ゼロトラスト:単なるアイデンティティ以上のもの

Emily Wearmouth [00:00:01] こんにちは、Security Visionaries Podcast の別版へようこそ。このポッドキャストでは、幅広いサイバー データやその他の関連トピックについて専門家を集めます。 ホストのエミリー・ウェアマスですが、今日はジョン・キンダーヴァグとニール・タッカーの2人の専門家ゲストが加わりました。 それでは、いくつかの紹介を邪魔にならないようにしましょう。 まず、ジョン、あなたはこの番組でこれまで使われた中で最も印象的な非公式のタイトルの1つである「ゼロトラストのゴッドファーザー」を持っているからです。 あなたは Forrester でこのタイトルを取り上げましたが、ジョンはリスナーの利益のために、データ セキュリティ アプローチとして現在ゼロトラストとして知られている原理に名前を付けました。 アナリストにとって、『ゴッドファーザー』はおそらくキャリアの頂点だと思います。 近年は、多くのセキュリティベンダーのエバンジェリストとして働いており、現在はIllumioのチーフエバンジェリストを務めています。 ショーへようこそ、ジョン。

John Kindervag [00:00:47] やあ、お招きいただきありがとうございます。

Emily Wearmouth [00:00:49] Neil Thacker は、9 月にパイロット エピソードに参加したため、通常のリスナーには認識できる声です。 彼は現役で非常に忙しいCSOですが、それでも時間を作って、ガバナンス、コンプライアンス、AIなど、あらゆる種類の専門家のところに連れて行ってくれます。 ニールは、実践的なCISOとして、塹壕からの視点を私たちに与えるためにここにいます、彼は、原則とイデオロギーがビジネスに入るときに実際に何が起こっているのかについて、私たちに現実の線量を与えることができることを願っています。 さて、今日は何を話そうとしているのかわかりますか? ええ、それは誰もが口にする話題です ゼロトラスト。 そして、すぐに飛び込みます。 そして、ゴッドファーザーをポッドキャストに登場させたのは惜しいと思います。 ジョン、まずはあなたから始めてもいいですか? ゼロトラストについて簡単に説明していただきたいのですが、特に、Forresterにいたときにゼロトラストアプローチを最初に考えたきっかけは何だったのか、ぜひお聞かせください。

John Kindervag [00:01:36] フォレスターに来る前は、私は開業医でした。 私はセキュリティエンジニア、ネットワークエンジニア、セキュリティアーキテクト、ペネトレーションテスター、ファイアウォールを担当していましたが、当初から、インターフェイスに0から100の信頼レベルが与えられる信頼モデルを持っていました。 つまり、最も信頼度の低いインターフェイスは 0 でパブリック インターネットに送られ、100 では最も信頼度の高いインターフェイスが内部ネットワークに送られます。 そして、他のすべてのインターフェースには異なる番号が付けられていました。 しかし、それは 0 でも 100 でもなく、互いに同じではあり得ません。 そして、それらの信頼レベルによってポリシーが決まります。 そのため、たとえば、高い信頼レベルから低い信頼レベルに移行する場合、送信規則を使用する必要はありませんでした。 そして、データの流出を心配して、私はいつもそれらを入れようとしていました、そして、それはメーカーがそうする必要があると言う方法ではないので、トラブルに巻き込まれるでしょう。 論理的には、誰かが入れば出て行くというのが私の考えです。 そして、一方通行で済むドアを持つのは愚かなことです。 ですから、ゼロトラストは、その壊れた信頼モデルに対する私の反応です。 その信頼は人間の感情です。 そして、デジタルの世界から抜け出す必要があります。 パケットとは関係ありません。 人はパケットではありません。 信頼という概念は適用できません。 ですから、信頼という言葉を取り除きましょう。 それが一番簡単なことです。 シグナルを検証する検証に置き換えて、リソースへのアクセスを許可することに自信を持たせます。

Emily Wearmouth [00:03:14] ゼロトラストの話はよく耳にしますが、あなたが最初のアイデアを思いついてから少し時間が経ちました。 それで、最初にそれを思いついたときの反応はどのようなものでしたか?

