進化を続けるCISO

彼らにはそれがない、彼らはそれをそれほど詳しく見ることができない、ビジネスリーダーとしてそれを推進するだけなら、それはある意味表面的なものです。何が起きているのかを深く理解することはできないでしょう。そのため、CISOや実務者として運営するのではなく、ビジネスとして運営することになります。しかし、あなたの具体的な質問に答えると、深い共感のおかげで、私は両方の立場に立つことができると思います。

10:28 Vishal Salvi: 例えば、5、6年前のように、サイバーセキュリティのイノベーションを推進する最先端に立つためにイノベーションを行い、社内で多くのイノベーションを行う場合、たとえば5、6年前のように、インフォシス内でまったく異なるメトリック測定プログラムを実行し、そのためにハイパーオートメーションを行い、それを中心に多くのIPを構築し、4年間成功させた後、そうだと思っていました... お客様に届ける段階になり、リバースエンジニアリングのようなものを行いましたそのコード全体とそのソリューション全体を私たちの診療チームに移行しました。そして今、プラクティスチームはそれをスケールアップし、現在起きているすべてのイノベーションと変化に対して執行機関をサポートするようになりました。なぜなら、彼らはお客様からそれを感じ取り、フィードバックを得ることができたからです。

11:16 Vishal Salvi: 例えば、あるプラクティスをインキュベートしているときには、チームからリソースを取り出して社内に取り込み、それをインキュベートし、ある程度の成熟度まで引き戻し、それを引き戻してお客様に還元するといったことが多いです。そのため、当社にとって多くの可能性と利点が生まれ、すべてのお客様に何が起こっているかを公開できるという事実もあります。感知して理解できるという感覚的な性質があれば、その知識を使って脅威の状況で何が起こっているかについての理解を深め、インフォシスの社内でも活用できることは明らかです。

11:57 Raghu Nandakumara: あなたの表現の仕方がとても気に入っています。反対側ではほとんど改善のためのインキュベーターであり、非常に豊富なフィードバックループがあるからです。では、少し話を変えて、インフォシスのCISOにとってゼロトラストとは何を意味するのかという話に戻りましょう。

12:14 ヴィシャル・サルヴィ：うん、だから、一歩下がってみよう。サイバーセキュリティはリスク、脆弱性、脅威がすべてです。それを拡張するなら、インシデントについて話すこともできます。ですから、結局のところ、私たちは常にインシデントに対処しているのです。私たちは脆弱性、脅威、そしてリスクに対処しているのです。私たちが扱っているのはこの4つだけです。さて、それは取り返しのつかないことであり、何十年も変わることはありません。それが始まった経緯であり、今後もそうであり続けるでしょう。方法論の観点から私たちがしていることは... BS 7799、ISO 27001、そして非常に多くの異なる規格があるということです。それから、NIST、FISMA、その他すべてのように、さまざまなリスク測定方法論があります。そして、私たちには非常に多くの異なる基準がありますが、これらはすべて、この問題の解決に向けた私たちの考え方の進化です。しかし、結局のところ、それは依然としてリスク、脆弱性、インシデント、脅威に関するものです。したがって、情報セキュリティの基本的な信条はそのまま残っており、基本的な信条は今後も存在し続けるでしょう。

13:16 ヴィシャル・サルヴィ：では、ゼロトラストのようなものを見ると、実際にはどういう意味なのでしょうか？2008年、2007年まで、私たちはこの職業を「情報セキュリティ」と呼んでいました。突然、サイバーセキュリティになり、今では誰もがサイバーセキュリティと呼んでいます。明日、私たちはそれをデジタルセキュリティと呼び始めるでしょう。そのため、命名法は変わるかもしれませんが、専門職は進歩しても基盤は変わりません。基本は変わらないので、ゼロトラストは同じものを進化させ、その方向に進化させたものと言えるでしょう。ゼロトラストは新しい概念です。明日には別のものが登場します。ただ、サイバーセキュリティという言葉が過去10年間続いてきたように、ゼロトラストも、何か他のもの、より魅力的なものが登場する前に、おそらくしばらくの間行き詰まるでしょう。しかし、それは単なるマーケティングではありません。マーケティングは哲学として浮かび上がってきていると思うし、その根底にある哲学は「オーケー、じゃあ、なぜ... の話をしているんだ？」ということを考えることに尽きると思う。

