可視性、一貫性、制御の強化

00:00 ラグー・ナンダクマラ：ザ・セグメント：ゼロトラスト・リーダーシップ・ポッドキャストへようこそ。私はあなたのホスト、ゼロトラストセグメンテーション企業Illumioのインダストリーソリューション責任者であるRaghu Nandakumaraです。今日は、IBM セキュリティーのスティーブン・コラッジオとグレッグ・トカチクが加わりました。スティーブンはIBMのマネージング・パートナーで、アメリカの金融サービスのサイバー・セキュリティー・プラクティスを率いています。金融サービスとサイバー業界で22年以上の経験を持つスティーブンは、プログラムの戦略と設計から実装、運用に至るまでのセキュリティ・プロジェクトに注力しています。Greg は IBM グローバル・セキュリティー・センター・オブ・コンピテンシーのエグゼクティブ・コンサルタントで、ポスチャ管理、コンテナー・セキュリティー、マイクロセグメンテーション・テクノロジーなど、クラウドとインフラストラクチャーのセキュリティーを専門としています。本日は、スティーブンとグレッグが一緒になって、サイバー・セキュリティーのビジネス・バリュー、貴社の至宝の定義、分析の麻痺やその他のゼロトラストの課題を克服する方法についてお話しします。こんにちは、ようこそ。スティーブン、ここにいてくれて嬉しいよ。調子はどう？

01:02 スティーブン・コラッジオ：素晴らしい。素晴らしい。呼んでくれてありがとう。私もここにいることにワクワクしています。

01:05 ラグー・ナンダクマラ：本当に嬉しいです。グレッグも同様です。今日の調子はどう？

01:09 グレッグ・トカチク：素晴らしい、ラグー、私たちを呼んでくれてありがとう。

01:11 ラグー・ナンダクマラ：お二人とも、今日の状況に至るまでの道のりは非常に幅広いです。スティーブン、もしかしたら、ビジネスと向き合った視点から見て、サイバーセキュリティがビジネス上の認識においてどのように進化してきたかお気づきですか？

01:26 スティーブン・コラッジオ：興味深い質問ですね。私はこの分野に16年間携わっており、サイバーセキュリティのコンサルティングをしていて、多くの大規模なグローバルクライアントや地域のクライアントと仕事をしていて、その中間のあらゆることに携わってきました。そして、私が過去、たとえば3、4年間に見てきたことは、ビジネスの観点、つまりリスクの観点から見ると、大きな変化です。そのため、私たちはサイバーというビジネス面への関与がますます高まっています。そのため、サイバーがビジネスリスクに及ぼす実際の影響やイネーブラーは何か、それがどのようにトランスフォーメーションや大規模な企業のデジタル変革を推進できるか、サイバーセキュリティがどのようにそれを可能にするかについて、最高リスク責任者、さらには取締役会や経営陣にビジネスリスクを委ねています。これは、過去3、3、4、5年の間に、クライアントが私たちと関わってきた方法に大きな変化をもたらしました。

02:18 Raghu Nandakumara: これは本当に興味深いと思います。CISOとビジネス志向のCISOの進化も見られると思うからです。そこで、この点については後ほどお話ししたいと思います。グレッグは、技術的な実装に深く関わっている実務家として、その変化、つまりサイバーセキュリティへのアプローチ全体が長年にわたって技術的および実装的観点からどのように変化してきたかをどのように見てきましたか？

02:41 Greg Tkaczyk: 20年前に私がサイバーセキュリティの仕事を始めたとき、私たちは評価作業に非常に重点を置き、改善できる点に関するレポートを提供していました。そして今では、ソフトウェアのエンタープライズ実装を円滑に進めるために、信頼できるアドバイザーのサポートが必要だということにクライアントが気づき始めています。実際には、従来のインフラストラクチャベースのアプローチから、サイバーセキュリティに対するソフトウェアベースのアプローチへと重点が置かれています。

03:10 ラグー・ナンダクマラ：すごい。そして、それに取り掛かります。というのも、オンプレミスや管理しているものすべてからハイブリッドクラウドなどへの自然なシフトが、ソフトウェアへの変革を促すからです。スティーブ、サイバー変革についての考え方や、ビジネス要件との整合性が大幅に向上したことについてお話ししましたが、それが今では最高リスク責任者などにも及んでいますが、その変化のきっかけは何だと思いますか。ほとんどIT部門だけだった分野から、今でははるかにビジネス規律になったものへのシフトのきっかけは何だと思いますか？

03:43 スティーブン・コラッジオ：サイバーが主流になったと思います。過去 5 ～ 7 年間に発生した主要なインシデントのいくつかを見ると、取締役会の間で話題になっていると思います。これはもはや CISO だけの話ではなく、取締役会は「サイバーが当社の収益に与える影響は何か」について考えています。サイバー攻撃は、当社の株価、株主、企業価値、そして市場におけるお客様やパートナーの当社に対する考え方にどのような影響を与えるのでしょうか？そして、サイバー・プログラムを構築する際、多くの話題の中心となるのは、「イネーブラーとして、また差別化要因として、これをクライアントと共有して、お客様が安心して当社とビジネスを行えるようにできるか」ということです。提供する製品、共有するプラットフォーム、そして市場への参入方法にセキュリティが組み込まれていますか？」そして、これによってビジネス価値が向上し、クライアントやパートナーが市場に参入する方法も可能になることを、彼らは理解していると思います。セキュリティは、今や大企業におけるビジネスの推進力であり、差別化要因であると考えることができる、非常に興味深い時期にいると思います。5年以上前は、セキュリティはコストセンターであり、資金が枯渇する場所と考えられていました。しかし今は、その逆です。

