ゼロ・イッシュ・トラストへの取り組み

0:00:04.4 ラグー・ナンダクマラ: ゼロトラストリーダーシップポッドキャスト「セグメント」へようこそ。私はあなたのホストで、ゼロトラストセグメンテーション企業であるIllumioのインダストリーソリューション責任者であるRaghu Nandakumaraです。今日は、ブルックス・ランニングのシニア・インフォメーション・セキュリティ・エンジニアであるライアン・フリードが加わりました。ブルックスでは、ライアンは組織全体のセキュリティプロジェクトの設計から完成までを監督する責任があります。Brooks に入社する前は、Coverys や BlueSnap などの組織でセキュリティアナリスト、ネットワークエンジニア、リスク評価マネージャー、セキュリティアーキテクトとして働いていました。本日、ライアンが当社に加わり、ゼロトラストプログラムの構築を成功させるために製造および小売部門におけるサイバーセキュリティの役割、コンプライアンスと安全性の違いについてお話しします。

0:00:50.3 ラグー・ナンダクマラ: ねえ、ライアン、今日はここにいてくれてうれしい、参加してくれてありがとう。調子はどう？

0:00:55.5 ライアン・フリード: よかった、この機会に本当に感謝している。いつもあなたとおしゃべりできて嬉しいです。

0:01:00.1 ラグー・ナンダクマラ: それは私たちの喜びです。まず言っておきたいのは、この1か月ほど使っているブルックスのランニングシューズは、私が今まで所有した中で間違いなく最も快適で、最も軽く、最高のランニングシューズです。今回まで試していなかったなんて信じられません。ですから、あなたが参加できることは二重にわくわくしています。まずゲストと会話を始めて、彼らがどのようにしてサイバーの世界にたどり着いたのかを尋ねるのが好きです。では、どのような旅路を歩んできたのでしょうか？

0:01:27.5 ライアン・フリード: 承知しました。私は昔ながらのサイバーへの道のりの一つだと言えるでしょう。私は経営情報システムの学校に通っていたので、ビジネスとテクノロジーの中間的な存在でした。結局、大規模な健康保険会社でITローテーションプログラムに就職することになったので、6〜8か月ごとに別のIT部門に転職していました。私はプロジェクトマネージャーになりたいと思って入社しましたが、6 か月後にすぐにそうではないことがわかりました。私はハンズオンワークのほうが好きです。それで、私が2年目になると、健康保険会社は最初のCISOのうち少なくとも1人を雇いました。彼はこの素晴らしい文化を会社にもたらし、毎日4時になると、みんなの仕事はほとんどセキュリティやインフラストラクチャなどにとどまり、人々が読んだり報告したりしている最新の脅威や脆弱性について話し、その後に議論するようになりました。また、セキュリティ担当者が電話でインフラストラクチャ担当者に問題を伝え、数日以内に修正計画を立てる会社は他に聞いたことがありません。それから、さまざまなエンジニアが、ダークウェブでの自分たちの活動や現場に目を光らせていることについて話してくれました。それで私はすっかり夢中になり、それ以来本当に振り返っていません。

0:02:42.5 ラグー・ナンダクマラ: 最初に、プロジェクト管理を 1 年間行い、その後に切り替えたというコメントを聞くのは、とてもワクワクします。大学を卒業してアナリストプログラムで初めて仕事をする前、基本的にはずっと話していた会話を思い出すことは間違いありません。左手には、「ねえ、ITプロジェクト管理の仕事に就けるし、右手にはサイバー関連の仕事に就ける」と書かれていました。「選択肢は一つしかない。左利きじゃない」みたいな感じです。でも、その学習文化を聞くのはとても素晴らしいです。なぜなら、あなたの言うことは絶対的に正しいからです。文字通りツールを使いこなして、毎日30分の時間を学習、議論、アイデアの共有に費やす機会は、本当に素晴らしい機会です。何、それを経験した最初の頃から、どんなことを思いついたの？

0:03:37.3 ライアン・フリード: ただ、成長という考え方を持っているだけです。10年前、私たちはパブリッククラウドについて少し話し始めたばかりですが、仮想マシンの話が増え、ここ1、2年の間でも、私は基本的にコンテナとDevSecOpsについてゼロから学ばなければならず、自信を持って5年間それを行ってきた人々に要件を伝えるのに十分な知識が必要でした。要件を伝え、実行する必要があると言うつもりはありませんが、彼らに尋ねると、彼らはセキュリティについて少し知っています。ですから、テクノロジーが進歩したと思ったら、次のことを学ぶ必要がありますが、それについて学ぶことに心を開くことは本当に重要です。

0:04:19.8 ラグー・ナンダクマラ: ええ、絶対に。では、サイバーセキュリティと脅威を最初に発見した際に、特定のセキュリティ機能を共有してもらえるか、あるいはその脅威が目に留まり、「神様、それは本当にわくわくする、私が追求したいことだ」と言ったかもしれません。

