。アイデンティティを回避する方法はたくさんあります。アイデンティティは常に代替可能ですよね？デジタル システムでは、常に、常に、常に代替可能です。それは人間のシステムでも代替可能です。しかし、デジタル システムでは、それは確かに非常に代替性が高く、つまり、簡単に回避したり操作したりできることを意味します。そして、よく見てみると、私は常に、アイデンティティはゼロ信頼であるという概念を 2 つの言葉で反証しています。スノーデンとマニングと呼んでいるこの二人は、サイバーセキュリティ界で最も有名な二人です。私は彼らを、サイバー界のビヨンセやリアーナと呼んでいます。右。彼らは一言で言う人達だから。そして彼らは、信頼できるシステム上の信頼できるユーザーでした。パッチレベルは適切でした。適切なエンドポイント制御が備わっていました。彼らは本当に強力なMFAを持っていました。それは民間部門の私たちよりもはるかに強力でした。 。 しかし、それらは本当に難しく、使うのが面倒で、多くの摩擦を生み出します。 しかし、認証後のパケットを見て、ネットワーク上、そして俗に連邦政府のハイサイドネットワークと呼ばれるネットワーク上で何をしているのかを尋ねる人は誰もいませんでした。ネットワークに認証されると、そのネットワーク上のすべてのものにアクセスできるようになります。そこで私はマニング事件に関係する弁護士と話していたのですが、その事件が最初に私の机に届いたとき、私はこう尋ねました、「イラクの前方展開基地にいる上等兵が、ワシントン DC にある機密の国務省電報にどうやってアクセスできるのか？」 そして彼は、「目の前に提示された証拠をすべて読んで、ようやくゼロトラストを理解した」と言いました。そう、アイデンティティはポリシーの中で消費されます。 重要でないというわけではありませんが、最大限に重要というわけでもありません。これはテクノロジーを導入することではなく、システムを構築することです。

エミリー・ウェアマウス[00:13:02] ではニール、他の要因としては何が考えられますか?そして、ジョンが言っていたことに少し遡ると、私は常にゼロトラストについて考えていました。あるいは、それを簡潔に言うと、信頼して確認するのではなく、検証してから信頼するということです。 しかし、検証してから別の何かを検証することについて話しているようです。そして少し時間が経ってから再度確認します。

John Kindervag [00:13:19] 「信頼するが検証する」ということを使おうとしているのであれば、検証し、他に何か必要な場合は決して信頼しないでください。 右。うん。しかし、信頼はするが、検証もしなければならない。歴史を振り返ると、ロナルド・レーガンはそんなことを言ったことはありません。彼はロシアのことわざをロシア語で言った。 ご存知のとおり、私のロシアは、これまで一度もそのフレーズを言うことができませんでしたが、それは一夜にして起こったことで、証明されたわけではありません。私も、そして私のロシア人の友人も指摘しているように、その重要な点は、ロシア語では韻を踏んでいるということなのです。そして彼は、もちろんそれは信頼するが検証するという意味だと言いました。それは冗談だったのでみんな笑いました。つまり、それはロナルド・レーガンが言った文字通りの冗談であり、私たちはそれを真剣に受け止めたのです。それで私は人々と話をするでしょう。何ですか？確かにサイバーセキュリティ戦略は信頼されますが、検証されます。まあ、なぜそんなことを言うんですか？ロナルド・レーガンがそう言ったからだ。うん。偉大なサイバーセキュリティ専門家のロナルド・レーガンはそう言っています。それは、最初のマルウェアが作られる前の時代だったと思います。ですから、誰かが言ったからといって、人々がただ脱線するというのは、まったくの狂気の沙汰だったと思います。それは群衆の狂気です。

エミリー・ウェアマス[00:14:26] はい、その通りです。それで、ニールさん、CISO としてアクセスに関する決定を下す際に参考にしているシグナルにはどのようなものがありますか?

