イノベーションへの定量的アプローチ

00:02 Raghu Nandakumara: Welcome to The Segment: A Zero Trust Leadership Podcast. I'm your host, Raghu Nandakumara, head of Industry Solutions at Illumio, the Zero Trust Segmentation Company. Today I'm joined by Illumio CTO and Co-founder PJ Kirner. With 20 years of experience in engineering and with a focus on addressing the complexities of data center networking and security, PJ is responsible for leading Illumio's technology, vision and platform architecture. Prior to Illumio, PJ was CTO at Cymtec and also held several roles at Juniper Networks. PJ, so wonderful to have you on The Segment. Thank you for joining us today.

00:39 PJ Kirner: Thanks for having me, Raghu.

00:41 Raghu Nandakumara: Take us on your journey up to the point of coming up with the idea of Illumio.

00:47 PJ Kirner: So I've always been in the security software space and I've done lots of things. There's a lot of crypto stuff I did. I did, distributed... Some distributed systems, and I was in the CTO office at Juniper Networks. There's routers and switches, and then there was all the layer 7 security, firewalls and WAN acceleration. And we were doing some conversations about, what does cloud mean? And some of the observations were kind of obvious in that compute was getting more dynamic. And whether that be like VMware coming and now I can automatically get VMs, I don't have to actually wait to get a server installed. But AWS was accelerating that with, I have a credit card and now I can get sort of VM. So VM making compute more dynamic. The other thing we saw was applications were being re-architected. And way back then you were sort of maybe calling it service-oriented architecture. Today we kind of call it the API economy and microservices and all those things. More and more things are just talking to each other.

01:55 PJ Kirner: And because there was all this kind of east-west bandwidth needed, I was at a networking company and there was more bandwidth needed to sort of, that drove this change in application behavior. People wanted to start putting firewalls there. Why? Because they saw the risk of lateral movement in these environments and they wanted to control it. So these trends, these three trends of computing becoming more and more dynamic, applications becoming more distributed and connected, and this security risk of lateral movement being a problem in these larger flat, data center environments and wanting to be able to control that to control risk, were the three trends that we saw. And Illumio came out of what does a security solution need to be and look like in this dynamic distributed world where lateral movement risk is something you want to prevent. And that's how Illumio got started.

02:56 Raghu Nandakumara: We'll talk about the Illumio story in a bit, but I'm curious, you've been involved in a number of different sort of technologies and areas of interest. Why was it that sort of the essentially the scenario and the problem segment you described the one that you said, “that's the one I'm most interested in solving”?

03:14 PJ Kirner: As a technologist, one thing I think about is, like all the time, is what is the new technology that's out there? What are the trends that are happening? And then what are the challenges that that technology brings... There was a need, a business need that we identified, because of the change in this technology space in those trends. So I kind of like where technology meets business, and so why then, to answer your question, it was because I saw that happening and an opportunity there and I wanted to take advantage of it.

03:49 Raghu Nandakumara: What was the external validation that you performed to get reaffirmation, confirmation, that this idea had legs?

03:58 PJ Kirner: So external validation is something that you get continuously. Like you have to get feedback. There wasn't a, “we talked to these three customers and all of a sudden we knew everything.” You talk to each customer and you put one more piece of the puzzle together. And at some point, especially when you're doing a startup, you have only a subset of the pieces and you have to make that leap. But I'll say one story is, one of the early story is, we talked with a large, still a customer of ours, but was a large financial service provider. And I was so amazed by the level of automation that they had. They were in a very traditional data center, servers and all that, but they applied all of the cloud properties to that environment. And I was like, well I didn't expect the problem to be so bad, but automation and all this dynamic nature of things was like, a complexity of putting a lateral movement control in place, to explode. And until you sort of talk with customers about a problem, until you have a potential solution, it's hard to get that validation. But once you do, people's eyes start lighting up and people say they've thought about these things, but... and you give them your insights and light bulbs start turning on for customers or they, at that point they were potential customers. But it's about just talking to people, like talking to more and more people and you get more and more insights along the way.

05:34 Raghu Nandakumara: And just about the problem, because you often hear, you look at some new technologies and you hear, “oh, that's a technology that's looking for a problem to solve.” Versus a very clear problem that then has a technical solution. Did you find in these conversations with sort of those potential customers or organizations that you're bouncing these ideas off, that they had identified that this was a real problem but just didn't have a good way of solving it? Was that the state they were in?

