ゼロトラストの実践と想定違反の採用

0:00:04.1 Raghu Nandakumara: ゼロトラスト・リーダーシップのポッドキャスト、セグメントへようこそ。私はあなたのホストで、ゼロトラストセグメンテーション企業であるIllumioのインダストリーソリューション責任者であるRaghu Nandakumaraです。今日は、エリコム・ソフトウェアの最高戦略責任者で元フォレスター・アナリストでもある、ゼロ・トラスト博士としても知られるチェース・カニンガム博士が加わりました。チェースはエリコムの最高戦略責任者として、企業戦略の策定、指導、コミュニケーション、実行、維持を担当しています。その役割では、実行戦略が会社の全体的なビジョンを支えるよう、サーバントリーダー、戦略思想家、実行者としての役割を果たしています。Ericomに入社する前は、ChaseはForrester Researchで副社長兼主席アナリストを務め、セキュリティオペレーションセンターの計画、脅威対策運用、暗号化、ネットワークセキュリティ、ゼロトラストの概念と実装に重点を置いていました。チェースは長年にわたり、アーマー、アクセンチュア、国家安全保障局などの組織でさまざまな脅威調査や情報提供の役職を歴任してきました。本日、チェースは私たちと一緒に、ゼロトラストフレームワークの進化、ゼロトラストを正しく実現する方法、ゼロトラスト戦略を策定する際に組織が間違える点についてお話しします。誰もが優れたオリジンストーリーが大好きです。それでは、ドクター・ゼロトラストのオリジンストーリーを聞いてみましょう。

0:01:09.1 Chase Cunningham: 冗談ではなく、人生やサイバーで成功を収めることができて本当にラッキーだとみんなに伝えています。なぜなら、それは絶え間なく運に恵まれていて、私の周りに良い人がいるからです。私はディーゼル整備士として海軍に入隊しました。コンピューターとは全然関係なかった。私がサイバーの世界に入ったのは、まったくの偶然でした。

0:01:31.1 ラグー・ナンダクマラ:いいね、いいね。そうですね、これはゼロトラストのポッドキャストなので、最終的にはゼロトラストについて話すことになりますよね。ゼロトラストに触れたことはどのようなものでしたか？それはフォレスターで学んだことと直接関係していたのですか、それともそれ以前にもこのことに触れていましたか？

0:01:48.5 Chase Cunningham: 軍隊でサイバーや暗号関連のことをすべてやって、それから政府のために何かをしたあと、実際にコンピューターネットワークの悪用を教えたりカリキュラムを書いたりしました。これは、レッドチームをやっているときに政府が本当に高価なものに対して請求する方法でした。それで、私はかなり長い間政府機関でレッドチームを組んでいました。私が知っていたジョン・キンダーヴォーグと話をしていたとき、彼がまだフォレスターにいたとき、彼はZTについて話していました。その時私は、「オーケー、確かに、マーケティングの悪ふざけ101みたいに聞こえてもかっこいい、何とか何とか何とか何とか何とか何とか何とか何とか何とか何とか何とか何とか何とか何とか何とか何とか何とか何とか何とか何とか何とか何とか何とか何とか何とか何とか何とか何とか何とか何とか何とか何とか何とか何とか何とか何とか何とか何とか何とか何とか何とか何とか何とか」それからフォレスターに来て、「ねえ、ジョンの汚れた下着を拾ってこのZTをやる」と言われたことに腹が立ったと思います。しかし、私が悪者なのか、それともレッドチーマーなのかという観点から考え始めたとき、これらの概念によって私は辞めて別のターゲットを探しに行くことになるのでしょうか？すると突然、電球が点いてしまい、私は「オーケー、ジョンは何かに取り組んでいる」と思いました。それでちょっとやってみたんだ。でもボスのジョセフ・ブランケンシップとかフォレスターの仲間と真剣に議論したんだけど...他の誰かがやったことを私にさせないでくれよ。何かの副業にはなりたくないから。でもそれは私の時間の良い使い方だったわ

0:03:01.9 ラグー・ナンダクマラ：ええ、絶対に。そして、一種の実践者としては、そうですね、ジョン・キンダーヴォーグのようなものが、現代のゼロトラストの定義の基礎を築いたと言えるでしょう。そのメインストリームを本当の意味で取り入れるために、あなたはおそらく他の誰よりも最も多くのことをしたと言えるでしょう。では、あなたが育てたこのような赤ちゃんが、ついに両足で歩き始めたところを、あなたは今どう感じていますか？

