Netskope named a Leader in the 2024 Gartner® Magic Quadrant™ for Security Service Edge. Get the report

閉める
閉める
  • Netskopeが選ばれる理由 シェブロン

    ネットワークとセキュリティの連携方法を変える。

  • 導入企業 シェブロン

    Netskope は世界中で 3,000 を超える顧客にサービスを提供しており、その中にはフォーチュン 100 企業の 25 以上が含まれます

  • パートナー シェブロン

    私たちはセキュリティリーダーと提携して、クラウドへの旅を保護します。

Still Highest in Execution.
Still Furthest in Vision.

Learn why 2024 Gartner® Magic Quadrant™ named Netskope a Leader for Security Service Edge the third consecutive year.

レポートを読む
Netskope Named a Leader in the 2024 Gartner® Magic Quadrant™ for Security Service Edge graphic for menu
私たちは、お客様が何にでも備えることができるように支援します

お客様について
窓の外を見て微笑むメガネをかけた女性
Netskopeのパートナー中心の市場開拓戦略により、パートナーは企業のセキュリティを変革しながら、成長と収益性を最大化できます。

Netskope パートナーについて学ぶ
色々な若い専門家が集う笑顔のグループ
明日に向けたネットワーク

サポートするアプリケーションとユーザー向けに設計された、より高速で、より安全で、回復力のあるネットワークへの道を計画します。

ホワイトペーパーはこちら
明日に向けたネットワーク
Netskope One プラットフォームの紹介

Netskope One は、SASE とゼロトラスト変革を可能にする統合型セキュリティおよびネットワーキング サービスを提供するクラウドネイティブ プラットフォームです。

Netskope One について学ぶ
青い照明の抽象画
セキュアアクセスサービスエッジ(SASE)アーキテクチャの採用

Netskope NewEdgeは、世界最大かつ最高のパフォーマンスのセキュリティプライベートクラウドであり、比類のないサービスカバレッジ、パフォーマンス、および回復力を顧客に提供します。

NewEdgeの詳細
NewEdge
Netskope Cloud Exchange

Netskope Cloud Exchange (CE) は、セキュリティポスチャに対する投資を活用するための強力な統合ツールを提供します。

Cloud Exchangeについて学ぶ
Netskopeの動画
  • セキュリティサービスエッジ製品 シェブロン

    高度なクラウド対応の脅威から保護し、あらゆるベクトルにわたってデータを保護

  • Borderless SD-WAN シェブロン

    すべてのリモートユーザー、デバイス、サイト、クラウドへ安全で高性能なアクセスを提供

  • Secure Access Service Edge シェブロン

    Netskope One SASE は、クラウドネイティブで完全に統合された単一ベンダーの SASE ソリューションを提供します。

未来のプラットフォームはNetskopeです

インテリジェントセキュリティサービスエッジ(SSE)、クラウドアクセスセキュリティブローカー(CASB)、クラウドファイアウォール、セキュアウェブゲートウェイ(SWG)、およびZTNAのプライベートアクセスは、単一のソリューションにネイティブに組み込まれており、セキュアアクセスサービスエッジ(SASE)アーキテクチャへの道のりですべてのビジネスを支援します。

製品概要はこちら
Netskopeの動画
Next Gen SASE Branch はハイブリッドである:接続、保護、自動化

Netskope Next Gen SASE Branchは、コンテキストアウェアSASEファブリック、ゼロトラストハイブリッドセキュリティ、 SkopeAI-Powered Cloud Orchestrator を統合クラウド製品に統合し、ボーダレスエンタープライズ向けに完全に最新化されたブランチエクスペリエンスを実現します。

Next Gen SASE Branchの詳細はこちら
オープンスペースオフィスの様子
SASEアーキテクチャの設計 For Dummies

SASE設計について網羅した電子書籍を無償でダウンロード

電子書籍を入手する
最小の遅延と高い信頼性を備えた、市場をリードするクラウドセキュリティサービスに移行します。

NewEdgeの詳細
山腹のスイッチバックを通るライトアップされた高速道路
アプリケーションのアクセス制御、リアルタイムのユーザーコーチング、クラス最高のデータ保護により、生成型AIアプリケーションを安全に使用できるようにします。

