.png)
John Kindervagが語る、セキュリティリーダーがゼロトラストについてまだ見逃しているもの
ジョン・キンダーヴァグは運動を起こそうとはしませんでした。彼はファイアウォールが愚かだと思っただけです。
当時、彼が使用していた特定のファイアウォールは、各インターフェイスに信頼レベルを割り当てていました。ネットワークの「信頼できる」側から「信頼できない」側に移行する場合、ルールさえ必要ありませんでした。
当時ペネトレーションテスターだったジョンは、それがどれほど危険であるかを正確に知っていました。そして、彼が発言したとき、彼はクライアント、彼の会社、そしてファイアウォールベンダーから熱を浴びました。
しかし、彼は「信頼」のような漠然とした(そして率直に言って無意味な)ものの上にネットワークを構築するのか、という考えを揺るがすことができなかった。
この質問により、現在ゼロトラストと呼ばれるものが始まりました。そして数十年経った今でも、イルミオのチーフエバンジェリストであるジョンは、時代遅れの思い込みを打ち破り、サイバーセキュリティ業界に異なる考え方を促しています。
このブログ記事では、John が No Trust ポッドキャスト「From Theory to Practice: The Zero Trust Journey with John Kindervag and Dr. Chase Cunningham」で Chase Cunningham 博士と最近対談した知恵を詳しく説明し、セキュリティ リーダーにまだ欠けていると思われるゼロトラストの重要な原則を共有しました。
歯ごたえのあるセンターはもうありません: ゼロトラストの誕生
ジョンがフォレスターに入社したとき、彼はついにこの大きなアイデアを探求する余地を得て、同社のアナリストトレーニングがそれを奨励しました。
「彼らは私たちの職務内容をホワイトボードに書きました」と彼は言いました。「『大きな考えを考えなさい』。そこで私は、デジタルシステムへの信頼を研究したいと言いました。」
これにより、ジェ リコ・フォーラム (当初はゼロトラストに反対していた)との会話、プロトタイプ・アーキテクチャ、そしてこの概念を打破しようとする業界専門家からの際限のない突っ込みなど、2年間にわたる一次調査が行われました。
しかし、誰もできませんでした。
最終的に、ジョンはゼロトラストを紹介する画期的な論文「 No More Chewy Centers」を発表しました。フォローアップの論文「 ネットワークのDNAにセキュリティを組み込む:ゼロトラストネットワークアーキテクチャ」では、ジョンが長い間ゼロトラストの中核と見なしてきた 概念であるセグメンテーションを強調するビジョンが示されました。
「表面を保護するには、セグメンテーションが必要です」と彼は言いました。「それが私が今イルミオにいる理由です。」
可視性の氷山
ゼロトラストが数年前に突然登場したように感じるなら、ジョンは氷山の一角を見ているだけだと言います。
「人々は2021年に再燃したと思っていますが、それは常にそこにありました」と彼は説明した。「ただ視界がなかっただけです。」
彼は、 2013年のターゲット侵害 と 2015年のOPM侵害 を、ゼロトラストを米国政府機関のレーダーに映らせた重要な瞬間として指摘しています。
舞台裏では、特に連邦政府の間で養子縁組が雪だるま式に増え始めました。しかし、企業はそれを認めることに神経質でした。
「ケーススタディを依頼したところ、法務チームとPRチームはノーと言いました」と彼は語った。「『私たちはゼロトラストをやっていることを人々に知られたくありません。それは私たちを標的にするかもしれません。」
バイ デン大統領の2021年の大統領令 により、連邦政府機関にゼロトラストが義務付けられたことで、すべてが変わりました。突然、静かな運動だったものが世間の勢いを増した。
「もう脅迫には従わない」
ジョンの最も直感に反する信念の 1 つは、脅威を追跡しないということです。
「私は最新の マルウェア や攻撃キャンペーンを研究していません」と彼は言いました。「なぜなら、適切に設計されたゼロトラスト環境では、それらは重要ではないからです。」
なぜでしょうか。ゼロトラストは、侵害が避けられないことを前提とし、すべてのアラートを追うのではなく、重要なものを保護することを中心に制御を構築するためです。
