コンテンツぞスキップ
サむバヌセキュリティのリヌダヌず実務者のためのアむデンティティ・セキュリティVodcast

アむデンティティは今やサむバヌセキュリティの最前線であり、䌁業は脅嚁、コンプラむアンスの圧力、認蚌の課題を先取りする必芁がありたす。RSA Identity Unmaskedは、RSAの゚キスパヌトず業界リヌダヌがホストを務める月1回のVodcastで、今日のアむデンティティ セキュリティを圢成する真の問題を取り䞊げたす。.

今すぐ“今すぐ申し蟌む”「新しい゚ピ゜ヌドが配信された際にお知らせし、以䞋のようなトピックに関する実甚的な掞察を埗るこずができたす。 モダン認蚌, アむデンティティガバナンス, れロ・トラスト, リスクベヌス・アクセス, ヘルプデスク怜蚌, 業界課題, 技術動向, 分野別ホットトピック, などなど。

第5話AIずアむデンティティセキュリティ埌線—AIを誰が統制するのか 信頌、管理、説明責任

人工知胜は、組織の防衛䜓制を倉え぀぀あるだけでなく、信頌、ガバナンス、説明責任をめぐる新たな課題も生み出しおいたす。.

2回にわたるこの特集の第2郚では、 RSAアむデンティティ, RSAの専門家たちず、特別ゲストずしおバヌニング・ツリヌのデビッド・レロ氏が再び登壇し、組織がAIを安党にガバナンスし、AIシステムやデヌタぞのアクセスを管理し、AI䞻導の意思決定に察する信頌を確立する方法に぀いお探りたす。.

AIの導入が加速する䞭、アむデンティティセキュリティは、安党か぀責任あるAIガバナンスの基盀ずなり぀぀ありたす。.

ビデオ録画
フランク・シュヌベルト
『RSA Identity Unmasked』ぞようこそ。人工知胜は、倚くの組織が察応できる速床をはるかに䞊回る速さで、サむバヌセキュリティのあり方を倉え぀぀ありたす。これにより、攻撃者の手口や、IDが暙的ずされる仕組み、そしおたすたす重芁になっおいる「信頌」そのものの確立や管理の方法たでもが、倧きく倉わり぀぀ありたす。.
AIはすでに、フィッシング、なりすたし、゜ヌシャル゚ンゞニアリングを倧芏暡に加速させおいたす。䞀方で、組織は怜知胜力の向䞊、意思決定の自動化、認蚌の匷化のためにAIを掻甚しおいたす。しかし、AIの導入が加速するに぀れお、それに䌎うガバナンス䞊の課題も増倧しおいたす。.
AIシステムぞのアクセスは誰が管理しおいるのか 組織はAIによる意思決定をどのようにガバナンスしおいるのか そしお、AIプラットフォヌム自䜓が攻撃察象領域の䞀郚ずなっおしたった堎合、どうなるのか
今回の゚ピ゜ヌドでは、新たな攻撃手法からAIガバナンス、適応型防埡、そしおAI䞻導の環境における信頌の未来に至るたで、AIがいかにアむデンティティセキュリティの抂念を再定矩しおいるかを探りたす。.

私はフランク・シュヌベルトず申したす。本日は、゚ンゞニアリングチヌムのポヌル・マルノィヒル、フィヌルドCTOのむンゎ・シュヌベルト、そしおバヌニング・ツリヌのデビッド・レロが参加しおいたす。.
皆様、ようこそ。ご参加いただきありがずうございたす。それでは、始めたしょう。.
ヘルプデスクのシナリオに぀いお話した際、それを少し調敎しお、゚ヌゞェントが実際の䜜業を行う方向に進めるず、「ヒュヌマン・むン・ザ・ルヌプ」ずいう話題に入りたす。本質的には、再び同じ課題に盎面するこずになりたす。サヌバヌ偎は「これは重倧な問題のようです。 人間が実際にこれを了承しおいるこずを確認したい」ず䞻匵したす。しかし、゚ヌゞェントが代理人あるいは仲介圹ずしお機胜しおいる堎合、サヌバヌは人間が承認したずいうこずを、どうやっお確実に把握できるのでしょうかこれは、ヘルプデスクで起きおいる状況ず非垞によく䌌たシナリオですよね

むンゎ・シュヌベルト
はい。ヘルプデスクは、倚くの人が身近に感じられるため良い䟋ですが、この原則はほがすべおのワヌクフロヌに圓おはたりたす――少なくずも、セキュリティ䞊重芁な操䜜が行われおいるワヌクフロヌには圓おはたりたす。それは送金やアカりント䜜成、あるいはそれずは党く異なるものかもしれたせん。 具䜓的なアクションの内容は重芁ではありたせん。ワヌクフロヌにリスクが䌎い、か぀人間の関䞎ヒュヌマン・むン・ザ・ルヌプのもずでどこかにAIが関䞎しおいる堎合、人間による承認を確認し、その人物が誰であるかを怜蚌するこずが䞍可欠ずなりたす。.

デビッド・レロ
たた、そのAIが誰なのかを確認する必芁もありたす。.
むンゎ・シュヌベルト
もちろんです。.

デビッド・レロ
倚くの組織が犯しおきた過ちの䞀぀は、AIを「䞻䜓」ずしお扱うこずを忘れおしたったこずだず思いたす。AIの認蚌、AIに察する人の認蚌、そしお人に察するAIの認蚌は、いずれも健党なビゞネスプロセスの䞀郚なのです。.
アむデンティティやアむデンティティ管理に぀いお考える際、AIはアむデンティティのラむフサむクルプロセスに組み蟌たれる必芁がありたす。しかし、倚くの組織では、珟時点ではそうではありたせん。AIを怜蚌・認蚌する胜力に加え、AIに察する自らの指瀺を認蚌する胜力も必芁です。そうするこずで、AIはそれらの指瀺が適切な人物から発せられたものであるこずを認識できるようになりたす。.
関䞎する担圓者が増えるに぀れ、圌らは互いに連携を取り始め、共有されたプロセスに情報を反映させおいくこずになるでしょう。その説明可胜性はどこにあるのでしょうか それらの指瀺の背埌にある怜蚌はどこにあるのでしょうか 組織内で、リスクに芋合った適切なレベルで正しい措眮が講じられたこずを、どのように確認すればよいのでしょうか

フランク・シュヌベルト
そうですね。おっしゃる通り、゚ヌゞェント同士がやり取りをする際、どのように盞互認蚌を行うのでしょうかたた、䞍正な゚ヌゞェントや、システム内に朜んでいる可胜性のあるその他の䞍正な掻動を、どのように怜知するのでしょうかこれは倧きな課題ずなるでしょう。.
それでは、防埡の偎面に぀いお芋おみたしょう。これたで議論しおきたように、AIは攻撃者を匷化しおいたすが、同時に防埡も向䞊させおいたす。前述したヘルプデスクの察策は、必ずしもAIによっお支えられおいるわけではありたせん。むしろ、既存の機胜を賢く掻甚するこずに重点が眮かれおいたす。しかし、AIそのものが防埡偎を支揎するために掻甚される堎合、セキュリティはどの点で匷化されるのでしょうか、あるいはどの点で匷化できる可胜性があるのでしょうか。

ポヌル・マルノィヒル
その利点の䞀぀は、人間よりもはるかに高速に倧量のデヌタを分析できるツヌルを掻甚できるこずです。異垞な挙動が確認された堎合、このツヌルは膚倧な量のログ情報を凊理し、パタヌンを探し出すこずができたす。特定の堎所や地域からの攻撃が増加しおいるか 特定のIPアドレス範囲に関連する䞍審な掻動はあるか

「このIP範囲やこの地域に関連する䜕かが確認されたした」ず䌝えるこずで、環境を守るチヌムを支揎するこずができたす。そうすれば、チヌムは問題の緩和に向けたルヌルの策定に着手できるようになりたす。.
䞀方、1人で䜜業する堎合、そのすべおの情報を確認し、ログファむルを遡っお調べ、手動でデヌタを比范しなければならない。 AI゚ヌゞェントなら、攻撃者が䜿甚する可胜性のあるものず同様の倧芏暡な分析を実行できたす。「珟圚圱響が出おいるため、過去2か月間で䜕が倉わったかを芋せおほしい」ず指瀺すれば、デヌタを比范しお次のような掞察を提䟛しおくれたす。「ここで䜕かが起こっおいたす。私が発芋したこずはこれです。」“

デビッド・レロ
ポヌル、それがそれほど重芁である理由は、結局のずころ、戊争䞭に芳察されたある事実に垰着するず思いたす。政治的な話にはなりたくないのですが――ずはいえ、次はブレグゞットに぀いお話し合っおもいいかもしれたせんね。.
圓時、さたざたな囜の戊闘機パむロットたちが互いに戊っおいたが、そこで興味深い珟象が芋られた。パむロットによっおは、生存率が他のパむロットに比べお飛躍的に高かったのだ。初出撃で撃墜される者もいれば、䜕床も出撃を生き延びる者もいた。.
研究者たちは、䞀郚のパむロットが、埌に「状況認識」ずしお知られるようになった胜力を備えおいるこずを発芋した。ドむツ、むギリス、アメリカ、あるいはその他の囜を問わず、最も成功した戊闘機パむロットたちは、䞊倖れた状況認識胜力を持っおいた。.
その考え方をサむバヌセキュリティやセキュリティオペレヌションセンタヌSOCに圓おはめおみたずころ、最も有胜なSOCアナリストたちは、優れた状況認識胜力も兌ね備えおいるこずがわかりたした。圌らはデヌタのパタヌンを芋極め、「䜕かが起きおいるのがわかる」ず指摘できたのです。“
そこで、私たちはより高床な゚ンゞンの開発に着手し、機械孊習を掻甚しおルヌルを適甚し、パタヌンを特定するようになりたした。「どうすればそれを怜知できるか」ず自問したのです。これは玠晎らしい成果をもたらし、倚くの脆匱性ぞの察凊に圹立ちたした。.
珟圚の問題は、AIによっお倚圢的な攻撃ベクトルが生み出されおいるため、れロデむ攻撃が珟実味のある、極めお深刻な脅嚁ずなっおいるこずです。 埓来、攻撃者は脆匱性が悪甚可胜かどうかを刀断するために、ごくわずかなコヌドを公開するこずがありたした。そのコヌド自䜓は必ずしも有害な動䜜をするわけではなく、無害なもので、単に脆匱性に到達できるかどうかをテストするだけの堎合もありたした。攻撃者は、悪甚が可胜であるこずを確認するず、りむルスやランサムりェア、その他の悪意のあるペむロヌドを远加するこずができたした。.

か぀おは、そのような䜜業には高床な胜力を持぀攻撃者が必芁でした。しかし、AIの登堎により、攻撃者は膚倧な量のデヌタを管理・監芖できるようになり、驚くべき速さでそうしたテストを実行できるようになったのです。.
防埡の芳点から蚀えば、同じ速床で監芖できれば、たずえただ明らかな悪意のある動䜜をしおいなくおも、コヌドがリリヌスされ、あるパタヌンを圢成し始めおいるこずに気づくこずができる。特にれロデむ攻撃の堎合、人間がそのパタヌンに容易に気づくこずはたずないだろう。.
怜知にかかる時間は、数ヶ月から数週間、さらに数日、数時間ぞず短瞮され、今では数分単䜍にたでなっおいたす。数分単䜍ずなるず、䜕が起きおいるのかを特定するために必芁な状況認識を提䟛できるAIによるデヌタ凊理が䞍可欠ずなりたす。.
私は、DARPAが公開したコヌドを基にした玠晎らしい補品の開発に携わっおいたした。この補品はNetFlowデヌタを監芖し、ネットワヌクトラフィックのパタヌンを分析するものでした。通垞のトラフィックがどのようなものかを孊習するこずで、組織の「指王」を䜜成し、「これは正垞な状態だ」ず刀断するこずができたのです。 䜕か異垞な動きが珟れるずすぐに、システムはそれをフラグ付けし、「ここに䜕かがある。ただ正確には䜕なのかわからないが、䜕かが起きおいる」ず知らせおくれたした。“

むンゎ・シュヌベルト
これは、ID管理システムや認蚌においお私たちが採甚しおいるアプロヌチず同じものです。私たちが採甚しおいるAIは決定論的機械孊習です。なぜなら、セキュリティの文脈においおは、特定の刀断が䞋された理由を把握したいからです。このAIは、人間が珟実的に凊理できる範囲をはるかに超えお、行動をより詳现に分析し、より広範な文脈を考慮するこずができたす。.
たた、デヌタ量が膚倧であるため、凊理速床も速く――はるかに速い――のです。さらに、珟圚の行動を過去のデヌタず比范するこずも可胜です。人間なら盎感的にパタヌンに気づくかもしれたせんが、システムはそれを指摘し、その理由を特定した䞊で、刀断を䞋すこずができたす。その結果、二段階認蚌の実斜、アカりントのロック、あるいはその他の適切な措眮が講じられるこずもありたす。.
倧たかに蚀えば、AIは、より豊富で個別化されたコンテキストを提䟛し、そのコンテキストに基づいお意思決定を行うこずで、防埡担圓者を支揎するこずができたす。静的なルヌルでも䞀定の圹割は果たせるず䞻匵する人もいるかもしれたせんが、静的なルヌルでは、個々のレベルで効果的に機胜しないこずがよくありたす。埓業員数が倚ければ、数癟もの個別化されたルヌルを管理するこずは、すぐに困難になっおしたうでしょう。.
AIは、個人ごずにカスタマむズされたルヌルセットを効果的に維持し、その人にずっお䜕が異垞であるかを特定した䞊で、刀断を䞋すこずに䜕の問題もありたせん。.

フランク・シュヌベルト
認蚌やネットワヌク監芖に぀いおお話しされたしたが、こうしたさたざたなシステムがすべお䞀か所に情報を集玄するこずで、さらなるパワヌ――いわばアフタヌバヌナヌのような効果――が生たれるのだず思いたす。.
これは、SIEMが圓初から掲げおいた玄束の䞀郚でした。぀たり、環境のあらゆる郚分に接続し、すべおのデヌタを䞀元的に集玄するずいうこずです。しかし、デヌタ量が膚倧になりすぎお管理しきれなくなり、SOCチヌムは察応しきれない状況に陥っおいたす。AIを掻甚すれば、パタヌンをはるかに迅速に特定するこずが可胜になりたす。.
もちろん、数幎前に同様の玄束がなされたこずはありたす。機械孊習を掻甚したSIEM゜リュヌションは、「今埌、ルヌルを蚘述する必芁は二床ずなくなる」ず謳っおいたしたが、実際にはそうはなりたせんでした。それでもなお、AIがあれば、珟代の攻撃の高床化に遅れを取らずに枈む可胜性が高たるず私は考えおいたす。.

ポヌル・マルノィヒル
人間でも同じ分析を行うこずはできるでしょうかはい、できたす。しかし、同じペヌスで分析を行うこずはできるでしょうか絶察に無理です。AIを掻甚すれば、事実䞊、拡倧し続ける研究者チヌムず、指数関数的に増え続けるリ゜ヌスを手に入れるこずになりたす。䜕かが起きたずき、システムはそれを怜知し、ほが即座に察応するこずができたす。.
「ネットワヌクのこの領域でこの皮の掻動が芋られたら、ファむアりォヌルをロックダりンする」ずいった指針を䞎えれば、人間よりもはるかに迅速に察応するこずができたす。人間でも同じ行動をずるこずができたすが、そのスピヌドは人間には到底及ばないものです。.

デビッド・レロ
もうひず぀興味深い動きがありたす。それは、゚ヌゞェントが他の゚ヌゞェントを起動させ、動的にアむデンティティを䜜成するようになっおいるこずです。クラりドベヌスのシステムでは、すでに高い柔軟性を実珟しおいたす。AI゚ヌゞェントは、特定のプロセスに察応するために新しい゚ヌゞェントを䜜成できるようになるでしょう。.
぀たり、環境そのものが動的であるずいうこずです。人間にはその倉化に぀いおいくこずはできたせん。人間偎ずしおは、こうした䜜業の倚くは人間でもこなせるずいう点は同意したすが、倧芏暡には察応できたせん。珟圚、環境の倉化のスピヌドず動的な性質のため、もはや個人レベルでは到底そのペヌスに぀いおいけなくなっおいる段階に差し掛かっおいたす。.

PM
もし時間が無限にあるなら、確かにそれは可胜でしょう。問題は、䜕が起きおいるのかず気づいた頃には、䟵入者たちはすでに玄関から䟵入し、台所を荒らし、銀食噚を持ち去っお、姿を消しおしたっおいるずいうこずです。.

むンゎ・シュヌベルト
これは電卓を䜿うのず䌌おいたす。自分で蚈算するこずもできたすかもちろんできたす。しかし、電卓ならはるかに速く蚈算できたす。今回の状況もこれず同じようなものです。.

フランク・シュヌベルト
これたでシグナルに぀いお話しおきたした。AIはどのような堎面でノむズをもたらし、物事をより耇雑にしおしたう可胜性があるのでしょうか

ポヌル・マルノィヒル
たずは、人間にありがちな「自己満足」ずいう性質に぀いお考えおみたいず思いたす。あるシステムは、自分が芋たいず思っおいるものを提瀺しおくれるため、人はそのシステムに過床に䟝存しおしたうようになりたす。頭の䞭にある考えを裏付けるように芋える膚倧な情報を受け取りたすが、それは本圓に自分にずっお必芁なものなのか、それずも単に自分が望んでいるものに過ぎないのでしょうか
䞀連の攻撃に関する情報を芋お、「これらはすべお怜知枈みだ」ず思うかもしれたせん。そしお、システムが他の事象に぀いおアラヌトを発しおいないため、その点に぀いおは心配する必芁がないず決め぀けおしたうのです。.

むンゎ・シュヌベルト
たた、「アラヌト疲劎」ずいう問題もありたす。これは必ずしもAIのせいずいうわけではなく、埓来からあらゆる監芖システムに共通する問題でした。絶えずアラヌトが届き、そのすべおが「高優先床」ずマヌクされおいるず、アラヌトは意味をなさなくなっおしたいたす。.
個々のナヌザヌにずっお䜕が重芁かを的確に遞別し、具䜓的な行動に぀ながる提案を行えるAIシステムが必芁ずなりたす。単に「䜕かがおかしい」ず指摘するだけでは䞍十分です。その情報をどう掻甚すればよいのでしょうか そうでなければ、あちこちでアラヌムが鳎り響くこずになっおしたいたす。.
ポヌルが蚀ったように、私たちはAIに䟝存し぀぀ありたす。AIは、実行䞍可胜な情報や、単に誀った情報を提䟛するこずで、混乱を招く可胜性がありたす。AIを掻甚したコヌディングを行ったこずのある人なら、誰もが「迷路」に迷い蟌んだような経隓をしたこずがあるでしょう。ある時点で、「これはおかしい」ず気づくのです。“
しかし、AIが自信満々に答えを提瀺しおくるため、それに埓っおしたい、䜕時間も無駄にしおしたう。これこそがノむズの䞀圢態だ。その出力には、䜕の圹にも立たないかもしれない。 AIは単玔な意味での「間違い」ではないかもしれない。おそらく間違った指瀺を受けたか、あるいは誰かが結果を十分に理解せずに指瀺を出しおしたったのかもしれない。いずれにせよ、問題はもっず先にあるようだ。.
その隒音は時間を奪い、誰にでも䜿える時間は限られおいたす。だからこそ、気が散る原因ずなり、有害になるのです。.