生成AIの使用を保護する方法を学ぶ
ChatGPTと生成AIを安全に有効にする
SSEおよびSASE展開のためのゼロトラストソリューション

ゼロトラストについて学ぶ
大海原を走るボート
NetskopeがFedRAMPの高認証を達成

政府機関の変革を加速するには、Netskope GovCloud を選択してください。

Netskope GovCloud について学ぶ
Netskope GovCloud
  • リソース シェブロン

    クラウドへ安全に移行する上でNetskopeがどのように役立つかについての詳細は、以下をご覧ください。

  • ブログ シェブロン

    Netskope がセキュリティ サービス エッジ (SSE) を通じてセキュリティとネットワークの変革を実現する方法を学びます

  • イベント&ワークショップ シェブロン

    最新のセキュリティトレンドを先取りし、仲間とつながりましょう。

  • 定義されたセキュリティ シェブロン

    サイバーセキュリティ百科事典、知っておくべきすべてのこと

「セキュリティビジョナリー」ポッドキャスト

How to Use a Magic Quadrant and Other Industry Research
このエピソードでは、マックス・ヘイビー、スティーブ・ライリー、モナ・フォークナーが、マジック・クアドラントを作成する複雑なプロセスと、それが単なるチャート以上のものである理由を分析します。

ポッドキャストを再生する
マジック・クアドラントとその他の業界調査の活用方法ポッドキャスト
最新のブログ

Netskope がセキュリティ サービス エッジ (SSE) 機能を通じてゼロ トラストと SASE の導入をどのように実現できるかをご覧ください。

ブログを読む
日の出と曇り空
SASE Week 2023年:SASEの旅が今始まります!

第4回 SASE Weekのリプレイセッション。

セッションの詳細
SASE Week 2023
セキュリティサービスエッジとは

SASEのセキュリティ面、ネットワークとクラウドでの保護の未来を探ります。

セキュリティサービスエッジの詳細
4方向ラウンドアバウト
  • 会社概要 シェブロン

    クラウド、データ、ネットワークセキュリティの課題に対して一歩先を行くサポートを提供

  • リーダーシップ シェブロン

    Netskopeの経営陣はお客様を成功に導くために全力を尽くしています。

  • カスタマーソリューション シェブロン

    お客様の成功のために、Netskopeはあらゆるステップを支援いたします。

  • トレーニングと認定 シェブロン

    Netskopeのトレーニングで、クラウドセキュリティのスキルを学ぶ

データセキュリティによる持続可能性のサポート

Netskope は、持続可能性における民間企業の役割についての認識を高めることを目的としたイニシアチブである「ビジョン2045」に参加できることを誇りに思っています。

詳しくはこちら
データセキュリティによる持続可能性のサポート
思想家、建築家、夢想家、革新者。 一緒に、私たちはお客様がデータと人々を保護するのを助けるために最先端のクラウドセキュリティソリューションを提供します。

当社のチーム紹介
雪山を登るハイカーのグループ
Netskopeの有能で経験豊富なプロフェッショナルサービスチームは、実装を成功させるための規範的なアプローチを提供します。

プロフェッショナルサービスについて学ぶ
Netskopeプロフェッショナルサービス
Netskopeトレーニングで、デジタルトランスフォーメーションの旅を保護し、クラウド、ウェブ、プライベートアプリケーションを最大限に活用してください。

トレーニングと認定資格について学ぶ
働く若い専門家のグループ
サムネイルを投稿

Security Visionaries Podcast の最新エピソードでは、ホストの Max Havey が Netskope の製品ソリューション マーケティング ディレクターである Rich Davis と対談し、サイバー衛生という重要なトピックについて深く掘り下げます。 具体的には、サイバーアウェアネスデーの影響を評価し、年間を通じてサイバー衛生習慣を浸透させる上で企業が直面する課題を明らかにします。 多要素認証とゼロトラストの原則がサイバーハイジーンをどのように向上させるかをご覧ください。 サイバーセキュリティを個人的なものにすることから、それをビジネスの取り組みに変えるまで、このエピソードには、組織や個人の生活におけるサイバーセキュリティを改善するための役立つヒントが満載です。

最終的には、そのユーザー次第です。 ユーザーにとって物事を簡単にする必要があります。 なぜこれが重要なのかを人々に説明し、彼らが良い決断を下し、悪い習慣に陥らないようにするためのツールを導入する必要があります。

