ゼロトラストオリジンストーリー

0:00:00.0 ラグー・ナンダクマラ: すべてのインターフェースが同じ信頼を持つべきで、ゼロであるべきだと言いました。そして、まさにゼロトラストの出番です。これは、ポリシーに影響を与えたファイアウォールの構築方法に対する反発に過ぎず、理由はありませんでした。

0:00:18.5 ラグー・ナンダクマラ: ゼロトラストのリーダーシップポッドキャスト、The Segmentの新シーズンで戻ってきました。私はあなたのホストのRaghu Nandakumaraです。ゼロトラストセグメンテーション企業Illumioのインダストリーソリューション責任者です。シーズン2のキックオフとして、ゼロトラストの世界では紹介する必要のないジョン・キンダーヴォーグが加わりました。ジョンは、世界トップクラスのサイバーセキュリティ専門家の一人と広く認められています。実務家および業界アナリストとして25年以上の経験を持つ彼は、サイバーセキュリティの革新的なゼロトラストモデルを構築したことで最もよく知られています。現在、ジョンはイルミオのチーフエバンジェリストとして、ゼロトラストセグメンテーションの認知度を高め、採用を促進する責任を負っています。今日、ジョンは私たちと一緒に、ゼロトラストのオリジンストーリー、人々がゼロトラストの旅で失敗する話、AI と ML がセキュリティの未来にとって何を意味するのか、などについてお話しします。

0:01:18.1 ラグー・ナンダクマラ: これがセグメントです。これはゼロトラストのリーダーシップポッドキャストです。そして、シーズン2のキックオフとして、ゼロトラストのゴッドファーザーをオープニングゲストに迎えるのは正しいことだと思います。このポッドキャストで私たちが実際にこのような会話をしている理由は、イルミオのチーフ・エバンジェリスト、ジョン・キンダーヴォーグ氏だと言えるでしょう。ジョン、ようこそ。

0:01:45.2 ジョン・キンダーヴォーグ: こんにちは、ラグー。いつもあなたと話せて嬉しいし、この特定のポッドキャストに参加できることにワクワクしています。これはインターネット上で最も重要なポッドキャストです。

0:01:54.5 ラグー・ナンダクマラ: 絶対に。ジョン君が出席したことで、その重要性がワンランク上がったと思うよ。もちろん、ゼロトラストについては、フォレスターで勤務していた頃の話に戻りましょう。しかしその前は、誰もが良いオリジンストーリーが大好きで、ゼロトラストのゴッドファーザーというニックネームや肩書きのような素晴らしいものがあったと思います。では、ゼロトラストのゴッドファーザーはどのようにしてゼロトラストのゴッドファーザーになったのでしょうか。

0:02:25.1 ジョン・キンダーヴォーグ: 偶然、それは単なる事故でした。つまり、私はたくさんの仕事をしてきました。私は農場で育ったので、幼い頃からずっと働いています。そして、私の最初の有給の仕事です。なぜなら、農場に住んでいるときに働くと、たくさんの仕事がありますが、給料はもらえず、餌をもらえるからです。しかし、私の最初の本当の仕事は、タイプライター、クリーナー、見習い修理工でした。それはもう存在しないので、そのキャリアに固執しなくてよかったと思っています。そうだよね？世界でタイプライターの修理工が必要な人が一人いる。それがトム・ハンクスだ。彼はあらゆる種類のビンテージタイプライターを集めているので、実際には自分のタイプライター修理工がいます。だから、人生というのは、旅に出たら違う場所に行き着くようなものだと思う。それで、私は長い間、放送技術者でした。なぜなら、私はテクノロジーが好きで、それが地球上で最も技術的なことだったからです。

0:03:20.4 ジョン・キンダーヴォーグ: 衛星アップリンクをやったり、ロイターのオクラホマシティ爆破事件の衛星放送や、すべての国際ニュースフィードをやりました。ロンドンでは、スカイフィードとか色んなことをしていました。テクノロジーにどんどん関わるようになって、コンピューターの世界が始まったんだ。そして、コンピューターアニメーションを始めました。それで面白かったのは、アニメーションを作ることよりも、コンピューターを作ることだったんです。それで、本当にハイエンドのコンピューターを自分で作り始めました。そして、ドゥームというものが出てきました。ビデオゲーム「ドゥーム」を覚えていますか？

0:04:03.9 ラグー・ナンダクマラ: 高校の頃、ドゥームをプレイして多くの午後を無駄にしてきましたが、当時の3Dグラフィックスの本質的な乗り物酔いで病気になりました。

0:04:13.2 ジョン・キンダーヴォーグ: ええ、ネットワーク上でマルチプレイヤー機能をサポートした最初のゲームだったんですね。そこで、ビデオアニメーション用のファイルを転送するにはネットワークが必要だと上司に説得しました。しかし実際には、ファイルがまだ大きすぎて、ハードドライブに転送する必要がありました。彼はそれを知らなかった。でも、Doomをプレイできるようにイーサネットネットワークを構築する方法を学んだんだ。私が成功したのは、ドゥームを作り、マルチプレイヤーゲームのやり方を考え出したid Softwareのグランドプレーリーの人たちのおかげだと思います。もちろんオンラインではなく、オンライン機能は後から登場しました。でも、ランドパーティーを開いて、人々が集まってコンピューターを持ってきて、ドゥームをプレイしたり、クエイクなどをプレイしたりしていました。つまり、テクノロジーがどのように物事を何らかの方向に押し進めるかがわかります。実際、シスコの年配の人と話をしていたとき、彼はこう言いました。「世界中の企業で行われていた仕事終わりのドゥームパーティーをサポートするためだけに、iOSにどれだけのコードを投入しなければならなかったか信じられない。」ですから、コンピューターとネットワーク、そして究極的にはサイバーセキュリティにおける多くの進歩について、ドゥームに感謝できます。

0:05:32.7 ラグー・ナンダクマラ: では、どのようにしてネットワーキングに移行したのですか？また、ネットワーキングへの移行からネットワークセキュリティへの移行はどのように進められましたか？

0:05:41.7 ジョン・キンダーヴォーグ: 私が放送エンジニアリングからネットワーキングに異動し始めたとき、誰もセキュリティをやりたがっていませんでした。これは後から考えたことだけではなくて、なぜそんなことをしたいのか、ということを考えていました。未来はルーティングとスイッチングにあります。そこではエキサイティングなことが起こっています。それが特にエキサイティングだとは思いませんでした。そして誰かが言いました。「ファイアーウォールの設置など、私たちのセキュリティ関連の仕事を引き受けてくれる人は誰もいない。」人々はそれを馬鹿げていると思った。なぜそれが必要なんだ？まあ、やってみるよ。つまり、そこにいて機会を見つけて、誰かが何かを成し遂げる必要があるときに「はい」と言うだけです。私はいつも「はい」と言おうと心がけています。ただし、時間や何かで「はい」と言えない場合を除きます。しかし、あなたは物事を試してみて、それがうまくいくかを見て、好奇心をそそりたいと思うでしょう。そこで、私はセキュリティと呼ばれるものに非常に興味を持ちました。ウイルス対策ソフトとファイアウォールを備えた製品がいくつかありました。

0:06:48.2 ジョン・キンダーヴォーグ: そして、それだけでした。そして、ファイアウォールのインストールプロセスを開始したことが、まさにゼロトラストにつながりました。なぜなら、ファイアウォール技術には、インターネットは信頼できないインターフェース上にあり、内部ネットワークに向かうインターフェースは信頼されるというトラストモデルの概念があったからです。また、その信頼関係により、内部ネットワークまたは信頼できるネットワークから外部または信頼できないネットワークにトラフィックを移動させるためのポリシーステートメントは必要ありませんでした。そして私はこう言いました。「これは非常識だ。人々はここからデータを追い出そうとしている。」そして彼らは言った。「いや、しないよ。あなたにはできません。」だから、ルール通りに出すと、トラブルに巻き込まれてしまう。それを取り出して。ベンダーはそうすべきだと言っているのではありません。そして、私たちが止めようとしていることを説明しようとしてるんだ。そして、すべてのインターフェースが同じ信頼を持つべきで、信頼度はゼロであるべきだと言いました。