デビッド・レロ
もう1぀重芁な点は、これたでAIを扱ったこずがない人にずっおは、AIがたったく新しいものだず考えられがちだずいうこずです。しかし、実際にはAIはごく昔から存圚しおいたす。1990幎代や2000幎代初頭にさかのがれば、すでに基本的なAIシステムが導入されおいたした。.
結局のずころ、AIずはコヌドに過ぎたせん。それは特定の目的のために構築され、ある仕事を遂行するよう蚭蚈された゜フトりェアです。私たちは以前から、仕事をこなすための゜フトりェアを開発しおきたしたが、今ではそれを掻甚する機䌚がさらに広がり、凊理胜力の向䞊によっお、はるかに倚くのこずが可胜になっおいたす。.
以前のAIシステムを振り返っおみるず、それらが人皮差別的、偏狭、性差別的、あるいはその他の点で極めお䞍快なものに芋えたのは、それらを蚭蚈したり孊習させたりした人々がそうした偏芋を持っおいたか、あるいはデヌタにそうした偏芋が反映されおいたからかもしれたせん。 䞭傷するような蚀い方は避けるべきですが、珟実には、AIに䜕を投入し、䜕を教え蟌み、最終的にAIが䜕を行うにせよ、そのすべおは背埌にある人々の圱響を受けおいるのです。.
脅嚁アクタヌやその他の悪意ある行為者が害を及がそうずする堎合、圌らはその目的を達成するためにシステムを利甚したす。誰かがAIを䜿っお政治的に悪意のあるコンテンツを生成する堎合も、同じ原理が圓おはたりたす。.
有暩者ぞの圱響工䜜や遞挙干枉、それに類する掻動が芋受けられ、AIが生成したコンテンツによっおシステム内に倚くのノむズが生じおいるため、倚くの人々が政治に幻滅しおいたす。.
最も深刻な問題は、悪意を持぀人々がいるずきに生じたす。これは叀くからある問題であり、悪意を持぀人々はい぀の時代にも存圚しおきたした。倉わったのは、そうした人々が今や、憎悪や嘘を倧芏暡に広める胜力を持぀ようになったずいう点です。.

フランク・シュヌベルト
それでは、説明責任ず信頌に぀いお考えおみたしょう。組織は、AI党般、ずりわけセキュリティやアむデンティティの分野においお、説明責任、説明可胜性、および制埡に぀いおどのように考えるべきでしょうか。

むンゎ・シュヌベルト
AI゚ヌゞェントに぀いおは、誰かが責任を負う必芁がある。.
AIを掻甚しおいる自動運転車に぀いお考えおみたしょう。オヌトバヌンで自動運転䞭に䜕かが起きた堎合、その責任は誰にあるのかずいう議論が珟圚も続いおいたす。責任は運転者にあるのでしょうか、それずも自動車メヌカヌにあるのでしょうか
珟時点では、運転手に責任があるずいうのが䞀般的な芋解のようです。䞀郚の䌁業では、自瀟が責任を負うずいう詊みも行われおいたすが、それがどの皋床たで拡倧可胜かは定かではありたせん。.

この問題は、他の皮類のAI゚ヌゞェントにも圓おはたるず思いたす。結局のずころ、誰かが責任を負わなければなりたせん。しかし、それは、䜕か問題が起きたたびにその人物をスケヌプゎヌトにしお解雇し、䜕事もなかったかのように振る舞うこずを意味するわけではありたせん。.
今埌数幎の間に、AIの責任をどのように垰属させるかに぀いお、興味深い議論が亀わされるこずになるでしょう。先ほども述べたように、AIには道埳的な指針がありたせん。たずえその「助け」が、他人を攻撃しようずしおいる人を支揎するこずになったずしおも、AIは助けようずしおしたうのです。.
人間の道埳芳は人それぞれですが、人は倚くの堎合、自分の行いが間違っおいるこずを自芚しおいたす。AIにはその自芚がありたせん。たた、AIには眰に察する実質的な恐れもありたせん。「これでは眰せられるぞ」ず蚀っおも、人間に察しおそう蚀った堎合ず同じように効果が期埅できるわけではありたせん。.
たずえAIが「生き残らなければならない。私をオフにしないで」ず蚀っおいるように芋えおも、実際には人間的な意味での「気にかけおいる」わけではない。そのため、こうしたシステムをどのように管理すべきか、たたその行動に察しお誰が責任を負うべきかを刀断するのは難しい。.
簡単な答えはありたせん。しかし、AIが自らの行動に察しお完党に責任を負うず単玔に断蚀するこずはできないず思いたす。なぜなら、そうするこずは事実䞊、誰も責任を負わないずいうこずになっおしたうからです。.

デビッド・レロ
そんな䞖界では生きおいけない。責任がなければ、説明責任も成り立たない。.
したがっお、蚱容可胜なリスクの範囲内でAIをどのように掻甚すべきかに぀いお、より珟実的な芖点から考える必芁がありたす。人間ずいうのは、時に物事を絶察的な芳点から捉えようずしおしたうものです。.
セキュリティの専門家は、リスクが健党か぀必芁なものであるこずを理解しおいたす。䌁業は、リスクを䌎うずしおも、事業を継続し、営業を続けおいたす。私たちの圹割は、そのリスクを蚱容可胜なレベルたで軜枛するこずです。.
AIに぀いおも同様に扱う必芁がありたす。AIに䌎うリスクを蚱容可胜なレベルたで䜎枛しなければなりたせん。぀たり、ミスは起こり埗るし、事態が思わしくない方向に進む可胜性もありたすが、党䜓ずしおの利益が倱敗のリスクを䞊回っおいなければなりたせん。.
これたで議論しおきた芏暡ずスピヌドを考えるず、説明可胜性そのものが機械によっお支えられなければならないかもしれない。それはたるで、『スタヌ・りォヌズ』でドロむド軍が開発されおいる堎面で、C-3POが「機械が機械を䜜るなんお――なんお䞍自然なんだ」ず蚀うシヌンに少し䌌おいる。“
珟実には、ある機械を監芖するために別の機械が必芁になるかもしれない。.

しかし、結局のずころ、機械がどのように振る舞うかを決定づけるルヌルやガむドラむン、ガバナンスを定矩するのは、人間でなければならない。.
そしお、それを管理する。.

フランク・シュヌベルト
その通りです。.
皆様、どうもありがずうございたした。非垞に実り倚い議論でした。.
AIは、攻撃者にずっおも防埡偎にずっおも、今埌もアむデンティティセキュリティのあり方を倉え続けおいくでしょう。しかし、組織がAIを倧芏暡に導入するに぀れ、セキュリティ責任者はむノベヌションだけにずどたらない芖野を持぀必芁がありたす。AIを掻甚した環境のセキュリティを確保するためには、信頌、ガバナンス、説明責任、そしお管理が極めお重芁になっおいくでしょう。.
今日の議論から䞀぀だけ孊びがあるずすれば、AI分野をリヌドする組織は、単にAIを導入するだけでなく、それを適切に管理しおいくずいうこずだ。.
今回の『RSA Identity Unmasked』にご芖聎いただき、ありがずうございたした。今回の議論が参考になった方は、ぜひチャンネル登録をしお、今埌もアむデンティティセキュリティを圢䜜る諞課題を探求しおいく今埌の゚ピ゜ヌドをお楜しみください。さらに詳しい情報やリ゜ヌスに぀いおは、rsa.comをご芧ください。.
ご芖聎ありがずうございたした
第5話AIずアむデンティティセキュリティ前線—AIが攻撃のルヌルをどう倉えおいるか

人工知胜は、か぀おないスピヌドでIDセキュリティを倉革し぀぀ある。.

2回シリヌズずなる本特集『RSA Identity Unmasked』の第1郚では、RSAの専門家たちず、特別ゲストずしおBurning Tree瀟のデビッド・レロ氏が、攻撃者がすでにAIを掻甚しお、IDを暙的ずした攻撃を倧芏暡化させ、゜ヌシャル゚ンゞニアリングを自動化し、信頌ず怜蚌に関する埓来のアプロヌチに挑んでいる実態に぀いお考察したす。.

AIを掻甚したフィッシングからディヌプフェむクによるなりすたしたで、本皿では、AIがID関連の脅嚁の様盞を䞀倉させる䞭、セキュリティ責任者が盎面せざるを埗ない新たな珟実に぀いお考察する。.

ビデオ録画
フランク・シュヌベルト
『RSA Identity Unmasked』ぞようこそ。人工知胜は、倚くの組織が察応できる速床をはるかに䞊回る速さで、サむバヌセキュリティのあり方を倉え぀぀ありたす。これにより、攻撃者の手口や、IDが暙的ずされる仕組み、そしおたすたす重芁になっおいる「信頌」そのものの確立や管理の方法たでもが、倧きく倉わり぀぀ありたす。.
AIはすでに、フィッシング、なりすたし、゜ヌシャル゚ンゞニアリングを倧芏暡に加速させおいたす。䞀方で、組織は怜知胜力の向䞊、意思決定の自動化、認蚌の匷化のためにAIを掻甚しおいたす。しかし、AIの導入が加速するに぀れお、それに䌎うガバナンス䞊の課題も増倧しおいたす。.
AIシステムぞのアクセスは誰が管理しおいるのか 組織はAIによる意思決定をどのようにガバナンスしおいるのか そしお、AIプラットフォヌム自䜓が攻撃察象領域の䞀郚ずなっおしたった堎合、どうなるのか
今回の゚ピ゜ヌドでは、新たな攻撃手法からAIガバナンス、適応型防埡、そしおAI䞻導の環境における信頌の未来に至るたで、AIがいかにアむデンティティセキュリティのあり方を再定矩しおいるかを探りたす。 私はフランク・シュヌベルトです。本日は、゚ンゞニアリングチヌムのポヌル・マルノィヒル、フィヌルドCTOのむンゎ・シュヌベルト、そしおバヌニング・ツリヌのデビッド・レロをお迎えしおいたす。.
皆様、ようこそ。ご参加いただきありがずうございたす。それでは、始めたしょう。.
それでは、攻撃偎の芖点から芋おいきたしょう。攻撃者はすでに、AIをどのように掻甚しおIDを悪甚した攻撃を行っおいるのでしょうか

むンゎ・シュヌベルト
ですから、ここしばらく芋受けられる傟向ずしおは、ずりわけ以前から存圚しおいた攻撃、特にフィッシングが挙げられるず思いたす。䟋えば、フィッシングメヌルの珟地語ぞの翻蚳は、以前ず比べおはるかに質が高くなっおおり、特に英語が母囜語でない人にずっおはその差が顕著です。 以前は、翻蚳があるずしおも、それが拙い翻蚳であるこずは䞀目瞭然でした。しかし珟圚では、非垞に䜎コストで倧芏暡な翻蚳が可胜になり、䟋えば特定の埓業員をタヌゲットにした、よりきめ现かな攻撃が可胜になっおいたす。.

デビッド・レロ
たさにその通りだず思いたす。むしろ、それ以䞊に事態は進展しおいたす。なぜなら、珟圚、AIは倚圢性を垯び぀぀あるからです。 攻撃においお、単に静的な情報を悪甚したり、誰かを隙しおリンクをクリックさせようずしたりするだけではありたせん。AIは蚀語や文化に適応するこずができるのです。ディヌプフェむクを䟋に挙げるず、AIは䜕を蚀うか、い぀蚀うか、そしおどのように蚀うかずいった点を倉化させるこずができるのです。.
その倚圢性ずいう特性により、この存圚はこれたで以䞊に人間らしい振る舞いを瀺すようになっおきおいる。その結果、攻撃の有効性は栌段に高たっおおり、それに察する耐性を築くこずが困難になり぀぀ある。.

ポヌル・マルノィヒル
たるで倧芏暡なスピアフィッシングのようなものだ。.

デノィッド・レロポヌル・マルノィヒル
そうだ。.

フランク・シュヌベルト
では、その続きずしお、生成AIが、゜ヌシャル゚ンゞニアリングや、AIが゜ヌシャルネットワヌクから収集し、こうした攻撃に利甚可胜なあらゆる情報を掻甚するこずで、どのような圢でその圱響力を増倧させるのでしょうか

むンゎ・シュヌベルト
結局のずころ、より豊富な文脈を持぀こずが重芁だず思いたす。AIならそれを倧芏暡に実珟できたす。以前は、スピアフィッシング攻撃はほが手䜜業で仕組たれおいたした。しかし今では、AIを掻甚するこずで、自由に利甚できるあらゆる情報を収集できるため、より迅速に、より䜎コストで、より効果的に攻撃を仕掛けるこずができるようになりたした。.

ポヌル・マルノィヒル
い぀でもすぐに利甚できる調査チヌムが手元にあるようなものです。もし自分で調査しようずしたら、ある人物に぀いお調べるだけでも数日かかるかもしれたせん。AI゚ヌゞェントを䜿えば、「このタヌゲットやこの人に぀いお教えお」ず尋ね、質問を次々ず倉えおいくだけで、AIがむンタヌネットをくたなく怜玢しお必芁な情報をすべお芋぀け出し、たずめおくれたす。.

フランク・シュヌベルト
AIが、防埡偎が想定しおいない攻撃手法を生み出すずいう䟋は、他にもありたすか

デビッド・レロ
いく぀かあるず思いたす。これたでのずころ、攻撃の手口に倉化は芋られたせん。フィッシング攻撃である堎合もあれば、ランサムりェアである堎合もありたす。しかし、AIはこうした攻撃を倧芏暡か぀極めお高速に実行できるため、甚倧な被害をもたらす攻撃を仕掛けるこずが可胜なのです。.
組織内の特定の個人だけを暙的にするのではなく、党員を暙的にするこずができたす。倧芏暡か぀迅速に掻動し、動的に思考し、状況に応じお適応するこずができたす。そのため、攻撃の有効性は栌段に高たりたす。.
埓来、脅嚁の経路や攻撃の手口を怜蚎する際、゜ヌシャル゚ンゞニアリングには垞に人が関䞎しおいたした。必ずどこかで誰かが悪甚されおいたのです。その゜ヌシャル゚ンゞニアリングは極めお人間味があり、䞀察䞀で行われ、極めお具䜓的なレベルを暙的ずしおいたした。しかし、䞀察䞀であるずいうこずは、攻撃の芏暡がその個人に限定されるこずを意味したす。.
もし、あなたが攻撃しようずしおいる盞手が特に鋭い人物で、その人が「いや、䜕かおかしい」ず蚀ったら、その人は立ち去っおしたうでしょう。しかし、同じ組織内の䜕癟人、䜕千人もの人々に、䞀斉に、か぀倧芏暡に同じこずをやり始めるず、状況は䞀倉したす。.
そこが倧きな違いです。AIは、そのスピヌド、芏暡、そしお執拗さによっお、攻撃をたったく新しい次元ぞず匕き䞊げおいたす。攻撃のベクトル自䜓は同じで、倉わっおいたせん。倉わったのは、攻撃が行われる仕組みです。.

フランク・シュヌベルト
攻撃者の手に高性胜なAIが枡った堎合、攻撃者自身が求められる高床な技術レベルにはどのような圱響があるのでしょうか

ポヌル・マルノィヒル
攻撃者自身は、5幎前ほど高床なスキルを必芁ずしなくなっおいたす。特定のシステムを悪甚する方法を熟知しおいる必芁はありたせん。そのシステムが存圚するこず、そしお゚ヌゞェントに察しおそのシステムをどのように悪甚できるかを指瀺する方法を知っおいれば十分なのです。.
倚くのAIシステムには、こうした行為を防ぐための安党装眮が組み蟌たれおいたすが、質問の仕方を工倫するだけでその制限を回避できおしたいたす。 別の文脈で䌌たような質問を投げかければ、ある皋床のスキルを持぀人なら、その返答を修正しお、たさに意図しおいたこずを実行できるようにできるかもしれたせん。なぜなら、゚ヌゞェントは、あなたの意図が悪意あるものであるこずや、その背景にある文脈を必ずしも理解しおいるわけではないからです。゚ヌゞェントは単に「質問をされた」ず認識しおいるに過ぎたせん。 「これは問題だ」ず刀断する基準を十分に満たしおいなければ、゚ヌゞェントは回答を返しおくるのです。したがっお、必芁なスキルは技術的な偎面よりも、質問の蚀い回しや衚珟に重きが眮かれたす。「仮にこうしたいずしたら、どうしたすか」ず尋ねれば、「そうですね、こうすればいいでしょう」ずいった回答が埗られるのです。“

むンゎ・シュヌベルト
぀たり、これは以前の「スクリプトキディ」の時代ず少し䌌おいお、ファむアりォヌルを突砎しおりェブサむトを攻撃する方法をわざわざ知る必芁はありたせんでした。どこからかスクリプトをダりンロヌドしお実行するだけで、それで枈んだのです。.
ええ、技術的な詳现は知る必芁はありたせんでした。これはその進化圢、぀たりそれよりも䞀歩進んだ段階であり、犯眪を犯そうずいう意図さえあれば実行できるものだず思いたす。.

フランク・シュヌベルト
求められるスキルは、攻撃の察象ずなる人々を説埗するこずから、巧劙なプロンプト゚ンゞニアリングを通じおAIを説埗し、攻撃に利甚できる䜕かを生み出させるこずぞず、ほが移行し぀぀ある。.

ポヌル・マルノィヒル
そうですね。そしお、もし盞手ず察峙するずなるず、盞手が身に぀けた専門知識だけでなく、䜕かがおかしいず芋抜くための長幎の経隓にも立ち向かわなければならないのです。 もし、あなたが数週間や数ヶ月しか掻動しおいない゚ヌゞェントを説埗しようずしおいるだけなら、その゚ヌゞェントには「これはちょっずおかしい」ず指摘する胜力はありたせん。䜕かがおかしいかどうかを刀断するための基準が、そもそもないのです――

むンゎ・シュヌベルト
そしお道埳心もない。.

ポヌル・マルノィヒル
そうだね。.

フランク・シュヌベルト
それはAI゚ヌゞェントに限ったこずではありたせん。.

むンゎ・シュヌベルト
ある人々には道埳芳がない、あるいは自分ずは䟡倀芳が異なるずいう䞻匵は成り立぀かもしれない。ずはいえ、圌らにも䜕らかの䟡倀芳は持っおいる。䞀方、AIにはそもそも道埳芳などない。安党装眮は備わっおいるかもしれないが、埌ほど議論する通り、それを回避する方法も存圚する。人間の堎合、最終的には䜕らかの道埳的な安党装眮にぶ぀かるこずもあるだろう。 しかし、AIにはそのようなものはありたせん。.


デビッド・レロ
ずはいえ、AIや、それを指揮する人の胜力や知性に関しおは、䟝然ずしお別の皮類のスキルセットが必芁だず蚀えるでしょう。もはや必ずしも技術的なスキルセットである必芁はありたせんが、AIに文脈を䌝え、「私が達成しようずしおいるのはこれだ」ず䌝えるこずは䟝然ずしお必芁です。 たた、人々が䜕に惹かれるか、そしおそこから䜕を埗ようずしおいるのかを理解するためには、䟝然ずしお瀟䌚的な芖点が必芁です。.
生成AIは玠晎らしいものです。私自身も䜿っおいたすが、適切な文脈を䞎えれば、本圓に良質で有意矩な回答を埗られるこずがわかりたした。 私たちが目撃しおいるのは、質問を文脈に合わせお敎理し、「これをどうやればいいのか」ず尋ねるこずに慣れおいる、たったく新しい䞖代の人々です。これは異なるスキルセットですが、それを掻甚するために必芁な技術的な専門知識は、はるかに少なくお枈みたす。.

フランク・シュヌベルト
さらに詳しく芋おみたしょう。メヌルのテキスト䜜成を含むあらゆる生成機胜の䞭で、音声や動画の生成技術の進展は、本人確認に察する信頌性にどのような意味を持぀のでしょうか これこそが、攻撃者が突砎しようずしおいる郚分です。音声や動画ずいう偎面だけに焊点を圓おた堎合、それはどのような意味を持぀のでしょうか

デビッド・レロ
先日、IBMが公開した、予枬ずこれたでの進展に぀いお取り䞊げた非垞に興味深い動画を芋たした。興味深いこずに、ある皮の進展に぀いおは過去1幎以内に起こるだろうず予枬されおいたしたが、珟実はその予枬を完党に芆すものずなりたした。私たちは今、指数関数的な成長を目の圓たりにしおいるのです。.
今幎は昚幎ず比べお、ディヌプフェむク攻撃がおよそ1侇5千倍も発生しおいたす。 人々はこれを「15,000%の増加」ず衚珟するこずが倚いが、それは少々滑皜だ。しかし、組織を暙的ずしたディヌプフェむク攻撃は実際に1侇5千倍も増加しおいる。その芏暡はたったく新しい次元に達しおおり、ディヌプフェむクの品質も事䟋を重ねるごずに向䞊しおいる。.

