現状への疑問
このエピソードでは、ホストのRaghu Nandakumaraが、Traceable AIの最高セキュリティ責任者であるRichard Bird氏に話を聞き、非伝統的なテクノロジストになる方法、サイバーセキュリティにおける認知的不協和への対処、ゼロトラストとAPIセキュリティの交差点について説明します。
トランスクリプト
00:05 リチャードバード—オープニングクォート
「配布する内容が多ければ多いほど、分散化も進み、断片化も増えます。ノーコード、ローコードなどの道を進めば進むほど、サーバーレス化が進みます。私たちは、悪者にとっては標的の多い環境であり、セキュリティの観点から見ると管理が非常に難しい環境である分散環境を構築しているだけです。」
00:28 ラグーナンダクマラ
ゼロトラストのリーダーシップポッドキャスト、The Segmentへようこそ。私はあなたのホストで、ゼロトラスト・セグメンテーション企業であるイルミオのインダストリー・ソリューション責任者、ラグー・ナンダクマラです。今日は、API セキュリティのリーダーである Tracableの最高セキュリティ責任者であるリチャード・バードが加わりました。数十年にわたり、企業とスタートアップの世界でサイバーセキュリティとITの経験を積んできました。リチャードは、サイバー・セオリー・ゼロ・トラスト・インスティテュートのシニア・フェローであり、サイバー・エドボードのエグゼクティブ・メンバーでもあります。彼はタトゥー、蝶ネクタイのほか、API セキュリティ、ゼロトラスト、デジタルアイデンティティに関する専門家の見識で世界中に知られています。本日、リチャードは私たちと一緒に、サイバーセキュリティにおける認知的不協和や、ゼロトラストと API セキュリティの交差点に対処する非伝統的な技術者になる方法について話し合います。そこで、このポッドキャストにゼロトラストのゴッドファーザーが出演できたことを嬉しく思います。ゼロ・トラスト博士自身も出演しています。他にも、サイバーセキュリティやテクノロジーの著名人がたくさん集まっています。しかし、ポッドキャストにロックスターが出演したのは今回が初めてです。それで、今日のゲストであるトレーサブルAIの最高セキュリティ責任者であるリチャード・バードをお迎えできることを大変嬉しく思います。リチャード、ご参加いただきありがとうございます。
02:01 リチャードバード
会話にとても興奮しています。呼んでくれてありがとう。
02:04 ラグーナンダクマラ
私ほど興奮しているはずがない、リチャード。あなたのLinkedInのプロフィールを見ていたところ、私たちのキャリアアークは少なくとも非常に似ていることに気づきました。私たちは二人とも金融サービス業界で15〜20年過ごした後、「ベンダーの国」に移りました。その時点で、比較はすべて止まります。話を始める前に、その類似点があると言えることを嬉しく思います。あなた自身についての背景と、あなたが今日やっていることにあなたをここに導いた理由について少し説明します。
02:31 リチャードバード
さて、私をここに連れてきたのは、あなたが言った怪しげなキャラクターの何人かとの関係だったと思います。みんな私の友達です。そして、チェイス・カニンガムとジョン・キンダーヴォーグについて話すとき、このディスカッションで共有する話は、お互いの特定のキャリア軌跡や、専門知識や経歴のコントロール領域の一部になろうと、私たちがどのように継続的にボランティア活動を続けてきたかを中心に回っているようなものです。その結果、さまざまなチャンネルに一緒に参加したり、どちらかのチャンネルから自発的に参加するように言われたりする絶好の機会が得られました。だから、私はただ良い仲間を保っているだけです。それが私がここにいる理由だと思います。でもね、そうなりましたね。何年か同じことを何度も繰り返し言ってきた私の経歴は、少し使い古されてしまいました。しかし、ええ、私は20年、ほぼ25年間、企業の役職に就いていました。そして、その25年の間に、銀行や金融サービス、支払い処理、インターネットバブルの初期、個人間決済などを担当していたのは16~17人で、JPモルガン・チェース内のサービスとして集中型情報セキュリティが最初に始まったときに、友人や同僚から情報セキュリティの分野に選出されました。チェースでの私の総在籍年数は11年で、これは私の人生の137年で、二度と戻ってこないだろうとみんなに伝えています。君は間違いなくドッグバンカー時代には年をとるしかし、私は早い段階で、今日の組織や企業にとって現在注目されている多くの事柄を見てきました。それらはChaseのような組織が10年以上前に直面していた問題でした。しかし、チェースのような組織には、当時取り組むべき財源と専門知識があったこともわかりました。だから、私はいつも、自分が専門家ではないことを人に伝えたいのです。セキュリティで他の大勢の人に先駆けて、たくさん殴られたり打撲されたりして、あざや傷跡がたまっていったんだ。そして、私は通常、優れたベストプラクティスの投稿よりも、してはいけないことについてより的確な投稿をしています。なぜなら、私はキャリアの中で多くの間違いを犯してきましたが、それでもなんとか生き残り、今日も皆さんと話す機会を得たからです。
04:51 ラグーナンダクマラ
あなたがそう言うのを聞いて、私はずっと笑っていました。なぜなら、それは私自身の経験と完全に共鳴するからです。こうした課題の多くは、他の組織や他の業界が同じ課題に直面する2、3年前に発生することがよくあります。そして、本質的に、反対側に加わって、「うん、これが問題の解決方法だ」や「これが私が学んだことであり、これをより良くする方法をご紹介します」と言えるようになった傷跡が残っているのです。だから絶対そのことと結びついているんだ。話を進める前に、トレーサブルで行っている仕事についてお話しできることをとても楽しみにしています。でも、ジョー・ストラマーについて、そして音楽があなたのキャリアに与えた影響についての、あなたのLinkedInの投稿を読むのは楽しかったです。先に進む前に、あなたの音楽への興味、音楽への情熱が、今日の重要なアイデアや10の重要な課題についての考え方や伝え方にどのように影響したかを詳しく説明する前に、それを聴衆と共有してもらいたいです。
05:57 リチャードバード