0:03:30.3 チェイス・カニンガム：つまずくこと。

0:03:31.9 Raghu Nandakumara: まだスノーボールとは言わないけど、せめてその両足で歩け。

0:03:35.5 チェイス・カニンガム:理にかなった戦略には価値があると思っている人がいるのは良いことです。流行語やその他のもの、それに伴うすべての嫌悪感について、人々が愚痴をこぼしたり、うめき声を上げたりするのを聞くのにうんざりしています。だって私にとって、文字通り、今、ブログを書いてるんだ。もし俺たちが売っているものを買わなくて、これが意味をなさないと思うなら、バカなことを続けてくれ。そうすればスローガゼルになるのはおまえだ。「どうぞ」みたいな今私が言いたいのは、もしこの巨大な市場が動き、このすべての採用があったら、そして私は...昨日、アルゼンチンの人々と電話があって、来月コロンビアでZTで講演する予定だ。全世界がこれを現実だと思っていて、嫌いな人が嫌いな人が嫌いにならないなら、ケツを手渡されたら知らせて、ZTについて話してください。

0:04:26.7 ラグー・ナンダクマラ：そうだね、賛成だよね？そうでなければ、こんなことはしないでしょう？じゃあ何が...周りを見渡して、「オッケー、転換点は何だったんだろう？なぜなら、なぜゼロトラストなのか、というように、その背後にある実際の前提という点では十分だったからですよね？常識だよね？しかし、人々がそのレベルの常識に達するまでには永遠にかかっています。あなたの意見の転換点は何でしたか？

0:04:56.5 Chase Cunningham: 新型コロナウイルスはまさに火の種だったと思います。なぜなら、ビジネスを継続して運営し続ける方法を迅速に考え出す動きがあったからです。そして、ただ大きく書いてドアを開けて行くだけでなく、機会、危機、機会に恵まれるような人が十分にいることに完全に惑わされないようにする方法もありますよね？少し後戻りして行くという危機、オーケー、私たちは何か違うことができるし、これがもう少し理にかなったことをする方法です。なぜなら、他のモデルがうまくいかなかったという証拠があり、今はリモートや他のすべてのもので証明されていたからです。そして今朝、ハイブリッドがどのように受け入れられているかについての論文を読んだと思います。今朝、ハイブリッドがどのように受け入れられているかについての論文を読んだと思います。今回、その仕事がどのようなものになるかについての論文を読んだと思います。マスクのために働いてるか向こうで何か起きてない限り、みんながオフィスにいる必要はないかもしれない。そして、他の人たちは、ほら、ほら、人間のように生きることができます...その現実にはそのようなアプローチが必要で、それを可能にするために進化したテクノロジーで、ZTはたまたま適切なタイミングで適切な場所にいました。

0:06:03.2 ラグー・ナンダクマラ：ええ、絶対に。それと...そして...それと、コロナウイルスやハイブリッドワークへの移行などだけではないと思いますよね？しかし、それは現在の脅威環境がどのようなものかをより深く認識したことでもあったと思いますか？そして、皆さんが、ZTがAssume Breachとほぼ同等だとか、実際にはその逆だとおっしゃっていることは知っています。ブリーチこそが基本であり、ZTがその答えだと仮定しましょう。

0:6:34.4 Chase Cunningham: ええ、つまり、それはおもしろいです。なぜなら、それはかつて人々にとって、すでに妥協していることを受け入れるような問題だったからです。ああ、いや、いや、それは問題じゃないし、妥協もしていないし、いや、これには何百万ドルもかかっている。そして、ああ、つまり、オーケー、これを書き留めさせてください。半年後に私に連絡が来るでしょうが、今では、それは人や何かをノックするのではなく、空間の現実のようです。ですから、それを受け入れてから、その問題を乗り越えるためにリソースを調整してください。そうである必要はありません...考え方が違えば、本当にネガティブである必要はないと思います。そして、ほら、ほら、ほら、今、あちこちで嫌われているもう一つの嫌悪感は、まあ、これは新しいことではありません。正しい。新しいものではありません。これは何かの進化と成熟であり、非常に理にかなったことであり、長い間意味をなしてきました。あなたが言ったように、人々はそれを無視しただけです。なぜなら、人々は、私にはわかりませんが、一般的に人間は最悪だからです。

0:7:33.9 ラグー・ナンダクマラ：あなたは実は...オンになっていた...最近、LinkedInかTwitterで何かアップしたと思うんだけど、人間の愚かさにはパッチがないとか、それに沿った何かを。間違って引用してすみませんが、ちょっと言いたいのですが、リスナーは経験豊富なセキュリティ専門家で、AssumeBreachを聞いたことがあるでしょう。彼らはゼロトラストについて聞いたことがあるでしょう。レイアウトするだけだろ？なぜ...なぜゼロトラストが想定違反に対する自然な答えなのか？質問が「想定違反」だとしたら、なぜゼロトラストが答えでなければならないのでしょうか？