0:04:37.9 ライアン・フリード: ええ、10年ほど前を振り返ってみると、EDR分野で最もエキサイティングなテクノロジーはCrowdStrikeだったと思います。私はソフォスやヴェラの基本を知っていて、彼らに基本的なスキャンをさせながら育ちました。しかし、CrowdStrike のようなものや他のどの EDR ベンダーでも、そのプロセスツリーを見て、その行動ベースのアプローチを採用できることが目に見えるようになったとき、本当に素晴らしいと思いました。

0:05:05.8 ラグー・ナンダクマラ: したがって、ヒューリスティックベースの検出から行動検出への移行は、特にエンドポイントベースの保護を行う方法において、明らかに大きな変化でした。この傾向は、機械学習と AI ベースのテクノロジーの進化に伴って、過去 10 年間で大きく発展しました。最近RSAに入社されたことは知っていますが、RSAのベンダーから見たことの中で、特に興味深かったことは何ですか？

0:05:34.4 ライアン・フリード: うん。RSAが提供した最も優れたテクノロジーは、クラウドセキュリティ保護機能を備えていること、そして非常に役立つクラウド構成を探していることだと思いました。しかし、私にとっては、脅威アクターが何をしているのかを知り、それを統制に結び付けたいと思っています。クラウドプラットフォームでは通常、設定ミスです。クラウド設定プラットフォームはたくさんあり、300件のハイアラートを出しますが、私には役に立ちません。そこで、ベンダーがもう少しリスクベースのアプローチをしているのを見始めています。そのアプローチでは、パブリックIPアドレスが関連付けられていてインターネットアクセスが開かれていること、またはこれが実際に悪用されている設定ミスであることを検出できるかもしれません。パブリッククラウドの構成ミスに対する脅威ベースのアプローチが少し増えてきています。これはエンジニアとして本当に役に立ちます。

0:06:31.7 ラグー・ナンダクマラ: そして、皆さんが「リスクベース」や「脅威ベース」という言葉を使っていると、特にベンダーの市場ではよく耳にします。実務者として、また経験豊富な実務者として、リスクベースと脅威ベースと言うとき、正確にはどういう意味ですか？

0:06:54.2 ライアン・フリード: そこで、この 2 つの用語を使うとき、私は通常、脆弱性管理について考えます。つまり、すべてにパッチを適用することはできません。インフラストラクチャーチームに問い合わせるときには、それがどれほど重要であるべきかについて、自由に高いレベルの忠実度を持たなければなりません。そこで、私が見ているのは、一部の脆弱性管理ツールが他のツールよりも優れているのは、資産が一般に公開されているかどうかです。脆弱性なのか、エクスプロイトコードのような概念実証が行われているのか？この脆弱性は積極的に悪用されているのでしょうか。現在、悪用された既知の脆弱性リストで本当にうまく機能しているCISAはどれですか。ハッカーがどれくらいの複雑さを必要とするか?Metasploit を使用して 1 行のコマンドラインを入力するだけでよいのか、それとも高度な複雑さが必要なのか。では、ユーザーとのやりとりのレベルはどのくらいなのでしょうか。開封する必要もないのにメールを送信しているのでしょうか？それとも、ユーザーが数回クリックする必要があるのでしょうか？つまり、CVSS スコアに加えてこれらの要素が、最初に修正すべきものの優先順位を決めるのに役立つのが普通です。

0:08:01.8 ラグー・ナンダクマラ: そして、あなたは露出という言葉を使ったと思います。脆弱性が実際にさらされるリスクとは?実務者として、組織における資産の露出状況をどのように把握していますか？

0:08:20.0 ライアン・フリード: ええ、それは本当に難しいです。私がこれまで勤めてきたほとんどの会社での資産管理は、間違いなく課題でした。資産はあちこちにあります。ワークステーションまで人が行き来しています。新しいサーバが立ち上がっています。DevSecOps では、パブリッククラウド上にエフェメラルサーバーを立ち上げています。私は過去にペンテストで頭を悩ませたことがあります。そこではWindows 2008のボックスがジャッキアップされていて、EDRエージェントがなく、ペンテスターがそれを見つけて悪用し、水平方向に移動してドメインと管理者のアクセス権を取得しました。そこで、最近私が見つけた最善の方法は、VMware スタックへの API アクセス、使用するパブリッククラウドの存在、MDM ソリューションです。そうすれば、エージェントがインストールされていたり、何らかの措置が講じられたりすることに頼る必要がなくなります。

0:09:14.0 ライアン・フリード: そのため、さまざまなプラットフォームへのAPI接続を使用するという点で、非常に良い仕事をしているベンダーがいくつかあります。しかし、実践者としての課題は、すべてのエージェントがどこにでもいることを確認することです...すべてのエージェント、すべてのサーバー、ワークステーションで 100% のコンプライアンスを達成したことはありません。そのため、EDR ベンダーや Vault 管理ベンダーを手動で調べる代わりに、API 呼び出しを実行するツールがあります。そのホスト名を 1 つ取得すると、EDR が表示され、データ保管庫管理が表示されますが、ログを取得して SIM に送信するツールは見当たりません。そのため、ずっと簡単になります。さもないと、自分で行うことになりますが、必ずしも 100% 取得できるとは限りません。