あれを持ってきてくれて本当に嬉しいよ。今取り組んでいることについて恥知らずな話をする機会を与えてくれるから。でも、それを共有する機会も与えてくれます。私のキャリアの中で、私がとても誇りに思っていることはほとんどありません。私が本当に誇りに思っていることと、非伝統的な技術者であることについてエゴを惜しまないことが1つあります。私はMISやCISのバックグラウンドから来たわけではなく、テクノロジートレードでは何か問題があると言っているわけでもありません。しかし、私は全く別の道を歩んできました。私は国際関係論を中心とした政治学を専攻し、副専攻は日本語でした。そして、私は建設プロジェクトのマネージャーでした。私が軍隊を出てから、たまたまプロジェクト管理がテクノロジーにおいて非常に重要なスキルだった時期で、誰かが私の中に見えなかった何かを見てくれました。そして、彼らは私を雇いました。そして、その人は30年近く経った今でもメンターです。私がそのような経歴を共有しているのは、私が情熱的な講演者になること、情熱的なプレゼンターになること、あるいは技術的であろうとなかろうと、社会で起こっている問題について情熱的な研究者になることへの試金石だからです。それがミューズというこの概念であり、芸術的なミューズの概念なのです。あなたにインスピレーションを与えるものは、あなたが情熱を傾けているものとは異なります。あなたにインスピレーションを与えるもの、そして私にとってのインスピレーションは、芸術と非常に強く結びついています。音楽はたまたまその一つです。そして、私が書いた作品は、多くの人の心と魂に少し触れるようです。ご存知の通り、私はパンク・ロック・ミュージックを始めたばかりの頃に育ちました。子供の頃の私の中に、かなり強い逆張りやシニカル、あるいは反体制的な考え方が根付いていたと言っても恥ずかしくありません。人前で何かを言うことも、考えを分かち合うことも許されない企業の世界では、20年以上もそれを埋めてしまいました。ポッドキャストに出演するには、人前で話すことは言うまでもなく、17種類の承認を受ける必要があります。そして、私はそれを25年間制限し続けました。誰かが私に「どうしてそんなにワイルドなアナロジーやメタファーを思いついたの?」と聞かれたときにその作品が思い浮かびました。あるいは、「物事に対して取っているストーリーテリングのアプローチ全体」とか。私は、「まあ、それは二つある。まず、私は漁船の船長の息子として育ったので、ストーリーテリングの博士号を取得した」と言いました。2つ目は、音楽を聴きながら育ち、素晴らしい作詞家やミュージシャンが社会の問題や問題に言葉で取り組むのを聞いて、私の過去や経験のこれらすべての要素が、私にとって自然なインスピレーションとなり、モチベーションの試金石になったということです。」私が人前で話すとき、私の目標の1つは、人々と本当に感情的につながることです。それは複雑です。というのも、一つの感情でつながっているわけではないからです。音楽と同じように、ひとつの感情でつながっているわけではありません。誰かが歌を聞いて喜ぶかもしれないが、歓喜と踊りはその体験における2つの異なる要素であって、1つの要素ではない。恥知らずなプラグって言ったんだけど、この5、6年間、こういう性格で、話し方とかそういう役柄をやってきて、自分が経験したことや思っていることは教えられるんだと気づいたんだ。悪口を言うつもりだけど、今という本の最終編集中なんだ。12人で有名。サブタイトルは、誰も気にしないような分野で国際的に認められた専門家になるためのキャリアガイドです。そして、この本のコンセプトは、過去5、6年の私の旅の中で、途方もない数の超有名人に出会ったということです。そして、そうした超有名人のほとんどが、私のような存在です。彼らは私たちのキャリアや仕事の経験から遠く離れたものに触発されています。そして、このような超有名人たちは、セキュリティだけに関わっているわけではありません。飛行機に乗っている男の隣に座って話し始めたら、彼は「ええ、まあ、スタントコーディネーターです」と言いました。飛行機を降りてわかったんだけど、彼がそのスタントコーディネーター。彼はハリウッドの他のスタントマンやスタントウーマンに教えている男だ。彼には何千人もの人々が彼をフォローしています。それに、彼のことは今まで聞いたことがなかったし、おそらく二度と彼のことは聞かないだろうと思っていました。でも、誰かが人々の生活にそのような影響を与えることができるなんて、なんて興味深いダイナミクスなんだろう。そして、ジョー・ストラマーの作品を書くためのすべてのエネルギーは、まさにそこから生まれたのです。ロックスターやミュージシャンでなくて、私たちに何ができるっていうの?同じような興奮、モチベーション、情熱を呼び起こし、自分の専門分野で他の人のミューズになるにはどうすればいいでしょうか?そして、それがまさにそのようにして生まれたのです。
11:12 ラグーナンダクマラ
私はそれが大好きです。それを共有してくれて本当にありがとう。そして、私からのささやかなお願いがあります。その本が出版されたら、電子書籍としてだけでなく、実際の物理的な本のフォーマットであることを願っています。あなたからのサイン入りコピーが欲しいです。
11:27 リチャードバード
それが計画です。もう十分年をとったから今でも紙が大好きだ。
11:12 ラグーナンダクマラ
妻は私に、私が本を買うのは本棚を埋めるためだけだと冗談を言っています。そして、「うん、絶対に、恥知らずにね。電話中の背景用だよ」って言うんだ。しかし、皆さんが語ったストーリーテリングの要点、そしてストーリーを伝えるためのインスピレーションを私が個人的に感じているのは、私が今日担っている役割、そして皆さんもきっとあなたの役割にも見出していると思いますが、私たちの会社が構築する製品の技術的価値を、購入者の本質、そして実際に彼らが達成しようとしている結果と結びつけることが非常に重要だということです。それはテクノロジーの問題ではなく、どのように行動し、何かをするかということでもありません。私がどのようにあなたを助けるかが問題だ。なぜそれがあなたにとって重要なの?ストーリーテリングはとても重要だと思うけど、あなたはそう思っているの?
12:15 リチャードバード