John Kindervag [00:03:22] まあ、熱狂的とは言えませんでした。 実際、私は完全に頭がおかしくなったと言われました。 これはどこにも行きません。 その他、公開ポッドキャストでは言わないこと。 それで、11 年後の 2010 年に、私は最初のレポートを書きました。 11年後、大統領は、すべての米国連邦政府機関にそれを採用することを義務付ける大統領令を発令しました。 そして、それは今や世界的なムーブメントとなっています。 だから、まさかこんなことになるとは思ってもみませんでした。 そして、私は多くの人から、そんなことは決して起こらないとはっきりと言われ、私は文字通り地球上で最もクレイジーな人間の一人だと言われました。

Emily Wearmouth [00:04:00] なぜ流行ったと思いますか?

John Kindervag [00:04:03] それは論理的に理にかなっているからであり、また、ネットワークのセキュリティを確保するのに本当に大きな困難を抱えていた多くのアーリーアダプターが、それを試して他の人に伝え、他の人に伝え、他の人にそれがうまくいくと言ったからです。 そして、それは塹壕で証明されました。 つまり、最初のレポートを発表する前に、2 年間にわたる一次調査を行いました。 プロトタイプの環境を構築しました。 私は政府機関で働きました。 ですから、私はそれがうまくいくこと、それが正しい戦略であることに疑いの余地はありませんでした。 なぜなら、ゼロトラストは何よりもまず、米国大統領のような組織の最高レベルに響く戦略だからです。 そして、市販の既製の技術を使用して戦術的に実装することができます。 ですから、戦略と戦術を切り離す必要があることは常にわかっていました。 戦略は変わりません。 戦術は時間の経過とともにどんどん良くなります。 右。 はい。 それでニールと私は、ロンドンのホテルにずっと昔行きました。 そうだな、ニール?

Neil Thacker [00:05:13] ええ。初めて会ったのは2012年だったと思います。 今から12年前の話は恐ろしいですね。 そして、私はその言葉について聞きました。 ゼロトラストの定義についてお聞きしました。 そして、私たちは議論をしました。 会議中の昼食時だったと思います。 そして、そう、私たちはゼロトラストが何であるかを、どのように適用できるかについて話し合っていました。 そして、当時は、そう、それはファイアウォールであり、IPSでした。 IPS について話し、IPS やこれらのツール、またはリアルタイム ネットワーク認識などの新しい機能が実装され、信頼のさまざまな変数を取得しようとしていたことに関するコンテキストを見たのを覚えています。 その通り。 おっしゃるとおり、ポリシーをどのように定義するか、そして信頼レベルに基づいてポリシーをどのように調整するかという点です。 でも、面白かったのは、その時、そのホテルにトム・クルーズが泊まっていたんです。 そして、それはおそらく、ホテルの周り、ホテルに人がいて、ホテルに泊まっていたり、ホテルで会議をしていたりするという点で、素晴らしい例えをしているのでしょう。 そして、最上階のトム・クルーズには、6、7の部屋があり、互いにぶつかり合っていました。 だから、彼はジムを持っていて、ミッション・インポッシブルの撮影中に滞在していたのは明らかだった。 そして、それはゼロトラストという点で素晴らしい例えだと思いますが、事実、人々はそのホテルにいましたが、それらの個人にはゼロトラストが適用されていましたよね? 彼らはそれらの階に行くことを許されませんでした。 これらのエリアへのアクセスを完全に制限するために、非常に厳重なセキュリティがありました。 そう、初めて会ったのはあれでした。 それ以来、ずっとフォローしています。 過去 12 年間、組織としてゼロトラストに取り組み、採用してきました。

Emily Wearmouth [00:06:39] ニールさん、正直にお聞きしてもよろしいですか、ゼロトラストのコンセプトに対する最初の反応はどうでしたか? それはすぐに、素晴らしく、実行可能なものとして歌い、すべての答えを握っているのでしょうか? それとも、最初は懐疑的だったのでしょうか? 最初はどうでしたか?

