


リスクをレジリエンスに変える
このエピソードでは、ホストのRaghu Nandakumaraが、KPMG UKのパートナーであるIndy Dhamiに、従来の情報セキュリティからサイバーレジリエンスへの進化を探ります。彼らは、ゼロトラストの戦略的実装、規制圧力の影響、そしてAIがもたらす課題について論じています。Indy は、基礎となるサイバーセキュリティが果たす重要な役割を強調しています。
トランスクリプト
00:16 ラグーナンダクマラ
みなさん、こんにちは。「セグメント:ゼロトラストのリーダーシップ」ポッドキャストの別のエピソードへようこそ。本日、KPMG UKの金融サービスサイバーパートナーであり、大手金融サービス組織のサイバー戦略と実践の構築を長年支援してきたIndy Dhamiが参加できることを大変嬉しく思います。ですから、今日、彼と話をして、彼の経験から学ぶことができて本当にワクワクしています。インディ、ザ・セグメントへようこそ。
00:48 インディ・ダミ
ありがとう。招待してくれてありがとう。これは本当に嬉しいことであり、光栄なことです。私は何年もの間、イルミオのストーリーを追ってきました。そうですね、参加して、私の学んだことの一部に貢献したいと思っています。
1:01 ラグーナンダクマラ
さて、今日は間違いなくあなたの話を聞くためにここにいます、インディ。それでは、まず、サイバー業界での経歴と、現在のキャリアでどのような経験を積んでいるかを教えてみませんか?
1:13 インディ・ダミ
うん、わかった。それで、私はセキュリティ業界で21年間、さまざまな役割を担って働いてきました。そこで、建築家の事務所でIT部門を管理することからキャリアをスタートさせました。それには、ネットワーク管理からバックアップの実行まで、すべてが関わっていました。そして、ネットワーク全体に蔓延していた厄介なウイルスやマルウェアをすべて駆除しようとします。そして今は 2000 年代初頭です。ご存知のとおり、セキュリティは議題の上位にはなかったことは想像できます。しかし、私が本当に共感したのは、これらのことを管理できるということでした。しかし、多くの組織がネットワーク、つまりネットワーク全体を失った場合に起こる最悪の事態に備えていなかったという事実もあり、緊急時対応計画は整っていませんでした。それで、私はセキュリティに本当に興味を持つようになりました。私は大学で少し勉強しました。当時は情報セキュリティの主要原則のようなものでしたが、その職務から転向し、最終的にミルトン・ケインズのメルセデス・ベンツに移りました。セキュリティ、事業継続、企業、リスク管理、物理など、考えられるすべてのことについて非常に知識のある仲間と仕事をすることになったので、おそらく私のキャリアにおける極めて重要なポイントでした。セキュリティ、すべて。そして、それがセキュリティの世界での私のキャリアをスタートさせたきっかけです。
情報セキュリティ管理システムを構築しました。メルセデスベンツで世界で初めてISO 27001の認証を取得し、ISO9000の認証を受けた品質管理システムを構築しました。素晴らしかったし、本当に面白い仕事をしていたんだ。そして、およそ2004年から2005年の頃、親会社のダイムラーが私たちが作ったものを見て、私のチームにドイツで構築したものを外に出て複製するように頼まれました。そこで、2年半かけてシュトゥットガルトに出入りし、そこでしばらく過ごしました。つまり、グローバルなオペレーティングモデル変革プログラムに関する素晴らしい経験が根本的にあり、その中にはセキュリティの要素がありました。しかし、これは大規模なプロセス変革です。これらはすべて、私たちが英国で行った素晴らしい仕事とドイツ人の友人たちに基づいており、ドイツ人が英国人に外に出てプロセスを教えるように頼むのはその頃だということを、私はいつも彼らに思い出させています。彼らは私が言うのを嫌がります。
03:34 インディ・ダミ
そうそう、メルセデスを離れてアクセンチュアに移った。そしてハーグで1年間過ごしました。これは本当に興味深いプロジェクトで、そこに拠点を置く著名な組織の大規模な国家違反でした。おそらく多くの人が推測できるので、誰なのかは言いません。そして、私たちの役割は、この国民国家がネットワークで何をしているのかを突き止める手助けをすることでした。そして奇妙なことに、まずは Excel の CSV ファイルを調べて調べることから始まりました。ログを調べて実際に何が起こっていたかを確認していました。最終的には SIEM ソリューションに移行します。これにより、より多くのログソースのオンボーディングを開始できるようになり、プラットフォームが数回機能しなくなりました。というのも、ログのサイズと規模に対する準備ができていなかったからです。しかし、素晴らしい経験でした。そこからPwCに移り、コペンハーゲンに2年間滞在し、大規模な海運コングロマリットの大規模なセキュリティ変革プログラムに携わりました。このプログラムでは、ポリシーの策定から実際の危機シミュレーション演習、完全なエンドツーエンドのセキュリティ変革プログラムまで、考えられるすべてのことを網羅していました。その後、自分の会社を経営するようになりました。私は自分で事業を立ち上げ、基本的にはマトリックスタイプの組織を運営していました。それがコンサルティングであろうとペンテストサービスであろうと。英国とパリのいくつかの金融サービス機関で働いたことは本当に素晴らしい経験です。
IBMへの転職後、私は4年間にわたってFSトランスフォーメーション・チームを率いました。主に大規模なマネージド・セキュリティー・サービスやエンゲージメント、エンド・ツー・エンドのSOCの運用などに関わっていましたが、その後はセキュリティー評価やコンサルティング型の業務も行いました。その後、Historic Globalという会社で1年間過ごしました。Historic Globalはシンガポール政府から資金提供を受け、他のサイバー企業に投資しました。それで、そこでは素晴らしい経験ができました。そして、私は昨年1月にKPMGに入社し、主に銀行業を中心とした金融機関の顧客を引き取ることを任務としていましたが、その後、サイバー・レジリエンス機能の運営という任務が少し増え、その後、さまざまなセクターにまたがるようになりました。
05:49 ラグー・ナンダクマラ
つまり、私たちは... そんな体験のすべてにポッドキャストのエピソードを書いてもらう価値があると思いますよね?
