[新しい方法によるデータ保護]

[00:03 ショーン・コネリー]

[データセキュリティについては新しい見方をしていますが、データセキュリティの柱が最も弱く、私たちがすべきことが最も多かったと思います。]

[00:12 ラグーナンダクマラ]

[ゼロトラスト・リーダーシップ・ポッドキャスト「ザ・セグメント」へようこそ。私はあなたのホストで、ゼロトラストセグメンテーション企業であるÍllú~míóのインダストリーソリューション責任者であるR~ághú~ Ñáñd~ákúm~áráです。今日のエピソードには、サイバーセキュリティ・アンド・インフラストラクチャー・セキュリティ・エージェンシー（略してC~ÍSÁ）の元連邦ゼロトラスト・アーキテクトであるショーン・コノリーという非常に特別なゲストが加わりました。ショーンは、国土安全保障省 (D~HS) のCÍ~SÁの信頼できるインターネット接続プログラムマネージャーでもありました。2013 年に国土安全保障省に入社し、それ以来さまざまな役職を歴任してきました。彼は2017年に大統領に提出されたÍT~近代化報告書の筆頭著者であり、2019年にはÑÍST~の「ゼロトラストアーキテクチャに向けた特別刊行物」を共同執筆しました。このエピソードは2月に録音されたので、ショーンはCÍSÁ~から異動しましたが、彼がまだCÍSÁ~で働いていたときの彼の視点から話すのを聞くことができます。ネットワークアーキテクチャの進化、過去5年間の事件によって連邦政府がサイバーレジリエンス、特にゼロトラストに注目するようになった理由、そしてCÍSÁ~が新しい方法でのデータ保護についてどのように考えているかについて説明します。そこで、この「セグメント」のエピソードにようこそ。CÍSÁ~の連邦ゼロトラスト・アーキテクトであるショーン・コネリー（Séáñ~ Cóññ~éllý~）氏です。ショーン、光栄だよ。ご参加いただきありがとうございます。]

[1:39 ショーン・コネリー]

[ああ、ありがとう。私にとっては嬉しかったです。ザ・セグメントに参加できてとても幸せです。ありがとうございます。]

[1:45 ラグー・ナンダクマラ]

[どうもありがとう。そして、政府レベルでゼロトラスト指令の起草者に直接関わったことのある人と関わる機会はあまりないので、私たちにとっては非常にエキサイティングです。しかし、その前に、ショーン、あなたの経歴と、連邦ゼロトラストアーキテクトになるまでにたどったキャリアパスについて少し教えてください。]

[2:07 ショーン・コネリー]

[はい、ありがとうございます。それで、私は長い間コンピューターに関わってきました。80年代初頭に、TRS80モデル3のR~ádíó~Shác~kコンピューターを使ったサイドプロジェクトがありました。サイエンスフェアに参加して、ユーザーエクスペリエンスについてすぐに学びました。サイエンスフェアで私立学校に通い、80歳以上の修道女がコンピューターを使おうとしていたからです。この人は文字通り1800年代に生まれた人です。そして、彼女にコンピューターの電源を入れる方法や構文エラーの意味を説明しようとすると、少し違います。しかし、続けていくうちに、セキュリティやセキュリティのためのネットワーキングにさらに興味を持つようになりました。90年代、私は大量のCís~cóルーターやCí~scóスイッチを設置しました。そこからプロトコルを理解し始めました。そして、ルーティングを行うときには、W~írés~hárk~やÉthé~rの実際のレベルとほとんど同じようにプロトコルを理解して、少し年齢を重ねる必要があります。そして、当然のことながら、そのネットワークから、境界について心配し始める必要があります。その後、2000 年代初頭にファイアウォールに取り掛かりました。そして、2004年か2005年に国務省で働く機会がありました。そしてもちろん、国務省には、世界中に200以上の大使館とポストがあります。グローバル・ネットワークです。最も高度で持続的な脅威の中には、国務省が仕掛けているものもあります。ですから、連邦政府がグローバルネットワークの仕組みを学んだことを知ったことは、私にとって本当に素晴らしい経験でした。そして、たぶん2013年かそこらで、CÍS~Áの古い名前であるÑPP~D（CÍS~Áの旧称）に移る機会があったと思います。私はシスコに過去11年ほど勤めています。実際、国務省やCÍS~Áに在籍していた頃は、特に連邦政府機関を中心に、その境界に主に焦点を当ててきました。頼り方にもよりますが、連邦の民間機関や行政機関は 100 以上あり、私たちはこれらの機関と協力してネットワークの保護と境界でのような ÁP タイプの脅威の阻止を支援してきました。そして、ゼロトラストは、もちろん新しいタイプの議論を始めたわけですが、実際にはこの20年近くも続いています。連邦政府企業と協力して、以前とは違う方法でセキュリティを支援してきました。]

[4:16 ラグーナンダクマラ]

[素晴らしい。それで、境界線について話したね。そして、過去 20 年間のネットワークアーキテクチャのアーキテクチャの進化を見てみると、おそらく最も大きな進化は、境界という概念に関するものだと思います。そして、あなたがTÍC 1、T~ÍC 2、そして最近ではTÍ~C 3に関わっていることを私は知っています。境界の性質がどのように変化し、なぜ変化したのかを聴衆に説明できれば、セキュリティ要件もそれに伴って進化する必要があります。]

[4:46 ショーン・コネリー]

[確かに、それは素晴らしい質問です。つまり、私たちがTÍC 1、T~ÍC 2で始めたことの多くは。2000年代半ば、ホワイトハウス管理予算局は、すべての連邦最高情報責任者（CÍ~Ó）と連邦最高情報責任者（CÍÓ~）に、非常に単純な質問をしていました。「インターネットにはいくつの接続がありますか？政府機関はパートナーネットワークまたはインターネット自体にいくつの接続を持っていますか¿」戻ってきた数は驚異的でした。多くの回路がこれほど多くの接続であるとは誰も思っていませんでした。4000以上の回路が分かれていて、これは民間側の話で、国防総省の話でもありません。つまり、実際には、最初の議論はトラフィックアグリゲーションに関するものでした。4000 のインターネット回線を必ずしも排除しなくても、限られた数のデータセンター、ファイアウォールスタック (TÍC~ アクセスポイントと呼ばれる) にそれらの回線のトラフィックアグリゲーションと呼ばれる処理を集中して実行するにはどうすればよいでしょうか。そこで、まず最初にすべきことは、データを集中させることでした。それに加えて、制御する回路と限られた数のTÍCアクセスポイントができたので、それらのデバイスの周囲に標準化されたベースラインセキュリティ境界を設定することから始めましょう。繰り返しになりますが、これは 2008 年、2012 年にさかのぼります。2015 年頃までさかのぼります。当時、共通のアーキテクチャは、東西交通よりも南北交通と呼ばれるものに重点が置かれていました。そして、実際にはすべてのデータに焦点を合わせていました。それはT~ÍC税と呼ばれていました。中西部または西海岸に支店を持つ機関がたくさんありました。しかし、政府機関の本部は東海岸に TÍ~C アクセスポイントを置いていました。今では、アメリカ全土でも、40/50ミリ秒の時間で、データセンターが西海岸で終わった場合、LÁからワシントンD~Cまで向かい、南北の交通でトラフィックを送り、西海岸をまたいで戻る必要がある機関もあります。それに、文字通り税金というものがあって、それは妥協案だったのです。そこで、クラウドとの議論が本格的に発展し始め、モバイルが台頭し始めたので、私たちは別の見方をする必要がありました。調達、境界モデル、レガシーキャッスル、モートモデルは、話に戻っても決して理想化されなかったと思います。当時も、ジョン・キンダーヴォーグの話を聞いたシスコとジェリコ・フォーラムは、ジェリコ・フォーラムの境界をいかに深く掘り下げる必要があるかを話し合っていました。ジョンは、ジェリコが時々 TLS~ 接続、つまりクライアントからサーバーへの暗号化された接続に注目していることについて話していると思いますが、ジェリコは元の文書にいくつかの戒めを記していました。ここで言い換えると、そのうちの 1 つは、「セキュリティをデータの近くに置けば置くほど、データはより良くなる」というようなものです。そして、それは理にかなっていますよね？そしてそれはTÍC1とT~ÍC2とは正反対でした。そのため、セッションのデータを強制的にファイアウォールスタックを通過させていました。つまり、2015 年または 2016 年に連邦企業がそうであったように、私たちがこの新しい旅を始めたのはまさにこの点です。]

