A logo with accompanying text "Listen on Spotify"A logo with accompanying text "Listen on Apple Podcasts"
モダナイゼーションのセキュリティ上の課題
Season Two
· Episode
5

モダナイゼーションのセキュリティ上の課題

このエピソードでは、ホストのRaghu NandakumaraがViking Technology AdvisorsのCEOであるStephen J. Whiteと座り、ネットワークセキュリティの近代化におけるゼロトラストネットワークアクセス(ZTNA)、クラウドの採用、AIの重要な役割について話し合います。彼は、業務効率とセキュリティを強化するための可視性、自動化、総合的なアプローチの重要性を強調しています。

トランスクリプト

00:00 ラグーナナダクマラ

みなさん、こんにちは。この「セグメント」のエピソードでは、非常に名高いネットワークおよびセキュリティエンジニア兼アーキテクトであるスティーブ・ホワイトが参加できてとても興奮しています。彼は長年、特に金融サービスに携わり、世界の大手銀行のネットワークとセキュリティのインフラを構築してきました。そして現在は、Viking Technology Advisorsの創設者兼CEOとして、長年の経験を活かして、クライアントのデジタル変革への取り組みを支援しています。スティーブ、ザ・セグメントへようこそ。あなたがいてくれてうれしいです。

00:36 スティーブホワイト

ここにいるのは素晴らしいことです。Raghu、本日はこのようなエキサイティングな会話をする機会をいただき、本当にありがとうございました。

00:43 ラグー・ナナダクマラ

光栄です。開業医の経験が豊富な人と話すのはいつも楽しいです。ですから、あなたの経歴、そしてネットワークとセキュリティエンジニアリングにおけるあなたの長いキャリアを見て、今日のネットワークセキュリティの状況を見て、振り返ってみると、あなたが長年解決したいと思っていた問題を解決していることに、あなたはとても興奮していると思います。

01:08 スティーブ・ホワイト

ええ、知ってるでしょ、あなたがそう言うのは面白いです。バイキング・テクノロジー・アドバイザーズの市場開拓事業計画は、私が会社を始めてから過去7か月で進化してきました。そして、私がした興味深いことの一つは、信じようと信じまいと、過去30年間に起こった歴史的な時代を見ることです。そして、この30年間にわたって大規模な新技術の注入が行われ、それがビジネスに影響を与えてきました。ですから、私の考えでは、デジタルトランスフォーメーションは実際には新しいものではありません。これは、私たちが長年にわたって経験してきたことです。そして、これらの新しいテクノロジーにはそれぞれ共通点が1つあります。それは、ネットワークとサイバーセキュリティに対する圧力と需要の高まりです。また、それが実際にポイントソリューションの大規模な増加と複雑さの増大を引き起こしていることも事実です。そのため、情報、ネットワーク、サイバーセキュリティがビジネス需要の一歩先を行くことは非常に困難になっています。そして、その傾向は今、増加の一途をたどっています。クラウドについて見てみると、クラウドはそれほど新しいものではありませんが、信じられないことに、20年近く前から存在していますが、実際には企業が過去5〜8年の間に本格的にクラウドを追い求めているようです。そして今、AI とジェネレーティブ AI により、その速度とペースは均一になり、さらに加速しています。また、クラウドベースのネットワークとセキュリティ制御には、企業が自社の境界について考える方法を劇的に変えるような、本当に新しいエキサイティングなテクノロジーがいくつか出回っています。それらの境界は、私たちが従来見てきたものとは大きく異なるでしょう。そして伝統的に、私たちが主要なコントロールポイントと考えてきたものが。そのため、その観点から見ると、人、プロセス、テクノロジーのすべてが協力してこの移行を行う必要があります。そして、マーケティング資料で現在使用しているモダナイゼーションという言葉が本当に気に入りました。モダナイゼーションは必ずしもトランスフォーメーションに関するものではなく、現在と将来に向けてモダナイズする必要があるからです。それこそが課題です。顧客が現在必要としているもの、または会社が現在必要としているものを提供し、将来をサポートするにはどうすればよいでしょうか?私は、もし私が大企業で働くとしたら、その企業の経営陣にはこのようにアプローチする、というモデルに基づいてこの会社を設立しました。そして、それがまさに私たちがお客様にもたらす価値提案です。それは、私たちはお客様の立場に立って 1 マイル歩き、お客様の現在地を正確に把握しているということです。そして、そのモダナイゼーションの目標の実現を支援するために、最高のパートナーシップと自動化を導入しているのでしょうか?

03:53 ラグー・ナナダクマラ

そうですね。あなたが1マイル歩いた表現を言い換えると、私たちのリスナーの多くがそう願っていますよね?ですから、彼らはあなたが提供しようとしている洞察に熱心に耳を傾けているでしょう。デジタルトランスフォーメーションと呼ぶかモダナイゼーションと呼ぶかに関わらず、言葉の選択についておっしゃったことには戻りませんが、おっしゃったことは、これらのステップのそれぞれが実際にはネットワークとサイバーセキュリティに新たな課題をもたらすということでした。では、最初の質問は、モダナイゼーションの各ステップのその段階に着手するにあたり、そう思うかということです。こうしたサイバーセキュリティの課題について、私たちは十分に認識していると思いますか?それとも、後から考えるだけで素晴らしいことなのでしょうか?

04:37 スティーブ・ホワイト

本当にすべてが後から考えて行われているようです。私には、ロードマップと戦略はすべてクラウドの採用に基づいているように感じます。クラウドの興味深い点の 1 つで、かつ非常に興味深い点の 1 つは、実際には自動化機能、クラウドネイティブ機能、および標準です。クラウドにおける標準化の度合いを考えてみてください。オンプレミス環境やレガシー環境の構造化された標準を満たすことができなければ、または従来のインフラストラクチャ環境がすべて特定のアプリケーションニーズを満たすようにカスタム構築されていない限り、ワークロードをクラウドで実行することはできません。これにはサイバーセキュリティコンポーネントも含まれます。つまり、これらのサイバーセキュリティコンポーネントはすべてポイントベースのソリューションです。そして、これらの新しいアプリケーションや新しいビジネス要件をその上に重ねた場合、企業の幹部やインフラ運用責任者、そしてサイバーセキュリティパートナーが最初にすべきことは、現在のツールとテクノロジーのポートフォリオを評価することです。何かを機能させるために、四角いペグを丸い穴に突き刺そうとすることがよくあります。そして、必ずしもそうであるとは限りません。それで十分かもしれません。しかし、時には十分であるだけでは十分ではないこともあります。そして、これらの決定にはリスクと規制の側面があり、結局はここで重要な役割を果たすことになります。そのため、前もって適切に行わないと、私たちが受け入れたリスクや管理されていないリスクに関連して、リスクや規制上の二日酔いが発生することになります。そして、そのリスクは組織の成功への継続的な足かせとなります。