0:10:01.2 ラグー・ナンダクマラ: つまり、100% になることは決してなく、常に追いつこうとしているということです。これは、「ああ、攻撃者は常に一歩先を行く」とよく言われるような意味ではありません。その観点から話しているわけではありませんが、おっしゃるように、基本的には、パッチやアセットディスカバリーなどに関わらず、常に追いつこうとしています。何が十分かを判断するにはどうすればよいでしょうか。許容できるレベルはどれくらいで、それを超えるとボーナスになりますが、改善のためのコストも法外に高くなる可能性があります。どうやって設定するんですか？なぜなら、話が途切れるわけではなく、先ほど知らなかった Windows 2008 サーバーの例に戻りましょう。これが最終的に悪用される脆弱性です。どうやってそのバランスを取るの？

0:10:46.1 ライアン・フリード: うん。あなたが「十分だ」というフレーズを持ち出してくれて本当に嬉しいです。セキュリティ分野では、それが私の生きがいだからです。私は健康保険、フィンテック、カード会員データなど、規制の厳しい企業で働いてきました。そこでは、何をすべきかがかなり規範的ですが、私が働いたことのある企業の中で、セキュリティを重視している企業はありませんでした。Brooks は靴の販売を主な目的としており、攻撃対象領域を最小限に抑えるよう努めています。そして、ランサムウェアに見舞われたとしても、企業としての影響は受けません。小売業界で良くも悪くも、全体論的な観点から本当に守らなければならないコンプライアンスフレームワークはありません。そこで、NIST サイバーセキュリティフレームワークや CIS Top のようなものを使います。20 だったのが、今は 18 だと思います。

0:11:34.5 ライアン・フリード: そして、私たちは通常、年に一度、さまざまな統制を検討し、評価します。たとえば、資産管理についてです。これは私たちにとって重要です。そして、1から5のスケールで見ると、おそらく2か3ですが、5には達していないかもしれません。2 から 3 へ、3 から 4、4 へ、4 から 5 へと進むための努力のレベルはどのくらいでしょうか。私たちの規模やスタッフに基づいて、どの時点でそれを十分良いと言い、次に次のことに移るのでしょうか。そこで、実際に検討してみると、私たちにとって最も重要なことは、資産管理は明らかに非常に重要です。そして、それが許容できるスコアを判断し、改善していきます。

0:12:16.5 ラグー・ナンダクマラ: それは本当に面白いです。そこでは、特に製造や小売などのサイバーセキュリティ要件に関しては、金融のように規制の厳しい業界と、はるかに規制の少ない業界との対照について、非常に興味深いことをおっしゃいました。そして、規制の厳しい業界について考えると、通常、これらには3つの手段があります。一つは規制です。1つは、評判の低下、事業収益の損失などを保護するために絶対に守らなければならないものだという非常に明確な考え方です。そして、その業界、そのセクターに影響を及ぼす大災害が頻繁に発生しています。つまり、他の誰も主役になりたくないということです。しかし今、規制されていない業界ではなく、規制の緩い業界では、プログラムを前進させるための手段を本質的にどのように構築すればよいのでしょうか。

0:13:12.7 ライアン・フリード: ええ、ブルックスでやったこと、そして他の会社でも見た中で最も重要なことは、運営委員会を持つことだと思います。そこで、私の上司は最高執行責任者、最高財務責任者、プライバシー責任者、法務責任者と面会し、彼らにセキュリティの重要性を理解してもらうことで、大きな影響力を得ることができます。ですから、それが本当に最も重要なことだと思います。経営幹部の賛同が必要であり、私たちがどこにいるのか、どこになる必要があるのか、そしてお金であれ人であれ、何が必要かを明確に説明できることが、私が最も成功する方法を見つけた方法です。

0:13:48.0 ラグー・ナンダクマラ: また、現在のブルックスでの役割と、規制の厳しい業界における以前の雇用主での役割との対比について教えてください。一方の課題と他方の課題にはどのようなものがあるのでしょうか？そうですね。というのも、皆さんがさまざまな業界でこのような役割を担ってきたことは本当に興味深いことだからです。

0:14:09.1 ライアン・フリード: ええ、私たちの北極星は少し違うと思います。そのため、HIPAA（保険業界）の規制の厳しい業界で働いていたため、私たちははるかにデータ主導型でした。私たちはツールを使って制限付き機密データを見つけたのです。データ損失防止に関する取り組みをさらに強化しました。Brooks ではそのようなことを行っていないことは言うまでもありませんが、厳重に規制されたデータはありません。Brooks では、アベイラビリティにはるかに重点を置いています。そのため、ランサムウェアに注目することが私たちの活動の大きな原動力となっています。そうですね、知的財産のプロプライエタリな種類のデータについて考えているかもしれませんが、私たちはさまざまな脅威からの可用性にはるかに重点を置いていると思います。