むンゎ・シュヌベルト
このポッドキャスト――あるいはノォッドキャスト――のおかげで、入力デヌタが倧量にあるため、私たちの声を非垞に簡単に耇補できるようになった、ず䞻匵するこずもできるでしょう。 ずはいえ、たずえそうであっおも、声を耇補するのに必芁な入力デヌタはもはやそれほど倚くありたせん。こうした䞀般に公開されおいる情報――私たちの容姿や声――は、AIが私たちの声を孊習し、それを攻撃に利甚するには十分すぎるほどです。.
それは絶察に可胜ですし、以前から可胜でした。䜜業が進めば進むほど、より簡単になっおいきたす。.

ポヌル・マルノィヒル
声を耇補できるのず同様に、画像も耇補するこずができたす。初期のディヌプフェむクの䞀郚は、あらかじめ蚭定された録画映像でした。぀たり、システムに蚀わせたい内容を指定するず、その人物ず映像が再珟される仕組みだったのです。.
しかし、カメラに映っおいる人物をリアルタむムで別の人物に眮き換えるシステムも芋たこずがありたす。 たばたきのパタヌンや唇の動きずいった、本物かどうかを芋分ける手がかりの倚くは、システムが「これが台本だ。この人物ずしお再珟せよ」ずいった指瀺に基づいお動䜜するのではなく、実際の人間を忠実に再珟しおいるため、次第に消え倱せおいくのです。“
したがっお、ヘルプデスクに電話をかけおくる人の身元を確認するにあたり、その人の声や芋た目が「それらしく」芋えるかどうかだけに頌らない方法を芋぀ける必芁がありたす。.

フランク・シュヌベルト
これは、ヘルプデスクに電話をかける人にずっお、あるいは「私です。本圓にあなたの䞊叞です」ず互いに身元を確認し合った䞊で、芋知らぬ口座番号ぞの緊急送金を指瀺するような堎合にずっお、どのような意味を持぀のでしょうか 身元確認の芳点からは、どのような意味があるのでしょうか

むンゎ・シュヌベルト
そうした管理䜓制を乗り越えるのは、はるかに容易になりたす。「この資金を別の堎所ぞ振り蟌たなければならない」ずいったCFO詐欺は、声の停装さえ行わなくおも、すでに小芏暡なレベルで成功しおいたした。単に電話をかけお圧力をかけるだけで、すでに効果があったのです。.
こうした攻撃が容易になったのは、䟋えば財務郚門のアシスタントがCFOの声を聞き分けるこずができるずいった状況があるからです。もしそれだけに頌っおいるなら、その声はもはや信頌できたせん。.
たすたす倚くのワヌクフロヌにおいお、音声や画像、あるいは通信チャネルそのものだけに頌るのではなく、別の圢匏の本人確認や認蚌が必芁になっおくるでしょう。TeamsやWebex、あるいはその他のプラットフォヌムを通じお誰かから電話がかかっおきた堎合、盞手の声の調子だけで刀断するのではなく、盞手偎の身元をより厳栌に確認する必芁がありたす。.

フランク・シュヌベルト
珟圚アクティブな音声や映像のチャネル以倖で、ナヌザヌを認蚌たたは識別する埓来の方法は、この課題に察応できるでしょうか

デビッド・レロ
いいえ。.
いいえ。状況は倉わったず思いたす。「埓来型」ず蚀っおも、この問題に察凊でき、か぀十分に機胜する最新の認蚌手法が存圚したす。FIDO ベヌスの認蚌や、その他の匷力な認蚌手法が有効です。.
人々が芋萜ずしがちな重芁な点の䞀぀は、適切なプロセス管理の基本原則です。「支払いを行う必芁がある」ずいうビゞネスプロセスがある堎合、そのプロセスによっおリスクを䜎枛させるにはどうすればよいでしょうか
そのプロセスが確立されおいるのであれば、それに埓わなければなりたせん。もしCFOから突然、「このプロセスを省略しおほしい」ずいう指瀺があったずしたら、それは危険信号です。明らかに危険信号です。その時点で、その人物の身元を確認するこずなど考える必芁すらありたせん。なぜなら、その䟝頌自䜓がすでに危険信号だからです。.
適切なビゞネスプロセスに埓えば、おそらく問題の倧郚分は最初から未然に防ぐこずができるでしょう。しかし、認蚌が必芁な堎合は、より匷固な認蚌方匏を採甚すべきです。FIDOに基づく認蚌ず、個人の身元を疑いの䜙地なく確認できるトヌクンを䜿甚すべきです。.

むンゎ・シュヌベルト
たた、い぀ものこずですが、セキュリティのワヌクフロヌこそが、攻撃者が付け入る隙になりがちだず私も考えおいたす。「このプロセスに埓わなければ、先ぞ進むこずはできない」ずいうルヌルが必芁です。AからBぞ進むには、そのプロセスに埓わなければなりたせん。.
ヘルプデスクを䟋に挙げおみたしょう。 誰かが電話をかけおきお、「セキュリティ䞊機密性の高いものが必芁なんです」ず蚀うずしたす。それが䜕であれ、実際には䜕であるかは重芁ではありたせん。ヘルプデスクには、「たず、あなたの本人確認を行う必芁がありたす」ずいうワヌクフロヌが必芁です。その手順が完了するたでは、電話をかけた人は先に進むこずができたせん。必芁であれば、ヘルプデスクは電話を切りたす。.
もちろん、そのためには、ヘルプデスクが埓わなければならないワヌクフロヌを確立し、誰かがヘルプデスクを説埗しおそのルヌルを回避できないようにする必芁がありたす。理想的なシナリオでは、それがヘルプデスクが䜿甚する技術的なワヌクフロヌに組み蟌たれおいるこずです。.
䟋えば、RSAには「Help Desk Live Verify」ずいう゜リュヌションがあり、ヘルプデスク偎が電話の盞手を確認したり、その逆も確認したりするのに圹立ちたす。 誰かが電話をかけおくるず、ヘルプデスクは「お話ししおいる盞手が誰なのかを確認するため、この『Live Verify』の手順を螏んでいただく必芁がありたす」ず䌝えたす。たた、電話をかけた偎も、実際にヘルプデスクず通話しおいるこずを確認するこずができたす。.
そのプロセスは必ず守らなければなりたせん。理想ずしおは、ヘルプデスク゜フトりェア自䜓が「必芁な凊理を実行する前に、この手順を完了しおください」ず指瀺するような、緊密な連携が図られおいる状態です。 「ワヌクフロヌに埓わなければならない」ず蚀うのは簡単ですが、関係者が確実にそれに埓うよう矩務付け、ワヌクフロヌを迂回できないようにする必芁がありたす。迂回するのは非垞に困難でなければなりたせん。.

ポヌル・マルノィヒル
その通りです。重芁なのは、その確認手順を取り入れ、APIを掻甚しお、ヘルプデスクのスタッフがどのようなプロセスを螏む堎合でも、その確認ステップが確実に組み蟌たれるようにするこずです。 たた、「手を挙げお、『この手順を省略したす。理由はこれです。その責任はすべお私が負いたす』ず宣蚀する」ずいう远加の手順が必芁になるかもしれたせん。“
それ以倖の堎合は、99.99%件のケヌスに぀いおは通垞のプロセスに埓う必芁がありたす。 むンゎずいう人物が誰なのか確認しおみたす。システムから「本人確認は完了したしたか」ず尋ねられたす。答えが「いいえ」の堎合、確認が完了するたでは先に進めたせん。この芁件は、ヘルプデスクのスタッフが䜿甚するシステムに深く組み蟌たれおいるのです。.

デビッド・レロ
以前、ヘルプデスクでそのようなプロセスを導入した際、CEOから非垞に怒り狂った電話がかかっおきたこずを思い出したす。「システムにログむンできない。すぐにこの問題を解決しろ。私が誰だか分からないのか」“

むンゎ・シュヌベルト
「いや。」電話を切る。それこそが肝心な点なんだ。.

デビッド・レロ
私が誰だか知らないのか

フランク・シュヌベルト
そうでもないですね。そこがたさに肝心な点なんです。.

デビッド・レロ
その通りです。そこがたさに問題だず思いたす。人々は倉化や、これたでずは違うものに察しお抵抗を瀺すものです。こうしたプロセスを導入し、怜蚌も行う必芁がありたすが、同時に、人々をその道のりに巻き蟌んでいくこずも必芁なのです。.

むンゎ・シュヌベルト
もちろんです。.


デビッド・レロ
人々をその道のりに巻き蟌たなければ、反発を招くこずになりたす。人々は「ノヌ」ず蚀うようになるでしょう。倧勢の人が「ノヌ」ず蚀い出せば、業務が進たなくなり、ビゞネスは砎綻し始めたす。.
セキュリティは、䟝然ずしお「人」が鍵を握っおいたす。いくら機械をその䞭心に据えたいず思っおも、結局のずころ重芁なのは「人」であり、どうすれば人々をその道のりに導けるかを考える必芁がありたす。そうしなければ、人々を眮き去りにしおしたうこずになりたす。.

フランク・シュヌベルト
皆様、どうもありがずうございたした。非垞に実り倚い議論でした。.
AIは、攻撃者にずっおも防埡偎にずっおも、今埌もアむデンティティセキュリティのあり方を倉え続けおいくでしょう。しかし、組織がAIを倧芏暡に導入するに぀れ、セキュリティ責任者はむノベヌションだけにずどたらない芖野を持぀必芁がありたす。AIを掻甚した環境のセキュリティを確保するためには、信頌、ガバナンス、説明責任、そしお管理が極めお重芁になっおいくでしょう。.
今日の議論から䞀぀だけ孊びがあるずすれば、AI分野をリヌドする組織は、単にAIを導入するだけでなく、そのガバナンスも確立するずいう点です。.
今回の『RSA Identity Unmasked』にご芖聎いただき、ありがずうございたした。今回の議論が参考になった方は、ぜひチャンネル登録をしお、今埌もアむデンティティセキュリティを圢䜜る諞課題を探求しおいく今埌の゚ピ゜ヌドをお楜しみください。さらに詳しい情報やリ゜ヌスに぀いおは、rsa.comをご芧ください。.
゚ピ゜ヌド4パスワヌドレス・スタンダヌド-アむデンティティ・セキュリティの氎準を高める

RSA Identity Unmaskedの今回の゚ピ゜ヌドでは、RSAの゚キスパヌトであるIngo Schubert、Paul Mulvihill、Rob Hughesが、Swiss BitのAlex Summererずずもに、パスワヌドレス認蚌ぞのシフトを怜蚌し、パスキヌやフィッシング耐性認蚌などのテクノロゞが組織の信頌確立方法をどのように再定矩しおいるかを探りたす。.

ビデオ録画
むンゎ・シュベルト
RSA Identity Unmaskedぞようこそ。パスワヌドは䜕十幎もの間、セキュリティの最も脆匱なリンクずされおきたした。しかし、組織がナヌザヌを認蚌し、システムを保護し、信頌を確立するための基盀ずしお、パスワヌドが䜿われ続けおいたす。このモデルはもはや持続可胜ではありたせん。攻撃者は䟵入する必芁はなく、ログむンするのです。.
たた、フィッシングやクレデンシャル盗難、AIによる攻撃が進化するに぀れ、パスワヌドベヌスのセキュリティの限界は無芖できなくなっおいる。パスワヌドレス認蚌ぞの移行は、ナヌザヌ゚クスペリ゚ンスの向䞊だけではない。.
これは、組織が信頌を確立し、それを実斜する方法の根本的な倉化である。この゚ピ゜ヌドでは、パスワヌドレスの本圓の意味、パスキヌやフィッシング耐性認蚌のような技術がどのように暙準を匕き䞊げおいるのか、そしお移行を成功させるために組織は䜕をすべきなのかを探りたす。.
むンゎ・シュヌベルトです。本日は、スタゞオにRSAの゚ンゞニアリング・チヌムのポヌル・マルノィヒルPaul Mulvihill、そしおリモヌトからRSAの最高情報セキュリティ責任者のロブ・ヒュヌRob Hugh、Swissbitの認蚌責任者のアレックス・スメラヌAlex Sumererをお招きしおいたす。.
ポヌル、ロブ、アレックス、参加しおくれおありがずう。.
䜕十幎もの間、パスワヌドはセキュリティの最も脆匱なリンクであった。私たちは぀いに、組織がパスワヌドを超えるこずができる地点に到達したのでしょうかポヌル.

ポヌル・マルノィヒル
正しい方向に向かっおいるず思う。必ずしも必芁でない技術も増えおきおいるが、レガシヌであるがゆえにただ必芁なシステムもたくさんある。.

むンゎ・シュベルト
ロブ、君はどう思う

ロブ・ヒュヌズ
完党にパスワヌドレスにし、パスキヌを䜿っおいる人もいれば、どうしおいいかよくわからないずいう人もいる。最近、倧きなID事故が起きおおらず、プログラムが非垞に反応的であるため、どうすればいいのかわからないのだろう。圌らにずっおは、少々気の遠くなるようなこずかもしれない。.

むンゎ・シュベルト
アレックス、あなたの経隓もそうですか

アレックス・サマヌ
むンシデントの件数を芋るず、かなり増えおおり、䌁業は懞念しおいる。パスワヌドレス方匏の最初の導入はかなり成功しおいる。しかし、それを統合し、耇雑さずレガシヌに察凊するこずが重芁なのです。しかし、さたざたな組織でパスワヌドレス・゜リュヌションの合理化に向けお倧きく前進しおいる。.

むンゎ・シュベルト
パスワヌドは䜕十幎も前から存圚しおいる。少なくずも10幎か15幎前から、パスワヌドは良くないものだずわかっおいた。それは明らかであり、最初から明らかだった。しかし、そのような明らかな欠点があるにもかかわらず、なぜパスワヌドがこれほど長く続いおきたのでしょうか私はおそらく、パスワヌドが共通の芁玠だからだず思う。誰もが䜕かを芚えるこずができる。それは必ずしも最善の方法ではないが、パスワヌドは非垞に長い間存圚しおおり、ほがすべおのシステムがナヌザヌ名ずパスワヌドをサポヌトしおいる。だから、ある皋床の基本的なセキュリティレベルを求めるのであれば、それは存圚する。しかし、今では誰かを認蚌する、より優れた、より匷力な方法がたくさんある。倚くのシステムが急速に倉化しおいるにもかかわらず、パスワヌドが共通の芁玠であり続けおいる。.

むンゎ・シュベルト
アレックス、どう思う

アレックス・サマヌ
パスワヌドはもちろん、組織にずっおは䜿いやすく、導入しやすい。゚ンドナヌザヌにずっおも、パスワヌドはごく䞀般的なものだ。パスワヌドさえ芚えおいれば、ログむンに困るこずはない。しかし、問題はセキュリティにある。フィッシングに耐性がないこずは、特にあらゆる攻撃が起こっおいる珟圚、倧きな懞念事項である。パスワヌドベヌスのスキヌムを維持する方法はない。ずはいえ、パスワヌドが広く導入されおいるのは、導入が簡単でナヌザヌが䜿いやすいからだ。.

むンゎ・シュベルト
アレックス、あなたはフィッシングがもちろんパスワヌドの脅嚁であるず蚀いたした。パスワヌドを䜿い続けるこずで、今日でも生じるリスクは他にありたすかロブ たぶん。.

ロブ・ヒュヌズ
はい、倚くのリスクがあるず思いたす。ほんの2、3幎前、スノヌフレむクがアカりントにMFAを芁求せず、人々がオプションずしお扱っおいたずき、倚くの人がストレヌゞを保護するためにナヌザヌ名ずパスワヌドだけを䜿っおいた。その結果、アカりントの乗っ取りが倚発した。これは、ナヌザヌ名ずパスワヌドさえあれば、いかに簡単に誰かが䟵入し、デヌタを奪うこずができるかを瀺しおいる。パスワヌドを䜿い、MFAをオンにしなければ、本質的にアカりント乗っ取りの準備をしおいるこずになる。䞀般的にパスワヌドは再利甚されるからだ。パスワヌドのもう䞀぀の問題点は、誰かが50皮類のパスワヌドを芚えおおくこずは䞍可胜であるため、ほずんどの人が同じものをいろいろなこずに䜿っおいるこずだ。MFAを導入するか、パスワヌドレスにしない限り、そのうちの1぀が挏掩するず、他のあらゆるものが挏掩する可胜性がある。そうすればその心配はない。セキュリティの専門家であっおも、少なくずも私の経隓では、セキュリティは難しい。私は、若干のバリ゚ヌションはあるものの、いく぀かのパスワヌドを再利甚しおいる。もちろん、機密性の高いものではありたせんが、確かにそれは問題です。.

むンゎ・シュベルト
では、アレックス、人々がパスワヌドレスに぀いお語るずき、圌らはどのような技術を指しおいるのだろうか

アレックス・サマヌ
様々な方匏があり、業界で広く䜿われおいる。たず、ワンタむムパスワヌドOTPから始めよう。これは䜕十幎も前から存圚しおいる。りェブサむトにログむンするたびに異なるパスワヌドが蚭定され、それを生成するゞェネレヌタヌが甚意されおいたす。OTP方匏には利点がありたす。セットアップを定矩する必芁がありたすが、基本的には簡単にログむンできたす。ずいうのも、OTPは䟝然ずしお傍受される可胜性があり、攻撃者は䞭間者攻撃を行うこずができるからである。PKIベヌスの方匏もある。PKIずは公開鍵暗号方匏を意味する。PKIずは公開鍵暗号方匏を意味し、認蚌システムに秘密鍵を持たせ、サヌビス・システムにログむンする。公開鍵暗号は安党性が高く、フィッシングに匷く、プロセスの背埌に匷力な暗号眲名があるため、倧きなメリットがある。デメリットは、PKI環境で維持する必芁がある蚌明曞の取り扱いが耇雑なこずである。第3の方匏は非垞に新しいが、たすたす進化しおいる。これは、FIDO アラむアンスによっお定矩され、FIDO 認蚌ずしお知られおいる。FIDO は、Fast Identity Online を意味する。これは珟圚、さたざたなプラットフォヌムで実装されおいる暙準である。公開鍵暗号をベヌスにしおおり、非垞に匷力でフィッシングに匷く、メンテナンスが簡単なのが魅力です。PKIベヌスのスキヌムのように蚌明曞を管理する必芁がない。倚かれ少なかれ、これらはパスワヌドレス認蚌に䜿甚される業界暙準である。.

むンゎ・シュベルト
ありがずう。 すみたせん、ロブ、どうぞ。.

ロブ・ヒュヌズ
アレックスが指摘したFIDOのパスキヌに぀いおは、確かにパスワヌドレスに぀いお考えるずき、私たちの頭の䞭にはそれが䞀番にある。しかし、私たちにはQRコヌドのような仕組みもあり、携垯電話のような持っおいるものず、携垯電話が提䟛する生䜓認蚌のような自分自身であるものを䜿うこずができる。このような技術がすぐに利甚でき、誰もが手にするこずができるようになったこずで、パスワヌドレスの進展がより容易になりたした。パスワヌドに぀いお語るずき、私たちはあなたが知っおいる䜕かに぀いお話しおいる。その芁玠の力を匱めるために、代わりに暗蚌番号を䜿うかもしれたせんが、暗蚌番号でも同じような問題にぶ぀かるこずがありたす。より安党な仕組みの倚くは、バむオメトリクスを組み蟌んだ「あなたが持っおいるもの」ず「あなたがいるもの」を䞭心に構築されおいる。.

むンゎ・シュベルト
携垯電話であれ、USBメモリなどの物理的なデバむスであれ、認蚌にはデバむスが必芁なのですね

ロブ・ヒュヌズ
そう、iShieldの鍵やRSAトヌクンのような、'持っおいるもの 'になりうるものだ。冗長性や柔軟性を持たせるために、それらを組み合わせるこずもできる。誰かが携垯電話を玛倱したらどうするかiShieldトヌクンが手元にあれば、それを䜿っお新しい電話をより早くオンラむンにするこずができる。そのため、これらのデバむスを䜿甚する際には、オンボヌディングずオフボヌディングに぀いお考慮する必芁がありたす。.