[7:45 ラグーナンダクマラ]

[面白いです。あなたがその点について言及したのは、あなたが連邦政府のÍT近代化に関する大統領への報告書の作成に携わっているという報告の1つがあったからです。エグゼクティブ・サマリーで非常に興味深いのは、これらのアクションによって、政府機関がネットワーク境界の保護や従来の物理的な導入の管理から、連邦データの保護やクラウドによる導入の最適化へとどのように移行できるかを説明されていることです。また、このレポートでは、政府機関のリソースを最も価値の高い資産に集中させるというリスクベースのアプローチも強調されています。これは本当に興味深いことだと思います。というのも、これはほぼ直接、組織全体の一種の境界から離れたTÍ~C 3に焦点を当てることにつながるからです。しかし、実際にそのコントロールを動かして、守ろうとしている重要なもののセキュリティに注目してください。]

[8:38 ショーン・コネリー]

[はい、そのレポートに [言及] していただきありがとうございます。私はそこに載っていた数ある著者のうちの一人でした。また、連邦政府では、さまざまな官僚機構や政策、権限の一部を移転するには時間がかかります。ご指摘の通り、それは2017年に書かれたものです。2019年にメモが発表された後、私たちがTÍC 3ガイダンスの展開を開始したとき、それらの共著者の多くはまだ私たちのそばにいてくれました。しかし、あなたの言うところでは、彼がどこに行きたいのかはわかっていたとしても、それには何年もかかりました。しかし、その変化を強制し始めるような方法でポリシーを形作るにはまだしばらく時間がかかります。何かが力を要したとは言いたくありません。しかし、さまざまな機会とさまざまな可能性を持ち始めましょう。しかし、さっきも言ったように、データセキュリティの移行はクラウドの最適化であり、ネットワークセキュリティから直接離れるとは言えませんが、データセキュリティとネットワークセキュリティのバランスを取ることが重要です。]

[09:29 ラグーナンダクマラ]

[ええ、同意します。そして、このレポートと、まさにそのネットワークの近代化統合という表現の仕方が、ゼロトラストアプローチの採用に向けたシフトの出発点になったと思います。]

[09:44 ショーン・コネリー]

[いいえ、文字通り、ジョン・ケネディでした。彼のインタビューではおそらく100回言及するだろうが、2010年か2011年にかけて、チューイー・センターの文書が厳しくここに書かれていた。当時、私は国務省にいて、そのガイダンスを持って国務省を走り回っていました。これは、私たちがたどり着く必要があるところだと言っていました。どうやってそこに行けばいいのかわからない。しかし、これはまさに前進したフレームワークです。正直なところ、当時はもっとコツのあるソリューション、ネットワークアクセス制御タイプのソリューションとして解釈していたと思います。公平を期すために、ÑÁC はセキュリティをデータの近くに移動させています。つまり、切り替えたいときに、クライアント自体の 802.1x~ エージェントまたはクライアントを切り替えるような場合です。しかし、それも方程式の一部に過ぎなかったと思います。議論が発展するまでにはしばらく時間がかかり、約10年前に侵害されたときにGóóg~léが過去5〜10年間何をしてきたか、Bé~ýóñd~ Córé~をどのように見ているか、暗号化されたデータをどのように扱っているかがわかりました。ですから、こうした議論はすべて行われていると思います。そして、先ほども言ったように、2017年にそのレポートが発表されたタイミングという点では、ゼロトラストが政府の周りでさまざまな形で反響を呼び始めていました。ÑÍST~では、これは新型コロナウイルス以前のことで、ÑÍST~はゼロトラストに関するワークショップを数多く開催していました。毎年、年次集会が開催されています。ÑSÁ、彼らはその会合に大々的に参加していた。当時Ñ~SÁに在籍していたランディ・レズニックは、現在は国防総省のゼロトラスト・ポートフォリオ・マネジメント・オフィサーであり、彼はそこにいました。前述の ÍT~ モダナイゼーションレポートの主要著者の何人かは、これらの会議に出席していました。そこで、それが浸透し始めたのです。ただ、ゼロトラストというポリシー自体には含まれていなかったのです。同じ頃、近代化についておっしゃっていましたね。TÍCのメモ、またはT~ÍCの近代化がありました。そこで私たちは、ゼロトラストをできる限り支援し、連携できるよう、TÍ~Cの3つの取り組みを位置づけようとしました。]

[11:38 ラグーナンダクマラ]

[わかりました。ÍTモダナイゼーションに関するレポートから離れる前に私が気付いたもう1つのことは、連邦政府機関によるパブリッククラウドの採用も実際に停滞しているということです。セキュリティという観点から、過度に境界中心やネットワーク中心から、より重要な資産に重点を置いたものへとこの変化が見られたのはなぜでしょうか。連邦政府機関によるクラウドの採用、または採用を加速させるためには、なぜクラウドが不可欠だと感じたのですか¿]

[12:10 ショーン・コネリー]