14:26 ヴィシャル・サルヴィ：それはほとんど矛盾しているようなものだ。なぜなら、ゼロトラストを見ると、私たちはサイバーセキュリティの専門家として信頼のビジネスをしているのに、なぜゼロトラストについて話しているのでしょうか？つまり、境界はもはや以前のような従来の境界ではなく、クラウドの採用が完了し、すべてのエンドポイントが分散しているという事実を考えると、今では、場所、時間、デバイスのアクセス、24時間365日のアクセスが話題になっています。コンピューターをつなぐ方法は根本的に変わったと思います。今日の環境でこれらの接続を本当に信頼するには、ゼロトラストを採用する必要があります。ゼロトラストは、これらの接続において適切なゲートで追加のチェックとバランスを構築し、これらの接続が信頼できると感じられるようにします。ですから私の考えでは、誰かが入ってきたら、これらのつながりが信頼できると確信するまでゼロトラストを行います。そして、それを中心にさまざまなモデルを構築して、それを機能させます。これがゼロトラストの本当の意味を説明できる一番簡単な方法だと思います。

15:45 ラグー・ナンダクマラ：それを全部聞いているだけでも大好きです。まずはありがとうございました。その中であなたが伝えた本当に力強いメッセージは、どの時代にも独自の新しいアプローチと新しい戦略があるということだと思います。でも、私が印象に残ったのは、あなたが「基本は変わらない」と言ったときで、それはとても重要な教訓だと思います。そして、ゼロトラストは文字通りそれを言っていると思います。これは本当に基本的なことであり、私はそれを毎月のニュースレターで話題にしているいくつかの項目への足がかりとして使いたいと思います。これは素晴らしい読み物であり、皆さんにもぜひ見に行ってほしいと思います。セキュリティ衛生の重要性についておっしゃっていましたが、私がゼロトラストをファンダメンタルズと同一視していると私が言う理由は、優れたセキュリティ衛生は優れたセキュリティファンダメンタルズと同じであり、その基本のひとつは、暗黙の信頼を一切付与してはならないということであり、ゼロトラストがまさに言っていることです。ですから、セキュリティ衛生はとても重要です。あなたはそれを見事に表現しました。しかし、なぜ同じことがよくあるのでしょうか。私が新しいランサムウェア攻撃、あらゆる種類の新しい侵害について読むたびに、あなたはそれを掘り下げますが、その根本原因はセキュリティ衛生の欠如であることが多いのです。大小さまざまな組織にとって、このような課題が未だに課題となっているのはなぜでしょうか。

17:11 ヴィシャル・サルヴィ：私はこれを「つまらないことをする」と呼んでいますが、あまり注目されない理由は、それがとても退屈だからだと思います。しかし、それはただ退屈なだけでなく、ありがたいことでもありません。というわけで、もう一つは、三つ目の部分が難しい問題だと思うんです。これら 3 つの問題が原因で、ほとんどの組織が間違いを犯しているのはなぜか、皆さんも想像できるでしょう。退屈なものを美化する必要があることを人々に理解してもらうには、何かをする必要があると思います。これらは基本的なことです。二つ目は、感謝の気持ちを忘れないように人々にインセンティブを与え、見張り人に報い、認めてもらう方法を考え出す必要があるということです。そして、サイバーチームではなく、テクノロジーチーム、ITチームが常に取り組んでいます。なぜでしょうか？私たちはこれまでにないほど脆弱性とパッチをリリースしています。そして、それを正しく理解しなければいけません。そしてそれは非対称的な戦争なのです。常に正しい判断が必要で、悪者が正しく理解しなければならないのは一度だけです。そのため、このような事態の進め方にはかなりの非対称性があります。そして3つ目は、皆さんがゼロトラストについて話しているように、基本的なテクノロジーの衛生状態を一切容認しないといけない時代が来たということです。