0:07:40.8 ジョン・キンダーヴォーグ: ゼロトラストはまさにそこから生まれたものです。これは、ポリシーに影響を与えたファイアウォールの構築方法に対する反発に過ぎません。そして、それには理由がありませんでした。私はその信頼モデルを作った人を知っていますが、それは勝手なものでした。彼はNATボックスを作るときに自分のガレージで信託という言葉を選んだんだよね？つまり、NATはとても自動化されているので、人々はもうNATについて考えなくなっているのです。しかし当時は、RFC 1918 のアドレスをルーティング可能なアドレスにするだけでも非常に複雑な作業でした。そして、西海岸の知り合いがソフトウェアを作成し、それを実際に彼の友人に渡しました。その友人は NAT の技術を開発しました。そして、その人がそれを大企業に売り、初期のファイアウォールの1つになりました。そして、25年、30年経った今でも、私たちが抱えている最大の問題の1つとして、その信頼モデルと戦っています。

0:08:42.5 ラグー・ナンダクマラ: あなたがそれを説明する方法が大好きですよね？そして、ほとんど電球の瞬間、あるいは常識的な瞬間です。なぜファイアウォールの片側にあるものを暗黙的に信頼しているのか、もう一方は勝手に信頼できないと言っているのに、なぜ私たちは暗黙のうちにファイアウォールの片側にあるものを信頼しているのか？ちょっと質問したいんだけど。「信頼はするが検証する」というセキュリティアプローチ全般、またはあなたが要約したいようなものですよね？少なくともゼロトラストが概念化されて採用されるまでは、これが多くのセキュリティ戦略の進化の基礎のようなものでした。しかし、その「信頼はするが検証する」アプローチの基盤は何だったのか、そしてそれを維持するために費やされた投資額は何だったのでしょうか。

0:09:28.4 ジョン・キンダーヴォーグ: 現実は奇妙ですが、80年代に、偉大なサイバーセキュリティの専門家であるロナルド・レーガンがミハイル・ゴルバチョフとのスピーチでこの言葉を使用しました。彼によると、彼らは核拡散条約かそれに類するものに署名しているんだと思う。そして彼は、「私たちはロシアの古いことわざに従うつもりだ」と言いました。そして、彼はロシアのことわざをロシア語で言います。そして、私は...私のロシア語は、決して正しく発音できないけど、proverみたいなもので、proverと私は知っているわ。そして彼が言ったの、それはもちろん信頼という意味だけど、どっちが直訳なのか検証して。しかし、ロシア語の本質は、私たちができる限りあなたを信頼するつもりはないということです。そして、それは彼がゴルバチョフに言っていたことです。彼は言った。「よし、うん。私たちはこの条約に署名するつもりだが、私ができる限りあなたを信用するつもりはない。」しかし、人々は裏話を見なかった。彼らは、「まあ、ロナルド・レーガンがそう言っているから、私たちはそれをしなければならない」と知っていました。

0:10:19.5 ジョン・キンダーヴォーグ: そして、「なぜ？」って思うみんないつもそう言ってくれた私がこれをやっているのは、ロナルド・レーガンがそうするように言ったからです。何？彼はテクノロジーについて何を知ってるの？何もない。正しい？それで、いろんなことが起こるんだそして、もう誰も好奇心旺盛で知的好奇心旺盛で、なぜそんなことをしているのかと尋ねる人がいないからです。誰がそんなことを言ったの？ああ、じゃあ、実際に何が起こったのか見てみよう。ユーチューブのクリップが載ってるよ。あれを見て行けば彼は君が思っているような意味じゃないそして、そこから生まれたんだ。しかし、どこから来たのか誰も知らないからといって、理由もなく神聖なものになるものがたくさんあります。そして、誰かがそれを一度言ったら、誰もそれを疑問視しません。この世界には知的好奇心が本当に欠けている。そして、それは私が今までに言ったことすべてに当てはまりますが、その半分はおそらく思い出せません。

0:11:15.6 ジョン・キンダーヴォーグ: でもそう、みんなが言っていることを検証して、それが本当かどうかを確認する必要があります。そうだね「信頼の定義って何？」と尋ねたのは私だけでした。それを定義するのは本当に難しいことです。50年代までは、哲学的な会話や宗教的な会話でしか使われていなかったからです。それはその2つの領域の芸術用語でした。何年か前に、信頼は弱点だと言いましたが、それが私の言い分になりました。そして後になって、インターネットに公開される内容が増えたので、職場理論家のモートン・ドイッチュという人がいることを知りました。そして、1958年に彼も同じことを言いました。私が信頼は弱点だと言ったときは知りませんでしたが、彼は信頼とは特に、ある個人が別の個人に対して脆弱になろうとする意欲と定義しました。それが信頼です。彼は職場でそう定義しました。

0:12:19.6 ジョン・キンダーヴォーグ: そして、それはとても良い定義だと思います。そして、それは私が言おうとしてきたこととまったく同じです。そこで、私は技術的な脆弱性について考えています。その信頼は、マシンにパッチが適用されていないのと同じくらい、脆弱性でもあります。デジタルシステムであり、人間の感情や信頼は必要ないので、何かを信頼するというのは非常識だと思いますよね？それは私たちがデジタルシステムに注入した人間の感情です。なぜなら、私たちはデジタルシステムを人間の視点から理解しようとしているからです。私たちは物を擬人化することが多いです。たとえば、ジョンはネットワークにいて、ラグーとジョンはネットワーク上で話していて、両方ともネットワーク上にいる、といったことを言います。そして、私たちのどちらもネットワーク上にいません。私たちはまだ亜原子粒子に縮小していませんし、このような会話をするために公共のインターネットに送られたわけでもありません。

0:13:07.5 ジョン・キンダーヴォーグ: この会話はかなり奇跡的ですよね？映画「2001年のスペースオデッセイ」が公開されたときのことを覚えています。これもまた、あなたが生まれるずっと前のことです。私たちは子供の頃にそれを見ていて、彼らは宇宙から地球までビデオ通話をしていて、「わあ、そんなことが可能なの？」ビデオ通話？どうしてそんなことが可能なのでしょう？それで、何年もの間それは不可能でした。そして今、不可能なのは私たちの日常生活です。そして、これだけテクノロジーがこれほどまでに進歩してきたのに、それは非常識なことです。

0:13:44.7 ラグー・ナンダクマラ: じゃあ、ゼロトラストに入る前にね？もう2、3分だけトラストについてお話ししたいと思います。つまり、時間の経過とともに、組織は信頼できるインフラストラクチャの構築と維持に多大な時間と労力を費やしてきましたよね？データセンターに敷設されているケーブルからネットワークデバイス、そしてそれに接続されているコンピューティング、そしてその上で稼働するOSやアプリケーションに至るまで、さまざまなものがありますよね？つまり、基本的に、そして最終的にそれにアクセスするユーザーについてです。信頼を維持しようとすることへの執着が、生産性とサイバーセキュリティの両方を本当に妨げていると思いますか？

