連邦政府のサイバーレジリエンスの強化とROIの実証
このエピソードでは、ホストのRaghu Nandakumaraと、保健社会福祉省監察官室の元最高情報責任者であるGerald Caronが、オペレーショナルリスクの管理方法、成功するゼロトラスト戦略におけるデータマッピングの役割、ROIの実証について説明します。
トランスクリプト
0:05 ラグー・ナンダクマラ:ザ・セグメント:ゼロトラスト・リーダーシップ・ポッドキャストへようこそ。私はあなたのホストで、ゼロトラストセグメンテーション企業であるIllumioのインダストリーソリューション責任者であるRaghu Nandakumaraです。今日は、米国保健社会福祉省の最高情報責任者兼副監察官であるジェリー・キャロンが加わりました。情報技術の分野で24年以上の経験を持つジェリーは、米陸軍で実践的な技術職からキャリアをスタートさせました。2003 年にシステム管理者として国務省の連邦政府に加わり、過去 20 年間に国務省で 5 つの異なる役職を歴任してきました。本日、Gerryが私たちに加わり、ゼロトラストの課題と連邦レベルでの勢いについて議論します。オペレーショナルリスクを管理する方法、成功するゼロトラスト戦略におけるデータマッピングの役割、ゼロトラスト投資のROIの実証について解き明かします。では、ジェリー、どのようにして保健社会福祉省の監察官事務所の最高情報責任者になったのですか?
01:12 ジェラルド・キャロン:賭けに負けました。いいえ、私の旅はちょっとユニークです。私はメイン州北部の森の中出身です。そして私は陸軍に入隊しました。陸軍で7年間働いた後、私は国防総省に駐留するようになりました。その時、ITが大事だと決心しました。ワシントンDCほど良い場所はないでしょうか?結局、2001年に国務省の契約社員になり、ヘルプデスクで電話に出ていました。そこから、ハードワークを経ていくつかの管理職に就き、最後の仕事である国務省のエンタープライズネットワーク管理の上級幹部サービスのメンバーになりました。国務省では、Active Directory、海外と国内のネットワーク、境界セキュリティなど、基本的にすべてのインフラストラクチャを担当していました。そして、私はここHHSの監察官事務所のCIOとしてこの仕事に応募しました。何か違うことをしたいからです。この時点で在籍して1年半になりますが、とても興味深かったです。
02:10 ジェラルド・キャロン:州立大学在学中、私はいくつかのイベントに参加し、それらのイベントのいくつかで修復と立ち退きのリーダーの役割を果たしました。それがきっかけで、私は何年も前にゼロトラストに関する行政命令やメモが出る前にエバンジェリストになりました。そこで、その分野に関するいくつかのワーキンググループの議長も務めてきました。そのうちの1人は、他のCIOやNISTの上層部にある国立科学技術研究所の誰かとトライチェアを務めています。また、私は非営利団体でもあり、ゼロトラストとサイバーセキュリティも大いに信じています。
02:48 Raghu Nandakumara: だからこそ、今日ここに皆さんをお迎えできてとても興奮しているのです。具体的にゼロトラストに移る直前に、あなたは州にいて、11万人のユーザーを管理していますが、今は約2,000人のユーザーを抱えるHHSにいます。つまり、私の計算が正しければ、ユーザーベースの観点から見ると、Stateで行っていたことの約 2% を占めています。これら両方の環境に特有のセキュリティ上の課題は何か?
03:18 ジェラルド・キャロン:うん、いや、いい質問だね。州では中央インフラとかそういうものを運営してたけど、いろんな局を運営してたし、国土安全保障省も同じで、必ずしも自治とは言いたくないけど、彼らには独自の使命がある。彼らにはそれぞれ独自の IT ニーズがあります。そのため、ネットワークなどに関しては中心的なリソースを提供する一方で、それに対応する必要がありました。そして、そのような大規模な連合組織では、物事を動かすのが難しい場合があります。ここIGでは、独自のネットワークやシステムなどを完全に所有して運営している点が異なります。私たちは物事をサービスとして見ています。私にはITリソースが限られているので、サービスとしてのSOCを活用しています。しかし、すべての責任は私が負い、ほとんど一元化されているため、結果としてより柔軟で機敏になりました。一方、大規模な組織では、こうした特定のミッションをすべて満たそうとしても、物事を動かすのが難しい場合があります。一方、ここではほぼ一元化されています。しかし、私たちはまだ実装を通じてスケーラビリティーの可能性を示す好例となり、それをより大きな機関や他の機関と共有することができます。というのも、私たちはもう少し柔軟に「機敏に」動けるようになったからです。「アジャイル」って言葉ですか?
04:43 ラグー・ナンダクマラ:大丈夫、大丈夫。来年、オックスフォード英語辞典に追加する予定です。問題ない。でも国家の話はとても...組織の中では巨大な組織なので、おっしゃるように、多くのインフラストラクチャーや運営が統合されています。では、このような連携したすべてのサブエージェンシーやサブユニットでセキュリティ体制の一貫性を保つにはどうすればよいのでしょうか。このような管理や監視、統制はどのように行われているのでしょうか。
05:15 Gerald Caron: ええ、私たちがやったことのひとつで、実際に私のショップでiPostという小さなツールを実行しました。それで、あなたはたくさんのツールを持っていますよね?どの組織にもたくさんのツールがありますが、結局それらはすべてサイロ化されてしまいます。そして、「オーケー、パッチの調子はどう?」と言うでしょう。さて、私たちがやったこととここでやっていること、そしてそれが先導していくのは...これは、私たちがこれから行う基本プロジェクトの 1 つであり、そのデータを統合することです。つまり、分散化が進み、下流の人々が IT セキュリティの責任を負っている場合、私たちはすべての情報をまとめて、「よし、Active Directory コンピュータオブジェクトです」という関係を作りました。「よし、これがすべてのパッチデータ、これがすべての脆弱性、すべてのスキャンデータ、これがソフトウェアとバージョン、そしてオペレーティングシステムです。」「こっちの承認リストに入ってるの?」そのためにこのダッシュボードを作りました...だから基本的に...