0:14:52.2 ラグー・ナンダクマラ: そういうのが本当に魅力的だと思うのは、CIAの伝統的な三角形のセキュリティについて考えるからです。C には通常、多くの焦点が当てられます。そして、Iにはかなりの焦点が当てられ、Aは無視されないことがよくありますが、CとIを守るために誰もが犠牲にしても構わないと思っている部分です。しかし、繰り返しになりますが、特にここ数年でサイバーレジリエンスという言葉が流行したことで、Aへの注目が高まり、組織はCIAトライアングルの可用性の柱をはるかに重要視するようになっていると思います。私ってそういうふうに見える？

0:15:37.3 ライアン・フリード: 本当にそう思います。うん。私たちはERPシステムの可用性について考えています。私が気付いたことの 1 つは、私の経験から言うと、ランサムウェアからの復旧をテストする企業が増えていることです。実施することは一つのことですが、実際にどれくらいの時間がかかるかを調べてから実際に回復し、そのビジネスユーザーが必要なデータを取得できるようにすることは非常に重要です。ランサムウェアで初めてそうしたくないからです。そして、それを見つけるのはとても面白いです...私はビジネス継続性への取り組みに関わってきましたが、誰かがアプリケーション XYZ を必要としているとしましょう。その人に「どれくらいの速さか」と尋ねると、1 時間と言われます。なぜそうしないのでしょう？なぜ一時間って言わないの？実際には、インフラストラクチャチームが 8 時間かかり、「1 時間で実行できるが、アクティブで書き込みを行っている別のデータセンターにお金を払わなければならず、100 万ドルの費用がかかり、『8 時間はなかなか良さそうだ』と言う」と言えるかもしれません。そのため、これらの重要なアプリケーションに実際にかかる時間という予測を管理することは、レベル設定することが重要です。なぜなら、予想以上に時間がかかるからです。

0:16:52.5 Raghu Nandakumara: ええ、絶対に。そして、あなたはそう言った...ほんの2、3のことよごめんなさい、ゲストの皆さん、この思考の流れとか、いろんなことをダブルクリックしたくなると、本当にワクワクします。それでは、その考えの流れの冒頭から始めましょう。あなたは効果と私のコントロールがどれほど効果的かについて話しました。さて、あなたの見解では、規制の厳しい業界にいた時代にまでさかのぼりますが、「コンプライアンス」と「セキュリティ」の違いは何だと思いますか？という質問が少し多すぎます。

0:17:27.9 ライアン・フリード: ええ、それは大きな違いです。従って、コンプライアントはポジティブな意味で使えます。クレジットカードデータを扱う際に、PCI は規範的であり、素晴らしい点もたくさんありますが、8 文字のパスワードも推奨していますが、私が苦労しています。つまり、これは良いベースラインであり、業務の遂行に利用することができるのです。自分がどの業界にいるのか、攻撃者はどのように行動しているのか、という脅威ベースのアプローチをとっていると思います。たとえば、クラウドの場合、ガートナーは、クラウド侵害の 90～ 95% は設定ミスだと考えています。監査担当者がそのことについて話しているかどうかはわかりませんが、私たちにはクラウドが存在しているので、それは重要です。つまり、コンプライアンスは良いことであり、味方になることもできますが、それだけで済むわけではありません。

0:18:18.4 ラグー・ナンダクマラ: 私が以前の職務から見た場合、コンプライアンスや監査では、多くの場合、あなたが定義したチェックリストや一連の基準と、あなたの言うとおりに、実際の脅威は何か、そしてそれがこの現在の構成をどのように悪用できるかを比較しています。それでは、あなたがお話しした一連の考えに対する次の質問は、統制が効果的かどうかをどのようにテストするかということです。

0:18:52.0 ライアン・フリード: さて、あなたは私の最後の仕事で私が情熱を傾けているプロジェクトに取り掛かっています。

0:18:57.6 ラグー・ナンダクマラ: よし、行こう。

0:18:57.8 ライアン・フリード: ええ、私が最初に始めたとき、10年間の進化について話しました。ペンテスターにいくらお金を払っても、基本的にペンテスターは Nessus のスキャンを実行して、これらはすべてあなたの脆弱性だと言ってくれます。それだけです。次に説明したのは、ペンテスターにお金を払うことです。自分の環境へのアクセスを許可する場合もあれば、しない場合もあります。おそらくないでしょう。中に入ろうとして入るかもしれないしアクセスもできるそして君がそれを修正するここ数年、パープルチームや Atomic Red Team のようなツールが進化してきました。正式なペンテスターとしてのトレーニングを受けていない人でも、ハッカーが使用しているものを実際にシミュレーションできるようになりました。