5:55 インディ・ダミ
それぞれに興味深いストーリーがあります。おそらく、私が見てきたいくつかのことをまとめた本を書いて、人々が目を丸めて「はい、私も似たようなことを経験したことがある」と言えるでしょう。
6:06 ラグーナンダクマラ
さて、このセグメントのシーズン3は、あなたがストーリーを語る12話になると思います。それはすごい。そして、どこから始めればいいかを決めようとしています。なぜなら、それらすべてが、今日のあなたの役割だけでなく、何らかの形で本当に構築されていると感じているからです。しかし、実際には、あなたが最初に言ったように、焦点は情報セキュリティでした。そうだね。それがコンテンツだったんだそして今、それはある種のサイバーセキュリティへと大きくシフトしています。そして今は、サイバー・レジリエンスという言葉です。そうしようとしてるんだけど、あなたが最初に言ったこと、つまり、あなたがそこにいたみたいだったことをつなげようとしてるんだよね?さまざまな種類の IT サポートを行っていて、ネットワークを流れるウイルスがダウンしたとしましょう。不測の事態は発生しません。そして今、レジリエンシーとは、サイバー・レジリエンスだけでなく、オペレーショナル・レジリエンスも、予期せぬ事態が起きても、どうすれば機能し続けることができるかということに尽きます。レジリエンスに本気で焦点を当てる必要があるというのは、どの時点で変化が起こったと思いますか。レジリエンシーとは、ただ問題を解決できるということではなく、問題を解決している間も機能できるということです。
7:26 インディ・ダミ
ええ、つまり、本当に興味深い質問があります。最初の経験に戻って、最近書類を調べていたところ、実際に「組織のレジリエンスを高めるのを助ける」という言葉が使われていました。そして、それはおそらく、オペレーショナル・レジリエンスやサイバー・レジリエンスについて誰もが考えるようになるずっと前のことです。そして、メルセデスの例ですが、IDとアクセス管理に関しては、これらすべてのことをまとめることについてのエンタープライズレジリエンスについて話していました。それがセキュリティであろうと、物理的セキュリティであろうと環境セキュリティであろうと、詐欺であろうと。そして残念なことに、その時点では発生しておらず、おそらく過去5〜6年の間に発生しただけでしょう。そして、それはいくつかの原因が考えられます。サイバー攻撃やシステム停止の件数が増えている可能性があります。ご存知のように、これまで見てきた英国での大規模なインシデントのいくつかを思い浮かべると、バンスフィールドが思い浮かびました。ご存知の通り、大爆発があったとか、アイスランドの火山の噴火がきっかけでした。
そのため、そのようなことはあまり考慮されなかったことが多く、船上で危機シミュレーション演習を行ったことを覚えています。そして彼らは私に、「インディー、こんなことは絶対に起こらないだろう」と言いました。私が作ったシナリオは、鳥インフルエンザ、戦闘鳥インフルエンザの流行に関するものだったよね?今では、これらの業務上のインシデントがより蔓延していることを人々がより認識するようになり、サイバー攻撃も増加しています。ご存知のとおり、その認識は劇的に高まりました。なぜなら、ニュースだけを考えれば、今、ニュースに対するサイバー攻撃が1、2、3回見られ、それがますます蔓延し、人々がセキュリティリーダーに対してより難しい質問をするようになったからです。
9:14 ラグーナンダクマラ
さて、少し余談ですが、サイバー攻撃がニュースで取り上げられることが増えているとおっしゃっていましたね。そうだよね?そして、そのニュースが報道されたとき、ほとんど同じように感じましたか?ですから、あなたほど詳しくない人として、好きな人がニュースを見ていると、「ああ、またサイバー攻撃だ」と言うのです。レジリエンスについて考える際の実際の結果と、私たちがレジリエンスに注目している理由は、DORAのようなものになりますが、たとえばハイストリートバンクが影響を受けることによる波及効果が大きいからですよね?こうしたことは十分に報道されていないため、サイバーセキュリティがなぜそれほど重要なのか、一般大衆のみならず、一般大衆だけが、なぜサイバーセキュリティがそれほど重要なのかを理解する瞬間はまだありません。
10:09 インディ・ダミ
ええ、それは本当に良い点です。そして、ご存知のように、私はこれらの難しい質問の層を剥がしてみました。なぜそうなのか。そして、それが多くの人に個人的に影響を与えるまでは、サイバーセキュリティやそれがなぜ重要なのかについて、彼らは一般的に気づいていませんでした。サイバー犯罪者との会話は、家族のイベントや家族のパーティーで、お医者さんと話していたときのことを覚えています。それで、彼はここで「それで、あなたは何をしているの?」と会話をしていたんです。そして、私がやっている仕事の種類について少し説明しました。そして、このパニックの瞬間が彼の頭の中をよぎり、「実は、私たちには大量の機密データがあって、かなり露出している。私の診療所が私たちが持っているこれらすべての機密情報をどのように管理しているのか、私にはまったく手がかりがない」と考えているのです。そして、私たちが回復できるかどうかは、私にはわかりません。そしておもしろいことに、約1年かそこら後、私たちはWannaCry事件を見ました。PetyaではなくすべてNHSに影響を与えました。そして、それはしばらくの間続いていて、かなり蔓延していて、人々は本当に心配していたと思います。しかし、その後、それは消えてしまいます。すべてが正常に戻ります。繰り返しになりますが、先ほど言ったように、何かが影響を受け、銀行口座が危険にさらされて送金されるまで、人々はそれほど関心を持たないかもしれません。そういうわけで、未だにアウトだと思われている分野の一つだと思われます。ほら、薄暗い部屋にパーカーを着て座って、物事をハックしている人たちです。しかし実際には、発信元を問わず、さまざまな脅威アクターが存在します。はい、家に座ってハッキングしているこの典型的な非常に賢い子供が、高度に組織化され、高度に組織化され、収益性の高い企業に移行することはできます。ご存知のように、これらの組織の中には、ランサムウェアで組織を攻撃したことで知られているという評判があるため、スクリプトキディが評判を傷つけていることにかなり不満を感じている組織もあります。彼らはそのことを知っているでしょうが、お金を払えば解読鍵を返してくれるでしょう。一方、他の組織はそれほど倫理的ではないかもしれませんね。そんなことを考えるのは馬鹿げています。しかし、それは多くの人があまり気づいていないこの影の暗い地下世界であり、日の光の中で機能しているのです。
12:23 ラグー・ナンダクマラ
ええ、絶対に。そして、ランサムウェアや悪意のあるアクターの倫理について考えてみます。悪意のあるアクターの中には、自分たちが示す倫理を非常に誇りに思っている人もいます。一方、「身代金を支払えば、データを公開する」という概念を知らない人もいるでしょう。私が心配していたのは、彼らがあなたのデータを持っていれば、身代金を支払うかどうかに関わらず、彼らがそれをどうするかは神のみぞ知っている、ということです。それでは、今日はあなたの役割についてお話ししましょう。そうだね。そして、顧客と関わっているときもそうですね。これは非常に幅広い質問ですが、通常、顧客が最初に尋ねる質問は何でしょうか。
13:09 インディ・ダミ
通常、彼らが私に尋ねる最初の質問は、さまざまなシナリオによって異なりますが、私が今思い浮かべる質問は、ご存知のように、サイバーセキュリティに関しては、リスクへの欲求が不足していると信じているということですよね?許容範囲に戻るのを手伝ってもらえますか?さて、私がよく尋ねる最初の質問は、リスクアペタイトをどう定義するかということです。そして、次に、自分がその許容レベルの範囲内か外かを判断するためのデータポイントは何かということです。そして、少し議論の余地のある発言があります。金融市場だけでなく、多くの組織で私が目にしているのは、貧弱なデータは、その点について、私たちが食欲の範囲内か外かを問わず、根本的な欠陥のある対応につながるということです。そして、それにはいくつかの理由があります。少なくともサイバー分野の観点からは、通常は統制とログソースを対象としています。SOCやSIEMに資産を運用して監視してもらうこともできます。しかし、読者の多くが気づいていないことですが、特定のテクノロジーにアクセスできないため、実際にカバーできる範囲はごくわずかです。重要なアプリケーションの中には、かなり前に開発されたものもあり、誰かがネットワークに侵入して横方向に移動できるかどうかを明確に把握するために必要なログを生成していない場合があります。つまり、オペレーショナル・レジリエンスの観点から見ると、リスク管理も同様です。しかし、自分の資産について理解していなければ、企業内だけでなく、第三者や第四の当事者の中にあるすべてのものをより明確に把握するための正しいデータがないことになります。それでは、どのようにして適切なリスク管理上の決定を下せばよいのでしょうか。それには根本的な欠陥があります。