06:19 ラグー・ナナダクマラ

では、モダナイゼーションの変革によって、セキュリティを改善できるだけでなく、よりシンプルに実現できると思いますか。なぜなら、ポピュラーメディアや業界メディアでセキュリティの課題について見たり読んだりすると、「クラウドに移行するとセキュリティは非常に複雑になる」ということがよく見えてきます。「デジタルトランスフォーメーションの取り組みの一環として、セキュリティは非常に複雑です。」これについてどう思いますか?

06:53 スティーブホワイト

そうですね、業界の世界では興味深いですね。聴衆に伝えたい重要なデータポイントの1つは、私がNetskopeのCXOアドバイザーであるということです。そして、Netskopeが試みていたアプローチのテクノロジーが非常に気に入ったのは、この問題を解決するために市場に持ち込まれたものです。この分野には明らかに他の競合他社が存在します。しかし、真のクラウドの採用、リモートワーカー、新型コロナウイルスへのあらゆる影響、ZTNA、ゼロトラストネットワークアクセスの採用、境界ベースのセキュリティ制御からの脱却など、IDと7つの異なるパラメータに基づいてアクセスを許可するか、ブロックするか、指導するか、再プロビジョニングすべきかをインテリジェントに判断することは、本当にエキサイティングなことです。なぜなら、今では、今日の機能を実際に提供するだけでなく、サポートを拡大する機会もあるからです。未来は私たちのすぐそばにあります。正しい?そして、ご存知のように、過去のAIの導入について考えてみてください。その時間枠については詳しく説明しませんが、Netskopeのような企業は、そのようなテクノロジーを導入する前から、その問題を解決するために提供されていますよね?なぜなら、彼らはゼロトラストアクセス機能を備えているため、IDやその他の制御のインテリジェンスに基づいてビジネスを可能にする機能を提供できるからです。これは非常に強力です。なぜなら、ネットワーク分野やサイバーセキュリティ分野では常に許可やブロックがあり、「その意思決定に他にどのようなインテリジェンスを活用できるか?」と言う選択肢がなかったからです。これらは、企業が真剣に検討する必要のある、画期的な機能です。これにより、境界セキュリティアーキテクチャの負担が軽減されます。つまり、これらの制御をクラウドに移行することで、ホストされているアプリケーションへの近接性が向上し、同僚のエクスペリエンスにおける顧客体験が向上したのです。そして、そこでの同僚の体験は非常に重要です。なぜなら、社員がオフィスにいても、リモートにいても、空港にいても、どこで仕事をしていても、まったく同じように感じてもらいたいからです。なぜなら、私たちは今、どこでも働いているからです。私たちは 1 か所で仕事をしているだけではありません。どこでも働き、独自の一貫したポリシーを持つことができます。私はよく従来のファイアウォールベースのアプローチを振り返りますが、セグメンテーション戦略に透明性をもたらすために、イルミオのように活用し、イルミオをSECのすべてのポリシーと組み合わせる方法を常に模索していました。また、特定の企業と私が働いていたいくつかの企業における成熟度とセグメンテーションのレベルが、私たちが導入する必要のある大規模な規制管理であったかどうかを常に模索していました。しかし、20年前と比べると、ポリシーの管理は非常に厳しいものになっています。ポート宛先へのアクセス、送信先ポート、送信元 IP と宛先 IP ポート。そうではないだけです。企業がクラウドへの移行やトランスフォーメーション、そしてクラウドへのモダナイゼーションを採用しようとしているため、ペースに合わせて速度を維持するには十分きめ細かくありません。

10:06 ラグーナナダクマラ

ええ、絶対に。これは素晴らしい視点だと思います。なぜなら、ここで本当に理解しているのは、モダナイゼーションを真に加速するためには、モダナイゼーションのごく一部であり、必要に応じて動的かつスケーリングおよび自動化できるテクノロジーだけでなく、それをサポートするセキュリティ機能、セキュリティテクノロジーも必要だということです。同じ。というのも、ある種のセキュリティ機能があると、突然、セキュリティという決まり文句がイネーブラーになり、実際にセキュリティが進歩を遅らせるようなものになってしまうのに対して、それが実際に起こる可能性があるからです。そして、25年前には本質的に最善を尽くしていたセキュリティ機能を移植しようとして、彼らが今日私たちが必要としていることをまだ実行できると期待するのは、まったく正しいと思います。つまり、それを期待するのは狂気だと思います。でも興味深いのは、あなたが ZTNA について話していたからです。それでは、もう少し上のレベルにしてみましょう。そして、ゼロトラストについて話し、それをモダナイゼーションの会話の枠組みに組み込んでいきましょう。まず、長年の実践者として、ゼロトラストに初めて出会ったのはいつですか?そして、それに対するあなたの反応はどうでしたか?