0:19:38.7 ライアン・フリード: そこで、MandiantやRed Canaryのさまざまなレポートを見てみると、これらは過去1年間に見られたハッカーテクニックのトップ10です。そして、実際にツールを使って、ネットワーク内のラップトップでそれらのテクニックを実行してみます。EDR やファイアウォールが何をキャッチするかを見ていきます。彼らがそのほとんどをキャッチできれば、素晴らしいです。そして、彼らが何かを捕まえなかったら、SEMやEDRから検出を書いて、次回はキャッチします。簡単な例としては、ほとんどのハッカーが侵入すると、「私は誰？」みたいなことをします。彼らがどこにいるのか、どのアカウントを持っているのかを正確に把握するためです。そして、私たちのEDRツールがそれを検出しないことがわかったので、それを見つけたらいつでも簡単に検出できるようにしました。そして、そのようなペンテスターが、とてもシンプルで早い段階でそのようなペンテスターを見つけたのです。ええ、敵対者エミュレーションのようなものを使ったり、コマンドプロンプトで実行するようなもの、例えば私が誰なのか、sysinfoやネットグループの管理者といったものを使うことは、本当に影響力があり無料だと思います。

0:20:46.3 ラグー・ナンダクマラ: だから私はそれを聞きたいです。もちろんです。それこそまさにセキュリティ・テストの進化だと思います。今では、セキュリティ防御をテストする段階がはるかに現実的になっていると思います。そしてもちろん、チーム演習では、それを改善するための迅速なフィードバックループが可能になります。しかし、あなたがそこにいて、保護するために搭載したい次のセキュリティ機能を購入しているとしましょう。この場合は Brooks ですが、そのベンダーが売ろうとしているものが、期待しているセキュリティ強化を実際に実現できるかどうかを検証するにはどうすればよいでしょうか。そのためにはどうすればよいのでしょうか。

0:21:30.1 ライアン・フリード: ええ、本当に規範的な成功基準を定義することは本当に重要だと思います。では、どのようなユースケースを見つけようとしているのでしょうか？なぜなら、ベンダーを探しに行って、「そのための機能が欲しい」と言うだけでは、楽しい時間を過ごせないからです。なぜ？何から身を守ろうとしてるんだ？それを真似できるか？クラウドセキュリティポスチャ管理ソリューションを探しているなら、簡単なPOCを行い、データが入っていない世界にS3バケットを公開して、それがどれだけ早くキャッチされるかを確認するかもしれません。また、マイクロセグメンテーションの場合は、ラップトップを使用していて、環境全体に対して Nmap スキャンを実行して、何が通信できるかを確認する場合もあります。そして、ツールを強制モードにして、まだ何ができるかを確認します。ですから、ベンダーに目を向ける前に、ユースケースと解決しようとしている問題を理解しておく必要があると思います。

0:22:30.2 ラグー・ナンダクマラ: ええ、絶対に。私も同感です。というのも、一般的な「ねえ、私にはこの機能が必要だ」という一般的な考えではなく、顧客側の両方が解決しようとしているユースケースについて明確な考えを持っていると思うからです。利益を得るには結びつけないといけません。そして、ベンダーの観点からは、「ねえ、私たちはこの機能をあなたに売っています」と何度も言うのではなく、そのユースケースに明確につながることができると思います。まさにこのような仕組みです。そして、それが言えるということは、とても重要なことだと思います。そして、次に進みたいと思います。なぜなら、これはゼロトラスト・リーダーシップのポッドキャストだからです。そこで、ゼロトラストについて少しお話しします。そして、私はあなたがまさにゼロトラストの実践者であることを知っています。あなたは異なる雇用主で少なくとも2つのゼロトラストプログラムを構築しています。まず、ゼロトラストについてどう思いますか？また、なぜそれがあなたの心に響くのでしょうか？

0:23:23.4 ライアン・フリード: うん。私がいつも思い浮かべるのは、約10年前、あるHVAC契約業者がネットワークにアクセスして、カード会員データにアクセスできたときの、Targetの侵害です。これが、私たちがそれを試みている理由の1つです。または、基本的に、ユーザーが感染した場合、その爆発範囲を最小限に抑えて、ユーザーが大きなダメージを与えられないように権限を最小限に抑えるにはどうすればよいかを考えます。

0:23:52.4 ラグー・ナンダクマラ: だからそれを適用すると、そしてもちろん...これはセキュリティに対するゼロトラストのアプローチに完全に当てはまるわけですが、組織がそのアプローチを採用できるよう支援するプログラムを構築するにはどうすればよいでしょうか。なぜなら、ゼロトラストは素晴らしいアイデアだが、実際には実現するのが難しいのに、あなたはそれを二度成功させているという話をよく耳にしているからです。では、他の人が知っておく必要のある、あなたが持っている秘訣は何でしょうか？

0:24:23.0 ライアン・フリード: 承知しました。ゼロトラストはどちらかというと、いくつかの方法で適用できた原則です。私たちはほとんど何をするにしても、どうすればゼロ・トラスト、そしてゼロ・イッシュ・トラストへ向かうことができるかを考えています。ゼロトラストを実際にやるのは本当に大変で、本当に怖いと思います。ゼロトラストについて最初に考えたとき、サーバー間の通信を減らすことができると考えました。これは本当に怖いですし、本番環境にも大きな影響を与えます。しかし、例えば、私たちが話しているのは、ゼロトラストの観点から見たマイクロセグメンテーションです。混乱を最小限に抑えることで、私たちが得ることができる最大の利益は何でしょうか？なぜなら、皆さんやリスナーも知っていると思いますが、何かをブロックしたツールやテクノロジー、ある種のセキュリティツールが原因で、私の信頼を失ってしまったからです。正当なブロックだったのかもしれないし、そうでないかもしれませんが、信頼を取り戻すのは本当に難しいのです。