06:00 PJ Kirner: I mean, firewalls do segmentation. Firewalls, like boxes that you could put in there and most of the time people, you know, you could obviously you do that at the perimeter. The biggest segment is the external world and the internal world. And then people started to put firewalls to zone off — yeah, I mean you could have a DMZ firewall, there's another classic example that a lot of people have — but then you put some other internal East-West firewalls in certain places and... So people knew there was a problem. People tried to use the tools at hand to solve it.

06:38 PJ Kirner: But we sort of solved it at a different level of granularity as well. Because you could have any level of granularity you want with what we were proposing at that point, that hooked onto an existing problem and reduced the complexity, gave them the flexibility, allowed them to work in those dynamic environments. Allowed them to go faster because the firewalls were moving slowly, there's a lot of time to make firewall rule changes. They're boxes. I got to wire stuff up. So they wanted to move faster and oh, here was a solution that did some of those same things but could move as fast as they wanted to be.

07:11 Raghu Nandakumara: Just listening to that, as we build this out, it feels okay: problem. You identified sort of factors that you're observing in the market that required a solution. You validated that problem was a real problem. And you're kind of touching on then design decisions that you made. Can you talk about some of the key design decisions, architectural decisions that you made when building the first iteration of the product?

07:36 PJ Kirner: So, one, we needed to have a distributed set of control points. That... And we had to move the control point, the segmentation control point as close to the workload as possible. And so that was kind of number one in terms of architectural elements and what this did was it both allowed us to create any level of, I'll say a software defined segment.

08:04 PJ Kirner: You could define it with a policy and then secondly, moving it closer to the workload meant you had more context. When you're far away from the workload, it's like well, I don't know what it — what operating system is that. So there like, being able to have this distributed set of control points was number one. Number two really was around, again, having a dynamic policy. And very early on we got feedback from, customers that was okay, I want to do, I want to do this — what we today call this label based policy — and I want to be able to write policy for this workload or for this group of workloads, this application or microservice, whatever you want to call it.

08:45 PJ Kirner: Oh, maybe I want to write it for my environment that I'm in. Maybe it's a PCI environment, maybe it's not prod or non-prod. Maybe I want to write location based, whatever those dimensions of policy, you wanted to be able to write that. And why I say dynamic is because as workloads come on or offline, whether it is a simple as a AWS auto scale group or a Kubernetes cluster or you're just, you're just putting a new VM in that environment to age, and whatnot, you don't want to mess with policy. You want all that automation to be handled dynamically.

09:18 Raghu Nandakumara: Both in terms of the number of customers from 0 to 1 to 10 to 100 and so on. But also in terms of the scale of your customers, what were the key learnings that kept cropping up that you had to absorb and adapt. And adopt as well?

09:36 PJ Kirner: So scale was always built in. And we've thought about it from an architectural point of view since day one. I mean, fundamentally how we do our data processing, how we do our data pipeline, how we do our, how we build our distributed system. In fact, all those decisions along the way, had to keep the scale of our customers — well scale and dynamic nature. I think that's the large scale static is actually a very different problem than even kind of medium scale dynamic. Because as things can come and go, how do you build a system that accommodates for that? So those two things, I think are really, really important and our... Our customers were telling us they wanted to be more dynamic. They wanted to move faster. That's the direction they wanted to be able to do. So, can you keep up?

10:34 Raghu Nandakumara: And, I suppose that what they mean by dynamic is not minutes or hours, it literally is in the seconds. That as that compute instance comes up, or as that container environment comes up and applications deploy there, they want the security to follow it and be ready to secure those applications at the time those applications go live. That's the expectation.

10:57 PJ Kirner: Right. And that's where there can be no human in the mix. And that's where it's not just software, that's where the policy model that we came up with, which is an important construct, how can that policy model allow people to describe a policy and be as dynamic in real time to deal with those change in environments, as you said, in seconds.

11:19 Raghu Nandakumara: Awesome. So thank you. I think that's a great sort of overview about how that origination and the development of Illumio's core products. So now I kind of want to shift gears a bit. We're here to talk about Zero Trust, so I will ask a lot of the other guests this, can you share with us your favorite Zero Trust analogy?

11:39 PJ Kirner: So I love the submarine analogy. And so, how submarines are built is first they're built with redundancy in mind. They have, everything has, there's two systems or maybe even more systems that that where one can fail and the sub as a whole can survive. So it's also built with compartments. And when there is a breach. A which a torpedo or something breaching the hull, they can close off one of those compartments and yes, you might have had damage there, you might have lost that compartment, but the submarine doesn't sink. You still have resiliency. So, that's how I think about, cyber resiliency is the same, same metaphors. Segmentation are maybe the, the compartments and thinking about, all of that together I think is, is one of the, you know, is a good metaphor for, and how small you made him, how small you made him make the compartments. How much redundancy do you need, all are in service of cyber resiliency.