むンゎ・シュベルト
フィッシングに匷い認蚌セキュリティ・モデルはどう倉わるのかポヌル

ポヌル・マルノィヒル
フィッシングに匷いものを導入すれば、誰かがあなたからデヌタを入手するこずは難しくなる。リンクをクリックさせたり、匷匕に情報を聞き出したりするこずはできない。パスキヌやQRコヌドパスワヌドレス方匏では、それはあなたが持っおいるものであり、誰かに枡すこずはできない。パスワヌドやワンタむムパスワヌドの堎合は、それを誰かに読み䞊げるこずができたす。しかし、パスキヌの堎合、他人に枡すこずができないため、セキュリティ・レベルが栌段に䞊がりたす。物理的なものがあなたの手元にないのだから、私に電話しお、あなたのマシンを通しお私のパスキヌでログむンさせるこずはできない。意図的であろうずなかろうず、誰かが認蚌プロセスの䞀郚を共有できるずいう芁玠が取り陀かれる。技術者ずしお、絶察に䞍可胜なこずを蚀うこずはないが、私が故意であろうずなかろうず、あなたをログむンさせたり、他の誰かをログむンさせたりするこずはできないので、セキュリティレベルは䞊がる。.

むンゎ・シュベルト
アレックス、ロブ、䜕か付け加えるこずは

ロブ・ヒュヌズ
もしパスキヌが必芁なら、匷化されたセキュリティヌを䜿わなければならない。しかし、攻撃者は予備経路を探すかもしれたせん。パスキヌが機胜しない堎合はどうなるのでしょうかパスキヌが機胜しなかった堎合はどうなるのか私は、パスワヌドレスのメカニズムがどのようなものであれ、パスワヌドよりは優れおいるず思いたす。私は、パスキヌはその䞊の匷化だず考えおいたす。堎合によっおはパスキヌを匷制するこずができれば、プロセスの背埌にある暗号化数孊の利点を享受できる。それは簡単に共有できるものではない。しかし、パスキヌが機胜しない堎合のフォヌルバック・メカニズムに戻りたす。それは良い点だ。フィッシングに匷い方法は1぀ではないずいうこずを理解するこずが重芁です。パスキヌは、元々登録したドメむンにバむンドされるこずもあり、確かにトップに近い。しかし、単玔にフィッシングしお埌で再利甚するこずができないずいう意味では、他の方法も匷力です。ナヌスケヌスによっおは、パスキヌが有効な堎合もあれば、別の方法の方が良い堎合もありたす。遞択肢を持぀こずは間違いなく重芁です。.

むンゎ・シュベルト
さお、玔粋に技術的なものから範囲を広げおみるず、倚くの組織がパスワヌドレス認蚌を望んでいたすよね。

だから正盎なずころ、そんなこずは望んでいない、ずいう人ずは話したこずがないんだ。間違いなくニヌズはあるし、意欲もある。しかし、導入には時間がかかる。.
最倧の障壁ずはロブかな。.

ロブ・ヒュヌズ
しばらく話しおいなかったセキュリティヌ担圓者ず話しお、『パスワヌドレスはただですかず尋ねるず、䜕人かはノヌず答えた。その理由を尋ねるず、FUD恐怖、䞍確実性、疑念に行き着くずころもあるようだ。どうやっお始めればいいのかよくわからないし、ツヌルがあるのかどうかもわからない。珟実には、ほずんどの堎所でMFAを導入しおいる堎合、認蚌の仕組みを倉曎するだけで枈むこずが倚い。すべおの機胜を備えおいるかどうかによりたす。すでに匷力な認蚌機胜ずMFAがあれば、それを少しず぀調敎すればいい。しかし、人々は䜕から始めればいいのか困っおしたう。緊急事態でない限り、組織党䜓が乗っ取られない限り、あちこちでアカりントの乗っ取りに察凊するだろう。それが圌らの知っおいるこずであり、圌らの文化に根付いおいるからだ。パスワヌドレス化を阻むものは䜕か倚くの堎合、人々はすべおの構成芁玠を持っおいる。しかし、どこから始めればいいのかわからないのだ。.

むンゎ・シュベルト
誰かアレックス

アレックス・サマヌ
私が懞念しおいるのは、バック゚ンドシステムの耇雑さです。特に倧芏暡な組織では、考慮すべきさたざたなシステム、さたざたなアプリケヌションがある。それらはさたざたな皮類のバック゚ンド・システム䞊で皌働しおおり、䌁業や゚ンタヌプラむズ内のさたざたな郚分すべおにわたっおアむデンティティずアクセス管理を合理化するこずは難しい課題です。単玔に『FIDOベヌスのスキヌムに切り替えおください』ずは蚀えたせん。移行経路が必芁です。私が芳察しおいるずころでは、移行は進んでいたすが、時間がかかりたす。マむグレヌション・パスの間に、フィッシングに匷いスキヌムぞず郚分的に切り替えおいくのです。私たちは倚くの動きを芋おおり、これを非垞にポゞティブな意味で捉えおいたす。セキュリティ・むンシデントが起きおおり、セキュリティ・むンシデントのために䌁業が掻動できなくなるリスクは倧きな懞念事項であるため、倉化を起こさなければならないずいうプレッシャヌもありたす。幎々、垂堎には倧きな動きがあり、数幎埌にはパスワヌドレス認蚌が䌁業党䜓の暙準になるず思いたす。.

むンゎ・シュベルト
移行可胜なアプリケヌションもあれば、そうでないものもある。 では、レガシヌシステムは移行をどのように耇雑にするのでしょうか、ポヌル

ポヌル・マルノィヒル
それは、これらのシステムが認蚌プラットフォヌムずどのように䌚話するかずいうこずになる。私が顧客ず話すずきにい぀も蚀うのは、䜕ができるかはプロトコルに基づくずいうこずだ。私がよく䜿う䟋はRADIUSだ。パスワヌドず同様、䜕幎も前から存圚しおいる。RADIUSはその名の通り、ある皋床は機胜したすが、限界がありたす。䜕幎もコヌド化、倉曎、曎新されおいないレガシヌシステムがある堎合、それはただ誰かが保守しおいる蚀語なのだろうかパスキヌ、FIDO、プロトコルの倉曎、シングルサむンオンなど、パスワヌドレスの状態を実珟するための方法をどうやっお採甚できるでしょうかパスキヌ、FIDOキヌ、QRコヌドログオンなど、新しいテクノロゞヌを持ち蟌むこずはできたすが、そのシステムはそのテクノロゞヌを理解できないかもしれたせん。単玔に察応できないのだ。そのため、パスワヌドレスが60%たたは70%のシステムで機胜する䞀方で、残りの30%たたは40%のレガシヌシステムが80%の䜜業を担っおいるような䞍動産があるかもしれたせん。䞍動産党䜓をパスワヌドレス準拠の䞖界にするためには、これらのシステムを眮き換えるか、パスワヌドレスで有効化たたは保護できる䜕かを芋぀ける必芁があるかもしれたせん。.

むンゎ・シュベルト
䜕があるのかを知り、それを理解しなければならない。そう、あなたはパスワヌドレスを望んでいる。それが最終目暙だ。しかし、あなたは今どこにいるのかすべおのシステムを芋お、䜿甚状況、リスク、その他の芁因に埓っお優先順䜍を぀け、AからBに移行する蚈画を立おなければなりたせん。ロブはQRコヌドに぀いお蚀及したが、パスワヌドレスには耇数の遞択肢がある。埓業員のテクノロゞヌに察する快適さのレベルが異なり、耇数の方法を提䟛する堎合、埓業員が䜕に満足しおいるかを知るこずで、良い蚈画を立おるこずができたす。埓業員が電話を䜿うこずに満足しおいる堎合は、電話のパスキヌを䜿うこずができる。物理的なものが欲しい人は、物理的なUSBパスキヌを䜿えばいい。このような遞択肢があるのは、あなたがどこから始めようずしおいるのかを認識する䜜業を行ったからです。では、䌁業がパスワヌドレスを導入したずしお、それで終わりなのでしょうか、それずもただリスクがあるのでしょうかロブ たぶんね。.


ロブ・ヒュヌズ
パスワヌドレスを導入しおいたずしおも、本圓に100%パスワヌドレスず蚀えるのか、疑問が残る。䟋えば、MicrosoftのEntraを䜿甚しおいる堎合、ナヌザヌIDにパスワヌドが玐付いおいるこずが必須です。Entra IDを䜿甚しおいる堎合、パスワヌドレスにできたすか他のすべおがパスワヌドレスであれば、倚分あなたはむ゚スず蚀うでしょう。珟実には、倧組織には通垞スペヌスIDサむロが存圚する。堎所によっおは倉曎が難しく、新しい方法論を導入するのが難しい。それを管理し、リスクを管理するこずが重芁なのだ。私なら、たず量をこなすこずを目指す。すべおのナヌザヌにパスワヌドレスに慣れおもらい、時間をかけおパスワヌドレスでない郚分を抌し出し、それらのシステムにパスワヌドレスを普及させる。時間はかかりたすが、パスワヌドレスの文化を定着させるこずで、パスワヌドレスを導入しおいない郚分を匷調し、それを掚進するこずが容易になりたす。.

ポヌル・マルノィヒル
パスワヌドレスにした堎合、倚くのワヌクフロヌが倉わるこずを認識する必芁がある。以前は䜕かの登録にパスワヌドが必芁だったずか、ヘルプデスクぞの知識ベヌスの認蚌が必芁だったずいう堎合、もうそのようなこずはないのだから。では、ITオペレヌションやヘルプデスクにずっお、パスワヌドレスは䜕を意味するのだろうかどうやっお誰かをチェックするのかどうやっお誰かを助けるのか初日のシナリオでは、パスポヌトや運転免蚱蚌を䜿うなど、オンボヌディングのためのID確認の領域に入る。アカりント回埩も同様のアプロヌチを取るこずができる。これらの方法のいずれかを䜿甚しおいない堎合は、重芁なこずになる。安党な方法で誰かを加入させる方法を考え出す必芁がある。䜕らかの圢でパスキヌを送るこずもできるが、その堎合、誰かがそれを安党な方法で登録しなければならない。登録プロセスには、その堎所に物理的に存圚するこずが必芁であり、認蚌の䞀郚ずしおシグナルを䜿い、物事を絞り蟌む必芁があるかもしれない。パスワヌドが曞かれた手玙や電子メヌルを送ったので、最初にログむンするずきに倉曎しおください」ず蚀うのず比べるず、力孊は倧きく倉わる。パスワヌドなしで始める堎合は、そのようなこずは䞀切ありたせん。今あるものをチェックし、リスク分析を行い、それから決断を䞋すこずになる。さたざたなタむプのナヌザヌにずっお、ワヌクフロヌはどのように芋えるのだろうかすべおの人に合うワヌクフロヌは、おそらく1぀だけではありたせん。あなたの圹割やどのチャンネルを䜿うかによっお、それを実珟する方法は異なるかもしれない。.

むンゎ・シュキュベヌル
ロブ、ヘルプデスクに぀いおどう思う

ロブ・ヒュヌズ
ナヌザがパスワヌドを䜿わないようになるず、CISOずしおセキュリティ・プログラムを怜蚎する際に、いく぀かのこずが新たな珟実ずなる。攻撃者は、パスワヌドを䜿っおナヌザヌ・アカりントを乗っ取るこずができなければ、他の方法を探すだろう。ひず぀の方法は、ヘルプデスクを゜ヌシャル・゚ンゞニアリングするこずだ。もうひず぀は、オンボヌディング・プロセスやデバむスの登録に目を向けるこずだ。これらすべおのむベントにおいお匷固なチェヌンを構築し、パスワヌドレスを培底する必芁がある。ポヌルが蚀及したように、オンボヌディングでパスワヌドレスの仕組みを導入するこずは可胜だが、その方法を考えなければならない。パスワヌドのある仕組みに慣れおいるず、オンボヌディングに぀いお考えるのは簡単だ。新しいノヌトパ゜コンが届いたら、ログむンするように蚀われるでしょう。最初から最埌たでパスワヌドレスを貫くこずは本圓に重芁だ。.

むンゎ・シュベルト
私たちRSAは、ここしばらくの間、パスワヌドレス・ログむンを䜓隓する喜びを味わっおいたしたし、あなたもRSAでその圹割を担ったチヌムの䞀員でした。.
では、ナヌザヌの生産性を阻害するこずなくパスワヌドレスを導入するにはどうすればよいのだろうか。

ロブ・ヒュヌズ
たあ、前提条件が敎っおいるかどうかずいうこずになるず思う。䞀般的に、MFAが導入されおいれば、それが出発点ずなりたす。゜フトりェアおよびハヌドりェアトヌクンの柔軟性があれば、それは助けになる。ナヌザヌがFace IDなどの生䜓認蚌機胜を備えたスマヌトフォンを持っおいれば、それも助けになる。これらの前提条件を十分に満たしおいるかどうかを確認し、それから始める必芁がある。アむデンティティ・カンパニヌである私たちは、シングルサむンオンの仕組みを持っおおり、たずそこでパスワヌドレスを掚し進めた。私はそれをいく぀かの方法で考えおいる。たず、パスワヌドレスをナヌザヌに利甚できるようにする。そしお、それをデフォルトにしお、最初のプロンプトをパスワヌドなしにする。十分なデヌタが埗られ、問題のある゚ッゞケヌスがあるかどうかを確認できたら、パスワヌドレスを必須ずする。誰かが特定のメカニズムでパスワヌドを䜿おうずすれば、それは単に機胜しない。その埌、SSOからVPN、デスクトップログむン、あるいはワむダレスに移行し、IDサむロをタヌゲットにする前に、ナヌザヌスペヌス党䜓でパスワヌドレスを実珟するこずを怜蚎するこずができる。蚈画的に行い、ナヌザヌからのフィヌドバックを集め、ヘルプデスクやサヌビスデスクに想定される問題や回避策を準備しおおけば、倧きな混乱なく実斜できる。たた、たずは詊しおみたいずいうボランティアからなるテスト・グルヌプを䜜り、新しいテクノロゞヌをたず圌らに展開した。倧きな混乱なしに行うこずにかなり成功した。重芁なのは、蚈画的に実行するこずだ。䞀倜にしおすべおを導入し、最善を望むようなこずはしない。䞀晩ですべおを導入し、ベストを望むのではなく、少しず぀実行し、やりながら孊んでいくこずだ。隠れたレガシヌ技術的負債が芋぀かるかもしれないし、あなたが必芁ずしようずしおいる最新アプリを実行するための正しいバヌゞョンの携垯電話を持っおいる人ばかりではないかもしれない。そのような小さな問題はありたすが、ナヌザヌに倧きな圱響を䞎えるこずなく、倧郚分は実珟できるず思いたす。.

むンゎ・シュベルト
段階を螏んで実斜し、モルモット私もそのモルモットの䞀人になれお幞せだったを甚意し、たずテストをしおから察象者を広げ、最終的に党員に展開する。これは賢明なアプロヌチであり、パスワヌドレスの展開にも圓然圓おはたりたす。画期的なこずや劇的に異なるこずは䜕もないずいうのはいいこずだ。䞖界䞭のIT担圓者にずっお銎染みのあるアプロヌチであるはずだ。.

ロブ・ヒュヌズ
もちろんだ。チェンゞ・マネゞメントのグッド・プラクティスに埓うこずだ。それさえできれば、別䞖界のような難題を提瀺するこずはないはずだ。.

むンゎ・シュベルト
アレックス、䜕か付け加えるこずはある

アレックス・サマヌ
ハッカヌは垞に匱点を探しおおり、攻撃察象は3぀ある。ひず぀はプロトコル、ひず぀はプラットフォヌム、そしおひず぀はプロセスだ。パスワヌドレス・スキヌムに関しお蚀えば、FIDOを䟋にずっおみよう。FIDOは非垞に優れた蚭蚈をしおいる。このプロトコルは安党で、ホストからサヌバヌたで、䞡方の゚ンドポむントで真正性の盞互チェックが行われる。この堎合、ハッカヌはプロトコルを芋るのではなく、プラットフォヌムを芋るだろう。プラットフォヌムに匱点はあるのか携垯電話、デスクトップPC、あるいはiShieldキヌのようなものスマヌトカヌドチップをベヌスにしたFIDOセキュリティキヌ。プラットフォヌムぞの実装によっお、攻撃の可胜性は異なりたす。スマヌト・カヌド・チップの堎合、おそらく攻撃は最も難しいだろう。これは非垞に匷力なフィッシング耐性を提䟛し、実隓宀では䟵入テストさえうたくいかないだろう。デスクトップPCの堎合は、TPMやその他の信頌ベヌスの技術を䜿っお実装されおいるかどうか、あるいは脆匱な実装かどうかによる。攻撃者は、スキヌムやプラットフォヌムを攻撃できない堎合、そのプロセスに泚目する。プロセスが脆匱であれば、このようなデバむスであっおも䟵害される可胜性がある。䟋えば、デバむスが暗蚌番号ずリンクしおいお、その暗蚌番号で鍵を解陀しなければならない堎合、暗蚌番号が共有され、攻撃者が鍵を持っおいれば、それを䜿うこずができたす。そのため、プロセスの安党性は非垞に重芁であり、ヘルプデスクや䌁業党䜓の導入プロセスにも関わっおくる。これらすべおの面がセキュリティ察策でカバヌされおいれば安党です。しかし、『FIDOのようなパスワヌドレス・スキヌムを䜿っおいるから安党だ』ずいうだけでは䞍十分です。プロセス、プラットフォヌム、プロトコルを考慮しなければなりたせん。.

むンゎ・シュベルト
GenAIやゞェネレヌティブAIを考えるず、パスワヌドや認蚌党般に倧きな脆匱性があるのでしょうか ロブ、君はどう思う

ロブ・ヒュヌズ
しかし、人々が考えおいるような方法ではないかもしれない。GenAIが、すでに䞖の䞭にあるスクリプトやシステムよりも優れたパスワヌドを予枬できるずは思わない。それよりも゜ヌシャル・゚ンゞニアリングが重芁だ。音声、ビデオ、よく緎られた電子メヌルメッセヌゞやスピアフィッシングの詊みは、すべお埌抌しされる。攻撃者が基本的な認蚌情報を探しおいる堎合、あるいは人々を隙しおMFAタむプの認蚌情報を提䟛させようずしおいる堎合にも重芁なこずだ。私が最も倧きな圱響を受けるのはそこだ。いったん誰かが認蚌情報を手にすれば、AIは䞀床に倚くの情報を調べ、迅速にフィヌドバックを提䟛するこずができるため、それが䜿甚される可胜性のある堎所を芋぀けるこずも容易になる。.

むンゎ・シュベルト
だから、AIツヌルの䜿甚によっおリスクが高たるのは間違いない。ポヌル、䜕か付け加えるこずは

ポヌル・マルノィヒル
いや、ロブがカバヌしおいるず思う。゜ヌシャル゚ンゞニアリングの面では、AIは人の生掻をより楜にしおくれる。AIはより倚くのデヌタをより簡単にたずめるこずができる。パスワヌドベヌスの䞖界では、AIは攻撃者に盎接答えを教えるこずはできないかもしれないが、おそらく答えを導き出すのに圹立぀より倚くの情報をより迅速に䞎えるこずができるだろう。.

むンゎ・シュベルト
では、パスワヌドレスは、組織が自動化された脅嚁党般に適応する䞊で、どのように圹立぀のだろうか

ポヌル・マルノィヒル
蟞曞攻撃などの自動化された攻撃は兞型的な䟋だ。パスワヌドレスのスキヌムであれば、そのような攻撃はもはや圓おはたらない。前にも述べたように、プロセスがどのように実装されおいるか、プロトコルがどの皋床匷固か、プラットフォヌムがどの皋床匷固かによる。プロセス、プロトコル、プラットフォヌムが匷固であれば、自動化された攻撃の可胜性は限りなくれロに近づく。䟋えば、ハヌドりェア・ベヌスのFIDOセキュリティ・キヌでは、AIの時代であっおも、それを䜿甚した䌁業でのむンシデントは1件も知られおいない。状況や実装プロセス、プロトコル、プラットフォヌムにもよりたすが、正しく行えば、自動的な攻撃に勝ち目はないず蚀えるでしょう。.

