安全な境界はなくなった
私たちにはチャンスがあります。今年は、かなり以前から進行していた根本的なシフトを急激に加速させました。セキュリティー・アーキテクチャーの核となる要素が排除されたのです。
「境界を安全に」は、コンピューターが部屋全体を占めていた時代からある時代遅れの概念ですが、今ではすっかり姿を消してしまったのです。当時の 「セキュリティ」 は、誰が物理的に部屋に入ることができるかによって定義されていました。論理的、物理的なセキュリティは一元化されていました。ワークステーションが一般的になると、安全な境界はエンドポイントの周りに作られるようになりました。 コンピューティング技術が進化するたびに、何らかの方法で物理的な境界を再現しようとしてきました。しかし、「エンドポイントの考え方」に依存することには根本的な欠陥があります。結局のところ、エンドポイントは模倣され、なりすまされ、傍受される可能性があるのです。この時代遅れのモデルを強化しようとする限り、私たちは的外れなことをしてきたのです。境界は時間とともに消滅し続けています。
より多くのデバイスが導入され、ますます複雑になっている。同時に、データ漏洩、データの紛失、顧客の混乱、規制の強化、摩擦の増加、そして問題の増加も増え続けており、これらの問題はすべて「安全な境界」の崩壊に起因している。
先人たちの夢を遥かに凌駕する能力を持つコンピュータを発明し、世に送り出すために、天才たちは力を注いできました。しかし、これらのコンピューターの内部コンポーネントが時代とともに進化してきたように、セキュリティ・アーキテクチャーのコンポーネントも進化を必要としています。「境界を安全に」という概念が一貫して失敗してきただけでなく、その概念自体が、新しいデバイスについて別の考え方をすれば、これらの新しいデバイスでできることを制限していることになるのです。
1997年、スティーブ・ジョブズは私たちに "Think Different"(人と違うことを考えよう)と挑戦した。
2020年はすべてが変わった年だ。この30年間、セキュアな境界の要塞を崩す文化的な変化がゆっくりと起こってきた。在宅勤務、在宅勤務、"Bring-Your-Own-Device"(自分のデバイスを持ち込もう)などの動きは、これらの要塞の礎石を徐々に侵食してきた。COVID-19のロックダウンが3月に始まるまでは、完全なリモートワークが可能であったにもかかわらず、その動きは雪崩のように押し寄せ、セキュアな境界という概念を覆し、この時代遅れの概念を再考することを余儀なくされた。
これは触媒となる瞬間です。誤った思い込みを修正するだけでなく、顧客やパートナー、従業員が想像もしなかったようなアクセスを提供するような方法で、私たちのアーキテクチャを増強するために活用できるものです。結局のところ、壁のない世界がどのようなものか想像できるでしょうか?要塞を必要とせず、安全、安心、守られていると感じられることを想像してみてください。
第1回「全米サイバーセキュリティ意識向上月間」に参加した一経営者として、このコンセプトが恐ろしく思えることは認めよう。私は、皆さんの多くが抱えている責任を共有している。顧客データを保護し、パートナーのリソースを保護し、知的財産を保護し、競争力を維持し、収益を上げ、従業員の生活を保障する責任を共有しています。私もあなたと同じように、規制や業界を考慮する必要があります。私たちは皆、顧客満足度や従業員のニーズなど、複雑なリスクシグナルに支配されている。新しくて先見の明がある」ことをすれば、聞こえはいいかもしれないが、現状維持の惰性が恐怖に基づく決断を招くこともある。
恐怖に基づく決断の多くは、間違った道へと導き、好都合な道や選択肢を排除してしまう。
私がPGPを運営する機会に恵まれたとき、ある大手銀行と議論を交わしました。暗号化について話していたのですが、当時、暗号化は非常にサイロ化されていました。セキュリティ・アーキテクトとLine of Businessのオーナーが参加した会議で、私のアーキテクトの一人が、"もしすべてのデータが自動的に暗号化されたら、御社のビジネスはどのように変わるでしょうか?"と質問しました。
ライン・オブ・ビジネスの人たちは、「そんな馬鹿な。システムレベルの変更もあるし......。システムレベルの変更もあるし......それに......それに......」と言った。
その銀行のセキュリティ・アーキテクトは、「いや、そもそもそんなことはしていない。そんなことをすれば、私たちのビジネスのやり方が劇的に変わってしまうからです」。
アーキテクチャー担当者は、すべてを暗号化すれば、より流動的に、より少ないオーバーヘッドで、より少ない摩擦で物事を進めることができることを理解していました。しかし、LoBチームはその可能性に気づかず、テーブルを囲んで意見の相違が生じていました。
現状維持の惰性がビジネスに与える影響がある。
あれは私にとって決定的な瞬間だった。マンネリを目の当たりにした。現状維持の惰性がビジネスの意思決定に及ぼす影響を目の当たりにしたのだ。
Nok Nokの代表として、現在のFIDO標準を提案したグループの一員として、フィッシングやアカウントの乗っ取りを排除し、クレデンシャル・スタッフィングを排除し、攻撃のベクトルを減らすために当初から設計されていた標準に携わった者として、私はこの議論に同じ議論が入り込むのを見てきた。そのため、予算をめぐる議論、役割と責任をめぐる議論、さまざまな議論を経て、有益であるはずの変化を遅らせたり、排除したりすることになる。
メインフレームの時代から技術が進歩したのと同時に、莫大なリスクも発生したことを認識している業界団体がある。今年で17年目になりますが、私たちはサイバーセキュリティに対する認識を強調してきました。しかし、私たちはいまだに「安全な境界線」について話しています。まだ50年も60年も前の話をしているのです。私は、白紙に戻せとは言いません。私が提案したいのは、このような問題を段階的に解決するのではなく、全体的に解決することです。
私たちは違うことを考える必要がある。ホリスティックに考える必要がある。
結局のところ、サービスを求めて歩き回る人々や機器がいるだけなのです。このパンデミックは、このような行動の大爆発を引き起こしました。人々はオフィスやビルからサービスを受けに来ることに慣れていたのです。そのパラダイム全体を考え直さなければなりません。私たちがそれを再考している間に、機能している良い部分のいくつかを取り入れ、何が機能し、より良い未来を作ることができるかについて、新しいこと、新しいアイデアを取り入れてはどうでしょうか。