04:54 Raghu Nandakumara: ええ、絶対に。また、セキュリティ機能は常に「いいえ」と言ったり、すべてに疑問を投げかけたりする機能と見なされてきたと思います。そして、「オーケー、これが私があなたのビジネスを可能にする方法だ」と言えるようになったのです。グレッグ、その見返りを得て、ビジネスとトランスフォーメーションを実現していることをどのように示しているかを技術的な観点から説明してもらえますか？

05:17 グレッグ・トカチク：ええ、絶対に。ですから、特にゼロトラストについて話すとき、私がクライアントと会話を始めるときに私が普段していることの1つは、クライアントが直面している課題について本当に冷静に考えることです。私の経験から言うと、それは3つのことに要約されます。それは可視性、一貫性、そしてコントロールです。ゼロトラストは幅広いトピックですが、ゼロトラストのどの分野について話していようと、究極的にはこれら3つこそがすべてのクライアントが達成しようとしていることだと思います。可視性について考えるとき、私たちは資産、アプリケーション、ユーザー、データなどの可視性について話しますが、私が保護しようとしているクラウドリソースにはどのようなものがあるのでしょうか？それらはどのように構成されているのでしょうか?アプリケーションを構成するワークロードにはどのようなものがありますか?彼らはどのようにコミュニケーションを取っているのか?このような可視性の欠如は、攻撃者があなたの環境やあなたのいる環境の中を動き回るという盲点につながり、最終的には、何を保護しようとしているのかわからなければ、セキュリティコントロールを構築することができません。

06:06 Greg Tkaczyk: しかし、あなたの言うところでは、可視性を確立すると、多くの場合、環境や企業内の利害関係者の間でこの信頼できる情報源を共有することになり、彼らは今後それを活用して仕事を楽にできるようになります。そこで、私が導入に携わるときによく行うことの1つは、コンプライアンス・チーム（通常はCISOとその組織）、インシデント対応など、組織全体のさまざまな利害関係者と会い、企業内でこのツールやこの新しい機能をどのように活用して生活を楽にできるかを考えることです。

06:43 ラグー・ナンダクマラ：あなたの説明の仕方が好きです。「可視性」、「一貫性」、「制御」という3つの言葉を使ったとおり。これがまさに「ゼロトラスト」という表現の三本柱です。これをクライアントの目の前に置いて、デジタル変革が実質的にどのように加速するのかについて、クライアントは「なるほど」と思ったときの例を挙げていただけますか？

07:03 グレッグ・トカチク：ええ、絶対に。私が今注力しているのは、基本的にマイクロセグメンテーションとクラウド・セキュリティ・ポスチャ管理技術です。私はCSPMを実装している大規模なクライアントと仕事をしていましたが、そのクライアントのエンジニアリングディレクターは本質的にこう言っていました。「通常、私たちのグループはこのテクノロジーを調達して自社のサイロに実装し、どのように管理するかを考えます。それだけです。」私たちは、実際にやって来てコンプライアンス組織に連絡を取り、この新しいツールがどのような機能を提供できるかを理解しているようなパートナーとは実際に仕事をしたことがありません。レポートを作成できるか?保護の観点から、特定の資産に関心があるか?先ほども言ったように、私たちはインシデントレスポンスに連絡を取りました。これで構成の欠点が明らかになりますが、どのように対処していますか？ですから、通常はプロジェクトスポンサーである CISO 組織以外のチューニングから得られる価値を理解することが重要だと思います。なぜなら、人々がそのテクノロジーを社内で活用し始めると、セキュリティ内部だけでなく、組織全体にとっても、通常どおりのビジネスになるからです。

08:05 Raghu Nandakumara: うん。そういうわけで、スティーブについてお聞きしたかったことが分かります。グレッグは、このプログラムの構築の一環として、CISO組織の枠外への拡大について言及していたのでしょうか。では、経営幹部のスポンサーシップレベルでは、このようなプログラムの部門横断的なサポートを構築できるように支援するにはどうすればよいでしょうか。

08:31 Stephen Coraggio: 最近の大きな流行語の一つは、エクスポージャー管理についてクライアントと話し合ったことだと思います。そして、エクスポージャー管理や環境全体の可視性といった用語を掘り下げてみると、経営陣は、私たちがインフラストラクチャの脆弱性に実際どのようにさらされているのか、私たちは本当に理解していないと言って、一瞬気づきます。環境の真の可視性とはどのようなものでしょうか。特に今では、クライアントのほとんどがハイブリッドクラウドのクライアントです。つまり、ハイパースケーラーが複数存在し、その分野に複数のベンダーがいて、可視性の対象範囲について考えるとき、そして最も価値のあるものを保護しようとするとき、経営幹部レベルでの会話は、これらのプログラムの推進に本当に役立ちます。なぜなら、当時は、すべてを保護し、すべてを暗号化し、環境内のすべてを確実にスキャンすることが重要だったからです。今、私たちがクライアントと話すとき、私たちが環境で最も重要なものを本当に管理し、それらが適切に保護され、管理され、可視化されていることを確認し、それを監視し、それらの特定の環境における脅威に対応するか、私たちが行うすべてのことで大海原を沸かそうとするのではなく、どうすればよいかが問題になります。

09:43 Stephen Coraggio: エクスポージャー管理。アタックサーフェス管理またはアタックサーフェスマッピングと呼ばれることもあります。しかし、結局は最も重要な資産の可視化、対象範囲、そして優先順位付けにかかっています。そして、経営幹部レベルでのこうした会話は、資金調達やこの種のプログラムに関する、何らかの合意された賛同や賛同という形で響き渡ります。