14:53 ラグーナンダクマラ
ええ、絶対に。そして、あなたがその最後の部分を正しく言うのを聞いているだけで、DORAのような規制は、施行されたばかりで、来年から来年の初めまでには本当に有効になるだろうと私は思っています。つまり、今言ったことはほとんど一言一句ですよね?まず、環境内の物事がどのように相互作用するかだけでなく、サプライヤーや上流および下流のすべての依存関係がシステムレベルでどのように相互作用するかをよく理解する必要がありますよね?これは単なるビジネスプロセスレベルではなく、システムレベルで行われるものです。そうすれば、リスクを把握し、適切な制御を実施できるようになります。
15:37 インディ・ダミ
うん。それに、ドーラのことも言ってたでしょたくさんありますよね?そして、私が見ているのは、サイバー規制であれ事業レジリエンスであれ、サイバー規制であれ、オペレーショナルレジリエンスであれ、多くの規制が重なり、人々が疲れ果てているところだということです。そして、ご存知のとおり、一部の組織が、おもしろいことに、今日のニュースで見たばかりだと言っているのは、おそらく転換点にあります。実際、ある英国のハイストリートバンクは、イノベーションの能力を妨げているため、リスク機能の多くを手放しているという声明を出しています。これは、私にとって非常に奇妙で奇妙な立場です。先ほどお話ししたことを思い出すと、脅威の数、つまり脆弱性の状況は、毎日、指数関数的に増加していますよね?そして、それがシステミックリスクと伝染リスクに波及効果をもたらしているのです。ですから、これは私たちが今取り組んでいる非常に興味深い立場です。というのも、攻撃が増え、停電が発生する組織も増え、数週間前にも発生しましたが、覚えていらっしゃると思いますが、ハイストリートの小売業者と少数のハイストリート小売業者が支払い処理に問題を抱えていました。それがサイバー攻撃であったかどうかは確認されていませんが、それでもなお、ここにはシステム上のリスクがあり、ノックオン伝染リスクがあります。これは、多数の組織にサービスを提供する可能性のある重要なインフラストラクチャプロバイダーが障害が発生した場合、そのプロバイダーが停止した場合、その影響は、最終的には一部の組織にとって緊急時対応計画がないということです。
17:08 ラグーナンダクマラ
ええ、数週間前はグレッグズからビーガンソーセージロールを買うことができませんでした。あの日は大変だった。
17:20 インディ・ダミ
あなたはフルファットのものを選ばなければなりません。
17:23 ラグーナンダクマラ
それでは、規制について話しましょう。そして、あなたの言うとおりだと思います。私は現在の職に就く前、ある程度前から金融サービス業界にいました。そして、絶え間ない課題である規制上の圧力は、特にすべてのグローバル規制当局に準拠する必要があるグローバル組織で働く場合、大きな課題だと思います。では、規制の変革や進化が、より統一されようとしており、言葉が少し変わっても、求めていることはほとんど同じだと思いますか?
18:00 インディ・ダミ
はい、完全に同意します。そして、数週間前に友人とDORAのようなものの目的について話し合ったんだけど、その前提は正しいと思いますよね?単に財務の健全性を保ち、運用面と回復力のある運用サービスを維持していることを確認するだけではなくて、焦点が移りつつあります。ICTの問題やサイバー攻撃などが原因でこのような混乱が生じたとしても、障害やサイバー攻撃による大きなストレスにさらされている間は、回復できないにしても耐え、回復したり、業務を継続したりすることができました。そして、ご存知のとおり、これらの規制の中には、規制要件に対処するための非常にサイロ化されたアプローチの焦点が変わり、私が今度はコンプライアンスをチームスポーツに変えているため、DORAの席には最高情報セキュリティ責任者を配置する必要があります。ただし、すべての人事担当者、事業運営の責任者、または重要なビジネスサービスの責任者も必要です。そして、私が働いている、私が一緒に働いているより成熟した組織は、そのようなアプローチを取っています。私の席には、そうした主要な利害関係者が全員参加しています。彼らは、これらの各機能には果たすべき特定の役割があることを理解しており、協力して取り組んでいます。つまり、それがこのシーンの最大の成功だということです。つまり、多くの組織は、DORAやその他の規制を、目を転がすようなもの、あるいはそれを守る必要のある別のロータリー活動と見なしているのです。文化的な観点から見ると、むしろプラスの影響が大きいと思います。さて、来年の1月には、それがどれほど正しいか見ていきます。しかし、少なくとも私たちが現在行っているギャップ分析と改善プログラムの作業では、主要な利害関係者の何人かがようやく話し合いに加わり、セキュリティ部門やサイバー部門で同業者が何をしているのかを実際に理解し、理解を深めています。CISOの中には、最終的にはクライアント、つまりサービスを提供するビジネス利害関係者との関わりを深め、より多くのことを学び、より深く関わっている人もいます。
20:16 ラグー・ナンダクマラ
DORAが実際にどのようにオペレーショナル・レジリエンス、サイバー・レジリエンスをチームスポーツに押し上げているかについて、先ほどおっしゃった言葉が気に入っています。セキュリティ実務者として、私がCISPを取得したときのことを覚えています。理論が言ったように、当時のセキュリティ情報セキュリティはチームスポーツでなければならず、誰もが関与する必要があったからです。しかし、組織内ではあまりにも長い間、セキュリティ機能があり、次に、たとえば、アプリケーション、ビジネス開発機能がありました。ハイストリートバンクの例を引用されたと思いますが、実際には、リスクチームが変革の邪魔になっているため、リスクチームを減らしているようなものです。そうだね。そう。素晴らしいことだと思います。サイバーセキュリティは今やチームスポーツと見なされており、規制によってそれが可能になったという事実は、おそらく誰もが規制について最初に言わなければならなかったポジティブなことだと思いますよね?つまり、それが何を可能にしているかという点です。だから、それは天の恵みだと思う。
21:24 インディ・ダミ
しかし、あなたはこれらのことをポジティブなものとして捉えなければなりません。そうだね私が一緒に仕事をしている多くの組織は、そうですね、これらの規制を見れば、私たちがすでに多くのことを行っていることに気づき始めています。そうだよね?構成が違うだけです。また、他の規制と重複している部分もあります。賢明にアプローチできていれば、これらの主要分野の一部を実現するために何か新しいものを複製したり作り直したりする必要はありません。そして実際には、ギャップが特定されると、さらに投資が必要になりそうな分野が浮き彫りになります。たとえば、DORAにはこのような情報共有の要素があり、これは現在非常に注目されているトピックです。法域が異なれば規制も異なるため、情報を共有する方法、方法、タイミングが変わるからです。ご存知のように、米国で報告する必要がある場合、SECの要件はここICOの場合とは異なります。そして、事実に基づいた情報を実際に提供できるよう、情報を安全かつ自信を持って管理することは、DORAから生じる大きな課題の1つです。つまり、デジタル・オペレーショナル・レジリエンス・テストの要素という他の分野について考えると、ペンテストを含む非常に大まかな説明ですが、ソフトウェアとコードを調べて、チェックインとチェックアウトが行われ、開発者が誤ったアクセス権を持っていないことを確認することが挙げられます。次に、IDやアクセス管理など、さまざまな分野に進み、ネットワークセキュリティについても非常にきめ細かく説明します。しかし、業界に長く携わっている人であれば、画期的なことは何もありません。それは、規制に含まれる規制テキスト規格のテキストの細分化によって明らかになったのは、単に調和と焦点が合っているだけだという点です。
23:16 ラグー・ナンダクマラ
ええ、同意します。絶対に。正しい。あなたと同じように、私も規則の細部に深く入り込んで、かなりの時間を費やしてきました。そして、規制が組織に義務付けていることはどれもないことには同意します。DORAについてはこれまで幅広く話し合ってきましたが、正直なところ、DORAは、過去数年間に世界中で制定された他の多くの規制に置き換えることができます。DORAは、常に予期せぬことが起こることを想定しているという事実に根ざしていますよね?それが火山の噴火のような環境イベントなのか、それともサイバー攻撃なのか、それともあなたの環境なのか?そして、環境について最善の理解を得るためには、どのような対策を講じますか。つまり、環境の影響を制限したり封じ込める権利に対してレジリエンスを持ち、復旧中も生産性を維持できるようにするには、どのような対策を講じますか。そして、これらの規制によって私が今より良くなったと思うのは、包括的な目標がはるかに明確になったということです。そうだよね?組織がこれを実行すべき理由が、はるかに明確になっています。同意しますか?
