クリエイターのジョン・キンダーヴォーグとCISOのジャレッド・ヌスバウムによるゼロ・トラスト・イン・プラクティス
ゼロトラストの背後にある心が、毎日それを試している誰かと向かい合っているとどうなるでしょうか?
それこそまさに、イルミオがRSAC2025のステージにもたらしたものです。ゼロトラストの創設者でイルミオのチーフエバンジェリストであるジョン・キンダーヴォーグと、アレス・マネジメントのCISOであり、ゼロトラストの旅を内側から経験してきたベテランのプラクティショナーであるジャレッド・ヌスバウムとの珍しい台本なしの会話です。
ジョンは15年前にこのモデルを発表しました。Jaredは何十年にもわたって、グローバル企業がそれを採用し、適応し、現実世界のbreaches から回復できるよう支援してきました。彼らは協力して、ゼロトラストがどこから始まったのか、どのように進化してきたのか、そして今日の脅威環境でそれを機能させるには何が必要かを解き明かしました。
ここでは、すべてのセキュリティリーダーが心に留めておくべき会話から得た6つの重要な洞察を紹介します。
1。ゼロトラストは戦略であり、製品ではない
多くのベンダーがパッケージ化を試みていますが ゼロトラスト ツールとしては正確ではありません。これは、デジタル環境の保護に関する私たちの考え方を戦略的に変えるものです。
会話の中で、ジョンは次のように明言しました。「ゼロトラストは何よりもまず戦略です。それはあなたがすることであって、あなたが買うものではありません。」
CISOの観点から言えば、Jaredは同意しました。「可視性を高め、リスクを軽減するのに役立つものなら何でも勝ちます」と彼は言います。
しかし彼は、ゼロトラストはビジネスの成果に合わせた考え方と戦略から始めなければならないと付け加えました。セキュリティチームは、ツールやフレームワークに取り掛かる前に、自分が何を保護しているのかを理解しておく必要があります。 なぜ。これにより、セキュリティ支出の優先順位が適切に決定され、取締役会からの強い賛同を得ることができます。
「ゼロトラストは何よりもまず戦略です。それはあなたがすることであって、あなたが買うものではありません。」
— ゼロトラストの創始者、ジョン・キンダーヴォーグ
2。マイクロセグメンテーションは基本
ジョンの場合、 セグメンテーション ゼロトラストの基本です。実際、ゼロトラストに関するレポートが 2 つ目になったのは、ジョンが 15 年前に書いたものです。 ネットワークのDNAにセキュリティを組み込む:ゼロトラストネットワークアーキテクチャ。
レポートの中で、彼はゼロトラストの重要な要素としてのセグメンテーションと一元管理の重要性を強調しました。すべてのネットワークをセグメント化する必要があるため、ネットワークをセグメント化する新しい方法を作成するよう求めました。

会話の中で、ジョンは、攻撃者がアクセスできるようになったら横方向に移動するのを防ぐために、今日のネットワークはデフォルトでセグメント化する必要があることを強調しました。「攻撃者がそれを所有していて、あなたが支払いをする」と彼は言った。「セグメンテーションはゼロトラストの基盤です。」
Jaredは、セグメント化されていないネットワークの影響を次の例で説明しました 2013年のターゲット違反。攻撃者は、適切な境界線が設定されていなかったため、サードパーティのHVACベンダーを通じてアクセスし、POSシステムに移行しました。
「強力なセキュリティ境界線を使用してセグメンテーションを行うと、可視性と制御が可能になります」と彼は言います。「すべての攻撃者の侵入を阻止することはできませんが、攻撃者が遠くまで侵入するのを阻止することはできます。」
3。ゼロトラストで小さく始める
ジョンが目にする最大の間違いの1つは、チームがゼロトラストを組織全体に一斉に展開しようとすることです。
「ゼロトラストで失敗するのは、すべてを一度にやろうとするからだ」と彼は説明した。「小さなものから始める必要があります。一度に1つの表面を保護する必要があります。」
彼の有名な 5 段階のゼロトラスト方法論 は、カスタマイズされた、管理しやすく、持続可能な環境を構築することを強調しています。
- 保護サーフェスを定義してください。 攻撃対象領域は常に進化していることを理解した上で、保護が必要なものを特定します。
- トランザクションフローをマップします。 通信とトラフィックフローを可視化して、セキュリティ制御が必要な場所を特定します。
- ゼロトラスト環境を構築しましょう。 完全な可視性が達成されたら、各保護面に合わせた制御を実施します。
- ゼロトラストセキュリティポリシーを作成します。 保護対象領域内のリソースへのトラフィックアクセスを許可するきめ細かなルールを作成します。
- ネットワークの監視と保守を行います。 テレメトリを通じてフィードバックループを確立し、セキュリティを継続的に改善し、レジリエントで脆弱性に優れたシステムを構築します。