10:05 Raghu Nandakumara: その言葉は、最も重要な資産、最も重要なコンポーネントについてよく耳にします。経営幹部レベルでは、一般的にどのように定義/特定されているのでしょうか？

10:19 スティーブン・コラッジオ：ええ、ほとんどの場合そうではありません。そして、ほとんどの場合、それをどのように定義するかという点で課題があります。あらゆる種類の事業部門や IT 部門は、自分には重要な資産があると考えています。そこで私たちは、コンサルティング手法を用いて、組織の最高峰と見なすものを定義します。業界、事業内容、市場への進出方法、官民を問わず、製品を展開する製造会社なのか、それとも本当にソフトウェアを提供するフィンテック企業なのか、ということです。次に、お客様のビジネスプロジェクト、必要事項、およびお客様にとって何が重要かを定義し、それが何であるかを定義するためにクロスラインビジネスアプローチを採用し、リスクランク付けを行います。そこで、私たちはそれらの資産の価値を把握し、市場にとっての価値と企業にとっての価値を考え、その方法論を適用して、企業にとって何が重要で何が「至宝」であるかを定義します。ですから、それが実際に私たちの組織にとって何を意味するのかについてのフレームワークや方法論を実際にまとめようとするまでは、通常は定義されません。

11:23 ラグー・ナンダクマラ：それで、これから行くよ...グレッグ、実行/実装の観点から話をします。組織が「これが重要であり、適切な優先順位付けであり、ここから始める必要がある」という合意に達するには、通常何サイクルかかりますか。それをプロセスとタイミングとしてどうまとめるのか。

11:45 Greg Tkaczyk: 最初に言っておきたいのは、完璧なCMDBやエンタープライズアプリケーションのリストを持っている人は誰もいないということですが、通常は何かあります。通常、活用できる出発点があります。ですから、私たちがこれらの組織に足を踏み入れると、Steveの言うところでは、大海原を沸かしたくないのは明らかです。あなたはどこかから始めなければなりません。ビジネスにとって最も関連性の高いものに優先順位を付ける必要があります。そして通常は、存在するものは何でも活用します。通常、その合意に達するまでにはかなり周期的なプロセスが必要ですが、ドアを通り抜けるとわかります。それを優先事項として確立する必要があります。よくある課題の 1 つは、誰も最終決定を下したくないということです。そこで、そのような決定を下す権限を持つテクニカル・プロジェクト・チャンピオンを見極めるようにクライアント組織を誘導し、最終的にはそれがソリューションのアーキテクチャに関する決定なのか、それとも最初にターゲットとするものの優先順位付けに関する決定なのか、ということです。これは、この種のテクノロジーを展開する上で重要な部分です。

12:47 ラグー・ナンダクマラ：実は、それについてもう少し聞きたいんだけど。なぜなら、あなたが言うように、多くのセキュリティプロジェクトは、その慣性のせいで行き詰まることが多いからです。つまり、Xを実行する必要があるという決定を誰も受けたくないということです。では、通常、クライアントをその難題から引き離すにはどうすればよいのでしょうか。進歩を始めるためには、どのようなアドバイスをしていますか？また、どのような手段を講じていますか？

13:10 グレッグ・トカチク：通常、私たちは二面的なアプローチを取ります。通常、ラピッド・リスク・リダクションと呼ばれるワーク・ストリームがあります。通常、実装するテクノロジーが何であれ、実装の早い段階でできることは完璧ではないかもしれませんが、それが助けになり、以前よりも良い立場に立つことができます。では、迅速なリスク軽減にはどのようなユースケースがあるのでしょうか。そして、そのために分析の麻痺に陥らないでください。それらを特定しようとしても、CSPM ソリューションで実施したい上位 5 つのポリシーを決めるのに、4 か月を費やしたくはないでしょう。したがって、これらの決定を迅速に行い、リスクを軽減してください。これが最初のワークストリームです。そして2つ目は、戦略的目標の観点から、それらのユースケースに的を絞り、完璧は重要ではないという理解のもと、やはり価値を示すためにできることがあるかどうかを確認することです。そのため、1000 個のアプリケーションを保護しようとしているのであれば、上位 10 件に絞り込んでください。そして、上位 10 位以内では、実際にはどの程度細かくする必要があるのでしょうか。あなたが下せる政策決定は、より広範で、なおかつより優れており、完璧ではなく、最終段階ではないものがあるかもしれません。ええ。でも動き出して、価値を示しましょう。

14:26 Stephen Coraggio: それに加えて、おそらくここ数年、最近追加していると思う3つ目があるかもしれません。私たちは通常、リスクの定量化に関する第3の作業ストリームを取り入れています。これも広く使われている用語ですが、リスク定量化プログラムは、脅威、脆弱性、リスクの特定、資産のランク付けという観点から、経営幹部がプログラムから得たいと思う価値という観点から、最近人気が高まったばかりです。私たちは、彼らが至宝だと信じているものを取り上げることができるので、外部市場で見られる脅威、つまり特定の業界に対する脅威を中心とした資産に定量化を適用できます。特定の資産や環境に対する攻撃がどのようなものになるかをシミュレートし、万が一何かが起こった場合にその企業が実際に受ける損害を定量化できます。つまり、このリスク定量化モデルは、多くの企業にとってはかなり低い投資ですが、統制、可視性、マイクロセグメンテーション、資産の可視性などにどこに費用をかけたいかという点では、大きなROIが得られます。私にとって、それは必ずしもリスク定量化プログラムの一部ではなかったとしても、私たちが行う多くのことに組み込まれ始めています。

