サイバーセキュリティのリーダーと実務者のためのアイデンティティ・セキュリティVodcast
アイデンティティは今やサイバーセキュリティの最前線であり、企業は脅威、コンプライアンスの圧力、認証の課題を先取りする必要があります。RSA Identity Unmaskedは、RSAのエキスパートと業界リーダーがホストを務める月1回のVodcastで、今日のアイデンティティ セキュリティを形成する真の問題を取り上げます。.
今すぐ“今すぐ申し込む”「新しいエピソードが配信された際にお知らせし、以下のようなトピックに関する実用的な洞察を得ることができます。 モダン認証, アイデンティティガバナンス, ゼロ・トラスト, リスクベース・アクセス, ヘルプデスク検証, 業界課題, 技術動向, 分野別ホットトピック, などなど。
エピソード4:パスワードレス・スタンダード-アイデンティティ・セキュリティの水準を高める
RSA Identity Unmaskedの今回のエピソードでは、RSAのエキスパートであるIngo Schubert、Paul Mulvihill、Rob Hughesが、Swiss BitのAlex Summererとともに、パスワードレス認証へのシフトを検証し、パスキーやフィッシング耐性認証などのテクノロジが組織の信頼確立方法をどのように再定義しているかを探ります。.
ビデオ録画
インゴ・シュベルト
RSA Identity Unmaskedへようこそ。パスワードは何十年もの間、セキュリティの最も脆弱なリンクとされてきました。しかし、組織がユーザーを認証し、システムを保護し、信頼を確立するための基盤として、パスワードが使われ続けています。このモデルはもはや持続可能ではありません。攻撃者は侵入する必要はなく、ログインするのです。.
また、フィッシングやクレデンシャル盗難、AIによる攻撃が進化するにつれ、パスワードベースのセキュリティの限界は無視できなくなっている。パスワードレス認証への移行は、ユーザーエクスペリエンスの向上だけではない。.
これは、組織が信頼を確立し、それを実施する方法の根本的な変化である。このエピソードでは、パスワードレスの本当の意味、パスキーやフィッシング耐性認証のような技術がどのように標準を引き上げているのか、そして移行を成功させるために組織は何をすべきなのかを探ります。.
インゴ・シューベルトです。本日は、スタジオにRSAのエンジニアリング・チームのポール・マルヴィヒル(Paul Mulvihill)、そしてリモートからRSAの最高情報セキュリティ責任者のロブ・ヒュー(Rob Hugh)、Swissbitの認証責任者のアレックス・スメラー(Alex Sumerer)をお招きしています。.
ポール、ロブ、アレックス、参加してくれてありがとう。.
何十年もの間、パスワードはセキュリティの最も脆弱なリンクであった。私たちはついに、組織がパスワードを超えることができる地点に到達したのでしょうか?ポール.
ポール・マルヴィヒル
正しい方向に向かっていると思う。必ずしも必要でない技術も増えてきているが、レガシーであるがゆえにまだ必要なシステムもたくさんある。.
インゴ・シュベルト
ロブ、君はどう思う?
ロブ・ヒューズ
完全にパスワードレスにし、パスキーを使っている人もいれば、どうしていいかよくわからないという人もいる。最近、大きなID事故が起きておらず、プログラムが非常に反応的であるため、どうすればいいのかわからないのだろう。彼らにとっては、少々気の遠くなるようなことかもしれない。.
インゴ・シュベルト
アレックス、あなたの経験もそうですか?
アレックス・サマー
インシデントの件数を見ると、かなり増えており、企業は懸念している。パスワードレス方式の最初の導入はかなり成功している。しかし、それを統合し、複雑さとレガシーに対処することが重要なのです。しかし、さまざまな組織でパスワードレス・ソリューションの合理化に向けて大きく前進している。.
インゴ・シュベルト
パスワードは何十年も前から存在している。少なくとも10年か15年前から、パスワードは良くないものだとわかっていた。それは明らかであり、最初から明らかだった。しかし、そのような明らかな欠点があるにもかかわらず、なぜパスワードがこれほど長く続いてきたのでしょうか?私はおそらく、パスワードが共通の要素だからだと思う。誰もが何かを覚えることができる。それは必ずしも最善の方法ではないが、パスワードは非常に長い間存在しており、ほぼすべてのシステムがユーザー名とパスワードをサポートしている。だから、ある程度の基本的なセキュリティレベルを求めるのであれば、それは存在する。しかし、今では誰かを認証する、より優れた、より強力な方法がたくさんある。多くのシステムが急速に変化しているにもかかわらず、パスワードが共通の要素であり続けている。.
インゴ・シュベルト
アレックス、どう思う?
アレックス・サマー
パスワードはもちろん、組織にとっては使いやすく、導入しやすい。エンドユーザーにとっても、パスワードはごく一般的なものだ。パスワードさえ覚えていれば、ログインに困ることはない。しかし、問題はセキュリティにある。フィッシングに耐性がないことは、特にあらゆる攻撃が起こっている現在、大きな懸念事項である。パスワードベースのスキームを維持する方法はない。とはいえ、パスワードが広く導入されているのは、導入が簡単でユーザーが使いやすいからだ。.
インゴ・シュベルト
アレックス、あなたはフィッシングがもちろんパスワードの脅威であると言いました。パスワードを使い続けることで、今日でも生じるリスクは他にありますか?ロブ たぶん。.
ロブ・ヒューズ
はい、多くのリスクがあると思います。ほんの2、3年前、スノーフレイクがアカウントにMFAを要求せず、人々がオプションとして扱っていたとき、多くの人がストレージを保護するためにユーザー名とパスワードだけを使っていた。その結果、アカウントの乗っ取りが多発した。これは、ユーザー名とパスワードさえあれば、いかに簡単に誰かが侵入し、データを奪うことができるかを示している。パスワードを使い、MFAをオンにしなければ、本質的にアカウント乗っ取りの準備をしていることになる。一般的にパスワードは再利用されるからだ。パスワードのもう一つの問題点は、誰かが50種類のパスワードを覚えておくことは不可能であるため、ほとんどの人が同じものをいろいろなことに使っていることだ。MFAを導入するか、パスワードレスにしない限り、そのうちの1つが漏洩すると、他のあらゆるものが漏洩する可能性がある。そうすればその心配はない。セキュリティの専門家であっても、少なくとも私の経験では、セキュリティは難しい。私は、若干のバリエーションはあるものの、いくつかのパスワードを再利用している。もちろん、機密性の高いものではありませんが、確かにそれは問題です。.
インゴ・シュベルト
では、アレックス、人々がパスワードレスについて語るとき、彼らはどのような技術を指しているのだろうか?
アレックス・サマー
様々な方式があり、業界で広く使われている。まず、ワンタイムパスワード(OTP)から始めよう。これは何十年も前から存在している。ウェブサイトにログインするたびに異なるパスワードが設定され、それを生成するジェネレーターが用意されています。OTP方式には利点があります。セットアップを定義する必要がありますが、基本的には簡単にログインできます。というのも、OTPは依然として傍受される可能性があり、攻撃者は中間者攻撃を行うことができるからである。PKIベースの方式もある。PKIとは公開鍵暗号方式を意味する。PKIとは公開鍵暗号方式を意味し、認証システムに秘密鍵を持たせ、サービス・システムにログインする。公開鍵暗号は安全性が高く、フィッシングに強く、プロセスの背後に強力な暗号署名があるため、大きなメリットがある。デメリットは、PKI環境で維持する必要がある証明書の取り扱いが複雑なことである。第3の方式は非常に新しいが、ますます進化している。これは、FIDO アライアンスによって定義され、FIDO 認証として知られている。FIDO は、Fast Identity Online を意味する。これは現在、さまざまなプラットフォームで実装されている標準である。公開鍵暗号をベースにしており、非常に強力でフィッシングに強く、メンテナンスが簡単なのが魅力です。PKIベースのスキームのように証明書を管理する必要がない。多かれ少なかれ、これらはパスワードレス認証に使用される業界標準である。.
インゴ・シュベルト
ありがとう。 すみません、ロブ、どうぞ。.
ロブ・ヒューズ
アレックスが指摘したFIDOのパスキーについては、確かにパスワードレスについて考えるとき、私たちの頭の中にはそれが一番にある。しかし、私たちにはQRコードのような仕組みもあり、携帯電話のような持っているものと、携帯電話が提供する生体認証のような自分自身であるものを使うことができる。このような技術がすぐに利用でき、誰もが手にすることができるようになったことで、パスワードレスの進展がより容易になりました。パスワードについて語るとき、私たちはあなたが知っている何かについて話している。その要素の力を弱めるために、代わりに暗証番号を使うかもしれませんが、暗証番号でも同じような問題にぶつかることがあります。より安全な仕組みの多くは、バイオメトリクスを組み込んだ「あなたが持っているもの」と「あなたがいるもの」を中心に構築されている。.
インゴ・シュベルト
携帯電話であれ、USBメモリなどの物理的なデバイスであれ、認証にはデバイスが必要なのですね?
ロブ・ヒューズ
そう、iShieldの鍵やRSAトークンのような、'持っているもの 'になりうるものだ。冗長性や柔軟性を持たせるために、それらを組み合わせることもできる。誰かが携帯電話を紛失したらどうするか?iShieldトークンが手元にあれば、それを使って新しい電話をより早くオンラインにすることができる。そのため、これらのデバイスを使用する際には、オンボーディングとオフボーディングについて考慮する必要があります。.
インゴ・シュベルト
フィッシングに強い認証:セキュリティ・モデルはどう変わるのか?ポール?
ポール・マルヴィヒル
フィッシングに強いものを導入すれば、誰かがあなたからデータを入手することは難しくなる。リンクをクリックさせたり、強引に情報を聞き出したりすることはできない。パスキーやQRコードパスワードレス方式では、それはあなたが持っているものであり、誰かに渡すことはできない。パスワードやワンタイムパスワードの場合は、それを誰かに読み上げることができます。しかし、パスキーの場合、他人に渡すことができないため、セキュリティ・レベルが格段に上がります。物理的なものがあなたの手元にないのだから、私に電話して、あなたのマシンを通して私のパスキーでログインさせることはできない。意図的であろうとなかろうと、誰かが認証プロセスの一部を共有できるという要素が取り除かれる。技術者として、絶対に不可能なことを言うことはないが、私が故意であろうとなかろうと、あなたをログインさせたり、他の誰かをログインさせたりすることはできないので、セキュリティレベルは上がる。.
インゴ・シュベルト
アレックス、ロブ、何か付け加えることは?
ロブ・ヒューズ
もしパスキーが必要なら、強化されたセキュリティーを使わなければならない。しかし、攻撃者は予備経路を探すかもしれません。パスキーが機能しない場合はどうなるのでしょうか?パスキーが機能しなかった場合はどうなるのか?私は、パスワードレスのメカニズムがどのようなものであれ、パスワードよりは優れていると思います。私は、パスキーはその上の強化だと考えています。場合によってはパスキーを強制することができれば、プロセスの背後にある暗号化数学の利点を享受できる。それは簡単に共有できるものではない。しかし、パスキーが機能しない場合のフォールバック・メカニズムに戻ります。それは良い点だ。フィッシングに強い方法は1つではないということを理解することが重要です。パスキーは、元々登録したドメインにバインドされることもあり、確かにトップに近い。しかし、単純にフィッシングして後で再利用することができないという意味では、他の方法も強力です。ユースケースによっては、パスキーが有効な場合もあれば、別の方法の方が良い場合もあります。選択肢を持つことは間違いなく重要です。.
インゴ・シュベルト
さて、純粋に技術的なものから範囲を広げてみると、多くの組織がパスワードレス認証を望んでいますよね。
だから正直なところ、そんなことは望んでいない、という人とは話したことがないんだ。間違いなくニーズはあるし、意欲もある。しかし、導入には時間がかかる。.
最大の障壁とは?ロブかな。.
ロブ・ヒューズ
しばらく話していなかったセキュリティー担当者と話して、『パスワードレスはまだですか?と尋ねると、何人かはノーと答えた。その理由を尋ねると、FUD(恐怖、不確実性、疑念)に行き着くところもあるようだ。どうやって始めればいいのかよくわからないし、ツールがあるのかどうかもわからない。現実には、ほとんどの場所でMFAを導入している場合、認証の仕組みを変更するだけで済むことが多い。すべての機能を備えているかどうかによります。すでに強力な認証機能とMFAがあれば、それを少しずつ調整すればいい。しかし、人々は何から始めればいいのか困ってしまう。緊急事態でない限り、組織全体が乗っ取られない限り、あちこちでアカウントの乗っ取りに対処するだろう。それが彼らの知っていることであり、彼らの文化に根付いているからだ。パスワードレス化を阻むものは何か?多くの場合、人々はすべての構成要素を持っている。しかし、どこから始めればいいのかわからないのだ。.
インゴ・シュベルト
誰か?アレックス?
アレックス・サマー
私が懸念しているのは、バックエンドシステムの複雑さです。特に大規模な組織では、考慮すべきさまざまなシステム、さまざまなアプリケーションがある。それらはさまざまな種類のバックエンド・システム上で稼働しており、企業やエンタープライズ内のさまざまな部分すべてにわたってアイデンティティとアクセス管理を合理化することは難しい課題です。単純に『FIDOベースのスキームに切り替えてください』とは言えません。移行経路が必要です。私が観察しているところでは、移行は進んでいますが、時間がかかります。マイグレーション・パスの間に、フィッシングに強いスキームへと部分的に切り替えていくのです。私たちは多くの動きを見ており、これを非常にポジティブな意味で捉えています。セキュリティ・インシデントが起きており、セキュリティ・インシデントのために企業が活動できなくなるリスクは大きな懸念事項であるため、変化を起こさなければならないというプレッシャーもあります。年々、市場には大きな動きがあり、数年後にはパスワードレス認証が企業全体の標準になると思います。.
インゴ・シュベルト
移行可能なアプリケーションもあれば、そうでないものもある。 では、レガシーシステムは移行をどのように複雑にするのでしょうか、ポール?
ポール・マルヴィヒル
それは、これらのシステムが認証プラットフォームとどのように会話するかということになる。私が顧客と話すときにいつも言うのは、何ができるかはプロトコルに基づくということだ。私がよく使う例はRADIUSだ。パスワードと同様、何年も前から存在している。RADIUSはその名の通り、ある程度は機能しますが、限界があります。何年もコード化、変更、更新されていないレガシーシステムがある場合、それはまだ誰かが保守している言語なのだろうか?パスキー、FIDO、プロトコルの変更、シングルサインオンなど、パスワードレスの状態を実現するための方法をどうやって採用できるでしょうか?パスキー、FIDOキー、QRコードログオンなど、新しいテクノロジーを持ち込むことはできますが、そのシステムはそのテクノロジーを理解できないかもしれません。単純に対応できないのだ。そのため、パスワードレスが60%または70%のシステムで機能する一方で、残りの30%または40%のレガシーシステムが80%の作業を担っているような不動産があるかもしれません。不動産全体をパスワードレス準拠の世界にするためには、これらのシステムを置き換えるか、パスワードレスで有効化または保護できる何かを見つける必要があるかもしれません。.
インゴ・シュベルト
何があるのかを知り、それを理解しなければならない。そう、あなたはパスワードレスを望んでいる。それが最終目標だ。しかし、あなたは今どこにいるのか?すべてのシステムを見て、使用状況、リスク、その他の要因に従って優先順位をつけ、AからBに移行する計画を立てなければなりません。ロブはQRコードについて言及したが、パスワードレスには複数の選択肢がある。従業員のテクノロジーに対する快適さのレベルが異なり、複数の方法を提供する場合、従業員が何に満足しているかを知ることで、良い計画を立てることができます。従業員が電話を使うことに満足している場合は、電話のパスキーを使うことができる。物理的なものが欲しい人は、物理的なUSBパスキーを使えばいい。このような選択肢があるのは、あなたがどこから始めようとしているのかを認識する作業を行ったからです。では、企業がパスワードレスを導入したとして、それで終わりなのでしょうか、それともまだリスクがあるのでしょうか?ロブ たぶんね。.
ロブ・ヒューズ
パスワードレスを導入していたとしても、本当に100%パスワードレスと言えるのか、疑問が残る。例えば、MicrosoftのEntraを使用している場合、ユーザーIDにパスワードが紐付いていることが必須です。Entra IDを使用している場合、パスワードレスにできますか?他のすべてがパスワードレスであれば、多分あなたはイエスと言うでしょう。現実には、大組織には通常スペース(IDサイロ)が存在する。場所によっては変更が難しく、新しい方法論を導入するのが難しい。それを管理し、リスクを管理することが重要なのだ。私なら、まず量をこなすことを目指す。すべてのユーザーにパスワードレスに慣れてもらい、時間をかけてパスワードレスでない部分を押し出し、それらのシステムにパスワードレスを普及させる。時間はかかりますが、パスワードレスの文化を定着させることで、パスワードレスを導入していない部分を強調し、それを推進することが容易になります。.
ポール・マルヴィヒル
パスワードレスにした場合、多くのワークフローが変わることを認識する必要がある。以前は何かの登録にパスワードが必要だったとか、ヘルプデスクへの知識ベースの認証が必要だったという場合、もうそのようなことはないのだから。では、ITオペレーションやヘルプデスクにとって、パスワードレスは何を意味するのだろうか?どうやって誰かをチェックするのか?どうやって誰かを助けるのか?初日のシナリオでは、パスポートや運転免許証を使うなど、オンボーディングのためのID確認の領域に入る。アカウント回復も同様のアプローチを取ることができる。これらの方法のいずれかを使用していない場合は、重要なことになる。安全な方法で誰かを加入させる方法を考え出す必要がある。何らかの形でパスキーを送ることもできるが、その場合、誰かがそれを安全な方法で登録しなければならない。登録プロセスには、その場所に物理的に存在することが必要であり、認証の一部としてシグナルを使い、物事を絞り込む必要があるかもしれない。パスワードが書かれた手紙や電子メールを送ったので、最初にログインするときに変更してください」と言うのと比べると、力学は大きく変わる。パスワードなしで始める場合は、そのようなことは一切ありません。今あるものをチェックし、リスク分析を行い、それから決断を下すことになる。さまざまなタイプのユーザーにとって、ワークフローはどのように見えるのだろうか?すべての人に合うワークフローは、おそらく1つだけではありません。あなたの役割やどのチャンネルを使うかによって、それを実現する方法は異なるかもしれない。.
インゴ・シュキュベール
ロブ、ヘルプデスクについてどう思う?
ロブ・ヒューズ
ユーザがパスワードを使わないようになると、CISOとしてセキュリティ・プログラムを検討する際に、いくつかのことが新たな現実となる。攻撃者は、パスワードを使ってユーザー・アカウントを乗っ取ることができなければ、他の方法を探すだろう。ひとつの方法は、ヘルプデスクをソーシャル・エンジニアリングすることだ。もうひとつは、オンボーディング・プロセスやデバイスの登録に目を向けることだ。これらすべてのイベントにおいて強固なチェーンを構築し、パスワードレスを徹底する必要がある。ポールが言及したように、オンボーディングでパスワードレスの仕組みを導入することは可能だが、その方法を考えなければならない。パスワードのある仕組みに慣れていると、オンボーディングについて考えるのは簡単だ。新しいノートパソコンが届いたら、ログインするように言われるでしょう。最初から最後までパスワードレスを貫くことは本当に重要だ。.
インゴ・シュベルト
私たちRSAは、ここしばらくの間、パスワードレス・ログインを体験する喜びを味わっていましたし、あなたもRSAでその役割を担ったチームの一員でした。.
では、ユーザーの生産性を阻害することなくパスワードレスを導入するにはどうすればよいのだろうか。
ロブ・ヒューズ
まあ、前提条件が整っているかどうかということになると思う。一般的に、MFAが導入されていれば、それが出発点となります。ソフトウェアおよびハードウェアトークンの柔軟性があれば、それは助けになる。ユーザーがFace IDなどの生体認証機能を備えたスマートフォンを持っていれば、それも助けになる。これらの前提条件を十分に満たしているかどうかを確認し、それから始める必要がある。アイデンティティ・カンパニーである私たちは、シングルサインオンの仕組みを持っており、まずそこでパスワードレスを推し進めた。私はそれをいくつかの方法で考えている。まず、パスワードレスをユーザーに利用できるようにする。そして、それをデフォルトにして、最初のプロンプトをパスワードなしにする。十分なデータが得られ、問題のあるエッジケースがあるかどうかを確認できたら、パスワードレスを必須とする。誰かが特定のメカニズムでパスワードを使おうとすれば、それは単に機能しない。その後、SSOからVPN、デスクトップログイン、あるいはワイヤレスに移行し、IDサイロをターゲットにする前に、ユーザースペース全体でパスワードレスを実現することを検討することができる。計画的に行い、ユーザーからのフィードバックを集め、ヘルプデスクやサービスデスクに想定される問題や回避策を準備しておけば、大きな混乱なく実施できる。また、まずは試してみたいというボランティアからなるテスト・グループを作り、新しいテクノロジーをまず彼らに展開した。大きな混乱なしに行うことにかなり成功した。重要なのは、計画的に実行することだ。一夜にしてすべてを導入し、最善を望むようなことはしない。一晩ですべてを導入し、ベストを望むのではなく、少しずつ実行し、やりながら学んでいくことだ。隠れたレガシー技術的負債が見つかるかもしれないし、あなたが必要としようとしている最新アプリを実行するための正しいバージョンの携帯電話を持っている人ばかりではないかもしれない。そのような小さな問題はありますが、ユーザーに大きな影響を与えることなく、大部分は実現できると思います。.
インゴ・シュベルト
段階を踏んで実施し、モルモット(私もそのモルモットの一人になれて幸せだった)を用意し、まずテストをしてから対象者を広げ、最終的に全員に展開する。これは賢明なアプローチであり、パスワードレスの展開にも当然当てはまります。画期的なことや劇的に異なることは何もないというのはいいことだ。世界中のIT担当者にとって馴染みのあるアプローチであるはずだ。.
ロブ・ヒューズ
もちろんだ。チェンジ・マネジメントのグッド・プラクティスに従うことだ。それさえできれば、別世界のような難題を提示することはないはずだ。.
インゴ・シュベルト
アレックス、何か付け加えることはある?
アレックス・サマー
ハッカーは常に弱点を探しており、攻撃対象は3つある。ひとつはプロトコル、ひとつはプラットフォーム、そしてひとつはプロセスだ。パスワードレス・スキームに関して言えば、FIDOを例にとってみよう。FIDOは非常に優れた設計をしている。このプロトコルは安全で、ホストからサーバーまで、両方のエンドポイントで真正性の相互チェックが行われる。この場合、ハッカーはプロトコルを見るのではなく、プラットフォームを見るだろう。プラットフォームに弱点はあるのか?携帯電話、デスクトップPC、あるいはiShieldキーのようなもの(スマートカードチップをベースにしたFIDOセキュリティキー)。プラットフォームへの実装によって、攻撃の可能性は異なります。スマート・カード・チップの場合、おそらく攻撃は最も難しいだろう。これは非常に強力なフィッシング耐性を提供し、実験室では侵入テストさえうまくいかないだろう。デスクトップPCの場合は、TPMやその他の信頼ベースの技術を使って実装されているかどうか、あるいは脆弱な実装かどうかによる。攻撃者は、スキームやプラットフォームを攻撃できない場合、そのプロセスに注目する。プロセスが脆弱であれば、このようなデバイスであっても侵害される可能性がある。例えば、デバイスが暗証番号とリンクしていて、その暗証番号で鍵を解除しなければならない場合、暗証番号が共有され、攻撃者が鍵を持っていれば、それを使うことができます。そのため、プロセスの安全性は非常に重要であり、ヘルプデスクや企業全体の導入プロセスにも関わってくる。これらすべての面がセキュリティ対策でカバーされていれば安全です。しかし、『FIDOのようなパスワードレス・スキームを使っているから安全だ』というだけでは不十分です。プロセス、プラットフォーム、プロトコルを考慮しなければなりません。.