0:8:10.8 チェイス・カニンガム：見てみると、必要なものは何か。では、ちょっと台本をひっくり返して、守備については心配していないとしましょう。妥協点があることを受け入れるとだけ言っておきましょう。よし、終わった。さて、本当に起こってほしくないことは何ですか？彼らが私のネットワークや環境に留まらないようにしたいのです。あちこち動き回ることができないようにしてほしい。誰かが私の家に侵入したら問題になるけど、引っ越して私と一緒に暮らしてほしくない。それじゃあ本気で話そうそれが私たちがやろうとしていることだと認めるなら、悪者がそのように成功するためには何が必要なのでしょうか？彼らにはシステム内からの信頼関係が必要です。ジョンがいつも言っているのは、人間の感情への信頼です。私たちはそれをコンピューターに組み込んできました。信頼関係を取り除いても、ゼロトラストになるわけではなく、信頼関係に基づいて管理可能なリスクを抱えることになり、それは...それが悪者の一日を本当に辛くしているのです。そんな感じで...それが私たちの望みです。そこがそこだ。私は違う...あなたはそうじゃない...絶対に違反はしないし妥協もできないそんなことはしないよ...皆の意見に賛成だ。ゼロトラストなんてものは存在しないと言うだろう。正解です。死んでしまうから体脂肪ゼロなんてあり得ないみたいだけど本当に減らそうとしてる

0:9:24.2 ラグー・ナンダクマラ：うん、うん、100％。そして、あなたがまさにその場で言ったのは、攻撃者の生活を困難にすることだと思いますよね？そのアプローチはだんだん良くなってきていると思いますが、それでも、その観点からセキュリティ統制を構築するアプローチをとらないことが多すぎると思いますよね？繰り返しますが、あなたの考えのように、なぜかというと、それはとても自然なことですよね？こいつらを難しくして、どこか別の場所に行ってしまう。

0:9:52.5 チェイス・カニンガム：会社での立場を間違った方法で守ろうとしているのは人々です。つまり、今はCISOが席に着いていて素晴らしいです。それは本当に素晴らしいことですし、何でもありです。しかし、現実には、彼らは通常、会社での自分の立場を正当化しようとして、完全に弁護されるなどと人々に伝えています。私がやっていることはリスクを飛躍的に減らすことであり、それによってリスクが管理しやすくなり、稼働時間を維持できるなど、何でもできるようになります。ZTのテクノロジーに関するワークショップをクライアントと行ったことはまだ一度もありません。それは 100% あなたがそこで直面したリーダーシップの問題に関するものでした。

0:10:32.9 ラグー・ナンダクマラ：ええ、まさにその通りです。そして、私はちょっと...先週読んでいたいくつかのブログで、ゼロトラストとはどういうものかについてのものですが...それとも、ゼロトラスト戦略を採用するには、部門間の賛同が非常に重要ですよね？もっと...セキュリティ組織のセキュリティプログラムだけではないですよね？では、ゼロトラストを採用している組織にとって、ゼロトラストが間違っている組織があると言えるでしょうか。それとも、ゼロトラストをやっている人は誰でもクレジットされるべきだとおっしゃいますか？

0:11:07.3 チェイス・カニンガム：いいえ、私は思います...間違ったやり方があると思います。長い間話してきたように、自分がどこから始めているのか理解できず、最も重要なことについてあまり現実的な会話をしておらず、そこから外に向かって進んでいかないのであれば、木のための森が恋しくなっていることになります。個人的には、私の方法論と、私が関わっている人なら誰とでも、最初にすべきことは、現実世界のレッドチームではないかもしれないということですが、私はあなたにシナリオを投げて、そこに座って何が起こるか見守るつもりです。なぜなら、あなたがその状況のストレスを経験し、実際に火事に立ち向かうまでは、それはすべて教義に過ぎないからです。言いたいことが分かるかい？もし...セキュリティの現実が、セキュリティ侵害を乗り越えて生き残ることだとしたら、それはなんてこった瞬間の1つですが、実際に何が起こるかに基づいて対応する必要があります。そして私は...多くの企業が「準備完了」と言ってきたので、私が中に入ってシチュエーションフォルダを彼らの前にドロップすると、頭が転がり、議論が起こり、人々がドアから逃げ出すのを見て、こんな感じで、ここから始めるんだ。できます。この問題は解決できます。これは経営のリーダーシップの問題です。テクノロジーだ、グレイビーベイビーだそれは後でね

0:12:15.4 ラグー・ナンダクマラ：うん、うん、うん。100％。では、組織はこれを正しく行うにはどうすればよいのでしょうか？そうだね。さて、何が...ゼロトラストを実現し、ゼロトラスト戦略を採用し、それを成功させ、測定できるようにするために採用すべきプレイブックとは？それを解き明かしましょう。