まあ、執筆の過程でそう思うだけでなく、それは私にとって自然なことではありません。長文を書くことは私にとって自然なことではない。執筆の過程で、なぜ私たちがお互いにコミュニケーションをとるのに苦労しているのか、具体的にはセキュリティの問題なのか、ある程度理解する必要がありました。私たちはコミュニケーションに苦労しています。これがビジネス上の問題であり、私があなたの解決を手伝う必要があるのです。テクニカル・ソリューション・プロバイダーである私たちは、私が抱えているビジネス要件として、テクノロジストとしてこの問題に苦労しています。そして、技術者はそれを理解していません。そして、私が気付いたのは、マーケットプレイスの人々について話しているときに、私たちはバイヤーの問題解決への道筋を本当に普遍的に示そうとしているのに、抽象的な層で機能しているということでした。これは抽象概念です。彼らは問題があることを認識しています。ニュースに何らかの侵害やハッキングが起きていることを認識しているのです。しかし、それを組織内のさまざまな手段や要素、敵のすべてと同一視して、悪いことが起こらないようにするには、引っ張ったり、押したり、ねじったり、調整したりする必要があります。これは非常に難しいことです。そして、エンジニア、ソリューションエンジニア、セキュリティアーキテクトに話を戻すとき。私たちは皆、仕様の世界に住んでいます。私たちは皆、そのレバーやスイッチのことを話していて... そして、認知的不協和という大きなギャップがあります。それは起こるのです。そして、ストーリーテリングは主要な要素の1つであり、そのギャップを埋める主要なツールの1つだと思います。異なるエンティティ間の当事者間で、何らかの普遍的な翻訳レイヤーが存在する可能性が生まれます。なぜなら、結局のところ、私たちは皆同じ仕事をしていて、これらの問題を解決しようとしているからです。そして、自問自答してみると、なぜそんなにゆっくり進んでそこにたどり着いているのでしょう?その大部分はこれだけだと思います。コミュニケーションと理解のかなりの断絶です。つまり、私は抽象化レイヤーで働いていて、仕様レイヤーで働いているのです。そして、それをすべてつなぎ合わせるようなものは何もありません。そして、ストーリーテリングはその重要な要素だと思います。
14:38 11:12 ラグー・ナンダクマラ
皆さんは認知的不協和という言葉を使っていますが実際には信じないでしょうが私はこれについて研究していて、あなたが出した他の記事を聞いていました。あなたの言葉を引用すると、あなたはこう言いました。「認知的不協和、自分が問題を抱えていることを知っていることと、それについて何かをしていることとの間には大きなギャップがあります。」それでは、そのレベルにたどり着くまで掘り下げてみましょう。これはあなたの経験でも見られましたし、私の経験でも評価を行うということが分かりました。レッドチームの練習を例にとってみましょう。自分の脆弱な領域を特定して、「ああ、そうだね、そこが弱いのはわかっている。何とかしなくてはいけないことはわかっています。」6か月後、12か月後、この演習を繰り返しても、同じ脆弱性が存在します。何とかしなくちゃ。繰り返して、繰り返して、繰り返して。なぜそのギャップが?なぜ飛躍的に取り組むことができず、修正が必要な問題を解決できないのでしょうか。
15:35 リチャードバード
ええ、そこにはいくつかのコンポーネントがあります。1つ目は、ギャップは知識と脅威、あるいは知識とリスク、あるいは知識と経験の間のギャップを表しているということです。私は軍隊に所属していると言っていました。ある学校に通っていたとき、訓練軍曹がいました。若い部隊が入ってきて、彼らの前に立って、ある演習で私たちが経験した状況について不平を言っていました。そして訓練軍曹が彼を見て、「あなたの声は聞こえるけど、あなたの気持ちがよくわからない」と言いました。それは素晴らしいことだと思いました。もう何年も使っています。彼は言った。「あなたの問題を登録するよ。しかし、それについて私にできることも、するつもりもありません。そして、企業の世界にはそのようなことがたくさんあると思います。なぜなら、岩を投げやすいからです。それが私のメリットの 1 つは、壁の向こう側にいたので、岩を投げるときの硬さが少し減ったことだと思います。あなたには競合する優先事項がたくさんあるということは、私はその方面に立ってきました。バーニングプラットフォームは非常に多く、問題もたくさんあります。2、3年間取り組んできた分野で、リスクを具体的に減らすために、プログラム全体が脱線してしまいました。何人かの幹部が電話をかけてきて、「ねえ、あるカンファレンスに行ったんだけど、聞いたよ。あなたたちは今すぐ取り組む必要がある」と言ったからです。企業の世界には、ものすごい量の注意散漫があるだけです。つまり、ある事柄について知っているだけでは十分ではないのです。そして、ある物事について知っていても行動の変化は起こらないことを何度も証明し続けていると思います。物事に関連するリスクの軽減に関係しているので、リスク取引に回さないといけません。リスク取引は長年にわたり、リスクのコストと結果に的を絞った計算式を作成するのに苦労してきました。リスクの分類については、いつもナシム・クアリーの本を取り上げます。ザ・ブラックスワン、 リスクについて話すときはいつでも、それは「なぜ」についての確証となる本だからです。あなたの質問に答えると、私たちは進歩することができません。なぜなら、私たちはこのようなロングテール・リスクは起こらないという信念のもと、経営幹部や実務家として活動を続けているからです。そしてご存知のように、Qualysは自身の著書の中で、ロングテール・イベントが予想以上に頻繁に発生していることを歴史が証明していると語っています。さて、この認知的不協和の話に戻りましょう。リスクがあまりにも遠くにあると思うなら、心配する必要はありません。あなたの経歴と同じように、あなたも何度も何度も聞いたことがあると思います。「ええ、それは本当に大きな問題だと思います。でも、私は銀行には携わっていないので、そのことについてはあまり心配していません。」ランサムウェアの被害者全員にどのような影響が出たか知っていますか?そうだねご存知のように、複雑さと成熟度の規模を表す攻撃タイプにはグラデーションがあることが予想されます。これは昨日の会話の中で浮かび上がりました。誰かが私に尋ねたところ、誰かがチェースやバンク・オブ・アメリカ、または都市をこのように攻撃しているのなら、本当に大企業であり、非常に複雑な組織であれば、中小企業は同じ攻撃について心配する必要はないからです。それで思ったんだ、小僧、お前はやり遂げたつまり、すごくシニカルなことになるだろうね、キミがただそれを釘付けにした、みたいな感じだったんだ。ご存知のとおり、人々は自分たちが特定のドメインや業種にどのようなリスクがあると考えているかに基づいて、セキュリティプログラムの規模を決定しています。それまでの間、悪役はそのようには考えていません。悪者が行くなら、私が入り込めるところならどこへでも、高度な攻撃を仕掛けるとしたら、かっこいい。私はあまり洗練されていない攻撃を使うつもりです。かっこいい。データを入手できたら本当に重要なのはそれだけだそして、この市場が抱えている複雑性の混乱のすべては、まさにそれだけだと思います。そのため、セキュリティパフォーマンスの面では、認知的不協和の輪が年々回り変わってきています。
19:50 ラグーナンダクマラ
それをどう変えればいいのか?