Neil Thacker [00:06:54] 私は原則のファンでした。 私は原則の絶対的なファンでした。 これを長年経験してきました。 たとえば、サービスへのアクセスを保護するためにIPアドレスに依存するだけではありません。 満たさなければならない条件はたくさんあります。 いつも5つのWの大ファンでした。 何かを作り始めるときは、誰が、何を、どこで、いつ、どこで、どのように、よりよく理解し、それらの原則を適用する必要があります。 これは、もちろん、セキュリティ以外でも長年にわたって使用されてきたキプリング法です。 したがって、私は常にこれらのものを利用することの大ファンですが、同時に、私たちが実施しているポリシーをよりよく理解する方法にも興味があります。 私は、当時のセキュリティ運用チームであるチームに、ポリシーや条件を課すたびに、それが実際に何を正しく行っているのか、それが組織にどのような利益をもたらしているのかを理解するという点で常に挑戦していました。 そして、インサイダーの脅威や外部の脅威などについて話すときは、それを考慮する必要があります。 そして、これらのケースでは、ゼロトラストの形式が存在する必要があります。 私は原則の大ファンでしたが、もちろん、人、プロセス、テクノロジーの要素をどのように実装できるかを検討していました。

Emily Wearmouth [00:08:00] ジョンさん、長い間、ゼロトラストが野放しになっていて、赤ちゃんが学校に行ったようなものですが、本質的に、ベンダーがゼロトラストという言葉を自分たちの目的に合うように、さまざまな方法で解釈しているのを見るのはどんな感じですか? 彼らは必ずしもあなたのイデオロギーに、あなたのブランディングを押し付けて、すでにやっていることや、自分たちに都合のいいように意味を操作してきたことを、必ずしも構築しているわけではありません。 それはどのように感じますか?

John Kindervag [00:08:29] そうですね、時には少しイライラすることもありますが、私はそういう人たちをこのコンセプトの力の倍増剤として見ています、なぜなら、世の中には他にもたくさんのものがあり、人々が行き着き、何かからそれについて聞くかもしれないし、それは良い音かもしれないし、そうでないかもしれないからです。やがて、ああ、これはパズルの1ピースに過ぎない、と気づくでしょう。 しかし、彼らが見ることができるものは他にもたくさんあります。 NISTのガイダンスがあり、CISAのガイダンスがあります。 私は、NSTAC(大統領の国家安全保障電気通信諮問委員会のゼロトラストとトラストIDアクセスに関する小委員会)と呼ばれる大統領小委員会の委員に任命されました。 えっ、政府とか委員会みたいじゃないですか。 しかし、私たちは2022年2月にバイデン大統領にレポートを発表しました。 それは民間部門と公共部門の人々が参加した共同レポートでした。 そして、他のすべてが1つの視点であるため、それはユニークです。 そして、それはコラボレーションでした。 このレポートはゼロトラストとは何かについて権威あるものであるため、誰もが読むべきものだと私は思います。 右。 また、私が参加しているCloud Security Allianceのゼロトラストワーキンググループの基礎にもなっています。 ですから、それを土台にすれば、すべての体がそれを構築する方向に動き始めることができます。 私たちはそれが何であるかについて話し合うのに何年も費やしましたが、それを行うのに十分な時間がありませんでした。 ですから、ゼロトラストの次の段階は、正しく行うことです。 ナイキのモットーを実践し、とにかくやってみよう。

Emily Wearmouth [00:10:12] ベンダーがゼロトラストという言葉を使っているのを聞いたことがありますが、ゼロトラストは、本質的にIDとアクセス管理について話し、販売するための最新の方法に過ぎないと言われているのを聞いたことがあります。 お二人に聞いてみます。 まずはジョン、君から始めよう。 それは公平ですか? そのように利用されていると思いますか、もしそうなら、なぜそれが問題なのでしょうか?