24:27 インディ・ダミ
うん。ええ、完全に同意します。そして、ご存知のように、私たちはドーラに多くの時間を費やしました。しかし、この2つを例にとると、リスク管理、企業の説明責任、報告義務、事業継続性、そして最低限の対策、つまり実施しなければならない一連の対策に重点が置かれていることがわかります。そして、DORAを見て、NIST2を見て、それから私がメルセデスにいた2004年から2005年にさかのぼります。私たちはISO 2700 1を実装していました。正直なところ、根本的な違いは何もなく、管理責任について述べている規格の一部でした。これもまた、Nizzaが企業の説明責任について述べていることとまったく密接に結びついています。つまり、適切なリーダーシップとガバナンスの仕組みを整え、社員にトレーニングをしてもらい、最悪の事態が起こったときに何をすべきかを彼らが認識できるように、トップから調子を整えることです。つまり、これは私たちが業界に長く携わってきたことの1つであり、業界に特化して適用される多くの規制を遵守しなかったために罰金が科せられるという新たなリスクを抱えている一部の組織にとって、標準や統制のさまざまな浸透が今や前面に出てきただけで、非常に恐ろしいものとなっています。そして、何年もの間、多くの人が、じゅうたんの下で磨かれてきたと思います。先ほど言ったように、私が一緒に仕事をした組織の中には、「インディ、これは私たちには一度も起こったことがない」と言っていました。「さて、あなたのビジネスが何をしているのかを思い出させて、あなたのクライアントが誰であるかを思い出させて、その情報にアクセスして他の目的に使用することで誰が利益を得ることができるかを考えてください」という詳細な質問をし始めるまで、私たちが保持しているデータには誰も興味を持ちません。つまり、それほど昔のことではなく、おそらく過去10年間のことであることを考えると。しかし、状況は変わりました。そして、取締役会や非常勤取締役の多くが、何が必要か、CISOに聞くのが難しい質問について、より精通するようになったと言わざるを得ません。ですから、ご存知のように、そこにたどり着くには少し骨の折れるプロセスが必要です。しかし、私たちは今そこにいると思います。しかし、ここで浮き彫りになったのは、多くの組織が長年にわたってセキュリティへの投資が不足しているだけであり、「よし、修復プログラムを実行して、6〜9か月以内にリスク許容範囲に戻ろう」という考えでは解決できないということです。テクノロジーインフラストラクチャは何年も前から存在し、その一部は多くの組織でサポート対象外になっていることを考えると。そのため、マイクロソフトはこれらの組織が保有する一部のサーバーにはパッチを適用しません。そのため、一部の CISO の是正管理策を見つけようとすることは、ほとんど不可能な課題です。
27:09 ラグーナンダクマラ
ええ、同意します。そうだね。それはそうだけど、素晴らしいことだと思うよ。あなたが触れたのは同じような経営幹部で、はるかに多くの情報を持っていて、正しい質問をし始めていると思いますよね。そして、それがその変化だと思います。つながれば、コンプライアンス重視から、レジリエンスや生産性重視の方向へ、色んな意味で変化しますよね?そして、CISOに、あなたが私たちに提供しているものは私たちの生産性の向上につながっていると言いますよね?そうではありません。つまり、コンプライアンスは重要ですが、生産性を損なわないようにすることが本当に必要です。そこで、これはゼロトラストのポッドキャストであり、ゼロトラストについては触れていないことに気付きました。それでは、それについて話しましょう。そうだろ?基本的に、私たちが話していることはすべて、ゼロトラストに焦点を当てることを中心に展開しており、それは規制にも現れています。そうですね、その道を進みましょう。
28:02 ラグーナンダクマラ
よし、行こう。じゃあ、始めましょうか?それで、このポッドキャストには他にもたくさん出演していて、誰もがゼロトラストの解釈や使っているアナロジーを共有しています。だから、インディー、ステージは君のものだ。ゼロトラストの例えは?