06:11 Gerald Caron: オフィスや大使館、どこかの場所、システムのための論理的な人々の集まりなど、これらのグループを作り、それらをすべてまとめ、この方法論をその上に置いて、いわゆる「オペレーショナルリスクスコア」というものを作りました。ツールの使い方を知る必要も、ツールの使用方法を教える必要も、ツールへのアクセスを提供する必要もありませんでした。すべてのデータをまとめて使いやすい方法で提示し、こう伝えました。「よし、朝来て、サイトを見て、『ああ、ねえ、パッチスコアがずっと上がったし、もらったよ...昨日Bだったのに、今朝はDに下がった。何に注意すればいいの?ああ、わかった、まさに...これらのシステムでこのパッチを実行する必要があります。'」
06:57 ジェラルド・キャロン:それで、私たちはその情報をそのように彼らに伝えました。さて、ここでも同じことをします。繰り返しになりますが、CIOとして、自分のオペレーショナルリスクの状況や、全体的にどのような状況になっているのかを知る必要はないからです。そこで、これらを導入し、活用できるデータソースを統合し、ギャップを突き止め、このスコアリング方法論をその上に置き、このダッシュボードを作成して、「よし、調子はどう?脆弱性へのパッチ適用から構成、その他すべての使用済み機器に至るまで、リスク管理を運用面ではどのように行っているのでしょうか?」そこで、そのコンセプトを取り入れて、これから始めましょう。さて、なぜこれがゼロトラストの基本プロジェクトだと言うのか、考えてみてください。これは後でもっとリアルタイムに行う必要があるため、よりリアルタイムで意思決定を行うには、これらすべてのツールからのすべてのテレメトリが必要になります。現在、さまざまなツールがさまざまなウェーブで登場します。いわば、8時間ごとに1つ、5分に1つなど、状況によって異なります。
07:55 Gerald Caron: 最低限、Raghuが私のネットワークに入ってきてこのデータソースにアクセスしようとしたら、わかった、彼について何を知ってるの?さて、彼はこのように認証されました。彼は管理されたコンピューターを使っています。私が知っていることですが、VPN、つまり彼がオフィスにいるので私が管理しているネットワークにアクセスしています。十分な情報があるから玄関のドアを通しても安全だと言える彼が仕事を始められるのは...よし、副次的なことをチェックして、そこから判断しよう。ですから私は常にチェックをしています。ただドアを開けるようにするだけでなく、できる限りリアルタイムで定期的にチェックしています。ツールはリスク閾値に基づいた意思決定に対応してくれます。
08:39 Raghu Nandakumara: ところで、これがゼロトラストのポッドキャストだって知ってる?あなたが知っているかどうかはわかりません。
08:42 ジェラルド・キャロン:ああ、そうですか?
08:44 Raghu Nandakumara: あなたは自然にゼロトラストに行ったみたいで...あなたが話したデータを照合し、一貫した見解を提供することは、セキュリティへの取り組みに全員を参加させ、文化の変化を実現する上で非常に重要な部分だと思います。
09:00 ジェラルド・キャロン:そして、分散型の(そしてたとえ集中型であっても)の違いについてのあなたの最初の質問に戻りますが、私はポケット、つまり物事のグループの論理的なポケットを見たいと思います。システムに責任を持つ請負業者がいるかもしれませんが、契約に基づいてその業態を伝えることができます。というのも、私たちは彼らに説明責任を負わせなければならないからです。そうする方法もあります。物事をグループ化し、そのグループ分けを考え、テレメトリーをまとめて意思決定を行い、そして...ええ、当然のことながら、それは...これは... にとって素晴らしい基礎となるものですゼロトラストに向けて前進するにつれなぜなら、そのような決定を下すには、そのすべての情報が必要になるからです。
09:35 Raghu Nandakumara: 100% の理由は、エンドツーエンドの完全な可視性が、セキュリティに関するすべての意思決定の基礎となるからです。つまり、ゼロトラストプログラムとして宣伝することはほとんどありませんが、それを実施することから始めるのは素晴らしいことです。ゼロトラストには、私が大好きなピーナッツバターと映画という素晴らしい例えがあります。目の前にポップコーンの入ったバケツがあるなら、映画館が好きです。ピーナッツバターとシネマの二人のゼロトラストの例えを聞いてみましょう。
10:10 ジェラルド・キャロン:ええ、私たちは歴史的にそうしてきました...誰もが「城の堀」と言いますが、私は「トゥーツィー・ロール・ポップ(Tootsie Roll Pop)」というサイバーセキュリティ手法が好きです。外殻は硬く、中央は柔らかくべたべたしています。そしてもう一つは、私たちも...クラウンジュエルでもボローニャサンドイッチでも構いません。ピーナッツバターをまんべんなく広げて、ピーナッツバターをまんべんなく広げるように常に心がけてきました。実際のところ、もし私がバローニャサンドイッチをなくしたら、世界にはたくさんのバローニャとパンがあるから、たぶんもう一つ作るだろう。心配なの?うんイライラするから新しいのを作らないとでも私の王冠の宝石がなくなったら、それで終わりだ。取り戻せないみたいな
10:48 Gerald Caron: データについて考えると、「何が最も重要で、何に集中する必要があるのか」ということです。ボローニャサンドイッチが盗まれても、王冠の宝石はまだ守られているの?横方向の動きを防いだ。それが私のやりたいことです。彼らに王冠の宝石に昇格してほしくない。ええ、ボローニャサンドイッチが盗まれてしまいました。心配です。映画館に例えるなら、マルチプレックス映画館に行って、オンラインでチケットを買って、どこで...