John Kindervag [00:10:32] まあ、そのように使われていますが、間違っています。 右。 アイデンティティは、私たちが消費できる重要なシグナルです。 したがって、ID はゼロトラストのポリシーで使用されます。 しかし、それはゼロトラストの権利と同じではありません。 ですから、当然のことながら、IDベンダーは賢明にもそれに飛びつきました。 しかし、現在、アイデンティティシステムの侵害が数多く見られます。 大手IDベンダーの一部が侵害されているだけでなく、MFAのループに陥ってしまい、もうどうでもいいので、「はい、はい、はい」と繰り返してしまうMFA疲れがあります。 アイデンティティを回避する方法はたくさんあります。 アイデンティティは常に代替可能ですよね? デジタルシステムにおいて、常に、常に、常に代替可能です。 人間のシステムでも代替可能です。 しかし、デジタルシステムでは、代替性が高く、回避や操作が容易であることは確かです。 そして、ご存じのとおり、私は常に、アイデンティティはゼロトラストであるという概念を2つの言葉で反証しています。 スノーデンとマニングは、サイバーセキュリティの分野で最も有名な2人です。 サイバーのビヨンセやリアーナのように、私は彼らを呼んでいます。 右。 なぜなら、彼らは一言で言えば人だからです。 そして、彼らは信頼できるシステム上の信頼できるユーザーでした。 適切なパッチ レベルが適用されました。 適切なエンドポイント制御がありました。 彼らは非常に強力なMFAを持っていて、私たちが民間部門で使っているよりもはるかに強力でした。 しかし、それらは非常に使いにくく、非常に面倒で、多くの摩擦を引き起こします。 しかし、認証後のパケットを見て、ネットワークや連邦政府のハイサイドネットワークと呼ばれるもの上で何をしているのかを尋ねる人は誰もいませんでした。 そのネットワークで認証されると、そのネットワーク上のすべてにアクセスできるようになります。 それで、私はマニングケースに関与している弁護士と話していました、そして彼は、そのことが最初に私のデスクを横切ったとき、私が質問した、イラクの前線作戦基地にいるPFCがどうしてワシントンD.C.にある国務省の機密電信にアクセスできるのか、と言いました。 そして彼は、私の前に提出されたすべての証拠を読んだ後、私はついにゼロトラストを理解したと言いました。 つまり、アイデンティティはポリシーの中で消費されるのです。 重要でないというわけではありませんが、最大限に重要でもありません。 これはシステムの構築であり、テクノロジーの導入ではありません。

エミリー・ウェアマス [00:13:02] では、ニール、他の要因は何でしょうか? そして、ジョンがそこで言っていたことを少し話しますが、私はいつもゼロトラストについて考えていましたし、略語としてよく使われるのは、彼らが検証するのではなく、検証してから信頼することです。 しかし、検証してから別の何かを検証することについて話しているように聞こえます。 そして、少し後にもう一度確認します。

John Kindervag [00:13:19] その信頼を使うつもりなら、それは検証であり、そこに別のものが必要な場合は決して信頼しないでください。 右。 はい。 しかし、信頼するが、検証する。 その歴史を見ると、ロナルド・レーガンは決してそれを言わなかった。 彼はロシアのことわざを使っていて、それをロシア語で言いました。 ご存じのとおり、私のロシア、私はその言葉を言うことができませんでしたが、それは一夜にして起こったようなもので、証明されたものではありません。 私と、ロシア人の友人が指摘しているように、要するに、ロシア語で韻を踏んでいるだけなのです。 そして、そして彼は言いました、そしてもちろん、それは信頼を意味しますが、検証します。 そして、それは冗談で、みんな笑った。 ですから、ロナルド・レーガンが作ったのは文字通りのジョークであり、私たちはそれを真剣に受け止めました。 だから、いろんな人と話してみました。 何。確かにサイバーセキュリティ戦略とそれは信頼しますが、検証します。 さて、なぜあなたはそれを言うのですか? ロナルド・レーガンが言ったからだ。 はい。 サイバーセキュリティの偉大な専門家であるロナルド・レーガンは、まさにその通りだったと言います。 それは、最初のマルウェアが作成される前の時代でした。だから、誰かが言ったからといって、人々がこれらの意見をそのまま受け入れるというのは、まさに狂気の沙汰でした。 それは群衆の狂気です。

Emily Wearmouth [00:14:26] ええ、もちろんです。 では、ニールとはどのような情報で、CISOとしてアクセスに関する意思決定に役立つシグナルにはどのようなものがありますか?

Neil Thacker [00:14:33] つまり、アイデンティティは重要なコントロールの一部であることに同意します。ただし、デバイスは別の要素であるため、たとえばデバイスのカバレッジを確保する必要があります。 それは、どのネットワークか、あるいはクラウドサービスについて話しているのであれば、ネットワークを使用している場合は、インターネットを使用している可能性があります。 それはコンピューティングに関するものです。 それは活動の側面に関するものです。 これは、アクセスしているアプリケーションです。 もちろんアクティビティ自体、そしてストレージとデータの周りには要素があります。 ですから、それには非常に多くの異なる要素やコンポーネントがあります。 つまり、これらは複数のフレームワークである程度定義されているということです。 これらのそれぞれは、消費、またはレベル、または信頼の信頼でなければなりません。 右。 これを構築するという点では。 そして、組織はそこから真剣に検討を始めなければならないと思います。 そして、例を挙げましょう。 私は講演を行い、ゼロトラストの採用の成熟度の違いについて話しました。 聴衆の誰かが手を挙げて、「VPNとアクセス制御とACLを持っているので、信頼はゼロです」と言いました。 私の答えは、ええ、そうですね、ここにはおそらく1つ、1つ、または2つの基本がありますが、他の多くの要素を考慮する必要がありますよね、というものでした。 そして、それはこれの一端を担うはずです。 私もジョンの意見に全く同感です。 そしてこれは、単なるアイデンティティを超えて、組織の信頼を決定するコントロールとなるために、絶対に重要です。