11:39 スティーブホワイト

数年前、従来のオンプレミスSWGからクラウドベースのアクセスへの移行を検討していたときに、ゼロトラスト戦略に出くわしました。そして、それが私たちにもたらした可視性こそが、本当の意味での可視化につながったのです。これは、環境内の 1 つのコンポーネントを交換するだけではありません。これは全体的な変化であり、戦略的な転換でもあります。Webアクセス用のVPNやSWGなどの特定のアクセス制御を提供するポイントソリューションから、ZTNAがその上にセキュリティコンポーネントとして重なるクラウド戦略への実際の移行まで、従来の制御なしでオンプレミスソリューションへのアクセスをプロビジョニングできるようになりますよね?なぜなら、これは良い移行段階だからです。というのも、実際にワークロードを移動させても、何かが変わったことを必ずしもお客様に意識させる必要がないからです。彼らはアプリケーションが移動していることすら知りません。従来の ZTE とプロセスは、オンプレミスでもクラウドでも同じコントローラーだからです。つまり、今日存在するアーキテクチャで私が直面している課題の 1 つは、すべてが個別のトライアル、個別のプロセスセット、個別の制御セット、個別の管理セットとしてクラウドに複製され、オンプレミスにも存在するということです。そして、それは今日のように実行されているようなものです。しかし、オンプレミスをクラウドに完全に統合していないと、オンプレミス環境が成功への障壁になってしまいます。ZTNA を統合することで、この 2 つを実際に統合できるようになります。これは、Illumio オンプレミスでマイクロセグメンテーション制御を実現し、クラウドでも同じ機能と制御を実現できるようになったためです。そして、それを同じポリシーで実現できます。それがどれだけかっこいいって感じだよね?パートナーシップがあることはわかっています。完全に発表されているかどうかはわかりませんが、NetskopeとIllumioとのパートナーシップですよね?つまり、この2つのテクノロジーが非常にうまく機能し、互いに補完し合うようなエキサイティングなことが起きているのです。そして結局のところ、セキュリティをルールよりも有効にすることが重要なのです。先ほどおっしゃったように、セキュリティはイネーブラーですが、同時に、目に見えないようにすることにもなります。つまり、ユーザーコミュニティは、セキュリティで保護され、制御され、管理されているだけでなく、どこにいても同じくらい効果的に仕事をこなせるようにするためです。ただ、今は本当に重要な時期だということだけです。この話で少し年をとったと思いますが、90年代後半にインターナショナル・ネットワーク・サービスという会社で働いていました。私が大学を卒業したとき、IP ネットワーキングはまだ始まったばかりでした。そして、彼らのプロフェッショナルサービスモデルである INS は、お客様の IP ネットワーク環境の近代化を支援することを中心に構築されていたことを覚えています。なぜなら、誰もが IP ネットワーク環境を手探りしていたからです。彼らはそれをどのように機能させるかを考え出そうとしていました。彼らはさまざまなプロトコルに苦労していました。そして、無数の異なるプロトコルがあったに違いありません。それこそが、シスコが本当に最高のネットワークプロバイダーになった理由です。なぜなら、シスコはそれらすべてを回帰サポートしていたからです。これらの新しいテクノロジーの採用、特にクラウドベースのネットワークセキュリティ、ZTNA、マイクロセグメンテーションに関しては、現在と非常によく似た時期にあります。これは、ネットワーク分野での思考の実務者であり、キーボードに触れながら成長し、さらに上級管理職へと進化していくという従来の考え方からの転換です。私たちは、物理ファイアウォール、つまり分離とセグメンテーションを実現することを中心としたネットワークのアーキテクチャに常に惹かれていました。しかし、それは現実ではありません。ご存知のように、ほとんどの企業にはそのために費やす時間と労力がありません。そして、ソフトウェアベースの制御を利用し、それを仮想的に実現し、企業のセキュリティ体制を改善できることは、大きなチャンスではないでしょうか。それがどこにあるのか、とてもわくわくしています。それこそが、私がViking Technology Advisorsを始めた主な理由の1つです。評価フェーズから始めて、4回目の完全自動化を行い、30、60、90日以内に簡単なタッチを行い、お客様がこれらのテクノロジーを採用するためのロードマップと戦略を構築できるように支援したいからです。なぜなら、このような作業は複数段階、複数年にわたる取り組みだからです。しかし、予算の余裕や、変更リスクに対する顧客の関心や意欲に合わせて管理する必要もありますよね?変更リスクの管理は重要です。そのため、この2つの側面を管理する必要があります。これら両方を持ち込むのは、私がこれまでのキャリアでやってきたことであり、私のキャリア全体が、テクノロジー採用のビジネス面に関するものでしたが、実際には、それがビジネスの成果をどのように左右するのでしょうか?そして、これらの能力はすべてビジネスの成果を促進するためのものです。これこそが、真のインフラストラクチャー・プラットフォーム・エンジニアリングへの移行だと私は考えています。これこそが製品ですよね?ご存知のとおり、Raghuさん、これも私が苦労していることの1つです。私はこれについて、まるでみんながプラットフォームエンジニアリングについて話しているかのように考えています。なるほど、それは理にかなっています。それはすべて製品に関するものですよね?それは分かるよ。しかし、ネットワークとセキュリティの製品は何でしょうか?たとえば、それを製品化できるか、インフラストラクチャー・プラットフォーム・エンジニアリングにどのように移行するか、などです。12 月に開催された Gartner カンファレンスでは、インフラストラクチャと運用のクラウド戦略という話題が大きく取り上げられました。

17:05 ラグー・ナナダクマラ

あなたが共有してくれたことはたくさんあるので、その一部を解き明かしたいと思います。まずは、結果重視の姿勢についてあなたが本当に言ったことから始めましょう。というのも、私自身のネットワーク・セキュリティ・エンジニアとしての経歴を振り返ってみると、ビジネス成果の部分は、あなたが実際につながっているものではないことが多かったからです。あなたは、ある意味、非常に集中しているようですが、さて、どのようなセキュリティ上の成果を目指そうとしているのでしょうか?そうだね?というか、おっしゃるように、これを可能にするために私が作らなければならない5つのタプルのようなものです。しかし、クライアントとの会話をどのようにレベルアップさせるか、皆がビジネスの結果から始めて、最終的にはセキュリティの観点から、その方法に取り掛かる方法について、少し話していただけますか?