インゴ・シュベルト
GenAIやジェネレーティブAIを考えると、パスワードや認証全般に大きな脆弱性があるのでしょうか? ロブ、君はどう思う?
ロブ・ヒューズ
しかし、人々が考えているような方法ではないかもしれない。GenAIが、すでに世の中にあるスクリプトやシステムよりも優れたパスワードを予測できるとは思わない。それよりもソーシャル・エンジニアリングが重要だ。音声、ビデオ、よく練られた電子メールメッセージやスピアフィッシングの試みは、すべて後押しされる。攻撃者が基本的な認証情報を探している場合、あるいは人々を騙してMFAタイプの認証情報を提供させようとしている場合にも重要なことだ。私が最も大きな影響を受けるのはそこだ。いったん誰かが認証情報を手にすれば、AIは一度に多くの情報を調べ、迅速にフィードバックを提供することができるため、それが使用される可能性のある場所を見つけることも容易になる。.
インゴ・シュベルト
だから、AIツールの使用によってリスクが高まるのは間違いない。ポール、何か付け加えることは?
ポール・マルヴィヒル
いや、ロブがカバーしていると思う。ソーシャルエンジニアリングの面では、AIは人の生活をより楽にしてくれる。AIはより多くのデータをより簡単にまとめることができる。パスワードベースの世界では、AIは攻撃者に直接答えを教えることはできないかもしれないが、おそらく答えを導き出すのに役立つより多くの情報をより迅速に与えることができるだろう。.
インゴ・シュベルト
では、パスワードレスは、組織が自動化された脅威全般に適応する上で、どのように役立つのだろうか?
ポール・マルヴィヒル
辞書攻撃などの自動化された攻撃は典型的な例だ。パスワードレスのスキームであれば、そのような攻撃はもはや当てはまらない。前にも述べたように、プロセスがどのように実装されているか、プロトコルがどの程度強固か、プラットフォームがどの程度強固かによる。プロセス、プロトコル、プラットフォームが強固であれば、自動化された攻撃の可能性は限りなくゼロに近づく。例えば、ハードウェア・ベースのFIDOセキュリティ・キーでは、AIの時代であっても、それを使用した企業でのインシデントは1件も知られていない。状況や実装(プロセス、プロトコル、プラットフォーム)にもよりますが、正しく行えば、自動的な攻撃に勝ち目はないと言えるでしょう。.
ロブ・ヒューズ
そうだね。自動化された攻撃や、パスワードレスを導入している場合、攻撃者側からも考慮すべきことがいくつかあります。世の中にはさまざまなツールキットがあり、AIを使ったりして、誰かのIDを取得しようとします。しかし、パスワードレスを導入すると、パスワードに依存し、パスワードのプロンプトを表示するように設計されたツールキットのどれもが、ユーザーにとって意味をなさなくなる。パスワードレスにすることで、パスキーがない場合、ユーザーはパスワードのプロンプトが表示され、「おかしいな」と思う。パスワードが何なのかさえ知らないかもしれない。つまり、パスキーが導入されていなくても、文化的な部分でフィッシングに対する抵抗力を高めることができるのです。自動化された攻撃を考えるなら、パスワードのないユーザーベースに対して自動化された攻撃をするのは難しくなります。もちろん、パスワードレスには強力な認証、つまり何らかの形のMFAが必要ですが、それだけで、たとえパスワードが残っていたとしても、あらゆる場所にMFAがあるようなもので、自動化攻撃に対して役立ちますよね?そしてもちろん、パスワードレスでは、MFAというものが当たり前のように導入される。.
インゴ・シュベルト
では、今日からパスワードレスの旅を始めたいと考えている組織と話すとしたら、どのようなアドバイスをするだろうか?
私は段階的なアプローチを取ることを勧める。企業内のある部署や特定のグループに適用できるものから始める。試験的に実行し、規模を大きくし、しばらく実行したら展開する。私は定期的にこのようなプロジェクトを見ている。試験的に実施し、それを拡大し、さまざまな組織体全体に展開する方法を一緒に検討するのです。これは非常に効果的で、私たちは企業におけるこのような導入から非常にポジティブなフィードバックを受け取っている。.
ロブ・ヒューズ
アレックスのアドバイスは素晴らしいと思う。計画を立て、実行し、どこから始めたいかを決めることだ。計画的にやることだ。これは、展開方法を変えるようなエキゾチックな技術セットではない。ユーザーが現在慣れ親しんでいる技術の多くを使用している:スマートフォンのFace ID、ラップトップの指紋、カメラを使ったりQRコードを読み取ったりするために近くに電話があること。これらはもはや難解なものではない。.
ポール・マルヴィヒル
とても分かりやすい。アレックスとロブが言ったことに、これ以上付け加えることはない。選択肢を持つことと、ステップバイステップ。しかし、もしあなたが選択肢を持ち、どこから始めるかを知っているならば...。あなたはおそらく90%の下準備をして、良い計画を立てることができる。.
インゴ・シュベルト
そうだね。そして、付け加えることがあるとすれば、私が昔から苦手としていることだ。セキュリティの現状とアプリケーションの現状を把握することです。どのアプリケーションが存在し、どのアプリケーションがパスワードに依存しているのか、そしてどのアプリケーションをすぐに取り除くことができないのかを調べてください。動かせるものはたくさんあるはずだ。優先順位を付け、展開し、短期間で成果を上げれば、上層部にプロジェクトの予算を正当化することができる。.
パスワードレス認証は大きな前進だが、特効薬ではない。パスワードの削除はリスクを軽減するが、強力なIDセキュリティは依然としてコンテキスト、コントロール、継続的な信頼に依存している。今日の議論から1つの収穫があるとすれば、それはこれだ。パスワードレスは標準を高めるが、それを取り巻く広範なアイデンティティ戦略こそが、本当の安全性を決定する。.
RSA Identity Unmaskedのエピソードにご参加いただきありがとうございました。本エピソードをお読みいただき、貴重なご意見をお聞きになった方は、今後のエピソードもぜひご購読ください。また、その他の洞察やリソースについては、rsa.comをご覧ください。アレックス、ロブ、ポール、どうもありがとうございました。.
ポール・マルヴィヒル、ロブ・ヒューズ、アレックス・サメラー
ありがとう。お招きいただきありがとうございます。.
RSA Identity Unmaskedへようこそ。パスワードは何十年もの間、セキュリティの最も脆弱なリンクとされてきました。しかし、組織がユーザーを認証し、システムを保護し、信頼を確立するための基盤として、パスワードが使われ続けています。このモデルはもはや持続可能ではありません。攻撃者は侵入する必要はなく、ログインするのです。.
また、フィッシングやクレデンシャル盗難、AIによる攻撃が進化するにつれ、パスワードベースのセキュリティの限界は無視できなくなっている。パスワードレス認証への移行は、ユーザーエクスペリエンスの向上だけではない。.
これは、組織が信頼を確立し、それを実施する方法の根本的な変化である。このエピソードでは、パスワードレスの本当の意味、パスキーやフィッシング耐性認証のような技術がどのように標準を引き上げているのか、そして移行を成功させるために組織は何をすべきなのかを探ります。.
インゴ・シューベルトです。本日は、スタジオにRSAのエンジニアリング・チームのポール・マルヴィヒル(Paul Mulvihill)、そしてリモートからRSAの最高情報セキュリティ責任者のロブ・ヒュー(Rob Hugh)、Swissbitの認証責任者のアレックス・スメラー(Alex Sumerer)をお招きしています。.
ポール、ロブ、アレックス、参加してくれてありがとう。.
何十年もの間、パスワードはセキュリティの最も脆弱なリンクであった。私たちはついに、組織がパスワードを超えることができる地点に到達したのでしょうか?ポール.
ポール・マルヴィヒル
正しい方向に向かっていると思う。必ずしも必要でない技術も増えてきているが、レガシーであるがゆえにまだ必要なシステムもたくさんある。.
インゴ・シュベルト
ロブ、君はどう思う?
ロブ・ヒューズ
完全にパスワードレスにし、パスキーを使っている人もいれば、どうしていいかよくわからないという人もいる。最近、大きなID事故が起きておらず、プログラムが非常に反応的であるため、どうすればいいのかわからないのだろう。彼らにとっては、少々気の遠くなるようなことかもしれない。.
インゴ・シュベルト
アレックス、あなたの経験もそうですか?
アレックス・サマー
インシデントの件数を見ると、かなり増えており、企業は懸念している。パスワードレス方式の最初の導入はかなり成功している。しかし、それを統合し、複雑さとレガシーに対処することが重要なのです。しかし、さまざまな組織でパスワードレス・ソリューションの合理化に向けて大きく前進している。.
インゴ・シュベルト
パスワードは何十年も前から存在している。少なくとも10年か15年前から、パスワードは良くないものだとわかっていた。それは明らかであり、最初から明らかだった。しかし、そのような明らかな欠点があるにもかかわらず、なぜパスワードがこれほど長く続いてきたのでしょうか?私はおそらく、パスワードが共通の要素だからだと思う。誰もが何かを覚えることができる。それは必ずしも最善の方法ではないが、パスワードは非常に長い間存在しており、ほぼすべてのシステムがユーザー名とパスワードをサポートしている。だから、ある程度の基本的なセキュリティレベルを求めるのであれば、それは存在する。しかし、今では誰かを認証する、より優れた、より強力な方法がたくさんある。多くのシステムが急速に変化しているにもかかわらず、パスワードが共通の要素であり続けている。.
インゴ・シュベルト
アレックス、どう思う?
アレックス・サマー
パスワードはもちろん、組織にとっては使いやすく、導入しやすい。エンドユーザーにとっても、パスワードはごく一般的なものだ。パスワードさえ覚えていれば、ログインに困ることはない。しかし、問題はセキュリティにある。フィッシングに耐性がないことは、特にあらゆる攻撃が起こっている現在、大きな懸念事項である。パスワードベースのスキームを維持する方法はない。とはいえ、パスワードが広く導入されているのは、導入が簡単でユーザーが使いやすいからだ。.
インゴ・シュベルト
アレックス、あなたはフィッシングがもちろんパスワードの脅威であると言いました。パスワードを使い続けることで、今日でも生じるリスクは他にありますか?ロブ たぶん。.
ロブ・ヒューズ
はい、多くのリスクがあると思います。ほんの2、3年前、スノーフレイクがアカウントにMFAを要求せず、人々がオプションとして扱っていたとき、多くの人がストレージを保護するためにユーザー名とパスワードだけを使っていた。その結果、アカウントの乗っ取りが多発した。これは、ユーザー名とパスワードさえあれば、いかに簡単に誰かが侵入し、データを奪うことができるかを示している。パスワードを使い、MFAをオンにしなければ、本質的にアカウント乗っ取りの準備をしていることになる。一般的にパスワードは再利用されるからだ。パスワードのもう一つの問題点は、誰かが50種類のパスワードを覚えておくことは不可能であるため、ほとんどの人が同じものをいろいろなことに使っていることだ。MFAを導入するか、パスワードレスにしない限り、そのうちの1つが漏洩すると、他のあらゆるものが漏洩する可能性がある。そうすればその心配はない。セキュリティの専門家であっても、少なくとも私の経験では、セキュリティは難しい。私は、若干のバリエーションはあるものの、いくつかのパスワードを再利用している。もちろん、機密性の高いものではありませんが、確かにそれは問題です。.
インゴ・シュベルト
では、アレックス、人々がパスワードレスについて語るとき、彼らはどのような技術を指しているのだろうか?
アレックス・サマー
様々な方式があり、業界で広く使われている。まず、ワンタイムパスワード(OTP)から始めよう。これは何十年も前から存在している。ウェブサイトにログインするたびに異なるパスワードが設定され、それを生成するジェネレーターが用意されています。OTP方式には利点があります。セットアップを定義する必要がありますが、基本的には簡単にログインできます。というのも、OTPは依然として傍受される可能性があり、攻撃者は中間者攻撃を行うことができるからである。PKIベースの方式もある。PKIとは公開鍵暗号方式を意味する。PKIとは公開鍵暗号方式を意味し、認証システムに秘密鍵を持たせ、サービス・システムにログインする。公開鍵暗号は安全性が高く、フィッシングに強く、プロセスの背後に強力な暗号署名があるため、大きなメリットがある。デメリットは、PKI環境で維持する必要がある証明書の取り扱いが複雑なことである。第3の方式は非常に新しいが、ますます進化している。これは、FIDO アライアンスによって定義され、FIDO 認証として知られている。FIDO は、Fast Identity Online を意味する。これは現在、さまざまなプラットフォームで実装されている標準である。公開鍵暗号をベースにしており、非常に強力でフィッシングに強く、メンテナンスが簡単なのが魅力です。PKIベースのスキームのように証明書を管理する必要がない。多かれ少なかれ、これらはパスワードレス認証に使用される業界標準である。.
インゴ・シュベルト
ありがとう。 すみません、ロブ、どうぞ。.
ロブ・ヒューズ
アレックスが指摘したFIDOのパスキーについては、確かにパスワードレスについて考えるとき、私たちの頭の中にはそれが一番にある。しかし、私たちにはQRコードのような仕組みもあり、携帯電話のような持っているものと、携帯電話が提供する生体認証のような自分自身であるものを使うことができる。このような技術がすぐに利用でき、誰もが手にすることができるようになったことで、パスワードレスの進展がより容易になりました。パスワードについて語るとき、私たちはあなたが知っている何かについて話している。その要素の力を弱めるために、代わりに暗証番号を使うかもしれませんが、暗証番号でも同じような問題にぶつかることがあります。より安全な仕組みの多くは、バイオメトリクスを組み込んだ「あなたが持っているもの」と「あなたがいるもの」を中心に構築されている。.
インゴ・シュベルト
携帯電話であれ、USBメモリなどの物理的なデバイスであれ、認証にはデバイスが必要なのですね?
ロブ・ヒューズ
そう、iShieldの鍵やRSAトークンのような、'持っているもの 'になりうるものだ。冗長性や柔軟性を持たせるために、それらを組み合わせることもできる。誰かが携帯電話を紛失したらどうするか?iShieldトークンが手元にあれば、それを使って新しい電話をより早くオンラインにすることができる。そのため、これらのデバイスを使用する際には、オンボーディングとオフボーディングについて考慮する必要があります。.
インゴ・シュベルト
フィッシングに強い認証:セキュリティ・モデルはどう変わるのか?ポール?
ポール・マルヴィヒル
フィッシングに強いものを導入すれば、誰かがあなたからデータを入手することは難しくなる。リンクをクリックさせたり、強引に情報を聞き出したりすることはできない。パスキーやQRコードパスワードレス方式では、それはあなたが持っているものであり、誰かに渡すことはできない。パスワードやワンタイムパスワードの場合は、それを誰かに読み上げることができます。しかし、パスキーの場合、他人に渡すことができないため、セキュリティ・レベルが格段に上がります。物理的なものがあなたの手元にないのだから、私に電話して、あなたのマシンを通して私のパスキーでログインさせることはできない。意図的であろうとなかろうと、誰かが認証プロセスの一部を共有できるという要素が取り除かれる。技術者として、絶対に不可能なことを言うことはないが、私が故意であろうとなかろうと、あなたをログインさせたり、他の誰かをログインさせたりすることはできないので、セキュリティレベルは上がる。.
インゴ・シュベルト
アレックス、ロブ、何か付け加えることは?
ロブ・ヒューズ
もしパスキーが必要なら、強化されたセキュリティーを使わなければならない。しかし、攻撃者は予備経路を探すかもしれません。パスキーが機能しない場合はどうなるのでしょうか?パスキーが機能しなかった場合はどうなるのか?私は、パスワードレスのメカニズムがどのようなものであれ、パスワードよりは優れていると思います。私は、パスキーはその上の強化だと考えています。場合によってはパスキーを強制することができれば、プロセスの背後にある暗号化数学の利点を享受できる。それは簡単に共有できるものではない。しかし、パスキーが機能しない場合のフォールバック・メカニズムに戻ります。それは良い点だ。フィッシングに強い方法は1つではないということを理解することが重要です。パスキーは、元々登録したドメインにバインドされることもあり、確かにトップに近い。しかし、単純にフィッシングして後で再利用することができないという意味では、他の方法も強力です。ユースケースによっては、パスキーが有効な場合もあれば、別の方法の方が良い場合もあります。選択肢を持つことは間違いなく重要です。.
インゴ・シュベルト
さて、純粋に技術的なものから範囲を広げてみると、多くの組織がパスワードレス認証を望んでいますよね。
だから正直なところ、そんなことは望んでいない、という人とは話したことがないんだ。間違いなくニーズはあるし、意欲もある。しかし、導入には時間がかかる。.
最大の障壁とは?ロブかな。.
ロブ・ヒューズ
しばらく話していなかったセキュリティー担当者と話して、『パスワードレスはまだですか?と尋ねると、何人かはノーと答えた。その理由を尋ねると、FUD(恐怖、不確実性、疑念)に行き着くところもあるようだ。どうやって始めればいいのかよくわからないし、ツールがあるのかどうかもわからない。現実には、ほとんどの場所でMFAを導入している場合、認証の仕組みを変更するだけで済むことが多い。すべての機能を備えているかどうかによります。すでに強力な認証機能とMFAがあれば、それを少しずつ調整すればいい。しかし、人々は何から始めればいいのか困ってしまう。緊急事態でない限り、組織全体が乗っ取られない限り、あちこちでアカウントの乗っ取りに対処するだろう。それが彼らの知っていることであり、彼らの文化に根付いているからだ。パスワードレス化を阻むものは何か?多くの場合、人々はすべての構成要素を持っている。しかし、どこから始めればいいのかわからないのだ。.
インゴ・シュベルト
誰か?アレックス?
アレックス・サマー
私が懸念しているのは、バックエンドシステムの複雑さです。特に大規模な組織では、考慮すべきさまざまなシステム、さまざまなアプリケーションがある。それらはさまざまな種類のバックエンド・システム上で稼働しており、企業やエンタープライズ内のさまざまな部分すべてにわたってアイデンティティとアクセス管理を合理化することは難しい課題です。単純に『FIDOベースのスキームに切り替えてください』とは言えません。移行経路が必要です。私が観察しているところでは、移行は進んでいますが、時間がかかります。マイグレーション・パスの間に、フィッシングに強いスキームへと部分的に切り替えていくのです。私たちは多くの動きを見ており、これを非常にポジティブな意味で捉えています。セキュリティ・インシデントが起きており、セキュリティ・インシデントのために企業が活動できなくなるリスクは大きな懸念事項であるため、変化を起こさなければならないというプレッシャーもあります。年々、市場には大きな動きがあり、数年後にはパスワードレス認証が企業全体の標準になると思います。.
インゴ・シュベルト
移行可能なアプリケーションもあれば、そうでないものもある。 では、レガシーシステムは移行をどのように複雑にするのでしょうか、ポール?
ポール・マルヴィヒル
それは、これらのシステムが認証プラットフォームとどのように会話するかということになる。私が顧客と話すときにいつも言うのは、何ができるかはプロトコルに基づくということだ。私がよく使う例はRADIUSだ。パスワードと同様、何年も前から存在している。RADIUSはその名の通り、ある程度は機能しますが、限界があります。何年もコード化、変更、更新されていないレガシーシステムがある場合、それはまだ誰かが保守している言語なのだろうか?パスキー、FIDO、プロトコルの変更、シングルサインオンなど、パスワードレスの状態を実現するための方法をどうやって採用できるでしょうか?パスキー、FIDOキー、QRコードログオンなど、新しいテクノロジーを持ち込むことはできますが、そのシステムはそのテクノロジーを理解できないかもしれません。単純に対応できないのだ。そのため、パスワードレスが60%または70%のシステムで機能する一方で、残りの30%または40%のレガシーシステムが80%の作業を担っているような不動産があるかもしれません。不動産全体をパスワードレス準拠の世界にするためには、これらのシステムを置き換えるか、パスワードレスで有効化または保護できる何かを見つける必要があるかもしれません。.
インゴ・シュベルト
何があるのかを知り、それを理解しなければならない。そう、あなたはパスワードレスを望んでいる。それが最終目標だ。しかし、あなたは今どこにいるのか?すべてのシステムを見て、使用状況、リスク、その他の要因に従って優先順位をつけ、AからBに移行する計画を立てなければなりません。ロブはQRコードについて言及したが、パスワードレスには複数の選択肢がある。従業員のテクノロジーに対する快適さのレベルが異なり、複数の方法を提供する場合、従業員が何に満足しているかを知ることで、良い計画を立てることができます。従業員が電話を使うことに満足している場合は、電話のパスキーを使うことができる。物理的なものが欲しい人は、物理的なUSBパスキーを使えばいい。このような選択肢があるのは、あなたがどこから始めようとしているのかを認識する作業を行ったからです。では、企業がパスワードレスを導入したとして、それで終わりなのでしょうか、それともまだリスクがあるのでしょうか?ロブ たぶんね。.
ロブ・ヒューズ
パスワードレスを導入していたとしても、本当に100%パスワードレスと言えるのか、疑問が残る。例えば、MicrosoftのEntraを使用している場合、ユーザーIDにパスワードが紐付いていることが必須です。Entra IDを使用している場合、パスワードレスにできますか?他のすべてがパスワードレスであれば、多分あなたはイエスと言うでしょう。現実には、大組織には通常スペース(IDサイロ)が存在する。場所によっては変更が難しく、新しい方法論を導入するのが難しい。それを管理し、リスクを管理することが重要なのだ。私なら、まず量をこなすことを目指す。すべてのユーザーにパスワードレスに慣れてもらい、時間をかけてパスワードレスでない部分を押し出し、それらのシステムにパスワードレスを普及させる。時間はかかりますが、パスワードレスの文化を定着させることで、パスワードレスを導入していない部分を強調し、それを推進することが容易になります。.
ポール・マルヴィヒル
パスワードレスにした場合、多くのワークフローが変わることを認識する必要がある。以前は何かの登録にパスワードが必要だったとか、ヘルプデスクへの知識ベースの認証が必要だったという場合、もうそのようなことはないのだから。では、ITオペレーションやヘルプデスクにとって、パスワードレスは何を意味するのだろうか?どうやって誰かをチェックするのか?どうやって誰かを助けるのか?初日のシナリオでは、パスポートや運転免許証を使うなど、オンボーディングのためのID確認の領域に入る。アカウント回復も同様のアプローチを取ることができる。これらの方法のいずれかを使用していない場合は、重要なことになる。安全な方法で誰かを加入させる方法を考え出す必要がある。何らかの形でパスキーを送ることもできるが、その場合、誰かがそれを安全な方法で登録しなければならない。登録プロセスには、その場所に物理的に存在することが必要であり、認証の一部としてシグナルを使い、物事を絞り込む必要があるかもしれない。パスワードが書かれた手紙や電子メールを送ったので、最初にログインするときに変更してください」と言うのと比べると、力学は大きく変わる。パスワードなしで始める場合は、そのようなことは一切ありません。今あるものをチェックし、リスク分析を行い、それから決断を下すことになる。さまざまなタイプのユーザーにとって、ワークフローはどのように見えるのだろうか?すべての人に合うワークフローは、おそらく1つだけではありません。あなたの役割やどのチャンネルを使うかによって、それを実現する方法は異なるかもしれない。.