ニール・サッカー[00:14:33] そうですね、アイデンティティ管理は重要な制御の一部です。ただし、デバイスは別の要素であるため、たとえばデバイスのカバレッジを確保する必要があります。それはどのネットワークに関するものであり、クラウド サービスについて話している場合、潜在的にネットワークを使用している場合は、インターネットを使用していることになります。 それはコンピューティングに関するものです。それは活動の側面に関するものです。アクセスしているアプリケーションです。もちろんアクティビティ自体、そしてストレージとデータの周りには要素があります。つまり、そこには実にさまざまな要素や構成要素があるのです。つまり、これらは複数のフレームワークで定義される必要があるということです。これらはそれぞれ、消費量や信頼度、あるいは信頼度でなければなりません。右。これを構築するという点では。そして、組織が本格的に検討を開始しなければならないのはそこだと思います。 例を挙げてみましょう。私は講演を行い、ゼロトラストの導入における成熟度のさまざまなレベルについて話しました。そして、聴衆の中から誰かが手を挙げてこう言いました。「VPN があり、アクセス制御があり、ACL があるので、信頼はゼロです。」私の答えは、ええ、そうですね、わかりました。ここにはおそらく 1 つ、または 2 つの基本要素がありますが、他の多くの要素も考慮する必要があります、でした。そして、それがこのことに役割を果たすはずです。私はジョンの意見に完全に同意します。そして、組織の信頼を決定する制御として、単なるアイデンティティを超えて進むことが絶対に重要です。

ジョン・キンダーヴァグ[00:15:51] そうですね、決意も自信も信頼もないです。君を「T」という言葉から遠ざけないといけない。ゼロトラストの4文字の単語だよ。それは4文字の単語です。しかし、問題はこれです。それは欠けていますよね？キプリングメソッドについてお話しましたね。誰が、何を、いつ、どこで、なぜ、どのように。そして実際、あなたはそれを言ったときに「なぜ」を省略したと言いましたが、私は「なぜ」をしなかったのかと思いました。なぜかというのが最初の質問です。なぜこれをやるのでしょうか?さて、なぜサイバーセキュリティに取り組むのでしょうか?サイバーとは何か？そしてなぜそれを保護する必要があるのか？まず第一に、私たちが行っているビジネスの名前を間違えてしまいました。しかし第二に、セキュリティを実施する唯一の理由は何か保護するためです。右？つまり、ゼロ トラストの基本的な概念はテクノロジーではなく、保護対象面です。私は何を守っているのでしょうか?それが私たちが 5 ステップ モデルで始めることです。 そしてそれはNSTACレポートに文書化されています。 そこで私は、誰でも実行できるシンプルな 5 ステップのジャーニーを作成しました。保護サーフェスを定義します。何を守っているんですか。保護しているものはダッシュ要素と呼ばれ、データ アプリケーション資産またはサービスを表します。1 つのタイプの DAAS 要素を単一の保護サーフェスに配置し、保護サーフェス、つまりゼロ トラスト環境を 1 つの保護サーフェスごとに構築します。このように、ゼロ トラストは 3 つの要素を段階的に実現します。一度に 1 つずつ、次から次へと繰り返し実行します。そして、中断しません。失敗できるのは、一度に保護面を 1 つだけです。私が見ている最大の問題は、人々が一度にすべてをやろうとすることです。そしてそれは不可能だ。それはあまりにも大きな挑戦です。その後、トランザクションフローをマッピングします。システムはどのようにシステムとして連携するのでしょうか?ご存知のとおり、NSA は先週、セグメンテーションとゼロ トラストにおけるセグメンテーションの重要性に関する新しいガイドラインを発表しました。そして彼らは、データ フロー マッピングが、マイクロ セグメンテーション、マクロ セグメンテーション、ソフトウェア定義ネットワークとともに重要な要素の 1 つであると述べました。したがって、システムがどのように機能するかを理解する必要があります。そしてステップ 3 では、適切なテクノロジーが何かを判断します。私たちは、まずテクノロジーから始めるように教えられてきました。なぜなら、ベンダーはそうやって販売するからです。彼らはテクノロジーを販売しており、私たちはそれを必要としています。右。なぜなら、それらは私たちがポリシーを推進するものを提供しますが、それ自体はセキュリティを提供しないからです。 なぜそれをするのか理解しなければなりません。ステップ 4 では、ポリシーを作成します。ステップ 5 は、それを監視して維持することです。放っておかず、常に観察し、時間の経過とともに成長してどんどん良くなるようにしてください。

ニール・サッカー[00:18:29] それはサイクルですよね？それを繰り返すことです。そして、保護しなければならない新しい攻撃対象領域を特定するという点で、テクノロジーが間違いなく役立つと思います。 保護する表面は常に拡大する必要があり、そうしないと、再び発見したときに、より多くの資産が残ってしまいます。