0:25:22.3 ライアン・フリード: 何か壊れると、「あれって工具なの？」って言われてしまうような道具があったんです。「ダメ」って感じです。そこで、まずは、ワークステーション間の通信について調べましたが、実際には何もないはずです。そして、ユーザーとサーバー間のやりとり。従業員ベースの 90% 以上が IT 部門に属していないからです。そのため、HTTPS経由でない限り、リモートでアクセスしていない限り、実際にはサーバーにアクセスしません。また、脅威の観点から考えると、侵入のほとんどはワークステーション上のフィッシングメールから始まります。通常、ユーザーはサーバー上のメールにアクセスすることはなく、アクセスすべきではありません。どうすればいいのか、ランサムウェアに襲われた人がいると聞きました。ランサムウェアが被害に遭ったとしても、他のワークステーションには影響せず、他のほとんどのサーバーにも影響はありません。私にとって、それはマイクロセグメンテーションの観点から見たゼロっぽい信頼です。

0:26:19.2 ラグー・ナンダクマラ: ゼロっぽいと言った方法が好きです。さっき話していたことに戻るだけで十分だと思うから。そして、その間に一線を引いているのです...ここが...そして、今おっしゃったことを言い換えると、これらが私のネットワーク内で過度に許可されたアクセスによる最大のリスクであることはわかっているということだと思います。そこで、暗黙の信頼を減らすことに焦点を当てていきたいと思います。そこで、よりゼロ暗黙的信頼へと移行しますが、ここで線を引くのは、これを超えると、私が注いだ努力から得られる見返りはごくわずかであるか、戻ってくる可能性があるからです...そして、それは本当に重要なポイントでした...多くの場合、キャリアを決定づける可能性があります。セキュリティ統制はキャリアを決定づけます。なぜなら、セキュリティ統制がうまく行き、リスクとリスクが軽減されたことを示すことができれば、誰もがあなたを称賛するからです。しかし、重要なアプリケーションが壊れてしまい、「やあ、ライアン、ラグー、適用したばかりのことについて話そう」と言われる可能性ははるかに高いです。おっしゃるように、問題の原因が御社の製品ではなかった理由を説明するには、何時間も、何日も費やす必要があります。繰り返しになりますが、ここまで努力した甲斐があったという評価基準は何でしょうか？それで十分だ。そして、それ以上に、より多くの利益を得るにはコストが高くなります。砂にどうやってその線を引くの？

0:27:56.8 ライアン・フリード: 確かに主観的なものかもしれませんが、私にとっては、管理上のオーバーヘッドと、本番環境がアプリケーションに及ぼす影響について考えます。職務内容に書いてある私たち以外の人には、「安全だ」とは書かれていません。彼らにはアプリケーションを実行させる必要があります。ですから、私たちがしなかったことの良い例を挙げることができます。なぜなら、それだけの価値があるとは思わなかったからです。別の潜在的なリスクとして、サーバーが感染し、コマンドアンドコントロールドメインにアクセスしてマルウェアをダウンロードし、感染したとします。サーバーから直接、ユーザーがサーバーに接続する必要はありませんでした。今できることの 1 つは、アプリケーションやサーバーが特定のドメイン、特定のウェブサイトにしかアクセスできないようにするゼロトラストです。現実的には、サーバーは多くの Web サイトにはアクセスしませんが、その背後にある処理は信じられないほどです。そして、私がそれを知っているのは、私たちがそれを試したからです。ウェブサイトには、人々が手を差し伸べるドメインが沢山あります。つまり、新しいアプリケーションをダウンロードしても機能しないとしたら、管理上の悪夢となり、本番環境にも影響が及びます。そして、それがアジアやヨーロッパの誰かで、私がそれをやっているとしましょう。そこで私が本当に考えているのは、どのようなリスクがあるのかということです。リスクは、DNSがそのドメインをキャッチしないこと、EDRがそのドメインをキャッチしないこと、ファイアウォールがそのドメインをキャッチしないこと、そしてそれがC2サーバーであることです。国家主体がそれを行うことはできるのか？承知しました。しかし、私にとってはそれだけの価値はありません。生産への影響が大きいからです。そこで、私たちは別の方法でそれをしました。

0:29:45.1 ラグー・ナンダクマラ: うん。私も同じような経験をしているので、それは完全に理解できます。では、ゼロトラストプログラムの将来はどうなるのでしょうか？また、その継続的な進化についてどう思いますか？それはどのようなものでしょうか？

0:30:01.1 ライアン・フリード: ええ、マイクロセグメンテーションから考えて、それがどこにでも適用されていることを確認しています。さまざまなユースケースを見てみると、可視性の観点から、パブリッククラウドの何が話題になっているのかを把握し、役割やアクセスなどに関してはできるだけ権限を使わないようにするためです。そして、Azure とオンプレミスの両方の Active Directory アカウント全体で、一般的に最低権限のアクセス権限が必要です。これらは私たちが取り組んでいる大きな課題の一部です。