12:44 Raghu Nandakumara: When you think about Zero Trust as a concept and then as a strategy that organizations are putting into practice, what is your view on the relevance of it?

12:55 PJ Kirner: Some of this is, we have done. Least privilege for example, which is one element of Zero Trust is a well known concept. I think, the, having a Zero Trust strategy helps you think more holistically about the problem and apply some of those principles. I mean, having everything be dynamic and context driven. That's a little bit more of a recent view. You could even say, way back when, like layer seven firewalls. What was the layer seven firewalls were about context. Well, am I running, am I actually running FTP over port 21 or whatever. And so they had context of things. So everything being context driven and dynamic, I mean, I was in the NAC space for a little while, And so one of the things that was there, which was maybe some early kind of things around that were similar to Zero Trust, was you had conditional and dynamic access control.

13:49 PJ Kirner: So not only did you to have run an antivirus before you were allowed on the network, it's that sometimes you had to re-authenticate. And you had to prove that your machine was still healthy, not just at the initial access. So, and again, that was not continuous in the way we're sort of talking about it now and the way we can do it now, but way back then it was still kind of in the right direction of being context driven and being dynamic. So I think a lot of good principles made their way and, you know, Zero Trust is a good way to sort of talk about those and, reinforce these things. I do think we fell off the bandwagon when, with all this implicit trust in the environment, And, people could say, oh yeah, I'm doing good security. But like all these things that were just allowed to talk to each other implicitly, no one ever thought about, let's turn this into explicit trust? That's a place where I think we, definitely needed Zero Trust to help us along that journey.

14:53 Raghu Nandakumara: [You] bring up implicit trust. How do we think we let that creep in? Where do you think this whole implicit trust and essentially just the expanse of implicit trust, like what was the trigger for that?

15:06 PJ Kirner: A lot of security problems, come from [when] the business and the technology move ahead of where the security is. And while we do talk about, security shift left and we're trying to push security kind of, deeper into organization, which does seem to be working, right, but there still is always the, business comes first and security comes second. So there's a gap there. And, again, no matter how much I wish it was different, but there is a gap there. And so you ask a good question, how did we let the gap get so big? I don't know. I mean, I think maybe partially we had — sometimes one of the challenges is when you have a security, well, you have to make compromises in security all the time. And when you have a half step, I think sometimes what happens at least psychologically is you cross that off your list. Like yes, I've done something, I've reduced it partially, and you cross off your list and you go work at something else. And I think sometimes half steps come back and bite you.

16:14 Raghu Nandakumara: Yeah.

16:14 PJ Kirner: And I think this was a case of that.

16:16 Raghu Nandakumara: To flip that question over, what was the turning point to say, okay, too much implicit trust it’s out of control. We need to essentially take back control. And Zero Trust really provides the strategy by which we can achieve that. What was the tipping point to now come back this way?

16:32 PJ Kirner: I don't know if it was a tipping point. Again, I think there were a few things that were influencing it. One was, and I'll say this more from our... some of our SaaS customers. Some of their customers were kind of upping their security. The questions they provided the SaaS customers and the expectations of the SaaS customers. Even there was some standardization around those things. And that kind of forced a realization, but well, to do business, I need to do these security things. And these become the industry best practices. But, it was influenced by a business outcome at the end of the day. And so that was one place where I think people needed to do more. The other place I think is ransomware.

17:21 PJ Kirner: And when I look at the “CIA triangle”, confidentiality, availability, integrity, there were places where people lost databases of customers, and those were impactful. But I think what ransomware did was ransomware changed it from confidentiality or purely confidentiality to availability. And when the CEO comes in on Monday and you can't run your business. Like we had talked about the Maersk attack, which was, quite a while ago. But like, I can't ship things. Like my shipping company where it's sort of, doing transport logistics and I can't do that job. Well, that's a serious impact. So the availability problem that ransomware sort of, caused to happen, changed some of the dynamics. And that's always where good things come out of when there is business and security alignment. And that was one of those.