John Kindervag [00:18:45] そうですね、保護面が常に拡大しないようにすることでコストがかからないことを願っています。比較的に大きくなることを望みますが、たとえば特定のデータベースに保存されるデータの量に関しては大きくなりますが、保護サーフェスにさらに要素を追加したくはありません。右？私は、攻撃対象領域を残りの攻撃対象領域から切り離したり、分離したり、セグメント化したりしようとしています。だから、そんなことを気にする必要もないですよね？つまり、公開された NSA のガイダンスを見ると、小売業者の侵害についての話から始まり、その後で Target の侵害について脚注が付けられています。 そして、皆さんもご存知のとおり、2013 年に発生したターゲットの侵害は、現代世界におけるサイバー セキュリティの始まりだったとよく言います。私は世界をBTとATに分けます。ターゲット後のATは11年目ですよね？なぜなら、ターゲットは、データ漏洩を許したという自社の行為が原因で、CEO が解雇された初めての企業だったからです。そして、組織内でデータ侵害が発生した場合でも、それを許可するポリシーが導入されていました。あなたはただの被害者ではありません。あなたは悪い方針を持っているため、無意識のうちに共謀者になっています。 そこで彼らはそのことに言及し、 HVAC のことについて話しますが、 HVAC は問題ではありませんでした。問題は、Target が HVAC 制御システムをカード所有者データ環境と同じネットワーク上に配置したことであり、これは明らかに PCI DSS に違反しています。つまり、私は回復中のQSAです。私は PCI 認定を取得した第一世代の QSA の一人です。では、カード所有者のデータ環境にそのようなシステムを故意に導入することは決してなかったのでしょうか?それは明らかに違反です。

エミリー・ウェアマウス[00:20:32] ターゲット以前とターゲット以後についてお話していますね。それは世界を分割する本当に素晴らしい方法だと思います。ターゲット後のこの世界。私たちはゼロ信頼を目の当たりにしており、それはバイデン大統領の大統領令などを通じて現れています。ゼロ トラストは、単なる用語やイデオロギーではなく、テクノロジー コミュニティで受け入れられている概念です。これは、組織内の役員レベルにまで及ぶ会話です。それで、気になるのですが、お二人はそれがどれくらい役に立つと思いますか?ご存知のとおり、企業は正しいことを考えていますが、その多くは誤解によって、あるいは、すぐにこの問題を解決できるテクノロジーがあるだろうという期待によって、さらなる課題を生み出しているのです。

ニール・サッカー[00:21:08] 私はサイバー・コレクティブというグループのメンバーで、メンバーは約 300 人います。そして私は彼らにいくつか質問をしました。それで実際にジョンにポーズをとったんです。実際、出てきた質問の 1 つは、ネット ゼロ トラスト アーキテクチャの検討に関するものでした。そして今、ゼロトラストの観点からこれがますます重視され、ゼロトラストを適用するためのアーキテクチャを構築する方法が検討されています。 そして寄せられた質問の 1 つは、これをどのように見て移行するかというものでした。ZTNA を導入することで、私たちはどのようにビジネスの価値を認識し、それをどのように付加しているのでしょうか。特に、ネットワークを超えてどのように進化していくかを検討しています。つまり、これらの原則は、私たちがネットワークから離れていくにつれて、より効果的になったり、より効果的でなくなったりするのです。しかし、私がネットワークと言うとき、従来のネットワークのことを言っているのであって、クラウド サービスなどにネットワークがまだ存在していることは知っていますが、私がこの議論を聞いているところによると、おそらく取締役会レベルでも、組織はネットワークまたはセキュリティの変革を通じて変革を経験しているようです。 そして、その点についてもう少し理解を深めると良いのではないかと思います。この点に関して、私たちは進化の段階にあるのでしょうか?

