セキュリティに関して課題がありますか?
|
サポート
|
お問い合わせ
|
03-4595-0120
ブログ
/
Segmentation
ブライアン・パイパー
カスタマーアドボカシー担当ディレクター
Illumio Editorial
6月 3日、 2025
23分読む

ゼロトラストの実践 作成者のジョン・キンダーヴァッグ氏とCISOのジャレッド・ヌスバウム氏

ゼロトラストの背後にある心が、毎日ゼロトラストをテストしている誰かと対面するとどうなるでしょうか?

それはまさにイルミオがRSAC 2025のステージにもたらしたものです - ゼロトラストの作成者でありイルミオのチーフエバンジェリストであるジョン・キンダーヴァッグと、アレス・マネジメントのCISOであり、ゼロトラストの旅を内側から生きてきた経験豊富な実践者であるジャレッド・ヌスバウムとの珍しい台本なしの会話です。

ジョンは15年前にこのモデルを紹介しました。Jared は、グローバル企業が IT を採用し、適応し、現実世界の侵害から回復できるよう支援してきました。彼らは一緒に、ゼロトラストがどこから始まったのか、どのように進化してきたのか、そして今日の脅威の状況でゼロトラストを機能させるために何が必要かを解き明かしました。

ここでは、すべてのセキュリティリーダーが心に留めておくべき、彼らの会話から得た6つの重要な洞察を紹介します。

1. ゼロトラストは製品ではなく戦略です

多くのベンダーがゼロトラストをツールとしてパッケージ化しようとしていますが、これは正確ではありません。これは、デジタル環境のセキュリティ確保に関する考え方における戦略的な転換です。  

会話の中で、ジョンは「ゼロトラストは何よりもまず戦略です。それはあなたが買うものではなく、あなたが行うものです。」  

CISOの視点から語ったジャレッドも同意しました。「可視性を高め、リスクを軽減するのに役立つものはすべて勝利です」と彼は言いました。  

しかし、ゼロトラストはビジネス成果に合わせた考え方と戦略から始めなければならないと付け加えました。ツールやフレームワークに飛び込む前に、セキュリティチームは何を保護している のか、そしてその理由を理解する必要があります。これにより、セキュリティ支出の優先順位が適切に付けられ、取締役会から強力な賛同を獲得できます。

「ゼロトラストは何よりもまず戦略です。それはあなたが買うものではなく、あなたが行うものです。」

— John Kindervag、ゼロトラストの作成者

2. マイクロセグメンテーションが基礎となる

ジョンにとって、 セグメンテーションはゼロ トラストの基礎です。実際、ゼロ トラストに関して書かれた 2 番目のレポートは、ジョンが 15 年前に書いた「 ネットワークの DNA にセキュリティを組み込む: ゼロ トラスト ネットワーク アーキテクチャ」です。  

レポートの中で、彼はゼロトラストの重要な要素としてセグメンテーションと集中管理の重要性を強調しました。彼は、ネットワークをすべてセグメント化する必要があるため、ネットワークをセグメント化する新しい方法を作成するよう求めました。

Forrester の「ネットワークの DNA にセキュリティを組み込む: ゼロトラスト ネットワーク アーキテクチャ」からの抜粋

会話の中でジョン氏は、攻撃者がアクセスを取得すると横方向に移動できないように、今日のネットワークはデフォルトでセグメント化する必要があると強調しました。「攻撃者が所有しており、請求書はあなたが支払うのです」と彼は言いました。「セグメンテーションはゼロトラストの基盤です。」  

Jared は、2013 年の Target 侵害の例を挙げて、セグメント化されていないネットワークの影響を説明しました。適切な境界が設けられていなかったため、攻撃者はサードパーティの HVAC ベンダーを通じてアクセスし、POS システムに侵入しました。  

「強力なセキュリティ境界でセグメンテーションを行うことで、可視性と制御が可能になります」と彼は言います。「すべての攻撃者が侵入するのを止めることはできませんが、彼らが非常に遠くまで来るのを防ぐことはできます。」