インゴ・シュキュベール
ロブ、ヘルプデスクについてどう思う?
ロブ・ヒューズ
ユーザがパスワードを使わないようになると、CISOとしてセキュリティ・プログラムを検討する際に、いくつかのことが新たな現実となる。攻撃者は、パスワードを使ってユーザー・アカウントを乗っ取ることができなければ、他の方法を探すだろう。ひとつの方法は、ヘルプデスクをソーシャル・エンジニアリングすることだ。もうひとつは、オンボーディング・プロセスやデバイスの登録に目を向けることだ。これらすべてのイベントにおいて強固なチェーンを構築し、パスワードレスを徹底する必要がある。ポールが言及したように、オンボーディングでパスワードレスの仕組みを導入することは可能だが、その方法を考えなければならない。パスワードのある仕組みに慣れていると、オンボーディングについて考えるのは簡単だ。新しいノートパソコンが届いたら、ログインするように言われるでしょう。最初から最後までパスワードレスを貫くことは本当に重要だ。.
インゴ・シュベルト
私たちRSAは、ここしばらくの間、パスワードレス・ログインを体験する喜びを味わっていましたし、あなたもRSAでその役割を担ったチームの一員でした。.
では、ユーザーの生産性を阻害することなくパスワードレスを導入するにはどうすればよいのだろうか。
ロブ・ヒューズ
まあ、前提条件が整っているかどうかということになると思う。一般的に、MFAが導入されていれば、それが出発点となります。ソフトウェアおよびハードウェアトークンの柔軟性があれば、それは助けになる。ユーザーがFace IDなどの生体認証機能を備えたスマートフォンを持っていれば、それも助けになる。これらの前提条件を十分に満たしているかどうかを確認し、それから始める必要がある。アイデンティティ・カンパニーである私たちは、シングルサインオンの仕組みを持っており、まずそこでパスワードレスを推し進めた。私はそれをいくつかの方法で考えている。まず、パスワードレスをユーザーに利用できるようにする。そして、それをデフォルトにして、最初のプロンプトをパスワードなしにする。十分なデータが得られ、問題のあるエッジケースがあるかどうかを確認できたら、パスワードレスを必須とする。誰かが特定のメカニズムでパスワードを使おうとすれば、それは単に機能しない。その後、SSOからVPN、デスクトップログイン、あるいはワイヤレスに移行し、IDサイロをターゲットにする前に、ユーザースペース全体でパスワードレスを実現することを検討することができる。計画的に行い、ユーザーからのフィードバックを集め、ヘルプデスクやサービスデスクに想定される問題や回避策を準備しておけば、大きな混乱なく実施できる。また、まずは試してみたいというボランティアからなるテスト・グループを作り、新しいテクノロジーをまず彼らに展開した。大きな混乱なしに行うことにかなり成功した。重要なのは、計画的に実行することだ。一夜にしてすべてを導入し、最善を望むようなことはしない。一晩ですべてを導入し、ベストを望むのではなく、少しずつ実行し、やりながら学んでいくことだ。隠れたレガシー技術的負債が見つかるかもしれないし、あなたが必要としようとしている最新アプリを実行するための正しいバージョンの携帯電話を持っている人ばかりではないかもしれない。そのような小さな問題はありますが、ユーザーに大きな影響を与えることなく、大部分は実現できると思います。.
インゴ・シュベルト
段階を踏んで実施し、モルモット(私もそのモルモットの一人になれて幸せだった)を用意し、まずテストをしてから対象者を広げ、最終的に全員に展開する。これは賢明なアプローチであり、パスワードレスの展開にも当然当てはまります。画期的なことや劇的に異なることは何もないというのはいいことだ。世界中のIT担当者にとって馴染みのあるアプローチであるはずだ。.
ロブ・ヒューズ
もちろんだ。チェンジ・マネジメントのグッド・プラクティスに従うことだ。それさえできれば、別世界のような難題を提示することはないはずだ。.
インゴ・シュベルト
アレックス、何か付け加えることはある?
アレックス・サマー
ハッカーは常に弱点を探しており、攻撃対象は3つある。ひとつはプロトコル、ひとつはプラットフォーム、そしてひとつはプロセスだ。パスワードレス・スキームに関して言えば、FIDOを例にとってみよう。FIDOは非常に優れた設計をしている。このプロトコルは安全で、ホストからサーバーまで、両方のエンドポイントで真正性の相互チェックが行われる。この場合、ハッカーはプロトコルを見るのではなく、プラットフォームを見るだろう。プラットフォームに弱点はあるのか?携帯電話、デスクトップPC、あるいはiShieldキーのようなもの(スマートカードチップをベースにしたFIDOセキュリティキー)。プラットフォームへの実装によって、攻撃の可能性は異なります。スマート・カード・チップの場合、おそらく攻撃は最も難しいだろう。これは非常に強力なフィッシング耐性を提供し、実験室では侵入テストさえうまくいかないだろう。デスクトップPCの場合は、TPMやその他の信頼ベースの技術を使って実装されているかどうか、あるいは脆弱な実装かどうかによる。攻撃者は、スキームやプラットフォームを攻撃できない場合、そのプロセスに注目する。プロセスが脆弱であれば、このようなデバイスであっても侵害される可能性がある。例えば、デバイスが暗証番号とリンクしていて、その暗証番号で鍵を解除しなければならない場合、暗証番号が共有され、攻撃者が鍵を持っていれば、それを使うことができます。そのため、プロセスの安全性は非常に重要であり、ヘルプデスクや企業全体の導入プロセスにも関わってくる。これらすべての面がセキュリティ対策でカバーされていれば安全です。しかし、『FIDOのようなパスワードレス・スキームを使っているから安全だ』というだけでは不十分です。プロセス、プラットフォーム、プロトコルを考慮しなければなりません。.
インゴ・シュベルト
GenAIやジェネレーティブAIを考えると、パスワードや認証全般に大きな脆弱性があるのでしょうか? ロブ、君はどう思う?
ロブ・ヒューズ
しかし、人々が考えているような方法ではないかもしれない。GenAIが、すでに世の中にあるスクリプトやシステムよりも優れたパスワードを予測できるとは思わない。それよりもソーシャル・エンジニアリングが重要だ。音声、ビデオ、よく練られた電子メールメッセージやスピアフィッシングの試みは、すべて後押しされる。攻撃者が基本的な認証情報を探している場合、あるいは人々を騙してMFAタイプの認証情報を提供させようとしている場合にも重要なことだ。私が最も大きな影響を受けるのはそこだ。いったん誰かが認証情報を手にすれば、AIは一度に多くの情報を調べ、迅速にフィードバックを提供することができるため、それが使用される可能性のある場所を見つけることも容易になる。.
インゴ・シュベルト
だから、AIツールの使用によってリスクが高まるのは間違いない。ポール、何か付け加えることは?
ポール・マルヴィヒル
いや、ロブがカバーしていると思う。ソーシャルエンジニアリングの面では、AIは人の生活をより楽にしてくれる。AIはより多くのデータをより簡単にまとめることができる。パスワードベースの世界では、AIは攻撃者に直接答えを教えることはできないかもしれないが、おそらく答えを導き出すのに役立つより多くの情報をより迅速に与えることができるだろう。.
インゴ・シュベルト
では、パスワードレスは、組織が自動化された脅威全般に適応する上で、どのように役立つのだろうか?
ポール・マルヴィヒル
辞書攻撃などの自動化された攻撃は典型的な例だ。パスワードレスのスキームであれば、そのような攻撃はもはや当てはまらない。前にも述べたように、プロセスがどのように実装されているか、プロトコルがどの程度強固か、プラットフォームがどの程度強固かによる。プロセス、プロトコル、プラットフォームが強固であれば、自動化された攻撃の可能性は限りなくゼロに近づく。例えば、ハードウェア・ベースのFIDOセキュリティ・キーでは、AIの時代であっても、それを使用した企業でのインシデントは1件も知られていない。状況や実装(プロセス、プロトコル、プラットフォーム)にもよりますが、正しく行えば、自動的な攻撃に勝ち目はないと言えるでしょう。.
ロブ・ヒューズ
そうだね。自動化された攻撃や、パスワードレスを導入している場合、攻撃者側からも考慮すべきことがいくつかあります。世の中にはさまざまなツールキットがあり、AIを使ったりして、誰かのIDを取得しようとします。しかし、パスワードレスを導入すると、パスワードに依存し、パスワードのプロンプトを表示するように設計されたツールキットのどれもが、ユーザーにとって意味をなさなくなる。パスワードレスにすることで、パスキーがない場合、ユーザーはパスワードのプロンプトが表示され、「おかしいな」と思う。パスワードが何なのかさえ知らないかもしれない。つまり、パスキーが導入されていなくても、文化的な部分でフィッシングに対する抵抗力を高めることができるのです。自動化された攻撃を考えるなら、パスワードのないユーザーベースに対して自動化された攻撃をするのは難しくなります。もちろん、パスワードレスには強力な認証、つまり何らかの形のMFAが必要ですが、それだけで、たとえパスワードが残っていたとしても、あらゆる場所にMFAがあるようなもので、自動化攻撃に対して役立ちますよね?そしてもちろん、パスワードレスでは、MFAというものが当たり前のように導入される。.
インゴ・シュベルト
では、今日からパスワードレスの旅を始めたいと考えている組織と話すとしたら、どのようなアドバイスをするだろうか?
私は段階的なアプローチを取ることを勧める。企業内のある部署や特定のグループに適用できるものから始める。試験的に実行し、規模を大きくし、しばらく実行したら展開する。私は定期的にこのようなプロジェクトを見ている。試験的に実施し、それを拡大し、さまざまな組織体全体に展開する方法を一緒に検討するのです。これは非常に効果的で、私たちは企業におけるこのような導入から非常にポジティブなフィードバックを受け取っている。.
ロブ・ヒューズ
アレックスのアドバイスは素晴らしいと思う。計画を立て、実行し、どこから始めたいかを決めることだ。計画的にやることだ。これは、展開方法を変えるようなエキゾチックな技術セットではない。ユーザーが現在慣れ親しんでいる技術の多くを使用している:スマートフォンのFace ID、ラップトップの指紋、カメラを使ったりQRコードを読み取ったりするために近くに電話があること。これらはもはや難解なものではない。.
ポール・マルヴィヒル
とても分かりやすい。アレックスとロブが言ったことに、これ以上付け加えることはない。選択肢を持つことと、ステップバイステップ。しかし、もしあなたが選択肢を持ち、どこから始めるかを知っているならば...。あなたはおそらく90%の下準備をして、良い計画を立てることができる。.
インゴ・シュベルト
そうだね。そして、付け加えることがあるとすれば、私が昔から苦手としていることだ。セキュリティの現状とアプリケーションの現状を把握することです。どのアプリケーションが存在し、どのアプリケーションがパスワードに依存しているのか、そしてどのアプリケーションをすぐに取り除くことができないのかを調べてください。動かせるものはたくさんあるはずだ。優先順位を付け、展開し、短期間で成果を上げれば、上層部にプロジェクトの予算を正当化することができる。.
パスワードレス認証は大きな前進だが、特効薬ではない。パスワードの削除はリスクを軽減するが、強力なIDセキュリティは依然としてコンテキスト、コントロール、継続的な信頼に依存している。今日の議論から1つの収穫があるとすれば、それはこれだ。パスワードレスは標準を高めるが、それを取り巻く広範なアイデンティティ戦略こそが、本当の安全性を決定する。.
RSA Identity Unmaskedのエピソードにご参加いただきありがとうございました。本エピソードをお読みいただき、貴重なご意見をお聞きになった方は、今後のエピソードもぜひご購読ください。また、その他の洞察やリソースについては、rsa.comをご覧ください。アレックス、ロブ、ポール、どうもありがとうございました。.
ポール・マルヴィヒル、ロブ・ヒューズ、アレックス・サメラー
ありがとう。お招きいただきありがとうございます。.
エピソード3:医療におけるアイデンティティ・セキュリティ
このエピソードでは、インゴ・シューベルト、ジョン・ニコラス、ポール・マルヴィヒルが再び登場し、アイデンティティ・セキュリティに関して最もセンシティブな分野のひとつであるヘルスケアについて掘り下げます。 ゲストが、臨床環境におけるアクセスの複雑性、共有デバイス、ライフサイクル管理、認証の課題と、それらに正面から取り組む方法について語ります。.
ビデオ録画
インゴ・シュベルト
RSA Identity Unmaskedへようこそ。本日は、アイデンティティ・セキュリティの最もハイリスクで興味深い分野の1つであるヘルスケアについてお話しします。今日もポールとジョンに加わってもらい、課題、ユースケース、ベストプラクティスを見ていきましょう。始めましょう。では、なぜヘルスケアはIDセキュリティにとってこれほどユニークな環境なのでしょうか?
ジョン・ニコラス
ポール、よかったら僕が始めよう。どうする?
ポール・マルヴィヒル
ぜひそうしてほしい!
ジョン・ニコラス
私たちがいつも医療について話していて、最初に出てくる話題のひとつが、医療機関が持っている技術スタックと重要なレガシー・インフラストラクチャです。最新のMFAサービスに接続できない可能性があるため、IDの観点からセキュアにする必要がある最大の分野の1つです。そのため、レガシーな独自技術は、医療機関(英国ではNHSが代表的な例)では大きな課題となっている。.
ポール・マルヴィヒル
NHSのことはよく知られていますが、その傘下にはたくさんの小さな組織があり、ITインフラをサポートするための巨大なポットが1つあるというわけではありません。もし、それがひとつの大きなものであれば、可能性はありますが、残念ながら、世の中はそううまくはいきません。そのため、レガシー・システムがあり、移行やメンテナンスに対応しなければならないため、最新かつ最高のものを手に入れることができない場合、どのようにして最新システムを手に入れるのかという課題がある。
インゴ・シュベルト
そうですね。もちろん、例えばドイツでは違う。この文脈では、それほど違いはないと思いますよ。組織も違うし、レガシー・アプリケーションもたくさんある。公平を期すなら、おそらくヨーロッパ中、あるいは世界中の多くの場所でそのような状況が見られると思います。
ポール・マルヴィヒル
レガシーシステムについては、機能しているものがあれば、そのエラー率について話す。それが2年前のものだからといって、変更しようとはしないでしょう。新しい分野に資金を投入することになる。そう、レガシーだからといって、それが古くて時代遅れだということにはならない。ただ、機能しているということだ。もっと重要なことがある。.
インゴ・シュベルト
稼働中のシステムには触るなでは、このような環境でアクセス、制御、認証が難しいのはなぜだろうか?
ポール・マルヴィヒル
おそらく、複数のトラストが混在していると思います。例えば、ある日、私はある場所で働き、また別の場所では別のトラストで働き、また別のトラストでは別のトラストで働く。すべてを管理する中央システムはあるのだろうか?おそらくないだろう。私はどこかに戻るつもりなのか、それとも1年に1日だけ別の場所でやるつもりなのか?アイデンティティの観点から管理し、安全性を確保しようとするシステムの数は、その複雑さを指数関数的に増大させる。50のサイトにまたがっているが、それは50のシステムなのか?5なのか1なのか?それを全国に広げれば、さまざまな理由で複雑な層が増えるだけです。.
ジョン・ニコラス
そして、そのユーザー数が問題なのだと思います。なぜなら、最前線で医療サービスを提供する臨床医は、もちろん非常に優秀かもしれませんが、サイバーセキュリティの専門家ではないからです。例えば、NHSをサポートするチーム全体が、すべてのロジスティクスや計画、管理面を担当している。そのうちの何人かは、モバイル認証のようなものを使うことができるかもしれませんが、他の人たちは病棟やもっと安全な環境にいるかもしれません。何か他のもの、つまり物理的なトークンが必要です。
認証を行う。巨大な労働力だけでなく、認証方法に関して複数のユースケースがあるわけです。それから、モバイルの話が出ましたが、使いたいモバイルを持っていない人もいるでしょう。つまり、5人を1つのシステムに入れるだけで、3つも4つも5つも異なるユースケースがあるわけです。.
インゴ・シュベルト
つまり、臨床医、臨時スタッフ、交代制のシフトは、物事を非常に複雑にしてしまうのです。今おっしゃったことですね。私のID管理の観点から言うと、9時から5時まで働くような、組織化された企業内の労働力と比較すると、少し難しいことがわかります。そうですね、時間帯が違うかもしれませんが、これは基本的に11時まで働きます。.
ポール・マルヴィヒル
例えば、1つの大企業に50の異なる部門があったり、100の異なる部門があったりします。一方、ヘルスケア部門を見ると、ケア部門という1つの大きな組織があるかもしれませんが、その中には50や100の別々の会社があり、それぞれが専門性を持っていて、仕事のやり方は自律的でなければなりません。その中で何か問題が発生した場合、どのような影響があるのでしょうか?
インゴ・シュベルト
もちろん、ドラマチックなテレビ番組という点ではそうだ、もちろん、ドラマチックなテレビ番組があるように、すべてが速く進まなければならないんだ。でも、それは1つのことで、物事を遅くすることはない。
ジョン・ニコラス
ガバナンスの観点から言えば、最小限の権限という観点から言えば、例えば、自分の役割を果たすために必要な権限だけを全員に与えたいとは思わないでしょう。しかし、そこで問題になるのは、この変更を行おうとして、間違って権限を奪ってしまうことです。そうなると、病棟で誰かの命を救うのに役立つ重要な機械や設備を操作できなくなる。そのため、例えばIGAソリューションを実施するための意思決定の精度は、絶対に鉄壁でなければなりません。そのため、その時点で変更を加えるには、おそらく何層もの意思決定を経なければならず、時間がかかる。なぜなら、このワークフローを導入して、極端な例では命を救うことができなかったり、薬局から何かを投与することができなかったりするような事態は避けたいからだ。.
インゴ・シュベルト
しかし同時に、特にアイデンティティ・ガバナンスでは、もちろん、この場合、手っ取り早い解決策があるわけですが、もちろんそうではありません。それは有効なアプローチですか?それは良い妥協なのか?いや、厳粛にそうだと思うよ。
ポール・マルヴィヒル
一人の人間がハッキングされ、一人のアカウントが漏洩し、あまりにも多くの権限を持っていたら、どうなるでしょうか?病院のスタッフだからということで、すべてを任された用務員が薬局のシステムに侵入し、薬にアクセスしたり、患者の記録を変更したりすることができるんです。そうですね。しかし、ジョンが言っていたように、ポリシーの適用やパーミッションの最小経路の適用を変更すると、多くの潜在的な影響があるため、ほとんどリスクが麻痺してしまいます。X、Y、Zのパーミッションを削除するポリシーを導入することは可能だが、絶対的な確信がないのであれば、50人に影響を与えるかどうか、その50人がこのリソースにアクセスしたかどうかの分析を行ったことがあるだろうか?もしそのうちの1人がアクセスしたのであれば、もっとレビューを続ける必要がある。その一人に特別な許可を与える必要があるか?誰一人そうでなく、十分な期間監視しているのであれば、そうですね、それを強制することができます。しかし、もし私が何かを取り除いてしまったら......という恐怖がある。いろいろと推測することはできても、何かが必要になるような緊急事態を想定することはできません。私はこの許可を外しました。この看護師や医師、あるいは誰かが何かをする必要があったのに、突然それができなくなる、というシナリオが今出てきたのです。.
インゴ・シュベルト
機械を操作するだけではない。どこかのデータにアクセスするようなこともできるだろう?例えば、健康記録とかね。つまり、普通の企業では、誰かが少ない資格しか持っていないとまずいということです。彼らは自分の仕事をすることができませんが、リクエストをすれば承認されます。そう、悪いことなんだ。数時間遅れるかもしれないし、翌日になるかもしれない。しかし、医療環境では、これは文字通り大きな問題を意味する。そして、分刻みで行われるわけではないかもしれないが、必要なときに必要なケアが受けられないということになりかねない。.
ポール・マルヴィヒル
もしそれが企業で、誰かがデータにアクセスすることができれば、誰かがクレジットカードで何かを注文し、それを修正するためにクレジットカードでフルバックができるかもしれないし、注文がキャンセルされるかもしれない。つまり、これらのいくつかはそれほど深刻な影響ではありませんが、医療であれば、誰かがあなたの医療記録を変更します。共有されるべきではない詳細を誰かが共有する。何が起こるかわからない。あるいは、情報が漏れてしまうことで、長期的な影響が出る可能性もある。あなたが言ったように、あなたが依存している薬が止められるかもしれない。その薬の処方が終わりに近づいていて、実際に必要な薬かどうかの再確認が必要なときに、その薬の詳細が削除されることで、薬の効き目がさらに遅くなり、遅らせることになる。企業や民間企業の医療分野では小さな変化に見えるかもしれませんが、問題や影響は10倍、20倍、30倍にもなる可能性があるのです。.
ジョン・ニコラス
医療記録は、ダークウェブで取引される場合、非常に価値があります。例えば、クレジットカードの詳細情報よりも価値があります。保険金詐欺のように利用される可能性があります。だから、攻撃者はここに入りたいんだ。彼らは、願わくば、誰の命も危険にさらしたくないが、医療記録を手に入れ、それを金銭的な利益のために利用することで、金銭的な見返りを得たいのだ、と彼は言う。.
インゴ・シュベルト
つまり、その情報は攻撃者からすれば、誰かをスピアフィッシングで攻撃するのに最適なんだ。医療情報を知っていれば、信頼度が上がるだけで、その種の攻撃に対してより疑わしくなるよね?あるいは、脅迫とかね。その記録を使ってできることはたくさんあるよね?ああ、それは分かるよ。では、現実的な話に戻りますが、例えば病院で実際に何が起こるのでしょうか?典型的な認証ワークフローはどのようなものでしょうか?
ジョン・ニコラス
彼らが典型的かどうかは分からない。.
インゴ・シュベルト
まあ、いいだろう。.
ジョン・ニコラス
システムについては話したが、何をすべきなのか?という質問もあるかもしれないが、バックエンドには常にMFAのステップアップがあるべきだ、IAMの観点から話をすると、条件付きアクセスを活用することは可能でしょうか。AIを活用して、そのユーザーが適切な時に適切なユーザーであるかどうかを理解し、管理者が膨大なユーザーベースと膨大な技術スタックに基づいて条件付きアクセスポリシーをこねくり回すのではなく、動的に実行させることができます。.
インゴ・シュベルト
この業界で私が気づいたことのひとつは、製造現場での共有デバイスが一番近いかもしれない、ということです。それが普通とは言いませんが、不釣り合いなほど多くの共有デバイスがあるように感じました。それにどう対処すればいいのでしょうか?