19:53 リチャードバード
大人の開業医の答えもあれば、シニカルな答えもあります。
19:58 ラグーナンダクマラ
私は両方欲しい。
20:02 リチャードバード
さて、シニカルな答えから始めましょう。先日、あるメンターと会話をしていたときのことを反映しています。メンターは私にこう言いました。「もしかしたら、悪者にアドバイスを始めるべきかもしれない。なぜなら、彼らは聞いてくれるのに、同僚や友人、そして開業医の仲間は聞かないからです。」それは厳しい発言だと思いますが、完全に不公平だとは思いません。それに対する皮肉な答えは、長い間、私たち実務者全員が、「まあ、最大の、次に大きな侵害が起こって、人々が最終的に変わるのを待つだけでいい」と言っているということだと思います。それはうまくいきませんでした。そして、連鎖反応が起きたらどうなるかという疑問が浮かび始めます。壊滅的な出来事?ある国で国のインフラ系統がダウンしたらどうなるでしょうか?病院ネットワーク全体が大規模に停止した場合はどうなるでしょうか?手術室や緊急治療室が閉鎖されるケースがいくつか見られました。私は常々、デジタル世界で悪役の行動に関連して何らかの大量死傷者が出たときこそ、ゲームが本当に変わると固く信じてきました。そして、数年前に私がそう言ったとき、人々は私が言える最も暗い存在だと思っていました。そして今では、人々が「うん、わかった」と言っています。そんなことが起こりうる。ですから、私たちが話している認知的不協和には、この問題がある程度反映されていると思います。つまり、最終的に人々を目覚めさせるほど大きくて悪いものをまだ見たことがないということです。さて、これに対する専門家の答えは、私たちが本当に進歩し始めるのは、大きな変化が見え始めたときだということです。私がこれまでセキュリティで見た中で最も奇妙な行動のひとつは、私がこれを言うと多くのセキュリティ担当者が怒るということです。しかし、私は、セキュリティは企業の世界で歴史、データ、証拠から学ぶことを拒む唯一の規律であると固く信じています。私たちの目の前には、はっきりと証拠があります。そこで、非常に具体的な例を挙げましょう。私たちの目の前には、25 年から 30 年の歴史を持つ明確な証拠があります。悪意のある攻撃者がシステムに侵入すると、まず最初に行うことは Active Directory にアクセスすることです。そして Active Directory に行くと、時代遅れで、時代遅れで、無効になっていても、削除されていない機能や ID を探しています。このような権限やアクセス権限のすべてに身を包み、悪いことをしてしまいます。また、すべてAD上にあったため、内部のセキュリティシステムは追いつきません。なぜなら、本来あるべき存在のように見えるからです。さて、このパターンは、セキュリティ関係者が現実のものだと知っている人なら誰でも、それが証拠として裏付けられていることを知っているものです。そして、彼らはそれが悪役にとって主要な経路であることを知っています。それでも、今日、10社のうち8社、9社に足を踏み入れて、「最後に広告をクリーンアップしたのはいつですか?」と尋ねることはできます。Azure であろうとオンプレミスであろうと、コオロギの声が聞こえます。誰かがこう言うのを聞くでしょう。「まあ、それは去年と前年に資金提供されたものの、収益を下回り、私たちはそれを成し遂げることができませんでした。」そして、私が思うに、これはどの企業でも最も攻撃対象になりやすい攻撃対象領域の 1 つであることは誰もが知っています。それでも、私たちは皆座って「ええ、資金が払い戻されました。今年はそれに取り組むつもりはありません」と言っています。私たちが断り続けると言っても、私が言いたいのはそういうことです。そして、多くの疑問が戻ってきます。「まあ、基本を正しく理解すればいいだけ」というものでした。個人的には、それが役に立つ発言だとは思いません。基本のセキュリティに戻りましょう。ファンダメンタル・セキュリティは正しく行っていますか?ここで証人を導くようなものではありませんが、ゼロトラストに長年抵抗してきた結果、最終的に私がゼロトラストにたどり着いたのはそのためです。というのも、ゼロトラストには、実際にはコンピューティングの始まりにまでさかのぼり、基礎となる側面をここで少し掘り下げると思います。そして、多くの人がゼロトラストは未来に進みましょう、と考えていると思います。現実には、ゼロトラストには、多かれ少なかれ、うまくいったとわかっている過去の原則に戻りましょう。今日の環境では非常に役立ちましたが、私たちは忘れてしまいました。そこから戻って自分たちのルーツを受け入れると、改善が見られ始めると思います。そして第二に、明確に公開されたデータや明確に開示されたデータに注目し始めると、私たちの弱点として何度も何度も教えられ続けます。
24:40 ラグーナンダクマラ
そのすべてを聞いているだけで、深く掘り下げることができたはずのことをたくさん聞いているので、昼夜を問わずずっとここにいるのではないかと思います。私の時間が許す限り、あなたの時間が許すかどうかはわかりません。それで、ほんの2、3つ。あなたが触れたことの一つは、サイバー攻撃によって引き起こされた本当に壊滅的な出来事が、今、おそらく覚醒の必要性を後押ししているのではないかということです。そして、私たちはその認識の頂点に達しつつあるような気がします。つまり、誰もがコロニアル・パイプラインをその一例として指摘しているのです。そして、その結果、サイバーセキュリティ体制をどのように改善するかという点で、政府レベルまたは業界固有の要件規制という観点から、個々の組織だけでなく、集団的にも変化が起こりました。そして、ゼロトラストは、セキュリティ体制を現実的にどのように改善できるかという点で、少し未来に戻ったようなものだとおっしゃっていました。そして、あなたが説明したように、ゼロトラストは必ずしもこのような未来を見据えたサイバーセキュリティ戦略に関するものではありません。しかし実際には、常にサイバーセキュリティの本質にあったものに話を戻しましょう。さっそく、時間の初めの頃の話です。どこで忘れたんだ?そして、なぜそれを忘れたのか。
26:01 リチャードバード
そうですね、なぜ忘れ去られたのかというメカニズムは興味深いものです。毎日見ているからです。一枚岩の分散型から分散型、高度に分散型へと移行するにつれて、デジタル空間の世界はますます安全性が低下しています。IT アーキテクチャが細分化され、分散化や分散化が進むほど、以前のような指揮統制ができなくなるため、セキュリティ侵害やエクスプロイトは悪化します。今となっては、クラウドの子供たちから手を引こうとは言わないが、これは正しい言い方だ。私が言いたいのは、これはメカニックが爆発を引き起こし、セキュリティ上の悪影響をもたらしたということです。そして、この状況は明らかに悪化の一途をたどっています。その理由は、現在の仮想化の究極の機能、つまりアプリケーションからアプリケーションへのレイヤー7、HTTP、HTTPSという究極のテクノロジーフェーズに到達しつつあるからです。数年前、私がヨーロッパで一緒に働いていたある非常に大きな銀行が、5年後の目標は、すべてのアプリケーションをパブリックインターネット上で実行することだと言ったことを覚えています。そして、「君たちは馬鹿だ」と思いました。「馬鹿げてる」って思ったんだ。でも、それがこの世界なんだ。さて、それは私が近視眼的だったケースでした。私は「それはありえない、私たちは決してそこにたどり着けないだろう」と思いました。そして、現実には、それが私たちのいる世界です。しかし今では、取引の管理と分配のために価値を高めるために使用している資産が、自分のものではないケースが増えています。そして、それがあなたのものではないほど、サプライチェーンの誰もが互いに会話したり、お互いのセキュリティ管理について互いに話し合ったりせずに物事を行うというサプライチェーンのリスクが高まっています。