15:36 ラグー・ナンダクマラ：うん。実際、あなたは私が尋ねようとしていた質問にほとんど答えてくれました。なぜなら、グレッグが約20年前にサイバーセキュリティの世界に入ったとき、それはまさにチェックボックスの練習だったと言って、冒頭で言ったことを結びつけたかったからです。これはコンプライアンスに非常に重点を置いていました。「これらの要件を順守し、確認し、確認し、順守する必要があります。」そして、コンプライアンスを守っているからといって自分が安全だとは限らないことは誰もが知っています。コンプライアンスを守ることは、安全であることと同じではありません。私が聞きたかったのは、リスクを理解するにあたり、ある程度の脅威モデリングとそれに関連するスコアリングが必要であり、「OK、ここが私が最もリスクにさらされている場所であり、統制の観点から注目すべき点だ」という認識が高まっていると感じているということです。これは過去数年間に見られた大きな変化ですか？

16:22 Stephen Coraggio: ええ、サイバーセキュリティはもはやクライアントが考えているだけの機能ではないと思います。これはしばらく前から存在していました。おそらく2000年代後半、私たちは誰もがテクノロジー製品とオープンチェックブックを購入しているのではないかと考えていました。過去 4 ～ 5 年間、そしておそらく直近の 3 年も、「より少ないリソースでより多くのことを行うにはどうすればよいか」という考えが浮かびました。支出やテクノロジーの合理化やスプロール化を考えて、一体どうすればいいのか？」私たちのクライアントは平均して 78 種類のセキュリティ製品を使っています。重要なのは、「適切なテクノロジーを適切な環境に適用し、他のものの優先順位を下げてコストを節約できるように、合理化し、ROIを提供し、リスクを定量化するにはどうすればよいか」ということです。可視性を含むマイクロセグメンテーション、AIや自動化を含むゼロトラストコンセプトなどの次世代テクノロジーについて考えると、これらはお客様が考えていることです。なぜなら、それは単に外に出て次のピカピカなオブジェクトを購入するのではなく、投資を正しい方法で活用し、支出に優先順位を付けることだからです。そして、それがまさに私たちが目にしていることであり、特に現在のような市場ではそうです。

17:32 Raghu Nandakumara: 本当に興味深いですね。ツールの統合と、より少ないリソースでより多くの成果を得ることについて話されていたからです。そこで、この質問を二部に分けて聞きたいと思います。スティーブとグレッグは、実践者の視点から言うと、あなたはどう話しますか、例えば...あなたはそのような経営陣のスポンサーの前に立って、「よし、この能力に投資すべきだ。そうすればこのようなメリットが得られるからだ」と言うでしょう。そして同じように、グレッグはその成果を払っています。これらのメリットが実際に実現されることをどのように実証しますか？グレッグ、もしかしたらあなたが先に行きたいんじゃないの？

18:06 グレッグ・トカチク：もちろん。Steveが言っていたこと、つまり可視性、一貫性、制御性に加えて言うと、一貫性の部分はツールの合理化、つまり異種インフラストラクチャーで機能するテクノロジーの選択です。データセンターだけでなく、ハイブリッドアプリケーション、マルチクラウド、コンテナ化されたテクノロジー、サーバーレステクノロジーなどでは、そのエコシステム全体で機能するテクノロジーを選択することを検討する必要があります。エグゼクティブ・スポンサーと話をして価値を示すという点では、私は一歩後退します。多くの場合、クライアントは最終目標や、テクノロジーが提供できる能力を最大限に引き出したいと考えます。しかし、そのソリューション化や販売のプロセスでは、クライアントと協力して、ビジネス目標を達成しリスクを軽減できるソリューションを設計する機会がしばしばあります。つまり、「ライセンスとは何か、機能は何か、必要なモジュールは何か、いつ必要になるのか？そして、そのロールアウトにはどのようなサポートが必要なのでしょうか?」それがプロフェッショナルサービスであろうとマネージドサービスであろうと。したがって、最初の対象範囲を差し迫った懸念事項に集中させることが重要です。そうすれば、2、3年後に目標を定めた最終状態ではなく、達成するのがより現実的で現実的な目標に対してすぐに価値を示すことができるようになります。

19:33 Greg Tkaczyk: 調達とソリューションのプロセスでこれを考えると、前に話したように、多くの場合、リスクを軽減し、コストを削減してROIを最大化できます。量や機能などの観点からランプアップモデルを作成します。私がクライアントと話すとき、まず最初にそれを取り上げたいと思います。そして、いったん取り組んだら、その成功基準を達成するために継続的に強調できる指標にはどのようなものがありますか？正しく構築し、初期のスコープを正しく解決していれば、その達成基準に照らして測定するのはかなり簡単なはずです。

20:06 ラグー・ナンダクマラ：うん、うん。間違いありません。スティーブ？

20:11 スティーブン・コラッジオ：ええ、面白いです。私は金融サービスを担当しています。ですから、私にとって、私たちのクライアントは世の中で最も成熟したクライアントです。私たちは長年にわたりそのレベルの成熟度を高く見てきました。私は、クライアントがベスト・オブ・ベストになりたいと願っていることを称賛します。それは私たちが能力という観点から見たことにも表れていると思います。私たちは、統合リスクセンターなどの機能への移行を希望している同市場内の組織、あるいは他の市場の上位10～20の組織に移っています。サイバー統制、サイバー・フュージョン・センター、そして次世代のSOCや脅威管理機能の一部に、リスクを完全に統合するにはどうすればよいか考えてみてください。これらのクライアントが目指す姿は、素晴らしいビジョンだと思います。しかし、グレッグが言うには、これらは 3 年から 5 年のロードマップ、3 年から 4 年のロードマップです。