ポール・マルヴィヒル
少なくとも3人、場合によっては5、6、7人で1台を共有することになるでしょう。ナースステーションの端末とか、そういうものですからね。 それを保護する最善の方法は?つまり、ユーザー名とパスワードに何らかの認証情報を入れることだ。小さなOTPトークンやハードウェアトークンを使っている人を見たことがある。かなり回復力がある。しかし、それで十分でしょうか?ワンタイムパスワードを通すだけだからだ。誰かがコンピューターにアクセスし、ログインし、使用しなければならない。しかし、パスワードは試行錯誤の末に完成したものだ。FIDOキーを渡して、その使い方に慣れるように頼んだり、モバイルで生体認証をプッシュして承認してもらったり。でも、それを使うには、他のことも加えなければならない。そのためには、他の要素も加えなければならない。.
インゴ・シュベルト
それに、他の業界では、例えば携帯電話をどこにでも持っていくことができないところもある。プライバシーの問題とか、カメラがあるからとか、他の機械の邪魔になるからWi-Fi接続はできないとか。だから、オプションが必要なんだ。それに、OTPジェネレーターは消毒液につけることもできるんだ。.
ポール・マルヴィヒル
先日、あるお客さんと話していたんですが、まさにそのような、まあ医療ではないですが、携帯電話が使えないというシナリオがあるんです。物理的な環境はセキュリティー的に厳重です。だから、ワンタイムパスコードのついたハードウェアトークンか、Fidoキーのようなものを使う。RSA iShieldのように、非接触型のFIDOやそのような要素を取り入れた新しいものもあります。以前はユーザー名とパスワード、そしてワンタイムパスコード、あるいはパスコードにそれらを使用することができました。コンピュータに行き、名前を使い、タップしてピンを入れれば、その領域に入ることができる。.
インゴ・シュベルト
それだけだ。.
ポール・マルヴィヒル
プロセスをスピードアップしているんだ。また、他にも進歩している分野があり、今後さらにシンプルになるかもしれません。つまり、FIDOやパスキーのいくつかの要素は、保持することができます。だから最終的には、FIDOのキーを持って歩いて、それをマシンに置くだけでいいんだ。.
インゴ・シュベルト
もちろん、このNFCタップがあれば、使い勝手の問題は少なくなる。何かを読み取ってもう一度何かをタップする必要がないので、間違った数字を読み取ったり、正しい数字を持っているのに間違ってタップしてしまったりすることがない。そのため、そのようなことがなくなりました。.
ポール・マルヴィヒル
また、視力に障害のある人がいる場合、回転する小さなスクリーンからそれを読み取るのは簡単ではないかもしれません。繰り返しますが、これはNFCです。.
インゴ・シュベルト
なるほどね。.
ポール・マルヴィヒル
どんな分野の人でも、その要素から恩恵を受けることができる。.
ジョン・ニコラス
セキュリティーと利便性を両立させることは、おそらく最も重要な分野のひとつだろう。急いで何か重要なことをしようとするときに、認証の流れやアクセスの流れを遅くしたくないから、セキュリティーと利便性を両立させることが重要になる。.
インゴ・シュベルト
複数の認証方法を持つことは、1人のユーザーのためだけでなく、複数の方法を持つユーザーもいるかもしれません。だから、1つのタイプですべてに適合するわけではないんだ。.
ポール・マルヴィヒル
そうだね。.
ジョン・ニコラス
絶対にない。確かに、あの規模の組織ではね。.
ポール・マルヴィヒル
役割分担についておっしゃったように、ガバナンスの側面に戻って、それぞれの役割を果たす人が、何ができるかをきちんとマッピングする必要があります。看護師や病院では、医師、ポーター、受付など、できることが決まっています。また、医師、別のポーター、受付の人など、さまざまな役割があり、それぞれ異なる要件やアクセス権を持っています。だから、それをマッピングして、この人はこういう役割で、ガバナンス・プロセスとライフサイクル・システムを整備して、これがあなたの役割で、これがあなたが持つことのできるものです、と確認し、それを適切な方法にマッピングして、1日に20分もMFAステップアップに時間をかけなくても仕事ができるようにしなければなりません、いつも使っているコンピューターに入り、いつもアクセスしているリソースにアクセスする。.
インゴ・シュベルト
では、ガバナンスの側面、つまりアイデンティティ・ガバナンスの側面にとどまりますが、では、なぜ、医療環境において、ジョインが重要なのでしょうか?
ジョン・ニコラス
ポールも言っていましたが、人はトラスト間を移動するかもしれませんが、トラスト内でも、おそらく定期的に役割を移動しているはずです。つまり、JMLプロセスの規模は、1日に何万、何十万もの変更があるのです。そのため、自動化された観点でそれを把握することは非常に重要です。また、単に自動化するだけでなく、適切なタイムラインを持つことも重要です。それがシステムに入っている。3日後にロールAからロールBに変更すると、バックエンドで自動的に行われます。上司に『来週からインゴがチームに加わりますが、彼にできることは何でしょう』と相談するのではなく、インゴがチームに加わり、初日から必要なことがすべてできるようにするのです。.
インゴ・シュベルト
そしてそれは、私がトラストを変更した場合、Aという役割はもう私にはないということでもある。
ジョン・ニコラス
ああ、そうだ。.
インゴ・シュベルト
だから、この権利の蓄積、あるいは時間の蓄積は、私たちのキャリアの中で誰もが一度は目にしたことがあると思う。
ジョン・ニコラス
アイデンティティ・スプロール.
インゴ・シュベルト
ああ、そうだ。.
ポール・マルヴィヒル
Jonが言っていたことに付け加えると、異なるサイトや異なるトラスト、異なるロールを飛び回っている場合、サイトAであなたのために作成されたアカウントは、ライフサイクル・サイドとレバーの要素を使えば、3、4、5週間、あるいは2、3日でも戻ってこない場合、そのアカウントを即座に無効にすることができる。そのため、アカウントが存在し、あるレベルのパーミッションが与えられているにもかかわらず、そのアカウントが無効化されてしまうというシナリオを避けることができる。ただ使われずに放置されているだけで、別の攻撃ベクトルになってしまうのだ。つまり、別の攻撃ベクトルになってしまうのです。誰かが侵入して、ランサムウェアを使った信用攻撃や、そういったことをすることができないようにするのです。もうここには来ないのだから、ロックしてしまえばいい。2日後に戻ってくれば、2日後にはシステムが再び電源を入れる。.
インゴ・シュベルト
そうだね。.
ポール・マルヴィヒル
それまではオプションではない。オフになっている。使えない。.
インゴ・シュベルト
そして、それによって得られる可視性、つまり、明らかにシステムは、あなたが持っている役割、あなたが持つ予定の役割、あなたが持っていた役割を知ることができます。間違っていたら訂正してほしいのですが、監査を受けた場合、その情報や可視性は非常に役に立つと思います。.
ポール・マルヴィヒル
誰がどの時点で何をすることができたのか、履歴がすべて残っているはずだ。では、監査の観点から何か起こった場合、この監査基準を守っているのか?はい、これがその証拠です。一元的なガバナンス・プラットフォームがあれば、すべてがそこにある。だから、「うん、問題ない。そして、万が一、うまくいけば稀なことですが、何かが起こった場合、同じデータセットを使って、その時点で誰がこのデータにアクセスしたかを確認することができます。どのような追加ログをエコシステムに取り込むことができるかによって、「これらのアカウントは何かやったかもしれないが、誰がそれにアクセスしたのか?誰が何かをしたかもしれない。.
インゴ・シュベルト
これは調査の助けになります。つまり、優秀なセキュリティー・エンジニアであれば、常に何が起こるか、いずれは侵入されることを想定しているものです。これは、後始末の過程で、何が起こり、誰が影響を受けたかを確認するのにも役立ちます。.
ポール・マルヴィヒル
常に何かを想定し、それが破られる可能性を想定する。コンピュータのプラグを抜いて、セメントで固めてアレアナの海溝に落とすとか、そういうことをしない限り、何かが起こることはない。だから、万が一、何かが起こったとしても、それが物事の進行に与える影響が最小限になるように、できるだけ多くのものを入れておくのだ。.
ジョン・ニコラス
それに加えて、ガバナンスのようなアプローチから得られるデータを見ると、監査人に情報を提供できるかどうかだけではないと思います。監査人に情報を提供できるかどうかだけでなく、現在の状況を把握できるかどうかも重要なのです。プロセスの成熟度について、私はこのセッションで多くのことをお話ししています。そのチームの誰も、半年でも1年でも、あなたが定義した期間内にこの権限を使用していない。その権利を削除することを検討しよう。なぜなら、その権利は過剰な権利であり、彼らがその権利を使わなくなったのには、それなりの理由があるかもしれないからだ。もしかしたら、その仕事量をこなすために並行して使っているシステムがあるかもしれない。だから新システムでは、古いシステムからそれを取り除く。そうでなければ、完全な手作業で監査を行うことになり、過去6ヶ月間あなたがシステムで何を使っていたのかがわからなくなってしまいます。そのインテリジェンスを使って、ゼロ・トラストや最小限の特権に向けた作業について、情報に基づいた意思決定を行おう、と言うのです。.
インゴ・シュベルト
ああ、ここで特権が頭をよぎる。.
ポール・マルヴィヒル
そうすると、あなたが言ったように、彼らが使っていなかった特定の許可特権を見ることができるようになります。実際、チームの%の80人がこれをやっていますが、正式な役割の一部ではありません。10人中8人が個別に「Xをするために必要なので、システムBにアクセスさせてください」と言うのではなく、チーム全体が必要だからできるようにするために、この権限を追加する必要があるのでしょうか。.
インゴ・シュベルト
例外による管理、基本的にはそうだ。そうだ。.
ポール・マルヴィヒル
実際、80人の%が使っているんだ。そうすれば、監査やコンプライアンスを遵守することができ、「そうだ、このチームにはこれが必要だ。これは彼らの役割の一部だ。他の誰かが入ったり、辞めたりしたら、その人が持っている役割の一部であるため、そのアクセスをオフにするか、同じようにやっている新しい人に与えます。.
インゴ・シュベルト
では、CIO、つまり医療機関のCIOに、何から始めたらいいと言いますか?というのも、CIOが始められることは山ほどあるからです。
ジョン・ニコラス
しかし、その本当の理由は、フィッシング詐欺への対策に力を入れることです。なぜなら、多くの医療機関は主要なコミュニケーション手段として電子メールに依存しているからです。なぜなら、医療機関の多くは主要なコミュニケーション手段として電子メールを利用しているからです。それだけでなく、そのようなシステムを利用している人たちは、プレッシャーの高い環境で働いています。ログオンして、素早く何かをする必要があって、メールが来て、ちょうどいいタイミングでそれを打つことができた。パニックではなく、通常の流れで、うっかりフィッシング・サイトに認証情報やデータを公開してしまうのだ。ですから、フィッシング詐欺の耐性を認証するために、私たちは、このような電子メール・コミュニケーションに重点を置いている部門に注目しています。.
ポール・マルヴィヒル
フィッシング対策から始めて、次に従業員に何ができるかを可視化することで、フィッシング対策と並行して、フロントドアのセキュリティを確保する。何が使われていて、何が使われていないのか、誰が何をできて、誰が何をできないのか。一度データを手に入れれば、誰も使っていないのだから、最初から何の効果もない変更を加えることも検討できる。しかし、同じように、チームがより効率的に仕事をこなせるようにするためには、どのような変更が必要なのかを考えることができる。.
インゴ・シュベルト
ありがとう。医療システムにおけるIDセキュリティについて、実に良い洞察がありました。このようなディスカッションがお好きな方は、新しいエピソードが公開されたら、ぜひ購読してお知らせください。以上、「RSA Identity Unmasked」でした。また来月お会いしましょう。.
RSA Identity Unmaskedへようこそ。本日は、アイデンティティ・セキュリティの最もハイリスクで興味深い分野の1つであるヘルスケアについてお話しします。今日もポールとジョンに加わってもらい、課題、ユースケース、ベストプラクティスを見ていきましょう。始めましょう。では、なぜヘルスケアはIDセキュリティにとってこれほどユニークな環境なのでしょうか?
ジョン・ニコラス
ポール、よかったら僕が始めよう。どうする?
ポール・マルヴィヒル
ぜひそうしてほしい!
ジョン・ニコラス
私たちがいつも医療について話していて、最初に出てくる話題のひとつが、医療機関が持っている技術スタックと重要なレガシー・インフラストラクチャです。最新のMFAサービスに接続できない可能性があるため、IDの観点からセキュアにする必要がある最大の分野の1つです。そのため、レガシーな独自技術は、医療機関(英国ではNHSが代表的な例)では大きな課題となっている。.
ポール・マルヴィヒル
NHSのことはよく知られていますが、その傘下にはたくさんの小さな組織があり、ITインフラをサポートするための巨大なポットが1つあるというわけではありません。もし、それがひとつの大きなものであれば、可能性はありますが、残念ながら、世の中はそううまくはいきません。そのため、レガシー・システムがあり、移行やメンテナンスに対応しなければならないため、最新かつ最高のものを手に入れることができない場合、どのようにして最新システムを手に入れるのかという課題がある。
インゴ・シュベルト
そうですね。もちろん、例えばドイツでは違う。この文脈では、それほど違いはないと思いますよ。組織も違うし、レガシー・アプリケーションもたくさんある。公平を期すなら、おそらくヨーロッパ中、あるいは世界中の多くの場所でそのような状況が見られると思います。
ポール・マルヴィヒル
レガシーシステムについては、機能しているものがあれば、そのエラー率について話す。それが2年前のものだからといって、変更しようとはしないでしょう。新しい分野に資金を投入することになる。そう、レガシーだからといって、それが古くて時代遅れだということにはならない。ただ、機能しているということだ。もっと重要なことがある。.
インゴ・シュベルト
稼働中のシステムには触るなでは、このような環境でアクセス、制御、認証が難しいのはなぜだろうか?
ポール・マルヴィヒル
おそらく、複数のトラストが混在していると思います。例えば、ある日、私はある場所で働き、また別の場所では別のトラストで働き、また別のトラストでは別のトラストで働く。すべてを管理する中央システムはあるのだろうか?おそらくないだろう。私はどこかに戻るつもりなのか、それとも1年に1日だけ別の場所でやるつもりなのか?アイデンティティの観点から管理し、安全性を確保しようとするシステムの数は、その複雑さを指数関数的に増大させる。50のサイトにまたがっているが、それは50のシステムなのか?5なのか1なのか?それを全国に広げれば、さまざまな理由で複雑な層が増えるだけです。.
ジョン・ニコラス
そして、そのユーザー数が問題なのだと思います。なぜなら、最前線で医療サービスを提供する臨床医は、もちろん非常に優秀かもしれませんが、サイバーセキュリティの専門家ではないからです。例えば、NHSをサポートするチーム全体が、すべてのロジスティクスや計画、管理面を担当している。そのうちの何人かは、モバイル認証のようなものを使うことができるかもしれませんが、他の人たちは病棟やもっと安全な環境にいるかもしれません。何か他のもの、つまり物理的なトークンが必要です。
認証を行う。巨大な労働力だけでなく、認証方法に関して複数のユースケースがあるわけです。それから、モバイルの話が出ましたが、使いたいモバイルを持っていない人もいるでしょう。つまり、5人を1つのシステムに入れるだけで、3つも4つも5つも異なるユースケースがあるわけです。.
インゴ・シュベルト
つまり、臨床医、臨時スタッフ、交代制のシフトは、物事を非常に複雑にしてしまうのです。今おっしゃったことですね。私のID管理の観点から言うと、9時から5時まで働くような、組織化された企業内の労働力と比較すると、少し難しいことがわかります。そうですね、時間帯が違うかもしれませんが、これは基本的に11時まで働きます。.
ポール・マルヴィヒル
例えば、1つの大企業に50の異なる部門があったり、100の異なる部門があったりします。一方、ヘルスケア部門を見ると、ケア部門という1つの大きな組織があるかもしれませんが、その中には50や100の別々の会社があり、それぞれが専門性を持っていて、仕事のやり方は自律的でなければなりません。その中で何か問題が発生した場合、どのような影響があるのでしょうか?
インゴ・シュベルト
もちろん、ドラマチックなテレビ番組という点ではそうだ、もちろん、ドラマチックなテレビ番組があるように、すべてが速く進まなければならないんだ。でも、それは1つのことで、物事を遅くすることはない。
ジョン・ニコラス
ガバナンスの観点から言えば、最小限の権限という観点から言えば、例えば、自分の役割を果たすために必要な権限だけを全員に与えたいとは思わないでしょう。しかし、そこで問題になるのは、この変更を行おうとして、間違って権限を奪ってしまうことです。そうなると、病棟で誰かの命を救うのに役立つ重要な機械や設備を操作できなくなる。そのため、例えばIGAソリューションを実施するための意思決定の精度は、絶対に鉄壁でなければなりません。そのため、その時点で変更を加えるには、おそらく何層もの意思決定を経なければならず、時間がかかる。なぜなら、このワークフローを導入して、極端な例では命を救うことができなかったり、薬局から何かを投与することができなかったりするような事態は避けたいからだ。.
インゴ・シュベルト
しかし同時に、特にアイデンティティ・ガバナンスでは、もちろん、この場合、手っ取り早い解決策があるわけですが、もちろんそうではありません。それは有効なアプローチですか?それは良い妥協なのか?いや、厳粛にそうだと思うよ。
ポール・マルヴィヒル
一人の人間がハッキングされ、一人のアカウントが漏洩し、あまりにも多くの権限を持っていたら、どうなるでしょうか?病院のスタッフだからということで、すべてを任された用務員が薬局のシステムに侵入し、薬にアクセスしたり、患者の記録を変更したりすることができるんです。そうですね。しかし、ジョンが言っていたように、ポリシーの適用やパーミッションの最小経路の適用を変更すると、多くの潜在的な影響があるため、ほとんどリスクが麻痺してしまいます。X、Y、Zのパーミッションを削除するポリシーを導入することは可能だが、絶対的な確信がないのであれば、50人に影響を与えるかどうか、その50人がこのリソースにアクセスしたかどうかの分析を行ったことがあるだろうか?もしそのうちの1人がアクセスしたのであれば、もっとレビューを続ける必要がある。その一人に特別な許可を与える必要があるか?誰一人そうでなく、十分な期間監視しているのであれば、そうですね、それを強制することができます。しかし、もし私が何かを取り除いてしまったら......という恐怖がある。いろいろと推測することはできても、何かが必要になるような緊急事態を想定することはできません。私はこの許可を外しました。この看護師や医師、あるいは誰かが何かをする必要があったのに、突然それができなくなる、というシナリオが今出てきたのです。.
インゴ・シュベルト
機械を操作するだけではない。どこかのデータにアクセスするようなこともできるだろう?例えば、健康記録とかね。つまり、普通の企業では、誰かが少ない資格しか持っていないとまずいということです。彼らは自分の仕事をすることができませんが、リクエストをすれば承認されます。そう、悪いことなんだ。数時間遅れるかもしれないし、翌日になるかもしれない。しかし、医療環境では、これは文字通り大きな問題を意味する。そして、分刻みで行われるわけではないかもしれないが、必要なときに必要なケアが受けられないということになりかねない。.
ポール・マルヴィヒル
もしそれが企業で、誰かがデータにアクセスすることができれば、誰かがクレジットカードで何かを注文し、それを修正するためにクレジットカードでフルバックができるかもしれないし、注文がキャンセルされるかもしれない。つまり、これらのいくつかはそれほど深刻な影響ではありませんが、医療であれば、誰かがあなたの医療記録を変更します。共有されるべきではない詳細を誰かが共有する。何が起こるかわからない。あるいは、情報が漏れてしまうことで、長期的な影響が出る可能性もある。あなたが言ったように、あなたが依存している薬が止められるかもしれない。その薬の処方が終わりに近づいていて、実際に必要な薬かどうかの再確認が必要なときに、その薬の詳細が削除されることで、薬の効き目がさらに遅くなり、遅らせることになる。企業や民間企業の医療分野では小さな変化に見えるかもしれませんが、問題や影響は10倍、20倍、30倍にもなる可能性があるのです。.
ジョン・ニコラス
医療記録は、ダークウェブで取引される場合、非常に価値があります。例えば、クレジットカードの詳細情報よりも価値があります。保険金詐欺のように利用される可能性があります。だから、攻撃者はここに入りたいんだ。彼らは、願わくば、誰の命も危険にさらしたくないが、医療記録を手に入れ、それを金銭的な利益のために利用することで、金銭的な見返りを得たいのだ、と彼は言う。.
インゴ・シュベルト
つまり、その情報は攻撃者からすれば、誰かをスピアフィッシングで攻撃するのに最適なんだ。医療情報を知っていれば、信頼度が上がるだけで、その種の攻撃に対してより疑わしくなるよね?あるいは、脅迫とかね。その記録を使ってできることはたくさんあるよね?ああ、それは分かるよ。では、現実的な話に戻りますが、例えば病院で実際に何が起こるのでしょうか?典型的な認証ワークフローはどのようなものでしょうか?
ジョン・ニコラス
彼らが典型的かどうかは分からない。.
インゴ・シュベルト
まあ、いいだろう。.
ジョン・ニコラス
システムについては話したが、何をすべきなのか?という質問もあるかもしれないが、バックエンドには常にMFAのステップアップがあるべきだ、IAMの観点から話をすると、条件付きアクセスを活用することは可能でしょうか。AIを活用して、そのユーザーが適切な時に適切なユーザーであるかどうかを理解し、管理者が膨大なユーザーベースと膨大な技術スタックに基づいて条件付きアクセスポリシーをこねくり回すのではなく、動的に実行させることができます。.
インゴ・シュベルト
この業界で私が気づいたことのひとつは、製造現場での共有デバイスが一番近いかもしれない、ということです。それが普通とは言いませんが、不釣り合いなほど多くの共有デバイスがあるように感じました。それにどう対処すればいいのでしょうか?
ポール・マルヴィヒル
少なくとも3人、場合によっては5、6、7人で1台を共有することになるでしょう。ナースステーションの端末とか、そういうものですからね。 それを保護する最善の方法は?つまり、ユーザー名とパスワードに何らかの認証情報を入れることだ。小さなOTPトークンやハードウェアトークンを使っている人を見たことがある。かなり回復力がある。しかし、それで十分でしょうか?ワンタイムパスワードを通すだけだからだ。誰かがコンピューターにアクセスし、ログインし、使用しなければならない。しかし、パスワードは試行錯誤の末に完成したものだ。FIDOキーを渡して、その使い方に慣れるように頼んだり、モバイルで生体認証をプッシュして承認してもらったり。でも、それを使うには、他のことも加えなければならない。そのためには、他の要素も加えなければならない。.
インゴ・シュベルト
それに、他の業界では、例えば携帯電話をどこにでも持っていくことができないところもある。プライバシーの問題とか、カメラがあるからとか、他の機械の邪魔になるからWi-Fi接続はできないとか。だから、オプションが必要なんだ。それに、OTPジェネレーターは消毒液につけることもできるんだ。.