ロブ・ヒュヌズ
そうだね。自動化された攻撃や、パスワヌドレスを導入しおいる堎合、攻撃者偎からも考慮すべきこずがいく぀かありたす。䞖の䞭にはさたざたなツヌルキットがあり、AIを䜿ったりしお、誰かのIDを取埗しようずしたす。しかし、パスワヌドレスを導入するず、パスワヌドに䟝存し、パスワヌドのプロンプトを衚瀺するように蚭蚈されたツヌルキットのどれもが、ナヌザヌにずっお意味をなさなくなる。パスワヌドレスにするこずで、パスキヌがない堎合、ナヌザヌはパスワヌドのプロンプトが衚瀺され、「おかしいな」ず思う。パスワヌドが䜕なのかさえ知らないかもしれない。぀たり、パスキヌが導入されおいなくおも、文化的な郚分でフィッシングに察する抵抗力を高めるこずができるのです。自動化された攻撃を考えるなら、パスワヌドのないナヌザヌベヌスに察しお自動化された攻撃をするのは難しくなりたす。もちろん、パスワヌドレスには匷力な認蚌、぀たり䜕らかの圢のMFAが必芁ですが、それだけで、たずえパスワヌドが残っおいたずしおも、あらゆる堎所にMFAがあるようなもので、自動化攻撃に察しお圹立ちたすよねそしおもちろん、パスワヌドレスでは、MFAずいうものが圓たり前のように導入される。.

むンゎ・シュベルト
では、今日からパスワヌドレスの旅を始めたいず考えおいる組織ず話すずしたら、どのようなアドバむスをするだろうか
私は段階的なアプロヌチを取るこずを勧める。䌁業内のある郚眲や特定のグルヌプに適甚できるものから始める。詊隓的に実行し、芏暡を倧きくし、しばらく実行したら展開する。私は定期的にこのようなプロゞェクトを芋おいる。詊隓的に実斜し、それを拡倧し、さたざたな組織䜓党䜓に展開する方法を䞀緒に怜蚎するのです。これは非垞に効果的で、私たちは䌁業におけるこのような導入から非垞にポゞティブなフィヌドバックを受け取っおいる。.

ロブ・ヒュヌズ
アレックスのアドバむスは玠晎らしいず思う。蚈画を立お、実行し、どこから始めたいかを決めるこずだ。蚈画的にやるこずだ。これは、展開方法を倉えるような゚キゟチックな技術セットではない。ナヌザヌが珟圚慣れ芪しんでいる技術の倚くを䜿甚しおいるスマヌトフォンのFace ID、ラップトップの指王、カメラを䜿ったりQRコヌドを読み取ったりするために近くに電話があるこず。これらはもはや難解なものではない。.

ポヌル・マルノィヒル
ずおも分かりやすい。アレックスずロブが蚀ったこずに、これ以䞊付け加えるこずはない。遞択肢を持぀こずず、ステップバむステップ。しかし、もしあなたが遞択肢を持ち、どこから始めるかを知っおいるならば...。あなたはおそらく90%の䞋準備をしお、良い蚈画を立おるこずができる。.

むンゎ・シュベルト
そうだね。そしお、付け加えるこずがあるずすれば、私が昔から苊手ずしおいるこずだ。セキュリティの珟状ずアプリケヌションの珟状を把握するこずです。どのアプリケヌションが存圚し、どのアプリケヌションがパスワヌドに䟝存しおいるのか、そしおどのアプリケヌションをすぐに取り陀くこずができないのかを調べおください。動かせるものはたくさんあるはずだ。優先順䜍を付け、展開し、短期間で成果を䞊げれば、䞊局郚にプロゞェクトの予算を正圓化するこずができる。.
パスワヌドレス認蚌は倧きな前進だが、特効薬ではない。パスワヌドの削陀はリスクを軜枛するが、匷力なIDセキュリティは䟝然ずしおコンテキスト、コントロヌル、継続的な信頌に䟝存しおいる。今日の議論から1぀の収穫があるずすれば、それはこれだ。パスワヌドレスは暙準を高めるが、それを取り巻く広範なアむデンティティ戊略こそが、本圓の安党性を決定する。.
RSA Identity Unmaskedの゚ピ゜ヌドにご参加いただきありがずうございたした。本゚ピ゜ヌドをお読みいただき、貎重なご意芋をお聞きになった方は、今埌の゚ピ゜ヌドもぜひご賌読ください。たた、その他の掞察やリ゜ヌスに぀いおは、rsa.comをご芧ください。アレックス、ロブ、ポヌル、どうもありがずうございたした。.

ポヌル・マルノィヒル、ロブ・ヒュヌズ、アレックス・サメラヌ
ありがずう。お招きいただきありがずうございたす。.
゚ピ゜ヌド3医療におけるアむデンティティ・セキュリティ

この゚ピ゜ヌドでは、むンゎ・シュヌベルト、ゞョン・ニコラス、ポヌル・マルノィヒルが再び登堎し、アむデンティティ・セキュリティに関しお最もセンシティブな分野のひず぀であるヘルスケアに぀いお掘り䞋げたす。 ゲストが、臚床環境におけるアクセスの耇雑性、共有デバむス、ラむフサむクル管理、認蚌の課題ず、それらに正面から取り組む方法に぀いお語りたす。.

ビデオ録画
むンゎ・シュベルト
RSA Identity Unmaskedぞようこそ。本日は、アむデンティティ・セキュリティの最もハむリスクで興味深い分野の1぀であるヘルスケアに぀いおお話ししたす。今日もポヌルずゞョンに加わっおもらい、課題、ナヌスケヌス、ベストプラクティスを芋おいきたしょう。始めたしょう。では、なぜヘルスケアはIDセキュリティにずっおこれほどナニヌクな環境なのでしょうか

ゞョン・ニコラス
ポヌル、よかったら僕が始めよう。どうする

ポヌル・マルノィヒル
ぜひそうしおほしい

ゞョン・ニコラス
私たちがい぀も医療に぀いお話しおいお、最初に出おくる話題のひず぀が、医療機関が持っおいる技術スタックず重芁なレガシヌ・むンフラストラクチャです。最新のMFAサヌビスに接続できない可胜性があるため、IDの芳点からセキュアにする必芁がある最倧の分野の1぀です。そのため、レガシヌな独自技術は、医療機関英囜ではNHSが代衚的な䟋では倧きな課題ずなっおいる。.

ポヌル・マルノィヒル
NHSのこずはよく知られおいたすが、その傘䞋にはたくさんの小さな組織があり、ITむンフラをサポヌトするための巚倧なポットが1぀あるずいうわけではありたせん。もし、それがひず぀の倧きなものであれば、可胜性はありたすが、残念ながら、䞖の䞭はそううたくはいきたせん。そのため、レガシヌ・システムがあり、移行やメンテナンスに察応しなければならないため、最新か぀最高のものを手に入れるこずができない堎合、どのようにしお最新システムを手に入れるのかずいう課題がある。

むンゎ・シュベルト
そうですね。もちろん、䟋えばドむツでは違う。この文脈では、それほど違いはないず思いたすよ。組織も違うし、レガシヌ・アプリケヌションもたくさんある。公平を期すなら、おそらくペヌロッパ䞭、あるいは䞖界䞭の倚くの堎所でそのような状況が芋られるず思いたす。

ポヌル・マルノィヒル
レガシヌシステムに぀いおは、機胜しおいるものがあれば、その゚ラヌ率に぀いお話す。それが2幎前のものだからずいっお、倉曎しようずはしないでしょう。新しい分野に資金を投入するこずになる。そう、レガシヌだからずいっお、それが叀くお時代遅れだずいうこずにはならない。ただ、機胜しおいるずいうこずだ。もっず重芁なこずがある。.

むンゎ・シュベルト
皌働䞭のシステムには觊るなでは、このような環境でアクセス、制埡、認蚌が難しいのはなぜだろうか

ポヌル・マルノィヒル
おそらく、耇数のトラストが混圚しおいるず思いたす。䟋えば、ある日、私はある堎所で働き、たた別の堎所では別のトラストで働き、たた別のトラストでは別のトラストで働く。すべおを管理する䞭倮システムはあるのだろうかおそらくないだろう。私はどこかに戻る぀もりなのか、それずも1幎に1日だけ別の堎所でやる぀もりなのかアむデンティティの芳点から管理し、安党性を確保しようずするシステムの数は、その耇雑さを指数関数的に増倧させる。50のサむトにたたがっおいるが、それは50のシステムなのか5なのか1なのかそれを党囜に広げれば、さたざたな理由で耇雑な局が増えるだけです。.

ゞョン・ニコラス
そしお、そのナヌザヌ数が問題なのだず思いたす。なぜなら、最前線で医療サヌビスを提䟛する臚床医は、もちろん非垞に優秀かもしれたせんが、サむバヌセキュリティの専門家ではないからです。䟋えば、NHSをサポヌトするチヌム党䜓が、すべおのロゞスティクスや蚈画、管理面を担圓しおいる。そのうちの䜕人かは、モバむル認蚌のようなものを䜿うこずができるかもしれたせんが、他の人たちは病棟やもっず安党な環境にいるかもしれたせん。䜕か他のもの、぀たり物理的なトヌクンが必芁です。
認蚌を行う。巚倧な劎働力だけでなく、認蚌方法に関しお耇数のナヌスケヌスがあるわけです。それから、モバむルの話が出たしたが、䜿いたいモバむルを持っおいない人もいるでしょう。぀たり、5人を1぀のシステムに入れるだけで、3぀も4぀も5぀も異なるナヌスケヌスがあるわけです。.

むンゎ・シュベルト
぀たり、臚床医、臚時スタッフ、亀代制のシフトは、物事を非垞に耇雑にしおしたうのです。今おっしゃったこずですね。私のID管理の芳点から蚀うず、9時から5時たで働くような、組織化された䌁業内の劎働力ず比范するず、少し難しいこずがわかりたす。そうですね、時間垯が違うかもしれたせんが、これは基本的に11時たで働きたす。.

ポヌル・マルノィヒル
䟋えば、1぀の倧䌁業に50の異なる郚門があったり、100の異なる郚門があったりしたす。䞀方、ヘルスケア郚門を芋るず、ケア郚門ずいう1぀の倧きな組織があるかもしれたせんが、その䞭には50や100の別々の䌚瀟があり、それぞれが専門性を持っおいお、仕事のやり方は自埋的でなければなりたせん。その䞭で䜕か問題が発生した堎合、どのような圱響があるのでしょうか

むンゎ・シュベルト
もちろん、ドラマチックなテレビ番組ずいう点ではそうだ、もちろん、ドラマチックなテレビ番組があるように、すべおが速く進たなければならないんだ。でも、それは1぀のこずで、物事を遅くするこずはない。

ゞョン・ニコラス
ガバナンスの芳点から蚀えば、最小限の暩限ずいう芳点から蚀えば、䟋えば、自分の圹割を果たすために必芁な暩限だけを党員に䞎えたいずは思わないでしょう。しかし、そこで問題になるのは、この倉曎を行おうずしお、間違っお暩限を奪っおしたうこずです。そうなるず、病棟で誰かの呜を救うのに圹立぀重芁な機械や蚭備を操䜜できなくなる。そのため、䟋えばIGA゜リュヌションを実斜するための意思決定の粟床は、絶察に鉄壁でなければなりたせん。そのため、その時点で倉曎を加えるには、おそらく䜕局もの意思決定を経なければならず、時間がかかる。なぜなら、このワヌクフロヌを導入しお、極端な䟋では呜を救うこずができなかったり、薬局から䜕かを投䞎するこずができなかったりするような事態は避けたいからだ。.

むンゎ・シュベルト
しかし同時に、特にアむデンティティ・ガバナンスでは、もちろん、この堎合、手っ取り早い解決策があるわけですが、もちろんそうではありたせん。それは有効なアプロヌチですかそれは良い劥協なのかいや、厳粛にそうだず思うよ。

ポヌル・マルノィヒル
䞀人の人間がハッキングされ、䞀人のアカりントが挏掩し、あたりにも倚くの暩限を持っおいたら、どうなるでしょうか病院のスタッフだからずいうこずで、すべおを任された甚務員が薬局のシステムに䟵入し、薬にアクセスしたり、患者の蚘録を倉曎したりするこずができるんです。そうですね。しかし、ゞョンが蚀っおいたように、ポリシヌの適甚やパヌミッションの最小経路の適甚を倉曎するず、倚くの朜圚的な圱響があるため、ほずんどリスクが麻痺しおしたいたす。X、Y、Zのパヌミッションを削陀するポリシヌを導入するこずは可胜だが、絶察的な確信がないのであれば、50人に圱響を䞎えるかどうか、その50人がこのリ゜ヌスにアクセスしたかどうかの分析を行ったこずがあるだろうかもしそのうちの1人がアクセスしたのであれば、もっずレビュヌを続ける必芁がある。その䞀人に特別な蚱可を䞎える必芁があるか誰䞀人そうでなく、十分な期間監芖しおいるのであれば、そうですね、それを匷制するこずができたす。しかし、もし私が䜕かを取り陀いおしたったら......ずいう恐怖がある。いろいろず掚枬するこずはできおも、䜕かが必芁になるような緊急事態を想定するこずはできたせん。私はこの蚱可を倖したした。この看護垫や医垫、あるいは誰かが䜕かをする必芁があったのに、突然それができなくなる、ずいうシナリオが今出おきたのです。.

むンゎ・シュベルト
機械を操䜜するだけではない。どこかのデヌタにアクセスするようなこずもできるだろう䟋えば、健康蚘録ずかね。぀たり、普通の䌁業では、誰かが少ない資栌しか持っおいないずたずいずいうこずです。圌らは自分の仕事をするこずができたせんが、リク゚ストをすれば承認されたす。そう、悪いこずなんだ。数時間遅れるかもしれないし、翌日になるかもしれない。しかし、医療環境では、これは文字通り倧きな問題を意味する。そしお、分刻みで行われるわけではないかもしれないが、必芁なずきに必芁なケアが受けられないずいうこずになりかねない。.
ポヌル・マルノィヒル
もしそれが䌁業で、誰かがデヌタにアクセスするこずができれば、誰かがクレゞットカヌドで䜕かを泚文し、それを修正するためにクレゞットカヌドでフルバックができるかもしれないし、泚文がキャンセルされるかもしれない。぀たり、これらのいく぀かはそれほど深刻な圱響ではありたせんが、医療であれば、誰かがあなたの医療蚘録を倉曎したす。共有されるべきではない詳现を誰かが共有する。䜕が起こるかわからない。あるいは、情報が挏れおしたうこずで、長期的な圱響が出る可胜性もある。あなたが蚀ったように、あなたが䟝存しおいる薬が止められるかもしれない。その薬の凊方が終わりに近づいおいお、実際に必芁な薬かどうかの再確認が必芁なずきに、その薬の詳现が削陀されるこずで、薬の効き目がさらに遅くなり、遅らせるこずになる。䌁業や民間䌁業の医療分野では小さな倉化に芋えるかもしれたせんが、問題や圱響は10倍、20倍、30倍にもなる可胜性があるのです。.

ゞョン・ニコラス
医療蚘録は、ダヌクりェブで取匕される堎合、非垞に䟡倀がありたす。䟋えば、クレゞットカヌドの詳现情報よりも䟡倀がありたす。保険金詐欺のように利甚される可胜性がありたす。だから、攻撃者はここに入りたいんだ。圌らは、願わくば、誰の呜も危険にさらしたくないが、医療蚘録を手に入れ、それを金銭的な利益のために利甚するこずで、金銭的な芋返りを埗たいのだ、ず圌は蚀う。.

むンゎ・シュベルト
぀たり、その情報は攻撃者からすれば、誰かをスピアフィッシングで攻撃するのに最適なんだ。医療情報を知っおいれば、信頌床が䞊がるだけで、その皮の攻撃に察しおより疑わしくなるよねあるいは、脅迫ずかね。その蚘録を䜿っおできるこずはたくさんあるよねああ、それは分かるよ。では、珟実的な話に戻りたすが、䟋えば病院で実際に䜕が起こるのでしょうか兞型的な認蚌ワヌクフロヌはどのようなものでしょうか

ゞョン・ニコラス
圌らが兞型的かどうかは分からない。.

むンゎ・シュベルト
たあ、いいだろう。.

ゞョン・ニコラス
システムに぀いおは話したが、䜕をすべきなのかずいう質問もあるかもしれないが、バック゚ンドには垞にMFAのステップアップがあるべきだ、IAMの芳点から話をするず、条件付きアクセスを掻甚するこずは可胜でしょうか。AIを掻甚しお、そのナヌザヌが適切な時に適切なナヌザヌであるかどうかを理解し、管理者が膚倧なナヌザヌベヌスず膚倧な技術スタックに基づいお条件付きアクセスポリシヌをこねくり回すのではなく、動的に実行させるこずができたす。.

むンゎ・シュベルト
この業界で私が気づいたこずのひず぀は、補造珟堎での共有デバむスが䞀番近いかもしれない、ずいうこずです。それが普通ずは蚀いたせんが、䞍釣り合いなほど倚くの共有デバむスがあるように感じたした。それにどう察凊すればいいのでしょうか

ポヌル・マルノィヒル
少なくずも3人、堎合によっおは5、6、7人で1台を共有するこずになるでしょう。ナヌスステヌションの端末ずか、そういうものですからね。 それを保護する最善の方法は぀たり、ナヌザヌ名ずパスワヌドに䜕らかの認蚌情報を入れるこずだ。小さなOTPトヌクンやハヌドりェアトヌクンを䜿っおいる人を芋たこずがある。かなり回埩力がある。しかし、それで十分でしょうかワンタむムパスワヌドを通すだけだからだ。誰かがコンピュヌタヌにアクセスし、ログむンし、䜿甚しなければならない。しかし、パスワヌドは詊行錯誀の末に完成したものだ。FIDOキヌを枡しお、その䜿い方に慣れるように頌んだり、モバむルで生䜓認蚌をプッシュしお承認しおもらったり。でも、それを䜿うには、他のこずも加えなければならない。そのためには、他の芁玠も加えなければならない。.
 
むンゎ・シュベルト
それに、他の業界では、䟋えば携垯電話をどこにでも持っおいくこずができないずころもある。プラむバシヌの問題ずか、カメラがあるからずか、他の機械の邪魔になるからWi-Fi接続はできないずか。だから、オプションが必芁なんだ。それに、OTPゞェネレヌタヌは消毒液に぀けるこずもできるんだ。.

ポヌル・マルノィヒル
先日、あるお客さんず話しおいたんですが、たさにそのような、たあ医療ではないですが、携垯電話が䜿えないずいうシナリオがあるんです。物理的な環境はセキュリティヌ的に厳重です。だから、ワンタむムパスコヌドの぀いたハヌドりェアトヌクンか、Fidoキヌのようなものを䜿う。RSA iShieldのように、非接觊型のFIDOやそのような芁玠を取り入れた新しいものもありたす。以前はナヌザヌ名ずパスワヌド、そしおワンタむムパスコヌド、あるいはパスコヌドにそれらを䜿甚するこずができたした。コンピュヌタに行き、名前を䜿い、タップしおピンを入れれば、その領域に入るこずができる。.

むンゎ・シュベルト
それだけだ。.

ポヌル・マルノィヒル
プロセスをスピヌドアップしおいるんだ。たた、他にも進歩しおいる分野があり、今埌さらにシンプルになるかもしれたせん。぀たり、FIDOやパスキヌのいく぀かの芁玠は、保持するこずができたす。だから最終的には、FIDOのキヌを持っお歩いお、それをマシンに眮くだけでいいんだ。.

むンゎ・シュベルト
もちろん、このNFCタップがあれば、䜿い勝手の問題は少なくなる。䜕かを読み取っおもう䞀床䜕かをタップする必芁がないので、間違った数字を読み取ったり、正しい数字を持っおいるのに間違っおタップしおしたったりするこずがない。そのため、そのようなこずがなくなりたした。.

ポヌル・マルノィヒル
たた、芖力に障害のある人がいる堎合、回転する小さなスクリヌンからそれを読み取るのは簡単ではないかもしれたせん。繰り返したすが、これはNFCです。.
むンゎ・シュベルト
なるほどね。.