18:29 Vishal Salvi: たとえば、IT環境がどれほどダイナミックであっても、組織内にある資産の数、組織内のアプリケーションの数、シャドーデータの量、シャドーITの量を正確に把握する必要があります。変更管理プロセスを通じて発生している変更の数はどれくらいですか。また、それらの変更を管理するうえで適切な手段がある場所はいくつありますか。テクノロジーが進化するにつれて、私たちはテクノロジーチームやITチームで従来非常に強かった制御やフックを手放さざるを得なくなりました。これは、ビジネスチーム全体、ビジネスユニットが独自のテクノロジースタックを推進できるようになったためです。しかし、そうすることで、多足ハイドラになってしまい、制御できないような感覚になります。

19:19 Vishal Salvi: ゼロトレランスのアプローチを取り始めるなら、「これをどう管理するか」ということを中心に、もっとガバナンスの感覚を身につける必要があります。私たちは人々に力を与えることを望んでいますが、スピードと俊敏性を求めていますが、ITの衛生状態を犠牲にすることはできず、したがって侵害されるリスクもあります。ですから、これらは私たちがそれを行う際に考慮すべき重要な要素の一部だと思います。あなたが言ったように、そして過去にも言ったように、私たちが目にした侵害の大部分と攻撃の大部分は、攻撃者が非常にテクノロジーを多用した、または非常に高度な攻撃メカニズムを使用しているために発生したものではないと思います。彼らは...実際、一部の攻撃は実際には目に見えないところで発生しています。わざわざ何かを悪用する必要すらありません。彼らはすでにどこか別の場所から認証情報を持っていて、ログインしてラテラルムーブメントを行うだけです。

20:13 ラグー・ナンダクマラ：ええ、絶対に。ところで、セキュリティ衛生は退屈で、ありがたいことでもなく、難しいと言っていた頃を振り返ってみましょう。子供たちに宿題をさせようとしたことを思い出します。なぜなら、彼らは宿題をこれら3つのことすべてと関連付けているので、あなたはそれを面白くする必要があるからです。子供たちに価値を見てもらい、インセンティブを与える必要があります。しかし、あなたが言うように、攻撃者は究極的には彼らにとっての攻撃者であり、攻撃者にとってのビジネスであるため、攻撃者は... 理想的には、少ない労力で高い利益を得たいと考えています。そのため、攻撃者は常に手ごろな成果物を攻撃しているのです。でも君は本当に...おっしゃるように、あなたは本当に話題になっていることを紹介されました。今では、独自の技術スタックを運用するビジネスチームが増えているとおっしゃっています。つまり、「OK、IT 部門は、インフラストラクチャを運用して、パッチを適用する」と言っているわけではありません。その道のりに全員を参加させる必要があります。皆さんが本当に関心を持っている分野の 1 つがセキュリティの民主化であることは承知しています。では、CISOとしても、プラクティス・リーダーとしても、セキュリティの民主化モデルをどのように導入すればよいでしょうか。そうすることで、その用途に何らかの利害関係者、つまりセキュリティに関わる利害関係者がいる多様なグループすべてが、サイバーに対する共通のアプローチのもとに団結するにはどうすればよいでしょうか。

21:38 ヴィシャル・サルヴィ：ええ、そう思います...それは文化の問題だ。それは、サイバーセキュリティに対する説明責任と責任という観点から、すべての利害関係者にそれぞれの役割を理解してもらうことができる文化を構築することです。私たちは職業としてこの職業をうまく宣伝できていません。というのも、私たちがサイバーセキュリティチームと名乗るとき、一般的に、このチームが魔法のように私のリスクを解決し管理してくれるという認識と期待が寄せられているからです。私は何もする必要がないからです。一方、実際にはそれとは正反対です。サイバーセキュリティチームはこの変化の積極的な触媒ですが、実際の変化は利害関係者、ビジネスリーダー、取締役会、組織の指導者、スタッフ、従業員、技術チーム、ISチーム、その他すべての利害関係者であり、それぞれが自分の役割と説明責任を理解してから実行する必要があります。セキュリティの悪い点は、機能していないときだけ表示され、機能しているときには見えないことです。