ポール・マルヴィヒル
先日、あるお客さんと話していたんですが、まさにそのような、まあ医療ではないですが、携帯電話が使えないというシナリオがあるんです。物理的な環境はセキュリティー的に厳重です。だから、ワンタイムパスコードのついたハードウェアトークンか、Fidoキーのようなものを使う。RSA iShieldのように、非接触型のFIDOやそのような要素を取り入れた新しいものもあります。以前はユーザー名とパスワード、そしてワンタイムパスコード、あるいはパスコードにそれらを使用することができました。コンピュータに行き、名前を使い、タップしてピンを入れれば、その領域に入ることができる。.
インゴ・シュベルト
それだけだ。.
ポール・マルヴィヒル
プロセスをスピードアップしているんだ。また、他にも進歩している分野があり、今後さらにシンプルになるかもしれません。つまり、FIDOやパスキーのいくつかの要素は、保持することができます。だから最終的には、FIDOのキーを持って歩いて、それをマシンに置くだけでいいんだ。.
インゴ・シュベルト
もちろん、このNFCタップがあれば、使い勝手の問題は少なくなる。何かを読み取ってもう一度何かをタップする必要がないので、間違った数字を読み取ったり、正しい数字を持っているのに間違ってタップしてしまったりすることがない。そのため、そのようなことがなくなりました。.
ポール・マルヴィヒル
また、視力に障害のある人がいる場合、回転する小さなスクリーンからそれを読み取るのは簡単ではないかもしれません。繰り返しますが、これはNFCです。.
インゴ・シュベルト
なるほどね。.
ポール・マルヴィヒル
どんな分野の人でも、その要素から恩恵を受けることができる。.
ジョン・ニコラス
セキュリティーと利便性を両立させることは、おそらく最も重要な分野のひとつだろう。急いで何か重要なことをしようとするときに、認証の流れやアクセスの流れを遅くしたくないから、セキュリティーと利便性を両立させることが重要になる。.
インゴ・シュベルト
複数の認証方法を持つことは、1人のユーザーのためだけでなく、複数の方法を持つユーザーもいるかもしれません。だから、1つのタイプですべてに適合するわけではないんだ。.
ポール・マルヴィヒル
そうだね。.
ジョン・ニコラス
絶対にない。確かに、あの規模の組織ではね。.
ポール・マルヴィヒル
役割分担についておっしゃったように、ガバナンスの側面に戻って、それぞれの役割を果たす人が、何ができるかをきちんとマッピングする必要があります。看護師や病院では、医師、ポーター、受付など、できることが決まっています。また、医師、別のポーター、受付の人など、さまざまな役割があり、それぞれ異なる要件やアクセス権を持っています。だから、それをマッピングして、この人はこういう役割で、ガバナンス・プロセスとライフサイクル・システムを整備して、これがあなたの役割で、これがあなたが持つことのできるものです、と確認し、それを適切な方法にマッピングして、1日に20分もMFAステップアップに時間をかけなくても仕事ができるようにしなければなりません、いつも使っているコンピューターに入り、いつもアクセスしているリソースにアクセスする。.
インゴ・シュベルト
では、ガバナンスの側面、つまりアイデンティティ・ガバナンスの側面にとどまりますが、では、なぜ、医療環境において、ジョインが重要なのでしょうか?
ジョン・ニコラス
ポールも言っていましたが、人はトラスト間を移動するかもしれませんが、トラスト内でも、おそらく定期的に役割を移動しているはずです。つまり、JMLプロセスの規模は、1日に何万、何十万もの変更があるのです。そのため、自動化された観点でそれを把握することは非常に重要です。また、単に自動化するだけでなく、適切なタイムラインを持つことも重要です。それがシステムに入っている。3日後にロールAからロールBに変更すると、バックエンドで自動的に行われます。上司に『来週からインゴがチームに加わりますが、彼にできることは何でしょう』と相談するのではなく、インゴがチームに加わり、初日から必要なことがすべてできるようにするのです。.
インゴ・シュベルト
そしてそれは、私がトラストを変更した場合、Aという役割はもう私にはないということでもある。
ジョン・ニコラス
ああ、そうだ。.
インゴ・シュベルト
だから、この権利の蓄積、あるいは時間の蓄積は、私たちのキャリアの中で誰もが一度は目にしたことがあると思う。
ジョン・ニコラス
アイデンティティ・スプロール.
インゴ・シュベルト
ああ、そうだ。.
ポール・マルヴィヒル
Jonが言っていたことに付け加えると、異なるサイトや異なるトラスト、異なるロールを飛び回っている場合、サイトAであなたのために作成されたアカウントは、ライフサイクル・サイドとレバーの要素を使えば、3、4、5週間、あるいは2、3日でも戻ってこない場合、そのアカウントを即座に無効にすることができる。そのため、アカウントが存在し、あるレベルのパーミッションが与えられているにもかかわらず、そのアカウントが無効化されてしまうというシナリオを避けることができる。ただ使われずに放置されているだけで、別の攻撃ベクトルになってしまうのだ。つまり、別の攻撃ベクトルになってしまうのです。誰かが侵入して、ランサムウェアを使った信用攻撃や、そういったことをすることができないようにするのです。もうここには来ないのだから、ロックしてしまえばいい。2日後に戻ってくれば、2日後にはシステムが再び電源を入れる。.
インゴ・シュベルト
そうだね。.
ポール・マルヴィヒル
それまではオプションではない。オフになっている。使えない。.
インゴ・シュベルト
そして、それによって得られる可視性、つまり、明らかにシステムは、あなたが持っている役割、あなたが持つ予定の役割、あなたが持っていた役割を知ることができます。間違っていたら訂正してほしいのですが、監査を受けた場合、その情報や可視性は非常に役に立つと思います。.
ポール・マルヴィヒル
誰がどの時点で何をすることができたのか、履歴がすべて残っているはずだ。では、監査の観点から何か起こった場合、この監査基準を守っているのか?はい、これがその証拠です。一元的なガバナンス・プラットフォームがあれば、すべてがそこにある。だから、「うん、問題ない。そして、万が一、うまくいけば稀なことですが、何かが起こった場合、同じデータセットを使って、その時点で誰がこのデータにアクセスしたかを確認することができます。どのような追加ログをエコシステムに取り込むことができるかによって、「これらのアカウントは何かやったかもしれないが、誰がそれにアクセスしたのか?誰が何かをしたかもしれない。.
インゴ・シュベルト
これは調査の助けになります。つまり、優秀なセキュリティー・エンジニアであれば、常に何が起こるか、いずれは侵入されることを想定しているものです。これは、後始末の過程で、何が起こり、誰が影響を受けたかを確認するのにも役立ちます。.
ポール・マルヴィヒル
常に何かを想定し、それが破られる可能性を想定する。コンピュータのプラグを抜いて、セメントで固めてアレアナの海溝に落とすとか、そういうことをしない限り、何かが起こることはない。だから、万が一、何かが起こったとしても、それが物事の進行に与える影響が最小限になるように、できるだけ多くのものを入れておくのだ。.
ジョン・ニコラス
それに加えて、ガバナンスのようなアプローチから得られるデータを見ると、監査人に情報を提供できるかどうかだけではないと思います。監査人に情報を提供できるかどうかだけでなく、現在の状況を把握できるかどうかも重要なのです。プロセスの成熟度について、私はこのセッションで多くのことをお話ししています。そのチームの誰も、半年でも1年でも、あなたが定義した期間内にこの権限を使用していない。その権利を削除することを検討しよう。なぜなら、その権利は過剰な権利であり、彼らがその権利を使わなくなったのには、それなりの理由があるかもしれないからだ。もしかしたら、その仕事量をこなすために並行して使っているシステムがあるかもしれない。だから新システムでは、古いシステムからそれを取り除く。そうでなければ、完全な手作業で監査を行うことになり、過去6ヶ月間あなたがシステムで何を使っていたのかがわからなくなってしまいます。そのインテリジェンスを使って、ゼロ・トラストや最小限の特権に向けた作業について、情報に基づいた意思決定を行おう、と言うのです。.
インゴ・シュベルト
ああ、ここで特権が頭をよぎる。.
ポール・マルヴィヒル
そうすると、あなたが言ったように、彼らが使っていなかった特定の許可特権を見ることができるようになります。実際、チームの%の80人がこれをやっていますが、正式な役割の一部ではありません。10人中8人が個別に「Xをするために必要なので、システムBにアクセスさせてください」と言うのではなく、チーム全体が必要だからできるようにするために、この権限を追加する必要があるのでしょうか。.
インゴ・シュベルト
例外による管理、基本的にはそうだ。そうだ。.
ポール・マルヴィヒル
実際、80人の%が使っているんだ。そうすれば、監査やコンプライアンスを遵守することができ、「そうだ、このチームにはこれが必要だ。これは彼らの役割の一部だ。他の誰かが入ったり、辞めたりしたら、その人が持っている役割の一部であるため、そのアクセスをオフにするか、同じようにやっている新しい人に与えます。.
インゴ・シュベルト
では、CIO、つまり医療機関のCIOに、何から始めたらいいと言いますか?というのも、CIOが始められることは山ほどあるからです。
ジョン・ニコラス
しかし、その本当の理由は、フィッシング詐欺への対策に力を入れることです。なぜなら、多くの医療機関は主要なコミュニケーション手段として電子メールに依存しているからです。なぜなら、医療機関の多くは主要なコミュニケーション手段として電子メールを利用しているからです。それだけでなく、そのようなシステムを利用している人たちは、プレッシャーの高い環境で働いています。ログオンして、素早く何かをする必要があって、メールが来て、ちょうどいいタイミングでそれを打つことができた。パニックではなく、通常の流れで、うっかりフィッシング・サイトに認証情報やデータを公開してしまうのだ。ですから、フィッシング詐欺の耐性を認証するために、私たちは、このような電子メール・コミュニケーションに重点を置いている部門に注目しています。.
ポール・マルヴィヒル
フィッシング対策から始めて、次に従業員に何ができるかを可視化することで、フィッシング対策と並行して、フロントドアのセキュリティを確保する。何が使われていて、何が使われていないのか、誰が何をできて、誰が何をできないのか。一度データを手に入れれば、誰も使っていないのだから、最初から何の効果もない変更を加えることも検討できる。しかし、同じように、チームがより効率的に仕事をこなせるようにするためには、どのような変更が必要なのかを考えることができる。.
インゴ・シュベルト
ありがとう。医療システムにおけるIDセキュリティについて、実に良い洞察がありました。このようなディスカッションがお好きな方は、新しいエピソードが公開されたら、ぜひ購読してお知らせください。以上、「RSA Identity Unmasked」でした。また来月お会いしましょう。.
エピソード2 - ヘルプデスク攻撃のリスク
RSAのIngo Schubert、John Nicholas、Paul Mulvihillが、注目の攻撃ベクトルであるヘルプデスク攻撃について議論します。パネリストは、サイバー犯罪者がMarks and Spencer、Jaguar、Co-Opなどをどのように攻撃したかを詳しく説明し、従来の認証ソリューションではこれらの攻撃を防ぐことができない理由を説明します。.
今すぐご覧ください:
- ヘルプデスクがサイバー攻撃の格好の標的になる理由
- MFAはヘルプデスク攻撃の防止にどのように役立ち、どこで不足するか
- ソーシャル・ネットワークがソーシャル・エンジニアリング攻撃にどうつながるか
ビデオ録画
インゴ・シュバート:RSA Identity Unmaskedへようこそ。本日は、見過ごされがちなヘルプデスクのセキュリティについてお話しします。今日は、ジョンとポールが加わり、実際のケース、リスク、およびそれらのリスクを軽減するためのコントロールについてお話しします。.
ヘルプデスクはなぜ狙われるのか?まずはここから。.
ジョン・ニコラス:ええ、喜んで飛び込みます。そもそもヘルプデスクの役割とは、人々を助けたいということだと思います。だから、ヘルプデスクに電話をかけてくる人は誰でも、ヘルプデスクの管理者のその善良な性格を利用して、「ねえ、何か手伝ってくれる?だから、あなたが企業の従業員である場合は、純粋に助けが必要なのです。しかし、あなたが電話をかけてくる脅威の行為者である場合、彼らはそれを祈ることができる。なぜなら、ヘルプデスクの管理者は、もはやX、Y、Zしかできないと言うプロセスに縛られないからだ。これはヘルプデスクにとって、強力なプロセスがない場合に悪用される本当のリスクだ。.
ポール・マルヴィヒル:それに加えて、ヘルプデスクの中には、KPIが「チケットをクローズしなければならない」「誰かが電話をかけてくる」「チケットをクローズしなければならない」「解決しなければならない」というところもあります。これらはすべて、もしあなたが何もしないのであれば、私はその上でプレーするつもりだ。あなたがチケットをクローズしたいのなら、私は電話で問い合わせ、あなたはチケットを作成した。.
ヘルプデスクで働いたことがある人ならわかると思うんだけど、私はちょっとだけ働いたことがあるんだけど、つまり、彼らの統計のようなもので、チケットが何枚開かれているかとか、チケットの平均クローズ時間とか、そういうのが全部大きなモニターに表示されることがあるんだ。そうそう。実際、最近何か変わったんですか?何が変わって、これが最高の攻撃ルートになったんですか?
ポール・マルヴィヒル:以前からルートへの攻撃はあったのでしょうが、最近になってニュースに取り上げられることが多くなりました。マーク・スペンサーの生協、JLR、ジャガー、ランドローバーがこの1年半に攻撃を受けました。ヘルプデスクが狙われたせいもある。誰かが誰かを説得してアカウントの認証情報を与えさせ、そこに侵入して悪事を働いた。.
サード・パーティに頼っているのは、もはや組織Aの従業員だけではありませんし、私たちは常にサード・パーティについて業界内の事前リスクについて話しています。そのような面でも、限られた知識しかないのかもしれません。.
インゴ・シュバート:オーケー。そしてもちろん、その会社の文化を知らなければ、そうなります。.
ポール・マルヴィヒル(以下マルヴィヒル):そうですね、あなたがおっしゃったように、ヘルプデスクをアウトソーシングしている場合、手順は知っていても、人のことは知らないでしょう。そうですね。では、「わかりました、お電話します」と言えるようにするにはどうすればいいのでしょうか?私たちは初対面です。オフィスに来たこともない。.
インゴ・シュバート:実際の攻撃はどうなんだ?つまり、この場合の典型的な攻撃とはどのようなものでしょうか?攻撃者は何を達成しようとしているのか?そして、攻撃者はそれをどうするのか?
ポール・マルヴィヒル:アカウントをリセットすることから、VPNネットワークに接続するための手助けを得ることまで、いろいろなことが考えられます。つまり、私たちは、人々が何をするかについて多くのソーシャルメディアがある世界に住んでいます。私の友人にも、様々な理由で自分の人生をソーシャルメディアに公開している人がいる。理にかなっていることもあれば、そうでないこともある。だから、もしあなたが誰かのことを知りたいと思ったら、情報源を追跡して多くの情報を集めることができるだろう。ヘルプデスクに電話をして、誰かの出生地やペットの名前など、あれやこれやを調べて、パスワードの再設定を依頼する。私が誰なのか、私が何を言っているのかを知るための、今日のステップは何でしょう?おそらくセキュリティの質問でしょう。.
インゴ・シュバート:そうですね。基本的には、攻撃者がソーシャル・ネットワークから得た予備知識を組み合わせることになります。別の攻撃かもしれないし、違法かどうかは別として、データブローカーから買ったデータかもしれない。そして、冒頭で話したような高圧的な環境と組み合わさることで、攻撃者にとっては実に魅力的なターゲットになるわけですね。
ジョン・ニコラス:ええ、それに加えて、私たちは模倣したいと思うような個人をリサーチすることについてよく話します。彼らのテクノロジー・スタックはどうなっているのか?そうすれば、ヘルプデスクと会話をするときに、より信頼性を高めることができる。VPNにアクセスできますか?パロアルトのVPNが使えないんです。どうすればいいですか?そうすればすぐに、この方が身近に感じられるでしょう。.
インゴ・シュバート:私はこの場合、攻撃者であるあなたの方が身近に聞こえる、と言おうとしたのですが、それはつまり、あなたが私たちの仲間だということです。.
ポール・マルヴィヒル:少し前に、ある大会のビデオを見たんだが、ヘルプデスク経由で企業にハッキングするためにお金をもらっている人がいた。そして、ユーザーになりすましたり、VPNシステムとは何かという情報を得たりして質問し、ウェブサイトへのアクセスを手伝わせ、実際にその人が使っているコンピューターにバックドアでアクセスできるようにした。.
インゴ・シュバート:つまり、これは基本的に認証のための証拠に頼るということです。どちらかというと、攻撃者が作り出す、暖かくてファジーな感じがいいんです。その代わりに何をすべきなのでしょうか?つまり、何か違うことができないか?つまり、真新しい問題ではなさそうですよね?このヘルプデスクはもう何十年も前からあるものでしょう?
ポール・マルヴィヒル:そうですね、つまり、ITセキュリティーに関しては、私たちは方程式全体の中で最も弱い部分だというところまで来ていると思います。私たちが知っていることを頼りにしているのであれば、おそらくあなたはそれを見つけることができるでしょう。誰かが持っているもので、他の情報源から得られない、あるいは学べないようなもので認証を行う、という領域まで踏み込む必要があります。ある種のMFAのステップアップのようなもので、そのような種類のものだ。でも、質問をするのではありません。.
インゴ・シュバート:そうですね、一番人気があるのは、祖母の旧姓とか、そういったセキュリティに関する質問ですね。その中でいつも同じものはいくつありますか?
ポール・マルヴィヒル:その通り。同じ10個の質問から3つを選ぶ。そのリストを見て、みんなの答えがわかるかもしれない。そのリストを見つけて、みんなの答えが何なのか調べればいいんだ。.
インゴ・シュバート:そうですね。包括的なテーマに戻ると、IDセキュリティの一般的な話になりますが、そう、証明と強力な証明が必要なのです。あなたはMFAの話をしたと思います。そこでMFAの出番です。.
ポール・マルヴィヒル:ええ、つまり、もしあなたが会社でMFAを導入しているのなら、それを利用してください。もしジョンがMFAを設定してヘルプデスクに電話をかけてきたら、それを使って自分が誰であるかを証明するのです。もし、それがMFAの設定だったら、それを証明してください。.
INGO SCHUBERT:では、それは今どのように機能するのでしょうか?この場合、RSA ID Plusでは、つまり、ヘルプデスクは何をする必要があるのでしょうか。そのためにエンド・ユーザーは何をする必要があるのでしょうか?というのも、MFAを行うというのは、そう、1つのことなんです。でも、それがどのように段階を踏んで機能するのか。ユーザーはどうすればいいのか?
ポール・マルヴィヒル(以下マルヴィヒル):ID Plusのようなものには、2つの側面があります。ヘルプデスクの担当者はシステム内でユーザーを見つけ、ベリファイ・セッションを開始します。電話をかけてきたエンド・ユーザーはURLを知っているか、行くべきURLを教えてもらっている。企業は、それがFIDAなのか、プッシュ承認なのか、バイオメトリクスなのか、どのような方法であっても受け入れられるかどうかを決定する。それに成功すると、ベリファイ・コードが発行される。それをヘルプデスクの担当者に返す。しかし、これは純粋に本人確認番号です。認証番号ではない。それで何かを調べることはできない。.
インゴ・シュバート:そうだね。だから、彼らは現在のOTPを手放したりする必要はないんだ。.
ポール・マルヴィヒル:OTPならOTPでやってくれる。プッシュ認証やファイドーのバイオメトリクスを行います。その時点で情報を共有することなく、そのすべてを行う。結果を得る。その結果をヘルプデスクの担当者に渡す。認証の類ではない。そして
ヘルプデスクの人が、この番号を教えてくれ、1、2、3、4、5、それを入れてくれ、と言うと、システムは、ああ、これが彼らの言う人物だと期待していたよ、と言う。.
ヘルプデスクはなぜ狙われるのか?まずはここから。.
ジョン・ニコラス:ええ、喜んで飛び込みます。そもそもヘルプデスクの役割とは、人々を助けたいということだと思います。だから、ヘルプデスクに電話をかけてくる人は誰でも、ヘルプデスクの管理者のその善良な性格を利用して、「ねえ、何か手伝ってくれる?だから、あなたが企業の従業員である場合は、純粋に助けが必要なのです。しかし、あなたが電話をかけてくる脅威の行為者である場合、彼らはそれを祈ることができる。なぜなら、ヘルプデスクの管理者は、もはやX、Y、Zしかできないと言うプロセスに縛られないからだ。これはヘルプデスクにとって、強力なプロセスがない場合に悪用される本当のリスクだ。.
ポール・マルヴィヒル:それに加えて、ヘルプデスクの中には、KPIが「チケットをクローズしなければならない」「誰かが電話をかけてくる」「チケットをクローズしなければならない」「解決しなければならない」というところもあります。これらはすべて、もしあなたが何もしないのであれば、私はその上でプレーするつもりだ。あなたがチケットをクローズしたいのなら、私は電話で問い合わせ、あなたはチケットを作成した。.
ヘルプデスクで働いたことがある人ならわかると思うんだけど、私はちょっとだけ働いたことがあるんだけど、つまり、彼らの統計のようなもので、チケットが何枚開かれているかとか、チケットの平均クローズ時間とか、そういうのが全部大きなモニターに表示されることがあるんだ。そうそう。実際、最近何か変わったんですか?何が変わって、これが最高の攻撃ルートになったんですか?
ポール・マルヴィヒル:以前からルートへの攻撃はあったのでしょうが、最近になってニュースに取り上げられることが多くなりました。マーク・スペンサーの生協、JLR、ジャガー、ランドローバーがこの1年半に攻撃を受けました。ヘルプデスクが狙われたせいもある。誰かが誰かを説得してアカウントの認証情報を与えさせ、そこに侵入して悪事を働いた。.
サード・パーティに頼っているのは、もはや組織Aの従業員だけではありませんし、私たちは常にサード・パーティについて業界内の事前リスクについて話しています。そのような面でも、限られた知識しかないのかもしれません。.
インゴ・シュバート:オーケー。そしてもちろん、その会社の文化を知らなければ、そうなります。.
ポール・マルヴィヒル(以下マルヴィヒル):そうですね、あなたがおっしゃったように、ヘルプデスクをアウトソーシングしている場合、手順は知っていても、人のことは知らないでしょう。そうですね。では、「わかりました、お電話します」と言えるようにするにはどうすればいいのでしょうか?私たちは初対面です。オフィスに来たこともない。.
インゴ・シュバート:実際の攻撃はどうなんだ?つまり、この場合の典型的な攻撃とはどのようなものでしょうか?攻撃者は何を達成しようとしているのか?そして、攻撃者はそれをどうするのか?
ポール・マルヴィヒル:アカウントをリセットすることから、VPNネットワークに接続するための手助けを得ることまで、いろいろなことが考えられます。つまり、私たちは、人々が何をするかについて多くのソーシャルメディアがある世界に住んでいます。私の友人にも、様々な理由で自分の人生をソーシャルメディアに公開している人がいる。理にかなっていることもあれば、そうでないこともある。だから、もしあなたが誰かのことを知りたいと思ったら、情報源を追跡して多くの情報を集めることができるだろう。ヘルプデスクに電話をして、誰かの出生地やペットの名前など、あれやこれやを調べて、パスワードの再設定を依頼する。私が誰なのか、私が何を言っているのかを知るための、今日のステップは何でしょう?おそらくセキュリティの質問でしょう。.