0:14:28.9 ジョン・キンダーヴォーグ: ええ、彼らは自己満足するからです。そうだろ？それで、パンデミックの直前にドイツにいたんですね。ドイツ、スイス。ドイツ語を話す場所があって、彼らは信頼についてドイツ語で長い間話し合っていて、それを定義しようとしていました。そして、彼らは一つの言葉を思いつきました。そして彼は、「ああ、それはただの怠け者という意味だ」と言います。人々は怠け者で、何か違うことをしたくありません。だから、彼らはそれを信頼するよね？ここが信頼できる環境だと思うなら、何もする必要はない。そのことに関しては怠け者でもいい。そして、あるCISOが「検証して信頼する」と言った時にそう言ったのを覚えています。私は「オーケー、信用の意味はわかった、つまり君は何もしないということだ」と言った。でも彼が「信頼」と「検証」って言ったのに何をしてる？そして彼は言いました。「ああ、何でもない。彼らは信頼できるユーザーだから。だから、検証するのは失礼だね。」

0:15:19.5 ジョン・キンダーヴォーグ: さて、あなたは実際にはサイバーセキュリティではまったく何もしていません。それは嬉しいですね。それを何度も見てきましたが、文字通りほとんど何も起こっていません。それでも、実際はほとんど何もしていないのに、人々は自分がしている重要なことすべてについて大げさに言い張っています。

0:15:39.9 ラグー・ナンダクマラ: 信頼は自己満足を生むというあなたの表現が気に入っています。そして、そのアプローチを取っても、結局サイバーセキュリティは進歩しません。実際、これはリグレッションかもしれません。それでは、ゼロトラストについて少し話しましょう。2つ例を挙げると、あなたがForresterのアナリストだったときに出版した独創的な論文と言えるでしょう。もう堅苦しいセンターはなくなり、ネットワークのDNAであるゼロトラストネットワークアーキテクチャにセキュリティを組み込んでください。もちろん、その背後にある動機は、信頼できるインターフェイスと信頼できないインターフェイスを備えたファイアウォールのイメージだけにとどまらず、「これは本当に馬鹿げている」と言っていました。これらの論文の背景にある動機と、論文を発表したときに記録しようとしていたことについて、もう少し話してください。

0:16:24.5 ジョン・キンダーヴォーグ: 当時、私がフォレスターにいたとき、革新的な研究を行うことは本当に重要でした。私たちには...アナリスト養成クラスの初日を覚えています。担当の女性エレンは素晴らしく優秀で、物理学者のエレンでした。彼女は私たちの職務明細書を掲示板に書きました。それは「大きなことを考えろ」という三つの言葉でした。だから、私は大きな思考や破壊的な思考を促すような場所で働いていました。そのおかげで、他の組織では恐らく行くのが怖かったような場所に行く機会を得ることができました。そこで、「なぜサイバーセキュリティは機能しないのか？」という疑問が浮かびました。そうだね。そしてその質問は2008年に聞かれました。そして、一次研究を2年間続けた後、私は「ノー・モア・チューウィー・センター」という本を出版しました。いろいろ調べているうちに、これらのサイバーセキュリティインシデント、データ漏えいはすべてこの信頼モデルの悪用によって引き起こされたことに気付きました。私はいつもこの信頼モデルを「壊れた信頼モデル」と呼んでいます。

0:17:31.5 ジョン・キンダーヴォーグ: これは信頼モデルではないので、信頼が壊れています。そして、2年間、スピーチとウェビナーを行い、テストマーケティングを行い、私が知っている専門家に穴を開けたとわかっている専門家に出向いて、最高潮に達しました。「そのアイディアは気に入らないけど、何も悪いところは見当たらない」と言う人がたくさんいました。「うわー、これはすごい」と言う人もいました。それで、行くには十分な励ましがありました。オーケー、これからも続けます。それこそが、昔のフォレスターでのリサーチの流れです。つまり、人生におけるインセンティブがすべてですよね？ウォーレン・バフェットのパートナーだったチャーリー・マンガーは、2人のうちではあまり知られていませんが、数週間前に亡くなりました。そして、彼はいつも、すべてはインセンティブに関するものだと言いました。人々がどのようにインセンティブを与えられているか教えて。彼らがどう振る舞うか教えてあげよう。

0:18:22.0 ジョン・キンダーヴォーグ: そして、サイバーセキュリティにはひねくれたインセンティブがたくさんあります。私たちは物事を壊すのがとても怖いですよね？CIAの三角形があるんだCIAトライアングルはご存知でしょう。それは何？

0:18:34.0 ラグー・ナンダクマラ: 絶対に。

0:18:34.0 ジョン・キンダーヴォーグ: 私がこれからやる3つのことは何ですか、あなたはクイズで返されるでしょう。

0:18:39.0 ラグー・ナンダクマラ: 少なくともこれは私が知っていることであり、これは私が長年にわたって行ってきたすべてのCISトレーニングのおかげです。Cは機密保持、Iは完全性、Aは可用性です。

0:18:50.3 ジョン・キンダーヴォーグ: 正しい。この正三角形のはずですよね？そうではないことを除いて。そこで最も重要なのは何か？彼らは皆平等なの？

0:18:58.5 ラグー・ナンダクマラ: それは興味深い質問です。そこで、私がこれについて顧客や見込み客に話すとき、私が言うのは、「両者は同等か？」ということです。データの保護や完全性を重視しているのは明らかですが、最も恐れているのは、「まあ、私のアプリケーションが壊れたらどうなるか」ということです。そのため、彼らは可用性にこだわっています。つまり、可用性が損なわれることはないと断言できない限り、セキュリティを組み込むことはできません。つまり、アプリケーションの所有者に尋ねるかどうかにもよりますが、その答えは、「私はアプリケーションの機能に気を配り、それから他のことにも気を配る」ということです。

0:19:27.6 ジョン・キンダーヴォーグ: うん。つまり、可用性が非常に重要なので、今はそれが何なのか、私にはわかりませんが、それは何ですか？二等辺三角形？アベイラビリティというものすごく長い斜辺があるんですよね？そして、インテグリティ。ハッシュのせいで、それが何を意味するのかもうわかりません。また、データの整合性を管理するのも非常に簡単です。しかし、今やCは妥協の代名詞になっていると冗談を言っています。可用性の高い侵害ネットワークが多数あります。滞留時間、数週間前にこの会話をしたので、滞留時間はどれくらいですか？滞留時間に関するデータはどうなっているか。組織内の悪者が捕まるまでにどれくらいの時間がかかりますか？正しい？つまり、最新のデータはIBMのものだとおっしゃっていましたか。

0:20:11.6 ラグー・ナンダクマラ: IBMの今年のデータ漏えいレポートによると、組織はサイバー攻撃を特定して封じ込めるのに平均277日かかります。

0:20:23.0 ジョン・キンダーヴォーグ: さあ、277日間。Cが守秘義務の略だとしたら「A」ではなく、小文字の「C」だよね？実際、そこでは200日、ある程度侵害されているのです。それはほぼ1年で、ほぼ1年です。あなたの家には悪い連中がいる。冗談だけど、トラストモデルはこんな感じだ。妻と座ってテレビを見ているときに、誰かが冷蔵庫からビールを取り出しているのを見たら、「ハニー、あの人が冷蔵庫からビールを取り出してるって知ってる？」すると彼女は「いや、知らない」と言う。私は言いました。「えーと、彼は冷蔵庫からビールを取り出せるから、ここにいるはずだと推理できる。じゃあゲストルームを作らなくちゃ。」清潔なシーツを取りに行ってくれませんか。ベッドを変えに行きます。こういう組織ではそういうことが起きています。これは間違った推論です。なぜなら、ネットワークに接続できるからです。あなたはここにいるべきであって、ここにいるべきではない。そして、もし君がここにいたら、ネットワークに案内するよ。それが問題だ。つまり、重大なセキュリティイベントや 100% のデータ漏えいはすべて、機能的にはこの壊れた信頼モデルの悪用です。