20:54 Stephen Coraggio: そこで、私たちの見解では、そこにたどり着くには慎重なアプローチを取ろうということです。同じビジョンを念頭に置き、今後 3 ～ 5 年以内にそれを達成したいと考えている、適切なベンダー、ソリューション、機能を見つけましょう。そして、そのためのクロールウォークランプロセスを構築します。しかし、基本的な要素はあります。基本的な可視性、制御、アクセス、管理については、今回の電話会議ですでに話し合ったことがあります。これらは、組織が次世代の統合リスクセンターを目指す際の基本的な項目です。しかし、最初から始めましょう。基礎となるビルディング・ブロックを構築しましょう。可視性と脆弱性の観点から対応していることを確認し、基本的な機能が揃っていることを確認してから、製品ベンダーやソリューションベンダーとともにそのロードマップに基づいて構築していきましょう。

21:44 Raghu Nandakumara: 二人とも話すのを聞いているだけだよ、そうだね、この会話の中でグレッグが最初に説明したようなものだ...ゼロトラストとは、まさに可視性、一貫性、コントロールのことです。そして、お二人ともこれらの用語を何度も繰り返しました。そして、スティーブ、あなたが今言ったこと、これらは基本です。可視性、一貫性、制御は、優れたセキュリティプログラムの基本的な構成要素です。お客様が検討しているプログラムについて、金融サービス業界に少し焦点を当ててみましょう。これらのプログラムの開発において、ゼロトラストまたはゼロトラスト戦略はどのような役割を果たすのでしょうか。それは彼らが持ち出す現実のことなのか、それともほぼ...そして、そうすればゼロトラスト戦略へと発展するのでしょうか？ゼロトラストはクライアントグループ内でどのように議論され、計画されていますか？

22:37 Stephen Coraggio: ゼロトラストについて私たちが考えていることを振り返ってみると、私にとっても私たちにとっても、それはフレームワークです。これは、クライアントが可視性、制御、アイデンティティを提供できるように支援し、誰が何にアクセスでき、なぜ誰が何にアクセスできるかを実際に継続的に検証できるようにするための指針です。私にとって、これは単なるフレームワークです。それがNISTであり、他の多くのフレームワークもそうでした。そして、CMDB、脆弱性対策、資産管理、セキュリティ組織の基本的な構成要素などの基本的なものの可視性と理解など、そのフレームワーク内の機能を見ると、ゼロトラスト機能全体がまとまってきます。これらすべてを一緒に構築することが肝心です。

23:22 ラグー・ナンダクマラ：そうだね。金融業界からすると、おっしゃるように、金融セクターは、関連する規制、要件、規制当局の位置づけにより、常にセキュリティの最先端に立ってきました。何が見えてるんですか？ゼロトラストの採用が増えているのを目の当たりにしていて、あなたが言及したすべてのことが原因で必ずしもゼロトラストを声に出さないことを知っていますか？それとも、繰り返しになりますが、組織はそうしたファンダメンタルズを改善しているだけで、本質的には暗黙の信頼が排除され、最終的にゼロトラストという結果につながっているだけなのでしょうか？

23:52 Stephen Coraggio: ええ、金融サービス業界の上位10人から20人のCISOは、取締役会の会話としてゼロトラストを活用していると思います。取締役会は用語を知っているので、用語も理解しています。ゼロトラストの意味は簡単にわかります。しかし、彼らが採用しているのはゼロトラストのフレームワークであり、それを彼らが行っている能力や投資の一部として実装することです。そうすれば、取締役会、取締役、経営陣にそれをまとめると、ゼロトラストの尺度で進捗状況と成熟度を示して、「どの程度カバーされているか？可視性はどの程度確保されているのでしょうか。私たちはどの程度守られているか？適切なレジリエンシーは整っているか？インシデントから復旧できるか?インシデントが実際に発生した場合に備えて、復旧の準備はどの程度整っていますか？」

24:37 Stephen Coraggio: これが、彼らが取締役会の議論に活用しているフレームワークです。というのも、これも理解の観点からはかなり基本的なものですが、投資の観点からはその基盤となる能力を駆り立てるからです。

24:48 Raghu Nandakumara: 興味深いことに、ゼロトラストは、セキュリティプログラムの提示方法という点では、ゼロトラストフレームワークで取締役会に提示されるのに対し、実際の実行の基礎となるのは基本的な構成要素に関するものです。これは本当に興味深いことだと思います。なぜなら、私たち開業医はひっくり返して「ああ、オーケー、ここではゼロトラストの原則を適用するよ」と言うことがよくあると思うからです。そして、おっしゃるように、誰もが独自の定義を持っているので、ある意味希薄化してしまいます。グレッグ、実務家として、クライアントがゼロトラストについて話すとき、どのような質問が出てきて、どのようなアドバイスがあり、どのような回答が寄せられますか？

25:23 Greg Tkaczyk: いつも出てくる最初の質問は、どうやって始めるかということだと思います。すでに述べたように、最初に考慮すべきことは、ゼロトラストは旅だということです。実際は旅です。測定可能な継続的かつ漸進的な改善に焦点を当てる必要があります。そして、ビジネスを混乱させるような大がかりな導入ではありません。また、すでに述べたように、多くの場合、非常に的を絞った方法で実施する統制の開発に着手します。また、リスクを軽減するために組織全体に非常に幅広い方法で適用する統制についても検討します。そして、その両方を並行して行うこともできますが、どちらのアプローチでも問題ありません。しかし、それぞれがゼロトラストへの足がかりです。ですから、そのことについてクライアントに話すときは、どのようなテクノロジードメインについて話しているのか、「どうやってそれを実現するのか」などの概要を説明するようにしています。