22:48 Vishal Salvi: 誰もあなたの悪いセキュリティを悪用していない限り、誰もあなたを攻撃していないので実際には安全だという誤りに陥ることがあります。それはまさにランサムウェアの場合に起こったことです。ランサムウェアがWannaCryとNotPetyaで初めて登場したとき、業界全体でセキュリティの脆弱性が無差別に影響を受けたのは初めてでした。そして突然、そこにあったはずのあらゆる不安が露呈したのです。だからこそ、金融業界は非常に規制が厳しく、はるかに成熟していると説明できます。なぜなら、ランサムウェアが発生し始めるまでは、金融業界は不正行為の大部分が発生していたからです。そして、ランサムウェアは接触したすべての人に影響を与えるだけです。インターネットでは、誰もが誰とでも接触します。さて、話を戻しますが、私たちがそれを民主化し、すべての利害関係者が自分の役割を非常に明確に理解していることを確認するために、その観点から物事を見始める必要があります。それは文化として行われなければならず、機会を得るたびに、それが文化的な問題になるように推進する必要があります。

24:01 Vishal Salvi: Raghu、前もって言っておかなければならないのは、サイバーセキュリティが文化的な問題であるという理解について話すとき、まだ初期段階だということです。人々。今でも、ほとんどの利害関係者がそれを外部化しているのがわかります。彼らはそれが自分たちの問題だとは考えておらず、私たちが苦しんでいるのは常にこの問題です。サイバーセキュリティはロケットサイエンスのようなものです。それは専門家にしかできないことだと見なされています。そうではありません。それはとても常識的なことだと思う。テクノロジーの基礎を理解している人なら誰でも、サイバーセキュリティの原則と基礎を理解するのにそれほど時間はかかりません。実際、修復は管理者権限を持つ人が行う必要があり、サイバーセキュリティの専門家が行うことはできません。せいぜい、そのリスクと脆弱性を見つけて、それをあなたに伝えることができるのです。しかし、彼らに必要なのは...アクセス権を持つチームがそれを実行すべきであり、システムを安全に構成する方法を知っている必要があります。これが私たちが推進すべき変化であり、私が言いたいのは、サイバーを民主化するということです。

25:06 Raghu Nandakumara: 今取り上げた内容には、とても良い内容がたくさんあります。あまりにも多すぎて、深く掘り下げることができました...あなたが言ったことのすべての部分についてのポッドキャストエピソードみたいにできると思います。それではまず、サイバーセキュリティについてお聞きしたいのですが、要約すると常識です。さまざまなテクノロジーや情報の問題に常識を適用することが、サイバーセキュリティの本質であり、文化の変化や誰もがサイバーセキュリティに関わることに関して言えば、サイバーセキュリティの本質です。決まり文句にもあるように、最前線の防衛線は人材であり、彼らはサイバープログラムに関与する必要があります。ゼロトラスト戦略を採用している組織にとって、ゼロトラスト導入を成功させるためには、セキュリティの民主化が鍵となるのでしょうか？どう思いますか？

26:06 ヴィシャル・サルヴィ：いいえ、絶対に。ゼロトラストはセキュリティアーキテクチャを導入する方法論であり、セキュリティアーキテクチャの導入を成功させる唯一の方法は、すべての利害関係者が集まることです。たとえば、ゼロトラストについて話すとき、起きている重要な変化の 1 つは...

26:29 Vishal Salvi: セキュリティとネットワークの間でコンバージェンスが進んでいます。アーキテクチャを実際にまとめるには、ネットワークチームに参加してもらう必要があります。それがセキュリティとネットワークの未来になるからです。そのため、古いモデル、つまり従来の接続モデルには、大きな課題が課せられています。そして、このソフトウェアデファインドセキュリティとソフトウェアデファインドネットワークを採用するようにネットワークチームの考え方を変えることができなければ、それは難しくなります。ですから、コラボレーションとパートナーシップは重要だと思います。彼らがアーキテクチャレベルでそれを行って初めて、私たちはその実装を本当に成功させることができます。ですから、技術的なことだけでなく、それを推進する必要があるのは人間的な側面でもあると思います。ですから、プログラムを成功させるには、両方のことが一緒に起こらないといけないと私は確信しています。