18:01 スティーブ・ホワイト

重要なのは、お客様を理解することだと思います。私たちはお客様と会い、理解します。まず、お客様がカスタマージャーニーのどの段階にいるのかを理解し、可視性を保ち、ステークホルダーと詳細な会話をすることから始めます。しかし、私たちがしていることは、インベントリ、構成、脆弱性、パッチ、トポロジ、現在の状態への投資など、ネットワークインフラストラクチャに関する実際のデータポイントを導き出すために、お客様の環境の自動検出を組み合わせることです。また、通信事業者の経費管理実績の観点からもそうしていますが、通信事業者がネットワーク予算の大部分を占めるのは金融サービス会社の予算であるという事実を見逃すわけにはいきません。そしてパズルの最後のピースですが、最近新しいパートナーシップを結びました。X Analyticsという会社と取り組んでいる新しいパートナーシップです。これは、エンドデータのサイバーセキュリティリスク、成熟度、および関連するスコアの測定に透明性をもたらすことです。これで、経営幹部の幹部と、実際のビジネス状況について会話できるようになりました。セキュリティに関連するリスクはどこにあるのか、またその成熟度スコアを実際に向上させるために実際にどのような手段を講じることができるのか。今それを行うことで、ビジネスに関連する実際のデータに点と点を結びつけたことになります。もう 1 つ行ったことは、実際に話し合って、その成果を実現するための計画を立て、その成果の成功を測定できるようになったことです。成功の測定は非常に重要な要素です。予算として何百万ドルも要求したのに、いつになったんですか?そうですね、ZTNA ベースのクラウド・ネットワーク・セキュリティ導入プログラムに行ったときのように、いつになったら完了するのでしょう?たとえば、ビジネスケースを持ち出す場合は、そのための予算を計画できるように、プロジェクト全体の観点からそのビジネスケースを提出したいと思うでしょう。もう 1 つできることは、統合の機会を検討することです。先ほどお話ししたように、ほとんどの企業では、管理、導入されているポイントソリューションが30個または40個ある可能性があります。つまり、ライセンス、ハードウェア、知識、人材が揃っているということです。これの力は、これらすべてを統合し、物事の配送方法の効率を高め、リアルタイムで配信することです。その結果、チケットを開いたり、ネットワークチームの誰かに電話をかけたりする必要がないセルフサービスも提供できます。私はこれにアクセスできません。そのセルフサービスを可能にすることがすべてです。セキュリティの観点から成熟度スコアの指標をとり、それをネットワークとセキュリティの自動化機能がアプリケーション開発者にどのように提供されているかと組み合わせると、開発者はよりシームレスに仕事を遂行できるようになります。私たちはそのように考えています。そして、それが私たちの会話の仕方です。なぜなら、それは測定可能で決定論的だからです。

21:14 ラグーナナダクマラ

ですから、その一環として、そして全体として、測定可能性は非常に重要です。存在であること、成功への非常に決定的な道筋を持つことは非常に重要です。ゼロトラストの導入とゼロトラスト戦略の採用についてどう思いますか?それが話題になるのはどんな時ですか?それとも、あなたの顧客、クライアント、そしてプロジェクトが通常その戦略に沿った会話をしているのでしょうか。

21:45 スティーブホワイト

戦略はすべてゼロトラストの採用を中心に構築されています。それが大きな転換点ですよね?そして、Illumioのようなテクノロジーにより、オンプレミスでもクラウドでも、それを非常にシームレスに行うことができます。そして、反復的なプロセスを使えばそれが可能ですよね?私が過去 2 つの異なる企業で、少なくとも過去 10 年間にわたって Illumio を使用してきた導入は、その機能だけで製品自体で大きな成功を収めました。ネットワークやインフラストラクチャのトポロジーを物理的に変更する必要がなく、その成果を実現するためのインフラストラクチャを物理的に変更する必要がありません。すべてのアプリケーションフローのコンピューティングエンジンのポリシーの中で、イルミオが提供する可視性には基盤があり、その上にこれらの各コンポーネントを戦略的な取り組みとして重ねることができます。つまり、私の考えでは、最終段階はゼロトラストです。そこにたどり着くまでの道のりがあります。その道のりのロードマップは、まさに私たちがお客様と時間を費やして、その道のりの各ステップを理解できるように支援するものです。それがまさに私たちのアプローチです。

22:54 ラグーナナダクマラ

ええ、実際に戻ってくるかもしれませんが、あなたがゼロトラスト戦略全体の基礎を説明する方法は、可視性です。そして、その可視性を利用して、たとえば、環境への暗黙の信頼をなくし、環境をより適切に保護するために、どのようなコントロールを重ねる必要があるかを特定します。しかし、ゼロトラスト戦略を採用する場合の実際の決定は、会話の裏で、顧客に提供するような評価サービスについて話していたということですよね?それとも、ゼロトラスト戦略の採用は、すでに受け入れられているものなのでしょうか?そして今は、「ねえ、スティーブ、これを実行するにはどうすればいいの?」という感じです。

23:38 スティーブホワイト

素晴らしい質問です、ラグー。だから、両方だと思うよね?お客様の中には、ある程度の成熟度があり、イルミオを導入したとしても、そのスコープを導入しても、ZTNAの移行を十分に活用していない場合があります。そうだったかもしれませんし、SWIG コンポーネントを導入して、VPN の代替を考えているかもしれません。しかし、VPN の場所について考えるとき、実際には VPN を置き換えるわけではありません。アクセス方法を全体的に変え、その結果 VPN が置き換えられますが、代替品のようなものとは言えません。同じように、イルミオスペース内でも、お客様がすでにイルミオを利用している場合、その顧客はどこに向かっているのでしょうか?コントロールはオンプレミスで実装されていますか?クラウドで監視を行っていますか?しかし、オンプレミスとクラウド間で一貫したポリシーを実現するための次のステップは何でしょうか。これで、アクセスをプロビジョニングし、個々のコンポーネントだけでなく、アクセス要件の全体像を把握した上でアクセスをプロビジョニングすることになります。「ああ、クラウドオンランプでファイアウォールの変更が必要なんだ。また、AWS インスタンスのアクセス制御を変更する必要があります。そして、ところで、オンプレミスでも変更をプッシュする必要があるでしょう」ですよね?ご存知のとおり、その 1 つの例には 5 つか 6 つの異なるポイントがあります。それがまさにバリュープロポジションです。ここでのアウトプットはこの ZTNA です。これをユビキタスにプロビジョニングして、すぐにシームレスにできます。ただし、事前に計画を立てる必要があります。そして、それを実現するには、依存する要素をすべて重ねる必要があります。それには時間がかかることがあります。時にはもっと速く走るためにスピードを落とさないといけないこともあるし、そうしなければならないこともある。しかし、私たちが注力していることの 1 つは、お客様がその旅に取り組んでいる間、料金とペースを維持し続けることができるようにすることです。なぜなら、お客様が行っていることを実際にやめる機会は、選択肢にはないからです。そうですね、それはまさに自動化の部分です。ネットワークと同じように、人々は自動化について話していましたが、ネットワークとネットワークは、実際にはかなり停滞しています。実際にはそれほど頻繁には変化しません。変化の度合いがかなり高いのであれば、おそらく対処すべき設計またはアーキテクチャ上の課題があり、それがそのニーズの原因になっているのでしょう?なぜなら、実際にはそうする必要はないはずだからです。