0:21:35.6 ラグー・ナンダクマラ: 絶対に。そして、あなたが提供したアナロジーが大好きです。フォレスターでは、この2つの独創的なリサーチを書いているわけですね。また、私が前の雇用主でプライベートクラウドのセキュリティ制御を設計していたとき、あるセキュリティ担当者がワークショップで文字通り私のところにやって来て、私の前に論文を置いて、「ラグー、これは私たちのプライベートクラウド環境に必要なものです」と言ったのは事実です。それで、あなたはそれを書いたのですね。それを背景に、施術者がどんなことを期待していたんですか？

0:22:10.9 ジョン・キンダーヴォーグ: 私の期待はかなり低かった。その役職では、浸透するかもしれないアイデアを世に出そうとしているだけだと気づいていると思います。このゼロトラストがこんなふうに普及するとは思っていませんでした。確かに早い段階では火がつきませんでした。でもその後、あまり話せないキーパーソンが何人かいて、私が手掛けた重要なデザインもほとんどいませんでした。そして、これを読んだり聞いたりして、今話したいと思っている人が思ったよりもたくさんいることに気づきました。そして最終的には、世界最大級のネットワークおよびサイバーセキュリティベンダーの1つの大規模なカンファレンスに出席することになりました。ただの大規模なカンファレンスでした。そして、この会社全体で 2 番目だったのが、ゼロトラストに関するプレゼンテーションでした。そして、私の隣には友人が立っていました。

0:23:00.1 ジョン・キンダーヴォーグ: 彼は言った。「これからのキャリア全体がゼロトラストだと気づくでしょう。」そして、「いいえ、そうではありません」と言いました。私はSIMの取材をしていて、暗号化の将来などについて興味深い研究をたくさんしていました。そして彼は「いや、そうだ」と言った。そして、彼が正しかったことが分かった。だから、私も彼の功績を大いに認めなきゃいけないと思う。彼は私が見る前にそれを見ていましたが、どの組織の最高レベルでも本当に共感を呼んでいるものです。というわけで、今週初めに外国政府と誰かと電話をしていたんだけど... それはサイバーセキュリティ関連の省庁の一部だった。そして彼らは言った。「ああ、こっちに来たら、首相の前に連れて行かないと。」それが彼のコメントだったよね？これがアメリカ大統領が大統領令を出したことだという事実。オーストラリアやシンガポールなどの政府は、この方向に進むための指令を出しています。ネブラスカ州の農場で暮らす子供である私には、かなり馬鹿げていると思いますよね？子供の頃の私の人生の目標は、朝5時に起きて牛に餌をやらないことでした。そのため、ハードルが非常に低く、朝5時に起きて牛に餌を与える必要が何年もありませんでした。だから、そのことにとても感謝しています。

0:24:16.1 ラグー・ナンダクマラ: まあ、その話こそが、あなたがゴッドファーザーである理由だと思います。ねえ、これからのあなたのキャリアはゼロトラストに関するものになるわ。そこで私が疑問に思うのは、2010年以降になること、そしてゼロトラストに対する反応やそれに関するいくつかの論評を観察したとき、上昇が遅いことに不満を感じていましたか？しかし、ある程度、多くの否定論者が「実際にはこれは現実的ではない」と言っていました。

0:24:49.8 ジョン・キンダーヴォーグ: いいえ、私はそうではありませんでした。まず第一に、上昇が遅いのが気に入りました。しばらくの間、それをしているのは私だけだったからです。だから私はすべての間違いを自分で犯し、その間違いについて書いて、これからどうなるかを伝える必要がありました。そうすれば、あなたがそれをする必要がなくなります。そして、それは私の立場にいる誰かにとって価値のあることだと思いました。5段階モデルのステップ2で、Nスタックのレポートか何かでこれについて読むと、システムの仕組みがわからなかったために発生した大災害の結果であることがわかります。そして、誰かが古いと言ってサーバーを取り出しました。それが基準でした。これは古く、ネットワーク全体がダウンしていました。それで、あなた方には災害がいくらかありますから、私が経験したほうがいいです。

0:25:31.2 ジョン・キンダーヴォーグ: それから、世界中で同時に起こって、みんなが行ってしまう、おい、全部めちゃくちゃにした。だから、「危険だからやらないで」とか、「うまくいくからやる」と言えるような人になれるのは、とても嬉しいことです。そして、タイミングを計るだけです。これはとても若いビジネスで、ある人に「サイバーセキュリティの経験は30年間ある」と言われたことがあると思います。そして、「ああ、SNA（システムネットワークアーキテクチャ）はすべて役に立つに違いない」と考え続けました。そして、私はサイバーセキュリティの経験が6か月あることをみんなに伝えますよね？私には、過去 6 か月と、次の 6 か月があって、それ以外はすべて戦争の話です。状況は大きく変わるからです。ですから、私が1年前のやり方でやっているとしたら、それはおそらく間違いです。すべてが変わったからです。

0:26:25.0 ジョン・キンダーヴォーグ: 1年前には、このようなジェネレーティブAIの革命は起こっていませんでした。そして、私たちはそれがどこに向かっているのか見当もつかず、セキュリティへの影響についても考えていませんでした。また、このようなものをセキュリティに利用できる機会についても考えていませんでした。そこで今では、誰もがそのことを考えさせられるような新しいテクノロジーが 1 つあります。みんな録画されているのは知っていますが、昨夜、私はAIとサイバーセキュリティに関するパネルディスカッションの司会を務めました。私が指摘したことの一つは、最近100歳で亡くなったヘンリー・キッシンジャーでした。彼がこれまでに書いたすべてのことについて彼が書いた最後の記事はAIに関するもので、私たちの合理的な考え方や行動を終わらせるAIの能力こそが本質的にその本質でした。それは大西洋にあります。みんなそれを読みに行くべきだ。80年もの間、間近で見てきた世界を見てきて、美しくも醜さも併せ持った素晴らしい眺めです。そして、それは魅力的な読み物だと思いました。

0:27:40.0 ラグー・ナンダクマラ: ええ、それと、過去6か月と次の6か月間の私の経験を表現するのが大好きです。あとは戦争の話ですよね？そうすることで、私たちは常に新鮮さを保ち、関連性を保つことができます。先に進む前に、皆さんが学習について話していただければと思います。そのおかげで私は間違いから学ぶことができたので、他のみんなが学ぶ必要がなくなりました。他にゼロトラスト戦略の重大な間違いで、今修正した、あるいは少なくとも頭の中で合理化した、改善され、より受け入れやすく、より受け入れやすいものになったと感じたものはありますか？

0:28:22.6 ジョン・キンダーヴォーグ: 私が見た、そしていつも誘惑される最大の間違いは、あまりにも速く大きくなりすぎることでした。今では誰もが組織全体で一度にすべてを行おうとしており、プロテクトサーフェスの概念を実際に体系化しています。5段階モデルで。1つ目は「保護面の定義」です。そして初期の頃は「データを定義する」と呼ばれていました。そして、そこにはいくつかの問題があり、「まあ、データ保護以外のことにもゼロトラストを使いたい」と言われました。当初の真の目標は、データを保護し、ネットワークを強力なデータセキュリティ実施拠点にすることでした。それで、考えてみると、ああ、この業界では、アタックサーフェスの緩和など、ある意味で怪しいことがたくさん起きていることに気付きました。アタックサーフェスを見てみると、なんというか、宇宙みたいだと思うんです。