27:21 Raghu Nandakumara: よくこう聞かれます。「オーケー、どうやったらそんなに早く何かできるの？どうすればトランスフォーメーションを本当に迅速に推進できるのか？この新機能を展開したいと思っています。」そして、私が彼らに言いたいのは、私たちはいつでもテクノロジーを見つけることができ、テクノロジーを機能させることができるということです。そのテクノロジーを利用するプロセスを構築することさえできます。しかし、A) なぜその採用が必要なのかについて強い権限があり、B) 利害関係者全員が関与している場合にのみ、迅速な導入を推進することができます。そして、その中に価値を見出してもらうこと。委任状と利害関係者の関与というこの2つがなければ、迅速な採用は望めません。そして、それはどこにでも当てはまります。でも実際に聞きたいのは、証券投資の価値は決して明らかではないということについて先ほどおっしゃったことと結びつけたいからです。

28:13 Raghu Nandakumara:「Xがあったからといって妥協しなかった」とは決して言わないようなものだからです。どちらかというと、「私たちは危険にさらされた。Y がなかったために侵害された」というケースです。あなたのCISOとプラクティス・リーダーの両方の見解を聞きたいのは、セキュリティ投資から得られる具体的なROIをどのように実証するかということです。取締役会から投資を約束してもらう前だけでなく、6か月後、12か月後、誰かが「よし、作った、Xを使った。見返りに何が得られるか見せて」と尋ねたとしましょう。どうやってやるんですか？

28:55 Vishal Salvi: これについての私の見解は、セキュリティ製品について財務担当者にROIを納得させるような面倒な作業に巻き込まれるべきではないということです。なぜなら、双方で議論することはできても、決して同意することはできないからです。したくないなら。だから無駄な練習だと思うよ。みんながそうするのはわかっているが、そうすべきではないと思う。このモデルの仕組みは次のようなものだと思います。サイバーセキュリティが組織にもたらすリスクと、どの程度投資する意思があるかを組織として判断する必要があります。それが一番です。そして、私の考えでは、セキュリティとは毎日改善していくことがすべてです。ですから、今日の状況では、明日はもっと良くなる必要があり、翌日は明日よりも良くなる必要があります。それこそが、本当はどうすべきか、ということです。

29:48 ヴィシャル・サルヴィ：今日はゼロで、明日は100になるなんてあり得ない。それは起こらないだろう。ですから、それを実現するチーム、プロのチームができたら、「分かるでしょ... このお金をどのように使う必要があるか」と言うような、ある程度の信頼が必要です。あなたが行って最大限の価値を提供してくれれば、私がその責任をあなたに負わせてあげよう。なぜなら、そのお金をどのように使いたいのかを正当化する必要があるのはセキュリティチームだけだからです。そして、それが価値をもたらしているかどうかにかかわらず、彼らが一番よく知っているでしょう。特に財務部門では、自分が何をしているのかを本当に理解できる外部の人は他にいません。ですから私はこう思います。それをひっくり返して、ROIの数学的な計算を出すために時間を無駄にしないで、チームが自分たちでROIを推進できるようにする必要があるのです。したがって、セキュリティチーム内では、ROI を実現できることは間違いありません。自分がどれだけ投資したのか、それがどのように制御されているのか、その統制の効率と有効性はどの程度なのかがわかります。それができるのです。しかし、他の誰かがやって来てそのプロセスに異議を唱えることを許可しないでください。なぜなら、結局のところ、実際に組織を保護するために時間を割くよりも、第三者に説明する時間が長くなるからです。

31:05 Raghu Nandakumara: 笑っているのは、それを聞いたことのあるセールスリーダーがたくさんいるから笑っているからです。そして、経済面での買い手の前でテープを押して、「この投資の価値についてあなたを納得させようとして、CISOインフォシスが何と言っているか見てください」と言います。

31:20 ヴィシャル・サルヴィ：繰り返しになりますが、成熟した組織で働いていて、その組織に任せられて仕事を任されたことを光栄に思います。

31:27 ラグー・ナンダクマラ：うん。

31:27 Vishal Salvi: そして、このお金をどこで使っているのか、なぜここでこのお金を使っているのかを尋ねるのにあまり時間をかけないでください。なぜなら、そうした場合、最終的に、優先度の低い統制に費やすことになるからです。財務担当者は、あなたにとってより重要な統制に比べて、それを確信したからです。そうですよね？そこが問題になると思います。ですから、この方法でやったほうがいいです。