11:18 ジェラルド・キャロン:私の例と、以前行っていた映画館。新しいかっこいい映画館を見つけたので、もう行かないのですが、ロビーでチケットをスキャンされました。正面玄関に入ると、ロビーでチケットがスキャンされ、映画館への入場が許可されました。映画館の正面玄関に行ってもいいなら、ポップコーンを買うための売店、トイレ、その他一般的なものにアクセスできます。でも、どの映画館にも足を踏み入れることができました。なぜ?誰もドアで私のチケットをチェックしていなかったから。20の劇場があって、入口に20人いない。
11:48 ジェラルド・キャロン:つまり、基本的に、倫理的に優れているので、映画を見に行きます。でももちろん、一日中そこにいて、好きなだけ映画を観ることもできますよ。そして、席に座ってください。案内係がチェックしたり、すべてを確認したりする必要がないからです。カメラが故障したら、映画館を出て誰かに知らせてもらう必要があるでしょう。昔からそうだった、昔ながらのセキュリティだ。正面玄関という境界線があって、ロビーに入ったら中に入ります。好きなところで横方向に動き回れるし、映画自体がそのデータだよね?それで中に入って、「ねえ、あと5分でIMAXが上映されるから、その料金のチケットを買ってないんだ。IMAX版で行くよ。ずっと良いよ。」
12:32 ジェラルド・キャロン:ゼロトラストでは、ここが違います。それでも、ロビーでチケットをスキャンして、劇場への入場が許可されていることを確認するつもりですが、映画館に現れてポップコーンとトイレにアクセスできるときには、私はその境界、つまりより広い境界線にいるのです。今では、映画館のドアに現れたときにもチケットをスキャンしてもらっています。さて、私がIMAXに入ろうとして、私が通常のチケットを持っていて、彼らがそれをチェックしたら、チケットブースに戻って自分でアップグレードしてください。そこで、何らかのステップアップ認証を行ってから、入場させてください。しかし、分かった、チケットをドアでスキャンしてもらいます。はい、これは有効です。入っていいよ。席が割り当てられているから。そして、案内係が来て、常にチェックしてもらいます。「プロジェクターは動作していますか?画面はダウンしていますか?照明は弱い?人がつまずかないように、歩道に小さな明かりがついてるの?出口の標識は点灯していますか?すべてうまくいっていますか?」
13:29 Gerald Caron:これらすべての要素を常にチェックして、私が消費しようとしているデータ、つまりその映画など、すべてが正しい場所にあることを確認しています。私はありのままの私であり、本来あるべき場所にいて、すべてがうまくいっています。誰かが来て絶え間ないチェックをしているそして、何らかのしきい値を満たせば、プロジェクターがダウンしたり、何かがブームになったり、自動的にオートメーションが実行され、必要な処理が実行されます。そういう例えを使っているわけです。
13:58 ラグー・ナンダクマラ:すごい、ほらほら。それがピーナッツバター、映画、映画、そしてゼロトラストをつなぐ方法です。いったい何が...あなたは明らかにゼロトラストに非常に情熱を傾けていて、その価値を見ていますよね?では、OIGでのゼロトラストの採用をどのように推進しているのでしょうか?そこではどのようなことに重点を置いていますか?
14:18 ジェラルド・キャロン:私が初めて来たとき、ゼロトラストについて誰も知りませんでした。このような不可解さがあり、どのベンダーにとっても不快なものではありませんが、今では非常に多くの異なる定義があります。これは、人々がそれを聞くとうんざりする、使い古された言葉です。しかし、ゼロトラストの真の本質は、フォレスターから学んだり、ゼロトラストやあらゆるものの父であるジョン・キンダーヴォーグの話を聞いたりすれば、です。この 5 つの原則に戻って、その 5 つの原則を理解してください。そこで、サイバーセキュリティがいくつかの方法で行われていることに気付き、それを紹介し、実際にスタッフを教育しました。そこで、可能性を追求するベンダーを何人か連れてきました。まるで馬を水辺に連れて行き、彼らはただ飲んでいるだけでした。「ねえ、こういうことをしたら、これで問題の一部が解決する」とか、「ああ、これはいくつかのことを覆い隠すだろう。可視性が大幅に向上します。」
15:05 ジェラルド・キャロン:それから、このチャートを国防総省から盗まれました。数週間前に国防総省のゼロトラスト戦略が公表されました。柱の下にはたくさんの機能機能があります。ネットワーク・データ・ユーザーという5つの柱がありますが、それらにはオーケストレーションと分析もあり、私も1年以上使っています。そして私は、もう1ペニーも使わなければ、これらのことにどう取り組んでいるのだろうかと言いました。そして彼らは自己評価しました。
15:34 ジェラルド・キャロン:すでに投資している各ベンダーにも渡しました。こう言いました。「あなたのテクノロジーにもう一銭も使わなければ、あなたがカバーした内容は...私がそれをするかどうかにかかわらず、何をカバーできるの?」それで、わかった、わかった、わかった、わかった、わかった、わかった、俺たちはこういうことをしているんだ、何かあるんだ、確かに、このことについて少し手伝うことができる、そして...なんてこった。いくつかのギャップがあります。そこで、5つの基本プロジェクトを作成しました。僕が嫌いなものを見てみた。VPNは、悪意のあるペイロードを配信するための悪質で安全な方法だと私には説明されています。オンプレミスのネットワークに頼りたくない方法で VPN を使わないようにしたいと思っています。お客様が私のデータセンターの 1 つに接続して、私たちがすべて置いている場所、つまりクラウドとインターネット、すべてのリソースの行き先に戻るのは、どれほど非効率的でしょうか。ブーメランをやるのはとても非効率的です。では、なぜもっと直接送れないのでしょう?そこで、より柔軟性の高いトラステッド・インターネット接続であるTIC 3.0を用意しました。セキュリティ面で必要なテレメトリーを提供するソリューションは世の中にはありますが、私はもっと直接人を派遣しています。また、データマッピング、データマッピング、ゼロトラストで結局何を保護しようとしているのでしょうか?