John Kindervag [00:15:51] そうですね、決めつけるか、自信があるか、信頼していないか。 私はあなたをtワードから外さなければなりません。 ゼロトラストの4文字の単語です。 これは 4 文字の単語です。 しかし、ここからが本題です。 それは欠けていますよね? キプリング法についておっしゃいましたね。 誰が、何を、いつ、どこで、なぜ、どのように。 実際、あなたがそう言っていたとき、あなたは理由を省いたとおっしゃいましたが、私は「なぜ」をしなかったのか、と言いました。 なぜ最初の質問です。 なぜこれを行うのですか? では、なぜサイバーセキュリティを行うのでしょうか? サイバーとは何か、なぜそれを保護する必要があるのか? まず第一に、私たちは私たちがいるビジネスの名前を間違えました。 しかし、第二に、セキュリティを行う唯一の理由は、何かを保護することです。 右。 つまり、ゼロトラストとは、基本的な概念がテクノロジーではなく、保護面であるということです。 何を守っているのか? これが、5 ステップのモデルで開始する作業です。 そしてそれはNSTACレポートに文書化されています。 そこで、誰もがたどることができるシンプルな5ステップの旅を作りました。 保護サーフェスを定義します。 何を守っているのか。 保護しているものは、データ アプリケーション資産またはサービスを表すダッシュ要素として知られています。 1 種類の DAAS 要素を 1 つの保護サーフェスに配置してから、保護サーフェスを構築するか、ゼロトラスト環境を一度に 1 つの保護サーフェスから構築します。 このようにして、ゼロトラストは3つのインクリメンタルになります。 それを1つずつ、次から次へと繰り返していくのです。 そして、無停止で実現します。 あなたが台無しにすることができるのは、一度に1つの保護面です。 私が見る最大の問題は、人々がそれを一度にやろうとしていることです。 そして、それは不可能です。 それはあまりにも大きな挑戦です。 その後、トランザクションフローをマッピングします。 システムはシステムとしてどのように連携しますか? ご存知のとおり、NSA は先週、セグメンテーションとゼロトラストにおけるセグメンテーションの重要性に関する新しいガイダンスを発表したばかりです。 そして、データ フロー マッピングは、マイクロ セグメンテーション、マクロ セグメンテーション、ソフトウェア デファインド ネットワークと並んで重要な要素の 1 つであると彼らは主張しました。 そのため、システムがどのように機能するかを理解する必要があります。 そして、ステップ3では、適切なテクノロジーが何であるかを把握することができます。 私たちはテクノロジーから始めるように教えられてきましたが、それはベンダーが販売する方法だからです。 彼らはテクノロジーを売っており、私たちは彼らを必要としています。 右。 なぜなら、それらは私たちがポリシーを推進するものを提供しますが、それ自体ではセキュリティを提供しないからです。 なぜそれをやっているのかを理解する必要があります。 次に、ステップ 4 ではポリシーを作成します。 そしてステップ5は、それを監視、維持することです。 それを放置せず、常にそれを見て、それが自分自身を構築し、時間の経過とともにどんどん良くなるようにしてください。

Neil Thacker [00:18:29] そして、それはサイクルですよね? それを繰り返すことです。 そして、そこは、保護する必要がある新しい攻撃対象領域を特定するという点で、テクノロジーが間違いなく支援できるところだと思います。 あなたは表面を保護する必要があります 常に拡大するか、私たちが再び発見するにつれて、より多くの資産。