0:12:31.3 チェイス・カニンガム：そうですね、まずは...私が言うように、火に足を踏み入れて、セキュリティチームの視点だけでなく、あなたが関与できる食物連鎖の上下すべてについて理解することです。例えば、何かが起こったときに実際に大騒ぎになるようなことが起きて、そうすることで、少なくともこれから起こる悲惨さを経験したことになります。つまり、これは組織的な要素なのです。次に重要だと思うのは、その企業やネットワークなどに関係する資産の全体をよく理解することです。なぜなら、自分が知らないことを守ることはできないからです。そして、目にしたギャップに基づいて統制をマッピングします。もし、あなたが...... の観点から考えてみると戦場の頂点に立つ大将だよね？そして、私はあらゆるものを見渡すことができます。それができれば、リソースをベクター化してギャップを埋めることができます。地下にいて見上げて行くのは嫌だ。この戦場の正しい場所に正しいものを置いていることを本当に望んでいる。

0:13:25.3 Raghu Nandakumara: そして、この旅を始めるような組織のためのものですよね？どこだ...行き詰まりが起きやすい場所はどこですか？

0：13：33.4 チェイス・カニンガム：通常、大きくなりすぎ、速すぎます。彼らは言うでしょう、実はこれは良い例なんです。ある大手銀行と仕事をしていたところ、「ユーザー向けにZTをやる」と言われました。「かっこいい、超素晴らしい」って感じでした。それはポジティブなことだと思う。そして彼らは、「展開して、5000から始めるんだ」と言いました。そして、「おい、おい、それは小さくない」って思ったんだ。そして彼らは、「ああ、私たちはグローバル銀行だ、何でもいい」と言いました。小さくはないって思ってた。そして彼らは、「オーケー、じゃあ、どの数字から始めたらいいの？」と言いました。それで私は「5」と言いました。5人みたいだった？あれは...それには時間をかける価値すらありません。それで言ったんだ、もし私があなたの会社で5人の人間を襲ったら、あなたの店は壊れるかな？オーケー、公平だそれで、5で正解したら10でやって、10で正解したら50でやる。そして、あなた...ほら、転がして、金属にぶつかって刃を研ぎ澄まして、振り回して正しいと思って刃を研ぐとか。

0:14:23.2 ラグー・ナンダクマラ：でもどうやって5人を選ぶの？そうだね？「そうだね、これらのプロファイルに合うものを5つ選んで」と言ったのか、それとも、大丈夫、小さく始めよう、と言ったのか。

0:14:33.5 チェイス・カニンガム:そうだね。私にとって大事なのは誰が...システムで最も管理者権限のある5人を選ぶとしたら、その5人が私が最初に注目したい人です。そして、もし彼らが戻ってきて去ったとしても、そのうちの1人がCEOです。さて、そこには本当の問題があります。どうして CEO が物事への管理者権限を持つのか

0:14:50.0 Raghu Nandakumara: ここで聞いている人たちがいて、そうだね、オーケー、私に何ができるか考えているみたいな...ゼロ・トラスト博士が我々に見せてくれる知恵の真珠って何？そうだろ？ええ、それは私がこのゼロトラスト戦略に苦労しているからです。では、これまで見てきたことを踏まえると、現時点ではどのような状況になるのでしょうか？どんな感じだ、これが私の知恵の真珠だ。

0:15:13.5 Chase Cunningham: 最も重要なことは、サイバーセキュリティをビジネスの他の部分と同じように扱うことだと思います。CEOとミーティングをしていて、「この会社ではみんな営業をしています」みたいなことを言われたことは何回ありますか。そして、立ち上がって「くそったれ、まさか」と言う人はいますか。あなたがエンゲージメントを持っているのは、あなたがその組織の一員であり、ビジネスの成功には営業が不可欠だからです。どう思う？サイバーセキュリティも同じです。ですから、その一員であるかのように人々に話しかけ、関与してもらう必要があるのです。それに加えて、技術的統制ではないソリューションへの投資もやめるべきだと思います。これは技術的な修正であり、人々を道具のように扱うのは馬鹿げていて、見返りを得ることができないからです。これは投資家にとって素晴らしいことであり、ベンチャーキャピタルにとっても良いことですが、そこに置いておきましょう。妥協を許さずに自らを鍛えてきた組織を見つけてくれれば、あっという間に店を台無しにするような人たちを何人か連れてくるよ。

0:16:18.3 Raghu Nandakumara: あなたはベンダーの話を始めましたが、ベンダーは確かにゼロトラストに飛びついています。実務者よりもずっと早く、ベンダーはゼロトラストに飛びついています。ベンダーがゼロトラスト市場を腐敗させるために何をしたのでしょうか？