31:49 Raghu Nandakumara: あなたの表現の仕方が本当に好きですが、それでは関連する質問をさせてください。セキュリティ実務者として、あなたはリスク評価を行ったことがあるでしょう。これで、環境を脅威モデル化し、ギャップを特定できました。さて、あなたは今どこでこう言いますか。「オーケー、お金はたくさんある。そして、私は持っています。どこに投資するかは私次第です。」「能力 X」や「能力 Y」といった投資の原動力は何でしょうか。そして、そこから価値を引き出しているかどうかは、どのように判断すればいいのでしょうか。

32:22 Vishal Salvi: ええ、それはすべてリスク評価を見る方法論に関するものだと思います。もちろん、私たちは毎年そうしています。そのための最善の方法は、すべてのリスクを見て、どれが高リスクで、どのように修復の優先順位を付けたいかを調べるエンタープライズリスク評価の基礎を築くことです。

32:43 Vishal Salvi: それから、そこに何があるのか、何をする必要があるのか、そしてそれを見るために必要な重要な要素は何かを見ていくのです。そして、「オーケー」と言って、分類をして、「オーケー、これらは私が本当に必要なものです」と言います。もちろん、手頃な価格を検討する必要があります。たとえば、それらすべてに必要なお金をすべて手に入れることができても、実際にそれを実行することすら現実的ではないからです。そのお金を実際に使うのは難しいでしょう。そのため、組織の状況やビジネス状況を踏まえて、実際に実装できる範囲と、組織の費用対効果とのバランスを取ることが必要であり、現実的に考える必要があります。底知れぬような状況を求めてはいけないのです。

33:24 Vishal Salvi: この両方ができて、うまく調整できれば、たくさんのお金が手に入り、もちろんプログラムを定義してチームに渡して、「オーケー、これができたから、必ず実行して」と言うでしょう。しかし、もっと重要なのは、その投資の導入後にレビューを行い、そのフィードバックをチームに伝える必要があると思います。そうすれば、定義されたとおりにプログラムをタイムリーに実行し、目標を達成できたという保証をチームが得ることができます。そうすることで、信頼が高まります。

34:01 Raghu Nandakumara: はい、100%、100%。それでは、クライアントがゼロトラスト戦略を採用したときの成功率は何だと思いますか。その道を歩み、自分自身が助けてその道を歩む可能性を秘めている人。成功と失敗にはどのようなものがあると思いますか？

34:21 ヴィシャル・サルヴィ:それを採用する上での課題は、私たちは現在、非常に複雑な建築の世界にいるということです。そこには完全なソリューションと複数のツールがあります。その中には統合されているものもあり、その多くはサイロ化されており、さまざまなテクノロジーが非常に複雑に組み合わされているようなものです。そして、統合する必要もあります。統合する必要があります。テックスタックとの統合と併せて、それを深く検討する必要がある。そして、そこからは程遠いと思います。これは非常に重要な課題の1つであり、実装が成功しない理由の1つはこれが原因です。もう1つは、レガシーが非常に多いため、何を優先し、どのようにモダナイズするかということです。また、心臓切開手術をするのか、それとも薬を服用するのか？

35:08 Vishal Salvi: これらの質問は非常に重要だと思います。膨大な量のレガシーがあるため、変更して新しいやり方に転換するのは簡単ではないことが多いです。将来を見据えた組織の中には、自社のテクノロジーやセキュリティスタックの大きな変革と大規模な近代化を完全に行うためにまったく異なるアプローチを取っている企業があります。それをプログラムとして捉え、総合的に推進すれば、そのような組織はこのような方法で行うよりも成功する可能性が高いと思いますよね？特に、私たちはハイブリッド世界とクラウドの採用に大きな軸足を移しており、それは決して些細な変化ではないからです。これは大規模な変革であり、セキュリティアーキテクチャの変更の重要性を強調することはできません。

36:00 Raghu Nandakumara: うん。1つの変革、このようなアーキテクチャ全体の変更、消費モデルの変化、さらにはアプリケーションの構築方法に至るまで、セキュリティ変革が起こる前にその変化を成熟させる必要があると思いますか？それとも、これを、同期して一緒に起こらなければならない非常に並行したトラックだと思いますか？