John Kindervag [00:18:45] まあ、コストがかからないことを願っていますが、私の保護面は常に拡大していません。 比較的そのままでいてほしいと思っています。つまり、特定のデータベースなどに保存されるデータの量という点では大きくなりますが、保護サーフェスにさらに要素を追加したくはありません。 右。 私は、攻撃対象領域の残りの部分からサーフェスを切断するか、分離またはセグメント化しようとしています。 だから、そんなこと気にしなくていいんですよね? つまり、NSAが発表したガイダンスを見ると、小売業者の侵害について言及したことから始まり、次にTargetの侵害について脚注を付けています。 そして、2013年に起こったTargetの侵害は、現代社会におけるサイバーセキュリティの始まりだと誰もが言いたがります。 私は世界をBTとATに分けます。 目標達成後、11年目ですよね? なぜなら、データ侵害を許したという自社の行為が原因でCEOが解任されたのは、ターゲット社が初めてだったからである。 そして、組織内でデータ侵害が発生した場合、それを許可するポリシーが設定されていました。 あなたはただの無作為な犠牲者ではありません。 あなたは、悪いポリシーを持っていることによる、知らず知らずの共謀者です。 そこで彼らはそのことに言及し、HVAC のことと、HVAC が問題ではなかったということについて話します。 問題は、ターゲットが HVAC 制御システムをカード会員データ環境と同じネットワーク上に配置したことであり、これは明らかな PCI、DSS 違反です。 つまり、私は回復中のQSAです。 私は第1世代のQSAの一員であり、PCIの認定を取得しました。 では、故意にそのようなシステムをカード会員データ環境に置くことは決してなかったでしょうか? これは明らかな違反です。

Emily Wearmouth [00:20:32] あなたはターゲットの前と後について話していますね。 これは、世界を分断する上で、とても良い方法だと思います。 この後ターゲットの世界。 私たちはゼロトラストを目の当たりにしており、それはバイデンの大統領令のようなものを通してです。 ゼロトラストは、単なる用語やイデオロギーではなく、テクノロジーコミュニティに受け入れられています。 これは組織内の役員レベルに至るまで行われている会話です。 そして、お二人ともそれがどれだけ役に立つと思いますか? なぜなら、企業は正しいことを考えているのに、その多くが誤解や、既成概念にとらわれずに解決できるテクノロジーがあるという期待によって、より多くの課題を生み出しているからです。

Neil Thacker [00:21:08] 私はCyber Collectiveというグループのメンバーで、約300人のメンバーがいます。 そして、私は彼らにいくつかの質問をしました。 それで、実際にジョンにポーズをとった。 そして、実際に出てきた質問の1つは、ネットゼロトラストアーキテクチャの検討に関するものでした。 そして今では、ゼロトラストの観点から、この点がより重視され、ゼロトラストを適用するためのアーキテクチャを構築する方法が検討されています。 そして、寄せられた質問の1つは、これをどのように見ているのか、そして移行しているのかということでした。 ZTNA を採用することによって、特にネットワークを超えてどのように移行するかについて、私たちはどのように考え、ビジネスに価値を加えているのでしょうか。 つまり、原則とは、ネットワークから離れるにつれて、多かれ少なかれ効果的になる原則です。 しかし、私がネットワークと言うとき、私たちは従来のネットワークと言っているのですが、ネットワークがクラウド サービスなどにまだ存在していることを私たちは知りません。しかし、おそらく取締役会レベルでさえ、この議論を私はこのように聞いています。おそらく組織全体がどのようにAA変革を経験しているか、または次のようなものです。ネットワークやセキュリティの変革。 そして、その点でもう少し理解した方がいいと思います。 この点に関して、私たちはこの進化の段階にあるのでしょうか?