18:25 ラグー・ナンダクマラ: 暗黙の信頼というフレーミングが本当に好きだね。どうしてこんなふうになったの？繰り返しになりますが、それはビジネスの原動力だとおっしゃいましたね。ビジネスは迅速に行動したいと考えていたので、私たちは基本的に妥協しました。しかし、ゼロトラストを採用する転換点は何だったのかと尋ねられたとき、本質的に...これもまた、ビジネス上の原動力でした。なぜなら、取引相手が十分なセキュリティを持っていることをもっと保証する必要がある、あるいは、ランサムウェア攻撃で負けてオフラインになることにうんざりしているので、レジリエンスを構築したいので、その暗黙の信頼を取り除く必要があるというのがビジネス上の理由だったからです。ですから、すべてがほぼ円を描いているのが気に入っています。聞きたかったんだけど、ちょっと難しい質問かもしれないけど。ゼロトラスト戦略であるゼロトラストは、ビジネストランスフォーメーションを実現またはサポートするのに最も適したセキュリティアプローチだと思いますか？

19:16 PJ Kirner: そう思います。つまり、一つだけ言っておきますが、あなたがフルサークルになることについて話していたとき、私は少し違った考え方をしていました。しかし、同じように、ビジネスとセキュリティがちょっとずれていたり、離れすぎていたりする場合に問題が発生し、両者が再び連携すると、そこからアクションが生まれる可能性があります。そうだよね？そして、信頼という考えを取り入れるべきだと思います。そうだね？なぜなら、企業は顧客から信頼される必要があるからです。顧客は自社のデータで企業を信頼し、サービスを提供するのも企業を信頼します。信頼は、ビジネスの成果と密接に結びつき、使うのに最適な言葉です。だから、そこにこだわり続けることが大切なんですね。そして、ビジネスの変革やデジタルトランスフォーメーションを行うときには、よりアジャイルになろうとしているのです。

20:07 PJ Kirner: そして、ゼロトラストの原則全体には、動的で適応性があり、継続的に監視して他のシステムにフィードバックを提供する能力が組み込まれていると思います。この2つは非常に一致していると思います。つまり、よりアジャイルでダイナミックになることと、組織がよりアジャイルでダイナミックになる必要があるビジネス変革に結びつく戦略は、この 2 つが一致すれば、見ていて良いことです。

20:36 ラグー・ナンダクマラ: それでは、ゼロトラストをイルミオに結び付けることに戻りたいと思います。ゼロトラスト・セグメンテーションの会社、イルミオの話ですね。そこで疑問なのは、イルミオとゼロトラストのどちらが先だったのかということです。

20:49 PJ Kirner: つまり、私たちが会社設立時に掲げてきたこれらの基本原則は、ゼロトラストの原則と完全に絡み合っているということです。つまり、鶏が先か卵が先かという良い問題です。答えはわかりませんが、ゼロトラストが提唱しているのと同じ原則から始めたことは間違いありません。そして言っておくが、これを始めたのはジョン・キンダーヴォーグのような人々が、私たちが目にしたのと同じようなことを市場で見ていたのかもしれない。そして彼はゼロトラストのアイデアを推し進め、原則を推し進め、それを推し進めました。

21:28 PJ Kirner: そして、チェースはそれをフォレスターでさらに推し進めました。そういうことが起こっていて、私たちはちょっと違ったアプローチを取っていました。スタートアップで、ある程度のテクノロジーを持っている。この二つは高度に一致していました。

21:44 ラグー・ナンダクマラ: 私はそれが大好きです。同じ目的地へと続く道がたくさんあるようなものです。技術者でありセキュリティ実務家でもある皆さんにお聞きしたいのですが、ゼロトラストのセキュリティ体制を強化するようなセキュリティ製品はありますか？それとも、それを実現するために、特にゼロトラストを念頭に置いて設計された製品が必要ですか?

22:11 PJ Kirner: さて、イルミオについて少しお話ししましょう。早い段階で起こったことの一つに、マット・グレンは初期のプロダクトマネージャー、初期のプロダクトマネージャーのような存在でした。そして、彼が気づいたことの 1 つは、私たちには現在イルミネーションと呼ばれているものがなかったということです。こうした目標のいくつかを達成するのに必要な可視性がありませんでした。そして、それは彼の非常に初期の重要な洞察と会社と製品への貢献の1つだったと言えるでしょう。そして、私たちはポリシーモデルと可視化プラットフォームの両方を協力して構築しました。

22:51 PJ Kirner: また、事後、他のベンダーがボルト・オン・ビジビリティの導入を試みてきましたが、それほどうまくいきません。まるで、彼らは不格好だ。彼らは同じではないことに気づくでしょう。多分同じ人物であり、同じ会社がそれらを構築したのではないのかもしれません。多分彼らはそれを手に入れたのでしょう。そうだろ？そして、それらはすべて一緒に働くわけではありません。