[残念ながら、平均が広い境界ベースであることが示されているケーススタディがいくつかありました。多くの人は境界に注目していますが、攻撃者は依然として危険にさらされています。ÍTモダナイゼーションの取り組みについておっしゃった取り組みの多くは、実際には2015年のÓP~M違反から生まれたものです。そして、それはÓPM~違反への対応でした。ここ数年で起きているサイバーÉÓやゼロトラストのことについてお話しすることになると思います。その多くはSó~lárW~íñds~の侵害に焦点が当てられていました。そのため、このような侵害が発生し、それが経営陣の注意を引き、新しい方法で議論を強いることがあります。しかし、あなたの言うところでは、クラウドは侵害が発生するずっと前から存在していました。もちろん、GSÁ のクラウドモダナイゼーション (Á~TÓ) プロセスのリーダーである Fé~dRÁM~P は約 10 年前から存在していますが、あるプログラムが実際に立ち上がり、さまざまなクラウドプロバイダーが Féd~RÁMP~ プログラムでサポートされるようになるには 2、3 年かかりました。2014 年か 2015 年頃、マット・グッドリッチが CSP Á~TÓ で 20 位になったことを祝っていたときのことを覚えています。今では、ÁT~Óには300種類以上のパッケージがあると思います。ですから、これが起こるまでにはしばらく時間がかかることがあります。しかし、クラウドの採用は実際に行われています。おっしゃるように、同じ点です。クラウドの採用により、規模が大きくなるか速くなるか、エージェンシーが現実のものになり始めています。]

[13:27 ラグーナンダクマラ]

[理解しました。では、すぐにクラウドに戻りましょう。あなた自身も、その中には2010年代半ばにÓPMが侵害されたものもあるとおっしゃっていました。そしてもちろん、2、3年前のS~ólár~Wíñd~sは、おそらくラクダの背中を折ったわらで、それがÉÓ 14028の公開を余儀なくされたのでしょう。それで、ちょっと話してもらえませんか？こういうものが作られていたとき、あなたはそこにいたんですよね？プロセスについて少し話してください。]

[13:52 ショーン・コネリー]

[承知しました。それで、いくつかのことが起こっています。そして、その政治的なことは理解するつもりはない。しかし、行政上の変更もありました。連邦最高情報責任者 (CÍSÓ~) のクリス・デルーシャがやって来ました。エリック・ミル、エリックはÍTモダナイゼーション・レポートを書いたグループの一員でした。エリックは長い間そこにいました。多くの主要人物が政権に就いています。繰り返しになりますが、Só~lárW~íñds~が妥協し、そこから反響があったことを踏まえて、私たちは政府として、新しい基準を設定しなければならないことを知っていました。ネットワーク境界や、機関内部のレガシーテクノロジーを多用しすぎることを忘れろと言っている人はいません。誰もファイアウォールをなくすつもりはありませんが、より包括的なアーキテクチャソリューションが必要です。サイバー行政命令の話に戻りますが、そこにはÓMB、G~SÁ、CÍ~SÁ、ÑÍ~STに向けて、多くの担当者が参加していました。まずは、どのように前進するか、より包括的なアーキテクチャソリューションについての話し合いから始まりました。繰り返しになりますが、これらの人々の多くは、言ってみれば、さまざまなグループのバトントスのようなものですが、ÍT~モダナイゼーションレポートに戻ると、そこには明確な勢いまたは方向性が設定されていました。そして、サイバー行政命令はより具体的に表れるようになりました。おっしゃるように、ゼロトラスト自体に焦点を当てることができました。その機会がなかった方法や、以前のポリシーやレガシーコードなどの下では、その機会がなかったと思います。]

[15:19 ラグーナンダクマラ]

[だから、ソーラーウィンズみたいな事件はなかったし、コロニアルパイプラインはソーラーウィンズから何ヶ月も経っていないと思う。それらはÉÓ 14028の重要性に大きな焦点を当てているだけのものだったのでしょうか？それとも、これらがなければ、この注文は遅延する可能性があり、本来あるべき重要性や重点が置かれていなかったのではないでしょうか。]

[15:44 ショーン・コネリー]

[ええ、間違いなく、それがなければそこにあったかどうかはわかりませんが、リーダーシップの注目が集まりました。Sólá~rWíñ~dsでは、実際に、Só~lárW~íñds~の取材で実際に発生している警告攻撃は、マイクロソフトと、各機関がさまざまなマイクロソフトのクラウドテナントに大量の重要なデータを保管していた方法に焦点が当てられていました。そのため、繰り返しになりますが、より包括的なソリューションを前面に出す必要がありました。TÍC 3に行ったときに見逃していたことが1つあります。もちろん、T~ÍC文書のリリースのように、CÓ~VÍDが発生したちょうどその時に起こりました。そして、最初のユースケースであるT~ÍCのクラウドユースケースをリリースする予定でした。政府機関に必要なユースケースは多数あります。ÓM~BがTÍC~メモ1926をリリースしたとき、いくつかのユースケースがありましたが、クラウドのユースケースから始めるつもりでした。クラウドのユースケースが最も注目されていたと思うからです。しかし、新型コロナウイルスが流行し、リモートワークに焦点が当てられたとき、私たちは変更を余儀なくされ、リモートユーザーのユースケースを公開することになりました。リモートユーザーを保護するために行っていることがブランチオフィスに対して行っていることと、クラウドに対して行っていることには、ほとんど同じ機能があります。似ている点もありますが、強調しておきたい相違点もいくつかあります。エージェンシーはメッセージを本当に混乱させていると思います。そして、私たちの活動を見た人が何人かいて、「ああ、私たちはユーザーにもっと焦点を当てているだけだ」ということでした。そして、それは本当の意味での意図ではありませんでした。そのため、最後にクラウドのユースケースを公開する必要がありましたが、これから進めていくのは、TÍCのさまざまなユースケースをリリースしている間ずっと、Ó~MB、ホワイトハウス、連邦最高情報責任者 (CÍ~Ó) のクレア・マルトラーナのチーム、クリス・デルーシャのチーム、連邦最高情報責任者 (CÍS~Ó) のクリス・デルーシャのチームとも協力して、より包括的なソリューション・アーキテクチャを実現する方法を検討しているということです。それでは、サイバー行政命令の中で、その直後にÓMB~からのゼロトラスト戦略メモの草案として各機関に公開されたことを見てみましょう。これもまた、リーダーシップレベルでの議論を本格的に始めようという動きの一環でした。ÓMBでは、副秘書のような議論をしていました。副秘書は通常、副秘書のような話し合いを行っていました。副秘書は、秘書を必要としない機関そのものを担当しています。そこで、指導部の注目が集まり、ジョン・キンダーヴォーグの話を聞きました。皆さんの関心としては、トップダウンの連携とボトムアップの連携が必要だということを知っていました。そして、私はもっと底辺を上向きにして、できる限り押し進める手助けをしています。しかし、私たちにはトップダウン型のリーダーシップが必要でした。電話会議の前に話したように、「政府機関はサイバーセキュリティアーキテクチャを近代化するために前進する必要がある」と明確に述べる社長がいることは、確かに皆の注目を集めるのに役立ちました。]

[18:10 ラグーナンダクマラ]

[ああ、その外に立っている。絶対に。それが明らかになったとき、そしてそこから続くすべてのことだと思いますが、サイバーセキュリティの世界では、政府が推進している方法で出てくる何かに、これ以上興奮しているとは思いません。内側にいたことで落ち込んだとき、どう感じましたか？さて、これはサイバーセキュリティの歴史における重要な瞬間です。そして、私はその真っ只中にいます。]