John Kindervag [00:22:12] サイバーセキュリティは間違いなく取締役会レベルのトピックであり、私は多くの取締役会メンバーと話をしてきました。私は将軍、提督、世界中の政府の高官と話をしました。 そして、技術者はテクノロジーバブルにはまり込んでいるため、技術者よりも簡単にそれを手に入れることができます。 彼らは戦略を理解しています。 いくつかのことが起こります。 1 つは、取締役会がこのことについて知っておく必要があるということです。なぜなら、他の幹部が取締役会や CEO のサイバーセキュリティの問題を、見た目が悪くなるからという理由で隠そうとする場面を私は何度も見てきたからです。 そしてデータ侵害が発生し、全員が解雇されます。 率直に言って、ニール、私は今日、CIISOではないでしょう、なぜなら、あなたはバスの下に投げ込まれ、その後、彼らは時間をかけてバスを前後にバックアップする男だからです。 そして、もしかしたら刑務所に入ることになるかもしれません。 誰が刑務所に入ることになるのかはわかりません。 しかし、CISOコミュニティに起こった詐欺の有罪判決やその他の出来事がいくつかあることは確かです。 なぜなら、予算がなかったために自分でコントロールできたかもしれないし、コントロールできなかったかもしれない何かのために解雇されるという目的のために存在しているからです。 すべての CISO が CEO に報告すべきであるのに、あなたは CEO に報告しませんでした。 そのため、CEOはありのままの情報を得ることができます。 しかし、もう 1 つは NIST のようなものです。NIST はサイバーセキュリティや標準化組織ではありませんよね? ですから、英国の皆さんはNISTをやってはいけません。 あなたは米国連邦民間機関システムの一部ではないので、あなたにとって何の価値もありません。 NISTは、米国連邦政府の民間機関にガイダンスを提供するためだけに存在しています。 率直に言って、気にしないことがたくさんあります。 右。 右。 なぜなら、彼らは彼らの意見に耳を傾けてくれる典型的な小さなエージェンシーのためにデザインしているからです。 大手エージェンシーは気にしない。 国防総省は気にしない。 ですから、Cloud Security Allianceで私たちが行っていることにリスナーの皆さんに焦点をあてていただきたいのです。 そして、私たちは基準があると言っているのではありません。 サイバーセキュリティに基準があってはなりません。 標準は相互運用性を提供するため、標準は必要ありません。 そして、相互運用性は今やAPIから生まれています。 ですから、標準はイノベーションを阻害することばかりです。 ですから、今や標準は本当に悪いことだと言えるでしょう。 標準化団体の問題は、妥協が多すぎて、エンドユーザーにとってあまり価値がないことです。

ニール・タッカー [00:24:43] ええ。 私が言いたいのは、この辺りの例を学ぶなど、おそらくそれらのいくつかの長所を取り出すことを見ているということです。 私が目にしているものは、ポリシー施行ポイントを中心としたゼロトラスト アーキテクチャなどを見ると、非常に興味深い側面だと思います。 右。 今日、多くの組織は、ポリシーの実施ポイントを標準化し、原則を活用し、そこに価値を見出せるようにしようとしていると思います。 右。 しかし、はい、私は同意します、あなたはそこにあるものを最大限に活用しなければなりません。 しかし、ほとんどの場合、それはあなた自身が学んでいることです。 あなたの組織が行っていることはユニークなものです。 それは実際に違いを生みますよね? それが私にとってのそれであり、それはそれであり、それは推奨事項です。

John Kindervag [00:25:23] ええと、お二人ともイギリス人ですから、イギリスの言葉を使います。 すべてのゼロトラスト環境は、保護する面に合わせてカスタマイズする必要があります。 申し訳ありませんが、90年代に戻って、IPアドレスをIPアドレスに変更するだけでパケットが流れるリファレンスアーキテクチャを持つことはできません。 昔はそういうやり方でした。 そして、それは非常に20世紀のコンセプトであり、人々が求めているものです。 何をすべきか教えてください。 そして、ビジネスのためにこれらのネットワークを構築したため、それは決してうまくいきませんでした。 そして、ビジネスは、うわぁ、あなたは私に丸い穴をたくさんくれましたが、私は四角い釘を手に入れました。 そして、幸いなことに、ベンダーが無料でポケットナイフをくれたので、角を削って、私たちが作ったものに合わせることができます。 そして、そのせいで、ビジネスは、それに対する非常に低い評価を持っていました。 そして、サイバーセキュリティはビジネスの阻害要因であり、クレジットカードを手に入れたので、クラウドに行くと言いました。 私はシャドーITやそういったことをやるつもりですが、私たちがドーピーだったので、彼らはやるべきでした、ご存知のように、私たちは彼らを彼らの世界に合わせるのではなく、私たちの世界に押し込もうとしていたのです。 また、ゼロトラストに関する一次調査を行っていたときに、ITリーダーとビジネスリーダーに最も重要なものをスタックランク付けしてもらう研究プロジェクトを行い、さまざまな人からさまざまなことのリストを入手しました。 そして、ビジネス リーダーにとってのトップ 3 の優先事項は、収益の増加、収益性の向上、データ漏洩の阻止でした。 データ漏洩の阻止が、リストにランクインした唯一の技術的なものでした。 これらは、ITリーダーの3つの最優先事項でした。 当時はアンチウイルスの捕捉率のようなものでしたが、私のフィッシングテストでは、フィッシングの何パーセントがそのようなものをすべて阻止しましたか? そして、彼らは、収益の増加や収益性の向上、データの流出の阻止といった、ビジネスにとって重要な戦略的事柄を気にしていなかったのです。 収益と収益性を高め、データ侵害を阻止できていないのであれば、仕事をしていないことになります。 そのため、些細なことにとらわれすぎて、ミッションを理解していないのです。