23:12 ラグー・ナンダクマラ: うん。

23:12 PJ Kirner: そして、摩擦が多く、インピーダンスのミスマッチがあります。だから、ゼロトラストについての質問には答えられないけど...一概には言えない、いや、事後に言うことはできないしかし、最初から最初から組み込んでいれば、顧客にとってよりスムーズな体験が得られ、より良い結果を達成でき、実際には顧客のニーズからより多くの成果を得ることができ、エコシステムでより良い役割を果たすことができると私は信じています。ですから、第一原則からそれを念頭に置くことが明らかに成功への道だと思います。

23:49 ラグー・ナンダクマラ: そして、「それ」とは、本質的に継続的な可視性、コンテキストベース、リスクベースの適応型ポリシーを作成できること、ゼロトラストの現代的な定義のように必要とされるこれらの主要なプロパティを自動化および調整できることです。そうだよね？

24:07 PJ Kirner: 絶対に。アーキテクチャを作るには、最初にそれらを念頭に置いておく必要があります。そして、あなたのアーキテクチャ、そこから生まれるソフトウェア、製品、ユーザーインターフェース、そしてその方法...データパイプラインなどすべてが、これらの原則に沿っている必要があります。

24:26 ラグー・ナンダクマラ: データを使ってあらゆるアイデアを検証するのが得意で、スタッフに「証拠を持ってきて、証拠を持ってきて、証拠で私を納得させて」とよく言われます。イルミオではこれにどのように取り組んできましたか？設計上の決定などの検証であれ、製品の有効性の検証であれ。

24:42 PJ Kirner: いいアイディアを持っている人がたくさんいるようなアプローチを取っていると思います。そして、それらをデータで証明することは、しばらくするとそのアイデアが崩れる可能性がある場所を理解するのに本当に役立ちます。規模が大きくなると崩れたり、ばらつきで崩れたり、あるいは単にアイデアに対して楽観的すぎて、データがそれを壊してしまうこともあります。初期の機械学習アプローチで行ったことの 1 つは、達成したいことの目標を設定したことだと思います。そして、人々はたくさんのアイデアを持っていて、私たちはさまざまなことを試しましたが、その多くが通らなかったのです。そして、何かを試すとき、その実験のたびに成功しているなら、それは実験ではないと私は信じています。

25:33 PJ Kirner: 5回のうち4回は失敗するのが好きで、失敗する方法を知っていなければなりません。ですから、目標を設定し、そのデータを分析に反映させ、それを証明し、それを証明することが重要です。そこで、当社のお客様である一部のお客様が、何年も前に当社に尋ねてきたことの 1 つは、製品を環境内にデプロイするという、このセグメンテーションの有効性をどう理解するかということでした。そして、私たちはいくつかのことを話し合い、いくつかの異なるアイデアを思いつきました。しかし、私たちが決めたこと、そしてあなたもその大きな推進力だったことの1つは、外部のセキュリティ調査を行うことに決めたことです。そこで、オフェンシブ・セキュリティのリーダーの一人であるビショップ・フォックスと提携して、実装とテストを行ういくつかのアイデアを思いつきました。

26:21 PJ Kirner: そこで、私たちが始めたことの 1 つが私たちでした。これは、お客様の 1 人が「目標を定める」という提案でした。その時は... 攻撃者をある環境に落とした場合、王冠の宝石にたどり着くまでにどれくらいの時間がかかりますか？そこで、環境を構築し、その環境にサーバーを配置しました。見つけて、宝飾品をいくつか置いて、脆弱性をまき散らしたかもしれません。そして、環境を整え、目標達成までの時間を測定しました。そして、私たちは応募しました...そこで、それを一度行った後、環境をある程度ランダム化して新鮮にし、セグメンテーションを導入し、最初は非常に粗粒度のセグメンテーションを行いました。そして、アプリケーションリングフェンシングを適用し、さらに層ベースのリングフェンシングをもう1層適用しました。そして、各レベルで見てきたように、セグメンテーションを増やすとリスクが軽減されます。しかし、どのようなレベルのセグメンテーションでも、その環境では攻撃者の速度を落とすことが重要です。

27:20 ラグー・ナンダクマラ: では、なぜあなたの意見では、またセキュリティベンダーのCTOのような立場からして、自分のテクノロジーの有効性を証明できることが重要なのでしょうか？なぜそれがそれほど重要なのでしょうか？