0:29:16.4 ジョン・キンダーヴォーグ: 常に拡大しています。つまり、テクノロジーに大きな変化があって、それがコンピューターチップの誕生だったんですね。そして、1957年に起こったことはすべて、その前身である集積回路を発明したことでノーベル賞を受賞したジャック・キルビーと一緒にいました。彼がノーベル賞を受賞した日、私は彼と一緒にいました。それで私は彼に会って、それがどのように起こったのか、そしてすべてについて彼に話さなければならなかった。そして1957年からです。ボブ・ノイスも同じ年に別のバージョンの集積回路を発明したからです。そして、彼らは自分たちをそれぞれコンピューターチップの共同発明者と見なすことに同意しました。しかし、それほど昔のことではありませんが、1957年のあの日以来、私たちはあらゆるものが拡大し爆発するビッグバンを目の当たりにしてきました。つまり、いったんインターネットが普及すると、インターネットはどんどん成長していくのです。私はもう元のドメインを作った人の一人に会ったことがあるほど年をとっていますが、あなたがそれを何と呼ぶかわかりません...オリジナルのドメインレジストラのようなものだとおっしゃると思います。

0:30:22.4 ジョン・キンダーヴォーグ: でも、ふたりの男が物理的なノートを持って歩き回って、「ああ、wwwになりたいのよね？」と書いているだけでした。インターネットはとても小さかったので、ノートに入れて紙に書き留めることができました。ジョン・ポステルという男だった。そして、彼はもう死んだ。でも私の古くからの友人であるロドニー・ジョッフェは、ちょうどそれを書き留めていたところだった。馬鹿げてるそう遠くない昔の話だ最初のパスワードは1961年にMITで発行されました。これは世界の歴史と比べると非常に新しいものです。おそらく、最初にウェブサイトを作成したときよりも、ホイールが採用されるまでに時間がかかったのでしょう。ですから、私たちはその点に少し遅れをとっています。そして、イノベーションは非常にエキサイティングなため、その確保ははるかに遅れています。それには時間がかかりました...建物は何千年もの間建設されてきましたが、ハムラビがコードの中で、建物が倒壊して誰かが殺されたら建築業者を処刑する方法を書き、構造工学や建築基準と呼ばれるものを生み出しましたよね？これは、インターネットやネットワークのために、私たちがまだ行っていないことであり、物事を正しい方法で行わなかったことに対する責任を人々に負わせたことでもあります。ハムラビがやった。どうにかしてハンムラビを見つけないと

0:31:41.0 ラグー・ナンダクマラ: 正しい。それで、見てみると...最近では、ゼロトラストがこのような斬新なアイデアだったのに、フィードバックが実際にあったと思っても、実際にはうまくいきません。ゼロトラスト戦略は絶対に正しいことだということで意見が一致していますが、採用するのは非常に難しいというのが今となってはあまり適応できません。今日、それを聞いたとき、あなたはどのような反応をしますか？また、それに対するあなたの反応はどうですか？

0:32:10.6 ジョン・キンダーヴォーグ: 多くの人が実際よりも難しそうに聞こえたり、複雑にしたりしていると思います。とても簡単ですよね？設計には4つの原則があり、それを実現するための5段階のモデルがあります。つまり、知っておくべきことが9つあります。とても、とても簡単にできるように設計されています。今年の初めに、友人のグレッグ・トヒル将軍から電話がありました。彼は最初の将軍で、引退した空軍の将軍です。彼は米国連邦政府の初代CISOでした。そして今、彼はCERTに勤めています。彼はCERTを運営していて、CERTとは何かは誰もが知っていますよね？カーネギーメロン大学でところが、彼は私に電話をかけてきて、「なぜ人々はゼロトラストをそんなに複雑に思わせるの？」と言いました。私が言ったら、私たちは彼をジェネラル・ゼロ・トラストと呼んでいます。それで私は言いました。「おい、将軍、分からないよ。

0:32:55.0 ジョン・キンダーヴォーグ: なぜ人々がそれを複雑に聞こえているのか、私にはわかりません。」他の人がそのことについて書いた記事を読んでいるから。そして、「うわー、まだやっていなかったら、私もこれをするのが怖い」って思う。そうだろ？それに、人と口論したこともある。あるネットワーキングイベントでゼロトラストについてある男と口論したんだけど、彼は私が誰だか知っていたんだけど、彼はゼロトラストの博士号を取ろうとしてるから議論したがったの。「何？」って感じです。なぜ博士号が必要なんだ？外に出てやってみてそうだろ？でも彼は授業で聞いたり読んだりしたことからそのことで私と口論してた私は、いや、いや、いや、いや、いや、いや、それは正しくないと言いました。いや、でも、「やったことある？」って言ったらまあ、いいえ。よし、じゃあやるべき

0:33:37.4 ジョン・キンダーヴォーグ: これは体験型です。私たちのビジネス全体は体験型です。私たちは学術事業を営んでいません。パケットが A 地点から B 地点に安全かつ効率的に移動しなければ、失敗したことになります。そして、パケットが何をすべきか、何をすべきでないかについて何を書いたかは関係ありません。重要なのはパケットがそれをしたかしなかったかということです。そこで重要なのは、ラップトップを開けることだと思います。私の最初のコンピューターは持ち運び可能で、金属製で重量は約25ポンドで、場所から場所へ移動できるK Pro 484だったので、ラップトップのアイデアもまだ頭がおかしいです。そして、14.4BODのモデムが搭載されていて、40メガバイトのハードドライブが搭載されていました。40メガバイトです。うわー。それは最先端でした。だから、すべてがとても、とても、あっという間にやってしまった。外に出て、それをやらないといけない。これまで車の修理に携わったことがない整備士に車の修理を任せたくはないでしょうが、彼らは自動車整備士の博士号を持っているので、悲惨なことになるでしょう。ああ、スパークプラグはここにあるはずだと思ってた。この本には「ここ」と書いてあります。そうだろ？そして、「そうだね、手を汚して」みたいな感じだ。

0:35:02.3 ラグー・ナンダクマラ: それが本当に好きだなぜならそれは...あなたが話しているのは、本質的にゼロトラストの理論を作り上げただけでなく、何年にもわたる実践を通じて実際にそれを磨き上げてきた人の経験から言っているのです。おっしゃるように、ミスを犯し、そこから学んで採用し、採用しやすい、より洗練されたモデルを開発するというものです。そうだよね？そして、ゼロトラスト戦略を展開する実務者が増えるにつれて、間違いありませんよね？それは時間とともに進化し続けるでしょう。そして、今日私たちが戦略として考えているものが、明日の戦略ではないかもしれません。それでは、そこから先に進みましょう。

0:35:41.5 ジョン・キンダーヴォーグ: 実は、そこにコメントが1つあります。ゼロトラストには戦略と戦術という2つの大きな領域があることを忘れないでください。そして、その背後にある大きなアイデアの戦略もそうです。それは変わらないと思います。

0:35:53.0 ラグー・ナンダクマラ: うん。

0:35:54.8 ジョン・キンダーヴォーグ: あなたが言いたいのは戦術、私たちのやり方だと思いますよね？そして、第一次湾岸戦争のチーフストラテジスト、チーフストラテジストであり、戦略とその考え方について教えてくれた空軍大佐だった私のメンターの一人は、誰もが戦略と戦術を混同していると言いました。彼らは自分たちは戦略的だと思っているが、戦術的だ。そして、理解しておくべき重要なことは、戦略とは何か、戦術とは何かということです。戦術はモノであり、あなたがすることですよね？つまり、テクノロジーに触れるとき、それが戦術だよね？それがその本質です。それは戦術だ。私たちはそれを感じることができます。戦略とは、ミッション、ゴール、またはグランドストラテジーを達成するための指針となる原則を持つアイデアです。ですから、それを理解することはとても重要です。そして、ゼロトラストの成功は戦術とは関係ありません。私は市販の技術を使っていただけなのですが、政府の指導者、軍の指導者、企業の指導者、軍事指導者、企業指導者のいずれであっても、ミッションゴールや壮大な戦略的目標を達成するためのサイバーセキュリティシステムを開発する方法を理解できるような方法で使用していました。