36:23 ヴィシャル・サルヴィ：必要なのは共同作業でなければならないということだと思います。たとえば、新しく行う必要があるアプリケーションを作成するときは、脅威モデリングを検討してください。他のこととは別に、API セキュリティ、セキュア SDLC、セキュア CI/CD パイプラインについても検討し始める必要があります。やらなければならないことはたくさんあります。だからやらないといけないと思う。すべてが同時に起こると期待するのは非現実的だと思います。重要なのは、セキュア・バイ・デザインに向けた共同作業とアプローチだと思います。ですから、何をするにしても、常にセキュリティを考慮する必要があります。デジタルがない今日の世界は想像できないので、セキュリティを無視しないでください。そして、デジタルが存在する場所ならどこでも、セキュリティは存在しなければなりません。それが将来を見据えたアーキテクチャを構築するための基本的な基盤だと思います。そして、その変更は重要です。誰かがクレジットカードを使ってクラウドワークロードを購入し、ビジネスコードを入力して何かをしようとすると、すべてのセキュリティコントロールをあからさまに無視し、災害が起こることを求めているだけです。つまり、私が言いたいのはまさにそのことです。

37:47 Raghu Nandakumara: うん。何回か見たことがあるような話し方ですね。あなたの非常に興味深い投稿の1つを読みましたが、そのタイトルは「ゼロトラストとゼロタッチ」だったと思います。そして、ML、そして将来的にはもっと汎用的な AI が、ゼロトラストコントロールの実装に実際にどのように役立つかについてのアイデアを紹介してくださいました。私はこれを「常時稼働セキュリティ」、「設計上安全保全」と呼ぶことにします。ゼロトラストへの機械学習、そしてより一般的な AI の応用はどこにあると思いますか?それはどんなものか、といった感じです。

38:30 Vishal Salvi: ええ、Raghu、実は「ゼロタッチによるゼロトラスト」とは、ハイパーオートメーションを行うというビジョンです。それがまさにその意味です。なぜなら、物事はセキュリティ運用上の問題を解決するためにはスケールアップしていないからです。

38:47 ヴィシャル・サルヴィ：失敗は必ず見つかるよ。だって、私たちにはそれができないから。自動車が完全に自動化され、ボットが自動車を製造するようになったように、セキュリティ業務を機能させる必要のあるロボットが必要です。それがまさにその意味です。しかし、それがビジョンです。そこに行く必要があります。今のところ準備はできていないと思う。私が言いたいのは、私たちが行うすべての業務にかなりの量の ML が含まれているため、ML を使用しなければ、セキュリティイノベーションの分野では現在のような状況には至らなかったと思います。今日のセキュリティやテクノロジーには、あらゆる面で多くの学びがあります。なぜなら、ML がなければ 92% のスパムを阻止することはできないからです。今後の AI の活用とその方法が、注目すべき重要な側面になると思います。

39:34 ヴィシャル・サルヴィ:私たちがそれを実現できるユースケースはたくさんあります。たとえば、テストでは、モニタリングの観点から、そのすべてに対応する AI アルゴリズムを実際に作成できましたが、そのアルゴリズムはますます成熟していくでしょう。同時に、敵対的な AI と、それを回避して制御を構築するにはどうすればよいかについても見ていきます。そして、3 つ目のことがあります。セキュリティ・バイ・デザインと同様に、プライバシー・バイ・デザイン、倫理的なAI・バイ・デザインは将来の重要な要素になるでしょう。

40:00 Vishal Salvi: ですから、それがサイバーセキュリティの世界にどのように影響するかを注意深く見守る必要があります。それを設計するのは人々であり、すべての認知作業は日常的な活動ではなく、思考に移すべきだと思います。私たちは今、人間に付加価値をもたらさないことをするために、非常に認知的な帯域幅をある程度使っています。とにかく、私たちには需要と供給という深刻な課題があります。ですから、これからすべての自動化を行っても、サイバーセキュリティ専門家の失業率がゼロというこの状況から抜け出すことはできないと思います。ですから、それは私たちが心配する必要のあるリスクではないと思います。私たちは常に、コグニティブ・ワークをどんどん行い、すべてを完全に自動化するように努めるべきだと思います。そうすれば大したことはないと思います。