—Rich Davis 氏、プロダクト ソリューション マーケティング担当ディレクター
リッチ・デイビス

 

タイムスタンプ

*00:01 - 概要*09:50 - 多要素認証とゼロ トラストの原則
*00:21 - サイバー意識向上日の貢献度の評価*10:12 - 適応型信頼により攻撃対象領域を最小限に抑え、データ損失を防止します
*01:05 - 年間を通じてサイバー衛生を実装するための苦労*12:55 - データ漏洩リスクへの対処とユーザー教育の強化
*02:16 - セキュリティ トレーニングの寿命と継続的な教育の承認*13:45 - 構成ミスとそれに伴うデータ漏洩のリスク
*03:12 - サイバー衛生を維持する際の誤解と課題*15:59 - サイバー衛生をビジネス イニシアチブにする
*04:30 - 企業内でより健康的なサイバー衛生慣行を奨励するための戦略*18:24 - 結論
*07:00 - サイバー衛生を個人の状況に関連付ける実践的な例

 

以下プラットフォームからも聴くことができます:

グリーンプラス

本エピソードの出演者

Rich Davis
Netskope プロダクト ソリューション マーケティング ディレクター

シェブロン

リッチ・ダヴィ

Richard Davis は、Netskope のソリューション戦略担当ディレクターです。 クラウドセキュリティ、セキュリティサービスエッジ、リスク管理などのサイバーレジリエンスと防御に関する洞察と専門知識を国ごとに提供するとともに、EMEA地域の製品およびソリューション戦略を監督しています。

Davis は、20 年以上の経験を持つ熟練したサイバーセキュリティの専門家であり、組織が従業員とデータを保護できるよう支援することに情熱を注いでいます。 Netskope に入社する前は、Davis は主任ソリューション アーキテクト、EMEA の製品およびソリューション責任者を務め、その後 Proofpoint でサイバーセキュリティ ストラテジストを務めました。

リンクトインのロゴ

マックス・ハービー
Netskope、シニアコンテンツスペシャリスト

シェブロン

マックス・ハービー

マックス・ハービー(Max Havey)は、Netskopeのコーポレートコミュニケーションチームのシニアコンテンツスペシャリストです。 ミズーリ大学のジャーナリズム学部を卒業し、雑誌ジャーナリズムの学士号と修士号の両方を取得しています。 ソフトウェアおよび生命保険業界のスタートアップのコンテンツライターとして働いており、複数の業界のゴーストライターや編集を経験しています。

リンクトインのロゴ

リッチ・ダヴィ

Richard Davis は、Netskope のソリューション戦略担当ディレクターです。 クラウドセキュリティ、セキュリティサービスエッジ、リスク管理などのサイバーレジリエンスと防御に関する洞察と専門知識を国ごとに提供するとともに、EMEA地域の製品およびソリューション戦略を監督しています。

Davis は、20 年以上の経験を持つ熟練したサイバーセキュリティの専門家であり、組織が従業員とデータを保護できるよう支援することに情熱を注いでいます。 Netskope に入社する前は、Davis は主任ソリューション アーキテクト、EMEA の製品およびソリューション責任者を務め、その後 Proofpoint でサイバーセキュリティ ストラテジストを務めました。

リンクトインのロゴ

マックス・ハービー

マックス・ハービー(Max Havey)は、Netskopeのコーポレートコミュニケーションチームのシニアコンテンツスペシャリストです。 ミズーリ大学のジャーナリズム学部を卒業し、雑誌ジャーナリズムの学士号と修士号の両方を取得しています。 ソフトウェアおよび生命保険業界のスタートアップのコンテンツライターとして働いており、複数の業界のゴーストライターや編集を経験しています。

リンクトインのロゴ

エピソードのトランスクリプト

トランスクリプトをオープン

Max Havey [00:00:02] こんにちは、Security Visionaries Podcast の別版へようこそ。このポッドキャストはサイバー データと技術インフラストラクチャの世界に関するもので、分野を越えて世界中の専門家が集まります。 今日は私がホストです、マックス・ヘイビーです。今日はゲストのリッチ・デイビス(ここ Netskope の製品ソリューション マーケティング担当ディレクター)とサイバー衛生について話します。 リッチ、今日の調子はどうだい?