0:37:16.1 ジョン・キンダーヴォーグ: ある軍関係者は、ジョンがサイバーセキュリティとゼロトラストにもたらした最大のものは「グランドストラテジー」という概念であり、これまで誰も話題にしていなかったことを書きました。そして、それは人々がいつも見逃しているものです。「ずっとこれをやってきたんだ。私は多要素認証を使っています。」確かにそうですが、なぜ使用したのかはわかりませんでしたよね？それで、「なぜ？」という質問に答えています。人を認証したいというだけでなく、特定のビジネス上の成果が、私のビジネスを特定の方法で成長させるような形で実現したいからです。

0:37:52.4 ラグー・ナンダクマラ: ええ、同意します。そして言葉は重要です。全く君の言うとおりだ。つまり、ある種の戦術は時間とともに進化するかもしれないという意味ですが、戦略は、大戦略はあなたが定義したようなもので、全体を通してかなり一定でなければなりません。さて、先ほどお話ししたことに移りたいと思います。世界のさまざまな政府と最も著名なのは米国ですが、他の例としてシンガポール、オーストラリア、英国についてお話ししました。まず最初に、ゼロトラスト戦略を採用し、それを実際に体系化する動きのきっかけとなったのは何だったのでしょうか。このような大規模なサイバーインシデント、サイバー侵害は、長年にわたって発生してきました。では、例を挙げると、過去2、3年の間に米国政府がゼロトラストをこれほど真剣に受け止めざるを得なかったのは、一体何だったのでしょうか。

0:38:51.8 ジョン・キンダーヴォーグ: OPMのデータ漏えい、スノーデン、マニング、テクセイラのことなど、非常に被害が大きかった。それで政府は目を覚まし、「ああ、サイバーセキュリティはいろんな意味でスパイ対策でもある」と言い出した。そこで、映画のプロットのシナリオを見てきましたが、今はそれが現実のものになっています。実生活では、私たちが彼らの前に立たなければならないのは、彼らの見方のようなものです。耐量子暗号化には多くの研究があり、実際には存在しない何か、つまり量子コンピューティングの前に出ようとしているようなものです。しかし彼らは、いったんそれが起こると、私たちがそのための準備をしていなければ、短期的には非常に大きな損害を被ることになるということを理解しています。ですから、テクノロジーの教訓の 1 つは、最悪のシナリオが起きてからずっと後になってからではなく、早い段階で備えておくことだと思います。

0:39:49.7 ラグー・ナンダクマラ: CISA NSTACの報告書、つまりゼロトラストとアイデンティティに関する大統領への提言に、あなたが関わってきたか、非常に深く関わってきたことは知っています。そして、4つの結論のうちの2つを選びたいと思います。これらの結論のうちの2つについて議論したい、または皆さんのコメントをお願いしたいだけです。その中の1つは、ゼロトラストが、数十年かけて測定された永続的で首尾一貫した変革的戦略の基盤ではなく、何年にもわたって測定されたばらばらばらな技術セキュリティプロジェクトの集まりである、不完全な実験、つまり何年にもわたって測定されるばらばらばらの技術セキュリティプロジェクトの集まりになるリスクを米国政府が抱えているというものです。では、このような小規模な実験にはどのような課題があるのでしょうか。ゼロトラストに対してこのような統一的なアプローチをとる意図は、今のところあるのでしょうか？

0:40:31.6 ジョン・キンダーヴォーグ: その意図は、人々をその方向に動かすことだと思います。皆が同じ方向に向かっているとか、北半球にいるなら北か右か、北極星に向かっているかのように話します。南半球にいるなら、南十字星に向かいます。しかし、全員が同じ方向に向かっている場合、ここでは多くの並列処理が行われていても、最終的には同じ場所にたどり着き、最終的には収束します。そこでわくわくするのは、私たち全員が同じ方向に向かっているということです。NSTACの報告書は、私たちが進むべき方向を示す北極星のようなものです。そして実際には、私が思っていたほど断片化は見られません。そのレポートは'22年2月20日、2月23日に提出しました。そうだろ？

0:41:18.6 ジョン・キンダーヴォーグ: そして、私たちはもともと2月22日にそれを届けました。つまり、22年2月22日だったと言えます。そして、改訂が必要でした。それで2/23/22になりました。でも、とにかく、それは他の誰も面白いと思わない奇妙なことなんです。しかし、私が見つけたのは、その時以来、すべての連邦政府機関にゼロトラストプログラム管理事務所とゼロトラストプログラムディレクターがいるということです。これは大きなムーブメントです。献身的な誰かがいて、これは彼らのやるべき仕事だということです。それで、あなたは1年ほどでインセンティブ構造を変えました。繰り返しになりますが、インセンティブは非常に重要です。チャーリー・マンガーの話を戻すと、人はインセンティブが与えられた方法に従って行動します。そして、インセンティブは整っています。つまり、最終的には正しい方法で結果が出るということです。10年はかかるでしょうか？

0:42:13.7 ジョン・キンダーヴォーグ: 3年はかかりますか？分からない。私は長い間これに取り組んできました。少なくとも私の考えでは、インターネットはしばらく存在し続けるだろうと気づいたからです。そうだよね？だからどこにも行きません。死ぬか何かになる前に急いで修正する必要はありません。私の年齢では急いで物事を直さなければならないようなものではない。そうしなければ、早く来られないかもしれないから。だからインターネットは私より長生きするだろう。そして、ゼロトラストは私よりも長生きするでしょう。しかし、これによって人々が進むべき北極星となり、データや資産、アプリケーションやサービスを保護する方法を見つけ出せるようになることを願っています。これは、概念的にリファレンスアーキテクチャとしてどのように行うかということではありません。

0:43:00.4 ジョン・キンダーヴォーグ: これは、組織内の特定のデータタイプに対して具体的にどのように行うかが重要です。そして、次のデータ型、つまり次のアプリケーションに移ります。そして、それを段階的に行い、繰り返し行います。そして、このような小さな部分に分けて行うことで、大きな問題であるサイバーセキュリティを小さな消耗品に分解します。これで、混乱を招かないようにもなりました。失敗すると、ほとんどの人が気付かないほど小さなものを台無しにしてしまいます。そして私にとっての利点は、それを恐れる必要がないということです。私のキャリアを通じて、初期のワークショップや初期のディスカッションをいくつか行えば、成功するだろうとわかっていました。そして、それを激しく嫌い、ただ一生懸命嫌い、そしてほとんど戦いを挑発したいと思っている人が常にいるでしょう。

0:43:51.0 ジョン・キンダーヴォーグ: そして、冷静さを保ち、彼らの質問に冷静に答え、すべてをやり遂げることを学ばなければなりませんでした。でも、カチッというだけで電球が見える瞬間がいつもありました。そして突然、その特定の人物が、数分前に彼らが戦っていたことに対する最大の支持者になったのです。あるカンファレンスで、フリップチャートの前に立っていて、他の誰かのために何かを描いていたときにそれを見ました。誰かが歩いて行って、「完成した」と言って、何でも口に出します。例えば、彼らがした嫌なコメントをしましょう。そして、「ああ、オーケー、じゃあ、どう思う？」って感じです。そして、私がそれを描いていた相手が、たった今そう言ったんだけど、彼はページをめくって、「いや、分かってないね」と言った。そして彼は、「だって私も同じ会話をしていたから」みたいだ。私がゼロトラストを擁護し、なぜそれがうまくいったのかをこの人に示すことと、彼がなぜそれがうまくいくかを他の誰かに示すことになったのです。そうだね？