Emily Wearmouth [00:27:42] プロデューサーがタイミングについて私に手を振り始めているのが見えます。 ジョンさん、ぜひお聞きしたいのですが、もし過去に戻れるとしたら、それをゼロトラストと呼ぶでしょうか?

John Kindervag [00:27:52] もちろんです。 人間の感情として絶対的に信頼すること。 そして、人々が人々を信頼できないと言っていると言うとき、私は「いいえ、私はそうではありません」と言っているのです。 私は、人々はパケットではないと言っているのです。 John は現在、ネットワーク上にいません。 ニールとエミリーと私はネットワーク上にいません。 私たちのアサートされたアイデンティティは、何らかのデバイスからパケットを生成するためにアサートされており、私たちはネットワーク上にいません。 だから、私たちがやっていることを擬人化するのはやめましょう。 これはトロンでも芝刈り機男でも、レック・イット・ラルフでもありません。 これが現実の世界です。 だから絶対にそうする。 そして、反発する人は皆、つまり、信頼が何を意味するのかさえ知らないのです。 私のためにそれを定義します。 なぜなら、それは何世紀にもわたって哲学、宗教、人間関係においてのみ使用され、ビジネスでは決して使われなかった人間の感情だからです。 そして、それがどのようにしてテクノロジーに取り入れられたかも知っています。 事故でした。 誰かが真夜中にガレージで何かをコーディングしていて、それを信頼レベルと呼んでいました。 しかし、いいえ、それを取り除きます。 A地点からB地点にパケットを移動させる必要がないため、それを悪用しようとする悪意のあるアクターだけが価値があります。

エミリー・ウェアマス [00:28:59] その通りです。 私が学んでいるのは、すべての質問にどう答えるかということに情熱を注いでいます。 John。 ありがとうございます。 お二人とも、ありがとうございました。

John Kindervag [00:29:07] 出かける前に、ニールに一つ質問してもよろしいですか?

Emily Wearmouth [00:29:09] もちろんです。どうぞよろしくお願いいたします。

John Kindervag [00:29:11] トムがホテルでクルーズするのを見ることができましたか? 私は彼に会ったことがない。

ニール・タッカー [00:29:14] いいえ。 私たちは決してそうではありません。 いや、結局、彼に会うことはできなかった。 いや、あった。 会議の参加者から何度か試みられたと思いますが、誰もその機会を得られませんでした。

John Kindervag [00:29:23] あちこち歩き回ってみたら、あっちへ行け、という大柄でたくましい人たちに出くわしたんだ。

Emily Wearmouth [00:29:30] アクセスが拒否されました。

John Kindervag [00:29:31] ゼロトラストだよ、ベイビー。

Neil Thacker [00:29:34] どうぞ。

Emily Wearmouth [00:29:35] 本日はお集まりいただきありがとうございます。つまり、これは非常に興味深いトピックです。 ジョン、それはしばらく前から存在していたが、もうしばらくはこれと一緒にいると思う。 ポッドキャスト「Security Visionaries」を聴いています。 私はあなたのホスト、エミリーウェイマスをしてきた、と場合は、このエピソードを楽しんだと誰がこのエピソードを楽しまないだろう、それを共有し、セキュリティビジョナリーズポッドキャストを購読してください。

John Kindervag [00:29:56] いい加減にしろよ。 右。

Emily Wearmouth [00:29:58] いいね。ええ、もちろんです。 いいねして購読してください。 そして、あなたも楽しむことができるいくつかの本当に興味深いトピックを持っているので、バックカタログを見てください。 ジョン、ニール、そして次回はお会いしましょう。