インゴ・シュバート:そうですね。基本的には、攻撃者がソーシャル・ネットワークから得た予備知識を組み合わせることになります。別の攻撃かもしれないし、違法かどうかは別として、データブローカーから買ったデータかもしれない。そして、冒頭で話したような高圧的な環境と組み合わさることで、攻撃者にとっては実に魅力的なターゲットになるわけですね。
ジョン・ニコラス:ええ、それに加えて、私たちは模倣したいと思うような個人をリサーチすることについてよく話します。彼らのテクノロジー・スタックはどうなっているのか?そうすれば、ヘルプデスクと会話をするときに、より信頼性を高めることができる。VPNにアクセスできますか?パロアルトのVPNが使えないんです。どうすればいいですか?そうすればすぐに、この方が身近に感じられるでしょう。.
インゴ・シュバート:私はこの場合、攻撃者であるあなたの方が身近に聞こえる、と言おうとしたのですが、それはつまり、あなたが私たちの仲間だということです。.
ポール・マルヴィヒル:少し前に、ある大会のビデオを見たんだが、ヘルプデスク経由で企業にハッキングするためにお金をもらっている人がいた。そして、ユーザーになりすましたり、VPNシステムとは何かという情報を得たりして質問し、ウェブサイトへのアクセスを手伝わせ、実際にその人が使っているコンピューターにバックドアでアクセスできるようにした。.
インゴ・シュバート:つまり、これは基本的に認証のための証拠に頼るということです。どちらかというと、攻撃者が作り出す、暖かくてファジーな感じがいいんです。その代わりに何をすべきなのでしょうか?つまり、何か違うことができないか?つまり、真新しい問題ではなさそうですよね?このヘルプデスクはもう何十年も前からあるものでしょう?
ポール・マルヴィヒル:そうですね、つまり、ITセキュリティーに関しては、私たちは方程式全体の中で最も弱い部分だというところまで来ていると思います。私たちが知っていることを頼りにしているのであれば、おそらくあなたはそれを見つけることができるでしょう。誰かが持っているもので、他の情報源から得られない、あるいは学べないようなもので認証を行う、という領域まで踏み込む必要があります。ある種のMFAのステップアップのようなもので、そのような種類のものだ。でも、質問をするのではありません。.
インゴ・シュバート:そうですね、一番人気があるのは、祖母の旧姓とか、そういったセキュリティに関する質問ですね。その中でいつも同じものはいくつありますか?
ポール・マルヴィヒル:その通り。同じ10個の質問から3つを選ぶ。そのリストを見て、みんなの答えがわかるかもしれない。そのリストを見つけて、みんなの答えが何なのか調べればいいんだ。.
インゴ・シュバート:そうですね。包括的なテーマに戻ると、IDセキュリティの一般的な話になりますが、そう、証明と強力な証明が必要なのです。あなたはMFAの話をしたと思います。そこでMFAの出番です。.
ポール・マルヴィヒル:ええ、つまり、もしあなたが会社でMFAを導入しているのなら、それを利用してください。もしジョンがMFAを設定してヘルプデスクに電話をかけてきたら、それを使って自分が誰であるかを証明するのです。もし、それがMFAの設定だったら、それを証明してください。.
INGO SCHUBERT:では、それは今どのように機能するのでしょうか?この場合、RSA ID Plusでは、つまり、ヘルプデスクは何をする必要があるのでしょうか。そのためにエンド・ユーザーは何をする必要があるのでしょうか?というのも、MFAを行うというのは、そう、1つのことなんです。でも、それがどのように段階を踏んで機能するのか。ユーザーはどうすればいいのか?
ポール・マルヴィヒル(以下マルヴィヒル):ID Plusのようなものには、2つの側面があります。ヘルプデスクの担当者はシステム内でユーザーを見つけ、ベリファイ・セッションを開始します。電話をかけてきたエンド・ユーザーはURLを知っているか、行くべきURLを教えてもらっている。企業は、それがFIDAなのか、プッシュ承認なのか、バイオメトリクスなのか、どのような方法であっても受け入れられるかどうかを決定する。それに成功すると、ベリファイ・コードが発行される。それをヘルプデスクの担当者に返す。しかし、これは純粋に本人確認番号です。認証番号ではない。それで何かを調べることはできない。.
インゴ・シュバート:そうだね。だから、彼らは現在のOTPを手放したりする必要はないんだ。.
ポール・マルヴィヒル:OTPならOTPでやってくれる。プッシュ認証やファイドーのバイオメトリクスを行います。その時点で情報を共有することなく、そのすべてを行う。結果を得る。その結果をヘルプデスクの担当者に渡す。認証の類ではない。そして
ヘルプデスクの人が、この番号を教えてくれ、1、2、3、4、5、それを入れてくれ、と言うと、システムは、ああ、これが彼らの言う人物だと期待していたよ、と言う。.
エピソード1 - 量子コンピューティング
インゴ・シューベルト(RSA)とデイヴィッド・レロ(バーニング・ツリー)が、量子暗号、リスクへのタイムライン、そして組織がポスト量子IDレジリエンスに備える方法について議論を続ける。この第1回目のエピソードでは、その全貌に迫ります。ポップコーンをどうぞ!いい話です!
ビデオ録画
インゴ・シューベルト:RSA Identity Unmasked へようこそ。この Vodcast では、ID セキュリティの未来を形作る勢力を解説します。ホストのインゴ・シューベルトです。今日は、業界全体が熱を帯びているトピック、量子コンピューティングに飛び込みます。今日はBurning TreeのDavid Lelloと一緒にお送りします。さっそく本題に入りましょう。今日は、量子コンピューティング、誇大広告、脅威、機会、あるいはその3つすべて。昨年9月にブレッチリー・パークで始まった議論を、バーニング・ツリーのデヴィッド・リロと私、インゴ・シューベルトとで再び行っています。では、さっそく始めましょう。デイビッド、このエピソードにようこそ。.
DAVID LELLO:ありがとう。
インゴ・シュバート:聴衆の皆さんのために、量子コンピューターとはどういうものか、2、3語で説明していただけませんか?
デビッド・レロ:量子コンピュータの基本的な見方から始めようと思う。.
インゴ・シュベルト:うん
DAVID LELLO:量子コンピューターは、従来のコンピューターとは異なる方法で動作します。量子コンピューターでは、コンピューターは異なる方法で処理を行います。量子力学を利用しているので、量子力学の多次元の世界では、データを見て、データを見る。データを同じように読み取ることはなく、その結果、仮説を立てたり、複数の構成要素を同時に見ることができる。本を読むとき、従来のコンピューターは最初から最後まで読みますが、量子コンピューターは本を読み、データを見ます。そのため、量子コンピューターははるかに速く情報を処理することができる。また、問題を解決する際にも、一連の問題を解決しようとするのではなく、すべての問題を同時に解決するようなものです。.
インゴ・シュバート:ええ、もちろんアルゴリズムはかなり違います。だから、多くの人が、私もそうですが、実際にどうやってプログラミングするのかということに頭を悩ませているのだと思います。伝統的なITのバックグラウンドを持つ私にとって、これは本当に別物なんだ、ということを理解するのに役立つことがある。Nビットあれば、N個のデータを保存できる。ゼロか1か?量子では、Nの2乗、つまり、即座に、昔の瞬間的な計算が働けば、同じ量の量子ビットで、より多くのデータを保存できるんだ。だから、記憶と処理は別次元なんだ。というわけで、この話はこの辺にしておきましょう。基本的なことを説明しただけです。.
そこで、次のトピックとして、量子コンピューティングの現状はどうなっているのか?私たちは今どこにいるのでしょうか?というのも、おそらく、そしてブレッチリー・パークで私たちをご覧になった方もいらっしゃるかもしれませんが、私たちの現在地や将来について、私たちは異なる意見を持っていると思うからです。では、あなたから始めましょう。量子コンピュータの現状はどうですか?
デビッド・レロ:量子コンピューターはまだ初期段階にあると思う。多くの量子コンピューターが存在し、実際に量子コンピューターで時間を雇ってデータを見ることができます。しかし、量子コンピュータが開発されるには、さまざまな問題があると思います。量子コンピュータの中には、温度などの面で多くの制御を必要とするものもあります。量子コンピューターは絶対零度、つまり摂氏マイナス270度で動作するわけですが、これは本当に低温です。そのためには大きな施設と設備、そして大きなエネルギーが必要です。そうでなければ、結合力が失われ、プラットフォームの安定性が損なわれてしまいます。.
初期の量子コンピューターは、この問題のために常に燃え尽きていた。そのため、この問題を解決し、対処する必要がある。もう1つの問題は、量子コンピューターは同時にデータを見るため、多くのノイズが発生するということです。もし聖書のようなものを、最初から最後まで読むのではなく、瞬時に読まなければならないとしたら、理解できない物語が頭の中にできてしまうでしょう。そして、メッセージを咀嚼し、理解し、抽出することは非常に難しくなる。.
そのため、システム内のノイズが大きな問題を引き起こしていた。オックスフォードでは、エラー評価とシステム内のノイズを大幅に減らすことに成功しました。しかし、現在のところ、おそらく最も大きな問題は、一度にエンタングルできるキュービットの量です。つまり、情報を処理するために一度にエンタングルできる量子ビットの量は限られている。つまり、マシンの処理能力や能力には限界があるということだ。.
つまり、まだ暗号学的に適切な量子コンピューティングと呼べるようなものではない、ということが大きな問題なのだが、実証された段階にある。機能する。科学者が言うとおりのことができる。ただ、それを次のレベルに引き上げ、さらに投資していく必要がある。数カ月に一度、さらなる進歩が起こったり、多額の投資が行われたりしており、私たちは進歩を目の当たりにし始めている。.
インゴ・シュバート:ええ、その通りです。量子コンピュータを比較するとき、その写真を見ればわかるでしょう?5年前と現在を比べると、私は今でも部分的には物理実験と呼んでいますが、5年前の方がはるかに物理的な実験でしたよね?その物理的なセットアップを見ればわかるでしょ?
しかし、従来のコンピューターよりもはるかに速く問題を解決できるのは事実だ。その理由のひとつが、あなたがおっしゃった「結束力」です。ええ、基本的な結束力というのは、ある一定の時間だけシステムを安定させることができるかどうかということです。どのチップかにもよるけど、通常は最大で秒単位、ミリ秒単位で計測されるんだ。そして、それは多くの場合、有用な時間からかなり離れている。しかし、理にかなった使用例もあります。量子コプロセッサのようなものだ。しかし、私が問題視しているのは、多くの使用例において、NvidiaのGPU数個で同じように問題を解決できるかどうか疑問だということだ。
量子コンピューティングの分野でも多くの宣伝が行われています。AIの誇大広告とも少し重なると思います。誇大広告であっても、それが現実であるとも言えるでしょう。しかし重要なのは、多くの誇大広告と多額の資金が出回っているということです。その資金の一部は、出口戦略のようなものを探しているのだと思います。量子コンピューターは魅力的でしょう?そのため、彼らは多くのものをそこに投入しています。そして、根本的に見ると、過大評価され、また、何を約束するかという点で、過大評価されている企業が存在します。ブレッチリー・パークでは、グーグルのウィロー・チップを例に挙げましたが、グーグルは実際にこの新しいチップに関するプレスリリースを発表しました。宇宙は25歳の10の何乗かしかないんだから、とんでもないことだ、という感じだ。また、大小を問わず、さまざまな企業のプレスリリースを見ると、達成したことを誇張する傾向がある。.
残念なことに、量子コンピューティングがここ数年で成し遂げた真の進歩のいくつかがかき消されてしまうのです。量子コンピューティングの脅威が、実際よりもずっと現実味を帯びてきているのです。でも、もし量子コンピューターが突然現れたら、なぜ世界は終わるのか、という話に入る前に、あなたが考えている量子コンピューターの利点は何でしょうか?量子コンピューターは、他のどんなものよりもずっと優れたことができるのでしょうか?
デビッド・レロ:量子コンピュータの現状について、あなたがおっしゃったことにもお答えします。量子コンピュータに問題があることには同意しますが、量子コンピュータの安定性の実現は、言われているよりもずっと近いところにあると思います。振り返ってみると、未来を見るための最良の方法のひとつは歴史を見ることだと思います。私が銀行で働いていた若い頃、メインフレームがあって、それは旧式のIBMのメインフレームだった。メインフレームは一部屋を占めていた。大きな部屋だった。小さな部屋ではなかった。かなり大きな部屋だった。メインフレームは部屋を埋め尽くしていた。このメインフレームにはバルブがあった。水冷タンクが3つあった。この銀行の地下にはプールがあった。これは巨大だった。そのわずか数年前に、そのメインフレームからパンチカードシステムを入れ替えたんだ。.
古いメインフレームを搬出する際には、フォークリフトや非常に重たい機械が必要だった。そして、以前よりも飛躍的に巨大なラックとメインフレームコンピュータに置き換えた。コンピュータの進歩は年々加速している。ほんの30年前、いや40年前にさかのぼったとしても、私たちが目にする変化の量は膨大なものです。.
インゴ・シュバート:そう。.
冷却システムや大型装置、それに付随するあらゆるものが必要だからです。それには莫大な費用がかかる。莫大な投資が必要なんだ。そして、これらの問題は解決されるだろう。そして、私たちが考えるよりも早く解決されるかもしれない。現在のところ、月ごとに見られる進歩は、私たちが結束に近づいていることを示唆している。だから、もう少しなのかもしれない。.
というのも、量子コンピューターができることは、データを非常に高速に処理できることであり、一部の人々が主張するほど高速ではないが、データを非常に高速に処理できるため、これまで解決できなかった問題に目を向け、解決できることを意味するからだ。.
理論物理学ではシュレディンガーの猫という概念がある。腐敗しているのか?それは何なのか?猫の状態は?量子コンピューターは、あらゆる可能性の猫を実際に見て、見ることができる。.
タンパク質の折り畳みなど、医学の分野では、量子コンピュータは従来のコンピュータよりも優位に立つと思います。他にも、単純に大量のデータを処理する必要があるもの、天気予報もそうですし、地質学的なデータなど、コンピュータの恩恵を受けるユースケースはたくさんあります。.
というのも、トランジスタで過去に起こったことがまた起こるというのは、一筋縄ではいかないからです。宝くじと同じで、前回当たったからといって、次回も当たらないとは限りません、数百量子ビット、あるいは数千量子ビットで万能の量子コンピュータができるとしたら、例えば、暗号技術にとって脅威となる「ショーのアルゴリズム」を実行することができる。数十万量子ビットの話ですよね?それに到達する過程で、どこかで壁にぶつかるかもしれないだろ?そのような問題を解決できる保証はない。そうかもしれないし、実際そうかもしれないけど、保証はないんだ。それと同時に、量子コンピューターは、GPUのおかげで世界的に計算能力が大幅に向上している環境の中で、商業的に生き残らなければなりません。AIのおかげで。 以前はビットコインの流行でしたが、今はAIです。つまり、チップ設計の根本的な進歩がなければ、このようなことは起こりません。つまり、チップは小型化されるのです。私たちは計算能力を大幅に向上させました。つまり電力です。.
そのような環境では、量子コンピューターは生き残らなければならない。特に鍵の解読については、政府によってはそうするところもあるでしょう。そう、それでいいんだ。彼らは十分なお金を持っている。彼らはそんなこと気にしない。まあ、気にする必要はあるかもしれない。私たちの税金なんだから。.
完全に機能する普遍的な量子コンピューターに至るまでには、実用的な量子コンピューターのユースケースがある。それは議論の余地がないと思う。そうでないとは言っていない。そして、そのための良いユースケースもある。例えば、製薬研究におけるタンパク質の折り畳みとかね。
しかし、脅威について話しましょう。消費電力のような話ではなく、伝統的なユニットにはそれがあるからね。つまり、特にITセキュリティに対する脅威、そしてセキュリティなんだ。ショールのアルゴリズムについて触れましたが、これが何なのか、セキュリティにどのような影響を与えるのかを簡単に説明しましょう。.
量子コンピューターは、情報やデータをより速く処理することができるので、暗号鍵をリバースエンジニアリングするためにショーのアルゴリズムを使うことができる。.
インゴ・シュバート:そう。.
デービッド・レロ:したがって、私たちが消費し、使用し、アクセスする最も多くのデータが、攻撃に対して脆弱になる。.
インゴ・シュバート:ええ。何十万もの量子ビットが凝集し、何時間も動作する必要があるからです。何十万もの量子ビットを結合させ、ある程度の時間をかけて動作させる必要があるからだ。つまり、RSAアルゴリズムは、ある意味で本質的に破られるか、無効化されることになる。つまり、ここ数十年間使われてきた一般的なものは、基本的にすべて破られてしまうということですね。量子コンピューターがあれば壊れてしまう。もちろん、伝統的なコンピューターはこれまで通り苦戦を強いられるでしょう。.
つまり、これらのアルゴリズムはあらゆるところで使われているんだ。従来のTLS、ウェブサーバー通信、クライアントからウェブサーバー、VPN、電子メールの署名、送信されるファイルの暗号化など、これらはすべてRSA、ECC、Diffie-Hellmanに基づいていることが多いんだ。つまり、これは破滅的と言えるかもしれません。.
デービッド・レロ:絶対にそうなる。完全に壊滅的でしょう。調べれば調べるほど、そして実際に使用すればするほど、より多くのシステムが故障することになるでしょう。これは世界的な問題です。認証や金融システムへの認証のようにね。ビットコインのようなものでさえ危険にさらされる。楕円曲線暗号を使っていて、それが漏洩してしまう。その結果、金融システムが完全に崩壊してしまうのです。.
そう、大惨事になりかねないのです。IoTやOTについて話し始めて、医療機器や医療機器について考え始めると、それを危険にさらす可能性があることがわかります。例えば、インスリンポンプを装着している人がいるとします。.
もし私がインスリンポンプの暗号化を危うくできれば、誰かを殺すことができる。.
インゴ・シュバート:そう。.
DAVID LELLO:つまり、突然、こうしたことの背後にある犯罪性が指数関数的に大きくなる可能性があるということです。そして、『マイノリティ・リポート』や『ターミネーター』のような使用例を目にするようになるのです。.
インゴ・シュバート:今、あなたは話している。面白くなってきたよ。.
でも、量子コンピューターは一朝一夕にできるものではありません。例えば、誰かが20万キュービットの量子コンピュータを手に入れたとしましょう。通常は100万個くらいだ。10万キュービットくらいあればいいという研究もある。突然、誰もが量子コンピューターを持つようになるわけではありません。量子コンピューターにアクセスできるのは、一部の政府や研究施設だけです。すべてのサイバー犯罪者が量子コンピュータにアクセスできるわけでもない。.
しかし、脅威は現実だ。2000年問題に似ていると思う。だから、我々はしばらく前からそのような事態になることを予見していたが、それを軽減するためにいろいろなことをやったが、結局は何の役にも立たなかった。.
デービッド・レロ:でもそれは、僕らが何かをしたからだよ。.
インゴ・シュバート:その通り。私たちが何かをしたからでしょう?もし何もしていなかったら、おそらく大きな問題になっていただろう。そして、おそらく今回のケースと似たようなことになると思います。.
ええ、ですから、私たちの寿命がどれくらいかは意見が分かれるかもしれませんね。MITREの報告書では、アメリカの政府出資の研究機関として、2040年代初頭、おそらく2050年代あたりに、このショールのアルゴリズムを発表しています。奇跡でも起きない限り、その可能性は極めて低いと思う。では、この量子の黙示録に備えるために、今日できることは何でしょうか?
DAVID LELLO:2050年よりずっと早くなるのは間違いないと思う。なぜなら、それは不可能なことだからだ。私たちには超自然的な精神がないのだから。.
インゴ・シュバート:では、2055年に会いましょう。同じ時間にね。もし僕がまだ中にいたらね。.
デビッド・レロ:もちろんだ。そうしよう。同じ時間、同じ場所で。そうしよう。でも、もしもっと早く実現するのであれば、そのイベントをどのように祝うか考えましょう。技術の進歩には必ずブレークスルーがあり、それはある時点で起こります。来週かもしれないし、10年後かもしれない。10年後に起こるかもしれない。わからない。しかし、科学がそこにある以上、それは必ず起こる。信憑性がある。現実だ。ひまわり畑は今、凝集力を維持している。常温で、畑で、周囲で起こっているあらゆることがあっても、安定性がある。下を走り回る動物、汚染、その他もろもろ。ひまわり畑は凝集力を持つことができる。.
インゴ・シュバート:その通りだ。.
DAVID LELLO:科学者たちがなぜそんなことをするのか?
インゴ・シュキュベール:ええ、でも進化には数百万年かかるでしょう? それが私の言いたいことだ。でも、彼らには少し先があるよね?
ブレッチリー・パークでも少し触れましたが、暗号鍵の管理に関する慣行やグッドプラクティスと呼ばれるものに関して、私たちが現在抱えている問題のひとつは、多くの企業が失敗しているということです。数年前にSSLの脆弱性が発覚し、誰もが慌てて鍵の交換を検討しました。その結果、組織はTLSキーのローテーションをより機敏に行うようになりました。これで問題のかなりの部分が解決したことになる。TLSキーに俊敏性があるということは、キーを変更できるということだ。TLSキーに俊敏性があるということは、キーを変更できるということだ。.
しかし、組織は今すぐにでも、認証局や鍵の発行方法、TLSレベルでの鍵の交換方法について考え始めることができる。それは構わない。しかし、ある組織に入ると、20~30、もしかすると40%もの鍵が、このような方法で管理されていないことが判明する。多くのハードウェアは、ハードウェア・インフラストラクチャの一部に鍵を埋め込んでいることが多い。.
特にモノリシック・ビルドの時代には、アプリケーション自体にキーが埋め込まれていた。そして、このようなことが起こらないように考えるようになった。.
インゴ・シュバート:それが私の言いたいことだ。量子コンピューターがどうであろうとなかろうと、あれは悪いやり方だ。.
デービッド・レロ:そうだね。Y2Kでは日付があったので簡単でしたが、Q-Dayでは日付がありません。Qデーには日付はありません。.
インゴ・シュバート:とてもいい指摘だ。.
DAVID LELLO:しかし、いずれそれが到来したとき、明日到来するかもしれないし、10年後に到来するかもしれない。データが危険にさらされ、大規模な問題が発生する。.
しかし、私たちが抱えているもうひとつの問題は、私がよく質問されるもので、『今すぐデータを採取し、後で復号化する』という脅威です。暗号化されたデータが盗まれるのは何年も前から見てきたことで、デービッド・キャメロンがこの国で、我々のデータはすべて中国に盗まれている。暗号化されているからね。数年前にさかのぼれば、そのような発言は今現在は正しいが、量子コンピュータのような技術を使えば、それは問題になる。もちろん、データは古くなります。.
インゴ・シュバート:しかし、そのデータの一部はまだ関連性があるだろう。すべてではないけれど、ある意味では。だから、それは同じだと思う。5年後に解読されたとしても、誰も気にしないでしょう?10年後でもいい。だから、認証のためのIDデータの多くは、5年後や10年後に解読されたとしても、その頃には時代遅れになっているから、それほど気にする必要はないという主張ができる。しかし、戦略的なデータには、何十年も先まで害を及ぼす可能性があるものがたくさんあるんだ。国家である必要もない。普通の企業でもいい。.