[18:36 ショーン・コネリー]

[まあ、それは良い質問です。そんな風に聞こえるなんて思ってもみなかった。バトントスみたいなことが何度もあったよ。今振り返ってみると、確かに、それは多くのものがリリースされた決定的な瞬間のように見えているのかもしれません。しかし、CÍSÁ~に勤務し、ÓMBやG~SÁと仕事をしてきたので、全体的に多くの努力が必要です。その時点までには10年かかりました。しかし、明らかに、その反応、ゼロトラストへの関心、ÓP~Mと会話の後に政府が注目したサイバーセキュリティ後の姿勢、連邦政府のサイバーセキュリティ態勢に対する期待、現在の状況、そして私たちが一般的に皆さんに話しかけて「これは連邦政府が行っていることです。これが私たちが検討していることです」と言うことができる方法でした。あなたの主張とはまったく別の話です。誰も予想していなかったような形で物語が変わりました。これもまた、ÓMB~、ホワイトハウス、そして彼らの先見の明に対する褒め言葉であり、メモの中で建築をみんなの注目を集めるような位置づけができたことです。]

[19:33 ラグーナンダクマラ]

[ええ、絶対に。そして、これを始める前にオフラインで簡単に話していたのですが、メモについて特に興味深いのは、目を見張るような興味深いことだと思います。それはホワイトハウスと大統領府からのものですか？具体的な内容の中には、予想外だったり、異常に予想外だったりするものもありますが、あまりにも多くの規制を見てきて、「よし、じゃあ、実際に何をすればいいの？」と言われるほどレベルの高い規制が多すぎるため、大歓迎です。特に明確ではありません。では、採用を促進するために、大統領府から提供されているほぼレベルの技術的きめ細かさを持つことがなぜそれほど重要だったのでしょうか。]

[20:19 ショーン・コネリー]

[さて、それは素晴らしい質問です。ここで気をつけないといけないのは、ジョン・キンダーヴォーグがショーン・コネリーのブードゥー人形にピンを刺しているのが聞こえたから。テクノロジーに少し集中することはできますが、実際には起こる文化的な変化の方が重要です。しかし、あなたの言うところでは、新しい方法でデータを保護することについては常に議論が交わされています。私の元上司であるサラ・モズレーは、Císc~óCÍS~Áの最高技術責任者を務めていたとき、2015年、2016年に「データを保護しなければならない」と説いていました。ここワシントンDCの準シンクタンクのもう1つであるハック・ディアグは、2018年にゼロトラストに関する論文を発表したと思います。そこで公開されていましたが、あなたの言うところでは、非常に戦術的なことをゼロトラストのメモに入れるまでは、本当にみんなの注目を集めたサイバー行政命令です。しかし、その時でさえ、これについて少し話すことはできました。エージェンシーは迅速にアイデンティティをオンラインに移行できると答えたとしても、「それは実際にはどういう意味ですか？」などの質問がありました。全員が同時にテクノロジーに戻りました。私たちは、リモートユーザー、企業ユーザー、顧客ベースを問わず、政府機関がクラウドに接続してユーザーとつながる方法を変える必要があることを知っていました。そして、そのトラフィックを物理的なテクノロジーアクセスポイントを介して移動させることは、現代のインフラストラクチャでは前進する方法ではありませんでした。そのため、ある程度のプレッシャーを解放し、新しい方法を提供できる必要がありました。そのため、これまで不可能だった方法で、政府機関がセキュアアクセスサービスエッジ (S~ÁSÉ) またはセキュリティサービスエッジ (S~SÉ) ソリューションを使用するようになり始めています。そのため、おっしゃるように、柱ごとに非常に戦術的な方法がありました。ÓM~Bとその戦略について少し話を戻すと、私たちはゼロトラスト成熟度モデルのリリースを調整し、その戦略を褒め称えました。CÍS~Áでは、この5つの柱がありましたよね？ÍDデバイス、データ、アプリケーションネットワーク、そして、ああ、彼のメモはそのようにして出てきました。さっきも話したように、アイデンティティの柱はエージェンシーがこれをする必要があったのです。まあ、デバイスピラーエージェンシーはそれを行う必要があります。そして、連邦企業全体のセキュリティ体制をどのように強化するかについて、非常に明確なロードマップが示されました。しかし実際には、そのために重要な組織の変化が同時に起きているのです。]

[22:29 ラグーナンダクマラ]

[うん。私も同感です。あなたの使っている言葉は本当によく使われていたと思います。文化的な変化や戦略の転換を強制することについてです。しかし、少なくともある程度の戦術的な詳細を持たずにそれを指定するだけでは、人々を突き止めるのが非常に難しくなります。というのも、「オーケー、まあ、実際に何をしたか見せて」みたいになるからです。そして、戦術ビットは彼らが何をしたかを示すのに役立ちます。それで、あなたはゼロトラスト成熟度モデルについて話しました。そして、去年リリースされた2.0もあったと思います。1.0は数年前のことです。それについて私たちに話してください。それはかなり早く、第二版がリリースされた直後の話です。なぜそれを推し進める必要があると感じたのですか？最初のバージョンから学んだ主な教訓、その実装、2.0 の改善や機能強化の参考になったフィードバックは何か？]

[23:21 ショーン・コネリー]