Rich Davis [00:00:21] ええ。ねえ、マックス。 ここにいられてよかった。 本日の対談を楽しみにしています。 確かに、私の心にとって大切なのは、以前、人的要因と、人間が物事にどのように影響するかについて、非常に詳細に調べてきたことです。 そして、今日のトピックは確かにそれと非常によく一致しています。

マックス・ヘイビー [00:00:36] 間違いない。 そうそう、ここに飛び込みましょう。 そのため、年の初めにはサイバー関連の啓発日が多くなる傾向にあります。 例えば、2月1日や今日が「より安全なインターネットの日」である「National Change Your Password Day」などです。 しかし、あなたの経験から、このような気づきの日が本当に効果的であることに気づきましたか? 例えば、セキュリティの専門家が人的要素に対処する際に本当に求めている変化を、彼らが推進しているものは何だと思いますか?

Rich Davis [00:01:05] ええ、もちろん、これらは諸刃の剣です。 第一に、私たちは宣伝を責めることはできません。 どんな認識でも、どんな宣伝も素晴らしいです。 問題は、この種のことすべてと同じように、「よし、今日はやっておこう、また別の日には忘れてしまうだろう」という考えになってしまうことだと思います。 そしてもちろん、これは年間を通じて取り組む必要があり、私たち、ユーザー、そしてその人々に関しては、彼らは防御の最前線です。 したがって、彼らはこのことについて考え、セキュリティと日々行っていることについて考える必要があります。 繰り返しになりますが、特定の日にそれに焦点を当てることは素晴らしいことです。 あまり良くないのですが、また忘れてしまうかもしれません。 そして、これはデータにもよく見られます。 ユーザーの行動に関する履歴データの一部を見てみると、セキュリティ意識向上トレーニングを実施してから 1 ~ 2 週間後には、より良い結果が得られ、クリック率が低下していることが実際にわかります。コンテンツ。 そういったことをする可能性が高かったのです。 DLPアラートが落ちるようなことも覚えていますが、その後は尾を引くのです。 そして、はい、だからこそ、この種のことはかなり効果的です。 はい。 組織は、これが継続的な進化であることを本当に考える必要があります。 毎日、毎週。

Max Havey [00:02:16] もちろんです。 セキュリティトレーニングの半減期は、CSOチームのさまざまなメンバーから聞いた限りでは、かなり短いです。 ですから、一年を通して意識の中でそれを続ける方法を見つけるのはとても良いことです。 しかし、たった1日だけでは、全体的に効果がないように思えます。

Rich Davis [00:02:32] ええ、ええ、間違いなく。 そして、私は、これらの、これらの安全なインターネットの日とパスワードの変更の日は、本当にある意味で、昨年のそのビンに辞任すべきだと思う。 そして、本当は、私たちはこのことについて、もっと総合的に考えるべきなのです。

Max Havey [00:02:47] 善意のたった1日ではなく、一年中サイバー衛生に関する会話が行われていることは間違いありません。 しかし、結果は必ずしも私たちが望むものとは限りません。

Rich Davis [00:02:56] 私たちは、より安全なインターネットライフと呼ぶべきです。 ほんとですか。

Max Havey [00:02:59] もちろんです。そして、ここでの最初の大きな質問は、サイバーハイジーンについて考えることです。 組織が実際に取り組んで年間目標のようなものを立てるには、サイバー衛生が難しく、時には退屈な作業になる可能性があるのはなぜだと思いますか?

Rich Davis [00:03:12] ええ、歴史的な側面もあると思います。 だから、私たち全員がそこにいたことがあります、私たちは皆、私たちが恐れている電子メールを受け取ったことがあります、そしてそれはあなたのトレーニングまでに行くまでの年に一度の時期です、そしてあなたはこう思います、これは8時間です、私には時間がありませんこれ。 そして、私たちは自動的にこの否定的な意見を得ます。 そして、個人として、私たちには、これを行う必要はない、そう、私たちはよくある感覚を持っており、自分たちが何をしているのかを知っているという感覚が組み込まれていると思います。 ですから、それらは間違いなく一役買っていると思います。 そしてそれが問題の一部だと思います。 また、個人の利益ではなく、組織の利益を中心に考えられていることが多すぎるとも思います。 そして、多くのことがあり、これが本当に成功するのは、家族の中の個人に焦点を当てたときだと思います。 もし、あなたとあなたの家族の安全を守る方法にまで広げることができれば。 そうすれば、組織はその個人に関連したものになるので、より大きな影響力を持つようになると思います。