「ゼロトラスト環境には、インターネットからの未知のリソースが Protect Surface に未知のペイロードをドロップすることを許可するポリシーはありません」と彼は説明しました。
最新のマルウェアや攻撃キャンペーンは、適切に設計されたゼロトラスト環境では重要ではないため、研究しません。
攻撃者が使用するプロトコルは変更されていません。そして、フィッシングリンクや不正なパスワードなど、同じ基本的な攻撃ベクトルが依然として支配的です。
「攻撃者は今でも20年前と同じツールを使用しています」と彼は言いました。「ここは運動の世界ではありません。サイバーでは、彼らはまだ同じTCP/IPレールの中に閉じ込められています。」
John は、脅威のインテリジェンスを追いかけるのではなく、強制力のあるポリシーとサーフェスの保護に重点を置きます。
ゼロトラストは、必ずしもより迅速に対応することではありません。そもそも攻撃者の選択肢をなくすことだ。
柱を忘れる:ゼロトラストの5ステップモデルに従う
これほど多くのゼロトラストの取り組みが行き詰まっている理由の1つは、組織が流行語や柱で満たされた厳格なフレームワークに従おうとしているためです。ジョンは、単純化する時が来たと言います。
「私は5ステップモデルを使用しています。いつも。製品リストではなく、保護面から始めてください」と彼は奨励しました。
ゼロトラストと信頼できるID管理に関するNSTAC大統領への報告書などの政府出版物で概説されている5つのステップには、次のものが含まれます。
- 保護サーフェスの定義
- トランザクションフローのマッピング
- ゼロトラストアーキテクチャの構築
- ポリシーの作成
- 監視と保守
ジョンは、ゼロトラストに一度に取り組もうとしたり、直線的な成熟の旅だと考えたりしないように警告しています。
「人々は『最初にアイデンティティ、次にデバイス、そしてネットワークのすべてを行う』と考えています」と彼は言いました。「そうすれば何も成し遂げられないでしょう。」
代わりに、チームがプロジェクトを、エンドツーエンドで保護できるネットワークの小さくて価値の高いチャンクである保護サーフェスに分割することを推奨しています。
そして常に最も重要な質問から始めます:私たちは何を守っているのか?
ゼロトラストはリーダーシップの必須事項です
ゼロトラストの勢いを維持するにはどうすればよいかと尋ねられたジョンは、「リーダーシップの賛同を得る。彼らが参加するとすべてが変わります。」
それが、ずれたインセンティブを調整に変えるのです。
「非常に多くの人が私に『ここではゼロトラストは絶対にやらない』と言われてきました。そして、CEOが私たちがそれをやっていると言うと、突然それが起こります。」
短期的な証券購入から長期的な戦略に考え方を変える唯一の方法は?それをリーダーシップの優先事項にしてください。
「サイバーセキュリティは四半期ごとの予算項目ではありません」とジョン氏は言います。「それはあなたのビジネスを運営するものです。」あるいは、彼が率直に言ったように、「コンピューターが故障すると、飛行機は飛べなくなります」。
サイバーセキュリティは四半期ごとの予算項目ではありません。それはあなたのビジネスを運営するものです。
ゼロトラスト: 流行でもオプション でもありません
ゼロトラストが主流になりました。政府の命令、ベンダーのキャンペーン、派手なホワイトペーパーにそれが見られます。しかし、そのほとんどは的外れです。
ジョン・キンダーヴァグが20年近くにわたって共有しているのは、製品の売り込みでもマーケティングの枠組みでもありません。それは考え方の転換です。組織が反応をやめて設計を開始することを余儀なくされるものです。恐怖に基づく支出ではなく、実際の戦略に根ざしたものです。
絶え間ない攻撃、重なり合うツール、そして迅速に行動しなければならないというプレッシャーの世界において、ジョンの声は地に足の着いたものです。サイバーセキュリティとはトレンドに従うことではなく、最も重要なものを保護することであることを思い出させてくれます。
だからこそ、ゼロトラストはもはやオプションではないのです。これは、設計上、運用上の脆弱性に対するものです。
ジョンのようなゼロトラストリーダーのポッドキャストをもっと聞きたいですか?受賞歴のあるポッドキャストを購読する セグメント: ゼロトラストリーダーシップポッドキャスト.
.webp)