16:38 ジェラルド・キャロン:データを保護しようとしています。それが金だ。多くの人が「アイデンティティについて話して」と言うでしょう。そして、ご存知のとおり、アイデンティティは非常に重要です。ゼロトラストについて話すとき、それは適切なデータ、適切な人が適切なタイミングで提供されることですが、データには整合性がなければなりません。そして、もしあなたがサイバーセキュリティアナリストで、私が危険にさらされたとしたら、私への最初の2つの質問は、「私は何にアクセスできたのか?それに、亡命者はいるの?」それは私のことじゃない。本当にデータについて聞いているんだね。しかし、そのデータに誰がアクセスできるかは非常に重要です。しかし、データとは...そこでデータマッピングを行います。これはネットワークマッピングではなく、データであり、アプリケーションを使用しており、何に接続されているのか、どこでデータを共有しているのか、データを共有しているのは何なのでしょうか。そして、データがどこにあり、どこに存在し、どこに流れているのかを学んでいきます。なぜなら、結局のところ、私はそれをベースライン化して、通常とはどのようなものかを把握できるようにする必要があるからです。そして、異常が起きたときには、行動を起こさなければなりません。
17:36 Gerald Caron: そこで、データマッピングを行います。それらのツールの統合も行います。すでに説明したように、環境全体のオペレーショナル・リスク・プロファイルを把握し、アイデンティティ管理を成熟させて、真のオーソリテーショナル・アイデンティティさえも確実に手に入れることができるようにするのです。なぜなら、向こうで起きていることは、新しいクラウドソリューション、アプリケーション、Active Directoryなどを手に入れることができるからです。何が起こるかというと、デジタル ID がいくつあるかということです。小規模な機関でも、デジタル ID にはそれぞれデジタル ID があるため、非常に多くのデジタル ID が存在します。そこで、それらをまとめて信頼できるアイデンティティソースのように見せ、自動化とガバナンスを導入する必要があります。そのため、それらも同様に成熟させようとしています。これらは私たちの5つの基本プロジェクトであり、私たちのニーズからすると、次の成熟分野への大きな足がかりになると思います。
18:32 Raghu Nandakumara: あのGerryは、あなたがその計画をどのように構築したか、そしてその計画に含まれる実際の詳細、包括的な戦略、その戦略に対して実行するために使っている戦術的なステップについて、信じられないほど素晴らしい説明をしています。それに関して私が唯一疑問に思うのは、進捗状況をどのように測定しているのかということだと思います。自分が正しい道を進んでいることや、進路を正す必要があることをどうやって知るのですか?そのフィードバックループをどのように実行に取り入れていますか?
19:00 Gerald Caron: そこで、特定の段階で達成基準に基づいて追跡するマイルストーンを設定しました。そして、私がやりたいことの一つは、そうするつもりはないということです。だからこそ、前にピーナッツバタースプレッドのアプローチを使うように言ったのです。私たちはFISMA、NIST 800-53、セキュリティコントロールなどを遵守していると思います。そして、彼らはコンプライアンスに非常に重点を置いている、というか、そういうふうに解釈されているのです。必ずしもそのように意図されているわけではありませんが、そういうふうに解釈されているのです。私はこの例を使うのが好きで、あまりにも単純化しすぎていますが、私が使っている例は、「オーケー、コントロールが認証を提供するように言うかもしれない」というものです。私が言えるのは、「よし、ユーザー名とパスワードだ。認証を提供しました。コンプライアンスは守っています。」
19:42 Raghu Nandakumara: うん。うん。
19:43 ジェラルド・キャロン:でも私は効果があるの?
19:46 Raghu Nandakumara: はい。
19:47 ジェラルド・キャロン:いいえ、そうではありません。
19:50 Raghu Nandakumara:「はい」と言っているのは、あなたの質問が正しいからです。
19:52 ジェラルド・キャロン:うん。いいえ。うん。いいえ。いいえ。有効性とコンプライアンスは別物です。それは私がいつも言ってきたことです。
20:00 ラグー・ナンダクマラ:同感です...