27:34 PJ カーナー: 今の時代と同じように、今はもっと重要だと思います。どこのCEOも、生産性を高め、効率性を高め、ドルに対してより慎重にならなければならないというプレッシャーにさらされています。そして、そのようなことはセキュリティリーダーにも波及しています。つまり、どのセキュリティリーダーも同じことを求めているのです。取締役会で聞いたように、取締役会はこれまでこの質問をしていなかったかもしれませんが、今は「私がセキュリティに投資しているもののROIはどれくらいか」と尋ねています。そのため、セキュリティリーダーは、「じゃあ、私のツールをすべて見てみよう」と言わざるを得ません。実際に最も効果的な抑止力を提供しているものと同様に、私の戦略に沿った保護策を講じ、その有効性を理解し、定量的な方法を持つこと（この男がこのツールを好むだけでなく、この女性が他のツールを好むというわけでもありません）には、それを測定するための定量的な方法があります。そして、それこそが、攻撃的なセキュリティ手法によるテストが好きな理由でもあります。誰かが思いつくようなシミュレートされたメトリックではなく、実際の環境にいる本物の攻撃者のようです。だからこそ、私たちが行った研究はとても独創的だと思ったのです。しかし、あなたの話に戻ると、すべてのCISOがこれをある程度検討することになるので、今は非常に重要です。

29:06 ラグー・ナンダクマラ: あなたはROIについて話しました。特に今は、それを実証することがこれまで以上に必要とされています。そして、セキュリティ上のメリットだけでなく、「よし、お金を節約できるかな？物事をもっとシンプルにすればいいのか？運用効率を上げるか？」このようなことが、現在市場で見られる可能性のある逆風と結びついているのです。では、CTO、共同創設者の立場から見た場合、市場で渦巻いている主な追い風や逆風にはどのようなものがあるのでしょうか。そして、これらがサイバーセキュリティセクターの将来にどのような影響を与えると思いますか？

29:42 PJ Kirner: ゼロトラストに戻ると、間違いなく追い風が吹いています。つまり、しばらく前にバイデンの委任状があったということです。ゼロトラスト戦略を採用する人が増えています。ゼロトラスト戦略のセッションが増え、人々は自分たちのゼロトラスト構想が何なのかを理解しようとしています。それはすべて良いことだと思います。そういう話がどんどん聞こえてくる、みたいな。だからそれは間違いなく追い風だ。もうひとつ面白い追い風があると思うのは...そのため、COVIDの時代には、リモートアクセスのニーズが非常に高かったのです。そのため、多くの人が在宅勤務をしていて、リモートアクセスの帯域幅を大量に必要としていました。そして、リモートアクセスの課題のいくつかを解決するために、人々はZTNA製品を大量に購入しました。つまり、ゼロトラストネットワークアクセスです。リモートアクセスにはそれらが必要だったので、そのようなことに焦点が当てられました。皆は、まあ、オーケー、それは私のゼロトラストジャーニーの一部だから、私はそこで時間を過ごすつもりです、と言っています。しかし、人々は多くの時間を費やし、それらのプロジェクトを終え、旅のその部分を完了したと思います。そして今、人々の作業負荷に再び焦点が当てられています。では、パブリッククラウド環境、Kubernetes 環境、コロセンターの内部では何をしているのでしょうか。また、ゼロトラストを実現するにはどうすればよいのでしょうか。つまり、リモートアクセスの部分に時間を費やした後に、このような見返りが得られるということです。ネットワーク上のワークロードと、そのデータがどこにあるかに注目するようになりました。これはちょっとエキサイティングで興味深いことだと思います。

31:25 ラグー・ナンダクマラ: 何が同じように見えますか...マクロ経済状況などについてお話ししましたが、新しい能力を阻害する重大な逆風は他にありますか？

31:38 PJ カーナー: おそらく他の人も言及しているでしょうが、繰り返す価値のある課題の1つは、ゼロトラストを購入しないことです。購入してチェックボックスにチェックを入れるだけのベンダーは存在しません。あなたにはこれから進むべき道があります。それが現実だ。それは戦略です。そこに何があるのかを発見しないといけません。ユーザーを理解し、ワークロードとデバイスを理解し、その道のりには複数のステップがあるかのように、ある程度突き進む必要があります。つまり、失敗点の 1 つは、1 つのステップですばやく完了すると考えていることです。ですから、それは依然として逆風です。そのため、経営陣がそうなると考えている場合、採用が問題になる可能性があります。しかし、それに対抗するのは、A、旅だとわかっていると思います。

32:39 PJ Kirner: 2つ目は、私がリスクを軽減していること、そしてこれと同じ戦略でリスクを軽減し続けることができることを経営陣に示すことができるように、その過程で段階的な進歩を見出すことです。ただそれに取り組み続けないといけません。しかし、具体的で実証可能なリスク削減を途中で段階的に示すことは、ある意味補強には非常に役立ちます。私が優れたゼロトラスト戦略を見ると、彼らは早い段階で、より長い道のりを歩む中で、これらの目標のいくつかを達成したと伝えます。