0:30:29.6 ラグー・ナンダクマラ: そして、あなたはクラウドについて何度か話しました。また、組織や実務担当者は、クラウドセキュリティと従来のキャンパスやデータセンターのセキュリティを区別することがよくあります。実は、私は今週初めのあるイベントに出席していましたが、ステージに立ったのは基本的に大規模な金融機関で DevOps または DevSecOps を実行していた人でした。彼が言ったのは、私たちが引き起こした問題は、「わかった、私はセキュリティのやり方が違うし、クラウドとレガシー、従来型など、呼び方を変えてセキュリティについての考え方が違う」と言ったことです。どう思いますか?なぜなら、一貫したセキュリティを確保するためには、それらについて同じように考える必要があるというのが彼の考えだったからです。

0:31:18.0 ライアン・フリード: 全く同感です。私がいつもよく言っているのは、クラウドはデータセンターの延長に過ぎないということです。VM でも、クラウドでも Windows VM でも、データセンターでも、デスク下でも。まだパッチを当てる必要があり、特定のエージェントが必要であり、それらを別々に見るのは非常に危険です。そして、セキュリティとインフラストラクチャの両方の観点から、慣れるまでにはしばらく時間がかかっていると思います。しかし、おっしゃるように、コントロールも同様である必要があります。サービスやストレージコンテナなどの特定の項目に関しては、それぞれ異なる可能性があります。一時的なものであろうとなかろうと、VM は VM です。そのため、データセンターの場合と同様に、可視性やパッチ適用などは依然として必要です。

0:32:04.6 ラグー・ナンダクマラ: では、今、どのようなことを見ているのか、将来どのようなことを見ているのでしょうか。あなたが本当にワクワクしているトレンド、テクノロジーはどのようなものですか？あなたが情熱を注いでいるプロジェクトについて少し話したことは知っていますが、サイバーセキュリティの世界で起こることを本当に楽しみにしていることは何ですか？

0:32:24.8 ライアン・フリード: ええ、先ほどお話ししたように、資産管理の改善だけでは、総資産数を把握するためのAPIベースのアプローチの方が多いと思います。これを見つけるのは難しいことですが、今後数年間で API セキュリティに関するテクノロジーがさらに増えると思います。これは、おそらく企業が認識している以上に多くの機会にさらされていることだと思います。特に、自社のネットワークにアプリケーションや呼び出し元のアプリケーションがある場合や、他のスタッフベースのアプリケーションやネットワークにアプリケーションがある可能性が高い場合はなおさらです。そして、そのためにどのようなセキュリティ対策を講じているのか、まったくわからないかもしれません。ですから、そのテクノロジーを見て、あなたの API がどこにあるのか、そしてその周りにどのようなセキュリティがあるのかを知ることができるのを見て、本当にワクワクしています。そして、私の専門ではない開発者ベースのアプローチを採用していますが、開発者言語で適切な重要度を設定して修正できるようにしてくれるツールがあればいいなと思います。

0:33:19.3 ラグー・ナンダクマラ: 実際、開発者をほのめかしていたら、DevSecOps、シフトレフトとセキュア・バイ・デザイン、デフォルト・セキュア・バイ・セキュアなどの用語をよく耳にします。私はこれらの用語のどれについても決して専門家ではありませんが、私は...私は危険なので読んだことがあり、それをぼんやりとさせることもできる。これらはあなたにとって何を意味しますか？また、あなたが実践者としてしていることにとってどのような意味がありますか？

0:33:46.1 ライアン・フリード: ええ、シフトレフトは本当に重要だと思います。私は両方の立場で開発者が「ねえ、このアプリケーションは2週間後に本番環境に入る予定だ」と言うでしょう。サインオフしてもらえる？」「何？」って感じです。そして、アプリケーションの脆弱性などを調べるために、さまざまなツールを使っています。そして、私たちはそれを理解します。とにかくライブになる可能性が高いです。ですから、理想的には最初から参加し、私はアプリケーション開発のバックグラウンドがあまりありませんが、部屋にセキュリティがあるだけで、最初の議論で彼らが話したり行動が変わったりすることがあります。しかし、静的コード分析ツール、動的コード分析ツールもあるので、それは本当に重要だとも思います。開発者に好きなものを選ばせてください。たぶん私は毎日参加するつもりはないので、開発者に優しいものが欲しいのです。そして、私たちはそれで大成功を収めました。もちろん、セキュリティタイプのチェックがベースラインで最低限行われているかどうかを確認したいのですが、彼らが理解でき、より相談的な役割を果たせる言語にしたいのです。

0:34:56.1 ラグー・ナンダクマラ: セキュリティにゼロトラストアプローチを採用することは、シフトレフトと本当に一致するという考えで遊んできました。それを踏まえると、悪いことをブロックしようとするのではなく、「これらは私が許可したい良いことだ」と明言するよりも、アプリケーションの開発と非常に一致します。たとえば、アプリケーション開発で、「オーケー、アプリケーションにこれらを実行する必要があることはわかっている。それを可能にするセキュリティルールを書きたい」と言っているような場合です。では、セキュリティシフトが左にシフトすると、そうなると思いますか...それを現実的にするには、ゼロトラストの採用を増やすか、別の言い方をすれば、本質的に許可リストベースのセキュリティを定義することにもっと重点を置くことになるのでしょうか。