ジョン・キンダーヴァグ[00:22:12] そうですね、サイバーセキュリティはまさに取締役会レベルの話題であり、私は多くの取締役と話し合ってきました。私は将軍や提督、そして世界中の政府の高官たちと話しました。そして、技術者はテクノロジーの世界に閉じこもっているため、彼らは技術者よりも簡単にそれを理解します。彼らはその戦略を理解しています。いくつか起こることがあります。1 つは、取締役会がサイバーセキュリティの問題を知る必要があるということです。なぜなら、他の役員が、評判が悪くなるからという理由で、取締役会や CEO からサイバーセキュリティの問題を隠そうとするのを何度も見てきたからです。 そしてデータ侵害が発生し、全員が解雇されます。率直に言って、ニール、私は今日 CIISO にはなれません。なぜなら、あなたはバスの下に投げ込まれ、その後、時間をかけて前後にバックアップされる人だからです。そして結局刑務所に入ることになるかも知れません。誰が最終的に刑務所に入ることになるかは分からない。しかし、CISO コミュニティでは詐欺の有罪判決やその他の出来事が確かに起こっています。予算がなかったために自分でコントロールできたかどうかわからないことで解雇されるために存在しているので、そこは危険な場所です。すべての CISO が CEO にレポートする必要があるように、あなたは CEO にレポートしませんでした。 つまり、CEO はありのままの情報を手に入れることができるのです。しかし、また、NIST はサイバーセキュリティの標準組織ではないですよね? したがって、英国では NIST を決して利用すべきではありません。あなたは米国連邦民間機関システムの一員ではないので、それはあなたにとって価値がありません。NIST は、米国連邦政府の民間機関にガイダンスを提供するためにのみ存在します。正直に言うと、気にしないことがたくさんあるんです。右？右。なぜなら、彼らは自分たちの意見に耳を傾ける典型的な小規模な代理店向けにデザインをしているからです。大手代理店は気にしません。国防総省は気にしません。ですから、私がリスナーの皆さんに、私たちが Cloud Security Alliance で何をしているのかに注目していただきたいのは、私たちがそれを切り離しているからです。そして、私たちは標準が存在すると言っているのではありません。サイバーセキュリティには標準は存在すべきではない。標準は相互運用性を提供するので、標準は必要ありません。相互運用性は API から生まれます。 つまり、標準化はイノベーションを阻害するだけなのです。ですから、標準規格というのは今では本当に悪いものだと私は思います。標準化団体の問題は、妥協があまりにも多く、エンドユーザーにとってあまり価値がないことです。

ニール・サッカー[00:24:43] そうです。私が言いたいのは、おそらくそれらのいくつかから最良のものを取り出して、このことに関する例を学ぶことだということです。私が見ているのは、ポリシー施行ポイントの周りのゼロ トラスト アーキテクチャのようなものを見ると、非常に興味深い側面があると思います。右。今日、多くの組織は、ポリシーの適用ポイントを標準化し、原則を活用して、そこに価値を見出せるようにしようとしていると思います。右。しかし、そうですね、私は同意します。そこに存在するものの中から最善のものを取り入れなければなりません。しかし、ほとんどの場合、それは自分自身で学ぶものなのです。あなたの組織が行っていることこそがユニークです。それは実際、何か違いを生みますよね？それが私にとってのそれです、それがそれがそれです、それが推奨です。

ジョン・キンダーヴァグ[00:25:23] そうですね、あなたたちは二人ともイギリス人なので、イギリスの言葉を 使います。 すべてのゼロ トラスト環境は、保護する表面を保護するためにカスタマイズする必要があります。残念ながら、90 年代に戻って、IP アドレスを自分の IP アドレスに変更するだけでパケットが流れるリファレンス アーキテクチャを使用することはできません。それが私たちが昔からやっていたやり方です。 それはまさに 20 世紀のコンセプトであり、人々が望んでいるものなのです。何をすればいいのか教えてください。しかし、これらのネットワークはビジネスのために構築されたものなので、うまく機能しませんでした。そしてその会社はこう言いました。「あなたは私に丸い穴をたくさん与えたのに、私は四角い釘しか持っていませんでした」。そして、幸運なことに、ベンダーがポケットナイフを無料でくれたので、角を削って、私たちが作ったものに合うようにできました。私たちが一番大切なのですから。そして、ご存知のとおり、そのせいで、その会社に対する評価は非常に低かったのです。サイバー セキュリティはビジネスの阻害要因であり、クレジットカードを持っているからクラウドに移行しようと思っているのです。私はシャドー IT などすべてやります。これは彼らがやるべきことでした。なぜなら、私たちは愚かだったからです。つまり、彼らの世界に合わせるのではなく、彼らを私たちの世界に押し込もうとしていたのです。そして、ゼロ トラストに関する基本的な調査を行っていたときに、IT リーダーとビジネス リーダーにいくつかの最も重要な項目をランク付けしてもらう調査プロジェクトを実施し、さまざまな人々から一連のリストを入手したことに気づきました。そして、ビジネスリーダーにとってのトップ 3 の優先事項は、収益の増加、収益性の向上、データの流出の阻止でした。データの流出を阻止することが、リストに載った唯一の技術的な事項でした。これらは IT リーダーにとって最優先事項の 3 つでした。当時の彼らのウイルス対策の捕捉率は、フィッシングテストでフィッシングの何パーセントを阻止できたかのようでした。そして、彼らは、収益の増加や収益性の向上、データの流出の阻止といった、企業にとっての壮大な戦略的事柄を気にしていなかった、そうでしょう？収益と収益性を高め、データ侵害を阻止できていないのであれば、仕事をしていないことになります。そして、私たちは細かいことにこだわりすぎて、ミッションを理解しなくなります。