Max Havey [00:04:01] ユーザーの個人的な側面にアピールすることは、ユーザーにとって現実味を帯びた方法のように感じます。 そして、それは、広範で抽象的な機密データについて話すだけではありません。 それはあなたの社会保障番号です。 それは、パスワードが安全であり、銀行情報が安全であることを確認することであり、それが理由で個人を特定できる情報であるようにすることです。 同様に、ここでのあなたの役割において、組織内でより良いサイバー衛生慣行を推進する方法をどのように見つけましたか? もしかしたら、そういった個人的な要素を強調した方がいいのではないでしょうか?

Rich Davis [00:04:30] ええ。そして、それは本当にいくつかのことに帰着すると思います。 まず、そのトレーニングをどのように設計するかです。 もちろん、私たちは特にIDとパスワードにある程度焦点を当てていますが、もちろんそれよりもはるかに広い範囲に焦点を当てています。 おっしゃる通り、パーソナルにするということだと思います。 つまり、ビジネス的な意味ではお互いに起こりうる実例を挙げると同時に、それを彼らが理解できるもの、おそらく個人的な意味でのものにリリースするということです。 つまり、個人のクレジットカードを盗むことを、会社のPIAや知的財産を盗むことに関連づけているのです。 そして、その効果がもたらすことができる。 なぜなら、繰り返しになりますが、あなたはそれを個人的なものにし、現実のものにし、彼らが日々考えていることや、彼らが個人的に気にかけているかもしれないこととリンクできるようにしているからです。 向こう側、つまり時間という観点から考えると、 そして、これをやるとき、これは本当に一年を通して点滴で供給することだと思います。 組織がユーザーのトレーニングに費やせる時間は 1 年のうちに限られており、多くの組織が「わかりました」と判断してしまうと思います。 右。 8時間です。 この日に一度だけやるよ」 そして、実際には、それを壊すのがはるかに効果的な方法です。 はい、コンプライアンス上の理由から、これらの要件を満たす必要があるため、特定のトレーニングを年に一度受ける必要があるかもしれませんが、それ以外の場合ははるかに時間を費やすことができます。 それは、それを点滴し、ジャストインタイムのトレーニングを受けることですが、会社が直面している状況にも関連させます。 実際にできるのであれば、あまり一般的なものにするのではなく、組織に関連する脅威の種類について、ユーザー、従業員に知らせてください。 もう一度言いますが、組織とのリンクが得られます。 彼らは、特定のトレーニングを受けるように求められる理由を理解できます。 したがって、そのトレーニングに対する全体的な反応が改善されます。 そして、私は過去の人生で、組織と協力して行動の変化を追跡しようとして、年に一度のこの種のトレーニングから、よりターゲットを絞ったトレーニングプログラムに移行して、2015 年の期間にわたって実施することを直接見てきました。フィード コンテンツをドリップする年は、ただトレーニングするだけであり、そのポータルで年に 1 回行われる e ラーニングを、それだけではなく、はるかに広範なものにします。

Max Havey [00:06:44] もちろんです。 もう少し掘り下げると、先ほどお話ししたように、この種のトレーニングを家族の特定のユーザーや日常生活に関連させる方法を見つけることです。 では、それがどのようなもので、どのように展開されるのか、いくつかの例を挙げていただけますか?