25:50 Raghu Nanadakumara

絶対に。そして、彼らはただそこにいるだけです。他のポッドキャストのエピソードを見たことがあるなら、私が長い間説教してきたようなことをゲストが言うのを聞くと、私はますます笑顔になります。そして何となく、それが私をとても幸せにしてくれる。さて、先ほどおっしゃったいくつかのことに戻りたいと思いますよね?リスナーにまず理解してもらいたいことは、ゼロトラストの姿勢を実現するのに役立つテクノロジーがあるかもしれないということだと思います。しかし、それらを持っているからといって、本当にゼロトラストへの道を歩んでいるわけではありません。そして、「ああ、まあ、ねえ、VPNをZTNAテクノロジーに置き換えたよね?だから、私は行動しなければならない。ゼロトラストの道を歩まなければならない。私のテクノロジーの 1 つに「ゼロトラスト」という名前がついているか、それと同等なので、マイクロセグメンテーションのテクノロジーはありますが、実際にはセグメンテーションは行っていません。ですから、私は真の意味でゼロトラストをやっているわけではありません。」皆さんが気に入っているのは、単にこれを実行できるテクノロジーを用意することだけではなく、それを総合的に見て、環境への信頼を本当に低下させるようなセキュリティポリシーの構築に焦点を当てることだと思います。そうですね。そしてもう一つ私が思うのは、それが本当に重要だったのは、最終的にそれを全体的に見ることだったということですよね?なぜなら、環境の小さなポケットごとに異なる戦略を立てていれば、戦略にはなりませんよね?これはまさにあなたのチャンスです。どうすれば環境全体でより統一されたセキュリティ態勢を実現できるかを考えています。それはほんの少しのステップで、達成するには段階的な変化が必要ですが、私が本当に目指しているより大きな全体像について考える必要があります。それは良い要約と言えるだろうか。

27:43 スティーブホワイト

うん。100%?うん、絶対に。前述の通り、そしてネットワークの全体的なアーキテクチャは、従来のハブ(いずれも設計)から、ご存知の通り、SD LANの採用への移行の重要な要素です。しかし実際には、SD LANはビジネスクラスのインターネットサービスによって実現されています。それがカギだよね?必要なのは、その両方を1つにまとめる必要があるということです。つまり、先ほどお話しした「人とプロセス」に関する重要なポイントを 1 つ強調しておきたいと思います。これらのチームをまとめるという点では、ZTNA を中心としたこれらのプロジェクトやイニシアチブにはそれぞれ複数の利害関係者が必要です。最高情報セキュリティ責任者がいるわけですよね。ネットワークインフラストラクチャチーム、エンドポイントエンジニアリングチーム、デスクトップエンジニアリングチーム、クラウドチーム、複数の利害関係者がいて、それぞれの利害関係者は問題を解決する方法について独自の意見を持っています。ええ、しかし現実には、全員が集まって、そのビジョンと戦略について合意する必要があります。そうだね。つまり、私は最近、オープンネットワークのユーザーグループであるONUGに参加し始めました。10 月に開催された ONUG セッションでは、「サイバーセキュリティチームとネットワークチームが一緒になって合併すべきか」ということが大きな話題になりました。その質問に対する私の答えは「はい」です。それが根本的な変化です。ZTNA とベースのデリバリーモデルを採用し始めると、これらのチームを 1 つにまとめることになり、サイロ化された状態で業務を行うことはできなくなります。そして、それがほとんど難しい側面です。しかし、テクノロジーはそれを強制し、会話を成立させるでしょう。そして、従来のモデルは機能しないため、これらのテクノロジーを採用するための組織構造の変革と近代化について考える企業が増え始めていると思います。これは、ガートナーが12月に開催したカンファレンスで話した内容の大きな部分を占めていました。

29:48 ラグーナナダクマラ

ええ、それはとても素晴らしい点だと思います。なぜなら、他の多くのゲストがジョージ・フィニーの著書「プロジェクト・ゼロトラスト」を作ったのもその点だからです。そして、イルミオのチーフ・エバンジェリストであり、ゼロトラストの創始者の一人でもあるジョン・キンダーヴォーグは、これが正しく行われれば、セキュリティのあり方が変わるだけでなく、組織化の仕方にも変化がもたらされるということです。そうですね。それを達成するには、あなたが雄弁に言ったように、誰もがそのプロセスに参加する必要があります。そうだよね?セキュリティチームだけではなく、ネットワークチームです。インフラチームです。アプリケーションチームですよね?組織のあらゆる部分と同様に、何らかの形でリスクチーム、たとえばRACIが関与しています。これをどのように行うかを管理するのは、リスクチームです。そして、それこそが、持続的な変革を推進できる唯一の方法です。でも、そういうふうに考えているんですか?

30:47 スティーブホワイト

ええ、100%?ええ、その通りです。まさに。まとめるのはいい仕事だ

30:52 ラグー・ナナダクマラ

だから、次に進みたいと思います。そして、あなたはAIとジェネレーティブAIがもたらす可能性について話しました。ネットワークセキュリティの実務者として、ゼロトラストはさておき、AIが私たちの分野にもたらすエキサイティングなことは何ですか?