チェーンのどこかに、どこかの公開リポジトリで数行のコードを引っ張った男がいますが、そのコードはすでに侵害されています。そして、それを制御することはもうできません。あいつが原動力だったんだ配布する内容が増えるほど、分散化が進み、断片化が進み、ノーコード、ローコードなどの道を進み、サーバーレス化が進むほど、攻撃者にとってターゲットが豊富な環境であり、セキュリティの観点から見ると管理が非常に難しい環境である分散環境を構築することになります。ですから、それが原因であることは間違いありません。そして、さっきも言ったように、誰にも嫌なグラムを送ってほしくない。アンチクラウドのやつがまた現れた。分散コンピューティングは古くから存在してきました。AWS と Google が、ロードバランサー付きのいくつかの VM を自社のデータセンターにどうにか配置したからといって、白髪の VM が分散型と分散型とはどのようなものかを知らないとは思わないでください。しかし、そう、ゼロトラストに戻った基本部分は明らかに私にとってゲームチェンジャーになると思います。私は初期の頃はゼロトラストの抵抗者だったと言いました。なぜなら、私は慣習的に古いアイデンティティの持ち主なので、ゼロトラストは摩擦のように感じます。摩擦はあなたをクビにするものです。しかし、私は完全に間違っていました。というのも、摩擦の背後にはこの現実があり、コンピューティングの初期の頃までさかのぼります。高度に分散された環境におけるこれらの悪い要因の原因は、すべてに対する暗黙的かつ永続的な信頼の存在、意図的、設計、工夫された存在であり、意図的であり、設計されているからです。そして、適用された永続的な信頼という存在こそが、悪者たちが好むものです。そのADの例として、私はゴッド権限を持つ古いADアカウントを持っていますが、誰もディレクトリから引き出したことがありません。永続的な信頼が暗示されているのは、その例です。そして、私はそれを無視するか、故意に無視するかのどちらかで、修正しないことを選択しました。悪いことが起こるのをポータルに許しているんだ。それはすべて信頼に基づいています。そして、それは私にとって本当に変化のようなものでした。ご存知のとおり、改善の道筋は、コンピューティングプラットフォームとインフラストラクチャが大規模に分散している場合でも、デジタル資産に対する暗黙的かつ永続的な信頼をできるだけ早く、できるだけ速く排除することを目標に、大幅に削減することです。
31:11 ラグーナンダクマラ
これをビデオで見ておらず、これをオーディオで消費している人のために説明すると、私の頭が落ちそうになりそうです。なぜなら、最後の2分間、リチャードが発したすべての言葉に激しくうなずきながら過ごしたからです。これは、ゼロトラストが必要な理由と、私たちが取り組もうとしている問題の根本を分析するための、最も簡潔でありながら非常に直接的で説明的なアプローチの1つだと思います。だから、リチャード、感謝しているよ。
31:45 リチャードバード
まあ、私がそれを理解するのに長い時間がかかりました。そして、この音を立てているのは私だけではありません。ゼロトラストというあだ名の問題の1つは、私たちが話している信頼の本当の根源にたどり着いていないことです。私はいつも、このモデルに「大ざっぱな義理の兄弟、麻薬中毒者かもしれないが、いつもあなたのツールのセキュリティフレームワークを借りたいと思っている」と名付けるべきだと思っていました。なぜなら、私たちが何を話しているのかは誰もが知っているからです。それは家では渡さない家族で、ガレージのドアオープナーにはコードを与えないんだ。そして、私たちのシステムには、そのような大ざっぱな義理の兄弟がたくさんいます。話の話に戻りますが、最初はゼロトラストという言葉に反応し、感情的にも反応していました。そしてそれが原因で、私は自分の仮定についてひどく、ひどく間違っていました。そして、私はジョン [キンダーヴォーグ] がその話を共有してきました。私はいつもその話をしています。ジョンに初めて会ったとき、私たちは夕食を食べていたのを覚えています。そして私は、「おい、あなたが何を売っているのか信じなかった」と言った。彼が私に話しかけ始めて、私の全てが明らかになったのは、「データにはアイデンティティがあるべきだと思う」というものでした。そして、「おい、ブレーキをかけろよ、おい」って思ったんだ。あれはスター・トレックみたいで、僕らはまだフレッド・フリントストーンの中にいるんだ。ジョンがそれをある意味で明確に表現し始めた途端に、彼は素晴らしいストーリーテラーでもあります。彼がホワイトペーパーではない方法で明確に表現し始めた時、私の目を開かせたのは別のエンジニアリング仕様ではありませんでした。そして、さっきも言ったように、ゼロトラストという概念に関して言えば、私はバカだったことを完全に認めます。なぜなら、私はゼロトラストを基礎に戻したいからです。私はこれまでアイデンティティのためにメインフレーム・セキュリティをたくさんやってきました。また、銀行業務やメインフレーム業務における素晴らしいパイオニアたちと仕事をしてきました。Chaseで非常に大規模なプログラムを行っていたときに、このことが分かりました。ゼロトラストについては、メインフレーム運用担当者がすでに説明してくれていたということです。なぜなら、ゼロトラストは、当初から他の仮想デバイスをプラグインしてメインフレームの中核データにアクセスできるようになるまでのアクセス制御が、常にゼロトラストだったからです。そして、「うわー、これは私の言っていることにさかのぼります」と思いました。これらの原則は、大規模な中央集権型システムでは確かに機能しましたが、それらの原則はその環境でも機能しました。そして、クラウドとは違うという議論はできません。というのも、皆さんにお伝えしておきたいのは、毎晩のコンピューティングの約 90% は、巨大なアニメのレバーを引いてメインフレームが処理されるときに行われているということです。それでも、世界中の誰もがクラウドに移行しているときには、ワークロードの90%程度が占めています。インターネット、商用クラウドが30年間続いた後のクラウド、そしてメインフレームが地球を支配している可能性はまだあります。メインフレームが複雑になり、巨大なモノリシックな世界も同じくらい複雑になるため、クラウドの複雑さを合理化することはできません。しかし、私たちはこうした言い訳を都合の良いことからしていると思います。要するに、ウィジェットをもっと早く世に出したい、製品をより早く本番環境に投入したい、ということです。欲しい、欲しい、欲しい、欲しい、欲しい、そしてそれらの「欲しい」は滅多に付いてこない。また、安全であってほしいとも思う。ご存知のとおり、これらがこれらの保護を本当に複雑にしている要因でした。
35:27 ラグーナンダクマラ
ええ、絶対に。ゼロトラストの必要性、本質的には蓄積されてきた問題についてお話ししましたが、本質的には暗黙のアクセスが多すぎるという問題について話しましたね。ある意味、ある意味、それが私たちの役割をより簡単に、より生産的にしてくれると信じています。ゼロトラストという言葉を聞くとすぐに、つまり暗黙の信頼を可能な限り削除して、あらゆる種類の攻撃者が悪用できるような無料アクセスを大幅に減らすことです。そこが問題だと思います。そして、多くの組織が乗り越えるには非常に長い時間がかかるという難問だとおっしゃっていたと思います。なぜなら、彼らはすでにそう考えているからです。なんてこった。そのアクセスを削除するつもり?これを壊すつもり?じゃあどうすれば生産性が上がるの?そして、人々がこれについて考えるとき、そして実際、これから先は、この観点から考えると、起こるのを止めたい悪いことをすべてリストアップする方が簡単ではないかと思います。そうですね、それって有限なリストなんですか?それとも、非常に具体的なものを定義するほうが簡単でしょうか?どうしてもやることが必要ですか?それで何とかなるの?考えてみると、この2つのうちどちらが実際は簡単ですか?