Rich Davis [00:07:00] ええ。私自身に関連する例を挙げましょう。 ティーンエイジャーになったばかりの子供たちが、初めて自分の銀行口座を管理し始めています。 私たちは、彼ら自身の世話をすることから、彼らが携帯電話にアプリを入れられるようにし、Apple Pay を使えるようにすることに移行しました。 ですから、これは私に直接個人的なことですが、これは次に、それをどのように保護するかに焦点を当てます。 家事で稼いだ苦労して稼いだお金が、情報に不注意だったために一晩で消えてしまうのは望ましくありません。 したがって、ご存知のとおり、私たちは幼い頃から安全を保つことについて子供たちに話し始めます。 2人ともパスワードマネージャーを入手し、そこに鍵の認証情報を保存できるようにしました。 私はこれがなぜ必要なのかを徹底的に話し、彼らが置かれている状況に関連したものにするために努力してきました。 したがって、これは、それを意味のあるものにするために、どこに挑戦できるかを示す 1 つの素晴らしい例だと思います。 つまり、彼らは今、毎日毎日パスワード マネージャーを使っているのです。 つまり、覚えておく必要のある資格情報は 1 つだけです。 覚えておくべきことは 1 つしかないため、複雑になる可能性があります。 そして、これは13歳と15歳です。 ですから、もし彼らがそれを行うことができるのであれば、ビジネスの観点から、すべての人が同じことができない理由はありません。 娘の今が私を前に出して、ざっと通り抜けると、「ああ、お父さん、これは明らかだ」という感じでした。 そして、これは、私たちが行っていることの利点を実際に確認できる素晴らしい例です。 もうひとつの良い例は、人々が日常的に理解していることに関連づけることだと思います。 YouTubeを見ると、最大級のテクノロジーやセキュリティのチャンネルを含む、非常に有名なYouTubeチャンネルで大規模なハッキングが相次いでいます。 Linus Techのヒント。 この分野で多くの人が見ている最大のヒントの1つ。 彼らは YouTube アカウントを侵害されており、パスワード マネージャーや 2FA を使用するというセキュリティのベストプラクティスを実践している人物ですが、それでも回避する方法はまだあります。 ここで、やはり人的要素が関与しなければなりません。これは、人々のアクセスを保護して阻止するだけではなく、その組織を迅速に発見して通知することも重要です。 そして、その特定のケースでは、誰かが異常な動作を発見しました。 そして、隠蔽しようとしたり、何か悪いことをしたと考える代わりに、彼らはすぐに組織内の誰かに連絡し、はるかに迅速にそれに対処することができました。 そしてまた、それは、さて、あなたの露出が何であるかという領域に入ります。 たとえ誰かが組織に侵入したとしても、他にどのようなツールを用意していますか? なぜなら、これは認証だけの問題ではないからです。 もちろん、ユーザーと話をするとき、これはアイデンティティの側面だけにとどまりません。 また、情報を確実に保護するためにできることは他にもあります。

Max Havey [00:09:50] もちろんです。 そして、そこに表示したものをダブルクリックします。 多要素認証とゼロトラストの原則は、この番組や世界中でサイバーセキュリティの会話で頻繁に使用される傾向にあるもう 1 つの用語です。 組織がサイバー衛生をより良く推進し、会話を継続するために使用できるツールとして、この種のことがどのように関与しているのでしょうか?

Rich Davis [00:10:12] そうですね、多要素認証については多くの動きがあり、多くの組織が今それを活用しています。 また、特権アクセス管理を使用して、実際にその特権アクセスの多くに対してさらに深いアプローチを採用しています。 人間が関与している間に、偽のクレデンシャルページに入力させ、すぐにログインさせることで、多要素トークンを盗む方法は常にあるということです。 もちろん、独自のMFAを設定することもできます。 これらのテクニックの多くを回避する方法は他にもあります。 ですから、これらのベストプラクティスをすべて取り入れるほど簡単なことではありません。 組織は、最悪の事態が発生した場合にデータ損失を防ぐにはどうすればよいかという概念について真剣に考える必要があります。 ある時点で、ユーザーの 1 人が資格情報を盗まれると仮定します。 誰かがアクセスしようとしています。 その損失範囲を制限しなければいけません。 その攻撃対象領域を制限する必要があります。 そこで登場するのが、ゼロトラストの原則などです。 なぜなら、理想的な世界で毎日毎日働いているユーザーのことを考えているのであれば、彼らは仕事をするために必要な最低限の不安だけを持つべきであり、それ以上のことは何もないはずだからです。 つまり、彼らの仕事が金融プラットフォームに入ってデータ入力を行うことであるとします。 その後、そのアプリケーションにのみアクセスできるようになります。 いつ、どのようにアクセスできるかを規定するルールを用意する必要があります。 しかし、もっと重要なことは、彼らが実行できるアクションがたくさんあるということです。 レポートを取り出す必要はありません。 彼らがデータを取得して、そのデータを公共のファイル共有サービスなどに送信できる必要はありません。もちろん、それは彼らがデータを盗もうとするときにまさにその攻撃を受けることになるのです。彼らは情報を引き出すために挑戦するつもりであり、彼らはそのデータを引き出すためにリモートサービスを使うつもりです。 そして、これが、アダプティブトラストを持つという概念全体であり、私はゼロトラストという言葉が好きではありません。 それは良い原則に基づいていますが、実際には継続的な適応型信頼です。 それは、現在の状況を見て、アクションを見て、ユーザーの認証、ユーザーの場所、ユーザーのアクション、過去のアクションと現在のアクションなど、さまざまな基準を見て、その決定を下すことです。 それが起こるべきか、起こらないべきか。 したがって、この種のアプローチを使用すると、最悪の事態が発生した場合に攻撃対象領域を制限できます。 また、これらのタイプのポリシーを使用して、組織が動作の違いを確認し始めたときにアラートをトリガーすることもできます。 たとえば、UEBA またはユーザー エンティティ行動分析は優れたツールであり、実際に他の多くのポリシー要素に深く組み込まれて、この種のアラートやインシデント対応プロセスを推進すると、さらに優れたツールになります。