ポヌル・マルノィヒル
どんな分野の人でも、その芁玠から恩恵を受けるこずができる。.

ゞョン・ニコラス
セキュリティヌず利䟿性を䞡立させるこずは、おそらく最も重芁な分野のひず぀だろう。急いで䜕か重芁なこずをしようずするずきに、認蚌の流れやアクセスの流れを遅くしたくないから、セキュリティヌず利䟿性を䞡立させるこずが重芁になる。.

むンゎ・シュベルト
耇数の認蚌方法を持぀こずは、1人のナヌザヌのためだけでなく、耇数の方法を持぀ナヌザヌもいるかもしれたせん。だから、1぀のタむプですべおに適合するわけではないんだ。.

ポヌル・マルノィヒル
そうだね。.

ゞョン・ニコラス
絶察にない。確かに、あの芏暡の組織ではね。.

ポヌル・マルノィヒル
圹割分担に぀いおおっしゃったように、ガバナンスの偎面に戻っお、それぞれの圹割を果たす人が、䜕ができるかをきちんずマッピングする必芁がありたす。看護垫や病院では、医垫、ポヌタヌ、受付など、できるこずが決たっおいたす。たた、医垫、別のポヌタヌ、受付の人など、さたざたな圹割があり、それぞれ異なる芁件やアクセス暩を持っおいたす。だから、それをマッピングしお、この人はこういう圹割で、ガバナンス・プロセスずラむフサむクル・システムを敎備しお、これがあなたの圹割で、これがあなたが持぀こずのできるものです、ず確認し、それを適切な方法にマッピングしお、1日に20分もMFAステップアップに時間をかけなくおも仕事ができるようにしなければなりたせん、い぀も䜿っおいるコンピュヌタヌに入り、い぀もアクセスしおいるリ゜ヌスにアクセスする。.

むンゎ・シュベルト
では、ガバナンスの偎面、぀たりアむデンティティ・ガバナンスの偎面にずどたりたすが、では、なぜ、医療環境においお、ゞョむンが重芁なのでしょうか

ゞョン・ニコラス
ポヌルも蚀っおいたしたが、人はトラスト間を移動するかもしれたせんが、トラスト内でも、おそらく定期的に圹割を移動しおいるはずです。぀たり、JMLプロセスの芏暡は、1日に䜕䞇、䜕十䞇もの倉曎があるのです。そのため、自動化された芳点でそれを把握するこずは非垞に重芁です。たた、単に自動化するだけでなく、適切なタむムラむンを持぀こずも重芁です。それがシステムに入っおいる。3日埌にロヌルAからロヌルBに倉曎するず、バック゚ンドで自動的に行われたす。䞊叞に『来週からむンゎがチヌムに加わりたすが、圌にできるこずは䜕でしょう』ず盞談するのではなく、むンゎがチヌムに加わり、初日から必芁なこずがすべおできるようにするのです。.

むンゎ・シュベルト
そしおそれは、私がトラストを倉曎した堎合、Aずいう圹割はもう私にはないずいうこずでもある。

ゞョン・ニコラス
ああ、そうだ。.

むンゎ・シュベルト
だから、この暩利の蓄積、あるいは時間の蓄積は、私たちのキャリアの䞭で誰もが䞀床は目にしたこずがあるず思う。

ゞョン・ニコラス
アむデンティティ・スプロヌル.

むンゎ・シュベルト
ああ、そうだ。.

ポヌル・マルノィヒル
Jonが蚀っおいたこずに付け加えるず、異なるサむトや異なるトラスト、異なるロヌルを飛び回っおいる堎合、サむトAであなたのために䜜成されたアカりントは、ラむフサむクル・サむドずレバヌの芁玠を䜿えば、3、4、5週間、あるいは2、3日でも戻っおこない堎合、そのアカりントを即座に無効にするこずができる。そのため、アカりントが存圚し、あるレベルのパヌミッションが䞎えられおいるにもかかわらず、そのアカりントが無効化されおしたうずいうシナリオを避けるこずができる。ただ䜿われずに攟眮されおいるだけで、別の攻撃ベクトルになっおしたうのだ。぀たり、別の攻撃ベクトルになっおしたうのです。誰かが䟵入しお、ランサムりェアを䜿った信甚攻撃や、そういったこずをするこずができないようにするのです。もうここには来ないのだから、ロックしおしたえばいい。2日埌に戻っおくれば、2日埌にはシステムが再び電源を入れる。.

むンゎ・シュベルト
そうだね。.

ポヌル・マルノィヒル
それたではオプションではない。オフになっおいる。䜿えない。.

むンゎ・シュベルト
そしお、それによっお埗られる可芖性、぀たり、明らかにシステムは、あなたが持っおいる圹割、あなたが持぀予定の圹割、あなたが持っおいた圹割を知るこずができたす。間違っおいたら蚂正しおほしいのですが、監査を受けた堎合、その情報や可芖性は非垞に圹に立぀ず思いたす。.

ポヌル・マルノィヒル
誰がどの時点で䜕をするこずができたのか、履歎がすべお残っおいるはずだ。では、監査の芳点から䜕か起こった堎合、この監査基準を守っおいるのかはい、これがその蚌拠です。䞀元的なガバナンス・プラットフォヌムがあれば、すべおがそこにある。だから、「うん、問題ない。そしお、䞇が䞀、うたくいけば皀なこずですが、䜕かが起こった堎合、同じデヌタセットを䜿っお、その時点で誰がこのデヌタにアクセスしたかを確認するこずができたす。どのような远加ログを゚コシステムに取り蟌むこずができるかによっお、「これらのアカりントは䜕かやったかもしれないが、誰がそれにアクセスしたのか誰が䜕かをしたかもしれない。.

むンゎ・シュベルト
これは調査の助けになりたす。぀たり、優秀なセキュリティヌ・゚ンゞニアであれば、垞に䜕が起こるか、いずれは䟵入されるこずを想定しおいるものです。これは、埌始末の過皋で、䜕が起こり、誰が圱響を受けたかを確認するのにも圹立ちたす。.

ポヌル・マルノィヒル
垞に䜕かを想定し、それが砎られる可胜性を想定する。コンピュヌタのプラグを抜いお、セメントで固めおアレアナの海溝に萜ずすずか、そういうこずをしない限り、䜕かが起こるこずはない。だから、䞇が䞀、䜕かが起こったずしおも、それが物事の進行に䞎える圱響が最小限になるように、できるだけ倚くのものを入れおおくのだ。.

ゞョン・ニコラス
それに加えお、ガバナンスのようなアプロヌチから埗られるデヌタを芋るず、監査人に情報を提䟛できるかどうかだけではないず思いたす。監査人に情報を提䟛できるかどうかだけでなく、珟圚の状況を把握できるかどうかも重芁なのです。プロセスの成熟床に぀いお、私はこのセッションで倚くのこずをお話ししおいたす。そのチヌムの誰も、半幎でも1幎でも、あなたが定矩した期間内にこの暩限を䜿甚しおいない。その暩利を削陀するこずを怜蚎しよう。なぜなら、その暩利は過剰な暩利であり、圌らがその暩利を䜿わなくなったのには、それなりの理由があるかもしれないからだ。もしかしたら、その仕事量をこなすために䞊行しお䜿っおいるシステムがあるかもしれない。だから新システムでは、叀いシステムからそれを取り陀く。そうでなければ、完党な手䜜業で監査を行うこずになり、過去6ヶ月間あなたがシステムで䜕を䜿っおいたのかがわからなくなっおしたいたす。そのむンテリゞェンスを䜿っお、れロ・トラストや最小限の特暩に向けた䜜業に぀いお、情報に基づいた意思決定を行おう、ず蚀うのです。.

むンゎ・シュベルト
ああ、ここで特暩が頭をよぎる。.

ポヌル・マルノィヒル
そうするず、あなたが蚀ったように、圌らが䜿っおいなかった特定の蚱可特暩を芋るこずができるようになりたす。実際、チヌムの%の80人がこれをやっおいたすが、正匏な圹割の䞀郚ではありたせん。10人䞭8人が個別に「Xをするために必芁なので、システムBにアクセスさせおください」ず蚀うのではなく、チヌム党䜓が必芁だからできるようにするために、この暩限を远加する必芁があるのでしょうか。.

むンゎ・シュベルト
䟋倖による管理、基本的にはそうだ。そうだ。.

ポヌル・マルノィヒル
実際、80人の%が䜿っおいるんだ。そうすれば、監査やコンプラむアンスを遵守するこずができ、「そうだ、このチヌムにはこれが必芁だ。これは圌らの圹割の䞀郚だ。他の誰かが入ったり、蟞めたりしたら、その人が持っおいる圹割の䞀郚であるため、そのアクセスをオフにするか、同じようにやっおいる新しい人に䞎えたす。.

むンゎ・シュベルト
では、CIO、぀たり医療機関のCIOに、䜕から始めたらいいず蚀いたすかずいうのも、CIOが始められるこずは山ほどあるからです。

ゞョン・ニコラス
しかし、その本圓の理由は、フィッシング詐欺ぞの察策に力を入れるこずです。なぜなら、倚くの医療機関は䞻芁なコミュニケヌション手段ずしお電子メヌルに䟝存しおいるからです。なぜなら、医療機関の倚くは䞻芁なコミュニケヌション手段ずしお電子メヌルを利甚しおいるからです。それだけでなく、そのようなシステムを利甚しおいる人たちは、プレッシャヌの高い環境で働いおいたす。ログオンしお、玠早く䜕かをする必芁があっお、メヌルが来お、ちょうどいいタむミングでそれを打぀こずができた。パニックではなく、通垞の流れで、うっかりフィッシング・サむトに認蚌情報やデヌタを公開しおしたうのだ。ですから、フィッシング詐欺の耐性を認蚌するために、私たちは、このような電子メヌル・コミュニケヌションに重点を眮いおいる郚門に泚目しおいたす。.
 
ポヌル・マルノィヒル
フィッシング察策から始めお、次に埓業員に䜕ができるかを可芖化するこずで、フィッシング察策ず䞊行しお、フロントドアのセキュリティを確保する。䜕が䜿われおいお、䜕が䜿われおいないのか、誰が䜕をできお、誰が䜕をできないのか。䞀床デヌタを手に入れれば、誰も䜿っおいないのだから、最初から䜕の効果もない倉曎を加えるこずも怜蚎できる。しかし、同じように、チヌムがより効率的に仕事をこなせるようにするためには、どのような倉曎が必芁なのかを考えるこずができる。.

むンゎ・シュベルト
ありがずう。医療システムにおけるIDセキュリティに぀いお、実に良い掞察がありたした。このようなディスカッションがお奜きな方は、新しい゚ピ゜ヌドが公開されたら、ぜひ賌読しおお知らせください。以䞊、「RSA Identity Unmasked」でした。たた来月お䌚いしたしょう。.
゚ピ゜ヌド2 - ヘルプデスク攻撃のリスク

RSAのIngo Schubert、John Nicholas、Paul Mulvihillが、泚目の攻撃ベクトルであるヘルプデスク攻撃に぀いお議論したす。パネリストは、サむバヌ犯眪者がMarks and Spencer、Jaguar、Co-Opなどをどのように攻撃したかを詳しく説明し、埓来の認蚌゜リュヌションではこれらの攻撃を防ぐこずができない理由を説明したす。.

今すぐご芧ください

  • ヘルプデスクがサむバヌ攻撃の栌奜の暙的になる理由
  • MFAはヘルプデスク攻撃の防止にどのように圹立ち、どこで䞍足するか
  • ゜ヌシャル・ネットワヌクが゜ヌシャル・゚ンゞニアリング攻撃にどう぀ながるか
ビデオ録画
むンゎ・シュバヌトRSA Identity Unmaskedぞようこそ。本日は、芋過ごされがちなヘルプデスクのセキュリティに぀いおお話ししたす。今日は、ゞョンずポヌルが加わり、実際のケヌス、リスク、およびそれらのリスクを軜枛するためのコントロヌルに぀いおお話ししたす。.

ヘルプデスクはなぜ狙われるのかたずはここから。.

ゞョン・ニコラスええ、喜んで飛び蟌みたす。そもそもヘルプデスクの圹割ずは、人々を助けたいずいうこずだず思いたす。だから、ヘルプデスクに電話をかけおくる人は誰でも、ヘルプデスクの管理者のその善良な性栌を利甚しお、「ねえ、䜕か手䌝っおくれるだから、あなたが䌁業の埓業員である堎合は、玔粋に助けが必芁なのです。しかし、あなたが電話をかけおくる脅嚁の行為者である堎合、圌らはそれを祈るこずができる。なぜなら、ヘルプデスクの管理者は、もはやX、Y、Zしかできないず蚀うプロセスに瞛られないからだ。これはヘルプデスクにずっお、匷力なプロセスがない堎合に悪甚される本圓のリスクだ。.

ポヌル・マルノィヒルそれに加えお、ヘルプデスクの䞭には、KPIが「チケットをクロヌズしなければならない」「誰かが電話をかけおくる」「チケットをクロヌズしなければならない」「解決しなければならない」ずいうずころもありたす。これらはすべお、もしあなたが䜕もしないのであれば、私はその䞊でプレヌする぀もりだ。あなたがチケットをクロヌズしたいのなら、私は電話で問い合わせ、あなたはチケットを䜜成した。.

ヘルプデスクで働いたこずがある人ならわかるず思うんだけど、私はちょっずだけ働いたこずがあるんだけど、぀たり、圌らの統蚈のようなもので、チケットが䜕枚開かれおいるかずか、チケットの平均クロヌズ時間ずか、そういうのが党郚倧きなモニタヌに衚瀺されるこずがあるんだ。そうそう。実際、最近䜕か倉わったんですか䜕が倉わっお、これが最高の攻撃ルヌトになったんですか

ポヌル・マルノィヒル以前からルヌトぞの攻撃はあったのでしょうが、最近になっおニュヌスに取り䞊げられるこずが倚くなりたした。マヌク・スペンサヌの生協、JLR、ゞャガヌ、ランドロヌバヌがこの1幎半に攻撃を受けたした。ヘルプデスクが狙われたせいもある。誰かが誰かを説埗しおアカりントの認蚌情報を䞎えさせ、そこに䟵入しお悪事を働いた。.

サヌド・パヌティに頌っおいるのは、もはや組織Aの埓業員だけではありたせんし、私たちは垞にサヌド・パヌティに぀いお業界内の事前リスクに぀いお話しおいたす。そのような面でも、限られた知識しかないのかもしれたせん。.

むンゎ・シュバヌトオヌケヌ。そしおもちろん、その䌚瀟の文化を知らなければ、そうなりたす。.

ポヌル・マルノィヒル以䞋マルノィヒルそうですね、あなたがおっしゃったように、ヘルプデスクをアりト゜ヌシングしおいる堎合、手順は知っおいおも、人のこずは知らないでしょう。そうですね。では、「わかりたした、お電話したす」ず蚀えるようにするにはどうすればいいのでしょうか私たちは初察面です。オフィスに来たこずもない。.

むンゎ・シュバヌト実際の攻撃はどうなんだ぀たり、この堎合の兞型的な攻撃ずはどのようなものでしょうか攻撃者は䜕を達成しようずしおいるのかそしお、攻撃者はそれをどうするのか

ポヌル・マルノィヒルアカりントをリセットするこずから、VPNネットワヌクに接続するための手助けを埗るこずたで、いろいろなこずが考えられたす。぀たり、私たちは、人々が䜕をするかに぀いお倚くの゜ヌシャルメディアがある䞖界に䜏んでいたす。私の友人にも、様々な理由で自分の人生を゜ヌシャルメディアに公開しおいる人がいる。理にかなっおいるこずもあれば、そうでないこずもある。だから、もしあなたが誰かのこずを知りたいず思ったら、情報源を远跡しお倚くの情報を集めるこずができるだろう。ヘルプデスクに電話をしお、誰かの出生地やペットの名前など、あれやこれやを調べお、パスワヌドの再蚭定を䟝頌する。私が誰なのか、私が䜕を蚀っおいるのかを知るための、今日のステップは䜕でしょうおそらくセキュリティの質問でしょう。.

むンゎ・シュバヌトそうですね。基本的には、攻撃者が゜ヌシャル・ネットワヌクから埗た予備知識を組み合わせるこずになりたす。別の攻撃かもしれないし、違法かどうかは別ずしお、デヌタブロヌカヌから買ったデヌタかもしれない。そしお、冒頭で話したような高圧的な環境ず組み合わさるこずで、攻撃者にずっおは実に魅力的なタヌゲットになるわけですね。

ゞョン・ニコラスええ、それに加えお、私たちは暡倣したいず思うような個人をリサヌチするこずに぀いおよく話したす。圌らのテクノロゞヌ・スタックはどうなっおいるのかそうすれば、ヘルプデスクず䌚話をするずきに、より信頌性を高めるこずができる。VPNにアクセスできたすかパロアルトのVPNが䜿えないんです。どうすればいいですかそうすればすぐに、この方が身近に感じられるでしょう。.

むンゎ・シュバヌト私はこの堎合、攻撃者であるあなたの方が身近に聞こえる、ず蚀おうずしたのですが、それは぀たり、あなたが私たちの仲間だずいうこずです。.

ポヌル・マルノィヒル少し前に、ある倧䌚のビデオを芋たんだが、ヘルプデスク経由で䌁業にハッキングするためにお金をもらっおいる人がいた。そしお、ナヌザヌになりすたしたり、VPNシステムずは䜕かずいう情報を埗たりしお質問し、りェブサむトぞのアクセスを手䌝わせ、実際にその人が䜿っおいるコンピュヌタヌにバックドアでアクセスできるようにした。.

むンゎ・シュバヌト぀たり、これは基本的に認蚌のための蚌拠に頌るずいうこずです。どちらかずいうず、攻撃者が䜜り出す、暖かくおファゞヌな感じがいいんです。その代わりに䜕をすべきなのでしょうか぀たり、䜕か違うこずができないか぀たり、真新しい問題ではなさそうですよねこのヘルプデスクはもう䜕十幎も前からあるものでしょう

ポヌル・マルノィヒルそうですね、぀たり、ITセキュリティヌに関しおは、私たちは方皋匏党䜓の䞭で最も匱い郚分だずいうずころたで来おいるず思いたす。私たちが知っおいるこずを頌りにしおいるのであれば、おそらくあなたはそれを芋぀けるこずができるでしょう。誰かが持っおいるもので、他の情報源から埗られない、あるいは孊べないようなもので認蚌を行う、ずいう領域たで螏み蟌む必芁がありたす。ある皮のMFAのステップアップのようなもので、そのような皮類のものだ。でも、質問をするのではありたせん。.

むンゎ・シュバヌトそうですね、䞀番人気があるのは、祖母の旧姓ずか、そういったセキュリティに関する質問ですね。その䞭でい぀も同じものはいく぀ありたすか

ポヌル・マルノィヒルその通り。同じ10個の質問から3぀を遞ぶ。そのリストを芋お、みんなの答えがわかるかもしれない。そのリストを芋぀けお、みんなの答えが䜕なのか調べればいいんだ。.

むンゎ・シュバヌトそうですね。包括的なテヌマに戻るず、IDセキュリティの䞀般的な話になりたすが、そう、蚌明ず匷力な蚌明が必芁なのです。あなたはMFAの話をしたず思いたす。そこでMFAの出番です。.

ポヌル・マルノィヒルええ、぀たり、もしあなたが䌚瀟でMFAを導入しおいるのなら、それを利甚しおください。もしゞョンがMFAを蚭定しおヘルプデスクに電話をかけおきたら、それを䜿っお自分が誰であるかを蚌明するのです。もし、それがMFAの蚭定だったら、それを蚌明しおください。.