0:16:43.1 チェイス・カニンガム：そうですね、いくつかあると思います。1つ目は、明らかに彼らはそれをたくさん抱えて走りました。「Xをやったけど、ZTは今どこにいるの？ちょっと待ってください。ZTにはそれ以上のものがあり、ボタンも製品もありません。」というわけで、それが1つになりました。そして、彼らはそれを売り込みます。そんなことをするよりも悪質だったものが、それをさらに強く売り込んだように思えます。彼らは「もし僕らがこうなるなら、誰かが僕らを呼ぶまで、2倍、3倍のダウンをする」みたいだった。それが君の戦略だろそしてもうひとつは、プラットフォームへの移行です。このすべてが、その代償を払ってきたのです。ええ、私はそれをサイバーセキュリティのウォルマートと呼んでいます。どこかの棚にあるこのがらくたから、神に誓います。十分に購入すれば、最終的にはすべてが魔法のように機能し、ZTのもののレゴハウスが手に入り、すべてを一挙に販売します。それに、うまくいかない、うまくいかない...ポートフォリオがあって、この分野にあるプラットフォームはごくわずかです。私の意見では、それが一番気まずいところです。

0:17:39.4 Raghu Nandakumara: では、ベンダーやゼロトラストへのメッセージは、ベンダーが取り組むべき重要な港湾イニシアチブですが、あなたのメッセージはどのようなものですか...彼らへのメッセージはどのようなものですか？ゼロトラストの顧客ベースへの導入を実際に促すには、さらに何をすべきでしょうか？

0:18:09.4 Chase Cunningham: そうですね、誰かがあなたをZTについての会話に引き込んでいる理由は、彼らが戦略的な質問をしているからだということを理解した上で導かれると思います。ですから、戦略的な質問に戦略的な価値提案で答えられるようにしましょう。それはとても貴重なことです。そして、私がベンダーとアドバイザリーを行うときにいつも人に聞くもう一つのことは、ベンダーにこう尋ねることです。「ゼロトラストへの道のりのどの段階にいるのか教えて。あなたたちは自分のZTのために何をしているんですか？」普段、コオロギを捕まえたり、周りを見回したりします。自分でZTをやっていないのなら、どうして私があなたのためにZTをやってくれるなんて、なんて言うんだ？運転の仕方が分からないなら、私のレースカーの動き方を教えないでくれ。

0:18:54.3 Raghu Nandakumara: 100%. 100%。皆さんがゼロトラストのデモフォーラムに関わっていることは知っていますが、ベンダーにプラットフォームを提供するだけでなく、エンドユーザーや消費者にも提供するということから何をしているのでしょうか？他の似たような組織がそうではないようなことを可能にしているのは一体何なのでしょうか？

0:19:17.2 Chase Cunningham: ええ、問題の一部は、ベンダーテクノロジーに関する優れた審査員向けコンテンツと言えるものを手に入れるには、自分自身と野外観察をたくさんしなければならず、それには時間がかかるということです。そこで、デモフォーラムで行ったのは、「ここで正当な主張をしているベンダーに働きかけ、話し合ってもらい、ソートリーダーシップを行ってから、文字通りシステムのデモをしよう」と言うことです。はい、これはベンダーのデモですが、エンドユーザーがそれを見て、「よし、本当に X の問題が解決されているか見てみたい」と言えるようにするためのデモです。彼らは本当に優れた技術を持っているようです。彼らがそれについて話すのを聞きに行こう。ところで、そのソリューションが実際に何をするのかがわかります。」私にとって、この観点から見ると、リサーチの面では、エンドユーザーがベンダースペースで何が起こっているかについて本当に良い情報を得るために進むべきステップがはるかに少なくなるということです。

0:20:12.8 ラグー・ナンダクマラ:焦点はそこにあるのか？そして、これについてもう少し理解したいのです。なぜなら、あなたはユースケースについて話しているからです。それについてはまだ話していませんが、ここでおっしゃっているのは、ゼロトラストによって可能になるのは非常に具体的なユースケースであり、それを示すことができるということです。一般的なユースケースとは対照的に、「ああ、ゼロトラストへの取り組みをある程度加速させることができるので、非常にターゲットを絞ったユースケースに焦点を当てるのもそうですか？

0:20:42.2 Chase Cunningham: これはユースケースに関するものですが、ベンダースペースを取り、機能をフレームワークの柱に切り分けることでもあります。そして、もし私が...前に言ったように、プラットフォームはそれほど多くなく、堅実なポートフォリオがいくつかあります。クラウドアクセス管理を提供するベンダーを探しているのであれば、それが何であれ。スーパーサイバーZTという用語をランダムに選んでいただければ、クラウドアクセス管理などを行っています。これを見てみると、「オッケー、こういう能力を持っているベンダーだ」と思うことがあります。実際にそのようなことをしているのは5社か6社です。247社ではなく5社か6社を見るべきです。今日調べて合計すると、サイバーセキュリティのベンダーは2731社あったと思います。馬鹿げてる。今話してるんですけど、リチャード・スターナンと公表した数字は600ドルだったと思うんですけど、市場では10億ドルくらいです。