3. ゼロトラストで小規模から始める

ジョンが目にする最大の間違いの1つは、チームが組織全体にゼロトラストを一度に展開しようとすることです。  

「ゼロトラストで失敗するのは、すべてを一度に行おうとするからです」と彼は説明した。「小さなことから始めなければなりません。一度に 1 つの保護面です。」  

彼の有名な5 段階のゼロ トラスト方法論では、カスタマイズ可能で管理しやすく、持続可能な環境の構築を重視しています。

  • 保護サーフェスを定義します。 攻撃対象領域が絶えず進化していることを理解し、保護が必要なものを特定します。
  • トランザクションフローをマッピングします。通信とトラフィックフローを可視化し、セキュリティ制御が必要な場所を判断します。
  • ゼロトラスト環境を設計します。完全な可視性が得られたら、各保護面に合わせた制御を実装します。
  • ゼロトラストセキュリティポリシーを作成します。 保護サーフェス内のリソースへのトラフィックアクセスを許可するきめ細かなルールを開発します。
  • ネットワークを監視および保守します。 テレメトリを通じてフィードバック ループを確立し、セキュリティを継続的に改善し、回復力のある脆弱なシステムを構築します。

ヌスバウムは、同じことが実際に繰り広げられるのを見てきました。「企業は、一度に多くのことを引き受けすぎると、ゼロトラストに苦労します」と彼は言いました。「小規模から始めて、ビジネス関係者と連携し、段階的に構築すれば、ゼロトラストは達成可能になります。」  

同氏は、環境を理解し、明確な目標を定義し、勢いをつけるために早期に価値を提供することの重要性を強調した。そうしないと、ゼロトラストプロジェクトがすぐに崩壊し、組織のセキュリティ体制が後退する可能性があると警告しています。

4. アイデンティティだけでは十分ではない

ゼロトラストに関する会話ではアイデンティティが中心となることがよくありますが、ジョンは当初からこの概念に異議を唱えてきました。「アイデンティティは1つのシグナルにすぎません」と彼は言いました。「それは常に代替可能です。適切な決定を下すには、より多くのコンテキストが必要です。」  

言い換えれば、アイデンティティだけに依存するとリスクが生じます。これは、セッションが乗っ取られたり、ID が悪用されたりする可能性があるためです。

Jared は、ユーザーの資格情報以外のことにも目を向ける必要があることを強調しました。「ユーザー、そのデバイス、どこで作業しているのか、何にアクセスしているのか、そしてそれが理にかなっているかどうかを継続的に検証する必要がある」と彼は語った。  

彼は、それは人だけの問題ではないと指摘した。ワークロード間の通信も検証および制御する必要があります。「完全なコンテキストがなければ、効果的なポリシーを適用することはできません。」

Illumio Insightsのような AI 観測可能性ツールは、現代のセキュリティに求められる詳細なコンテキストを提供します。これらは、環境のコンテキストを把握して動作を理解し、異常を明らかにし、物事がどのように機能するはずかと実際に何が起こっているかに基づいてリスクを評価するのに役立ちます。

5. ビジネス用語でのサイバーリスクの枠組み

ジョンはゼロトラストを「サイバーセキュリティの壮大戦略」と表現しました。同氏は、政府や企業の間で同様に採用が進んでいることを指摘した。  

特に、 OPM のデータ侵害後にこの戦略が議会のリーダーたちにも受け入れられたことを語った。このとき、ゼロ トラストは、攻撃者の動きを制限し、国家の安全を守ることができるモデルとして認識されました。

しかし、ジャレッドが指摘したように、ゼロトラスト、またはより広範なサイバーセキュリティについて話すのは、ビジネスリスクの観点から組み立てる場合にのみ重要です。  

「サイバーリスクはビジネスリスクの一因となりますが、同じではありません」と彼は言いました。「取締役会は滞留時間やランサムウェアのペイロードを気にしません。彼らはダウンタイム、収益の損失、顧客への影響、規制への影響を気にかけています。」  

Jared にとって、セキュリティ上の懸念をビジネス成果につなげることが、賛同を促し、組織全体でセキュリティを成功させる鍵となります。

「取締役会は滞留時間やランサムウェアのペイロードを気にしません。彼らはダウンタイム、収益の損失、顧客への影響、規制への影響を気にかけています。」

— Jared Nussbaum、Ares Management CISO

6. ゼロトラストを環境に合わせる

講演中にジョンが述べた最も強力なポイントの1つは、すべてのゼロトラスト環境は組織に合わせて構築されなければならないということでした。  

「すべての環境はオーダーメイドです」と彼は言いました。「リファレンス・アーキテクチャを棚から取り出して、それが機能することを期待することはできません。保護面とビジネスのニーズに基づいて設計する必要があります。」