28:22 インディ・ダミ
数週間前にこのことについて話しましたが、それは私がサウジアラビアのネオンプロジェクトに取り組んでいる友人や同僚との会話の裏付けでした。そこで私が思い浮かんだのは、もし新しい都市を建設する場合、ゼロから都市を建設する機会があったとしたら、信頼とプライバシーに基づいて構築し、ゼロトラストの例えを都市の建設に適用するにはどうすればよいかということです。それで考えさせられました。イギリスについて考えると、イギリスは何年もかけてとても伝統的で伝統的に建設されてきた国なんです。でも、もしそんな機会があったら、あなたはどうしますか?そして、あなたが注目するなら、おそらくアメリカ型のモデルにもっと注目して、私はミルトン・キーンズにあるメルセデスで過ごしました。つまり、そこではグリッドシステムで少しだけそのモデルを使用していますが、都市ブロックをほぼ一種のワークロードセグメントと見なしています。想像力豊かな都市では、ご存知の通り、各ブロックは異なるワークロードセグメントを表します。さて、ご存知のとおり、これらのブロックは住宅仕様になります。サービスの場合もあれば、作業負荷の場合もありますが、都市ブロックに住宅地と商業産業地域があるように、私たちの都市ブロックには異なる目的があります。ウェブサーバー、データベース、決済ゲートウェイなどが考えられます。そのためには、道路もありますし、道路にもルールがありますよね?つまり、道路はネットワークパスのようにそれらのブロックをつないでいます。次に、トラフィック、つまりデータパケットが手に入ります。あなたもブロック間を流れているんですね。そこで、道路ごとに特定のルールを設定するにはゼロトラストのマイクロセグメンテーションが必要だと考えるでしょう。道路によっては、特定の種類の車両やデータしか許可されない場合もあれば、完全に閉鎖されている場合もあります。そして、おそらくこれらの各ブロックの入り口にセキュリティチェックポイントがあります。これは、ゲートキーパーのようなもので、誰でも通過を許可したり、データパケットを通過させたりする前に、検証が必要になった場合、身元を確認する必要があり、その特定のゾーンで身元を確認する必要があり、許可されたトラフィックのみが許可されます。そこで考えたのは、実際にゼロトラストレーンを作れるということでした。市内には特別な車線があって、ほら、すべての信号機が超安全で、通り抜けるには明示的な許可が必要なんです。しかし、ある特定のブロックで火災が発生した場合に備えて、隔離と封じ込めに関する何かも必要になります。それはサイバー攻撃かもしれません。ご存知のように、他のブロックに広がらないようにするセグメンテーションの方法はありますか。そして、それらのブロックは影響を受けないままです。そして、その特定のドメイン内の侵害を何とか防ぐことができるのか?
また、都市に合わせてサイネージをカスタマイズする必要もあります。その場合、各ブロックに独自のセキュリティポリシーが適用されます。そうすれば、誰が来るのか、誰が行くのか、どのように通信するのかを決定づけることができます。たとえば、データベースがブロックされていて、サインに「許可されたデータベースクエリのみ許可する」と書かれている場合がありますよね?つまり、私の考えでは、あなたも動的でなければならないということです。都市が進化するにつれ、プランナーは道路やチェックポイントを調整し、マイクロセグメンテーションによって、ワークロード、アプリケーション、新しいクラウド、新しいクラウドコントロールの変化に適応できるようになります。つまり、まとめると、都市を建設してゼロトラストの例えを当てはめるとしたら、私はそうすると思います。さて、私は都市計画家ではないし、そうだとは言えない。でもね、たぶんそれは興味深い例えだねちょうど頭に浮かんだんだ。さほど昔のことではない。
32:11 ラグーナンダクマラ
今おっしゃったことを踏まえて、ゼロトラスト版の「シムシティ」を想像しています。サイバーレジリエンス、サイバーセキュリティ、情報セキュリティに精通しているすべての人にプレイしてもらい、リーダーボードを用意して、誰が最高のゼロトラスト保護都市を設計できるかを見極めるべきだと思います。どう思いますか?
32:31 インディ・ダミ
ええ、それは素晴らしい、素晴らしいゲームです。昔はよく遊んでたよ。それと、テーマパークもね。テーマパークを覚えていれば、考え方が変わる。そして、それはセキュリティの専門家だと思います。みんな持ってると思うよリーダーが取締役会の前に出て、技術的な言葉で話し始めるのを何度も見てきました。そして、それは経営幹部の一部にほとんどしがみついています。では、どうすれば理解しやすくなるのでしょうか。どうすれば彼らの共感を得て、彼らが心配していることに適用できるでしょうか?私が経営幹部と話すとき、私がいつもしている重要なことの 1 つは、何があなたを駆り立てているのかを教えてくれることです。あなたのモチベーションにはどのようなものがありますか?何があなたを忙しくさせているの?そして、セキュリティチームの責任はあなたが自分の役割に集中できるようにすることであり、あなたが自分の役割に集中できるようにするのは、私たちが取り締まり機能ではないことを確認できるようにすることです。私たちは単に「いいえ、ごめんなさい、それはできません」と言うだけではありません。私たちはこれを、セキュリティについて技術的に熟知している賢い人々であるかのように考えています。そうだよね?では、ビジネスを成功させるにはどうすればよいのでしょうか?そして、彼らの共感を呼ぶ言葉でコミュニケーションをとるにはどうすればいいのでしょうか?それでも私が見ている大きな課題の 1 つは、取締役会に脆弱性スキャンレポートが未だに提示されているか、そうでなければ、技術的な統制についての見解です。そして、彼らの多くは単純に、気にかけていても、気にする必要はないのです。彼らはビジネス上の成果が何であるかを知る必要があります。ご存知のとおり、これは私たちが別の場所に新しいデータセンターを建設するのにどのように役立つのでしょうか。それとも、これによって、お客様に新しいサービスを提供できるモバイルデバイス向けの新しいアプリケーションを構築するにはどうすればよいのでしょうか。
34:04 ラグーナンダクマラ
ええ、完全に同意します。そうだよね?セキュリティの専門家としてはとても重要だと思います。実際、私はベンダー、つまりセキュリティベンダーとして働いているので、私たちがしているように本当の意味でつながることができますよね?私たちが推進しようとしている目標を最終的に達成することがなぜ重要なのかを説明しましょう。そして、組織では問題ありません。ビジネス目標は何でしょうか?そして、私たちのプログラムは何を、どのように行うのでしょうか?それがビジネス目標にどう結びつくのか。また、ゼロトラスト戦略やゼロトラスト戦略を採用している組織など、その戦略がビジネス目標とどのように一致しているかについて、より良いストーリーを伝えることができると思いますか、それともまだ存在していますか?
34:52 インディ・ダミ
個人には 2 種類あると思います。おそらく 2 つのタイプがあると思います。経営陣が理解でき、経営陣が理解できる言葉でストーリーをうまく伝えることができる人で、ビジネス部門にも理解してもらえます。そして、いまだにテクノロジー統制に重点を置いている人たちもいます。今、私はもっと多くのことを理解しています。幸いなことに、私はもっと左側にいて、ゼロトラストとは何かを明確に表現しています。そして、そのシーンを設定することがすべてです。それを正しい方法で組み立てて、リーダーの共感を呼ぶようにすれば、ゼロトラストのアプローチを実現することは非常に成功すると思います。
35:26 ラグーナンダクマラ
では、ゼロトラスト戦略の採用という点では、採用からどう思いますか?そうだね?つまり、それをトップレベルのイニシアチブ、たとえばCISOレベルで追跡している組織が増えているということですか?それとも、CISOプログラムのあらゆる部分に浸透しているだけで、必ずしも明確に呼びかけられているわけではないのでしょうか。
35:49 インディ・ダミ
これはおそらく両方の組み合わせです。一部の組織では、サイバー戦略だけでなく、オペレーショナルレジリエンスにも浸透していますよね?なぜなら、このような説得力のある方法で位置づけられているからです。考えるまでもありません。そして、もう一方の問題があります。その反対側は浸透によるもので、あるいは単なる偶然ですが、設計の初期段階で進められている多くのトランスフォーメーション・プログラムで起こっています。そして、組織はそのように管理しています。ですから、おそらく誰もが理解している段階ではないでしょう。これは正しい理由で実装されています。
36:26 ラグーナンダクマラ
また、クライアントに対してゼロトラスト戦略の確立を支援する場合、どのような内容になりますか?一般的にどのような道をたどるのでしょうか?