0:21:39.2 Raghu Nandakumara: 実は、ちょうどその右に、今日存在しているベンダーの急増が分かりますか...また、ポートフォリオとプラットフォームの違いについても話されていましたが、これはわかりますか...それとも、2023年に向けて、真のゼロトラスト・プラットフォームが形成されるようなものになると思いますか？つまり、ベンダーは真のゼロトラストプラットフォームの範囲を検討し、相互に関連した一連の買収や自社開発製品を構築しているのです。それが現実だと思いますか、それとも少なくとも今後24か月間はベンダーの増加が見られると思いますか？

0:22:19.5 チェイス・カニンガム：さまざまな理由から、そのスペースの多くが統合されると思います。不況がその一部を占めるでしょう。私たちは経済的な逆風に襲われているし、その他の要因がそれを大きく左右するだろう。また、面白い、新しい、かっこいい、セクシーなもので市場を飽和させていると思います。その分野でも減速が見られました。そして、現在の API は非常に優れているため、機能のポートフォリオを取り込んで、探している運用プラットフォームに組み込むことは有効です。そして、それは実際に私が本当に価値のあることだと思うのは、私が言えるなら、これが本当に得意な人たちと、これが本当に得意な人たちを使いたいということです。私は彼らからすべてを購入したくはありませんが、彼らに協力してもらい、協力してもらい、私に最大限の成果を出してもらいたいのです。そこで、プラットフォーム側が実際に問題になるのです。これは一種の自社開発の側面ですが、その理由は、その統合の一部である API のおかげです。

0:23:18.0 Raghu Nandakumara: ええ、私も同感です。私たちは以前、本当にまとめることについて話し合ったことがあると思いますが、あなたは一貫してこれを大いに推進してきました。それは、最高のテクノロジーをまとめることですが、それらをほぼ1つのコントロールプレーンに統合できることです。そして、おっしゃるように、その多くは非常に自社で開発したものです。本気でそれを欲しがって、それを構築しなきゃいけないんだ。

0:23:44.7 チェイス・カニンガム：ええ、そのように見せることができると思います。また、ユースケースに関するもう1つの議論は、ビジネスや業種が異なれば、常に1つのユースケースが存在し、それが何であれ、ベスト・オブ・ブリードの必要性が常にあるということです。それは問題ありません。それがあなたの最も重要なことであり、それはどうしてもラジオをアクティブにすることです。そのようなもののランボルギーニを手に入れましょう。しかし、労働力の面では、私の意見では、この別のアプローチが最も理にかなっていると思います。おもしろいことに、ランボルギーニについて話していると、ランボルギーニがトラクターメーカーとしてスタートしたことを誰もが忘れています。

0:24:25.1 ラグー・ナンダクマラ：ええ、その通りです。さて、私が持っている唯一のランボルギーニは、息子がレゴで作ったものです。信じてください。完成するまでに6か月かかりました。マクロ経済の状況をほのめかしたり、ROIについて話したりしましたので、それについて少し話しましょう。大まかに言うと、ゼロトラスト戦略を採用することでどのようにROIが実現されるのでしょうか。あるいは、ゼロトラストを採用した際のROIをどのように示せばよいのでしょうか？

0:24:56.4 Chase Cunningham: 私がこれまで組織と関わってきた中で一番良い方法の一つは、組織が物事の戦略的側面に向かうにつれて、本当に何をなくすかということだと思います。私は、時間の経過とともに新しいチームによって実装されてきた同様の問題を解決するために、似たような解決策を3つではないにしても、少なくとも2つある組織と仕事をしてきました。最も興味深かったのは、3 つの IAM ソリューションですべて同じことを行っている人で、「さて、どれが最適か」という感じだったと思います。「では、さあ、それを取り入れましょう。」その前の数年は、新しいニーズ、新しい問題、新しいリスク、新しい脅威に対するひねくれた対応がたくさんありました。さて、その多くが飽和状態になってしまいました。次は、「実際にニーズを満たすものは何か？私の戦略を可能にするものは何か？必要のないものは省きましょう。」そうすればその予算は他のことに充てられます。そして、ビジネスで「予算を空けました」と会話をするたびに、突然、人々は笑顔になり始めます。これ以上は求めたくないけど、「いくらか犠牲にしても構わないと思っている」と言ってもいいでしょう。

0:26:00.2 Raghu Nandakumara: しかし、多くのゼロトラストイニシアチブを率いてきたあなたの経験では、そのROIがしばしば実現されるのはいつですか?だって、私が思うに、それは...前もって実現しているというヒントはあるかもしれないけど、実際に実際に見ることはサイクルへの道なので、それが実現することが多いのはいつ頃ですか？

0:26:24.2 チェイス・カニンガム：このプロセスにはしばらく時間がかかります。良い点は、スコープを広げることができて、ある程度予測可能な予算があることです。「移行するにつれて、0年から3年目まで、移行するにつれて、何がなくなるか、そしてここでその予算が解放されます」と言えるでしょう。コストはわかっているので、「今年は無料でやるよ...」と言い始めることができます。予算の逆で、このようなものを手に入れるためにやったことと同じで、今はオフロードしているだけで、何を空けるかを予測的に言うことができます。