26:09 ラグー・ナンダクマラ：ええ、絶対に。ちょっと話を変えて、スティーブ、金融サービス部門で将来を見据えたら、また話を戻します。可視性の向上、一貫性の向上、管理の強化に一層注力することが求められる原動力は何だと思いますか？規制の観点から、またテクノロジー採用の観点から、この分野におけるこれら3つの基本的な統制の採用や改善を促す主な原動力は何だと思いますか？

26:38 Stephen Coraggio: セキュリティ以外でクライアントと話し合ってきた最大の分野の1つは、デジタル変革に関するものです。今までに見たことのないほど急速に加速しています。そして、それは競争のせいかもしれませんし、投資のせいかもしれません。それは、この分野に参入している企業の量が非常に多いからかもしれません。しかし、オンボーディングプロセス、カスタマーエクスペリエンス、プロセス改善など、デジタルトランスフォーメーションについてクライアントと話をしているときには、エンドユーザーのナレッジベースと、クライアントが製品、サービス、期待から何を求めているのかを理解するための自動化の適用方法。こうした変革こそが、こうした機能の必要性を強く押し上げているのです。そして、このようなハイブリッドクラウドシナリオに移行し、さまざまなハイパースケーラーや環境を活用した場合、可視性、カバレッジ、制御、対応活動、レジリエンシーをそれらの環境に真に適用するにはどうすればよいか、という議論にますます引き込まれています。

27:41 Stephen Coraggio: 私たちのビジネスは、実際にセキュリティやセキュリティ要件を適用できないほど速く動いているのではないかと非常に恐れているからです。ですから、将来を見据えたサイバー戦略の観点から見ると、ビジネスの変革、デジタルトランスフォーメーション、そしてビジネスの進化に遅れずについていくことは、おそらく私たちが行っている最も一般的な会話だと思います。

28:00 Greg Tkaczyk: 付け加えておきますが、その一部がアプリケーションのモダナイゼーションです。私たちのクライアントは、これらのレガシーアプリケーションをコンテナ化またはサーバーレスにリファクタリングしたり、リフトアンドシフトしたり、ハイブリッドアプリケーションに作成したりするなど、大規模な変革を遂げています。これらのテクノロジーの多くは、これまで何度も説明してきたように、可視性を提供して意思決定を容易にするうえで役立ちますが、今こそアプリケーションにセキュリティを組み込む絶好の機会です。その変革の過程で。なぜそれを検討した後に、新たにファクタリングされたアプリケーションをどのように保護するのかを後回しに考える必要があるのでしょうか。

28:36 ラグー・ナンダクマラ：ええ、絶対に。そして、そうですね、彼らが変革を進めてきて、この言葉がますます耳にするようになったので、 サイバー・レジリエンシー 最近流行っている言葉です。それはクライアントと本当に話し合っているようなものなの？「どうすればサイバー・レジリエンスを高めることができるか」という質問をされたりしますか？それとも、それはあなたが関わっているプログラムの期待される成果に過ぎないのでしょうか？

29:00 スティーブン・コラッジオ：ええ、会話だと思います。それは必ずしも供え物ではない。サブコンポーネントや、その下位にあるプログラムの一部が実際に動かされているので、会話が交わされるのです。サイバー・レジリエンスについて考えるとき、多くの話題はインシデントの権利に関するものです。準備はできていますか？何かへの対応方法や立ち直り方を知っていますか？万が一、何かが起こった場合の回復力はどれくらいですか？これらの会話の多くは、準備、認識、教育、対応、バックアップ、復旧に関するものです。万が一、何かが起こった場合に組織が準備できるよう、これらの要素が整っていることを確認します。つまり、サイバー戦争ゲーム、卓上演習、脅威シナリオに関する没入型体験、脅威シミュレーションなどです。このような状況から、クライアントは全社的な準備と、インシデントに関して統率者が誰なのかを確実に把握するために、実際にお金をかけ始めています。適切な統制とコミュニケーションとは？

30:00 スティーブン・コラッジオ:どうやって立ち直って稼働させるの？適切なバックアップシステムがあり、保護されていますか?レジリエンシーに関する話題の多くはここまでです。いいえ、確かにインシデントの左側にあるのは、制御、可視性、監視に関するもので、それがしばらくの間行われてきたことです。しかし今、私たちはそのスペクトルの両側を見ています。

30:17 ラグー・ナンダクマラ：すごい、すごい。それでグレッグ、あなたのところに来て。少し前を向いてみると、能力の観点なのか、実務者が本当に警戒すべき脅威の観点なのか、サイバー分野の興味深い次のステップはどこにあると思いますか？

30:35 Greg Tkaczyk: 自動化と修復の側面を最適化して自動化することがますます重要になっていると思います。これらのツールの多くは、物事を識別して警告しますが、人間による対応が必要です。多くのツールや SIEM や SOAR プラットフォームとの統合が、そのループを断ち切るようなものです。それがクライアントでそれほど頻繁に使用されているとは思いません。それを実現するための機能はあります。おそらく配管や技術的な観点から見ても、クライアントにしっかり座って、私が対応を完全に自動化できるユースケースは何かを考えてもらうことです。この分野は、今後重点的に取り組むことになると思います。