36:43 インディ・ダミ
通常、私のアプローチの仕方は常に、あなたがビジネスとして何をしようとしているのかから始めるということです。そうだね。何年も前に私はこう教えられましたが、ビジネス戦略をピックアップし、年次報告書を手に取り、そのビジネスが何をしようとしているのかを理解し、さらにそれを重ね合わせる専門家はまだ多くありません。セキュリティの方法と、ゼロトラストがこれら4つの戦略的柱で私たちをサポートする方法は次のとおりです。そして、それを簡単に説明できるなら、それが常に最良の出発点です。なぜなら、そこから始めることができるからです。これらの各ポイントで実現する必要のあるテクノロジーコントロールは次のとおりです。そして、それを消費可能な方法で分解していくことも重要です。
37:29 ラグーナンダクマラ
そして、私たちが聞いているのは、そのようなゼロトラストは、まだ過剰に市場に出回っているということだと思いますか?私も同感だよね?ある程度、あれは、市販され過ぎだと思う。しかし、本当の意味での認識はあるのでしょうか?さて、私は一般的に実践者コミュニティのような存在です。戦略としては、絶対的に強固であり、考えて、電車に乗って、どのように実装するかを考える必要があります。
38:03 インディ・ダミ
残念ながら、これは他の多くの流行語と同様に、おそらく過剰に売り出されており、ゼロトラスト機能を提供すると主張する多くの組織にとってはそうです。彼らはそうではありません。彼らは特定の装いをするかもしれません。しかし、ご存知のとおり、残念ながら、それはそれらの流行語の1つになっています。繰り返しになりますが、それを明確に説明できる人がいる場合は、本当に焦点を当てているので、明示的に検証するか、常に入手可能な情報に基づいて認証と承認を行う場合は、最も権限の低いアクセスに焦点を当てます。しかし、もうひとつ別の用語があります。おそらくあまり使われていない別の用語は、最低限の機能性の原則でもあります。そう、あなたには最低限の権限しか与えられていないのです。ただし、特定のアクセス権を持つユーザーがいて、そのユーザーがその特定の認証情報を使用して使用できる機能の量を制限したい場合にも同様です。また、想定される妥協状態が多くの組織に浸透し始めていると思います。なぜなら、ご存知のように、彼らは気づき始めているからです。残念ながら、私たちが自分たちの財産を特定しようと努力し、焦点を合わせるほど、目の前にある問題、つまり彼の両刃の剣に気づきます。
39:24 ラグーナンダクマラ
それは素晴らしい引用ですよね?行って自分の財産を発見すればするほど、自分が抱えている問題、今まで経験したことのない問題に気づきます。そして、それもまたかなり怖いことだと思います。なぜなら、それは私たちが自分たちの不動産について実際にどれほどほとんど理解していないかを示しているだけだからです。そうだね。そして、多くの組織がこれを始めたときに気づくのは、自分が何をしているのか実際にはわからないということだと思いますよね?では、どうやってその難局を乗り越えればいいのでしょうか?
40:00 インディ・ダミ
つまり、それはおそらく時々困難な瞬間であり、多くの人が知ることを避けようとします。ご存知のように、私は何人かのCISOに、その舗装スラブを持ち上げたくはないと言われたことがあります。不気味なクローリーがなくなるからです。そして、それが私の机の上に落ちて修正を試みます。私が参加したあるクライアントは、「2年前にこの組織に入社したが、過去20年間の投資不足と貧弱な技術設計の責任は負えない」と言っていました。ですから、さっきも言ったように、それは両刃の剣ですが、正しい方法で取り組むことで、「OK、私たちが持っているものを理解しよう」ということに焦点を当てて、外に出て、私たちの企業が「国家」であることを発見し始めましょう。そして、それは広大なスパゲッティのボウルです。さて、正直に言うと、すべてのテクノロジーコンポーネントを特定するのは簡単な作業ではありません。昔の ITIL の時代は、まだ理想的な ITIL 時代でも、CI を構成項目として使用するのが理想的かもしれません。ご存知のとおり、州内にあるすべての構成項目のマップとインベントリが文書化されていますが、ほとんどの組織はおそらく「いいえ」と言うでしょう。
しかし、それなら本当に知っておくべきことはどれくらいありますよね?レジリエンスを確保するには?たぶん80-90%ならばばばばばば差を免れることができるでしょうしかし残念なことに、多くの組織はおそらく、資産全体の 80% にも達していないでしょう。特に、主にクラウドで生まれた組織の方が可視化されている場合は、おそらく彼らにとってはもっと簡単でしょう。しかし、取引は完了していません。というのも、彼らにはサードパーティ、そしてサードパーティーが存在するからです。また、規制の中にはきめ細かなレベルにまで及ぶものもあり、貴社の不動産との接続において、接続する当事者やサービスプロバイダーが何を持っているかを可視化することが期待されています。これもまた、多くの組織にとって吸収すべき少し新しいことであり、その後、外に出て重要な供給者との会話を行うことができるようになります。
41:57 ラグーナンダクマラ
クラウドは、それを簡単にするためのツールを提供してくれると思います。しかし、ベストプラクティスに従わないと、さらに大きな問題が発生する可能性があります。これは、すべての種類のリソースを非常に迅速にスピンアップできるためです。少なくとも、データセンターのゲート機能としては、「ああ、データセンターに新しいサーバーを設置したいなら、6週間かかります」というものです。
42:23 インディ・ダミ
しかし興味深いことに、過去数年間に見られた大規模な侵害のいくつかを考えてみると、特権ユーザーへのアクセス権がなく、孤立したままになっている特権ユーザーへのアクセス権が原因でクラウドに侵入したケースがほんの一握りでした。そして、脅威アクターがそれらの情報にアクセスし、それを利用して組織内を動き回っています。興味深いことに、これを見たことがあるかどうかはわかりませんが、一部の組織で話し合われていますが、コストが急上昇しているため、クラウドにいなくなったほうが安く済むのでしょうか。特に、クラウドプロバイダーが原因でクラウドプロバイダーのコストに影響を与えている新しい規制の中には、規制の脚光を浴びているものもあります。そして問題は、誰が責任を負うのかということです。そして、誰がその費用を負担し、誰がその費用を負担しているのでしょうか?そして、クラウドプロバイダーが、自社の顧客にも波及効果をもたらすことはまずありません。そして、クラウドにとどまるか、独自のデータセンターを再構築するよりも安いのでしょうか。何年も前の状態に戻るため、これは本当に奇妙な立場です。そして、それは組織の規模や規模にもよるかもしれません。しかし、中小企業にとっては、何年も前に彼が私たちに言ったほど費用対効果が高くないかもしれません。
43:45 ラグー・ナンダクマラ
ええ、私は間違いなくそのような研究の多くに出くわしました。つまり、市場に出回っているクラウド経済学のメリットを実現するには、そこで実行するアプリケーションの種類、設計方法を非常に具体的に説明する必要があります。そうすれば、オンデマンドなどのあらゆる種類のメリットを活用して真に最適化できます。
あなたが言ったことに戻りますが、そうですね、あなたは進歩を遂げるために必要なデータの量、情報の量について話しているのです。そうだね。そして組織は苦労しています。また、多くの場合、自社の資産に何があるかについて、必ずしも80%程度理解しているとは限りません。つまり、どのように、どのように、どれだけの情報があれば進歩を始めることができるのか、そうですね。それがゼロトラスト採用の障壁だと思うからです。障壁の 1 つは、適切なデータポイントがすべて揃っていないと思うことです。それではちょっと待っておきますが、あなたの反応はどうですか?