31:15 スティーブ・ホワイト

今はとてもエキサイティングな時期だと思います。早い段階で、仕事に取って代わられたり、自動運転車のように入れ替わったりと、怖がる人がいるかもしれませんね。しかし、組織におけるDevSecOpsの管理に必要な管理レベル、または実際にテンプレートや構成、標準を構築してNetSecOpsチームが利用できるようにするために必要な労力のレベルについて考えてみてください。AIとジェネレーティブAIの自動化があれば、通常は実行されないすべての機能を自動化できますよね?SOP を導入し、インシデントやイベントへの対応を自動化し、究極の可用性を向上させることについて、誰もが良い話をしています。なぜなら、現実を直視すると、IT 部門に障害が発生しても、今すぐにでも障害が発生するからです。誰もが期待しているのは、ファイブ・ナインの可用性です。しかし、ここで重要なのは、何か問題が発生したときに、どれだけ迅速に対応できるか、どれだけ効果的に対応できるか、インフラストラクチャを適切に設計することでビジネスへの影響を最小限に抑えることができるかということです。ジェネレーティブ AI における AI は、これらの分野での大幅な改善を促進する見込みです。そして、経営陣の管理に追われて行き詰まっているチームが、より価値の高いタスクに集中できるようになります。そして、それはとてもエキサイティングなことのようです。そして、ご存知のとおり、いくつかの異なるスタートアップが出現し、私の友人がそのスタートアップをやっているパートナーシップもいくつかありますが、彼らは私が話していることを踏まえて、大企業が必ずしも自分で構築しなくてもこれらの分野の効率を向上させるのに役立つ正確なモデルを構築しています。そうですね、もう1つ私が共有したいもう1つの要素は、一部のものについては自分でやるアプローチが意味をなさないということです。そこで、私が戦略アドバイザーを務めている別の会社、ブルーエアもそこに振り向けています。Blue Airは、市場に出回っている唯一のインテリジェント・ベースのローコード・ノー・コード・ネットワーク自動化プラットフォームであり、自分でやるようなアプローチを排除しています。組織の効率を大幅に向上させます。そして、ネットワークはかなり停滞していますよね?また、非常に複雑でもあります。サーバーの自動化やアプリケーションの自動化とは違います。そして、あなたはそれらを6000個手に入れました。固有の属性を持つコンポーネントが 3 ~ 4000 個あります。これらを自動化するには、カスタマイズとスクリプト作成が必要です。それを実現するのであれば、自分で行うことがその複雑さをすべて解消する接着剤です。つまり、これはAIの活用と承認の効率化に向けた第一歩のようなものです。日々の管理に専念しているエンジニア全員を雇ったので、自動化を導入することでそれを排除し、より価値の高いタスクに本当に集中できるようになるからです。AI、ジェネレーティブAI、継続的改善、新技術、ゼロトラストの採用。これらは大きなプロジェクトとイニシアチブです。そして、現在現場で活躍しているチームは、これらのプロジェクトやイニシアチブに参加したいと願っています。彼らはこれらを学ぶことをこれ以上望んでいないでしょう。なぜなら、新しいことを学んでいるので、自分が所属する会社にとって粘り強くなるからです。それは彼らが履歴書を進化させるのに役立ち、挑戦し続けていますよね?誰も同じことを何度も繰り返したいとは思わないでしょう。しかし、インフラ運用のリーダーの多くは、この分野で本当に苦労していると思います。なぜなら、片方の足をドックに、もう片方の足を船に乗せていて、両方を留めておくことはできないので、水に落ちる準備ができているからです。その両方を同時にこなすわけにはいきません。

35:10 ラグー・ナナダクマラ

おっしゃるように、私は実際にその場面を視覚化していたので、本当に面白いです。でも私も同感です。実際、それこそが、開発AIが本当に提供する可能性の鍵だと思いますよね?私は本当にこう思っています。「本質的に、付加価値ではなく、実際の価値という観点からそのことに光を当て続けるために、私が行っているようなありふれた作業の多くが、どうしてこのような作業になるのだろう?」彼らは私をゼロにしているようなものですよね?インフラストラクチャ全体の停止を減らすようなもの、構成のデプロイメントに関してもっと熱心に取り組むこと、あるいは障害ドメインをより強固に、ある意味でより堅牢に、ある意味で実現するようなタスクをオフロードするにはどうすればよいでしょうか。これが大きな飛躍ではないことを願っていますよね?実際、ゼロトラストの採用と同様に、ゼロは、多くの点で組織のインフラストラクチャに同じレベルの回復力をもたらすと感じています。つまり、可能な限り小さな種類の障害ドメインを効果的に作り出そうとしていますが、非常に動的な方法でそうですよね?つまり、障害によって障害が発生したとしても、基本的には構成ミスである可能性があるということです。しかし、攻撃者の可能性はありますよね?つまり、障害は、予期せぬ事態が起こるため、これら2つのイベントを区別するのが非常に難しい場合がありますが、ある種の制限を制限するセキュリティアプローチを導入することで、権限の乱用によってアクセスの乱用が制限され、それを封じ込めることができます。つまり、セキュリティチームは、本当に手に負えなくなったインシデントに圧倒されるのではなく、継続している間は、はるかに小さな火事を消すことに集中できます。残りの付加価値のあるタスクをやるようなものです。そして、アナロジーがそこにあるようなものにならないことを願っていますよね?しかし、そのようなAIは、多くの点で、ゼロトラストがセキュリティの観点から提供するものと同じものを提供すると感じています。

37:14 スティーブホワイト

絶対にそうです。本当にすごいところは、AI、人工知能、人間の思考、データの使用です。世の中に存在するさまざまなデータポイントについて考えてみてくださいね。Illumio、ログ、Splunk、そしてさまざまなシステムのすべてのログがあります。そのデータを従来の方法論で役立つようにするには、データをデータベースにオフロードし、データを抽出するためのスクリプトを作成する何らかの方法が必要です。そのためには、対象分野の専門家が必要になります。そしてそれは、「なんてことだ、それには何週間もかかるだろう」ということです。ご存知のとおり、インフラストラクチャと運用のリーダーが直面する課題の 1 つは、何をすべきかを決定するために必要なデータを実際に入手することです。AI は、そのような分析を行う際の複雑さを本当に解消し、スクリプトを作成できないエンジニアが、行きたい方向を決定するために必要な情報を得るのに役立ちます。そうですね。つまり、ソリューションエンジニアリングとデリバリーに関するものです。また、運用の分野では、さまざまなインシデントに対して明確に定義されたSOPを持つ開発SEC運用について話しているだけですが、すべてのインシデントについてSOP請求書を作成することは不可能です。サイバーセキュリティランサムウェアああ、なんてこった。そのようなイベントでは、私たちはよく卓上でエクササイズをしたり、自分自身をテストしたり、準備をしたりしていました。しかし、ここには常に微妙な違いがあります。AIは、何が起こったのかを正確に把握し、それに対応するために必要なデータポイントを完全に透明化するのに役立ちます。先に述べたように、AIはリスクの軽減、影響の軽減、ビジネスの維持がすべてであるため、対応にかかる時間を短縮できます。そうですね。つまり、これらの要素はすべてあなたの対応方法に関するもので、AIはその中で非常に重要な要素になるでしょう。そして、ジェネレーティブAIは特定の企業環境に合わせて調整すれば、透明性も高まるでしょう。