ヌスバウムは練習でも同じことが起こるのを見てきました。「一度に多くのことを引き受けすぎると、企業はゼロトラストに苦労します」と彼は言います。「小規模から始めて、ビジネス関係者と連携し、段階的に構築すれば、ゼロトラストは達成可能になります。」
彼は、勢いをつけるためには、環境を理解し、明確な目標を定義し、早期に価値を提供することの重要性を強調しました。そうしないと、ゼロトラストプロジェクトはすぐに崩壊し、組織のセキュリティ体制が後退する可能性があると彼は警告しています。
4。アイデンティティだけでは不十分
ゼロトラストの会話ではアイデンティティが中心的な話題になることが多いですが、ジョンは最初からこの概念に異議を唱えてきました。「アイデンティティはただ一つの合図に過ぎない」と彼は言った。「いつでも代替可能です。適切な意思決定を行うには、より多くのコンテキストが必要です。」
言い換えれば、アイデンティティだけに頼ることはリスクをもたらします。これは、セッションがハイジャックされたり、ID が悪用されたりする可能性があるためです。
Jaredは、ユーザーの認証情報以外にも目を向ける必要性を強調しました。「あなたがしなければならないのは 継続的に検証する ユーザー、そのデバイス、作業している場所、アクセスしているもの、そしてそれが理にかなっているかどうか」と彼は言います。
彼は、それは人だけの問題ではないと指摘しました。ワークロード間の通信も検証して制御する必要があります。「完全なコンテキストがなければ、効果的なポリシーを実施することはできません。」
次のようなAIオブザーバビリティツール イルミオインサイト 現代のセキュリティが必要とするような深いコンテキストを提供します。これにより、環境に関するコンテキストを把握して行動を理解し、異常を明らかにし、物事が想定される仕組みと実際に起こっていることに基づいてリスクを評価できます。
5。サイバーリスクをビジネス用語で捉える
ジョンはゼロトラストを「サイバーセキュリティの壮大な戦略」と表現しました。彼は、政府や企業の間でも同様に採用が進んでいることを指摘しました。
特に、その後、この戦略が議会の指導者たちの共感を呼んだことを共有しました。 OPM データ侵害。攻撃者の動きを制限し、国家安全保障を守ることができるモデルとしてゼロトラストが特定されたのはこのときでした。
しかし、Jaredが指摘したように、ゼロトラスト(またはより広い意味でのサイバーセキュリティ)について話すことは、ビジネスリスクの観点から考える場合にのみ重要です。
「サイバーリスクはビジネスリスクの一因となりますが、同じではありません」と彼は言います。「取締役会は滞留時間やランサムウェアのペイロードを気にしません。彼らはダウンタイム、収益損失、顧客への影響、規制上の影響を気にかけています。」
Jared氏は、セキュリティ上の懸念を以下のように解釈しています。 ビジネス成果 これが組織全体の賛同を促し、セキュリティを成功に導くものです。
「貴社の取締役会は、滞留時間やランサムウェアのペイロードを気にしません。彼らはダウンタイム、収益損失、顧客への影響、規制上の影響を気にかけています。」
— エリア・マネジメントのCISO、ジャレッド・ヌスバウム
6。ゼロトラストを環境に合わせる
ジョンが講演中に指摘した最も強力な点の1つは、すべてのゼロトラスト環境は組織に合わせて構築する必要があるということでした。
「すべての環境はオーダーメイドです」と彼は言います。「リファレンスアーキテクチャを既製品から取り出して、それが機能することを期待することはできません。保護面とビジネスニーズに基づいて設計する必要があります。」
Jared氏はこれに同意し、部門間のコラボレーションの重要性を強調しました。
「ゼロトラストはサイロではできない」と彼は説明した。「インフラストラクチャチーム、アプリ開発者、ビジネスユニット、さらには経営幹部も参加させる必要があります。彼らの優先事項とタイムラインに沿わなければ、プログラムは成功しません。」
彼は継続的なコミュニケーションの価値を強調し、セキュリティリーダーに「計画を早期かつ頻繁に伝え、ビジネスからのフィードバックに基づいて調整する」よう促しました。
ゼロトラストを戦略に組み込む
ジョン・キンダーヴォーグとジャレッド・ヌスバウムは、RSACのステージにさまざまな視点をもたらしました。1人はゼロトラストの創始者として、もう1人はそれを日常的に適用する実践者としての視点です。しかし、両者はこれに同意しました。ゼロトラストは旅であり、一度限りのプロジェクトではありません。
「呼吸が終わったら、ゼロトラストは終わりだ」とジョンは冗談を言った。「これは長期的な戦略です。」
よりレジリエントな基盤の構築を目指すセキュリティリーダーにとって、ゼロトラストは実証済みの道筋を提供します。戦略から始め、ビジネスの連携に合わせて規模を拡大し、可視性、コンテキスト、制御を通じて成功します。
詳しい方法について知る イルミオのお客様 自社の組織でゼロトラストを実行している、または 今すぐお問い合わせ ゼロトラストの専門家に話を聞きたいです。