33:12 ラグー・ナンダクマラ: あなたがそう言ってくれてうれしいです。なぜなら、ゼロトラストの専門家と話すとき、それは一種のことだからです。ジョン・キンダーヴォーグとチェイスについて話したけど、他にもたくさん話したよね。数週間前、ジョージ・フィニーが彼のようなプロジェクト・ゼロトラストの本をポッドキャストで取り上げました。それらは基本的に、ゼロトラストプロジェクトを成功させる方法についてあなたが言ったこととまったく同じです。実は、非常に戦術的な成果と、各ステップでの測定と反復に関するものです。それが集合的な知恵なのに、なぜ組織は未だにそれを実行しようと試みて失敗するのでしょうか？なぜなら、そこには「これが明らかに正しいやり方だ」と言えるだけの知識があるように感じるからです。ただ、同じプレイブックに従うだけでいいのです。」何がそれを止めているのでしょうか？

34:03 PJ Kirner: まあ、それを測定するのは難しいこともあると思います。そこで役立ちそうなフレームワークや機能や製品があるかどうかにかかわらず、Illumioの製品では、たとえばこの道のりを歩む人々を支援するために、より多くのダッシュボードを作成したり、いくつかの指標をより可視化したりしようとしています。しかし、測定するのが難しいこともあります。繰り返しになりますが、私がビショップ・フォックスの研究を本当に気に入っている理由は、それが真の敵対者に対するものだからです。というのも、ある指標を自分で決めることができても、その指標が価値あるものだとか、成功のしるしだと人々が同意しない場合があるからです。しかし、攻撃者、本物の攻撃者が王冠の宝石を見つけられないのは、まあ、大丈夫、ありません。議論の余地はありません。しかし、レッドブルーのチームを作るためにそのような約束をするのは難しいです。それを継続的に行うわけにはいきません。これは少し高価です。これはゴールドスタンダードのようですが、組織が同意する他の指標を見つける必要があります。そして、そうした良いことには代用となるものもあります。それこそが、課題のひとつだと思います。

35:09 ラグー・ナンダクマラ: つまり、ゼロトラストプログラムを本当に、真に構築して実行する方法について、本質的に認識と教育が向上したケースだと思いますか。また、進捗状況を示すために何を測定しているのかを明確にするレベルが高まったということでもあります。この逆風を緩和するためには、この2つの重要なことが必要です。

35:28 PJ Kirner: ええ、たぶん前者があると思います。旅がなぜそこにあるのかについて、ある程度の教育は受けていると思います。必要なのは後者だと思います。指標のような測定方法、合意された指標です。繰り返しになりますが、これらは組織によって異なる可能性があります。だからこそ、それはただの数字だけではないのです。もしかしたら、成熟度モデルとか何かがあるのかもしれません。しかし、それこそが私たちのやり方だと思います。それこそが、これらのプロジェクトのいくつかを加速させ、皆が「たった一つで終わった」と思ってしまうような罠を避けるのに役立つかもしれないのです。私はその製品を購入したのですが、突然これが終わり、別のことを考えに行けるようになりました。

36:13 ラグー・ナンダクマラ: ええ、ええ、絶対に。ちょうど今、RSACとのペアリングが間近に迫っていて、それが完全に回復することを期待しています。パンデミックの影響を受けて数年が経ちましたが、ショーフロアやさまざまなプレゼンテーションシアターで何を見たいですか？

36:31 PJ Kirner: それは本当に難しい質問です。

36:34 ラグー・ナンダクマラ: あなたが期待しているものとは違います。何を見たいですか？私が何を求めているのかはっきりさせておきたい。

36:42 PJ Kirner: AIのことを少し探求することに戻りましょう。これによってセキュリティが影響を受ける新しい方法がいくつか出てくると思います。そこで、一例を挙げましょう。つまり、このすべてのコードで AI コード生成を想像してみてください。これをどうにかして悪用する方法があるでしょう。そして、もしあなたが本当に責任があるような開発者だったら？そうそう、私のコードの半分は AI が書いた、AI がバグを導入した、AI がセキュリティ上の欠陥をもたらした、といった具合です。私がやったのは私のせいなのか、それとも他の誰かのせいなのか。開発者としてコードを生成するとき、自分が書いたコードに責任があるように、当然のことながら、それは人間の知性が作り出した結果であり、人間の知性には責任があるからです。さて、ジェネレーティブ・インテリジェンスはどうやってハッキングされるのでしょう。