36:49 リチャードバード
私たちは、ゼロトラストだけでなく、最も恵まれない人々についても論点を述べていると思います。つまり、少なくとも特権は長い間、リスクの高い環境では機能的な要素でした。皆さんが本当に限界を押し付けていると思うこと、つまり「最低機能についてはどうか」ということに戻らなければ、私たちは最も権限の低い声明に近いものになってしまうと思います。たとえば、なぜトランザクション・フロー・プロセスから行うのか、といった具合です。それに、俺たちが掘れるうさぎの穴の話をしてるんだが、悪役はなぜそんなに簡単にできるんだ?どういうわけか、ポイント認証、偽造認証情報、認証情報のハイジャックなど、何らかの方法で侵入された後です。いったい 1 回の認証呼び出しで、その承認呼び出しを使用したり再利用したりして、私たちの認証呼び出しが意図していなかった他の大量のデータを盗み取ることができるのはどうしてでしょうか?そして、設計どおりに機能するのでしょうか?権限がかなり高すぎる権限レイヤーコントロールを作成しようという考えです。アイデンティティの観点からではなく、機能的な観点から。たとえば、顧客のエクスペリエンスとはまったく関係のないアプリケーションへのアクセスを許可する必要があるのは一体なぜでしょうか。それとも、その技術職員の経験でしょうか?私たちはいつもそれをしています。そして、悪いことと機能の項目化っていうのが伝播って、すごく難しい方程式になってきたと思うんです。というのも、私がアイデンティティ・セキュリティを始めたときのように、参照点に話を戻すと、アプリケーション開発者からのプロプライエタリ認証コールとの格闘が大きな争点だったからです。そして、世界は終わりに近づいていると思っていたでしょう。いや、いや、いや、認証の呼び出しを受けた、私のアプリケーションだ、という感じでした。どっか行って、ほっといて。そして、私たちは「ええ、でもすべてのアプリケーションに認証済みの認証呼び出しは必要ない」という感じです。フェデレーションを行って標準化されたシングルサインオンを行うことができ、ちなみにセキュリティが格段に強化されました。ちなみに、これはサービスです。オーバーヘッドやこのような問題に対処したり、独自のアクセス制御ログを管理したりする必要はもうありません。あの戦いは聖戦だった。ひどいことだったみたいだそして、それがひどかったのは、15年かそこら、20年前、私たちがやってきたことが、アプリケーション開発者を見て、「ねえ、アプリケーションをビルドしに行け」と言ったからです。そして、彼らはそうしました。そして、彼らはアプリケーションを構築しました。彼らは「まあ、これには認証フローが必要だ」と言っていました。その計画の一環として、方向性も証券化もなく、情報セキュリティもありませんでした。さて、機能性の話に戻りますが、どうなると思いますか?これもセキュリティの一例です。私たちは証拠や歴史上のデータに敬意を払っていないだけです。許可をどうしたの?さて、アプリケーション開発者は出て行って征服すると言いましたね。API をどうするか?ただのウィジェットです。さっそく使ってください。どんなに酷いことだろう?が今ここに座っていて、人々は「認証呼び出しの数がわからない。API がいくつあるかわからない」と言っています。私にはわかりません。そして、セキュリティの歴史上、セキュリティの観点から見ると、良いことが起こるという答えが返ってくる時代はありません。そこで、私たちはこの大規模な拡散に任せています。明らかに、私たちはトレーサブルな API スプロールについてよく話します。しかし、認可、スプロール、機能拡散、機能拡散、スプロール、これらすべてがあって、それらすべてに「最小限何か」という考えを適用することには少しも近づいていません。そして、使用するかどうかにかかわらず、あらゆるものにいつでも最大限の大量アクセスが期待される世界に生きれば生きるほど、これらの問題は指数関数的に加速し続けるでしょう。
40:47 ラグーナンダクマラ
それでは、API セキュリティと Traceable を実現するために行う作業について説明しましょう。そこで、最初の質問は、今週私のお気に入りのゼロトラストのリファレンスドキュメントを調べていたことです。それらはCISAゼロトラスト成熟度モデルとNIST 800 207でした。そこで、特にゼロトラストと API セキュリティについて説明するセクションを探して、これらに目を通しました。そして、ショック、ホラー、ゼロリファレンス、ゼロの平方根。ゼロトラストは API セキュリティとどのような関係があるのでしょうか?そこから始めましょう。
41:29 リチャードバード
簡単に言うと、マイアミでジョン・キンダーヴォーグと一緒にステージに座っていたということだ。私たちはグループでパネルディスカッションをしていて、彼がスクリーンに向かって手を振っていました。そして彼は、「ゼロトラストが正しければ、ポリシーによってすべてのセキュリティがレイヤー 7 に移行します」と言います。そして、「血液が全部体から流れ出たんだと思う」と思いました。しかし、私はジョンを脇に引っ張った。私は、ジョン、セキュリティとインターネットとウェブのセキュリティがどれほどひどいのか知っていますか、「ニルヴァーナ状態」のことを話し始めないといけませんね。そしてそれはたまたま、私がトレーサブルに入社したときと重なったんです。Tracableに入社した大きな要因の1つは、アイデンティティ・ソリューション分野におけるある種の進歩と革新に不満を感じたことです。そして、私が以前挙げた承認やクレーム管理、セキュリティに関する例とまったく同じことをたくさん話していました。そして、それに対する解決策はありません。今日に至るまで、ある種の実験をしていて、タイプ的なものだった科学プロジェクトを進めている人が何人かいます。ただし、私が気付いたのは、認証はAPIの認証の原動力であり、エンジンAPIにとって絶対的に重要なことだということでした。また、APIをセキュリティ化できれば、認可プレーンをセキュリティ化できるなど、さまざまなことが可能になったということに気付きました。そして、私が興味深いと思うことの一つは、まさにあなたが発見したことです。私たちは、今でも普遍的に扱われ、API をある種のウィジェットのように扱っている世界に住んでいます。そうではありません。単なるアプリケーション呼び出しであり、アプリケーションデータストア呼び出しはマイクロサービスを表すだけです。たとえば、どれほどひどくなる可能性があるか、といった具合です。さて、調べています。APIが表すのは仮想化の最終バージョンをマイクロカプセル化したものなので、それがどれほどひどいものになるかは確実にわかってきています。彼らは何かをします。そして、あなたが信じられないほど賢い未来学者で、歴史を振り返ると、「ああ、ちょっと待って、このパターンは前に見たことがある」と思うでしょうが、ファイアウォールルールがいくつあるかをエンジニアが誰も知らなかったときの世界の様子を見てきました。