0:44:42.5 ラグー・ナンダクマラ: うん。

0:44:44.8 ジョン・キンダーヴォーグ: そして、その小さな電球が何度も何度も点灯するのを見ていました。そして、そのことに気づいたのは、何か他のことを学ばなければならないのではないかという恐れもありました。私の仕事は変わりそうです。私は変化が嫌いだ。部分的には...そして、「それは私たちがいつもやってきた方法ではない」ということをいつも聞いていました。そして私の答えは、「まあ、なんてこった、私たちがいつもやってきたやり方はあまりうまくいかなかったよね？」そして3つ目は、「新しいことはしたくない、それ以上はもっと頑張りたくない」ということです。そして、皆さんがやりやすくなるようにするつもりだということを彼らに示すことができれば。ある人が私に「ゼロトラストについて議論した時間は、私が最初のゼロトラストネットワークを構築するのにかかった時間よりも長かった」と言いました。そして彼はこう言いました。「あっという間に実現しました。

0:45:33.3 ジョン・キンダーヴォーグ: そして、とても安定していたので、その直後に休暇に出かけました。」私が休暇に出かけるなんて、みんな信じてもらえなかったんです。私は「ああ、休暇に行ってもいいよ、これでうまくいっているよ」と言いました。何か問題があったら電話してくれてもいいけど、直観的に解決方法を考え出すことはできる。それは重要な瞬間でした。「ああ、それぞれ異なる問題を抱えていたが、ビジネス上の問題に原則を適用して成功を収めることができたさまざまな組織での個別の経験を通じて、絵が描かれ始めています。

0:46:08.8 ラグー・ナンダクマラ: ジョン、これから行くのは...言いたいのは、そうだね、あれはほぼ5分ほど続くと思うんだけど、戦略が重要である理由と、それに向けて現実的な進歩を遂げるために戦術の観点からどのようにアプローチすべきかを、あなたはとても美しく要約したと思います。また、ああなる瞬間、その電球、ある種の対戦相手がその電球の瞬間を捉えると、彼らはほとんどあなたの最強の支持者になりますよね？そして、このエピソードで他に何も聞いていないなら、その5分間を消化する必要があると思います。それでは、別のことに移りたいと思います。最後に、ある種のカルチャーについて触れましたね。

0:46:48.2 ラグー・ナンダクマラ: あなたの友人のジョージ・フィニーは、去年ゼロトラストに関する本を書いたのを知っています。彼が書いた本は、かなり前倒しで書いたと思いますが、彼は文化について多くのことを語っています。繰り返しになりますが、これはNSTACレポートから得られたもう1つの結論の1つです。ゼロトラストを今後10年以上にわたってサイバーセキュリティの成果を有意義に変える真の戦略として実現するには、米国政府は今、一連の政策措置を講じてゼロトラストの文化を制度化する必要があります。では、ゼロトラストの文化とは何を意味するのでしょうか。それは何を表しているのでしょうか？

0:47:20.8 ジョン・キンダーヴォーグ: まず最初に言いたいのは、ゼロトラストを使ってこの壮大な戦略的目標を達成するために人々を結びつけるということだと思います。それで、私は大企業で初期のゼロトラストワークショップをやっていたのを覚えています。17の異なる部署から70人が参加しました。17の部署すべてがお互いを嫌っていました。彼らは社内のライバルだった。そして、彼らは皆私を嫌っていました。そして、彼らはそこにいなければならないことを嫌っていました。それが終わる頃には、私たちはそれらの障壁の多くを打ち破りました。そして、私たちはコラボレーションのためのものを作る方法を考え出しました。そして、私は常に、ゼロトラスト・センター・フォー・エクセレンスのようなものを作ることを提案しています。そこでは、テクノロジーだけでなくリーダーも参加します。

0:48:07.3 ジョン・キンダーヴォーグ: なぜなら、そのリーダーたちは、「オーケー、これをやるべきなのはわかっているけど、怖い、間違ってやったらどうする？」と成功できるからです。クビになるの？しかし、リーダーがやって来て、それをしなければならないと言ってくれれば、その負担が軽減され、正しいインセンティブが再び得られます。それで、私はかつて最高法務責任者にワークショップに参加してもらったことがあります。みんなが「なんでこの人がここにいるの？」と言っていました。そうですね、その人の仕事は、会社の知的財産、つまり数億ドルの収益を生み出した特許を保護することでした。そして、彼はそれをどうやって行うのか全く知りませんでした。それで、彼がこの3日間のワークショップを最後までやり遂げたところ、今では1日になってしまいました。しかし、当時の私はもう少し冗長で、率直に言って、それを理解しようとしていたのではないかと思います。

0:48:44.4 ジョン・キンダーヴォーグ: そして彼は全部じっと見てたそして彼は言った。「オーケー、私がチャンピオンになるから、資金を見つけるから、君たちは外に出てそれをやるよ。そして、会社の特許を保護するために最高法務責任者のために何かをしていれば、トラブルに巻き込まれることはありません。そうだよね？」それで、エアカバーを見つけるとか、何かするんだ。そして、それが大統領からの行政命令が彼らに与えたものです。米国連邦政府と同様に、ゼロトラスト機関間取引所（米国内のCISOの集団）があります。ベストプラクティスを共有するために集まった米国連邦政府は、自分たちで文化を築いてきました。なぜなら、彼らには共通の北極星、共通のミッション目標があるという事実を正す必要があったため、文化を理解する必要があったからです。

0:49:30.2 ジョン・キンダーヴォーグ: そして、私たちはそれを何度も何度も見ています。最近公開されたオーストラリアのサイバーセキュリティ戦略文書には、ゼロトラストについての言及が1つありますが、「ゼロトラスト文化の構築に向けて動く必要があります」と書かれています。そうですね。その多くは、トレーニング、経験、実験室での作業、他の人との話し合い、そして主に何を保護する必要があるかを理解することから生まれます。つまり、ある程度の変革の成果が生まれます。というのも、今度は自分の環境で何が重要で、何を保護すべきかを理解する練習をして、なぜそうしているのかを理解し、何を保護すべきかがわかったら、私がこれをどのように保護するかを考えなければならないからです。

0:50:16.5 ジョン・キンダーヴォーグ: 一般的に、私たちは伝統的に問題にできるだけ多くのテクノロジーを投入し、何かを発見することを期待してきましたよね？クライアントが 1 つ、クライアントが 1 つ、クライアントが 1 つ、あるいは、前の仕事では、インターネットに 11 ホップ、インターネットに 11 ホップ、インターネットに 11 ホップ、すべてセキュリティテクノロジーで、何も悪いことが起こらないようにと、すべてを公開するとします。そして悪い点は、使用できない環境だったことです。ホップが 11 のとき、何かを成し遂げるのにどれくらいの時間がかかるかご存知ですか?たとえば、3 つのファイアウォール、2 つの異なる IP アドレス、2 つの異なる Web コンテンツフィルタリングを通過することになります。そして、あちこちにWAFがあります。ただ、信じられなかった。そして、彼らはそれが信じられないと知っていましたが、問題を解決する方法を知りませんでした。彼らは何を守ろうとしているのかわからなかったからです。そして、彼らはなぜそれをしているのか正確には知りませんでした。彼らはただ、もっと手に入れることができれば、もっと良いと思っただけです。多ければ多いほど良い。正しい。