39:26 ラグー・ナナダクマラ

ええ、絶対に。リスクの軽減、影響の軽減、コストの削減について、先ほどおっしゃったことが1つありますよね。これは本当に興味深いことだと思います。というのも、私が組織の優先順位付けの観点から見た変化は、特にサイバー攻撃のようなものが、アプリケーションやサービス、インフラストラクチャの安定性と可用性を狙うようになってきたからだと思います。AIC と CIA の三つ組のセキュリティについての考え方が変わったことは間違いありません。そして、その三つ組のアベイラビリティの柱に大きな重きを置いています。そうですね。サイバー・レジリエンスという言葉は、今や至るところで使われていると言えるでしょう。それは、私が被害をいかに抑えるかに焦点を当てているからだと思います。もちろん、完全性と機密保持は重要ではないということではありません。しかし、可用性は常に少し後回しにされているように感じられていましたが、サイバー実務者が優先しているものとして、今では本当に切り札になりつつあります。

40:44 スティーブホワイト

そして、少なくとも私の考えでは、この2つのチームを結びつけることの重要性が本当に強調されています。なぜなら、私たちは常に強固な協力関係を築いているのかもしれません。つまり、私の会社と以前の会社では、サイバーセキュリティの分野で常に強力な協力関係を築いてきました。また、大規模なインシデントが発生するたびに、私たちは常に状況を把握していました。なぜなら、彼らは常にインシデントイベントに関する知識と経験をもたらし、それを制御または封じ込める力を持っているからです。しかし、ネットワークチームもその点で非常に役立ちました。なぜなら、その制御を環境に実装するほうが良い方法かもしれないとわかっていたかもしれないからです。しかし、ゼロトラストでは、ステロイドのマイクロセグメンテーションという、まったく異なるレベルの制御が可能になります。そうだよね?今、あなたはその場にはいません。ご存知の通り、従来のマイクロセグメンテーションモデルについて考えているわけでもありません。私たちは皆、ワークロードの周りに堀を作ろうとしているのです。今では、当然のことながら、そうした基本的な制御セットはそこにあります。しかし今、あなたはゼロトラストを使っています。これらのワークロードにアクセスできる限られた数のユーザーのみに基づいています。そして、ネットワークとセキュリティの物理的側面を利用した 20 年前の分離ベースのアプローチに頼っているため、管理がはるかに簡単になり、再び行う必要がなくなります。今、これをソフトウェアで本当にやっているというのは、本当に素晴らしいことです。ネットワークとセキュリティは、他のみんなの出身地まで追いついているようです。ええ、機能の観点からは。

42:16 ラグー・ナナダクマラ

絶対に正しい。そして実際に、ゼロトラストを使うと、ゼロトラストのようなフレームワークの中で焦点を当てている柱が何であれ、従来のアプローチよりもずっと簡単な方法で、はるかにきめ細かく動的なポリシーをインストゥルメントできると思います。これは矛盾しているように感じます。でも、ちゃんとやればそれが真実です。

42:52 スティーブ・ホワイト

つまり、脅威アクターは同じ権利へのアクセス権を持ち、AI、ジェネレーティブAI、つまりジェネレーティブAIにアクセスできるようになり、自動化を利用して効率を向上させようとしているのです。ゼロトラストベースのモデルこそが、先を行くための方法ですよね?今日私たちが何をしているかがすべてです。そして、私たちは今日どのように成果を上げればよいのでしょうか?そして、どうやってやるの?将来に向けてどのような計画を立てればよいのでしょうか?将来起こりそうな未知の問題に対処する準備はできていますか?それこそが、これらの技術者が実際にやっていることです。だからこそ、企業にとって、セキュリティ、物理インフラストラクチャ、およびそれを取り巻くアプリケーションから見て、ワークロードがどこにあるかに関係なく、ポリシーに対して総合的なアプローチをとることが重要です。ほとんどの企業は、オンプレミスのワークロード、クラウドワークロード、そして選択される製品の多くが宗教や政治的な要素を含むハイブリッドモデルになってしまうため、従業員には好きなものがあり、他の企業は好きなものを持っています。結局のところ、ポリシーと管理に一貫性を持たせることで、インフラストラクチャ運用チームとセキュリティの管理効率が向上するということに、誰もが同意できると思います。そして、アベイラビリティこそがすべてです。それが結果ですよね?なぜなら、結局のところ、それが正しく行われなければ、それは実際には可用性の影響だからです。

44:19 ラグーナナダクマラ

ええ、絶対に。よく言ったよね?結局のところ、アプリケーション所有者として、アプリケーションがどこで実行されているかは気にしませんよね?ただ、実行したいときに実行でき、適切なセキュリティがすべて備わっていることを確信したいだけです。そして、それがまさにゼロトラストの目的だと思います。それは、どのような環境でも、適切なレベルのセキュリティでアプリケーションを実行できることを保証できることの1つであり、アクセスできるはずのユーザーや、アクセスできるはずのアクターとしてアクセスできるものだけが、自信を持って実行できるようにすることです。それが究極的にはゼロトラストの目的です。重要なのは、運用しているインフラストラクチャーの問題ではありません。そうだろ?環境やテクノロジーの問題ではなく、アプリケーションの所有者にそれを本質的に保証できるかどうかが重要なのです。

45:11 スティーブ・ホワイト

あなたが今言ったことが好きです、私はそれを少しダブルクリックしたいだけです。ここで重要なのは、物理インフラストラクチャーとコントロールを分離することです。ええ。なぜなら、すべてが物理トポロジー内でのアーキテクチャ変更の実行に依存していたら、莫大な費用と時間がかかり、ビジネスが今それを必要としているからです。そうだよね?それではどれもうまくいきませんよね?つまり、実際には、従来のレガシー・インフラストラクチャー間のリンクの間に、必要であればオーバーレイとして抽象化レイヤーが作成されます。オーバーレイとは何かはよくわかりませんが、今話している内容にふさわしい用語かどうかはわかりません。とにかく使うつもりです。ご存知のように、物理環境の上にその環境の上に重ねるようなものです。そして、ご存知のとおり、多くの企業が、サポート終了後のパッチ管理や多くの課題に苦慮している環境の一部でも、短時間で解決できます。そして、それらすべてには時間がかかりますよね?そして、あなたは大企業のメンテナンスウィンドウの数についてしか考えていません。そして、医療業界にいるなら、メンテナンスの時間枠すらありませんよね?たとえば、何も書き留められないのは、見分けることもできないし、医者に伝えることもできず、必要なことをしてもらえないからです。私がメンテナンスをしているからです。それはうまくいきそうにない。