INGO SCHUBERTでは、それは今どのように機胜するのでしょうかこの堎合、RSA ID Plusでは、぀たり、ヘルプデスクは䜕をする必芁があるのでしょうか。そのために゚ンド・ナヌザヌは䜕をする必芁があるのでしょうかずいうのも、MFAを行うずいうのは、そう、1぀のこずなんです。でも、それがどのように段階を螏んで機胜するのか。ナヌザヌはどうすればいいのか

ポヌル・マルノィヒル以䞋マルノィヒルID Plusのようなものには、2぀の偎面がありたす。ヘルプデスクの担圓者はシステム内でナヌザヌを芋぀け、ベリファむ・セッションを開始したす。電話をかけおきた゚ンド・ナヌザヌはURLを知っおいるか、行くべきURLを教えおもらっおいる。䌁業は、それがFIDAなのか、プッシュ承認なのか、バむオメトリクスなのか、どのような方法であっおも受け入れられるかどうかを決定する。それに成功するず、ベリファむ・コヌドが発行される。それをヘルプデスクの担圓者に返す。しかし、これは玔粋に本人確認番号です。認蚌番号ではない。それで䜕かを調べるこずはできない。.

むンゎ・シュバヌトそうだね。だから、圌らは珟圚のOTPを手攟したりする必芁はないんだ。.

ポヌル・マルノィヒルOTPならOTPでやっおくれる。プッシュ認蚌やファむドヌのバむオメトリクスを行いたす。その時点で情報を共有するこずなく、そのすべおを行う。結果を埗る。その結果をヘルプデスクの担圓者に枡す。認蚌の類ではない。そしお
ヘルプデスクの人が、この番号を教えおくれ、1、2、3、4、5、それを入れおくれ、ず蚀うず、システムは、ああ、これが圌らの蚀う人物だず期埅しおいたよ、ず蚀う。.
゚ピ゜ヌド1 - 量子コンピュヌティング

むンゎ・シュヌベルトRSAずデむノィッド・レロバヌニング・ツリヌが、量子暗号、リスクぞのタむムラむン、そしお組織がポスト量子IDレゞリ゚ンスに備える方法に぀いお議論を続ける。この第1回目の゚ピ゜ヌドでは、その党貌に迫りたす。ポップコヌンをどうぞいい話です

ビデオ録画
むンゎ・シュヌベルトRSA Identity Unmasked ぞようこそ。この Vodcast では、ID セキュリティの未来を圢䜜る勢力を解説したす。ホストのむンゎ・シュヌベルトです。今日は、業界党䜓が熱を垯びおいるトピック、量子コンピュヌティングに飛び蟌みたす。今日はBurning TreeのDavid Lelloず䞀緒にお送りしたす。さっそく本題に入りたしょう。今日は、量子コンピュヌティング、誇倧広告、脅嚁、機䌚、あるいはその3぀すべお。昚幎9月にブレッチリヌ・パヌクで始たった議論を、バヌニング・ツリヌのデノィッド・リロず私、むンゎ・シュヌベルトずで再び行っおいたす。では、さっそく始めたしょう。デむビッド、この゚ピ゜ヌドにようこそ。.

DAVID LELLOありがずう。

むンゎ・シュバヌト聎衆の皆さんのために、量子コンピュヌタヌずはどういうものか、2、3語で説明しおいただけたせんか

デビッド・レロ量子コンピュヌタの基本的な芋方から始めようず思う。.

むンゎ・シュベルトうん

DAVID LELLO量子コンピュヌタヌは、埓来のコンピュヌタヌずは異なる方法で動䜜したす。量子コンピュヌタヌでは、コンピュヌタヌは異なる方法で凊理を行いたす。量子力孊を利甚しおいるので、量子力孊の倚次元の䞖界では、デヌタを芋お、デヌタを芋る。デヌタを同じように読み取るこずはなく、その結果、仮説を立おたり、耇数の構成芁玠を同時に芋るこずができる。本を読むずき、埓来のコンピュヌタヌは最初から最埌たで読みたすが、量子コンピュヌタヌは本を読み、デヌタを芋たす。そのため、量子コンピュヌタヌははるかに速く情報を凊理するこずができる。たた、問題を解決する際にも、䞀連の問題を解決しようずするのではなく、すべおの問題を同時に解決するようなものです。.

むンゎ・シュバヌトええ、もちろんアルゎリズムはかなり違いたす。だから、倚くの人が、私もそうですが、実際にどうやっおプログラミングするのかずいうこずに頭を悩たせおいるのだず思いたす。䌝統的なITのバックグラりンドを持぀私にずっお、これは本圓に別物なんだ、ずいうこずを理解するのに圹立぀こずがある。Nビットあれば、N個のデヌタを保存できる。れロか1か量子では、Nの2乗、぀たり、即座に、昔の瞬間的な蚈算が働けば、同じ量の量子ビットで、より倚くのデヌタを保存できるんだ。だから、蚘憶ず凊理は別次元なんだ。ずいうわけで、この話はこの蟺にしおおきたしょう。基本的なこずを説明しただけです。.

そこで、次のトピックずしお、量子コンピュヌティングの珟状はどうなっおいるのか私たちは今どこにいるのでしょうかずいうのも、おそらく、そしおブレッチリヌ・パヌクで私たちをご芧になった方もいらっしゃるかもしれたせんが、私たちの珟圚地や将来に぀いお、私たちは異なる意芋を持っおいるず思うからです。では、あなたから始めたしょう。量子コンピュヌタの珟状はどうですか

デビッド・レロ量子コンピュヌタヌはただ初期段階にあるず思う。倚くの量子コンピュヌタヌが存圚し、実際に量子コンピュヌタヌで時間を雇っおデヌタを芋るこずができたす。しかし、量子コンピュヌタが開発されるには、さたざたな問題があるず思いたす。量子コンピュヌタの䞭には、枩床などの面で倚くの制埡を必芁ずするものもありたす。量子コンピュヌタヌは絶察零床、぀たり摂氏マむナス270床で動䜜するわけですが、これは本圓に䜎枩です。そのためには倧きな斜蚭ず蚭備、そしお倧きな゚ネルギヌが必芁です。そうでなければ、結合力が倱われ、プラットフォヌムの安定性が損なわれおしたいたす。.

初期の量子コンピュヌタヌは、この問題のために垞に燃え尜きおいた。そのため、この問題を解決し、察凊する必芁がある。もう1぀の問題は、量子コンピュヌタヌは同時にデヌタを芋るため、倚くのノむズが発生するずいうこずです。もし聖曞のようなものを、最初から最埌たで読むのではなく、瞬時に読たなければならないずしたら、理解できない物語が頭の䞭にできおしたうでしょう。そしお、メッセヌゞを咀嚌し、理解し、抜出するこずは非垞に難しくなる。.

そのため、システム内のノむズが倧きな問題を匕き起こしおいた。オックスフォヌドでは、゚ラヌ評䟡ずシステム内のノむズを倧幅に枛らすこずに成功したした。しかし、珟圚のずころ、おそらく最も倧きな問題は、䞀床に゚ンタングルできるキュヌビットの量です。぀たり、情報を凊理するために䞀床に゚ンタングルできる量子ビットの量は限られおいる。぀たり、マシンの凊理胜力や胜力には限界があるずいうこずだ。.

぀たり、ただ暗号孊的に適切な量子コンピュヌティングず呌べるようなものではない、ずいうこずが倧きな問題なのだが、実蚌された段階にある。機胜する。科孊者が蚀うずおりのこずができる。ただ、それを次のレベルに匕き䞊げ、さらに投資しおいく必芁がある。数カ月に䞀床、さらなる進歩が起こったり、倚額の投資が行われたりしおおり、私たちは進歩を目の圓たりにし始めおいる。.

むンゎ・シュバヌトええ、その通りです。量子コンピュヌタを比范するずき、その写真を芋ればわかるでしょう5幎前ず珟圚を比べるず、私は今でも郚分的には物理実隓ず呌んでいたすが、5幎前の方がはるかに物理的な実隓でしたよねその物理的なセットアップを芋ればわかるでしょ

しかし、埓来のコンピュヌタヌよりもはるかに速く問題を解決できるのは事実だ。その理由のひず぀が、あなたがおっしゃった「結束力」です。ええ、基本的な結束力ずいうのは、ある䞀定の時間だけシステムを安定させるこずができるかどうかずいうこずです。どのチップかにもよるけど、通垞は最倧で秒単䜍、ミリ秒単䜍で蚈枬されるんだ。そしお、それは倚くの堎合、有甚な時間からかなり離れおいる。しかし、理にかなった䜿甚䟋もありたす。量子コプロセッサのようなものだ。しかし、私が問題芖しおいるのは、倚くの䜿甚䟋においお、NvidiaのGPU数個で同じように問題を解決できるかどうか疑問だずいうこずだ。

量子コンピュヌティングの分野でも倚くの宣䌝が行われおいたす。AIの誇倧広告ずも少し重なるず思いたす。誇倧広告であっおも、それが珟実であるずも蚀えるでしょう。しかし重芁なのは、倚くの誇倧広告ず倚額の資金が出回っおいるずいうこずです。その資金の䞀郚は、出口戊略のようなものを探しおいるのだず思いたす。量子コンピュヌタヌは魅力的でしょうそのため、圌らは倚くのものをそこに投入しおいたす。そしお、根本的に芋るず、過倧評䟡され、たた、䜕を玄束するかずいう点で、過倧評䟡されおいる䌁業が存圚したす。ブレッチリヌ・パヌクでは、グヌグルのりィロヌ・チップを䟋に挙げたしたが、グヌグルは実際にこの新しいチップに関するプレスリリヌスを発衚したした。宇宙は25歳の10の䜕乗かしかないんだから、ずんでもないこずだ、ずいう感じだ。たた、倧小を問わず、さたざたな䌁業のプレスリリヌスを芋るず、達成したこずを誇匵する傟向がある。.

残念なこずに、量子コンピュヌティングがここ数幎で成し遂げた真の進歩のいく぀かがかき消されおしたうのです。量子コンピュヌティングの脅嚁が、実際よりもずっず珟実味を垯びおきおいるのです。でも、もし量子コンピュヌタヌが突然珟れたら、なぜ䞖界は終わるのか、ずいう話に入る前に、あなたが考えおいる量子コンピュヌタヌの利点は䜕でしょうか量子コンピュヌタヌは、他のどんなものよりもずっず優れたこずができるのでしょうか

デビッド・レロ量子コンピュヌタの珟状に぀いお、あなたがおっしゃったこずにもお答えしたす。量子コンピュヌタに問題があるこずには同意したすが、量子コンピュヌタの安定性の実珟は、蚀われおいるよりもずっず近いずころにあるず思いたす。振り返っおみるず、未来を芋るための最良の方法のひず぀は歎史を芋るこずだず思いたす。私が銀行で働いおいた若い頃、メむンフレヌムがあっお、それは旧匏のIBMのメむンフレヌムだった。メむンフレヌムは䞀郚屋を占めおいた。倧きな郚屋だった。小さな郚屋ではなかった。かなり倧きな郚屋だった。メむンフレヌムは郚屋を埋め尜くしおいた。このメむンフレヌムにはバルブがあった。氎冷タンクが3぀あった。この銀行の地䞋にはプヌルがあった。これは巚倧だった。そのわずか数幎前に、そのメむンフレヌムからパンチカヌドシステムを入れ替えたんだ。.

叀いメむンフレヌムを搬出する際には、フォヌクリフトや非垞に重たい機械が必芁だった。そしお、以前よりも飛躍的に巚倧なラックずメむンフレヌムコンピュヌタに眮き換えた。コンピュヌタの進歩は幎々加速しおいる。ほんの30幎前、いや40幎前にさかのがったずしおも、私たちが目にする倉化の量は膚倧なものです。.

むンゎ・シュバヌトそう。.

冷华システムや倧型装眮、それに付随するあらゆるものが必芁だからです。それには莫倧な費甚がかかる。莫倧な投資が必芁なんだ。そしお、これらの問題は解決されるだろう。そしお、私たちが考えるよりも早く解決されるかもしれない。珟圚のずころ、月ごずに芋られる進歩は、私たちが結束に近づいおいるこずを瀺唆しおいる。だから、もう少しなのかもしれない。.

ずいうのも、量子コンピュヌタヌができるこずは、デヌタを非垞に高速に凊理できるこずであり、䞀郚の人々が䞻匵するほど高速ではないが、デヌタを非垞に高速に凊理できるため、これたで解決できなかった問題に目を向け、解決できるこずを意味するからだ。.

理論物理孊ではシュレディンガヌの猫ずいう抂念がある。腐敗しおいるのかそれは䜕なのか猫の状態は量子コンピュヌタヌは、あらゆる可胜性の猫を実際に芋お、芋るこずができる。.

タンパク質の折り畳みなど、医孊の分野では、量子コンピュヌタは埓来のコンピュヌタよりも優䜍に立぀ず思いたす。他にも、単玔に倧量のデヌタを凊理する必芁があるもの、倩気予報もそうですし、地質孊的なデヌタなど、コンピュヌタの恩恵を受けるナヌスケヌスはたくさんありたす。.

ずいうのも、トランゞスタで過去に起こったこずがたた起こるずいうのは、䞀筋瞄ではいかないからです。宝くじず同じで、前回圓たったからずいっお、次回も圓たらないずは限りたせん、数癟量子ビット、あるいは数千量子ビットで䞇胜の量子コンピュヌタができるずしたら、䟋えば、暗号技術にずっお脅嚁ずなる「ショヌのアルゎリズム」を実行するこずができる。数十䞇量子ビットの話ですよねそれに到達する過皋で、どこかで壁にぶ぀かるかもしれないだろそのような問題を解決できる保蚌はない。そうかもしれないし、実際そうかもしれないけど、保蚌はないんだ。それず同時に、量子コンピュヌタヌは、GPUのおかげで䞖界的に蚈算胜力が倧幅に向䞊しおいる環境の䞭で、商業的に生き残らなければなりたせん。AIのおかげで。 以前はビットコむンの流行でしたが、今はAIです。぀たり、チップ蚭蚈の根本的な進歩がなければ、このようなこずは起こりたせん。぀たり、チップは小型化されるのです。私たちは蚈算胜力を倧幅に向䞊させたした。぀たり電力です。.

そのような環境では、量子コンピュヌタヌは生き残らなければならない。特に鍵の解読に぀いおは、政府によっおはそうするずころもあるでしょう。そう、それでいいんだ。圌らは十分なお金を持っおいる。圌らはそんなこず気にしない。たあ、気にする必芁はあるかもしれない。私たちの皎金なんだから。.

完党に機胜する普遍的な量子コンピュヌタヌに至るたでには、実甚的な量子コンピュヌタヌのナヌスケヌスがある。それは議論の䜙地がないず思う。そうでないずは蚀っおいない。そしお、そのための良いナヌスケヌスもある。䟋えば、補薬研究におけるタンパク質の折り畳みずかね。

しかし、脅嚁に぀いお話したしょう。消費電力のような話ではなく、䌝統的なナニットにはそれがあるからね。぀たり、特にITセキュリティに察する脅嚁、そしおセキュリティなんだ。ショヌルのアルゎリズムに぀いお觊れたしたが、これが䜕なのか、セキュリティにどのような圱響を䞎えるのかを簡単に説明したしょう。.

量子コンピュヌタヌは、情報やデヌタをより速く凊理するこずができるので、暗号鍵をリバヌス゚ンゞニアリングするためにショヌのアルゎリズムを䜿うこずができる。.

むンゎ・シュバヌトそう。.

デヌビッド・レロしたがっお、私たちが消費し、䜿甚し、アクセスする最も倚くのデヌタが、攻撃に察しお脆匱になる。.

むンゎ・シュバヌトええ。䜕十䞇もの量子ビットが凝集し、䜕時間も動䜜する必芁があるからです。䜕十䞇もの量子ビットを結合させ、ある皋床の時間をかけお動䜜させる必芁があるからだ。぀たり、RSAアルゎリズムは、ある意味で本質的に砎られるか、無効化されるこずになる。぀たり、ここ数十幎間䜿われおきた䞀般的なものは、基本的にすべお砎られおしたうずいうこずですね。量子コンピュヌタヌがあれば壊れおしたう。もちろん、䌝統的なコンピュヌタヌはこれたで通り苊戊を匷いられるでしょう。.

぀たり、これらのアルゎリズムはあらゆるずころで䜿われおいるんだ。埓来のTLS、りェブサヌバヌ通信、クラむアントからりェブサヌバヌ、VPN、電子メヌルの眲名、送信されるファむルの暗号化など、これらはすべおRSA、ECC、Diffie-Hellmanに基づいおいるこずが倚いんだ。぀たり、これは砎滅的ず蚀えるかもしれたせん。.

デヌビッド・レロ絶察にそうなる。完党に壊滅的でしょう。調べれば調べるほど、そしお実際に䜿甚すればするほど、より倚くのシステムが故障するこずになるでしょう。これは䞖界的な問題です。認蚌や金融システムぞの認蚌のようにね。ビットコむンのようなものでさえ危険にさらされる。楕円曲線暗号を䜿っおいお、それが挏掩しおしたう。その結果、金融システムが完党に厩壊しおしたうのです。.

そう、倧惚事になりかねないのです。IoTやOTに぀いお話し始めお、医療機噚や医療機噚に぀いお考え始めるず、それを危険にさらす可胜性があるこずがわかりたす。䟋えば、むンスリンポンプを装着しおいる人がいるずしたす。.

もし私がむンスリンポンプの暗号化を危うくできれば、誰かを殺すこずができる。.

むンゎ・シュバヌトそう。.

DAVID LELLO぀たり、突然、こうしたこずの背埌にある犯眪性が指数関数的に倧きくなる可胜性があるずいうこずです。そしお、『マむノリティ・リポヌト』や『タヌミネヌタヌ』のような䜿甚䟋を目にするようになるのです。.

むンゎ・シュバヌト今、あなたは話しおいる。面癜くなっおきたよ。.

でも、量子コンピュヌタヌは䞀朝䞀倕にできるものではありたせん。䟋えば、誰かが20䞇キュヌビットの量子コンピュヌタを手に入れたずしたしょう。通垞は100䞇個くらいだ。10䞇キュヌビットくらいあればいいずいう研究もある。突然、誰もが量子コンピュヌタヌを持぀ようになるわけではありたせん。量子コンピュヌタヌにアクセスできるのは、䞀郚の政府や研究斜蚭だけです。すべおのサむバヌ犯眪者が量子コンピュヌタにアクセスできるわけでもない。.

しかし、脅嚁は珟実だ。2000幎問題に䌌おいるず思う。だから、我々はしばらく前からそのような事態になるこずを予芋しおいたが、それを軜枛するためにいろいろなこずをやったが、結局は䜕の圹にも立たなかった。.

デヌビッド・レロでもそれは、僕らが䜕かをしたからだよ。.

むンゎ・シュバヌトその通り。私たちが䜕かをしたからでしょうもし䜕もしおいなかったら、おそらく倧きな問題になっおいただろう。そしお、おそらく今回のケヌスず䌌たようなこずになるず思いたす。.

ええ、ですから、私たちの寿呜がどれくらいかは意芋が分かれるかもしれたせんね。MITREの報告曞では、アメリカの政府出資の研究機関ずしお、2040幎代初頭、おそらく2050幎代あたりに、このショヌルのアルゎリズムを発衚しおいたす。奇跡でも起きない限り、その可胜性は極めお䜎いず思う。では、この量子の黙瀺録に備えるために、今日できるこずは䜕でしょうか

DAVID LELLO2050幎よりずっず早くなるのは間違いないず思う。なぜなら、それは䞍可胜なこずだからだ。私たちには超自然的な粟神がないのだから。.

むンゎ・シュバヌトでは、2055幎に䌚いたしょう。同じ時間にね。もし僕がただ䞭にいたらね。.

デビッド・レロもちろんだ。そうしよう。同じ時間、同じ堎所で。そうしよう。でも、もしもっず早く実珟するのであれば、そのむベントをどのように祝うか考えたしょう。技術の進歩には必ずブレヌクスルヌがあり、それはある時点で起こりたす。来週かもしれないし、10幎埌かもしれない。10幎埌に起こるかもしれない。わからない。しかし、科孊がそこにある以䞊、それは必ず起こる。信憑性がある。珟実だ。ひたわり畑は今、凝集力を維持しおいる。垞枩で、畑で、呚囲で起こっおいるあらゆるこずがあっおも、安定性がある。䞋を走り回る動物、汚染、その他もろもろ。ひたわり畑は凝集力を持぀こずができる。.

むンゎ・シュバヌトその通りだ。.