0:26:54.7 Raghu Nandakumara: ゼロトラストプログラムの全体のスコーピングは、その中で非常に重要な部分だと思います。そうすれば、最初にオーバースコープして実行するためのリソースが不足することがなくなります。

0:27:08.4 チェイス・カニンガム：生きてる前からスコープだからこそ、計画に取り掛かる前に、経営陣との対話を計画に組み込むことがとても重要だと思うんだ。だって、あなたはそうではないから...戦術的な実行と戦略的価値を混同しないでください。多くの人がそうしています。「私たちはこれをやりました。よし、かっこいい。次は何？」それが戦術的処刑だ。戦略的価値は、「私はこれに向かって進んでいるが、その行進を続けるためにはどのような戦術をとればいいのか」ということです。

0:27:36.4 ラグー・ナンダクマラ：ええ、それこそが...皆さんの表現方法が気に入っています。なぜなら、ゼロトラスト戦略を実行しようとするとき、人々が見逃している部分だと思うからです。彼らにはその戦略的目標があっても、実際にはそれを達成するために取るべき戦術的なステップが欠けているため、投資の見返りが見えず、全体像を検討しているだけなので、最初の一歩を踏み出すことすらありません。それでは、少し進んで、ゼロトラストについて、そして規制当局、政府機関などがゼロトラスト戦略の採用をどのように推進し始めているのかを考えてみましょう。もちろん、バイデン政権のようなEOは、今や明らかに世界的に有名になっていると思います。

0：28：32.2 チェイス・カニンガム：分水嶺の瞬間でした。

0:28:34.5 Raghu Nandakumara: 100% ですが、発行されてから約18ヶ月が経ちました。それに対する実際の進捗状況はどうなっているのでしょうか？

0：28：44.3 チェース・カニンガム：2022年10月、連邦政府はついに国防総省ゼロトラストプログラムオフィスを設立しました。それは...国防総省がプログラムオフィスを設立するといつでも意味があります。その上、彼らはその事務所に約10億ドルと11億ドルを割り当て、「さっさとZTを有効にして」と言いました。政府で言えば、それはかなり早いです。多額の資金が割り当てられたPOにたどり着くのに18か月は早く、彼らは物事を整え始めています。トラブルに巻き込まれることなく、私はそうした組織のいくつかと会話をしてきて、動きは続いていますが、彼らは11月23日に公開された国防総省のゼロトラスト文書で概説した戦略に固執しています。ですから彼らは私が正しいと思うことをやっていて、自分たちの考えに固執して前に進んでいるのです。それは大変なことになるでしょう。皆がその戦略文書を読んでみたら、彼らは「ああ、国防総省は2027年までにZTになると言っている」と言っていました。彼らが言ったことは全然違います。彼らは2027年までにゼロトラスト状態になると言っていました。全部読んでみると、実際には 2032 年まで完全なコンプライアンス状態にはならないと書かれていますが、それはまだ早い段階です。つまり、私の意見では、これは非常に現実的なタイムラインです。

0:30:10.5 Raghu Nandakumara: そして、その背後に十分な勢いがあるプログラムだと思いますか、コースに負けると思いますか、それともまだ言うには時期尚早ですか？

0:30:22.2 Chase Cunningham: 水晶玉を見るのはまだ早いと思うけど、彼らがインセンティブ構造を変えて、たくさんのスティックからもっとたくさんのキャロットに変えたことで、それがさらに前進すると思う。なぜなら、そこから大きな価値を引き出せるかどうか、そしてすでに話題になっているのは、海に血を流したサメのように大声で旋回している環状道路の盗賊がいて、それを実現するのを手伝ってくれるということです。政府では、環状道路の盗賊がやって来て実際にそれを実現させたときに、そういうふうに物事が進められるのです。国防総省に任せれば、何も行われないうちに太陽が燃え尽きてしまいます。

0:31:02.0 ラグー・ナンダクマラ：ベルトウェイ・バンディッツ、初めて聞いたけど、すぐにわかった。

0:31:06.9 チェイス・カニンガム：私は環状道路の近くに住んでいるので、一日中見かけます。

0:31:11.8 Raghu Nandakumara: そして、他の規制当局やTSAのような政府機関による全体的な反応、例えば、これらのLNG事業者へのセキュリティ指令の発行は、EOの直後の直接の現れですが、重要なインフラへの脅威でもあると思います。繰り返しになりますが、脅威はおそらく良いものではありませんが、脅威が行動していることは、ゼロトラストの採用を後押しする良い要因です。