20:00 ジェラルド・キャロン:効果はどのように測定しますか?参加して、ペンテスト、ブルーチームタイプ、パープルチームタイプのテストを段階的に行えるようにしたいです。私が実施した内容は有効ですか?それは達成されているのか、それらの原則を満たしているのか、そういうことです。そこで、それを組み込んだいので、リソース面でそれをどのように行うかを考えなければなりません。しかし、SoCas-as-a-Service(サービスとしてのSOC)の側面が私たちの助けになればと願っています。しかし、その効果を定期的に測定できるようにしたいと思っています。ですから、私たちはこれらのマイルストーンを組み込んで、私たちの旅路における特定の段階的なマイルストーンを組み込んでいます。そして、その有効性チェックを組み込んで、テストという行為を確実に行いたいと思います。よし、これでその原則は満たされたか?
20:39 Gerald Caron: 適切なデータなのか、適切なユーザーが適切なタイミングで入手できるのか?横方向に移動できるかな、みたいな。ですから、そうした要素も段階的に組み込んでいきたいと考えています。最後まで待って「よし、最初に戻ろう」と言うのはやめましょう。再設計したくないからです。ですから、それは私たちの柱の中でも非常に重要でした。だってこれは建築なんだから。それで、「よし、アイデンティティの柱だけに集中して、それをやり遂げよう」と言う人がいるでしょう。「よし、次は次の柱に移ろう」私はそれを聞くと心配になります。なぜなら、これはアーキテクチャであり、私はいつもエンタープライズアーキテクチャについて説明しているからです。私はエンタープライズアーキテクチャの大ファンです。時々それをあざ笑う人もいる。主な分野は4つあります。
21:19 Gerald Caron: ビジネスというのは、財務面で、ミッションがそういったことを推進しています。それから、実装という技術的な問題があります。どうやってやるんですか?しかし、セキュリティはあります。どうやってセキュリティを確保しているのですか。そしてデータ。私はこれら4つのことに焦点を当てています。その際、ある柱で他の柱よりも多くの作業を行っている可能性があることを確認したいのですが、柱間の関係はわかっています。他の柱の作業をここまで進めたために何かがうまくいかなかったので、戻ってリエンジニアリングするつもりはありません。ですから、それらの関係を前もって知っておくこと、それらの関係がどのように相互作用する必要があるか、それらの間にどのような機能が必要かを知ることについても、私は非常に慎重になっています。
22:00 Raghu Nandakumara: うん。これはとても重要なポイントだと思います。セキュリティメディア、ベンダーの投稿、ベンダーのマーケティングで、ゼロトラストを採用する場合、特定のコントロールに集中することがいかに重要であるかについて、セキュリティメディア、ベンダーの投稿、ベンダーのマーケティングでよく見かけるからです。そうですよね?しかし、あなたは自分のコントロールセット全体を全体的に見て、それらを並行して一緒に動く必要があると言ったのは正しい。というのも、パワーは特定のものではなく、それらのコントロールのほぼ組み合わせにあるからです。そうしないと回転し過ぎてしまうからです。
22:37 ジェラルド・キャロン:うん。ゼロトラストに対する私のアプローチについて話すとき、もう一度言いますが、私が保護しようとしているのはまず第一にデータです。さて、データに関しては何をすればいいのでしょうか?まず、さっきも言ったように、データマップを知っておく必要があります。でも、そのあとはマイクロセグメントを作りたい。それを独自のデータベース内でもマイクロセグメント化したい。独自のデータベースにあるからといって、すべてのデータが同じように作られているわけではありません。では、データに関してできることは何でしょうか。そして、多くの人が「よし、デバイスだ、デバイスをやらなきゃ」と言うでしょう。いいえ、実際には、データへのアクセスを容易にするものは何でしょうか。アプリケーション。では、アプリケーションに関しては何をすればいいのでしょうか?さて、アプリケーションには何に基づいて生きていく必要があるのでしょうか?彼らには生きていくためのデバイスが必要です。彼らはどこかに住まなければなりません。分かった。すべてのデバイスを管理するつもりはない。そうだろ?
23:20 Gerald Caron: 認証が必要な公開ウェブサイトがあります。すべてのデバイスの管理を始めるつもりはありません。したがって、これらのカテゴリ内のさまざまなものには、さまざまなリスクレベルがあります。そして、デバイスには何を話す必要があるのでしょうか?彼らにはネットワークが必要です。ネットワークに関しては何をすればいいの?私が管理しているのか、管理していないのか?自分のコントロールの範囲内で私にできることは何か?そしてもちろん、ユーザーも。では、適切なユーザーが適切なデータに適切なタイミングでアクセスできるようにするには、ID 管理に関して何をすればよいでしょうか?私がこれについて話すとき、私はそのように裏返しに仕事をしているようなものです。そこで、まずデータから始めます。それが私が一日の終わりにやろうとしていることであり、それからそれらすべてをさかのぼって調べていくのです。
23:57 Raghu Nandakumara: それは本当に正しいやり方だし、ジョンがゼロトラストの成熟度を高める方法を説明するようなものであろうと、それがまさに彼が思い描いていたゼロトラスト戦略の実行方法だ。非常に全体論的な見方です。というのも、そうでなければ、単純に振り返ってみると、ベンダーのマーケティングが「これはやるべきことだ」と言い出すことで汚染されてしまうからです。この柱から始めて、完璧なものを手に入れなければなりません...」
24:23 ジェラルド・キャロン:「私のものを買ってほしいから。」
24:25 ラグー・ナンダクマラ:その通りです。そうだね。まさに。だから戻りたいあなたは一種のエンタープライズアーキテクチャについて話していました。そして、あなたは話しました...