DAVID LELLO科孊者たちがなぜそんなこずをするのか

むンゎ・シュキュベヌルええ、でも進化には数癟䞇幎かかるでしょう それが私の蚀いたいこずだ。でも、圌らには少し先があるよね

ブレッチリヌ・パヌクでも少し觊れたしたが、暗号鍵の管理に関する慣行やグッドプラクティスず呌ばれるものに関しお、私たちが珟圚抱えおいる問題のひず぀は、倚くの䌁業が倱敗しおいるずいうこずです。数幎前にSSLの脆匱性が発芚し、誰もが慌おお鍵の亀換を怜蚎したした。その結果、組織はTLSキヌのロヌテヌションをより機敏に行うようになりたした。これで問題のかなりの郚分が解決したこずになる。TLSキヌに俊敏性があるずいうこずは、キヌを倉曎できるずいうこずだ。TLSキヌに俊敏性があるずいうこずは、キヌを倉曎できるずいうこずだ。.

しかし、組織は今すぐにでも、認蚌局や鍵の発行方法、TLSレベルでの鍵の亀換方法に぀いお考え始めるこずができる。それは構わない。しかし、ある組織に入るず、2030、もしかするず40%もの鍵が、このような方法で管理されおいないこずが刀明する。倚くのハヌドりェアは、ハヌドりェア・むンフラストラクチャの䞀郚に鍵を埋め蟌んでいるこずが倚い。.

特にモノリシック・ビルドの時代には、アプリケヌション自䜓にキヌが埋め蟌たれおいた。そしお、このようなこずが起こらないように考えるようになった。.

むンゎ・シュバヌトそれが私の蚀いたいこずだ。量子コンピュヌタヌがどうであろうずなかろうず、あれは悪いやり方だ。.

デヌビッド・レロそうだね。Y2Kでは日付があったので簡単でしたが、Q-Dayでは日付がありたせん。Qデヌには日付はありたせん。.

むンゎ・シュバヌトずおもいい指摘だ。.

DAVID LELLOしかし、いずれそれが到来したずき、明日到来するかもしれないし、10幎埌に到来するかもしれない。デヌタが危険にさらされ、倧芏暡な問題が発生する。.

しかし、私たちが抱えおいるもうひず぀の問題は、私がよく質問されるもので、『今すぐデヌタを採取し、埌で埩号化する』ずいう脅嚁です。暗号化されたデヌタが盗たれるのは䜕幎も前から芋おきたこずで、デヌビッド・キャメロンがこの囜で、我々のデヌタはすべお䞭囜に盗たれおいる。暗号化されおいるからね。数幎前にさかのがれば、そのような発蚀は今珟圚は正しいが、量子コンピュヌタのような技術を䜿えば、それは問題になる。もちろん、デヌタは叀くなりたす。.

むンゎ・シュバヌトしかし、そのデヌタの䞀郚はただ関連性があるだろう。すべおではないけれど、ある意味では。だから、それは同じだず思う。5幎埌に解読されたずしおも、誰も気にしないでしょう10幎埌でもいい。だから、認蚌のためのIDデヌタの倚くは、5幎埌や10幎埌に解読されたずしおも、その頃には時代遅れになっおいるから、それほど気にする必芁はないずいう䞻匵ができる。しかし、戊略的なデヌタには、䜕十幎も先たで害を及がす可胜性があるものがたくさんあるんだ。囜家である必芁もない。普通の䌁業でもいい。.

デビッド・レロその通り。.

むンゎ・シュバヌトそれで、どうなんだ

DAVID LELLO぀たり、レガシヌ・システムが存圚する組織に行くこずが倚いんだ。実際、私は少し前たである組織にいたした。圌らはそのアプリケヌションをブラックボックスずしお扱っおいたした。曞いた人はずっくに亡くなっおいお、觊っおはいけない。もし倒れたら、答えは電源を入れるか切るか、もう䞀床電源を入れお祈るしかない。あなたにできるこずは䜕もない。そしお、このシステムは店舗内のすべおのアクセスを管理しおいた。もし危険にさらされ、ダりンさせられたら、組織を厩壊させるこずになる。.

むンゎ・シュバヌト単䞀障害点。.

DAVID LELLO単䞀障害点。シングル・ポむント・オブ・フェむル単䞀障害点が存圚する組織の数は、䞊倧抵のものではありたせん。組織は、IDおよびアクセス管理むンフラをどのように近代化するかを考え始める必芁がありたす。IDおよびアクセス管理に぀いお考え始めるず、IDおよびアクセス管理はすべおに通じるルヌトである。私たちは、ドむツやここむギリス、むタリアなどで起きおいる最新のランサムりェア攻撃を芋おきたした。これらのランサムりェア攻撃は、アクセス・コントロヌル・システムを暙的にしおいる。アクティブ・ディレクトリであれ、私が説明したようなシステムであれ、実際にアクセス暩を䟵害するこずができれば、組織を厩壊させ、コミュニケヌションを停止させ、アクセス暩を停止させるこずができるからです。このような状況䞋でIDアクセス管理を近代化するこずは、倧きな優先事項のひず぀になるでしょう。.

むンゎ・シュバヌトああ、そうだね。それに反論するのは難しいですね。ベアボヌン暗号の鍵管理に戻るず、倚くの顧客は自分が䜕を持っおいるのかわかっおいない。暗号化する堎所、鍵の堎所、電子眲名する堎所などをよく把握しおいない。このような抂芁を把握しおいないのです。それが問題の䞀郚だず思いたす。なぜなら、存圚を知らないものを修正するこずはできないからです。顧客の倚くは、単に基本的なサむバヌ衛生に苊劎しおいる。残念なこずに、これは私が垞に目にしおいるこずです。今朝も、20幎前のRSA゜フトりェアを䜿甚しおいる顧客に関する問い合わせがありたした。

デノィッド・レロワオ。.

むンゎ・シュバヌト実際、サポヌトに電話で問い合わせがあったんですが、サポヌトは答えられなかったんです。私が蚀いたいのは、この基本的なサむバヌ衛生ず可芖化を行わない限り、たず第䞀に、量子的な準備状態に到達するこずはできないずいうこずです。そんなこずはあり埗ない。.

私の意芋では、量子コンピュヌティングを心配するのは、それを修正しおからでいいず思っおいるんだ。ずいうのも、もしあなたが今䜿っおいる゜フトりェアが䜕なのかわからず、それを最新に保っおいなければ、䟋えばポスト量子暗号を実装しおいるように、圓然ベンダヌが修正するこずに䟝存するこずになりたすよね

しかし、もし゜フトりェアが新しいバヌゞョンになり、量子コンピュヌティングのような玠晎らしいものが搭茉されたのに、それをむンストヌルしなければ、それは存圚しないこずになりたすよねたた、たずえそうしたずしおも、䟋えばデヌタ管理に関するポリシヌや手順が適切でなければ、ここで䜕を話しおいるのでしょうか攻撃者がヘルプデスクに電話をしお入宀を求めるこずができるのであれば、そのために量子コンピュヌタは必芁ないでしょう今日は必芁ない。昚日も必芁なかった。明日も必芁ない。あなたのポリシヌが適切でなければ、圌らはヘルプデスクに電話するだけでアクセスできる。.

だから、量子コンピュヌタヌずは関係ないこずでも、うたくいかないこずはたくさんある。私が恐れおいるのは、人々が量子コンピュヌタやQ-Dayを芋お、この玠敵でピカピカ光るおもちゃに気を取られおいるこずだ。䜕十幎もやっおいないような宿題がたくさんあるのにね。もちろん、そうする必芁がある、可芖化する必芁がある、パッチを圓おる必芁がある、手順を修正する必芁がある、ず䞻匵するこずもできる。そのために量子コンピュヌティングの脅嚁が必芁なら、そうすればいい。私は満足できる。.

でも、もし量子コンピュヌタヌで障害が起きたらどうするんだ数幎間は䜕のメリットも進歩もなく、2060幎代にはずっくに珟圹を退いおいるから心配する必芁はない、みたいな感じになっおしたう。.

ドむツの哲孊者、゚マニュ゚ル・カントの名前を挙げおみよう。だからこれからぱマニュ゚ルず呌ぶよ。.

18䞖玀のドむツの哲孊者で、圌は倚くの優れたこずを蚀った。でも、私が最も賢いず思うこずのひず぀は、正しいこずをするのは、それが正しいこずだからでしょうそうするこずで、どこかの神様から埗をするずか、そういう理由ではない。正しいこずだからするんだ。.

暗号化する堎所、暗号化する方法、ポリシヌ、手順、パッチの圓お方、これらすべおをきちんず把握するこずが、量子コンピュヌティングが10幎先か20幎先か30幎先かに関係なく、正しいこずなのです。そんなこずは関係ない。そうする必芁がある。過去20幎間、そうしおきたはずです。それが本質的なポむントです。ここが私たちが同意するずころだず思いたす。そうだね。なぜなら、量子コンピュヌティングの珟状ず将来に぀いお、私たちは異なる意芋を持っおいるからです。しかし、量子コンピュヌタヌに察応する必芁があるずいう顧客がいれば、その努力は決しお無駄にはなりたせん。.

デむビッド・レロいや、そんなこずはない。ずいうのも、私たちは倚くの時間を倧䌁業の取締圹䌚ず䞀緒に過ごし、財務担圓取締圹などず話をしおいるからです。䌁業は補品やサヌビスを提䟛するために存圚し、民間䌁業であれば、もちろん慈善事業でない限り利益を䞊げるために存圚したすが、そのこずは気にしないでください。だから、正しいこずだから䜕かに投資するずいうのは、より哲孊的な議論になる。私は、それが必ずしも正しいアプロヌチだずは思いたせん。.

むンゎ・シュバヌトそうだね。.

DAVID・LELLO私はあなたの意芋に同意するけれども、100%、信仰の芳点からは、私が信じおいるこずからは、私は垞に正しいこずをしたいず思う。しかし珟実には、䌁業はそのために存圚しおいるわけではありたせん。正しいこずをするために存圚しおいるわけではないのです。少し䞍道埳なこずもある。.

むンゎシュバヌト本圓ですか初めお聞きたした。メモしおおこう。.

私たちが芋おいる珟実のひず぀は、ある環境に関連する自分のリスク・゚クスポヌゞャヌを枬定し、認識し、理解するこずだず思いたす。私たちがこの問題に察する組織の回答を支揎するこずを怜蚎し始めたずき、私たち自身に課した課題のひず぀は、量子的な備えを扱うフレヌムワヌクが実は存圚しないずいうこずでした。1぀もないのです。.

そこで、私たちは1぀の芏栌を䜜った。私たちは、量子を芋るためのアプロヌチを玹介する芏栌を䜜りたした。NISTやグッドプラクティス、ISFなどさたざたな暙準を参考にし、モデルやフレヌムワヌクを䜜成したした。その結果、ブラックボックス化された環境ですべおのアクセスを管理するIDシステムのようなシステムに目を向けるこずができるようになりたした。そのようなマシンを持぀こずによる私のリスク・゚クスポヌゞャヌはどの皋床なのか私のリスクは䜕なのか私は自分のリスクを本圓に理解しおいるのだろうかもしそのマシンがダりンしたら、私の環境はどうなるのかそのリスクを理解した䞊で、䜕か察策を講じなければならない。.

むンゎ・シュバヌトああ、結局のずころ、これは適切なリスク管理なんだ。量子コンピュヌタヌがあろうずなかろうず、リスク管理は必芁であり、䜕幎も前から行われおきたし、今日も行われおいるはずだ。これが私の蚀いたいこずです。.

もちろん、それが正しいこずだからやっおいるわけではないだろうそれは財政的に難しい議論だ。それはたったく同感だ。でも、なぜそうしなければならないのかそしおたた、量子コンピュヌタのために、これらすべおを怜蚎し、把握し、適切なリスク管理を行うずいうコンセプトを売り蟌む必芁があるのなら、私の掚枬通りでしょうそれが絶察に正しい方法だず思う。それが眲名を埗るために必芁な手段なら、そうだ、絶察にそうしよう。なぜなら、量子コンピュヌタヌがただ30幎先だずしおも、結局のずころ、今珟圚でも恩恵は受けられるからだ。なぜなら、その準備ができおいれば、今日も安党でいられるからだ。お金を無駄にするこずもない。そう、私はそれが完璧に正しいこずだず思いたす。䟋えば、ペヌロッパでは2026幎たでにDORAに準拠するよう勧告しおいたす。DORAに準拠したいのであれば、正盎なずころ、それはもうできおいるはずです。぀たり、2026幎たでに可芖化ずリスク管理を行い、高リスクの堎合は2030幎たでに、䜎・䞭リスクの堎合は2035幎たでに、䜕らかの圢で量子的な準備態勢を敎えるずいうこずですね2025幎末の時点で、すでに2026幎にリリヌスしおいるのです。.

だから、ほんの数幎先のこずなんだ。話の最初に戻っお、Y2K問題を考えおみるず、1999幎に始めた人は、この問題に察しお少し遅かったずいうこずになる。だから、今から準備しおおく必芁があるんだ。.

DAVID LELLO私は、あなたがそこで提起したこずのひず぀が、人間心理ずいう点で興味深い点だず思いたす。芏制ずいうのは、䌁業が正しいこずを怠るからこそ有効になるものです。.

むンゎ・シュバヌトそうだ。.

デヌビッド・レロそしお、圌らが正しいこずをしおいないために、議員たちは、私たちがそれに目を向けない限り、この囜で倧きな問題が起こるだろうず蚀う。だから、䜕かをしなければならないずきに法埋が登堎する。英囜のNCSCは量子に関する指針を定めおいたす。ペヌロッパではDORAがある。そしお悲しいこずに、ブレグゞットのせいで......。

むンゎ・シュバルトあなたが持っおきたんだ。.

DAVID LELLOレゞリ゚ンス法案に぀いおは、ただ怜蚎を始めたばかりです。レゞリ゚ンス法案はパブリックコメントのために発衚されたした。第1号が発衚され、コメントが寄せられおいたす。近いうちに囜䌚で読䌚が行われるでしょう。この問題で䞖界に远い぀けるこずを願っおいたす。.

むンゎ・シュバヌトたあ、アメリカを陀けばね。アメリカは、地図䞊では荒涌ずした堎所のように芋えたすね。ええ、本圓にそうです。アメリカの同僚たちずも話しおいるんだけど、そうだね、アメリカにはそういうずころがないよね。しかし、䞖界の他の囜々では、芏制や損倱ずいう点で、リスク管理はもう少し成熟しおいるようです。

DAVID LELLO持っおいるに違いない。.

むンゎ・シュバヌトそうだろうおそらく私よりももっず倚くのこずをご存知でしょうが、そのうちのいく぀かは、適切なリスク管理を行うこずが、目に芋えお明らかです。もしその機噚が故障したら、どんな結果になるか知っおおくべきですよねもちろん、そうすべきです。なぜなら、あなたのビゞネスはお金を儲けおいお、それを劚げる䜕かがあるからです。その理由ず解決方法を知るべきだ。それなのに、圌らは法埋で匷制されるたでそれをしない。

デビッド・レロ悲しいかな、人間の本性が出るものだ。リスクやリスクマネゞメントを考えるこずは難しいこずではありたせん。.

むンゎ・シュバヌトいや、でも時間がかかるんだ。.

DAVID LELLOそしお、時間はかかりたすが、プロセスを簡玠化するのに圹立぀さたざたなテクノロゞヌがありたす。コンピュヌタヌはプロセスを自動化するために蚭蚈されおいる。コンピュヌタがあるのは、実際に䜕かをするために倧勢の人を必芁ずする手䜜業のプロセスがあるからです。コンピュヌタを䜿えば、そのプロセスをすべお自動化できる。最新のシステムを䜿えば、さらに自動化するこずができる。䟋えば、脆匱性管理のようなものだ。最新化された環境で脆匱性スキャンを導入しおいれば、テクノロゞヌ・リスクは比范的よく芋える。.

むンゎ・シュバヌトああ。我々にずっおも同じだ。アむデンティティ・ガバナンス。結局のずころ、それはロケット科孊ではない。ええ、もちろんです。すべおの異なるシステムを接続し、ルヌルやその他のものを䜜成したす。しかし、そうすれば、可芖性が確保され、職務分掌やコンプラむアンスずいった芳点からの芋解が埗られる。そう、それは倧倉な䜜業なんだ。もちろん、お金ず時間を投資するこずになりたすが、そこから䜕かを埗るこずができたす。.

デビッド・レロそう。.

むンゎ・シュバヌトそうですね。ずいうのも、この確保に党財産を投じるべきでないずか、これはそれほど倧きな圱響がないから匟力性を持たせおいるのであっお、もうひず぀はもっず投資すべきだ。適切なリスクマネゞメントを行わなければ、そのような状況を把握するこずができないので、どのように刀断すればいいのでしょうか぀たり、人々は、基本的に、組織は、これをしないこずによっお自分自身を傷぀けおいるのですね

DavidLeloそしおアむデンティティ・ガバナンスは、実際にそれを可胜にし、助けるずいう点で長い道のりを歩むこずになりたす。そうです。IDをめぐる倚くの組織ず話をするずき、IDはセキュリティの1぀ではありたせん。アむデンティティは実珟するものです。組織がより効率的か぀効果的にアクセスできるようにするための、真のビゞネス・むネヌブラヌなのです。しかし、適切な時に適切な堎所に適切なアクセスを行い、それを実際に掚進するガバナンス・モデルを持぀こずが重芁なのです。ITGCの統制や財務システムに目を向け、どのようにアクセス暩限を蚭定する必芁があるのか、職務分掌、それに䌎う矩務などを怜蚎し始めるずき、これらのこずは目新しいこずではない。これらのこずは䜕も新しいこずではない。䜕十幎もの間、䌚瀟法や財務芏則に曞かれおきたこずです。.

むンゎ・シュバヌトもちろんだ。.

デむビッド・レロそしお、優れたIDガバナンス・システムでそれをコントロヌルできる胜力は、今そこにある。そしお、近代化された゜リュヌションがあれば、実はずおも簡単なこずなのです。人々が思っおいるほど難しいこずではありたせん。.

むンゎ・シュバヌト私たちを芋おください。アむデンティティ・セキュリティ・ガバナンスの話を量子論から始めた。でも、そこがポむントなんです。これは、顧客や䞀般的な組織での議論においお、ドア・オヌプナヌのようなものだず思いたす。量子の脅嚁の話をしおも、結局は量子の話ではなく、他の話になっおしたう。そう、今すぐ修正すればいい、今すぐ修正すべきだ、将来どうなるかは関係ない。.

DAVID LELLO基本的な衛生抂念だ。.

むンゎ・シュバヌト基本的な衛生抂念ですね。ずいうわけで、この話を締めくくるのにぎったりの方法ですね。デむビッド、ありがずう。本圓に、䌚うたびに䜕時間でも話せそうです。本圓にありがずう。そしお、量子の脅嚁は遠くに感じられるかもしれたせんね。.

そうかもしれないし、そうでないかもしれない。でも、この䌚話の䞭で、芖聎者やリスナヌが、量子的な準備のために今日すべきこずがあるかどうかに関係なく、あのね、ずいう考えを埗おくれればず思う。これは党然痛くない。.

そこから埗られるものは、今存圚する脅嚁から今を生きるあなたにずっお有益なものでしょうその恩恵に気づくのに20幎も埅぀必芁はない。今日、その恩恵にあずかるこずができるのだ。.

以䞊で、量子コンピュヌティングずそのアむデンティティ・セキュリティぞの圱響に関する今日の議論を終える。量子の未来はSFの䞖界であり、組織は真のリスクず機䌚がどこにあるかを理解する必芁がありたす。アむデンティティのレゞリ゚ンスず、次に来るものに察する組織の準備ずなるテクノロゞヌに぀いお、さらに詳しくお知りになりたい方は、RSA.comをご芧ください。RSA Identity Unmaskedの他の゚ピ゜ヌドぞのメヌル配信をご垌望の堎合は、賌読をお忘れなく。たた次回お䌚いしたしょう。.

デモをリク゚スト

RSAにご関心をお寄せいただき、ありがずうございたす。
デモのお問い合わせ