37:44 PJ Kirner: だって、結局誰に責任があるの？つまり、この2つの方法はどちらも非常に興味深い方法です。つまり、このような単純なオープンソースのパッケージを目にしているのです。JavaScriptパッケージに「この無害なプロジェクトを含めてください」と書いてあるように、ソフトウェアのサプライチェーンを挿入する人を見たことがありますよね？そして、InnocentProject.runを呼び出すと、おや、それはあなたの物を盗んだり、ビットコインマイナーになったりします。人工知能が登場する前の現実世界では、そういうふうにモノが注入されます。では、世の中の悪役の人間の知性を向上させるために、人工知能は何ができるのでしょうか。彼らはそれによって動力を得ることになるでしょう。ねえ、もう1つ、別のプレゼンテーションがあります。「AIが私のランサムウェアプログラムをどのように改善したか...」明らかに、そこに現れたりそれを発表したりすることは決してできないような人ですが、それは素晴らしい会話になるでしょう。

38:52 ラグー・ナンダクマラ: RSAでのプレゼンテーションの少なくとも40％で、ある時点でAIに関する言及がなかったとしたら、私はショックを受けるでしょう。実は、このことから別の相関のある疑問が浮かび上がってきます。小麦ともみ殻を切り離すために、ベンダーのブースに行って尋ねるべき質問について、イベントの参加者に何かアドバイスはありますか？

39:19 PJ カーナー: これを聞くのは難しいのはわかってるなぜならあなたは本当に自分らしく考えなきゃいけないから...あなたが何かの購入者で、問題を本当に理解しているなら、本当に興味深いのは、「ベンダー、2日目の問題でどのように手伝ってくれる？」ということですよね？特にセールスプレゼンテーションでも、人々が見せるものはたくさんあるので、それはすべて初日の問題に関するものです。「初日の問題を解決するお手伝いをします。」しかし、製品の採用にかかる費用の多くは、2 日目の問題だと思います。最初の実装が終わったら、その実装をどのように維持していますか?誰が行うのか?組織内ではどのように機能しているのか？そして、誰かがそれを変えたいと思ったり、あなたが質問したりするとき、もし私が...さて、私の組織はこの1年間にこの変更を行ったようなものですが、導入したらどのように処理されるのでしょうか？

40:11 PJ Kirner: ですから、これらは人々に尋ねるのがもっと難しい質問だと思います。そして、何を考え抜いた人たちは... 誰もがその日の問題をじっくり考えてきたからだと思います。2日目の問題を熟考し、その2日目の質問に答えられる人は、もっと聞くべきだと思います。なぜなら、彼らはただプラットフォームにユーザーを誘導するためだけに最適化するのではなく、旅の間ずっとプラットフォームでの満足度を維持するために努力しているからです。そして、それは素晴らしい方法だと思います...A、ビジネスを行うには素晴らしい方法ですが、世の中の人々とそのやり方を試すには素晴らしい方法です。

40:46 ラグー・ナンダクマラ: RSAやその他のベンダーのイベント、またはカンファレンスタイプのイベントに参加するリスナーに、そのベンダーが2日目の問題を解決するのに役立つかどうかを本当に考えてもらえるようなインサイトとして気に入っています。それとも、最初の問題を解決しただけなのに、それ以降は使えなくなる、というような問題があなたの手にかかっているだけなのでしょうか？PJ、あなた方とこのような会話ができて本当に嬉しかったので、どうもありがとうございました。そして、皆さん、PJは私たちのポッドキャストのゲストだけではありません。彼自身が自身のポッドキャスト、CTO Functionポッドキャストのホストを務めています。ぜひチェックしてみてください。お気に入りのポッドキャスティングプラットフォームすべてで利用でき、経験豊富なCTOがさまざまな業界のベテランCTOの集まりとチャットし、彼らが直面したすべての課題やキャリアを通じて学んだ教訓についての洞察をまとめて共有しているという点です。それでは、ぜひチェックしてみてください。PJ、ザ・セグメントに参加してくださったことに改めて感謝します。

41:44 PJ Kirner: ありがとう、ラグー。

41:45 ラグー・ナンダクマラ: 今週のThe Segmentのエピソードを視聴していただきありがとうございます。さらに詳しい情報やゼロトラストのリソースについては、illumio.com のウェブサイトをご覧になるか、4 月 24 日から 27 日の間にサンフランシスコで開催される RSACをご覧ください。弊社はノースホールのブース5778にあります。それまでの間、ポッドキャストを入手できる場所ならどこでも、必ず他のエピソードをチェックしてください。私はあなたのホスト、ラグー・ナンダクマラです。すぐに戻ってきます。

‍