24:31 ジェラルド・キャロン:でも、その前に言っておくけど。これだけは言っておきます。しかし、ベンダーがいなければできません。
24:37 ラグー・ナンダクマラ:ええ、それは本当です。
24:38 ジェラルド・キャロン:彼らにはテクノロジーがあり、テクノロジーを構築しているのです。しかし、私たちがワーキンググループを通じて、ATARCを通じてやろうとしていることは...フェーズ2に入ります。私たちは全員にそれぞれの特定の目的のためのプラットフォームを提供しました。しかし、フェーズ2では、私たちはチームを組み、すべての柱を通してエンドツーエンドで見たいと言っています。必要な人なら誰とでもチームを組むことができます。その柱や機能が欠けているなら、私たちも見極める必要があります。私たちはそれが最後まで機能することを確認する必要があります。スライドを見せないで、売り込みを送らないで。欲しいのは...さて、これがあなたのユースケースです。見せてください。これが今のところ私たちが目指していることです。
25:12 Raghu Nandakumara: でも、そういうことについて話すだけで、その完全な解決策は何だと思う。カーネギーメロン大学は、9月初旬にゼロトラスト産業デーを開催しました。ここでも、政府と一体となった学界の多くが、ゼロトラストへの統合的アプローチを強く推し進めています。それを見るのは本当に新鮮で、その結果にわくわくしています。エンタープライズアーキテクチャについておっしゃったことに戻りたいと思います。そして、その鍵となる側面の 1 つは、ミッションとの整合性、ビジネス目標との整合性です。では、あなたの役割において、ゼロトラストやゼロトラストプログラム、ゼロトラスト戦略を、OIGの包括的な存在意義とどのように結びつけてきましたか。
25:53 ジェラルド・キャロン:この質問をしてくれてうれしいです。私もこれについて話しているからです。ですから、私はゼロトラストを単なるサイバーセキュリティへの取り組みやITの取り組みとは考えていません。IGのビジネスもありますが、OIGはITを行うためにこの世に生まれたのではないことをエンジニアに思い出させることさえあります。それはメインミッションではありません。それがイネーブラーです。つまり、私たちは実際にゼロトラストに関するプレゼンテーションをすべてのユーザーコミュニティに行ったということです。さて、これから状況が変わることを彼らに知らせるようなものです。私たちがお客様にもたらすメリットをいくつかご紹介します。より多くのダイレクトをお送りします。そのため、パフォーマンス、相互運用性、シングルサインオンが向上します。これから紹介する中には、ユーザーをとても幸せにするものがいくつかあります。しかし、目的が何であるかも知れません。これからさらに尋ねる質問は、「どのように働きたいか」ということです。
26:43 ジェラルド・キャロン:「もっとモバイルになる必要があるのか?何か足りないものはありますか?何がうまく機能し、何がうまくいかないのか。なぜ?」近代化を進めているからこそ、こうした要件を組み込めるからです。要するに、私たちは新しいテクノロジーをもたらし、新しい機能をもたらし、モダナイズしているのです。ですから、彼らの要件を含めることで、私たちが耳を傾けたので、実装時の摩擦はずっと少なくなり、私たちはそれを実行するつもりです。「また、そこから何が得られますか?何にアクセスする必要があるの?アクセスが必要なのはどのような場合ですか?」そこで、今は、データソースのインベントリを検証しているところです。私がペルソナを構築しているのは、人々がどのように働きたいのか、どのように働くのか、どのデバイスを最もよく使うかを知っているからです。彼らは自宅や私が管理しているネットワークから来ているのか、それともオフィスから来ているのか?色んなことを学んでいます。今、私たちはゼロトラストにもたらすことができることを理解し始めています。なぜなら、これが彼らが望む働き方であり、これが彼らがしなければならない使命であり、彼らが頼りにしているデータソースだからです。
27:38 ジェラルド・キャロン:それらのデータソースは何ですか?彼らには個人情報があるのに、個人情報は持っていないのか?それらは一般に公開されていますか?一般には公開されていないのですか?そして、さまざまなオフィスの人々が時々それについて言及したり、質問したりすることを本当に理解しています。「それはゼロトラスト環境ではどうなるだろう」というようなものです。これは良いことです。なぜなら、今、私たちは彼らに「うん、そうなるだろう...物事は変わるだろうけど、私は自分のものにアクセスできるようになる。私は誠実さを保ち、こういったことに取り組むことで、自宅で仕事をするようになります。」「ああ、あの VPN を接続しなくていいんだ。すぐに自分の仕事に取り掛かるよ。」私はCIOですが、セキュリティテレメトリはまだ受けていません。私たちは彼らにどのようなメリットがあるかを伝えています。そして、何が必要か、必要なときに、どのように働きたいのかを伝え、それを組み込むことで、単なるセキュリティITの取り組みというよりは、モダナイゼーションの取り組みのようなものにしています。
28:26 Raghu Nandakumara: うん、100%。それは、「こんなふうにメリットがあるか」というような、先を見越した言い方です。そして、「どんなふうに働きたいか?」とか「何ができるようになりたい?」これらの本当に素晴らしい質問ですが、それを可能にするのは素晴らしいことです。しかし、それだけでなく、セキュリティ投資のROIは大きな無形資産の1つです。話を戻すと、「ええ、その前後にペネトレーションテストを行うこともできますし、脅威モデルの前後に実行して、「よし、これでこの脅威は修正されました」などと言えるでしょう。しかし、彼らが「大丈夫」と言ったら、「それはわかるけど、何が返ってくる?」ROI をどのように実証すればよいでしょうか?