46:34 ラグーナナダクマラ

ええ、私はそれが好きです。なぜなら、あなたは今、リフレーミングをしていて、このアプローチを何を、どのように適用できるか、そしてそれが私にどのようなメリットをもたらすかを考えるとき、という観点からリフレーミングしているからです。このアプローチは、トランスフォーメーションやモダナイゼーションという点でモダンの観点からだけでなく、既存のレガシーインフラストラクチャにも当てはまるという点で、本当にメリットがあります。そして、あなたが使った「オーバーレイ」という言葉も気に入っています。それが気に入っています。というのも、インフラストラクチャ、インフラストラクチャの制約、実行できることなど、実行できることを制約する本質的なすべてのことを抽象化しているからです。そして今では、本質的にレベルを上げて、こう言うことができれば、「実は、インフラストラクチャのことは心配しなくていいよ。必要なことを実行し、あらゆるテクノロジーを実行できますが、それをレベルアップし、実際に保護しようとしているものにできるだけ近いものに制御を移します。そうすれば、柔軟性と能力がはるかに高まり、一貫性を保って一貫性を保ち、ずっとやりたかったセキュリティ体制を改善できます。」

47:43 スティーブホワイト

うん、100%、そしてイルミオのプラグだけです。彼らはしばらくの間それをやっていますよね?つまり、7、8年前にそのテクノロジーについて知ったとき、それは本当にエキサイティングだったことの1つでした。これは、環境内のすべてのワークロードにテクノロジーを導入し、一連のタグを確立することで、監視と封じ込めの両面でポリシーの実行への移行に関連するフローを可視化できるというシンプルさでした。そして、それを大規模に行えるようにしましょう。そのシンプルさは、実際にはそのシンプルさの上に成り立っています。すでに導入されているファブリックの上に ZTNA という、次のレベルの封じ込めと制御を重ねることができます。すごくかっこいいですよね?そして、私の意見では、ファイアウォールによる従来の制御アクセスから真のポリシーベースのアクセスへと根本的に移行させるのは、まさに未来の波です。そして、あなたはこの別のファイアウォールを管理しているわけではありませんよね。そして、ボーダレスネットワークに当てはまるのは、「ゼロのようなファイアウォール」という概念だけです。その言葉は何年も前から聞いています。実際、私たちが実際にその場に足を踏み入れたのは初めてだと思います。これらのテクノロジーこそが、それを可能にしていると思います。そして、私は視覚的な学習者であり、物事を論理的に考えるタイプです。私の頭の中では、企業が実際には持っていない真のボーダレスネットワークは、もはや自社の境界を管理することすらしていないことがわかります。その境界はクラウド上にあり、その境界はアプリケーションコントロールにあります。また、ユーザーがどこから来ているかは問題ではありません。クラウドインスタンスとオンプレミスインスタンスの間にトラストゾーンを作成し、この 2 つのインスタンス間のファイアウォールポリシーを管理することについて心配する必要はありません。本当にわくわくします。そして、これらすべての成功の鍵は、適切な計画を立て、その旅のどの段階にいるのかを適切に透明化し、変化に伴うリスクを積極的に消費する意欲と能力基金を考慮して採用できるように、時間をかけてそれを階層化することです。なぜなら、ここで最も重要な要素はコスト面だからです。これらのコスト面がビジネス価値をもたらす方法と、支出額から得られる正確な金額について、経営幹部に透明性をもたらすことの意味。それはとてつもないことですよね?なぜなら、結局のところ、彼らにはインフラチームと運用チームがあるからです。だからこそ、テクノロジストがいて、テクノロジストがそのことを心配し、経営幹部の幹部がビジネスに関する心配をしています。そして、全員が協力してその成果を達成するのです。かなりかっこいいものです。つまり、今は業界にとって本当に素晴らしい時期で、私はとても興奮していて、かなり情熱を注いでいます。そして今、このような会話をとても楽しみ、エグゼクティブ・アドバイザリーの一員となり、時間をかけて他のお客様と話し、お客様がこれらの問題を解決できるよう支援することは、本当に素晴らしいことです。

50:54 ラグー・ナナダクマラ

つまり、スティーブ、まとめるのに素晴らしいセリフをくれたね。ゼロトラストは、セキュリティ態勢、成熟度、支出に関する透明性を組織全体に提供します。つまり、適切に採用され実行されれば、本質的に組織の価値創造と近代化の推進要因となります。それが今日のあなたのメッセージの要点だと思います。

51:28 スティーブ・ホワイト

100%。うん。よく言った、よく言った。

51:32 ラグーナナダクマラ

Steveさん、このような会話ができて本当に嬉しかったです。あなたの経験と、今日の顧客にとってこれをどのように実現しているのかについて、実際の実践的な技術的経験を実際に生かすことができて本当に嬉しかったです。そして、とても目を見張るような会話でした。このポッドキャストに、あなたのような技術に精通した人がいるのは素晴らしいことです。ですから、ご参加いただきありがとうございます。

51:58 スティーブホワイト

どういたしまして、どうもありがとうございます。招待してくれてありがとう。そして、またいつかまた会って話をしたいです。私たちが実現しつつある成果について、もう少し話しましょう。

52:09 ラグー・ナナダクマラ

テクノロジー環境、セキュリティ環境では、すべての変化が起こっていると確信しています。今から数か月後に話し合うことになると思います。話したいことがもっとたくさんあるよ。そうだね、私はそれが好きだ。

52:22 スティーブ・ホワイト

素晴らしい。素晴らしい。お時間をどうもありがとうございました。本当に感謝しています。

52:25 ラグー・ナナダクマラ

ありがとう、スティーブ。