Max Havey [00:12:55] もちろんです。 そして、ユーザーが何か危険なことをしているときに警告を発したり、その種のデータを保護したりすることが非常に重要であると思います。 私たちの CSO チームの Steve Riley が少し前に書いた一連の記事がありました。ウェブメール、Amazon S3 バケット、Azure BLOB など、人々が使用している漏洩性のある SAS アプリについて話していました。人々が日々利用するこれらのさまざまなサービスに対して適切な権限を設定し、比較的ロックダウンされた状態に保ち、誰でも利用できるようにしたままにしていることに気づかずに誤ってデータを公開しないようにします。このリンクを持っているインターネット。 ブルートフォースで侵入する人、またはこれらすべてに侵入する方法を見つけた人。 何かを一方的に設定を間違えて、自分が何をしたかに気づかないのは非常に簡単です。

Rich Davis [00:13:45] そうですね、ここ数年に起きた多くのインシデントを見てみると、必ずしもアカウント侵害が発生したわけではない組織だったというだけでしょうか。その方法でアクセスできますが、誰かがアクセスすべきではない間違った場所にあるデータにアクセスできるだけです。 それが公開されているのか、組織内の誰かがアクセスすべきではないコンテンツにアクセスし、それを置くべきではない場所に置いているのかにかかわらず、そもそもアクセスできるべきではありません。 、そして、移動してはいけない場所に移動します。 そしてもちろん、これは人的要因のもう 1 つの側面であり、システムを使用する最適な方法と、データをどこに置くべきか、どこに置くべきではないかをユーザーが理解できるようにトレーニングし支援することです。 もちろん、これはまったく別のトピックに移りますが、これはユーザーの周りで一日中話し合うことができるかどうか、そしてユーザーが仕事をしやすくしているかどうかです。 人々は簡単だからツールを使いますよね? 物事を成し遂げるのは簡単だからです。 そして、これ自体が、ユーザーが仕事を簡単に行えるようにするソリューションやアクセス方法の導入に関するトピックです。 これらのメカニズムをそこに配置できる場合は、ユーザーが簡単に作業できるようにしますが、その会社が許可する範囲と実施されているセキュリティ制御の範囲内にとどまります。 彼らは、これらのツールを回避するために別の道を歩むことはありません。 繰り返しになりますが、この話題は何時間でも話し合えるかもしれませんが、認証は継続的な適応型信頼という概念全体の一側面に過ぎないという哲学全体と非常に密接に結びついています。

Max Havey [00:15:14] ええと、具体的に紹介していますが、ここで一周して、パスワードの変更日はパスワードを変更するための良い言い訳ですが、多くの人がパスワード変更の通知を受け取り、翌日、翌日、その次の日まで延期します。 そして、どうしても必要になるまでパスワードを変更しません。 そのため、一部のユーザーにとってはフラストレーションが溜まります。 これは、これをここにまとめるための興味深い方法だと思います。一年を通じてそのようなサイバー衛生の実践を実施し、これらのことを継続することで、すべての問題が解決するわけではありませんが、会話を常に活発にし続けることができます。組織と協力し続けるということは、最終的には、たった 1 日だけではないということを意味します。 サイバーセキュリティのことについて考えるのは年に1日だけで、パスワードは絶対に変更しなければなりません。