運用センターのリーダーの誰も、私たちが所有している仮想マシンの数や、保護された自己保護ドメインと保護されていないドメインの数を把握していなかったとき、私たちの世界がどのようなものかがわかります。そして、APIの台頭により、私たちはAPIの作成に6、7、8年のエネルギーを注いだだけで、爆発的に拡大しました。取り残されたデータストア、資産、サービスなど、あらゆる種類のものからのバリュー・リターン・プロポジション、そして素晴らしい成果を上げています。しかし、これらはすべてセキュリティなしで行われていました。そして今、私たちが見ていることを見てみると、これについて何時間も続けることができます。たとえば、私が機能しているCISOとして見ていることの1つは、私が会社のCISOであり、これらすべてのテーマについて市場と向き合う声を上げていることです。私は毎週攻撃を目にしますが、今となってはびっくりします。そして私は、セキュリティ対策が講じられなければ、一体どこへ向かうのだろう?API とゼロトラストとの関連性の素晴らしいところは、API が暗黙的かつ永続的な信頼に基づいて実行されることです。これがすべてまとまるところです。ゼロトラストの主要な5本柱モデルのすべてを見て、ゼロトラストの原則を見てみると、ジョンの言ったことは絶対に正確であることがわかります。ゼロトラストを私のセキュリティやテクノロジーの他のすべてのコンポーネント、スタック、階層、レイヤーなど、あなたが呼びたいものすべてに効果的に適用できるとしたら。しかし、私は API のセキュリティ化については何もしていません。悪意のある攻撃者が API を、他のすべての種類の攻撃のプロキシとして使用できるので、これまでに行ったすべての作業と投資が最適化されていないだけです。セキュリティスタックの他のすべてのレイヤーで。API の API を使用してアプリをダッシングしたり、API の API を使用して不正なアカウント作成、乗っ取り、サインアップを行ったり、API を使用してデータペイロードのスクレイピングを行ったりすることができます。テラバイト単位のデータが失われる状況を見たことがあります。そして、悪者がその会社のコアシステムに侵入したことは一度もありません。すべて API 主導型です。そして、それが私が伝えてきたメッセージです。SP 800 207についておっしゃるように、規制とコンプライアンスの両方の要求と同様に、APIという特定の用語がないことは問題であり、困難であり、長くは続かないでしょう。NISTは、APIに関する具体的な方向性を示すことを期待しているという非常に明確な声明を発表しています。FTC、SEC、OCC、銀行業界はすべてAPI固有の参照に取り組んでいるか、すでに廃止しています。これを疑う人は、もしあなたが極端にオタクで、他に何もすることがないなら、通貨監督官庁のモデル・リスク・コンプライアンス文書を調べてみてください。また、そのコンプライアンス文書には、「サードパーティのAPIを使用して情報を企業評価モデルに組み込む場合は、そのAPIを考慮し、それらが安全であることを確認し、安全であることを証明する必要があります」と具体的に記載されています。だからといって、大人になってからずっとAPIを無視しているわけではありません。ある規制当局が他の規制当局が介入し、制御要求の波が押し寄せてきて、NISTがこのISOに対処しようとしていますが、ISOはSwiftを排除する仕様である222のようなもので対処しないわけにはいきません。繰り返しになりますが、銀行側を知らない人のために説明すると、Swiftは大国と投資銀行、つまり国際線を越えて取引する取引組織との間で行われるすべての国際貿易取引のみを行っています。そして、ご存知のとおり、ISOはAPIがすべてのトラフィックを駆動しているという事実をすでに認識しています。つまり、現在の状態の API 認識に関しては、私たちはまったく異なる世界の最前線にいます。私の最初のショットは、ゼロトラストでは他のすべてが正しく行われ、API セキュリティは正しくなく、ゼロトラストもないということです。悪いニュースをお伝えして申し訳ありませんが、市場では間違いなく勢いを増しています。
48:18 ラグーナンダクマラ
その前に、皆さんにお聞きしたいのは、後ほど説明しますが、API セキュリティのゼロトラストとはどのようなものなのでしょうか?しかし、その前に聞きたいのは、あなたが去年出版した Traceableで、ポネモン研究所との共同によるAPIセキュリティ研究の第一段階だと私が信じていることですが、私が信じているのは、このTracableです。あなたの視点から見て、このレポートから得た最も重要なポイントは何でしょうか?たとえば、経営幹部のセキュリティリーダーが学ぶべきことが1つあるとすれば、それは何でしょうか?
48:53 リチャードバード
ええ、頭を砂に埋めてください。分からない。これ以上デリケートになれるかどうか分からない。でも、つまり、それが真実なんです。ラリー・ポネモンのレポートから出てきたパーセンテージ、数字、回答は、私にとって驚異的で厄介でした。これは、先ほどお話ししたことの数学的な証明です。つまり、問題があることはわかっていますが、それについては何もしていません。2 年前、私には API のセキュリティ上の問題はないと言われていました。笑えたし、ゲートウェイもできた。それは認知的不協和ではありませんでした。それは故意の無知だった。今、私たちは認知的不協和の段階にあり、マーケットプレイスで誰とも話すことはほとんどなく、彼らは「ええ、APIについては心配していない」と言っています。コントロールできるようになりました。」しかし、私にその謝辞をくれる人の大多数は、「うん、でもまだ考えている」、「何もしていない」、「どうしたらいいかわからない」と言っています。規制上の要求であれ、違反の拡大であれ、今後12〜18か月で状況は明らかに変わります。しかし、現在の状況は、確かに現在の状況です。そして、そのような API セキュリティの状態の数字は、回答者の約 64% が「確かに、API 関連の侵害またはエクスプロイトに成功したことは間違いない」と答えたことが信じられないほど裏付けられています。また、その 64% のうち 75% は基本的に「少なくとも 3 回は起こっている」と答えています。私は数学がとても苦手なので、74% はわかりません。64% のうち 75% 以上が全人口1,800社のうちです。しかし、これは大きな数字であり、さらに重要なのは、この企業が大きな数字であり、高度に分散化され、分散化が進み、信じられないほどオーバーコネクテッドな世界だということです。
50:40 ラグーナンダクマラ
あなたが引用した「60%の経験とAPI関連の違反を経験し、75%が少なくとも3回経験した」という統計は、文字通り私が今見ているものなので、私の画面が表示されるかどうかはわかりません。そこで、疑問が浮かびます。ゼロトラストと API セキュリティです。ゼロトラストの原則を API セキュリティに適用する場合、それはどういう意味ですか?