デビッド・レロ:その通り。.
インゴ・シュバート:それで、どうなんだ?
DAVID LELLO:つまり、レガシー・システムが存在する組織に行くことが多いんだ。実際、私は少し前まである組織にいました。彼らはそのアプリケーションをブラックボックスとして扱っていました。書いた人はとっくに亡くなっていて、触ってはいけない。もし倒れたら、答えは電源を入れるか切るか、もう一度電源を入れて祈るしかない。あなたにできることは何もない。そして、このシステムは店舗内のすべてのアクセスを管理していた。もし危険にさらされ、ダウンさせられたら、組織を崩壊させることになる。.
インゴ・シュバート:単一障害点。.
DAVID LELLO:単一障害点。シングル・ポイント・オブ・フェイル(単一障害点)が存在する組織の数は、並大抵のものではありません。組織は、IDおよびアクセス管理インフラをどのように近代化するかを考え始める必要があります。IDおよびアクセス管理について考え始めると、IDおよびアクセス管理はすべてに通じるルートである。私たちは、ドイツやここイギリス、イタリアなどで起きている最新のランサムウェア攻撃を見てきました。これらのランサムウェア攻撃は、アクセス・コントロール・システムを標的にしている。アクティブ・ディレクトリであれ、私が説明したようなシステムであれ、実際にアクセス権を侵害することができれば、組織を崩壊させ、コミュニケーションを停止させ、アクセス権を停止させることができるからです。このような状況下でIDアクセス管理を近代化することは、大きな優先事項のひとつになるでしょう。.
インゴ・シュバート:ああ、そうだね。それに反論するのは難しいですね。ベアボーン暗号の鍵管理に戻ると、多くの顧客は自分が何を持っているのかわかっていない。暗号化する場所、鍵の場所、電子署名する場所などをよく把握していない。このような概要を把握していないのです。それが問題の一部だと思います。なぜなら、存在を知らないものを修正することはできないからです。顧客の多くは、単に基本的なサイバー衛生に苦労している。残念なことに、これは私が常に目にしていることです。今朝も、20年前のRSAソフトウェアを使用している顧客に関する問い合わせがありました。
デヴィッド・レロ:ワオ。.
インゴ・シュバート:実際、サポートに電話で問い合わせがあったんですが、サポートは答えられなかったんです。私が言いたいのは、この基本的なサイバー衛生と可視化を行わない限り、まず第一に、量子的な準備状態に到達することはできないということです。そんなことはあり得ない。.
私の意見では、量子コンピューティングを心配するのは、それを修正してからでいいと思っているんだ。というのも、もしあなたが今使っているソフトウェアが何なのかわからず、それを最新に保っていなければ、例えばポスト量子暗号を実装しているように、当然ベンダーが修正することに依存することになりますよね?
しかし、もしソフトウェアが新しいバージョンになり、量子コンピューティングのような素晴らしいものが搭載されたのに、それをインストールしなければ、それは存在しないことになりますよね?また、たとえそうしたとしても、例えばデータ管理に関するポリシーや手順が適切でなければ、ここで何を話しているのでしょうか?攻撃者がヘルプデスクに電話をして入室を求めることができるのであれば、そのために量子コンピュータは必要ないでしょう?今日は必要ない。昨日も必要なかった。明日も必要ない。あなたのポリシーが適切でなければ、彼らはヘルプデスクに電話するだけでアクセスできる。.
だから、量子コンピューターとは関係ないことでも、うまくいかないことはたくさんある。私が恐れているのは、人々が量子コンピュータやQ-Dayを見て、この素敵でピカピカ光るおもちゃに気を取られていることだ。何十年もやっていないような宿題がたくさんあるのにね。もちろん、そうする必要がある、可視化する必要がある、パッチを当てる必要がある、手順を修正する必要がある、と主張することもできる。そのために量子コンピューティングの脅威が必要なら、そうすればいい。私は満足できる。.
でも、もし量子コンピューターで障害が起きたらどうするんだ?数年間は何のメリットも進歩もなく、2060年代にはとっくに現役を退いているから心配する必要はない、みたいな感じになってしまう。.
ドイツの哲学者、エマニュエル・カントの名前を挙げてみよう。だからこれからはエマニュエルと呼ぶよ。.
18世紀のドイツの哲学者で、彼は多くの優れたことを言った。でも、私が最も賢いと思うことのひとつは、正しいことをするのは、それが正しいことだからでしょう?そうすることで、どこかの神様から得をするとか、そういう理由ではない。正しいことだからするんだ。.
暗号化する場所、暗号化する方法、ポリシー、手順、パッチの当て方、これらすべてをきちんと把握することが、量子コンピューティングが10年先か20年先か30年先かに関係なく、正しいことなのです。そんなことは関係ない。そうする必要がある。過去20年間、そうしてきたはずです。それが本質的なポイントです。ここが私たちが同意するところだと思います。そうだね。なぜなら、量子コンピューティングの現状と将来について、私たちは異なる意見を持っているからです。しかし、量子コンピューターに対応する必要があるという顧客がいれば、その努力は決して無駄にはなりません。.
デイビッド・レロ:いや、そんなことはない。というのも、私たちは多くの時間を大企業の取締役会と一緒に過ごし、財務担当取締役などと話をしているからです。企業は製品やサービスを提供するために存在し、民間企業であれば、もちろん慈善事業でない限り利益を上げるために存在しますが、そのことは気にしないでください。だから、正しいことだから何かに投資するというのは、より哲学的な議論になる。私は、それが必ずしも正しいアプローチだとは思いません。.
インゴ・シュバート:そうだね。.
DAVID・LELLO:私はあなたの意見に同意するけれども、100%、信仰の観点からは、私が信じていることからは、私は常に正しいことをしたいと思う。しかし現実には、企業はそのために存在しているわけではありません。正しいことをするために存在しているわけではないのです。少し不道徳なこともある。.
インゴシュバート:本当ですか?初めて聞きました。メモしておこう。.
私たちが見ている現実のひとつは、ある環境に関連する自分のリスク・エクスポージャーを測定し、認識し、理解することだと思います。私たちがこの問題に対する組織の回答を支援することを検討し始めたとき、私たち自身に課した課題のひとつは、量子的な備えを扱うフレームワークが実は存在しないということでした。1つもないのです。.
そこで、私たちは1つの規格を作った。私たちは、量子を見るためのアプローチを紹介する規格を作りました。NISTやグッドプラクティス、ISFなどさまざまな標準を参考にし、モデルやフレームワークを作成しました。その結果、ブラックボックス化された環境ですべてのアクセスを管理するIDシステムのようなシステムに目を向けることができるようになりました。そのようなマシンを持つことによる私のリスク・エクスポージャーはどの程度なのか?私のリスクは何なのか?私は自分のリスクを本当に理解しているのだろうか?もしそのマシンがダウンしたら、私の環境はどうなるのか?そのリスクを理解した上で、何か対策を講じなければならない。.
インゴ・シュバート:ああ、結局のところ、これは適切なリスク管理なんだ。量子コンピューターがあろうとなかろうと、リスク管理は必要であり、何年も前から行われてきたし、今日も行われているはずだ。これが私の言いたいことです。.
もちろん、それが正しいことだからやっているわけではないだろう?それは財政的に難しい議論だ。それはまったく同感だ。でも、なぜそうしなければならないのか?そしてまた、量子コンピュータのために、これらすべてを検討し、把握し、適切なリスク管理を行うというコンセプトを売り込む必要があるのなら、私の推測通りでしょう?それが絶対に正しい方法だと思う。それが署名を得るために必要な手段なら、そうだ、絶対にそうしよう。なぜなら、量子コンピューターがまだ30年先だとしても、結局のところ、今現在でも恩恵は受けられるからだ。なぜなら、その準備ができていれば、今日も安全でいられるからだ。お金を無駄にすることもない。そう、私はそれが完璧に正しいことだと思います。例えば、ヨーロッパでは2026年までにDORAに準拠するよう勧告しています。DORAに準拠したいのであれば、正直なところ、それはもうできているはずです。つまり、2026年までに可視化とリスク管理を行い、高リスクの場合は2030年までに、低・中リスクの場合は2035年までに、何らかの形で量子的な準備態勢を整えるということですね?2025年末の時点で、すでに2026年にリリースしているのです。.
だから、ほんの数年先のことなんだ。話の最初に戻って、Y2K問題を考えてみると、1999年に始めた人は、この問題に対して少し遅かったということになる。だから、今から準備しておく必要があるんだ。.
DAVID LELLO:私は、あなたがそこで提起したことのひとつが、人間心理という点で興味深い点だと思います。規制というのは、企業が正しいことを怠るからこそ有効になるものです。.
インゴ・シュバート:そうだ。.
デービッド・レロ:そして、彼らが正しいことをしていないために、議員たちは、私たちがそれに目を向けない限り、この国で大きな問題が起こるだろうと言う。だから、何かをしなければならないときに法律が登場する。英国のNCSCは量子に関する指針を定めています。ヨーロッパではDORAがある。そして悲しいことに、ブレグジットのせいで......。
インゴ・シュバルト:あなたが持ってきたんだ。.
DAVID LELLO:レジリエンス法案については、まだ検討を始めたばかりです。レジリエンス法案はパブリックコメントのために発表されました。第1号が発表され、コメントが寄せられています。近いうちに国会で読会が行われるでしょう。この問題で世界に追いつけることを願っています。.
インゴ・シュバート:まあ、アメリカを除けばね。アメリカは、地図上では荒涼とした場所のように見えますね。ええ、本当にそうです。アメリカの同僚たちとも話しているんだけど、そうだね、アメリカにはそういうところがないよね。しかし、世界の他の国々では、規制や損失という点で、リスク管理はもう少し成熟しているようです。
DAVID LELLO:持っているに違いない。.
インゴ・シュバート:そうだろう?おそらく私よりももっと多くのことをご存知でしょうが、そのうちのいくつかは、適切なリスク管理を行うことが、目に見えて明らかです。もしその機器が故障したら、どんな結果になるか知っておくべきですよね?もちろん、そうすべきです。なぜなら、あなたのビジネスはお金を儲けていて、それを妨げる何かがあるからです。その理由と解決方法を知るべきだ。それなのに、彼らは法律で強制されるまでそれをしない。
デビッド・レロ:悲しいかな、人間の本性が出るものだ。リスクやリスクマネジメントを考えることは難しいことではありません。.
インゴ・シュバート:いや、でも時間がかかるんだ。.
DAVID LELLO:そして、時間はかかりますが、プロセスを簡素化するのに役立つさまざまなテクノロジーがあります。コンピューターはプロセスを自動化するために設計されている。コンピュータがあるのは、実際に何かをするために大勢の人を必要とする手作業のプロセスがあるからです。コンピュータを使えば、そのプロセスをすべて自動化できる。最新のシステムを使えば、さらに自動化することができる。例えば、脆弱性管理のようなものだ。最新化された環境で脆弱性スキャンを導入していれば、テクノロジー・リスクは比較的よく見える。.
インゴ・シュバート:ああ。我々にとっても同じだ。アイデンティティ・ガバナンス。結局のところ、それはロケット科学ではない。ええ、もちろんです。すべての異なるシステムを接続し、ルールやその他のものを作成します。しかし、そうすれば、可視性が確保され、職務分掌やコンプライアンスといった観点からの見解が得られる。そう、それは大変な作業なんだ。もちろん、お金と時間を投資することになりますが、そこから何かを得ることができます。.
デビッド・レロ:そう。.
インゴ・シュバート:そうですね。というのも、この確保に全財産を投じるべきでないとか、これはそれほど大きな影響がないから弾力性を持たせているのであって、もうひとつはもっと投資すべきだ。適切なリスクマネジメントを行わなければ、そのような状況を把握することができないので、どのように判断すればいいのでしょうか?つまり、人々は、基本的に、組織は、これをしないことによって自分自身を傷つけているのですね?
DavidLelo:そしてアイデンティティ・ガバナンスは、実際にそれを可能にし、助けるという点で長い道のりを歩むことになります。そうです。IDをめぐる多くの組織と話をするとき、IDはセキュリティの1つではありません。アイデンティティは実現するものです。組織がより効率的かつ効果的にアクセスできるようにするための、真のビジネス・イネーブラーなのです。しかし、適切な時に適切な場所に適切なアクセスを行い、それを実際に推進するガバナンス・モデルを持つことが重要なのです。ITGCの統制や財務システムに目を向け、どのようにアクセス権限を設定する必要があるのか、職務分掌、それに伴う義務などを検討し始めるとき、これらのことは目新しいことではない。これらのことは何も新しいことではない。何十年もの間、会社法や財務規則に書かれてきたことです。.
インゴ・シュバート:もちろんだ。.
デイビッド・レロ:そして、優れたIDガバナンス・システムでそれをコントロールできる能力は、今そこにある。そして、近代化されたソリューションがあれば、実はとても簡単なことなのです。人々が思っているほど難しいことではありません。.
インゴ・シュバート:私たちを見てください。アイデンティティ・セキュリティ・ガバナンスの話を量子論から始めた。でも、そこがポイントなんです。これは、顧客や一般的な組織での議論において、ドア・オープナーのようなものだと思います。量子の脅威の話をしても、結局は量子の話ではなく、他の話になってしまう。そう、今すぐ修正すればいい、今すぐ修正すべきだ、将来どうなるかは関係ない。.
DAVID LELLO:基本的な衛生概念だ。.
インゴ・シュバート:基本的な衛生概念ですね。というわけで、この話を締めくくるのにぴったりの方法ですね。デイビッド、ありがとう。本当に、会うたびに何時間でも話せそうです。本当にありがとう。そして、量子の脅威は遠くに感じられるかもしれませんね。.
そうかもしれないし、そうでないかもしれない。でも、この会話の中で、視聴者やリスナーが、量子的な準備のために今日すべきことがあるかどうかに関係なく、あのね、という考えを得てくれればと思う。これは全然痛くない。.
そこから得られるものは、今存在する脅威から今を生きるあなたにとって有益なものでしょう?その恩恵に気づくのに20年も待つ必要はない。今日、その恩恵にあずかることができるのだ。.
以上で、量子コンピューティングとそのアイデンティティ・セキュリティへの影響に関する今日の議論を終える。量子の未来はSFの世界であり、組織は真のリスクと機会がどこにあるかを理解する必要があります。アイデンティティのレジリエンスと、次に来るものに対する組織の準備となるテクノロジーについて、さらに詳しくお知りになりたい方は、RSA.comをご覧ください。RSA Identity Unmaskedの他のエピソードへのメール配信をご希望の場合は、購読をお忘れなく。また次回お会いしましょう。.
DAVID LELLO:ありがとう。
インゴ・シュバート:聴衆の皆さんのために、量子コンピューターとはどういうものか、2、3語で説明していただけませんか?
デビッド・レロ:量子コンピュータの基本的な見方から始めようと思う。.
インゴ・シュベルト:うん
DAVID LELLO:量子コンピューターは、従来のコンピューターとは異なる方法で動作します。量子コンピューターでは、コンピューターは異なる方法で処理を行います。量子力学を利用しているので、量子力学の多次元の世界では、データを見て、データを見る。データを同じように読み取ることはなく、その結果、仮説を立てたり、複数の構成要素を同時に見ることができる。本を読むとき、従来のコンピューターは最初から最後まで読みますが、量子コンピューターは本を読み、データを見ます。そのため、量子コンピューターははるかに速く情報を処理することができる。また、問題を解決する際にも、一連の問題を解決しようとするのではなく、すべての問題を同時に解決するようなものです。.
インゴ・シュバート:ええ、もちろんアルゴリズムはかなり違います。だから、多くの人が、私もそうですが、実際にどうやってプログラミングするのかということに頭を悩ませているのだと思います。伝統的なITのバックグラウンドを持つ私にとって、これは本当に別物なんだ、ということを理解するのに役立つことがある。Nビットあれば、N個のデータを保存できる。ゼロか1か?量子では、Nの2乗、つまり、即座に、昔の瞬間的な計算が働けば、同じ量の量子ビットで、より多くのデータを保存できるんだ。だから、記憶と処理は別次元なんだ。というわけで、この話はこの辺にしておきましょう。基本的なことを説明しただけです。.
そこで、次のトピックとして、量子コンピューティングの現状はどうなっているのか?私たちは今どこにいるのでしょうか?というのも、おそらく、そしてブレッチリー・パークで私たちをご覧になった方もいらっしゃるかもしれませんが、私たちの現在地や将来について、私たちは異なる意見を持っていると思うからです。では、あなたから始めましょう。量子コンピュータの現状はどうですか?
デビッド・レロ:量子コンピューターはまだ初期段階にあると思う。多くの量子コンピューターが存在し、実際に量子コンピューターで時間を雇ってデータを見ることができます。しかし、量子コンピュータが開発されるには、さまざまな問題があると思います。量子コンピュータの中には、温度などの面で多くの制御を必要とするものもあります。量子コンピューターは絶対零度、つまり摂氏マイナス270度で動作するわけですが、これは本当に低温です。そのためには大きな施設と設備、そして大きなエネルギーが必要です。そうでなければ、結合力が失われ、プラットフォームの安定性が損なわれてしまいます。.
初期の量子コンピューターは、この問題のために常に燃え尽きていた。そのため、この問題を解決し、対処する必要がある。もう1つの問題は、量子コンピューターは同時にデータを見るため、多くのノイズが発生するということです。もし聖書のようなものを、最初から最後まで読むのではなく、瞬時に読まなければならないとしたら、理解できない物語が頭の中にできてしまうでしょう。そして、メッセージを咀嚼し、理解し、抽出することは非常に難しくなる。.
そのため、システム内のノイズが大きな問題を引き起こしていた。オックスフォードでは、エラー評価とシステム内のノイズを大幅に減らすことに成功しました。しかし、現在のところ、おそらく最も大きな問題は、一度にエンタングルできるキュービットの量です。つまり、情報を処理するために一度にエンタングルできる量子ビットの量は限られている。つまり、マシンの処理能力や能力には限界があるということだ。.
つまり、まだ暗号学的に適切な量子コンピューティングと呼べるようなものではない、ということが大きな問題なのだが、実証された段階にある。機能する。科学者が言うとおりのことができる。ただ、それを次のレベルに引き上げ、さらに投資していく必要がある。数カ月に一度、さらなる進歩が起こったり、多額の投資が行われたりしており、私たちは進歩を目の当たりにし始めている。.
インゴ・シュバート:ええ、その通りです。量子コンピュータを比較するとき、その写真を見ればわかるでしょう?5年前と現在を比べると、私は今でも部分的には物理実験と呼んでいますが、5年前の方がはるかに物理的な実験でしたよね?その物理的なセットアップを見ればわかるでしょ?
しかし、従来のコンピューターよりもはるかに速く問題を解決できるのは事実だ。その理由のひとつが、あなたがおっしゃった「結束力」です。ええ、基本的な結束力というのは、ある一定の時間だけシステムを安定させることができるかどうかということです。どのチップかにもよるけど、通常は最大で秒単位、ミリ秒単位で計測されるんだ。そして、それは多くの場合、有用な時間からかなり離れている。しかし、理にかなった使用例もあります。量子コプロセッサのようなものだ。しかし、私が問題視しているのは、多くの使用例において、NvidiaのGPU数個で同じように問題を解決できるかどうか疑問だということだ。
量子コンピューティングの分野でも多くの宣伝が行われています。AIの誇大広告とも少し重なると思います。誇大広告であっても、それが現実であるとも言えるでしょう。しかし重要なのは、多くの誇大広告と多額の資金が出回っているということです。その資金の一部は、出口戦略のようなものを探しているのだと思います。量子コンピューターは魅力的でしょう?そのため、彼らは多くのものをそこに投入しています。そして、根本的に見ると、過大評価され、また、何を約束するかという点で、過大評価されている企業が存在します。ブレッチリー・パークでは、グーグルのウィロー・チップを例に挙げましたが、グーグルは実際にこの新しいチップに関するプレスリリースを発表しました。宇宙は25歳の10の何乗かしかないんだから、とんでもないことだ、という感じだ。また、大小を問わず、さまざまな企業のプレスリリースを見ると、達成したことを誇張する傾向がある。.
残念なことに、量子コンピューティングがここ数年で成し遂げた真の進歩のいくつかがかき消されてしまうのです。量子コンピューティングの脅威が、実際よりもずっと現実味を帯びてきているのです。でも、もし量子コンピューターが突然現れたら、なぜ世界は終わるのか、という話に入る前に、あなたが考えている量子コンピューターの利点は何でしょうか?量子コンピューターは、他のどんなものよりもずっと優れたことができるのでしょうか?
デビッド・レロ:量子コンピュータの現状について、あなたがおっしゃったことにもお答えします。量子コンピュータに問題があることには同意しますが、量子コンピュータの安定性の実現は、言われているよりもずっと近いところにあると思います。振り返ってみると、未来を見るための最良の方法のひとつは歴史を見ることだと思います。私が銀行で働いていた若い頃、メインフレームがあって、それは旧式のIBMのメインフレームだった。メインフレームは一部屋を占めていた。大きな部屋だった。小さな部屋ではなかった。かなり大きな部屋だった。メインフレームは部屋を埋め尽くしていた。このメインフレームにはバルブがあった。水冷タンクが3つあった。この銀行の地下にはプールがあった。これは巨大だった。そのわずか数年前に、そのメインフレームからパンチカードシステムを入れ替えたんだ。.
古いメインフレームを搬出する際には、フォークリフトや非常に重たい機械が必要だった。そして、以前よりも飛躍的に巨大なラックとメインフレームコンピュータに置き換えた。コンピュータの進歩は年々加速している。ほんの30年前、いや40年前にさかのぼったとしても、私たちが目にする変化の量は膨大なものです。.
インゴ・シュバート:そう。.
冷却システムや大型装置、それに付随するあらゆるものが必要だからです。それには莫大な費用がかかる。莫大な投資が必要なんだ。そして、これらの問題は解決されるだろう。そして、私たちが考えるよりも早く解決されるかもしれない。現在のところ、月ごとに見られる進歩は、私たちが結束に近づいていることを示唆している。だから、もう少しなのかもしれない。.
というのも、量子コンピューターができることは、データを非常に高速に処理できることであり、一部の人々が主張するほど高速ではないが、データを非常に高速に処理できるため、これまで解決できなかった問題に目を向け、解決できることを意味するからだ。.
理論物理学ではシュレディンガーの猫という概念がある。腐敗しているのか?それは何なのか?猫の状態は?量子コンピューターは、あらゆる可能性の猫を実際に見て、見ることができる。.
タンパク質の折り畳みなど、医学の分野では、量子コンピュータは従来のコンピュータよりも優位に立つと思います。他にも、単純に大量のデータを処理する必要があるもの、天気予報もそうですし、地質学的なデータなど、コンピュータの恩恵を受けるユースケースはたくさんあります。.