ジャレッド氏もこれに同意し、部門を超えたコラボレーションの重要性を強調しました。  

「ゼロトラストはサイロで行うことはできません」と彼は説明しました。「インフラストラクチャチーム、アプリ開発者、ビジネスユニット、さらには経営幹部を巻き込む必要があります。彼らの優先順位やスケジュールに合わせなければ、プログラムは成功しません。」  

同氏は継続的なコミュニケーションの価値を強調し、セキュリティリーダーに対し、「計画を早期かつ頻繁に社会化し、ビジネスからのフィードバックに基づいて適応させる」よう促した。

ゼロトラストを戦略に組み込む

John KindervagとJared Nussbaumは、ゼロトラストの創始者として、もう1つはゼロトラストを日常的に適用する実践者として、RSACのステージに異なる視点をもたらしました。しかし、ゼロトラストは1回限りのプロジェクトではなく、旅であるという点で両者は同意した。

「呼吸が終わったら、ゼロトラストは終わりです」とジョンは冗談を言いました。「これは長期的な戦略です。」

より回復力のある基盤の構築を検討しているセキュリティリーダーにとって、ゼロトラストは実証済みの道筋を提供します。それは戦略から始まり、ビジネスの整合性に合わせて拡張され、可視性、コンテキスト、および制御によって成功します。

詳細を確認する イルミオの顧客 組織でゼロトラストを実践している、または 今すぐお問い合わせください ゼロトラストの専門家に相談してください。

関連トピック

ゼロトラストセグメンテーション

関連記事

CNAPPがクラウドセキュリティを制限する5つの理由
Segmentation

CNAPPがクラウドセキュリティを制限する5つの理由

CNAPPがセキュリティをここまでしか実現できない理由と、ゼロトラストセグメンテーションがどのように役立つかをご覧ください。

詳細はこちら
Gartner EMEA Security & Risk Management Summit 2025でイルミオに参加してください
Segmentation

Gartner EMEA Security & Risk Management Summit 2025でイルミオに参加してください

ブース 415 の Illumio にアクセスして、AI を活用した CDR、ゼロ トラスト、マイクロセグメンテーションの実際の動作をご覧ください。

詳細はこちら
ウェストベンド・ミューチュアル・インシュアランスがイルミオでクラウド移行の課題を克服した方法
Segmentation

ウェストベンド・ミューチュアル・インシュアランスがイルミオでクラウド移行の課題を克服した方法

SaaS ホスト型で、複数のオペレーティング システムをサポートし、同様のソリューションよりも複雑ではないため、イルミオがウェスト ベンドのサイバーセキュリティの希望の光である理由は次のとおりです。

詳細はこちら
サイバーセキュリティの価値を証明するためにCISOが取るべき3つのステップ
サイバーレジリエンス

サイバーセキュリティの価値を証明するためにCISOが取るべき3つのステップ

役員室で成功し、進化するサイバー脅威から組織を守るためのセキュリティに対する価値ベースのアプローチを学びましょう。

詳細はこちら
ジョン・キンダーバグがゼロトラストの起源を語る
Segmentation

ジョン・キンダーバグがゼロトラストの起源を語る

John Kindervag がゼロトラストを始めた経緯、ゼロトラストのベストプラクティスに関する初期の調査、ゼロトラストへの取り組みに関する組織へのアドバイスをご覧ください。

詳細はこちら
可視性を超えて:イルミオの洞察が重要なセキュリティの点と点をつなぐ方法
サイバーレジリエンス

可視性を超えて:イルミオの洞察が重要なセキュリティの点と点をつなぐ方法

サイバーリスクの理解と軽減にオブザーバビリティが重要である理由をご覧ください。

詳細はこちら

違反を想定します。
影響を最小限に抑えます。
レジリエンスを高めます。

ゼロトラストセグメンテーションについて詳しく知る準備はできていますか?

詳しく見る