45:00 インディ・ダミ
ええ、つまり、それはあなたが提起した素晴らしい、素晴らしい点です。なぜなら、多くの場合、今ではすべてのデータを持っていなくても大丈夫な点ですよね?情報に基づいた意思決定はできますよね?私たちが持っているデータポイントを活用して、過去に構築したデータポイントや、経営幹部チームが、皆さんが寄せた、あなたが設定した4つの質問に答えたり、私たちの安全性はどの程度か、何を見ているのかを示すダッシュボードを作成したりできます。私たちが最も重視している分野は何か?そして、ダッシュボードは基本的に、赤、黄、緑のステータスであるデータポイントに対する信頼度に基づいて構築されました。この1つの質問に答えられるのは、私がすべてのデータポイントとすべてのログを持っているので、私たちはどの程度安全かという質問に自信を持って答えられるからです。ただし、その他のいくつかの点については、関心のあるポイントがすべて揃っている可能性があります。ステータスが「黄色」であるため、50% のレベルにしか回答していません。回答に必要な情報は部分的にしかありません。そこで、サイバーリスクの定量化のようなものが実際に役立つのです。今すぐ。多くのお客様が来てこれを尋ねるのを見ています。では、すべてのデータポイントが揃っていない場合、サイバーリスクの定量化をどのように適用すればよいのでしょうか。なぜなら、これは確かに、真に定量化するためにはすべてが必要な作業だからです。そして、それは正しいアプローチではありません。ある程度までは、私たちが持っているものを、既存の知識を活用し、主観的な判断を下すことです。しかし、ご存知のように、金融業界が長年使用してきたものに基づいて基本的に構築されているリスク定量化モデルに移行すると、市場がどのように動くかについての予測をどのように行うかがわかります。そして、そのロジックを適用することで、金融の世界でビジネス用語を話すことができますが、それをサイバーに適用することは、現時点で非常に大きな影響を及ぼしています。
46:47 ラグーナンダクマラ
ええ、絶対正しいと思います。なぜなら、非常に多くの未知数、そうですね、そして多くの場合、あなたが持っている未知数で制御できない状態で進歩を遂げることができる方法が必要だからです。そうですね、そうでなければ大抵は停滞し、完璧さは進歩の敵のようなものです。
だから、楽しみにしているようなものですよね?実際、先を見据える前に、金融サービス機関のある組織が一部のサイバーリスクを本質的に軽減しているというニュース記事をもう一度お話ししたいと思います。間違って引用してすみません、それは彼らのリスク機能だけですよね?焦点は、トランスフォーメーションの能力を妨げていたため、リスク機能を減らすというものでした。正しく、そして革新しましょう。そして確かに、組織が取るべきアプローチは、これらの機能をより緊密に結びつけることです。そうすることで、イノベーションが安全な方法で、適切に、設計段階から安全に行えるようにするわけです。そうすることで、構築しているものと同じようなものになるように、セキュリティが早い段階で関与し、構築されたときにセキュリティが安全であることがわかります。後で承認を求めないというわけではありません。つまり、それについてどう思いますか?それは取られたことですか?それは確かに私たちがベストプラクティスとして説いていることに反しているからです。
48:26 インディ・ダミ
です。そして、調和する機会があると思います。そして、これは私が長年説いてきたことです。実は、私が何年も前に書いたホワイトペーパーの1つに、金融サービスの観点から、今こそリスク、セキュリティ、詐欺を統合する時だということでした。そして残念なことに、これらの機能は、リスクとセキュリティが一緒になることの方がまだ多いように思えます。しかし、詐欺は依然として孤立した能力です。これはあまり意味がありません。なぜなら、監視対象がサイバーセキュリティチームが監視しているものと重複してしまうからです。しかし、彼らは重要なツールに投資してきました。そして、それがおそらく問題の一部は、サイロベースのアプローチが多くのツールに多額の支出を引き起こしていることです。ご存知のように、あるクライアントが一夜にして私に、サイバーセキュリティ市場のすべてのツールについて考えるなら、私はおそらくそれぞれ1つずつ手に入れたと言っていました。そうだね?ええ、予算、それって相当なの?しかし、彼らは本当にその価値を最大限に引き出しているのでしょうか。最適化はしていません。私が一緒に働いていた組織の中には、世界中に20種類近くのSIEMツールを持っている組織もあります。これは、ドイツのある組織が調達した組織から脱却し、独自の事業を構築し、米国の誰かが同じことをしていたためです。そして、おそらく今もその状態が続いているのでしょう。そして、ご存知のとおり、ビジネスリーダーが考えるコストは根本的にかなり高額なので、ビジネスはそうではありません。そこで、その答えは、このリスクチームの一部を削減しようということでした。ご存知のとおり、これによりコストの一部が削減され、イノベーションが可能になりますが、それにより、おそらくまだ検討していない、あるいは検討したことがない他の多くの分野にリスクがもたらされます。これは、一部の組織では、不測の事態に備えて、不測の事態に備えて、GDPR違反や罰金を取っておく準備ができているためです。そして、最悪の事態が私たちに起こることを受け入れるのは、ビジネス上の決定である場合もあります。そして、万が一事態が起こったとしても、私たちはその状況にいつでも、いつでも、対処しなければなりません。以前にも言われたことがありますが、ご存知のとおり、「サイバー関連のものはすべて、実際には保険契約のようなものですよね?それは私たちには起こらないかもしれないからです。私たちは投資からお金を引き出せません。」
50:31 ラグーナンダクマラ
しかし、それはお金を稼ぐのに役立ちます。できる限り最善の努力を払って保護されていることを知っていれば、安全です。
50:40 インディ・ダミ
それだけでは不十分な場合もあります。
50:45 ラグーナンダクマラ
それだけでは不十分な場合もあります。よし、じゃあ未来の窓口係が水晶玉を覗いてみようそうだね?サイバー関連の観点から、今後数年間に金融サービス業界が直面するであろう課題は何だと思いますか。
51:00 インディ・ダミ
私としては、探知と統制の両方の観点からAIが使用されていることに驚くことはないでしょう。また、さまざまなAIツールや機械学習を使用して攻撃の一部を根本的に自動化し、侵入コストを削減している脅威アクターもいます。というのも、前述したように、これらの脅威アクターの中には高度に組織化された脅威アクターもいて、手作業で仕事をしている人がいるからです。これにより、コストが削減されるだけでなく、攻撃対象領域が増えるため、眠っている間も攻撃を続けることができます。つまり、AIは一つであり、量子コンピューティングの出現は、あらゆるものに波及効果をもたらすでしょう。量子コンピューティングは可能であるため、暗号化対策や導入されているものをすべて無効にすることができます。ですから、私にとって、それはおそらくFSに限ったことではありません。これはあらゆるセクターに当てはまる業界です。
52:01 ラグーナンダクマラ
ええ、ビデオを見た人が私が何をしていたのか疑問に思っている人のために説明すると、娘が充電器のプラグを抜いたので、電源が切れる前にプラグを差し込まなければなりませんでした。そうですね、AIの影響と量子コンピューティングがもたらすポテンシャルの両方について聞いていると思います。特に、現在の暗号アルゴリズムが本質的に、役に立たないものではなく、非常に脆弱で、可能になり、測定可能な時間内に侵入される可能性があることについてです。しかし、AIに関しては、もちろん非常に話題性が高く、AIの攻撃者による実際の攻撃の使用という点では、そうですね、たとえば、ディープフェイクを作成したり、あなたや私が影響を受けやすい素晴らしいフィッシングメールを作成したりする可能性があると聞いていますが、父が受け取ったものをすべてクリックするのを忘れてしまいましたがたとえば、組織内のランサムウェアの脅威で、ある種のジェネレーションAIにアクセスできるとしましょう。リアルタイムで適応するには?あれが見えるかい?研究からその例を見てきたけど、どれぐらい現実的になると思う?それは?