29:00 ジェラルド・キャロン:実は先日、上司からその質問がありました。まるで、「よし、この金を頼んだら、このお金が手に入る。貯金とか何とかしてる?」貯金って言うのは嫌いだ。それは常にコスト回避です。何かの結果として予算の削減を求めることは決してないからです。私はそれをどこか別の場所で使うつもりです。でもコスト回避って言うんだ。それで考えさせられました。おもしろかったのは、セキュリティチームの誰かに聞いた一週間か二週間前、「ねえ、インシデントの代償はいくら?インシデントにはどれくらいの費用がかかりますか?」ええ、私はセキュリティに投資していて、それは投資であり、いくつかのことを閉鎖するかもしれませんが、それでも実装する新しいものに費やすつもりです。しかし、私たちが今抱えていることと、それに対していくらかの数字を出さなければならないのは、まあまあ小の、中規模の、そして重大なイベントがあるということです。
29:50 Gerald Caron: 通常、運用チームやセキュリティチームがこれらの問題を解決するのにかかる工数は次のとおりです。ストップワークによる影響と損失や、ミッションに必要なものなど。そこで、私たちはその図をまとめて、何かが起きたら、そして、それが悪意のないユーザー(小さなインシデント)であったり、ヘルプデスクで私に電話をかけてきて、私が私のPCにアクセスさせて、ランサムウェアなど何でも始めたりと、何らかのレベルで何かが起こるかを示すようにしています。これがインシデントのコストです。今、あなたは投資している...何も成し遂げられないのに比べて、これだけ投資してほしいと頼んでるんだ。私たちはミッションを支援しているのではありません。ただ起こったすべての混乱を片付けているからです。私たちは今、そのストーリーを伝えるためにそのグラフィックをまとめています。というのも、私たちはいくつかの事件を経験していて、今一緒に働いているCISOの担当者が州の出身でもあるからです。
30:49 ジェラルド・キャロン:いいアイデアがあるんですね。必要なリソース、後遺症、仕事の中断、昼夜を問わず、人材、サードパーティ、専門分野の招集、侵害されたテクノロジーの種類にもよりますが、そこから得られる専門知識、そして残余があります。それがイベントですが、その後にそれを防ぐために何をしていますか?ですから、長期的な戦略は常に存在しています。うまくいけば、ただそれを防ぐだけでなく、うまくいけば戦略をまとめることができます。今、それには代償が伴います。その前に進みましょう。おそらくもっと費用がかかるので、今これに投資してください。
31:24 ラグー・ナンダクマラ:その通りです。
31:25 ジェラルド・キャロン:もしこの出来事が起こったら、それに対するドルの数字がこちらです。
31:29 ラグー・ナンダクマラ:その通りです。
31:30 ジェラルド・キャロン:それが1つだけだとしましょう。これを行わないと、このようなことが複数発生する可能性があります。これが、私たちが今実際にまとめているものです。あなたが尋ねるのは面白いです。
31:39 ラグー・ナンダクマラ:うん。つまり、強制機能として機能するのに、インシデントがなければいいのに。
31:42 ジェラルド・キャロン:うん。そして残念なことに、それは私がいくつかの場所で見たものです。警告できるようなものだね...小さな男の子が「オオカミ」と叫んだようなものだ。オオカミが実際に現れてどう思う?ああ、そうだね、何とかしないと
31:54 Raghu Nandakumara: はい。本当です。OIGのすぐ外についてお聞きしたいのですが。そうですね。最近、医療セクターが特にターゲットになっているとしましょう。また、医療提供者のように、攻撃によって重要な IT システムへのアクセスが実質的に奪われたため、患者へのサービスの提供を本質的に停止せざるを得ず、時には救急医療や救命救急の提供を停止せざるを得ないケースも多々あります。何が強制されているのか、そしてあなたが誰のために働いているのかという理由だけでヘルスケアについて尋ねているのに、なぜ医療従事者のレジリエンスへの関心が高まり、これが無駄に繰り返されないようにするのでしょうか?
32:39 ジェラルド・キャロン:うん。これはあくまで意見です。あなたが話しているこれらのエンティティの一部をサポートするレガシーシステムがまだいくつかあると思います。そして、それが何であるかは、組織に受け入れられなければならないと思います。IT 担当者だけであってはなりません。それは理解されているものでなければならず、それを提起したのはIT担当者でなければならないのかどうかです。あなたが言及しているような民間企業では、CIOが取締役会またはCISOに参加すべきか、そうすべきだという勧告がある記事をたくさん読んだことがあります。リスクを管理する場合、それは単なるITの問題ではなく、使命でもあるからです。リスクの政治的側面と、あなたが下している決定にはどのようなものがありますか?そして、それはITリスクにも影響します。しかし、ROIの話に戻ると、これが良い投資である理由であることをよく理解しておく必要があると思います。これはこのリスクの軽減に役立つでしょう。
33:34 ジェラルド・キャロン:つまり、そのストーリーを伝え、それを組織の優先事項にしているわけですね。それが昨年出された「国家のITサイバーセキュリティの強化」という行政命令のポイントです。そして、ゼロトラストはその大きな側面であり、その結果、OMB Memo 22-09が作成されました。それは最高レベルで受け入れられました。今では、IT部門だけの問題ではなく、政府機関の責任にしているのです。これらのことをしなければなりません。だからみんな乗って今では、最高レベルで優先順位が付けられています。民間セクターでは、そのやり方が少し違うかもしれません。
34:11 ジェラルド・キャロン:そういう意味での連邦政府は、透明性を保ち、これが連邦政府の優先事項であることを示しているので、それを見て、「連邦政府はその点で私たちより少し進んでいる」と言う人もいると思います。しかし、金融業界には、テクノロジー面などで先行している企業もあります。しかし、それは本当に、ITの問題ではないと理解し、受け入れる必要があると思います。これは組織にとって文化的なことであり、伝える必要があります。
34:41 Raghu Nandakumara: おっしゃるように、セキュリティは取締役会レベルの優先事項である必要があるという、今や共通のテーマとなっていることを改めて強調されています。セキュリティ組織や IT 組織だけの権限ではいけません。そして、行政命令、OMB メモ、そして身近なゼロトラスト構想についても話しましたね。少なくとも彼らが望んでいる、文化の変化、姿勢の変化、サイバーレジリエンスの全体的な向上を実現してくれると確信していますか?