31:16 Raghu Nandakumara: そこで、なぜギャップがあるのかというと、ある種のクライアントがそれらのユースケースが何であるかを定義できないからか、それともそれらのユースケースをインストゥルメントして運用するためにどのようなデータが必要かわからないためだとしましょう。

31:33 グレッグ・トカチク：はい、でも怖いです。正しい判断を下すために、インフラストラクチャの一部の制御を、本質的に信頼しているものに委ねているのです。つまり、私が言いたいのはそういうことです。まずは小さなことから始めて、自分が納得できるユースケースを定義する必要があると思います。これらのユースケースを企業全体に適用する必要はありません。そして、慣れてきたら、自動応答の能力を高めていくのです。

31:58 Raghu Nandakumara: ええ、フォレスターのゼロトラストの柱のようなものについて考えてみると、そこには自動化とオーケストレーションの輪があります。そして、ある種の可視性と監視と結びついているのは、この種の最終目標のようなものです。このエコシステムのように、本質的に自分自身をレポートし、環境の変化などに対応し、途中でアクセスを調整することです。つまり、誰もがそこに行きたがっていることだと思います。しかし、おっしゃるように、コントロールを放棄するのは難しいことです。スティーブ、あなたが目にする他の種類の重大な課題と同様に、それが金融サービスの分野であろうと、サイバープログラムを本当に次のレベルに引き上げて、ゼロトラストへの進展を加速させようとしている組織全般であろうと、それは変わりません。

32:46 Stephen Coraggio: クライアントから最もよく見られるのは、実際にROIとプログラムへの投資を提供し、CISOがサイバーセキュリティ投資の価値に関するビジネスケースを取締役会に提出できるよう支援することです。それがソフトウェアコンポーネントであろうとサービスコンポーネントであろうと。昨年のビジネスケース/ROI/定量化プログラムは、おそらく過去10年間に実施したものよりも多く実施しました。なぜなら、あまりにも多くのパートナーに富を分散させるよりも、支出に関してより思慮深く、パートナーとの関係を明確にすることが重要だからです。企業が予算を引き締め、ビジネスとともに変革を図るだけでなく、思慮深く効率的な方法で変革を行うにはどうすればよいかを考えるにつれて、そうした傾向はますます高まると思います。しかし、ベンダーやソリューションに関しては、クライアントが組織への投資から得られる利益が、かつてないほど高まっていることは十分にあると思います。ですから、これがどこに向かっているのか、期待しています。

33:45 Raghu Nandakumara: それは本当に興味深いことだと思います。なぜなら、この会話の中でいくつかの場所でROIに触れたからです。それは間違いなく、おっしゃる通り、この12ヶ月間、とても重要なテーマでした。そして、ベンダー側であろうとクライアント側であろうと、ほとんどすべての種類のセキュリティリーダーが ROI を実証する必要性について話しているのを見てきました。一言で言えば、ROI モデルの構築に取り掛かるときに、私たちが重視し、取締役会に明確に説明している重要な点は次のとおりです。その点について少し説明していただけますか？

34:16 Stephen Coraggio: グレッグが言ったことの多くは、自動化と脅威のスコアリングと処理に関するものです。大規模な顧客基盤があり、多くのクライアントの力を活用してデータを統合して価値を還元できる場合、「この脅威は見たことがあり、以前にもこのインシデントを見たことがあり、分析と調査に基づくと、誤検出です。自動的にクローズされます。」これにより、アナリストの時間と費用を節約できます。これにより、エスカレーションによる時間と費用の節約になります。実際には、一流のアナリストを雇うだけでも、時間とお金を節約できます。そのため、私たちはますます多くの自動化プラットフォームと自動対応を提供できるようになり、これらのソリューションにテクノロジーを組み込んで、脅威や既知の脅威ベクトルなど、コモディティ化された多くの脅威を排除し、組織にとって最も重要で最も価値のあるものに重点を置くように努めています。そして私には、プラットフォーム、テクノロジー、またはAIモデルに置き換えることで、X個の工数とX個のリソースを削減できると言って価値を示しています。これは私たちが行う多額の投資です。

35:16 Raghu Nandakumara: グレッグ、できれば、それを組み合わせてほしい。これがビジネスケースです。では、この割合のタスクが自動化されていることをどのように報告し、示せばよいのでしょうか。このような検証はどのように行われているのでしょうか。

35:30 グレッグ・トカチク:通常は婚約のキックオフをする。成功基準を定義する一環として、基本的に、ある種の目標に対して毎週どのような指標を追跡し、報告できるかということになります。導入されたエージェントの数はどれくらいですか?保護されている資産はいくつですか?有効になっているユースケースはいくつありますか?特定のセキュリティ状態にある環境の割合は、他の環境と比べてどれくらいですか。それをさまざまなビジネスユニットや異なるオペレーティングシステム、あるいは指標に当てはめるにはどうすればよいのでしょうか。そのため、通常、そのプロセスの一部として、これらの指標や KPI を特定して毎週測定し、それを四半期ごとに経営幹部の利害関係者にまとめます。

36:09 ラグー・ナンダクマラ：すごい。スティーブ、グレッグ、他にリスナーに伝えたい知恵はありますか？

36:15 Stephen Coraggio: ここで私が考えたのは、これらの機能に投資しているソリューションパートナーサービスベンダーを選ぶことです。多くの古いテクノロジーやプラットフォームが本当にうまく機能していますが、今輝いているのは、マイクロセグメンテーションやゼロトラストに関するものを提供するだけでなく、可視性を提供し、特定のコンテナや領域に何が入っているかを把握できる企業です。そして、それらの特定の領域を継続的に可視化し、対象範囲を広げていくのです。ですから、当社が確実に提携している企業や、ここでお話ししている内容を検討することは、将来の投資にとって極めて重要だと思います。総入れ替えモデルには課題があると思います。継続的な投資と強力な戦略的パートナーの構築、将来のプログラムの構築について考える必要があると思います。そのため、これらのプログラムの開始時には、適切なベンダーを選ぶことが重要です。