0:51:17.7 ラグー・ナンダクマラ: ええ、絶対に 100%。

0:51:19.7 ジョン・キンダーヴォーグ: それはバーベキューにも当てはまります。つまり、サイバーセキュリティにも当てはまるに違いありません。

0:51:21.7 ラグー・ナンダクマラ: この質問に答えるのがおそらく最も簡単でしょう。何が間違っていなかったのでしょうか？それはおそらく一方では可能だろう。じゃあ話を終える前にジョンに移りましょうね？クラウドの採用を加速させる上で、ゼロトラストが重要だとはどう思いますか？これはホットな話題です。クラウドセキュリティは、サイバーセキュリティにおけるホットトピックの一種です。そしてもちろん、そうですよね？先ほど触れたもう1つのことは、ジェネレーティブAIに対するゼロトラストの関連性です。ジェネレーティブAIとは、両方の組織で使用されている大規模な言語モデルであり、攻撃者にも利用されている可能性があります。これらすべての中で、ゼロトラストはどのような役割を果たす必要があるのでしょうか。

0:52:10.2 ジョン・キンダーヴォーグ: 私が考える最も重要なのは、クラウドでは、クラウドにデータ、資産、何か、つまりワークロードなどが含まれていることを理解していれば、それが自分にとって重要であり、規制されているということです。しかも、一般的には保護されていません。私たちには責任分担モデルがあるといつも耳にします。しかし、フォレスターではもっと良い用語を思いついたと思います。友人のジェームズ・スタテンがそれを思いついたのです。そして彼はそれを不均等な握手と呼んだ。ええ、彼らは私たちに基本的な援助を提供してくれています。ハイパーバイザーにパッチが適用されていることを確認しています。また、手動でセキュリティを確保するために使用できるツールもいくつかあります。しかし、一般的には、セキュリティのリスクをクラウドプロバイダーに移転するつもりはありません。データをそこに保存しているだけです。私は主に経済的な目的で彼らのハイパーバイザーを使っているだけです。

0:53:05.2 ジョン・キンダーヴォーグ: そのため、そのワークロードに含まれるものが何であれ、そのワークロードのセキュリティ保護は私が引き続き担当しています。そして今、多くの人がそのことを理解し始めています。また、通常は構成ミスと呼ばれる重大なクラウドデータ漏えいもいくつか見てきました。そして、それはまた別の日の議論になるでしょう。しかし、ペンテスターである人々と話をしたように、既存のネイティブコントロールだけでは現代の攻撃に対しては十分ではありません。その中には非常に伝説的な人もいますが、ネイティブクラウドセキュリティコントロールを問題なく通過できます。また、マルチクラウド環境全体でこれらのコントロールをユビキタスな方法で管理することは困難です。各コントロールはそれぞれ異なる管理構造を持っているからです。つまり、セキュリティで何をするにしても、管理、つまり運用上のケアと給餌が、最大のコストになります。

0:54:06.5 ジョン・キンダーヴォーグ: テクノロジーを獲得するんじゃなくて、それを運んで養っているんだよね？子供がいるんだ分かるだろ子供たちを雇うのはそんなに高くなかった。彼らに長期介護を運び、食事を与えただけで、それが延々と続いていくのです。そして、それは決して終わらないのです。ええ、それはより大きなコスト獲得です。買収は簡単でした。運用、それは難しいです。だから私たちはそれを認識しなければなりません。クラウドに関しては、まずそれが重要なのです。そして、AI、ええ、本当に高度な攻撃を仕掛けることができるかもしれません。しかし、インターネットには TCP/IP と OSI モデルと呼ばれる大きなガードレールがありますよね？つまり、実際にはそれを超えることはできず、ネットワークよりも、文化的にはるかに大きな損害を与える可能性があります。なぜなら、実際には AI タイプのテクノロジーを使用できるようになるからです。

0:55:05.0 ジョン・キンダーヴォーグ: そして、私が今まで聞いた中で私のお気に入りのAIの定義は、私の友人の数学者の言葉です。「AIは統計にif文を加えたものです」と言っています。その定義はとても正確なので、とても気に入っています。ですからAIが機能するのは、本当に速いコンピューターがあって、一緒にもっと多くのコンピューターを手に入れることができるからなのです。実際は単なる計算処理ですが、実際はインテリジェントであるように見えます。でも、同じテクノロジーを使って何ができるかを考え出すことはできます...攻撃してくるものには許可されて、迅速に対応すべきだ。したがって、攻撃者が私たちに対して有利になるのと同じくらい、攻撃者に対しても有利になります。特に、ゼロトラストポリシーを作成する場合は特に、デフォルトの拒否から始め、特定のトラフィックの発生を明示的に許可する場合は特にそうです。

0:56:00.9 ジョン・キンダーヴォーグ: つまり、ジョンは私がアクセスできるリソースにしかアクセスできません。それに、私が手が届かないことが他にもある。そして、私が彼らに問い合わせるべきだと思ったら、ヘルプデスクに行ってアクセスしてもらう必要があります。だから結構閉じ込められてるそれでいいそれが本来あるべき姿です。しかし、あまりにも多くのデータに、何の理由もなく、あまりにも多くのデータへのアクセスを許可しすぎています。スノーデン、マニング、テイシェイラがこれらのビッグデータ漏えいを実行できたのは、セキュリティが本質的に悪かったからではありません。しかし、彼らはリソースにアクセスできたので、触ったり見たりすることはできなかったはずです。そして確かに、彼らはexfilをダウンロードすることができなかったはずです。

0:56:42.9 ラグー・ナンダクマラ: それで、ジョン、まとめる前に、この会話のこのポッドキャストで本当に最も重要な質問です。その名を冠した映画で、本当のゴッドファーザーであるキンダーヴァグがあなたを演じているのは誰ですか？そして、監督は誰？

0:56:51.4 ジョン・キンダーヴォーグ: 何?あの映画は欲しくない。それは本当に、本当に、本当につまらないでしょう。妻に聞いてください。実は、映画の中で誰にも演じてもらいたくないんだと思う。それは奇妙だね。人に集中してもらいたいのであって、人ではなくアイデアに集中してほしい。そうだよね？ときどき、邪魔にならないようにしたいんだ。ジョージ・フィニーに『プロジェクト・ゼロトラスト』という本を書いてもらいたかった。それは私のソファで始まった。そして、本を書く機会もありました。でも現実には、全てが私からのものなら、メッセージとしてはそれほど重要ではありません。しかし、あなた以外のメッセージを採用する人が増えれば、そのメッセージはより強力なメッセージになります。

0:57:35.8 ジョン・キンダーヴォーグ: そしてメッセージは重要です。そこで、ゼロトラストの成功、ランサムウェアの阻止などについてのドキュメンタリーが欲しいですね。それは素晴らしいことだね。スクリーンショットを送られてきたものをすべて見せてみると、このランサムウェア・トラックは私のネットワーク内を動き回ろうとしましたが、1台のマシンにしか乗れませんでした。そして、他の場所には行けなくなりました。見つかったからテレメトリーを全部見て指揮統制に出そうとしてるPINGも全部見てたすぐに隔離してクリーンアップすることができます。それがドキュメンタリーです。それが私が見たい映画です。

0:58:13.6 ラグー・ナンダクマラ: まあ、ジョン、Netflixでそれを委託してくれる人を知っているかもしれません。

0:58:17.4 ジョン・キンダーヴォーグ: オッケー。

0:58:18.1 ラグー・ナンダクマラ: ジョン、どうもありがとう。いつも啓発的で、有益で、とても楽しかったので、お話しできてとても嬉しかったです。ありがとうございます。

0:58:23.1 ジョン・キンダーヴォーグ: ありがとう、友よ。

0:58:27.7 ラグー・ナンダクマラ: 今週のセグメントのエピソードを視聴していただきありがとうございます。2週間後に次のエピソードで戻ってきます。それまでの間、ゼロトラストに関するその他のリソースについては、必ず当社のウェブサイト www.illumio.com にアクセスし、ショーノートのリンクを使用して LinkedIn と X で私たちを見つけてください。本日は以上です。ホストのラグー・ナンダクマラです。またすぐにお話しします。

‍