[ええ、それは素晴らしい質問です。では、この方法で始めましょう。そこで、2021年夏に最初のバージョンをリリースしました。ÓMBがゼロトラスト戦略、ドラフトをリリースしたのと同時に。実際、バージョン1をリリースしたとしても、必須だったと思うので、サイバー行政命令に書かれていました。実際には、何かを公開したいというドラフトのようなものでした。当時、私たちが公表したかった理由の1つは、政府機関がゼロトラスト実施計画をホワイトハウスに送る責任があったことです。そして、C~ÍSÁとÓ~MBでは、政府機関が私たちと話しているときに、共通の分類法、共通の言語を用意したいと考えています。なぜなら、特にÓM~Bと私たち自身にとって、100以上の計画を読むのは難しく、共通点もないからです。そこで、代理店と船舶機関が私たちのところに来て、どのように改善されているかを教えてくれたときに、その議論の指針となる成熟度モデルをリリースしました。しかし、私はそれをリリースしました。私たちはそれをリリースしたので、2つ目のバージョンを作らなければならないことはわかっていました。そこで興味深かったのは、各機関がÓMB~に公開しなければならない実施計画について私が触れたことです。そして、2022年の夏、春、夏。私たち自身、ÓMB、そして他の機関の中小企業（対象分野の専門家）とのタイガーチームがありました。そして、実施計画の数を機関ごとに調べました。20/25のC~FÓ法機関、すべてがパートエージェンシー、そしていくつかの小規模なエージェンシーもあります。もう一度チームごとに検討し、各機関と話し合いをして、彼らがゼロトラストへの道のりのどの段階にいるのかを理解しました。これらすべてが、昨年の4月頃にリリースされたメモのバージョン2に反映されたと思います。これらの議論は、やはり100回以上の政府機関とのワーキンググループミーティング、さまざまなベンダーコミュニティ自体との多くのミーティング、そしてアカデミアとのミーティングでした。同時に、他の政府からも関心が寄せられています。そこで、私たち自身や他の団体は、「連邦政府はゼロトラストをどのように推進しているのか？」などと、さまざまな政府と話し合っています。クラウドへの接続をどのようにサポートしていますか¿」こういった種類の議論はすべて、その成熟度モデルに当てはまるわけです。先ほど申し上げたことの 1 つは、この機関の最初の課題の 1 つは、迅速なアイデンティティ、オンライン F~ÍDÓ2 への移行を可能にすることでした。ここで言いたいのは、政策に言葉を入れる前の話だということだ。しかし、政府機関は依然として「これが本当の意味なのか？」ということを知りたがっています。さらに、何十年にもわたって、政府機関は紙の C~ÁC カードで生活してきました。私たちは連邦政府職員を使用しており、彼らもカードを持っています。しかし、フィッシングに強い MF~Á（多要素認証）を前進させるには、他の方法が必要です。そのため、そのポリシーでは、ÓMB~ が先見の明を持って FÍDÓ~ を利用できるようにしました。しかし、2022年の議論では、ほとんどすべての機関が、私たちが何を意味するのかを話し合う必要がありました。というのも、そのアイデンティティは、機関やその尊重の観点から見ると、面白い業界の1つだからです。アイデンティティ・カウンセルのような機関もあれば、アイデンティティ・中小企業がいる機関もあるのでしょうか？あるいは、エージェンシーに聞かなかったとしても、エージェンシーのアイデンティティ戦略を率いるのは誰か？それはアクティブ・ディレクトリ・グループですか¿PKÍ~ グループですか¿クラウドのようなものなのか、それともクラウドアカウントを運営する人々なのか。そのため、それぞれの担当者は、オンラインでファストアイデンティティが使用されることの意味を説明する必要がありました。あるいは、戦略のさまざまな柱のそれぞれで出てくるいくつかの質問を振り返る必要がありました。]

[26:39 ラグーナンダクマラ]

[素晴らしい。では、これらすべてのプランで受け取り、検討している重要なフィードバックのいくつかを要約すると、成熟度モデルの更新に役立つ最も重要なフィードバックは何だったのでしょうか。]

[26:52 ショーン・コネリー]

[バージョン2のことですよね？別のバージョンか？ええ、ちょっと視点をとってください。これは20ページの文書で、すべての作業員を含んでいるわけでもありません。ちょうど9月、または2021年に公開RFCが公開されたときのことを話したばかりです。300 件以上のコメント、200 ページ以上、30 件以上のコメント、20 ページの文書がありました。そのため、共通のテーマを抽出するにはしばらく時間がかかりました。もちろん、一部のベンダーが自社のテクノロジーを位置づけたいと考えているということですが、私たちはテキスト感覚をその性質から切り離す必要がありました。私たちがやろうとしていること、ここで私たちが何をしようとしているのか、何を意図しているのかについて話しているのです。優先順位を付けると、代理店が求められました。たとえば、政府機関はこのような興味深いものを求めていました。プロビジョニング解除やデバイスのプロビジョニング解除方法に関する詳細情報を求めていました。多くの場合、何かをオンラインにしようか、プロビジョニング解除についてはあまり関心がありません。そこで、私たちはそれを強制したかったのです。そこで、政府機関にプロビジョニング解除の方法を考えさせたいと考えました。M~FÁ はフィッシング対策の MF~Á と FÍD~Ó2 の調整について触れました。私たちはそれと v2 の両方に対して、より強い言葉をかけています。もう1つは、ネットワーク側ではマイクロセグメンテーションの傾向が強かったことです。そしてそれは面白かったです。繰り返しになりますが、ドキュメントコミュニティでは、実際にはアプリケーションのセグメンテーションが中心でした。そこで、アプリケーションの柱となるのはアプリケーションのセグメンテーションですが、私たちはそれをさまざまなネットワークツールを使って行っているので、それをネットワーキングに組み込むことにしました。公平を期すために、すべてのモデルが間違っています。便利なモデルもありますが、私たちはこれをリリースしようとしているだけです。これが唯一の見方だと言っているのではありません。これが私たちが機関と話をしたときです。彼が私に話しかけたとき、CÍ~SÁが何を意味するのかを機関がコミュニティを理解するのに役立ちました。しかし、私たちが確かに正しいと言っているわけではなく、アプリケーションセキュリティについて話しているのは、セグメンテーションがネットワークの柱のようなものです。もう 1 つは暗号化です。一部のコミュニティでは、暗号化はデータの柱にすべきだと考えていました。私としては、ネットワークかアプリケーションの柱のどちらかだと思います。つまり、ポジショニングにはさまざまな方法があり、どちらが正しかったか間違っているかをここで断言できるわけではありません。もうひとつ出回っている成熟度モデルは、すでに述べたように、国防総省 (Dó~D) とゼロトラストの前のランディ・レズニックです。国防総省には素晴らしい情報がたくさんあり、リファレンスアーキテクチャを取得するための戦略があり、多くの機能や統制に傾倒しています。7人のプレーヤーが関わっていると思います。私たちには、先ほどお話しした 5 つの柱と、可視性、自動化、ガバナンスという 3 つの分野横断的な機能があります。私たちの多くは、本当に、正直なところ、美学だけを重視しています。ランディの話を聞いたり、私たちの話を聞いたりするとき、私たちは同じことを言っています。少し違った見方をして、人々が理解できるようにしています。なぜなら、私はマーケティングのバックグラウンドを持っていて、聞いていることの1つは、何かを7回7回の異なる方法で説明する必要があるということです。そして、私がここでやろうとしていることは、これをさまざまな方法で説明するのに役立つということです。10年以上前にジョン・キンダーヴォーグが考えていたことに戻りましょう。]

[29:45 ラグーナンダクマラ]

[ええ、絶対に。私の頭の中は、自分が反応できることやあなたが今言ったことすべてに頭を悩ませています。しかし、まずは最後のことから始めましょう。ゼロトラストの実践者として、最終的にさまざまな方法でそれを組み立てることができることは、政府機関、組織などにとって、ゼロトラスト戦略を採用し、その戦術を実行して姿勢を成熟させることだと思います。ですから、私たちがそのストーリーを伝える方法が何であれ、その方法のいずれかが共感できる限り、それは素晴らしいことです。ですから、ストーリーを伝える方法が複数あることは本当に重要です。そう呼んでもらえれば、ZTMランドにおける成熟への道のりについてお話ししましょう。従来の初期、上級段階、最適段階があり、それぞれの柱についてこれらのマップを用意しています。最初に成熟度モデルを発表し、そしてもちろんそのフォローアップをドットゼロにリリースしたとき、その組織が、次の柱に移る前に、ある柱で最適な成熟度へと真っ向から取り組んでいるのを最初に見たことはありますか？なぜなら、それがあなたの 2.0 の文言の一部に反映されているのがわかるからです。]