0:33:44.5 チェイス・カニンガム：ええ、みんなに言っておくけど、脅威についてはあまり気にしないよ。次のセクシーでクールなロシアのエクスプロイトや、誰かがNSAから盗んでオープンインターネットに公開しようとしているものについてずっと心配しているなら、それは効用の行使です。本当にやるべきことは、ZTで話されていることや、成功するための基本は何かを見てみることです。なぜなら、それらは物理だからです。ここにはセクシーでかっこいいものがあるから、私は一番下のレベルで問題に対処して、それがうまくいかないところを作るつもりです。そして、勝利は勝利であり、勝利でもあります。そしてそれに取り組んでください。

0:32:21.6 ラグー・ナンダクマラ:ええ、究極的には同じものが悪用され続け、攻撃者が恩恵を受けるからです。それはほとんど変わっていません。

0:32:31.6 Chase Cunningham: すべての戦争において、サイバーは戦争の領域であり、歴史上のすべての戦争において、敵が勝つために何をしようとしているのかをこれほど明確にする必要があった人は誰もいませんでした。そして、彼らは今でも「まあ、どうやってこれを守るのかしら」と言っています。ほら、クレヨンの色だよ。ここに書いてあるよ。

0:32:47.5 ラグー・ナンダクマラ：ええ、まさに、その通りです。ですから、「ねえ、チェース、2023年の予測を教えて」というリクエストが殺到しているのは確かです。ここで、2023年の話になりますが、ゼロトラストにはどのような意味があるのでしょうか？

0:33:07.9 チェース・カニンガム：一番大きいのは、米国市場以外でもZTの採用が増えるということだと思います。それは私が立って、おそらく現実的だと言える唯一の予測です。それは文字通り、ラテンアメリカ、オーストラリア、日本、インド、英国、北欧地域の組織と会話をしているからです。ですから、これからもそういったものがどんどん増えていくと思います。それ以外は、その大半は同じもの、別の日、周りの悪ふざけが少し違うものになると思います。

0:33:47.1 ラグー・ナンダクマラ：ゼロトラストの採用が加速しているのがわかりますか？具体的には公共部門が主導していると思いますか、それとも公共部門が主導していると思いますか？では、他の国の政府からの布告なのか、それとも民間部門主導の布告なのか、もっと多くの種類のIOタイプなのでしょうか？

0:34:08.2 チェース・カニンガム:国際的には主に民間セクター主導になると思います。/wink wink には、おそらく米国の公共指令のようなものが導入されつつあるという洞察が少しあると思います。しかし、サイバーは、米国と国防総省が他の誰よりも先を行ったり、バットタイプのことを先取りしたりする、一種のトリクルダウン空間のようなもので、どこでもうまくいきます。ですから私が知っているオーストラリアは、エッセンシャル・エイトをゼロトラストにマッピングする作業をしていると思います。だからそういうことはあると思いますが、今年は起こるかもしれませんし、そうでないかもしれません。

0:33:47.3 Raghu Nandakumara: よし、じゃあラップする前に、ジョンと会って飲みに行って、ゼロトラストのアナロジーを入れ替えるんだ。ゼロトラストのアナロジーが優れているのは誰ですか？

0:35:01.5 チェイス・カニンガム：率直に言って、どれだけの飲み物を飲んだかにもよりますが、どちらにしてもかまいません。ええ、ジョンは明らかにゴッドファーザーだけど、たまに良いものをいくつか捨てたんだ。

0:35:16.3 ラグー・ナンダクマラ：さあ、聞いてみよう。あなたがまとめた最新のものを聞いてみましょう。

0:35:21.4 チェース・カニンガム:ゼロトラストとは何か？ええ、私にとってゼロトラストは娘とデートするようなものだと思います。おまえが誰だかわかる、何が起きているか見てみる、彼女へのアクセスを提供する、何が起きているかを監視する。そして、私が許容できる範囲外のことをしたら、あなたはいなくなる、それだけだ。

0:35:42.8 Raghu Nandakumara: チェイス、それではどうもありがとうございました。チェイス、カニンガム博士、ゼロ・トラスト博士の皆さん、これを聴いている皆さん、彼の名を冠したポッドキャスト「ドクター・ゼロ・トラスト」は、通常のプラットフォームすべてで視聴できます。行ってチェックしてください。これは、ゼロトラストだけでなく、サイバーに関するあらゆることに関する最も現実的で実用的なコンテンツを定期的に紹介していますが、そこにはゼロトラストの良さが満載されています。ありがとうございます。

0：36：12.2 チェイス・カニンガム：素晴らしい、どうもありがとう。

0:36:15.7 Raghu Nandakumara: 今週のThe Segmentのエピソードをご覧いただきありがとうございます。詳細とゼロトラストのリソースについては、当社のウェブサイトillumio.comをご覧ください。また、LinkedInやIlumioのTwitterで私たちとつながることもできます。今日の会話が気に入ったら、ポッドキャストを入手できる場所ならどこでも他のエピソードを見つけることができます。私はあなたのホスト、ラグー・ナンダクマラです。すぐに戻ってきます。