40:46 ラグー・ナンダクマラ：うん。私たちサイバー専門家には永遠に仕事があるなんて信じられない。話を終える直前に、サイバー・プラクティス・リーダーとしてこれから何が待ち受けているのかについて、皆さんがワクワクすることは何ですか？セキュリティ担当者として、クライアントからどのようなことを見ていると、本当にワクワクしていることは何ですか？

41:05 Vishal Salvi: 一方では、この問題を解決でき、侵害やインシデントが減ることを常に望んでいます。それが私たちが目指したい世界だからです。そして、雇用保障や収入を増やすために、もっと多くの事件が起こるのを待っているような状況にはしたくありません。少なくとも私はそれには賛成しません。だから私は、航空旅行やその他の多くの活動において、リスクを一切容認しないこの問題を解決できたように、デジタル面でもっと安全な世界を作りたいと思っています。

41:40 Vishal Salvi: サイバーは、ある段階で転換点に達すると思います。誰もが目を覚まし、誰もが真剣に受け止め始めると、サイバーは真に民主化されたでしょう。その時、実際に転倒して下がり始め、問題ではなくなると思います。やがてそれはもうニュースにはならず、物事を行う方法になるでしょうが、私たちはそこから遠く離れており、おそらく今から数十年も離れているでしょう。今でも、ヘッドラインニュースで誰かが情報漏えいをしています。必要なのは...だから、願わくばもっと安全なシステムを設計して作って、毎回パッチを当てたり、バンドエイドを貼ったりして、配管全体をめちゃくちゃにするという課題がないようにする。

42:18 ラグー・ナンダクマラ：うん。これはとても興味深いことだと思います。なぜなら、サイバー・レジリエンスに関して私たちが目にしているこの真の推進力にうまく反映されているからです。まるでセキュリティ侵害が起きそうな感じです。インフラストラクチャやコントロールなどを、可能な限り最適に機能し続けることができるように構築した場合、それらは本質的に不便になります。同じことが起こるたびにヘッドラインニュースになるわけではありません。

42:47 Vishal Salvi: いいえ、サイバーレジリエンスは今日の状況では非常に重要なトピックだと思います。なぜなら、侵害は必ず起こると想定しなければならないからです。そして、そのためには、組織がその特定の侵害に対して冷静かつ冷静に対応できる方法が必要です。その方法では、ただそれを封じ込めて回復することはできず、非常に迅速に事業再開に戻り、非常に専門的かつ冷静に実行できる方法が必要です。そして、全員が自分の役割と責任を理解し、それを実行するための適切なプレイブックを持っている必要があります。

43:18 Vishal Salvi: これは非常に重要なトピックだと思うし、ほとんどの組織がそれを検討している。そして、それは今後の戦略において非常に重要な要素だと思います。

43:27 ラグー・ナンダクマラ：ええ、冷静でかっこいい言葉が好きです。サイバー・レジリエンスとは、侵害を受けた後でも、冷静かつ冷静に運用を継続できることです。ええ、それはリスナーによく伝えておくのがいいですね。ヴィシャールさん、ザ・セグメントで時間を割いてくださったことに本当に感謝しています。よく聞いている皆さん、LinkedInでVishalの月刊ニュースレターをチェックしてください。素晴らしい。ヴィシャル自身からの CISO のインサイトは素晴らしい。その名は「CyberTalks: サイバーセキュリティに関するあらゆることに対するCISOの見解」です。ヴィシャールさん、どうもありがとうございました。これだけでも楽しかったよ

44:03 ヴィシャル・サルヴィ:ありがとうございます。ここでも同じです。ラグー、今日はここに来てくれて本当にありがとう。今日は話せて楽しかったし、この会話も本当に楽しかった。

44:13 Raghu Nandakumara: 今週のザ・セグメントのエピソードを視聴していただきありがとうございます。さらに詳しい情報やゼロトラストのリソースについては、当社のウェブサイト illumio.com をご覧ください。また、イルミオのリンクトインやツイッターで私たちとつながることもできます。今日の会話が気に入ったら、ポッドキャストを入手できる場所ならどこでも他のエピソードを見つけることができます。ホストのラグー・ナンダクマラです。すぐに戻ってきます。