[30:51 ショーン・コネリー]

[ええ、それは素晴らしい点です。そして、v1とv2の違いについても触れました。V1 には、従来のもの、高度なもの、最適なものがあります。v~2 には、従来の初期最適と高度な最適があります。そして、私たちは本当にそのイニシャルを入れる必要があります。というのも、従来のものと高度なものの間には非常に大きな距離があり、イニシャルについても機関や組織にいつその旅を始めるのかを理解してもらうための何らかの方法が必要だったからです。そのため、そこにイニシャルを入れることが非常に重要でした。しかし、あなたの言うところでは、言葉が多かったので、私たちは多くの組織について少し違った話し方をしました。民間の行政機関では、すでに動き始めています。私たちは多くの機関と話をしています。まだ伝統的なやり方で、まだ始まったばかりです。つまり、従来の組織から初期段階への移行だけが、多くの大企業の進出先です。しかし、あなたの言うところでは、柱そのものと同様に、私たちはそれを広く解釈できるように意図的に抽象化しました。しかし、ネットワークの柱に集中する前に、最適なアイデンティティの柱にたどり着く必要があるという意見を聞いたことがあります。そして、分類やそれらをどのように調整するかという点では、それは私たちのモデルの意図とはまったく異なります。理想的には、組織は並行して、異なるコラムで動いていくのが理想的です。そして、私とジョン・キンダーヴォーグが注力していることの多くは、ゼロトラストで見られるものの中には、実際にはネットワーク側から始まったものもあると思います。ですから一部の機関や組織は、言うまでもなく、データの柱よりもネットワークの方が少し進んでいると思います。一般的に、この会話を始めたところに戻ると、その多くは新しい方法でのデータセキュリティに関するものです。しかし、データセキュリティの柱は最も弱く、私たちが最もやるべきことがあったと思います。そして、これを実現するために、私たちはほぼこれを繰り返しました。成熟度モデルを作成し始めた頃は、データを中心に他のカテゴリ、アプリケーション、デバイス、ネットワーク ÍD を配置していたのとほとんど同じでした。なぜなら、現在の方法では大規模なデータを実際に扱うことができなかったからです。]

[32:55 ラグーナンダクマラ]

[うん、完全に同意します。その点でも、成熟度モデルの進め方や、暗闇の中にある登山のグラフィックは適切だと思います。なぜなら、あなたのÍTモダナイゼーションレポートを振り返ってみると、それはリスクベースのアプローチのようなものだからです。そして、山を登る道について考えると、それはぶら下がっている果物は何か、次のステージに進むために私が取ることができる次の最も簡単なステップは何かということです。そして、道をジグザグに登ってみると、もっといいかもしれません。それこそまさに、ある柱から別の柱へと私を連れて行きなさい。なぜなら、私のリスク評価から次の明らかなことは、私が今日焦点を当てている分野とは別の柱にあるからです。]

[33:43 ショーン・コネリー]

[ええ、個人的なメモです。それで、昨年の4月に成熟度モデルをリリースしたと思います。そして、一週間も経たないうちに、偶然にも、ケビン・マンディアと誰もが知っているケビン・マンディアが RSÁ カンファレンスでプレゼンテーションを行いました。そして、彼がその成熟度モデルの山を取り上げて、それを自分のデッキに入れました。私はきっと論点をつかみ、皆に彼を承認してもらうことができるでしょう。これはかなり記念碑的なことです。しかし、彼らにとってマウンテンデッキを置くことができたことは、私たちにとってかなり褒め言葉でした。しかし、はっきり言って、それはジョンソンの同僚のようでした。彼はその山を強く推し進めていただけではありませんでした。それは共感を呼んだ。しかし、頂上に着いたら、そこは本当に山脈で、後ろに山があって、例えが悪いわけではないかもしれないということだと思います。しかし、私がそう言う理由は、テクノロジーが進化するにつれて、旗を動かし、ゴールポストをある時点で正しく移動させるという最適な方法だからです。しかし、ええ、どういうわけか、あなたの言うところでは、それが山を登るときに共鳴しましたが、私は来るのが見えませんでした。]

[34:48 ラグーナンダクマラ]

[うん、本当に好きです。では、どうやって... では、進捗状況を考えると、政府機関はこれをどのように追跡しているのでしょうか？どのくらいの頻度で追跡されているのでしょうか？そして、彼らはどのように責任を問われるのでしょうか？]

[35:01 ショーン・コネリー]

[うん、つま先立ちしてみるよ。CÍSÁ~でアーキテクトをするという贅沢な仕事は、サイバーセキュリティに焦点を当てています。しかし、絶対に公平を期すために、それは管理予算局にとって最優先の課題であり、私たちにはそこに座ってそれらの質問に自分で答えてくれるチームがいます。測定を行うことが非常に必要です。そこで、連邦ゼロトラスト戦略という戦略に戻ると、各機関は、自社の保有車両の数、エコシステム内のフィッシングに強い MFÉ を保有しているのは誰か、クラウド内のデータのうちどれだけがデータ分類の対象であるかを基準に評価されてきました。そのため、ありがたいことに、前に話した内容に戻って、それを測定するためのメモ自体を用意するための測定値があります。そして、それぞれが私にとってのトレーニングであり、どの機関とどの機関がうまくやっているかを深く掘り下げたくないことはわかりましたが、それ以上に、ここ数年、M~FÁに関しては連邦政府が市民がこれらのネットワークを安全に使用できるようにするという点で連邦政府が支援できることしかできないMF~Áに関する動きが明らかになっています。政府機関がTÍC~ 1とTÍC 2で話し合った内容から脱却する傾向が明らかになっています。多くの連邦政府機関が民間のT~ÍCプロバイダーを利用しなければなりませんでした。それらはM T~ÍCプロバイダーと呼ばれています。これらはほとんど異なるベンダーが提供していないマネージドサービスであり、エージェンシーは何年もの間、M T~íps以外のソリューションを求めてきました。T~ÍC税について話したように、非常にコストがかかり、非常に非効率的です。政府機関が参入したソリューションから離れ、セキュリティ証明書サービスを備えたSÁ~SÉソリューションと、より効率的なネットワークを構築し、全体的なセキュリティを向上させるだけでなく、可視性も向上させるようなソリューションに移行できるようになり始めています。したがって、これらの柱にはそれぞれ明確な傾向があり、できれば戦略から外れたさまざまな牧草地での成功の主張に戻ってください。]

[36:54 ラグー・ナンダクマラ]

[素晴らしい。メモが公開され、その期待が立てられたとき、24年度までに大きな進展が見られる必要がありました。あなたの視点から見ると、政府機関はこれを達成するための道を歩んでいるのでしょうか？そう思えます。]

[27:14 ショーン・コネリー]