37:09 Raghu Nandakumara: ありがとう、スティーブ。グレッグ？

37:10 Greg Tkaczyk: 概念実証ではなく、プロダクションパイロットを行うと言えるでしょう。私のクライアントで成功しているのは、それが一番大きな成果です。その場合は、小規模から始めて、パイロットのユースケースと成功基準を定義し、テクノロジーを検証し、実装パートナーのスキルを検証します。そして、そのプロセスの一環として、導入に関連すると思われる洞察、依存関係、制約を明らかにすることになります。そして、エンタープライズデプロイメントで採用するアプローチをしっかりと把握しておきましょう。

37:41 ラグー・ナンダクマラ：それは本当に素晴らしいアドバイスですね。製造パイロットと概念実証の違い。ゴムが道路にぶつかったときに動作することを検証したいからです。グレッグ、これはゼロトラストのポッドキャストです。好きなゼロトラストの例えは何ですか？

37:55 Greg Tkaczyk: よし、じゃあいくつか持ってるよ。

37:57 ラグー・ナンダクマラ：ああ、オーケー、オーケー、オーケー。スティーブにも持たせなきゃ。

38:00 グレッグ・トカチク：わかりました。

38:01 Raghu Nandakumara: じゃあ続けて。二つあってもいいよ。

38:04 グレッグ・トカチク：じゃあ、早くやるよ。中心がソフトなハードキャンディーの歴史的なセキュリティモデル。しかし、私がゼロトラストについて考えるとき、それは非常にきめ細かく分散された信頼です。つまり、それはもう当てはまりません。もしかしたらキャンディーの入った袋かもしれません。まだ開けなきゃいけない境界線があるんだ中に入らないといけないコントロールがあるけど、中にはキャンディーがたくさん入っている。それぞれがセキュリティコントロールを表しています。彼らはあなたが守ろうとしているものに近いです。そのため、よりきめ細かな意思決定が可能になります。もう1つは、昨日実際に友人と話していたところ、ゼロトラストはチーズサンドイッチのようなものだと判断したことです。コンセプトとしては、簡単に言うと、ただのチーズサンドイッチです。でも、細かく掘り下げてみると、どんなパン、どんなチーズ、どんなトッピング、グリルなのか、ということが分かります。それは誰にとってもまったく違う意味です。

38:48 Raghu Nandakumara：いいですね、この2つが本当に好きです。キャンディーの袋がコンセプトで、チーズサンドイッチがコンセプトだと説明したので、ニュアンスがたくさんあり、誰もが独自の見解を持っているからです。また、ゼロトラストについて日常的に友人と会話をしていて、新しいアナロジーを考え出しているところも気に入っています。スティーブ、キャンディーとチーズサンドイッチのどちらがいい？

39:09 スティーブン・コラッジオ：ええ、まあ、グレッグは今の私よりもお腹がすいていると思います。ですから、私の例えは食品とは関係ありませんが、この類推をしばらく使ってきましたが、この種のセクターは正しいと思います。空港について考えるように、ターミナル、ゲート、飛行機、座席を移動しながら、保安検査と本人確認、そして継続的な検証を経て、空港を通過するには何が必要かを考えます。そのような方法論は、プロセスを進めるにつれてきめ細かくなっていくので、セキュリティチェック、身分証明書、ゲート、行くはずのターミナルの観点から、常に検証されていると思います。そして、それをセキュリティの観点と、そこを通り抜ける人や物の量から考えると、彼らは非常にうまくやっていると思います。もちろん、問題や課題もありますし、それを乗り越えることもありますが、ほとんどの場合、ストップギャップのプロセスである継続的検証は非常にうまく機能しています。

40:04 Raghu Nandakumara: Steve、Greg、Steve、Greg、あなた自身との会話はとても良かったと思います。そして、取締役会レベルから、技術的な実装やプログラム管理、そして真のリスク軽減の成果をもたらすような成功したセキュリティプログラムを提供する方法について、実践者の視点から本当に素晴らしい洞察を得ることができたと思います。それが私が重要なポイントとしてとらえていることだと思います。そして、ゼロトラストについて考えるとき、私たちは本当に3つの重要なことを考えているのです。可視性、一貫性、制御、そしてこれを不動産全体の適切な場所に適用することで、リスクの軽減につながり、サイバーレジリエンスを本質的に向上させることができます。それでは、本日はどうもありがとうございました。IBMとIllumioがどのように協力して、可視性の強化とゼロトラスト・セグメンテーションによって組織のレジリエンスの向上を実現できるよう支援しているのか、さらに詳しく知りたい方は、ぜひ当社のWebサイトをご覧ください。スティーブ、グレッグ、本日はどうもありがとうございました。感謝しています。

41:16 Raghu Nandakumara: 今週のザ・セグメントのエピソードを視聴していただきありがとうございます。さらに詳しい情報やゼロトラストのリソースについては、当社のウェブサイト illumio.com をご覧ください。LinkedIn やツイッター @illumio で私たちとつながることもできます。そして、今日の会話が気に入ったら、ポッドキャストを入手できるところならどこでも他のエピソードを見つけることができます。私はあなたのホスト、ラグー・ナンダクマラです。すぐに戻ってきます。

‍