というのも、トランジスタで過去に起こったことがまた起こるというのは、一筋縄ではいかないからです。宝くじと同じで、前回当たったからといって、次回も当たらないとは限りません、数百量子ビット、あるいは数千量子ビットで万能の量子コンピュータができるとしたら、例えば、暗号技術にとって脅威となる「ショーのアルゴリズム」を実行することができる。数十万量子ビットの話ですよね?それに到達する過程で、どこかで壁にぶつかるかもしれないだろ?そのような問題を解決できる保証はない。そうかもしれないし、実際そうかもしれないけど、保証はないんだ。それと同時に、量子コンピューターは、GPUのおかげで世界的に計算能力が大幅に向上している環境の中で、商業的に生き残らなければなりません。AIのおかげで。 以前はビットコインの流行でしたが、今はAIです。つまり、チップ設計の根本的な進歩がなければ、このようなことは起こりません。つまり、チップは小型化されるのです。私たちは計算能力を大幅に向上させました。つまり電力です。.
そのような環境では、量子コンピューターは生き残らなければならない。特に鍵の解読については、政府によってはそうするところもあるでしょう。そう、それでいいんだ。彼らは十分なお金を持っている。彼らはそんなこと気にしない。まあ、気にする必要はあるかもしれない。私たちの税金なんだから。.
完全に機能する普遍的な量子コンピューターに至るまでには、実用的な量子コンピューターのユースケースがある。それは議論の余地がないと思う。そうでないとは言っていない。そして、そのための良いユースケースもある。例えば、製薬研究におけるタンパク質の折り畳みとかね。
しかし、脅威について話しましょう。消費電力のような話ではなく、伝統的なユニットにはそれがあるからね。つまり、特にITセキュリティに対する脅威、そしてセキュリティなんだ。ショールのアルゴリズムについて触れましたが、これが何なのか、セキュリティにどのような影響を与えるのかを簡単に説明しましょう。.
量子コンピューターは、情報やデータをより速く処理することができるので、暗号鍵をリバースエンジニアリングするためにショーのアルゴリズムを使うことができる。.
インゴ・シュバート:そう。.
デービッド・レロ:したがって、私たちが消費し、使用し、アクセスする最も多くのデータが、攻撃に対して脆弱になる。.
インゴ・シュバート:ええ。何十万もの量子ビットが凝集し、何時間も動作する必要があるからです。何十万もの量子ビットを結合させ、ある程度の時間をかけて動作させる必要があるからだ。つまり、RSAアルゴリズムは、ある意味で本質的に破られるか、無効化されることになる。つまり、ここ数十年間使われてきた一般的なものは、基本的にすべて破られてしまうということですね。量子コンピューターがあれば壊れてしまう。もちろん、伝統的なコンピューターはこれまで通り苦戦を強いられるでしょう。.
つまり、これらのアルゴリズムはあらゆるところで使われているんだ。従来のTLS、ウェブサーバー通信、クライアントからウェブサーバー、VPN、電子メールの署名、送信されるファイルの暗号化など、これらはすべてRSA、ECC、Diffie-Hellmanに基づいていることが多いんだ。つまり、これは破滅的と言えるかもしれません。.
デービッド・レロ:絶対にそうなる。完全に壊滅的でしょう。調べれば調べるほど、そして実際に使用すればするほど、より多くのシステムが故障することになるでしょう。これは世界的な問題です。認証や金融システムへの認証のようにね。ビットコインのようなものでさえ危険にさらされる。楕円曲線暗号を使っていて、それが漏洩してしまう。その結果、金融システムが完全に崩壊してしまうのです。.
そう、大惨事になりかねないのです。IoTやOTについて話し始めて、医療機器や医療機器について考え始めると、それを危険にさらす可能性があることがわかります。例えば、インスリンポンプを装着している人がいるとします。.
もし私がインスリンポンプの暗号化を危うくできれば、誰かを殺すことができる。.
インゴ・シュバート:そう。.
DAVID LELLO:つまり、突然、こうしたことの背後にある犯罪性が指数関数的に大きくなる可能性があるということです。そして、『マイノリティ・リポート』や『ターミネーター』のような使用例を目にするようになるのです。.
インゴ・シュバート:今、あなたは話している。面白くなってきたよ。.
でも、量子コンピューターは一朝一夕にできるものではありません。例えば、誰かが20万キュービットの量子コンピュータを手に入れたとしましょう。通常は100万個くらいだ。10万キュービットくらいあればいいという研究もある。突然、誰もが量子コンピューターを持つようになるわけではありません。量子コンピューターにアクセスできるのは、一部の政府や研究施設だけです。すべてのサイバー犯罪者が量子コンピュータにアクセスできるわけでもない。.
しかし、脅威は現実だ。2000年問題に似ていると思う。だから、我々はしばらく前からそのような事態になることを予見していたが、それを軽減するためにいろいろなことをやったが、結局は何の役にも立たなかった。.
デービッド・レロ:でもそれは、僕らが何かをしたからだよ。.
インゴ・シュバート:その通り。私たちが何かをしたからでしょう?もし何もしていなかったら、おそらく大きな問題になっていただろう。そして、おそらく今回のケースと似たようなことになると思います。.
ええ、ですから、私たちの寿命がどれくらいかは意見が分かれるかもしれませんね。MITREの報告書では、アメリカの政府出資の研究機関として、2040年代初頭、おそらく2050年代あたりに、このショールのアルゴリズムを発表しています。奇跡でも起きない限り、その可能性は極めて低いと思う。では、この量子の黙示録に備えるために、今日できることは何でしょうか?
DAVID LELLO:2050年よりずっと早くなるのは間違いないと思う。なぜなら、それは不可能なことだからだ。私たちには超自然的な精神がないのだから。.
インゴ・シュバート:では、2055年に会いましょう。同じ時間にね。もし僕がまだ中にいたらね。.
デビッド・レロ:もちろんだ。そうしよう。同じ時間、同じ場所で。そうしよう。でも、もしもっと早く実現するのであれば、そのイベントをどのように祝うか考えましょう。技術の進歩には必ずブレークスルーがあり、それはある時点で起こります。来週かもしれないし、10年後かもしれない。10年後に起こるかもしれない。わからない。しかし、科学がそこにある以上、それは必ず起こる。信憑性がある。現実だ。ひまわり畑は今、凝集力を維持している。常温で、畑で、周囲で起こっているあらゆることがあっても、安定性がある。下を走り回る動物、汚染、その他もろもろ。ひまわり畑は凝集力を持つことができる。.
インゴ・シュバート:その通りだ。.
DAVID LELLO:科学者たちがなぜそんなことをするのか?
インゴ・シュキュベール:ええ、でも進化には数百万年かかるでしょう? それが私の言いたいことだ。でも、彼らには少し先があるよね?
ブレッチリー・パークでも少し触れましたが、暗号鍵の管理に関する慣行やグッドプラクティスと呼ばれるものに関して、私たちが現在抱えている問題のひとつは、多くの企業が失敗しているということです。数年前にSSLの脆弱性が発覚し、誰もが慌てて鍵の交換を検討しました。その結果、組織はTLSキーのローテーションをより機敏に行うようになりました。これで問題のかなりの部分が解決したことになる。TLSキーに俊敏性があるということは、キーを変更できるということだ。TLSキーに俊敏性があるということは、キーを変更できるということだ。.
しかし、組織は今すぐにでも、認証局や鍵の発行方法、TLSレベルでの鍵の交換方法について考え始めることができる。それは構わない。しかし、ある組織に入ると、20~30、もしかすると40%もの鍵が、このような方法で管理されていないことが判明する。多くのハードウェアは、ハードウェア・インフラストラクチャの一部に鍵を埋め込んでいることが多い。.
特にモノリシック・ビルドの時代には、アプリケーション自体にキーが埋め込まれていた。そして、このようなことが起こらないように考えるようになった。.
インゴ・シュバート:それが私の言いたいことだ。量子コンピューターがどうであろうとなかろうと、あれは悪いやり方だ。.
デービッド・レロ:そうだね。Y2Kでは日付があったので簡単でしたが、Q-Dayでは日付がありません。Qデーには日付はありません。.
インゴ・シュバート:とてもいい指摘だ。.
DAVID LELLO:しかし、いずれそれが到来したとき、明日到来するかもしれないし、10年後に到来するかもしれない。データが危険にさらされ、大規模な問題が発生する。.
しかし、私たちが抱えているもうひとつの問題は、私がよく質問されるもので、『今すぐデータを採取し、後で復号化する』という脅威です。暗号化されたデータが盗まれるのは何年も前から見てきたことで、デービッド・キャメロンがこの国で、我々のデータはすべて中国に盗まれている。暗号化されているからね。数年前にさかのぼれば、そのような発言は今現在は正しいが、量子コンピュータのような技術を使えば、それは問題になる。もちろん、データは古くなります。.
インゴ・シュバート:しかし、そのデータの一部はまだ関連性があるだろう。すべてではないけれど、ある意味では。だから、それは同じだと思う。5年後に解読されたとしても、誰も気にしないでしょう?10年後でもいい。だから、認証のためのIDデータの多くは、5年後や10年後に解読されたとしても、その頃には時代遅れになっているから、それほど気にする必要はないという主張ができる。しかし、戦略的なデータには、何十年も先まで害を及ぼす可能性があるものがたくさんあるんだ。国家である必要もない。普通の企業でもいい。.
デビッド・レロ:その通り。.
インゴ・シュバート:それで、どうなんだ?
DAVID LELLO:つまり、レガシー・システムが存在する組織に行くことが多いんだ。実際、私は少し前まである組織にいました。彼らはそのアプリケーションをブラックボックスとして扱っていました。書いた人はとっくに亡くなっていて、触ってはいけない。もし倒れたら、答えは電源を入れるか切るか、もう一度電源を入れて祈るしかない。あなたにできることは何もない。そして、このシステムは店舗内のすべてのアクセスを管理していた。もし危険にさらされ、ダウンさせられたら、組織を崩壊させることになる。.
インゴ・シュバート:単一障害点。.
DAVID LELLO:単一障害点。シングル・ポイント・オブ・フェイル(単一障害点)が存在する組織の数は、並大抵のものではありません。組織は、IDおよびアクセス管理インフラをどのように近代化するかを考え始める必要があります。IDおよびアクセス管理について考え始めると、IDおよびアクセス管理はすべてに通じるルートである。私たちは、ドイツやここイギリス、イタリアなどで起きている最新のランサムウェア攻撃を見てきました。これらのランサムウェア攻撃は、アクセス・コントロール・システムを標的にしている。アクティブ・ディレクトリであれ、私が説明したようなシステムであれ、実際にアクセス権を侵害することができれば、組織を崩壊させ、コミュニケーションを停止させ、アクセス権を停止させることができるからです。このような状況下でIDアクセス管理を近代化することは、大きな優先事項のひとつになるでしょう。.
インゴ・シュバート:ああ、そうだね。それに反論するのは難しいですね。ベアボーン暗号の鍵管理に戻ると、多くの顧客は自分が何を持っているのかわかっていない。暗号化する場所、鍵の場所、電子署名する場所などをよく把握していない。このような概要を把握していないのです。それが問題の一部だと思います。なぜなら、存在を知らないものを修正することはできないからです。顧客の多くは、単に基本的なサイバー衛生に苦労している。残念なことに、これは私が常に目にしていることです。今朝も、20年前のRSAソフトウェアを使用している顧客に関する問い合わせがありました。
デヴィッド・レロ:ワオ。.
インゴ・シュバート:実際、サポートに電話で問い合わせがあったんですが、サポートは答えられなかったんです。私が言いたいのは、この基本的なサイバー衛生と可視化を行わない限り、まず第一に、量子的な準備状態に到達することはできないということです。そんなことはあり得ない。.
私の意見では、量子コンピューティングを心配するのは、それを修正してからでいいと思っているんだ。というのも、もしあなたが今使っているソフトウェアが何なのかわからず、それを最新に保っていなければ、例えばポスト量子暗号を実装しているように、当然ベンダーが修正することに依存することになりますよね?
しかし、もしソフトウェアが新しいバージョンになり、量子コンピューティングのような素晴らしいものが搭載されたのに、それをインストールしなければ、それは存在しないことになりますよね?また、たとえそうしたとしても、例えばデータ管理に関するポリシーや手順が適切でなければ、ここで何を話しているのでしょうか?攻撃者がヘルプデスクに電話をして入室を求めることができるのであれば、そのために量子コンピュータは必要ないでしょう?今日は必要ない。昨日も必要なかった。明日も必要ない。あなたのポリシーが適切でなければ、彼らはヘルプデスクに電話するだけでアクセスできる。.
だから、量子コンピューターとは関係ないことでも、うまくいかないことはたくさんある。私が恐れているのは、人々が量子コンピュータやQ-Dayを見て、この素敵でピカピカ光るおもちゃに気を取られていることだ。何十年もやっていないような宿題がたくさんあるのにね。もちろん、そうする必要がある、可視化する必要がある、パッチを当てる必要がある、手順を修正する必要がある、と主張することもできる。そのために量子コンピューティングの脅威が必要なら、そうすればいい。私は満足できる。.
でも、もし量子コンピューターで障害が起きたらどうするんだ?数年間は何のメリットも進歩もなく、2060年代にはとっくに現役を退いているから心配する必要はない、みたいな感じになってしまう。.
ドイツの哲学者、エマニュエル・カントの名前を挙げてみよう。だからこれからはエマニュエルと呼ぶよ。.
18世紀のドイツの哲学者で、彼は多くの優れたことを言った。でも、私が最も賢いと思うことのひとつは、正しいことをするのは、それが正しいことだからでしょう?そうすることで、どこかの神様から得をするとか、そういう理由ではない。正しいことだからするんだ。.
暗号化する場所、暗号化する方法、ポリシー、手順、パッチの当て方、これらすべてをきちんと把握することが、量子コンピューティングが10年先か20年先か30年先かに関係なく、正しいことなのです。そんなことは関係ない。そうする必要がある。過去20年間、そうしてきたはずです。それが本質的なポイントです。ここが私たちが同意するところだと思います。そうだね。なぜなら、量子コンピューティングの現状と将来について、私たちは異なる意見を持っているからです。しかし、量子コンピューターに対応する必要があるという顧客がいれば、その努力は決して無駄にはなりません。.
デイビッド・レロ:いや、そんなことはない。というのも、私たちは多くの時間を大企業の取締役会と一緒に過ごし、財務担当取締役などと話をしているからです。企業は製品やサービスを提供するために存在し、民間企業であれば、もちろん慈善事業でない限り利益を上げるために存在しますが、そのことは気にしないでください。だから、正しいことだから何かに投資するというのは、より哲学的な議論になる。私は、それが必ずしも正しいアプローチだとは思いません。.
インゴ・シュバート:そうだね。.
DAVID・LELLO:私はあなたの意見に同意するけれども、100%、信仰の観点からは、私が信じていることからは、私は常に正しいことをしたいと思う。しかし現実には、企業はそのために存在しているわけではありません。正しいことをするために存在しているわけではないのです。少し不道徳なこともある。.
インゴシュバート:本当ですか?初めて聞きました。メモしておこう。.
私たちが見ている現実のひとつは、ある環境に関連する自分のリスク・エクスポージャーを測定し、認識し、理解することだと思います。私たちがこの問題に対する組織の回答を支援することを検討し始めたとき、私たち自身に課した課題のひとつは、量子的な備えを扱うフレームワークが実は存在しないということでした。1つもないのです。.
そこで、私たちは1つの規格を作った。私たちは、量子を見るためのアプローチを紹介する規格を作りました。NISTやグッドプラクティス、ISFなどさまざまな標準を参考にし、モデルやフレームワークを作成しました。その結果、ブラックボックス化された環境ですべてのアクセスを管理するIDシステムのようなシステムに目を向けることができるようになりました。そのようなマシンを持つことによる私のリスク・エクスポージャーはどの程度なのか?私のリスクは何なのか?私は自分のリスクを本当に理解しているのだろうか?もしそのマシンがダウンしたら、私の環境はどうなるのか?そのリスクを理解した上で、何か対策を講じなければならない。.
インゴ・シュバート:ああ、結局のところ、これは適切なリスク管理なんだ。量子コンピューターがあろうとなかろうと、リスク管理は必要であり、何年も前から行われてきたし、今日も行われているはずだ。これが私の言いたいことです。.
もちろん、それが正しいことだからやっているわけではないだろう?それは財政的に難しい議論だ。それはまったく同感だ。でも、なぜそうしなければならないのか?そしてまた、量子コンピュータのために、これらすべてを検討し、把握し、適切なリスク管理を行うというコンセプトを売り込む必要があるのなら、私の推測通りでしょう?それが絶対に正しい方法だと思う。それが署名を得るために必要な手段なら、そうだ、絶対にそうしよう。なぜなら、量子コンピューターがまだ30年先だとしても、結局のところ、今現在でも恩恵は受けられるからだ。なぜなら、その準備ができていれば、今日も安全でいられるからだ。お金を無駄にすることもない。そう、私はそれが完璧に正しいことだと思います。例えば、ヨーロッパでは2026年までにDORAに準拠するよう勧告しています。DORAに準拠したいのであれば、正直なところ、それはもうできているはずです。つまり、2026年までに可視化とリスク管理を行い、高リスクの場合は2030年までに、低・中リスクの場合は2035年までに、何らかの形で量子的な準備態勢を整えるということですね?2025年末の時点で、すでに2026年にリリースしているのです。.
だから、ほんの数年先のことなんだ。話の最初に戻って、Y2K問題を考えてみると、1999年に始めた人は、この問題に対して少し遅かったということになる。だから、今から準備しておく必要があるんだ。.
DAVID LELLO:私は、あなたがそこで提起したことのひとつが、人間心理という点で興味深い点だと思います。規制というのは、企業が正しいことを怠るからこそ有効になるものです。.
インゴ・シュバート:そうだ。.
デービッド・レロ:そして、彼らが正しいことをしていないために、議員たちは、私たちがそれに目を向けない限り、この国で大きな問題が起こるだろうと言う。だから、何かをしなければならないときに法律が登場する。英国のNCSCは量子に関する指針を定めています。ヨーロッパではDORAがある。そして悲しいことに、ブレグジットのせいで......。
インゴ・シュバルト:あなたが持ってきたんだ。.
DAVID LELLO:レジリエンス法案については、まだ検討を始めたばかりです。レジリエンス法案はパブリックコメントのために発表されました。第1号が発表され、コメントが寄せられています。近いうちに国会で読会が行われるでしょう。この問題で世界に追いつけることを願っています。.
インゴ・シュバート:まあ、アメリカを除けばね。アメリカは、地図上では荒涼とした場所のように見えますね。ええ、本当にそうです。アメリカの同僚たちとも話しているんだけど、そうだね、アメリカにはそういうところがないよね。しかし、世界の他の国々では、規制や損失という点で、リスク管理はもう少し成熟しているようです。
DAVID LELLO:持っているに違いない。.
インゴ・シュバート:そうだろう?おそらく私よりももっと多くのことをご存知でしょうが、そのうちのいくつかは、適切なリスク管理を行うことが、目に見えて明らかです。もしその機器が故障したら、どんな結果になるか知っておくべきですよね?もちろん、そうすべきです。なぜなら、あなたのビジネスはお金を儲けていて、それを妨げる何かがあるからです。その理由と解決方法を知るべきだ。それなのに、彼らは法律で強制されるまでそれをしない。
デビッド・レロ:悲しいかな、人間の本性が出るものだ。リスクやリスクマネジメントを考えることは難しいことではありません。.
インゴ・シュバート:いや、でも時間がかかるんだ。.
DAVID LELLO:そして、時間はかかりますが、プロセスを簡素化するのに役立つさまざまなテクノロジーがあります。コンピューターはプロセスを自動化するために設計されている。コンピュータがあるのは、実際に何かをするために大勢の人を必要とする手作業のプロセスがあるからです。コンピュータを使えば、そのプロセスをすべて自動化できる。最新のシステムを使えば、さらに自動化することができる。例えば、脆弱性管理のようなものだ。最新化された環境で脆弱性スキャンを導入していれば、テクノロジー・リスクは比較的よく見える。.
インゴ・シュバート:ああ。我々にとっても同じだ。アイデンティティ・ガバナンス。結局のところ、それはロケット科学ではない。ええ、もちろんです。すべての異なるシステムを接続し、ルールやその他のものを作成します。しかし、そうすれば、可視性が確保され、職務分掌やコンプライアンスといった観点からの見解が得られる。そう、それは大変な作業なんだ。もちろん、お金と時間を投資することになりますが、そこから何かを得ることができます。.
デビッド・レロ:そう。.
インゴ・シュバート:そうですね。というのも、この確保に全財産を投じるべきでないとか、これはそれほど大きな影響がないから弾力性を持たせているのであって、もうひとつはもっと投資すべきだ。適切なリスクマネジメントを行わなければ、そのような状況を把握することができないので、どのように判断すればいいのでしょうか?つまり、人々は、基本的に、組織は、これをしないことによって自分自身を傷つけているのですね?
DavidLelo:そしてアイデンティティ・ガバナンスは、実際にそれを可能にし、助けるという点で長い道のりを歩むことになります。そうです。IDをめぐる多くの組織と話をするとき、IDはセキュリティの1つではありません。アイデンティティは実現するものです。組織がより効率的かつ効果的にアクセスできるようにするための、真のビジネス・イネーブラーなのです。しかし、適切な時に適切な場所に適切なアクセスを行い、それを実際に推進するガバナンス・モデルを持つことが重要なのです。ITGCの統制や財務システムに目を向け、どのようにアクセス権限を設定する必要があるのか、職務分掌、それに伴う義務などを検討し始めるとき、これらのことは目新しいことではない。これらのことは何も新しいことではない。何十年もの間、会社法や財務規則に書かれてきたことです。.
インゴ・シュバート:もちろんだ。.
デイビッド・レロ:そして、優れたIDガバナンス・システムでそれをコントロールできる能力は、今そこにある。そして、近代化されたソリューションがあれば、実はとても簡単なことなのです。人々が思っているほど難しいことではありません。.
インゴ・シュバート:私たちを見てください。アイデンティティ・セキュリティ・ガバナンスの話を量子論から始めた。でも、そこがポイントなんです。これは、顧客や一般的な組織での議論において、ドア・オープナーのようなものだと思います。量子の脅威の話をしても、結局は量子の話ではなく、他の話になってしまう。そう、今すぐ修正すればいい、今すぐ修正すべきだ、将来どうなるかは関係ない。.
DAVID LELLO:基本的な衛生概念だ。.
インゴ・シュバート:基本的な衛生概念ですね。というわけで、この話を締めくくるのにぴったりの方法ですね。デイビッド、ありがとう。本当に、会うたびに何時間でも話せそうです。本当にありがとう。そして、量子の脅威は遠くに感じられるかもしれませんね。.
そうかもしれないし、そうでないかもしれない。でも、この会話の中で、視聴者やリスナーが、量子的な準備のために今日すべきことがあるかどうかに関係なく、あのね、という考えを得てくれればと思う。これは全然痛くない。.
そこから得られるものは、今存在する脅威から今を生きるあなたにとって有益なものでしょう?その恩恵に気づくのに20年も待つ必要はない。今日、その恩恵にあずかることができるのだ。.
以上で、量子コンピューティングとそのアイデンティティ・セキュリティへの影響に関する今日の議論を終える。量子の未来はSFの世界であり、組織は真のリスクと機会がどこにあるかを理解する必要があります。アイデンティティのレジリエンスと、次に来るものに対する組織の準備となるテクノロジーについて、さらに詳しくお知りになりたい方は、RSA.comをご覧ください。RSA Identity Unmaskedの他のエピソードへのメール配信をご希望の場合は、購読をお忘れなく。また次回お会いしましょう。.