35:16 ジェラルド・キャロン:ええ、そう思います...私は、一歩も踏み出さないよりは、一歩前に進むタイプの人間だ。さまざまな機関やオフィスなどでは、私たちは皆違うことをしていると思います。私たちは皆、さまざまな投資を行ってきました。私たちは皆、成熟度が異なります。でも、みんなこのことを理解していると思います。人々は理解し始めてきていると思います。まだある程度の教育はあると思いますが、私が見たところでは、誰もが今いる場所に基づいて正しい方向に進んでいると思います。
35:44 Gerald Caron: さて、私たち全員が同時に同じ場所に行くのか、それとも一日の終わりにはみんな同じように見えるのか?いいえ。でも私にとっては、結局は... この5つの原則に戻ることになります。結局のところ、私はこれらの 5 つの原則に取り組んでいるのでしょうか?どのように取り組んだとしても、これらの 5 つの原則は守れますか? また、サイバーセキュリティにおいて効果を発揮できているでしょうか?それを証明することはできますか?はい。はい、いいえ?さて、さっきも言ったように、一日の終わりにはみんな違って見えるでしょう。この5つの原則を満たしている限り、それはとても重要だと思います。みんな正しい方向に進んでいます。ただ、いくつかの分野では苦戦があると思うし、今後もそうなるだろうけど、良い前進の動きがあると思うし、さっきも言ったように、赤ちゃんを一歩前に進めるなら、ただそこに立って何もしないよりはましだ。
36:26 ラグー・ナンダクマラ:すごい。そして、小さな一歩や大きな一歩について話すだけで、ゼロトラストとゼロトラストの導入の将来について、あなたが最もワクワクすることは何ですか。それが連邦準備制度理事会であろうと世界であろうと。
36:42 ジェラルド・キャロン:何が私をワクワクさせるの?さて、私が怖いのは、先日、量子コンピューティングについてアナリストと話し合ったことです。そして、それは私たちが思っているよりも早く起こっています。また、量子コンピューティングによって実現できるソリューションの実装というわけではなく、悪意のある攻撃者が量子コンピューティングを活用し、コンプライアンスを遵守することとは異なる方法でセキュリティを捉え、チェックボックスにチェックを入れていることでもあります。セキュリティを全体的に見ることも、サイロ化することもなくなり、全体を見渡して、自分が実際に所有しているもの、自分にとって最も重要なもの、保護方法を理解することは、非常に重要だと思います。私がワクワクしているのは、そうした障壁を打ち破っているということです。これは全体論的なアプローチです。これは、先ほども言ったように、効果を高め、より効果的になるためのアプローチです。なぜなら、量子コンピューティングのようなものは私をひどく怖がらせるからです。
37:41 Gerald Caron: 話していたと思うんだけど、彼は10年後に言っていたけど、何らかの形でメインストリームになるだろうって。そして、それはとてつもなく怖いです。それに関する行政命令も出たと思うんですけど、そこから脱出しなきゃいけないと思うんですけど...私たちはそのことから身を守るために行動を起こさなければなりません。そこで私たちは、サイバー効果を高めるための取り組みに取り掛かる必要があります。
38:05 ラグー・ナンダクマラ:すごい。Gerryというのは、今日多くのことを取り上げたばかりですが、何よりも、ゼロトラストプログラムを実際に推進してきた経緯について、非常に優れた概要が得られたと思います。その詳細と、それにアプローチする非常に組織的な方法については、ゼロトラストの旅に乗り出そうとしている、またはすでに開始している可能性のある実務家にとってはまさに金粉だと思います。本日は本当にありがとうございました。忙しいスケジュールから時間を取って、私たちとの会話に時間を割いていただきありがとうございます。そして、ええ、ありがとう。
38:41 ジェラルド・キャロン:ええ、ありがとう。
38:42 ラグー・ナンダクマラ:感謝します。
38:43 ジェラルド・キャロン:お招きいただきありがとうございます。お会いできて光栄です。時間を割いていただき本当に感謝しています。
38:51 Raghu Nandakumara: 今週のザ・セグメントのエピソードを視聴していただきありがとうございます。さらに詳しい情報やゼロトラストのリソースについては、当社のウェブサイト illumio.com をご覧ください。また、イルミオのリンクトインやツイッターで私たちとつながることもできます。今日の会話が気に入ったら、ポッドキャストを入手できる場所ならどこでも他のエピソードを見つけることができます。ホストのラグー・ナンダクマラです。すぐに戻ってきます。