エミリー・ウェアマウス[00:27:42] タイミングよくプロデューサーが私に手を振り始めたのが見えます。ジョンさん、ぜひ聞いてみたい質問があります。もし過去に戻れるとしたら、まだゼロトラストと呼ぶでしょうか？

ジョン・キンダーヴァグ[00:27:52] もちろんそうします。人間の感情としての絶対的な信頼。そして、あなたが人々は信頼できないと言っていると人々が言うとき、私は、いいえ、私は信頼できないと言います。人間はパケットではないと言っているのです。ジョンは今ネットワークに接続していません。 ニールとエミリーと私はネットワークには参加していません。私たちが主張するアイデンティティは、何らかのデバイスからパケットを生成するために主張されており、私たちはネットワーク上にいません。だから、私たちがやっていることを擬人化するのはやめてください。これは『トロン』、『芝刈り機男』、『シュガー・ラッシュ』ではありません。これが現実の世界です。絶対にそうします。そして、抵抗する人たちは皆、信頼が何を意味するのかさえ分かっていないと私は言います。それを私に定義してください。そして、それは何世紀にもわたって哲学、宗教、人間関係においてのみ考慮され、ビジネスでは決して考慮されなかった人間の感情であるため、彼らはそうすることができません。 そしてそれがテクノロジーにどう取り入れられたかも知っています。それは事故でした。誰かが真夜中にガレージで何かをコーディングしていて、それを信頼レベルと呼んでいるのです。でも、それは捨ててください。パケットを A 地点から B 地点に移動するためには必要ないので、それが価値があるのは、それを悪用しようとする悪意のある行為者だけです。これで十分な答えになりましたか?

エミリー・ウェアマス[00:28:59] まったくその通りです。私が熱心に学んでいるのは、すべての質問にどのように答えるかということです。ジョン。ありがとう。お二人とも、ありがとうございました。

ジョン・キンダーヴァグ[00:29:07] 終了する前にニールに一つ質問してもよろしいでしょうか?

エミリー・ウェアマウス[00:29:09] もちろんです。お願いします。

ジョン・キンダーヴァグ[00:29:11] ホテルでトム・クルーズに会えましたか？私は彼に会ったことがありません。

ニール・サッカー[00:29:14] いいえ。決してありません。いいえ、結局彼に会うことはありませんでした。いいえ、ありましたよ。会議に参加した人々から何度か試みがあったと思いますが、誰もその機会を得られませんでした。

John Kindervag [00:29:23] 試すと、あちこち歩き回って、大柄で屈強な人たちに出くわして、「あっちへ行け」って言われたことはあります。

エミリー・ウェアマウス[00:29:30] アクセスが拒否されました。

ジョン・キンダーヴァグ[00:29:31] ゼロトラストだよ。

ニール・サッカー[00:29:34] はい、その通りです。

エミリー・ウェアマウス[00:29:35] お二人とも、本日はご参加いただきありがとうございました。つまり、これは非常に興味深いトピックです。それはもうしばらく前から存在していて、ジョン、そして私は、これはもうしばらく存在し続けるだろうと思う。 Security Visionaries ポッドキャストを聞いていただいています。司会のエミリー・ウェイマスです。このエピソードをお楽しみいただけた方は、ぜひシェアして、Security Visionaries ポッドキャストにご登録ください。

ジョン・キンダーヴァグ[00:29:56] いいね！を押してください。そうでしょう？

エミリー・ウェアマス [00:29:58] いいね！を押してください。はい、その通りです。いいねとチャンネル登録をお願いします。ぜひ過去のカタログもご覧ください。きっと皆さんも楽しめる、興味深いトピックが揃っています。ジョン、ニール、お二人ともありがとう。また次回お会いしましょう。