[ええ、ÓMBは政府機関と協力してその一部を測定しています。しかし、繰り返しになりますが、フィッシングからM~FÁの採用は重要です。エンドポイントの検出と対応 ÉD~R を導入し、実際に言及できること。ある種のエンドポイント検出対応エージェントをサポートするデバイスの数が増えることで、大きな推進力が生まれます。ネットワーク側では、SÁS~Éについて触れました。そこで、私たちは想像どおりに、CÍS~Áが引き続き可視性を獲得できるように取り組んでいます。これは、各機関がこれらの新しいプラットフォームに移行するにあたり、私たちの使命にとって極めて重要だからです。ですから、ÓMB~やThé H~íllやさまざまな組織（G~ÁÓでは）が責任を持ち、次元を決定づけ、新しい方法を測定する方法がいくつかあると思います。]

[38:00 ラグーナンダクマラ]

[それで、何が起こったの？というわけで、私たちは24会計年度に突入しました。それは行き来も終わりも、私たちは望んでいた進歩を遂げました。さて、次の段階の進歩への原動力となっているものは何でしょうか？それとも、現在のような機関が、ある意味で陽気な道を歩み、それを続けるだけの勢いがあるのでしょうか？]

[38:21 ショーン・コネリー]

[いいえ、それは素晴らしい質問です。私の見解では、ÓMBはゼロトラストのチームキャプテンであり、Ó~MBから何が出てくるか見るのを待たなければならない人もいます。しかし、取締役会の次のステップは何かという議論があります。]

[38:34 ラグーナンダクマラ]

[さて、覚えているのは、あなたがMátú~rítý~ Módé~l 1.0の表面で提供されたコメントについて話していたことと、私たちの会社を代表してコメントしたようなものだったことを覚えています。しかし、特定のベンダーについてあなたが指摘したことは、基本的には製品ドキュメント全体に「これがxから実行までの展開方法だ」と言っただけだったことを覚えています。そして、そのバージョンと、いくつかの改訂版を見て、レビューやコメントが必要になったことを覚えています。これこそが皆さんが導入しようとしている機能であり、その理由などの観点から少し書き直したことを覚えています。ですから、コメントをよく考えてみると、どこかの時点で私がコメントしたことに出くわしたと思います。]

[39:15 ショーン・コネリー]

[でもそれを回転させる別の方法ができました。私が持っている役職のひとつは、みんなに知ってもらうために、私は技術近代化基金、技術近代化基金、TMFの代理理事を務めているということです。T~MFは、通常のルートでは資金を得ることができないかもしれない機関のためのソリューションであり、議会とホワイトハウスの両方が、2018年には、政府機関がTM~Fに提案を提出するための別の代替方法を作成できるようになったと思います。GSÁ~がÓMBやC~ÍSÁで我々と緊密に連携できなくなってしまった。多くの機関がありますが、これは政府機関が提案を送る方法であり、システムを新しい方法で近代化する方法でもあります。しかし、そのような議論をするとき、私はT~MFのウェブサイトをよく見ました。フロントページには、農民のための代理店のシステムを近代化することで、農民のためのデータをより速く処理する方法についての記事が掲載されています。企業が適切な港からより早くカスタム商品を入手できるようになった機関に贈られた賞もあれば、退役軍人とそのサービスのメリットをより早く受けられる退役軍人に贈られる賞もあります。私が言っているのが聞こえないのは、それらの機関は何らかの MF~Á を授与されているかもしれないとか、2 つの機関がクラウドへの移行を利用してデータのタグ付けと分類のクラウドを活用しているかもしれないと私が言っているのを聞いていないということです。しかし、これらの賞のそれぞれには、ゼロトラストの原則が組み込まれています。それは、ゼロトラストのテナントです。TMF~がサービス、資金、情報のいずれかをより早く人々に届けるには、それがすべてです。繰り返しになりますが、ゼロトラストのテナントと製品を組み込むことが理想的でした。つまり、あなたがベンダーと話しているように、そしてベンダーがどのようにしてコメントやサービス、知的財産を持って私たちのところに来たのかというように、それでも許可することができました。さて、ここでの本当の意図は何でしょうか？真の価値はどこにあるのか、それを成熟度モデルの情報として利用するのだろうか？]

[41:11 ラグーナンダクマラ]

[素晴らしい。では、楽しみにしているときは何だと思いますか？そして、ゼロトラストがさまざまな機関にまたがって成熟し続けていることについて考えてみませんか？今後、どのような重要課題が想定されているとお考えですか？]

[41:22 ショーン・コネリー]

[ええ、つまり、少し違った後で、最後の少しで本当にアンロックされ始めたチャレンジのようなものです。正直なところ、これはメモの前身であるサイバー行政命令以上のものだと思いますが、各機関には対象分野の専門家であるゼロトラスト中小企業が必要です。いくつかの機関の中で、その役割がどのように広がっているかを見てきました。それは単なる抽象的な例かもしれませんが、ゼロトラスト中小企業がCÍÓオフィスにあったところから始まり、C~ÍSÓのオフィスに行って、C~TÓのところに行くのかもしれません。ゼロトラストの原則をどのように位置づけているのかを理解するためだけに。そのアイディアを僕らが呼ぶのは組織の中で規律があるのか？誤解しないでください完璧な答えは存在しません中には、ゼロトラストのカウンセラーのようなことをしている機関もあります。たとえば、ネットワークの中小企業にアイデンティティを持つ中小企業など、さまざまな柱の中小企業を何人か招いています。他の機関は、ほぼ1人または1つのオフィスしかいないところでより多くのことを行っています。その一部は、政府機関がクラウドに移行するにつれて、組織がどのように変化するのかなど、機関自体で起こっている組織変更の位置付けだけでした。たとえば、政府機関がクラウドに移行するにつれて、組織はどのように変化するのか、というように、横方向に進む前に、データセンターのネットワーク運用、セキュリティ運用、パケットに焦点を当てたデータセンターの運用、セキュリティ運用、そして私たちが確実にすることに重点を置くことに重点を置いていました。Pキャップを取得し、Í~Dを用意するか、センターを設置しました.そうですね、クラウドではこのような可視性がすべて変わります。そのため、組織の変化に伴い、政府機関はバランスを取るべき適切なタイプの中小企業を持つようになりました。クラウドプロバイダーには、レガシーとは呼びませんが、原始的なサービスの一部を提供しなければならないというか、クラウドプロバイダーにまだ見られることがあります。PCÁ~Pは、ベンダーが戻ってサポートしなければならないという話をいつも耳にします。クラウドプロバイダーは一般的に、SÓC~やÑÓCが未加工のパケットキャプチャを望んでいるとは考えていなかったと思います。しかし、多くの組織はそう考えています。私は連邦政府だけを代弁しているわけではありません。つまり、一般的に言って、多くの組織はいまだにそのような願望を持っており、パケットキャプチャをベースにしたツールやプレイブックを持っています。ですから、ゼロトラスト、クラウドネイティブ、より収益性の高いソリューションを活用できるようにするための鍵は、さまざまなポジションでさまざまな割合で起こっている組織変革がまだあるということです。]