53:22 インディ・ダミ
現実になると思います。数年前からAIについて考えていて、ブログ記事を書きました。ご存知のように、AIは箱ではなくパンドラの仕事を開くのでしょうか?なぜなら、技術的には仕事だったからです。今、私の良き友人であり同僚の一人が、「人工知能の活用?」と言った段階にいると思います。彼の見解では、それは吸血鬼を家に招くようなものだということでした。中に入ると遅すぎるつまり、脅威アクターのためのものになる可能性があるのです。これは、お客様自身が AI を社内で利用していることです。どうしてそれを信用できるんですか?期待していた成果を実現できているか?改ざんできるか?そうだね?そうなると、そのモデルは全く予想外の何かを生み出し、それが他の多くのビジネス要素にも波及していませんか?そのため、信頼の低下は多くの組織にとって大きな懸念事項です。あなたがディープフェイクや要素に触れていたところ、おっしゃるように、セキュリティ専門家は簡単にだまされてしまう、非常に洗練されたディープフェイクがいくつか見られます。
ですから、私たちが今生きているのはとても心配な時代です。というのも、あなたはどうやって本当に信頼しているのか、そして、例えばこのポッドキャストの反対側で話している相手が、あなたが期待している人物であるかどうかをどうやって確認できるかという点です。
54:54 ラグーナンダクマラ
正確には、つまり、私はまったくラグーではないかもしれませんよね?ただのディープフェイク版だディープフェイク版のインディと話してるそれで、まとめると。あなたは明らかに規制の厳しい業界、つまり世界で最も規制が厳しいとは言わないまでも、最も規制の厳しい金融サービスに非常に重点を置いています。何がワクワクすると思いますか?それでは近い将来、何が怖いですか?
55:21 インディ・ダミ
私がワクワクするのは、実は人々です。一緒に仕事をしている人たち、一緒に仕事をしているクライアント、本当に面白いことをしている人たち、たくさんのイノベーションが起こっています。まるで世界が大きく変わったかのように。私たちが日常的にあらゆることに取り組んでいる方法に戻ると、テクノロジーは私たちのいたるところにあり、本当にスマートな目的、非常に興味深いユースケース、健康上の利点など、さまざまな用途に使われています。ですから、ご存知のように、人間の創意工夫と革新は素晴らしいです。新しいテクノロジーについて読むのが大好きで、宇宙をどんどん見ることができるテクノロジーについて読むのも大好きです。彼らがこれらの惑星のいくつかを発見したとき、その大きさが理解できないことに驚かされます。しかし、私が怖いのは、同じことを何度も繰り返し、異なる結果を期待している組織を今でも見かけることがあるということです。そして、私にとって、それは狂気の定義です。
56:18 ラグーナンダクマラ
ええ、完全に。完全に同意するよここで私が思うのは、私たちが未来をどう守るかを考えるとき、必ずしも新しいことをしなければならないということではないということです。本当に大切なのは、例えばサイバーのようなものを長年支えてきた多くの基本をしっかりと行うことですよね?そして、実践者である私にとって、次の新しいテクノロジーを見るときはいつでも、それは素晴らしいことだと思います。しかし、まだ修正しなければならないことはたくさんあります。
56:57 インディ・ダミ
基礎、事実、基本要素、ほら、メルセデスにいた頃に私が話したその点に戻りましょう。私たちはすべてのプロセスを備えた品質管理システムを構築しました。セキュリティが組み込まれていましたが、私にはまだそこで働いていない同僚が何人かいます。私たちは彼らをインディに引き継ぎました。「当時私たちがそこでやっていたことは、ご存知のようにずっと先を行っていましたが、今はまだわかりません。」時々、組織に行って、文書化されたプロセスを見せてくれます。そして、ご存知のとおり、さまざまなシステムがおそらく時代遅れで、ポリシーは何年も更新されていません。さて、新しい特効薬のピカピカで斬新なテクノロジーを購入しようとする前に、まず基礎を固める必要があると思います。そうだね。しかし、基盤を正しく構築できない場合は、どのようにリスクを軽減し、リスク管理統制を整えるかを考えてください。これは基本的に、サイバー・レジリエンスとは何か、オペレーショナル・レジリエンスとは何かということにさかのぼります。攻撃を受けた場合でも事業を継続できるようにするための基本要素が整っているか、何らかの理由でオフィススペースを失った場合でも、ビジネスの核となる目的は何かという要点に立ち返るため、ビジネスとして運営できるのだ。そうですね。そして、セキュリティリーダーとしての道のりで彼らをサポートできれば素晴らしいですし、それが私のモチベーションになっています。
58:15 ラグーナンダクマラ
うん、絶対正しい。事業を継続し、革新を続けられるように、基盤を整えましょう。
58:25 インディ・ダミ
まさに。
58:29 ラグーナンダクマラ
ああ、インディー、あなたと話せて本当に嬉しかったです。たぶんあと2、3時間、かなり簡単に数時間続けられるようにカバーしたと思う。さっきも言ったようにね?あなたのためだけにシーズン3か12のエピソードを提供できると思います。そうだね、メルセデスをアンピックして、KPMGやアクセンチュアなどでの時間をアンピックして。でもどうもありがとう。
リスナーの皆さん、ショーノートでイルミオのDORAコンプライアンスリソースへのリンクを確認してください。この重要な条例について知っておくべきことがすべて記載されています。ゼロトラストセキュリティは、EU内で事業を行うすべての銀行、金融サービス、保険会社に影響を及ぼすDORAの遵守に役立ちます。EU の DORA 規制について詳しく説明する次回のエピソードにご期待ください。