51:04 リチャードバード
まず、多くの人が誤ってその意味だと思っていることをお話ししましょう。そうですね、多くの人が API を暗号化する必要があるという意味だと誤解しています。何らかの形の認証、暗号化、そして何らかの形の認証暗号化が必要です。そして、それが誤った仮定だと彼らが言う理由は、繰り返しますが、30年の歴史を見てみましょう。これまでのところ、認証と承認の制御はどのように機能してきましたか?API の認証情報を偽造したり盗んだりするのは、特定のアカウントや ID の認証情報と同じくらい簡単であり、おそらく簡単でしょう。私が入社したとき、共同創設者たちに API セキュリティについての私の認識を尋ねられたときに最初に言ったことの 1 つは、「これは前に見たことがある」と言ったことです。そして、彼らは「あなたなら何が見えるだろう?」と答えます。そして私はこう言いました。「まあ、その会社の名前は知らないけど、非常に大きな銀行が、さまざまな執行機関や諜報機関のさまざまなメンバーを率いて指揮センターに置いていました。ある悪役国が私たちのシステムに侵入したからです。そして、彼らがわかったのは、SSHキーはアプリケーション、アプリケーションサーバーからサーバーへのデバイス、デバイス、通信のためのものだということでした。しかし、それを手に入れて人間として使い、東西の横方向のトラフィックに使用すれば、非常に大きな銀行に甚大な損害を与える可能性があります。」よし、よし。SSHキーハイジャックは、APIセキュリティと完全に比較できるわけではありませんが、トランザクションベースであり、非常に強力な比較対象です。つまり、APIを利用して侵入でき、APIを活用して何かを実行できるということです。そして、私がそれを妨げている唯一の理由が、JSON や JOT での認証暗号化、承認時の認証暗号化だとしたら、それは悪者としては気に入っています。つまり、まず第一に、暗号化は役に立たないということです。つまり、暗号化がもはやフェイルセーフではなくなったら、API の動作を継続的に監視し、脅威インテリジェンスを行う必要があります。実際に Google は最近、悪用可能な API に関する調査を発表しました。そして Google は実際に「その API は設計どおりに動作する」と言っていました。私が答えたのは、「クローハンマーは、釘を打ち込んだり、板から釘を引っ張ったりして、使う時間のほとんどを想定して設計されている」というものでした。しかし、それが凶器として使われたときには、本当に効果があるのです。凶器になるようには設計されていませんでした。そこに座って最初のクローハンマーを作っていた男は、「まあ、釘を打ちたいんだが、これを使って誰かを殺せると思う」なんて言わなかった。そして、これがAPIの本質です。API は、あることを行うように設計されています。しかし、API は、多くの悪いことを含め、他にも多くのことを行うために活用できます。そして、その原則を認識していなければ、ゼロトラストはご使用の環境では実現できません。というのも、環境内をうろうろしているような、過度に特権的な、資格がある、信頼できない API を設計することになるからです。ところで、API から身を守るために他にできることは何もありません。なぜなら、API は、本来あるべきことをしているように見えるからです。テクノロジーの世界には、骨の折れる肉をもっと欲しがる人がたくさんいます。それは分かります。彼らは設計仕様やエンジニアリング仕様に取り掛かり、その方法を私に教えたがっています。そして、私はそれが必要だということに異論はないし、たくさんあると思います。しかし、ここでの本当の問題は、これが問題であるというトップレベルの基本的な合意に達していないことです。API を一日中セキュリティ化する方法をお伝えできます。準備ができていなくても問題ありません。運用可能になっていなければ、存在しません。そして、今日の議論の多くは、問題があるだけではないことを改めて人々に納得させていると思います。しかし、この問題は実存的なものです。この問題は壊滅的な結果をもたらすだろう。そして、私が恐れ、不確実性、疑いを売っているだけで、私が最後に確認したからといってあなたが注意を払っていないと主張したいのなら、私たちは皆怖がるはずです。今日のセキュリティ障害の結果を見ると、私たち全員が恐れているはずです。そして、それこそが、私たちをより知的好奇心旺盛に駆り立てているに違いありません。また、ゼロトラストのようなセキュリティ戦略を追求するには、このすべてをまとめます。ゼロトラストについて人々が私と議論するときのように。そして、それはやり過ぎで非常に複雑ですし、議論が何であれ。私の答えはいつも同じです。「暗黙的で永続的な信頼はあなたにとってどのように役立つのか?」そうです、現状に代わる方法がない限り、ゼロトラストがどれほど難しいかについて私と議論しないでください。その旅を始めるまで、それがどのようなものかさえわからないからです。そうでなければ、あなたはただ理論化しているだけです。そして、私はあなたが何に取り組んでいるのか、あなたが今取り組んでいる基本的な仮定は何かを知っています。それはうまくいきません。
56:07 ラグー・ナンダクマラ
APIセキュリティのようなものについておっしゃったことをまとめると、設計されていることと、実際に実行されていることとできることが分かれているようなものです。そして、John Kindervagが一種のファイアウォールルールについてよく引用している類似点を思い出させてくれます。攻撃者はそれを悪用しているので、許容範囲内で悪いことが起こります。まとめる前に、ゼロトラストと API セキュリティの将来は、皆さんの視点から見るとどのようなものでしょうか。
56:52 リチャードバード
まあ、私は未来だと思います。私が共有する準備ができていることについて、私は楽観的すぎるという議論があります。しかし、私はそれを強く信じています。つまり、ゼロトラストには未来の可能性があると私は信じています。つまり、ハイブリッドアーキテクチャが何であれ、デジタル資産の大部分、すべてのレイヤにゼロトラストを適用できれば、あるいはまだオンプレミスであれば、それは問題ではないというユートピア的な状態です。こうしたゼロトラストの原則は、コンポーネントのすべての部分に適用できます。そして、すべてを究極の仮想レイヤー、つまりレイヤー7の空間に導きます。私たちは実際に成功することができると思います。API セキュリティにおけるレイヤー 7 のセキュリティ化は、その中で非常に大きな役割を果たすでしょう。そのためには、高度な次世代ID管理が大きな役割を果たすと思います。レイヤー7では他にも注目される部分があると思います。しかし、これらの主要なコンポーネントがゼロトラストフレームで完全にロックダウンされる状態になったら、すべてのリソースを投入して、そのレイヤー7に重点を置くことができます。そして、ランサムウェアが原因で別のサーバーがロックダウンされたというニュース記事よりも、攻撃者と対等な立場に立つことができる状況になったと思います。
58:30 ラグーナンダクマラ
私はそれが大好きです。そして、それはあなたが言ったとおりだと思います。今日、ランサムウェアの攻撃者は、実際にはそれほど優秀でなくても成功しています。それでは、実際に、攻撃者の作業を大幅に強化してみましょう。そうすれば、彼らが成功するなら、とても、とても、とても上手になるほうがいいでしょう。
58:49 リチャードバード
別の日の話題ですが、重要なのは物理的なパターンとセキュリティを見て、次にそれらをデジタルで見てみましょう。たとえば、人々は好きなように議論できますが、悪者がそれをより困難にすれば、セキュリティが向上し、リスクが軽減されます。ええ、それに賛成できないなら、大きなセメントの障壁やパイロン、その他あらゆる種類の物理的なセキュリティ装置がそれらを塞いでいない裁判所がいくつあったか聞いてください。私たちが教訓を学んだからこそ、あの建物で悪いことをする前に人々のペースを落とす必要があるのです。私たちは同じようなパターンを適用する必要があります。そして、あなたの言い方が本当に気に入っています。悪者たちにはもっと辛いことをさせてセキュリティ上の観点からは、敵と戦うチャンスがあるスペースに追い込みましょう。ただし、安易な場所を与えてはいけません。そして、それがゼロトラストがやっていることだと思います。ゼロトラストは簡単なことをなくすと思います。
59:42 ラグーナンダクマラ
私はそれが大好きです。お気に入りのゼロトラストの例えを教えてもらおうと思っていましたが、それは結局とてもパワフルな言葉だと思います。どうもありがとう、リチャード。お話しできて本当に嬉しかったです。どんなに長い間話し合ってきたとしても、十分ではないと感じています。トレーサブルAIの最高セキュリティ責任者であるリチャード・バーグさん、ありがとうございました。Tracable AI の Web サイトにある「API セキュリティの現状」レポートをぜひチェックして、API セキュリティの状態と、ゼロトラストとゼロトラストの適用がその改善にどのように役立つかを深く掘り下げてみることをお勧めします。リチャード、ありがとう。
1:00:25 リチャードバード
本当に楽しんでくれてありがとう。
1:00:27 ラグー・ナンダクマラ
今週のセグメントのエピソードを視聴していただきありがとうございます。2週間後に次のエピソードで戻ってきます。それまでの間、ゼロトラストに関するその他のリソースについては、必ず当社のウェブサイト www.illumio.com にアクセスし、ショーノートのリンクを使用して LinkedIn と X で私たちを見つけてください。本日は以上です。ホストのラグー・ナンダクマラです。またすぐにお話しします。