[43:53 ラグー・ナンダクマラ]

[つまり、それは感覚を開き、開放性によって別のワームの缶が開かれます。これはまったく別のポッドキャストのエピソードで、近代化するにつれて、レガシーの負債の一部を引き上げて新しいテクニックや手順を採用することをどのように回避するかについてですが、それはポッドキャストに戻るときのためです、ショーン。それについてのエピソードを全部お届けします。さて、まとめる前に、少しグローバルな視点を取って、いくつかのことをお話しします。米国や米国の機関がゼロトラストの採用によって成功していることに注目し、セキュリティの近代化を推進するために同様のアプローチを採用しようとしている政府や米国の同盟国が、世界中に存在すると思います。米国の国境を越えてゼロトラストが広まっていることをどのように見ているかについて、背景と詳細を教えていただけますか？]

[44:47 ショーン・コネリー]

[もちろん、ここでは注意しますが、政府機関や一部の連邦政府と話し合っており、一部の議論はFédR~ÁMPに関するものです。そして F~édRÁ~MP のプログラムについてだけ言うと、一部の政府はいまだに自国の政府や Fé~dRÁM~P の国内で立ち上がろうとしているところです。一部の国では、このデータがあるのか、それともネットワーク集約が行われているのか、つまり有限の TÍC~ アクセスポイントという点で、私たちが TÍC 2 で行ったようなことをしています。そして今、政府はクラウドとモバイルが同じ場所にいます。そして、政府が私たちのところにやって来ています。そのセキュア・アクセス・サービス・ソリューションや S~SÉ ソリューションをどのように活用すればよいのでしょうか。そこで、私たちはこのような議論を行っています。もう1つは、フィッシングに強いMF~Áについてです。それは別の分野です。繰り返しになりますが、連邦政府が少し違うところには、PÍV~カードとCÁCカードがありました。しかし、他の政府とは少し異なります。しかし、現在、F~ÍDÓ2ソリューションには明確な関心が寄せられています。つまり、C~ÍSÁが行うことに対する立場だけではなく、こうした議論の幅が広いということです。しかし、繰り返しになりますが、クラウドの進化と単なるデータ主権は、私がよく聞くもう一つの分野です。]

[45:56 ラグー・ナンダクマラ]

[素晴らしい。オッケー。まとめると、残念ながらこれを終わらせなければなりません。というわけで、あなたは新しい機関とのミーティングルームキックオフで、彼らはゼロトラストの旅を始めようとしています。そして彼らはこう言います。「ねえ、連邦ゼロトラストアーキテクトのショーン・コネリー、ゼロトラストとは何か見当もつかない。私たちがこれから取り組んでいることについて教えていただけますか？」どう思う？]

[46:22 ショーン・コネリー]

[つまり、連邦政府には新しい機関がないので興味深いですよね？つまり、こうした技術の多くは非常に古い技術です。最も古い技術が使われていますよね？ÑÁSÁ~のように、100億マイルも離れたボイジャー衛星にフィッシング多要素認証を導入する必要があるとか、火星のローバーの周囲にÉDRエージェントを配置する必要があるなどと言っている人はいません。つまり、新しい組織はそれほど重要ではないのです。しかし、あなたが質問しようとしていると思うところでは、ジョン・キンダーヴォーグについて何度か触れました。数年前、私はジョンと一緒に大統領とは別のポートでペンスタックとは別のポートで仕事ができて嬉しかったです。私はいつもこれを間違える。国家安全保障電気通信諮問委員会だったと思います。これらの文書はC~ÍSÁのウェブサイトで入手できます。Ñ~STÁC~ Zéró~ Trús~tと入力するだけで、すぐに表示されるはずです。しかし、その文書には、ジョンがゼロトラストのための 5 つのステップを踏んだことが書かれていて、ジョンとのコラボレーションの素晴らしい点の 1 つは、ジョンが 5 つのステップを踏んだことです。そしてジョンは、彼の功績を称えて、ゼロトラストは本当に簡単だといつも言っています。そこで、その文書にはその5つのステップが書かれています。1 つ目は、保護サーフェスを定義することです。それが第一歩です。これはTÍC~の場合とは違います。保護しようとしているものが何であれ、メインフレームを保護しようとしたり、クラウドの一部を保護しようとしたり、TÍCの背後に置いたりします。プロテクトサーフェスの定義はありませんでした。ゼロトラストでは、何を守ろうとしているんですか？これで最初のステップは完了です。次のステップはトランザクションフローのマッピングです。ただし、重要なことの1つは、先ほどトランザクションフローについて話したことです。システム、システム、クライアント/サーバーなど、これらは重要なもの（パケットキャプチャや単なる方法など）だけでなく、経理チームとの会話と組織自体との会話の間にファイアウォールを持っているのは組織でもあります。そのため、ここではこのような種類のフローが重要です。次に、この新しいアーキテクチャの構築を開始します。繰り返しになりますが、目指しているのはデータ中心のソリューションです。理想的には、保護対象にセキュリティを近づけることです。鍵となるのは、成熟度モデルに戻ることです。この新しいシステムを構築するにあたり、理想的には、これらの柱のそれぞれから異なるシグナルを得始めたいと思うでしょう。ネットワークの柱は、ホストデバイスからのシグナル、アイデンティティからのシグナル、シグナル、シグナル、そして4番目のステップ、つまりポリシーの作成に反映されるシグナルのすべてです。動的なポリシーという意味です。つまり、クライアントとして、私はサービスを提供するか、それにアクセスできるわけですが、やはり組織のポリシー自体も同様です。そして5番目のステップは、それをマニフェストし、監視し、維持することです。つまり、保護サービスを見つけることから始まるこの 5 つのステップでは、トランザクションフロー、アーキテクチャの構築、ポリシーの定義、保守と監視を行う必要があります。以上が 5 つのステップであり、この質問から始めるべきことです。]

[49:01 ラグーナンダクマラ]

[素晴らしい。ショーン、つまり、他にもたくさん質問があるんだが、忙しい一日を過ごしているのはわかっている。今日は本当にありがとうございました。本当に感謝しています。あなたと話せて本当に良かったです。]

[49:13 ショーン・コネリー]

[いいえ、これは素晴らしいです。皆さんは明らかにネットワークの近代化をご存知で、私たちがどこに向かっているのかもご存じでしょう。これは楽しい会話でした。どうもありがとうございます。]

[49:20 ラグーナンダクマラ]

[ショーン、どうもありがとう。今週のザ・セグメントのエピソードを視聴していただきありがとうございます。2週間後に次のエピソードで戻ってきます。それまでの間、ゼロトラストに関するその他のリソースについては、必ず当社のウェブサイトwww.í~llúm~íó.có~mにアクセスし、ショーノートのリンクを使用してLíñ~kédÍ~ñとXで私たちを見つけてください。本日は以上です。ホストのラグー・ナンダクマラです。またすぐにお話しします。]

‍