0:35:48.4 ライアン・フリード: ええ、シフトレフトは間違いなくそれに合っていると思います。新しいサーバーやアプリケーションを導入するときには、マイクロセグメンテーション環境に導入される予定で、そのツールが実際にどのようなコミュニケーションを必要としているかを理解したいので、以前から関与するようになったと思います。そして、簡単な例を挙げることができます。あるアプリケーションで、1 番から 65,000 番までのポートを開く必要があるとベンダーから言われましたが、このベンダーはとてつもなく怠け者です。

0:36:16.7 ラグー・ナンダクマラ: 最後に残った数百人についてはどうでしょう。彼らはあれが欲しくなかったの？

0:36:20.6 ライアン・フリード: うん。最低限の特権かゼロっぽい信頼を狙ってた早い段階で関与すれば、1 か月間稼働させて、100 ポートか 1,000 ポートの範囲しかないことがわかります。しかし、私たちが早期に関与せず、彼らが知らないうちにアプリケーションをインストールし、すでに本番環境にある場合、広範囲にわたる作業と迅速なフィードバックループがない限り、おそらくその数は 65,000 に抑える必要があるでしょう。その要件フェーズの早い段階で関与し、ゼロ・イッシュ・トラスト戦略の成功に役立つデータを検討します。

0:36:58.1 ラグー・ナンダクマラ: 絶対に。そして、プログラムが成熟するにつれて、セキュリティへの関与がどんどん左にシフトしていくという、あなたが話していたある種の成熟度に戻ると思います。繰り返しになりますが、どこまで残っているかは、そのプログラムをどこまで進めたいかにかかっています。さっきも言ったように、話し合うことはまだたくさんあるけど、あなたの時間を意識してる。将来についてワクワクしていることは何ですか？リスナーに聞いてもらいたい、持ち帰ってほしい、実践してもらいたいことは何ですか？

0:37:37.3 ライアン・フリード: ええ、コントロール検証のような話でした。コラボレーションと実用的な脅威インテリジェンスによってセキュリティが変化しているのを目の当たりにして、本当にワクワクしています。MITRE ATT&CKは、攻撃者の行動を基本的に高いレベルから体系化する点で、業界にとって本当にポジティブなことだったと思います。つまり、情報共有グループの一員になったり、会議に行ったり、記事を読んだりして、ハッカーが何を使っているのかを確認して、実行する価値やコマンドを教えてもらうことができるのです。そうすれば、ご使用の環境で実行して、影響を受けるかどうかを確認できます。以前は 1 年に 1 回ペンテストを行い、その後は来年まで待たなければならず、環境が適応しているためにあっという間に陳腐化してしまいます。このような状況が続くことを楽しみにしています。また、クラウドに移行して、確認すべきログがどのようなものかを確認することさえできれば、本当にワクワクしています。攻撃者は何をしているのか？どうすればエミュレートできますか?動作するかどうかはどうすればわかりますか？

0:38:40.2 ラグー・ナンダクマラ: 素晴らしい。あと、ライアン、ブルックスランニングでは、ブルックスのトレーナーを履いてランニングに出かけている間に、重要なセキュリティミーティングを全部やるって本当なの？本当なの？私たちに知らせてください。

0:38:49.0 ライアン・フリード: ええ、前にも言ったと思いますが、インタビューしたときには、5Kタイムを送って、20分未満でなければなりません。

0:38:55.1 ラグー・ナンダクマラ: あなたと一緒に走ったので、やってみればサブ20ができると確信しています。あの日、あなたが私に気楽に接していたのは知っている。ライアン、お会いできて光栄でした。あなたのような素晴らしいセキュリティ専門家と会話するのはいつも楽しいです。時間を割いていただきありがとうございます。

0:39:14.0 ライアン・フリード: ええ、機会をありがとう。素晴らしかったよ。

0:39:16.6 ラグー・ナンダクマラ: また、ブルックスランニングのような組織がリスクを軽減し、サイバー攻撃を食い止めるためにイルミオがどのように支援しているかについて詳しく知りたい場合は、当社のウェブサイトillumio.comにアクセスして、その顧客事例やその他のさまざまな事例をご覧ください。どうもありがとうございます。

0:39:37.5 ラグー・ナンダクマラ: 今週のThe Segmentのエピソードを視聴していただきありがとうございます。さらに詳しい情報とゼロトラストのリソースについては、当社のウェブサイト illumio.com をご覧ください。リンクトインやツイッターの @illumio で私たちとつながることもできます。そして、今日の会話が気に入ったら、ポッドキャストを入手できるところならどこでも他のエピソードを見つけることができます。私はあなたのホスト、ラグー・ナンダクマラです。すぐに戻ってきます。

‍