Rich Davis [00:15:59] そしてもちろん、私たちが彼らにしてほしくないのは、パスワードを覚えやすいもの、つまり本の後ろにあるものに変えることです。 または、Excel スプレッドシートを投入します。 パスワードを変更することのもう一つの欠点はどれですか? また、複数のシステム間でパスワードを要求します。 そうです、それが私がパスワードマネージャーを強く支持する理由です。 覚えておくことができるキーの複雑なパスワードが 1 つあります。 それを定期的にローテーションします。 そしてもちろん、パスワードをローテーションするのは、誰かを締め出す良い習慣だからです。 したがって、誰かがアクセス権を持っている場合、アカウントでロックアウトされます。 そして、それが私たちがそれを行う主な理由の1つです。 しかし、最終的にはそのユーザー次第です。 ユーザーにとって物事を簡単にする必要があります。 なぜこれが重要なのかを人々に説明し、彼らが良い決断を下し、悪い習慣に頼らないようにするためのツールを導入する必要があります。

Max Havey [00:16:54] もちろんです。 そして、ここでの質問は終わりです。 リッチ、サイバー衛生に関して、セキュリティ担当者にアドバイスを 1 つ与える必要があるとしたら、それを簡単にし、プロセス全体を改善して年間を通じて会話できるようにすることについて、そのアドバイスは何ですか?なれ?

Rich Davis [00:17:10] そうですね、私は組織のセキュリティ部門以外にも多くのリーダーと話をしてきました。 そして、組織がここで最善のアプローチをとっているのは、これがビジネスの取り組みになるところです。 多くの人がこれをセキュリティイニシアチブと見なしていますが、これはビジネスイニシアチブです。 ですから、経営幹部から賛同を得て、スポンサーシップを得て、実際にCEOにこれが重要な理由について紹介ビデオで紹介してもらい、ビジネスリーダーが自分のツールの所有権を持ち、それをスタッフに広めるのを手伝うことが、これを実現するための鍵となります。 ですから、ここでの私からのアドバイスは、まだ行っていない場合は、これをセキュリティイニシアチブからより広範なビジネスイニシアチブに移行する方法を検討することです。

Max Havey [00:17:55] もちろんです。 これに最も注目されるのは、最も多くの人々がこれに関与することです。 したがって、これはより広範な問題にはなりません。 サイバーセキュリティの問題の結果として、侵害などの見出しに載ることを望んでいません。 したがって、この努力をすることは、最終的にはあなたが働いている組織全体の利益になります。

Rich Davis [00:18:11] ええ、100%です。

マックス・ハビー [00:18:12] 素晴らしい。 まあ、リッチ、あなたと私はおそらく1時間かそこらでこのことについて話し続けることができると思いますが、私たちはここで時間に来ていると思います。 ご参加いただき、誠にありがとうございました。 これはとても素晴らしい話で、あなたはここで多くの素晴らしい洞察を提供しました。

Rich Davis [00:18:24] マックス、今日はお会いできて光栄です。 私は、リスナーの中には、今日のポッドキャストから少なくとも 1 つまたは 2 つの豆知識、1 つまたは 2 つのことを取り出して、自分の所属組織に戻してもらえることを願っています。

マックス・ハビー [00:18:37] 素晴らしい。 そして、あなたは Security Visionaries ポッドキャストを聞いてきました。私がホストを務めました、Max Havey、このエピソードが気に入ったら、友人と共有し、お好みのポッドキャスト プラットフォームで Security Visionaries を購読してください。 そこでは、エピソードのバックカタログを聴くことができ、私または私の共同ホストである素晴らしいエミリー・ウェアマウスがホストする隔週の新しいエピソードに注目してください。 次のエピソードでお会いしましょう。

セキュリティトランスフォーメーションの未来を聴く

このフォームを送信することにより、あなたはNetskopeの 利用規約 に同意し、当社の プライバシーに関する声明に同意したことになります。