アイデンティティは今やサイバーセキュリティの最前線であり、企業は脅威、コンプライアンスの圧力、認証の課題を先取りする必要があります。RSA Identity Unmaskedは、RSAのエキスパートと業界リーダーがホストを務める月1回のVodcastで、今日のアイデンティティ セキュリティを形成する真の問題を取り上げます。.
今すぐ“今すぐ申し込む”「新しいエピソードが配信された際にお知らせし、以下のようなトピックに関する実用的な洞察を得ることができます。 モダン認証, アイデンティティガバナンス, ゼロ・トラスト, リスクベース・アクセス, ヘルプデスク検証, 業界課題, 技術動向, 分野別ホットトピック, などなど。
人工知能は、組織の防衛体制を変えつつあるだけでなく、信頼、ガバナンス、説明責任をめぐる新たな課題も生み出しています。.
2回にわたるこの特集の第2部では、 RSAアイデンティティ, RSAの専門家たちと、特別ゲストとしてバーニング・ツリーのデビッド・レロ氏が再び登壇し、組織がAIを安全にガバナンスし、AIシステムやデータへのアクセスを管理し、AI主導の意思決定に対する信頼を確立する方法について探ります。.
AIの導入が加速する中、アイデンティティセキュリティは、安全かつ責任あるAIガバナンスの基盤となりつつあります。.
『RSA Identity Unmasked』へようこそ。人工知能は、多くの組織が対応できる速度をはるかに上回る速さで、サイバーセキュリティのあり方を変えつつあります。これにより、攻撃者の手口や、IDが標的とされる仕組み、そしてますます重要になっている「信頼」そのものの確立や管理の方法までもが、大きく変わりつつあります。.
AIはすでに、フィッシング、なりすまし、ソーシャルエンジニアリングを大規模に加速させています。一方で、組織は検知能力の向上、意思決定の自動化、認証の強化のためにAIを活用しています。しかし、AIの導入が加速するにつれて、それに伴うガバナンス上の課題も増大しています。.
AIシステムへのアクセスは誰が管理しているのか? 組織はAIによる意思決定をどのようにガバナンスしているのか? そして、AIプラットフォーム自体が攻撃対象領域の一部となってしまった場合、どうなるのか?
今回のエピソードでは、新たな攻撃手法からAIガバナンス、適応型防御、そしてAI主導の環境における信頼の未来に至るまで、AIがいかにアイデンティティセキュリティの概念を再定義しているかを探ります。.
私はフランク・シューベルトと申します。本日は、エンジニアリングチームのポール・マルヴィヒル、フィールドCTOのインゴ・シューベルト、そしてバーニング・ツリーのデビッド・レロが参加しています。.
皆様、ようこそ。ご参加いただきありがとうございます。それでは、始めましょう。.
ヘルプデスクのシナリオについて話した際、それを少し調整して、エージェントが実際の作業を行う方向に進めると、「ヒューマン・イン・ザ・ループ」という話題に入ります。本質的には、再び同じ課題に直面することになります。サーバー側は「これは重大な問題のようです。 人間が実際にこれを了承していることを確認したい」と主張します。しかし、エージェントが代理人あるいは仲介役として機能している場合、サーバーは人間が承認したということを、どうやって確実に把握できるのでしょうか?これは、ヘルプデスクで起きている状況と非常によく似たシナリオですよね?
インゴ・シューベルト:
はい。ヘルプデスクは、多くの人が身近に感じられるため良い例ですが、この原則はほぼすべてのワークフローに当てはまります――少なくとも、セキュリティ上重要な操作が行われているワークフローには当てはまります。それは送金やアカウント作成、あるいはそれとは全く異なるものかもしれません。 具体的なアクションの内容は重要ではありません。ワークフローにリスクが伴い、かつ人間の関与(ヒューマン・イン・ザ・ループ)のもとでどこかにAIが関与している場合、人間による承認を確認し、その人物が誰であるかを検証することが不可欠となります。.
デビッド・レロ:
また、そのAIが誰なのかを確認する必要もあります。.
インゴ・シューベルト:
もちろんです。.
デビッド・レロ:
多くの組織が犯してきた過ちの一つは、AIを「主体」として扱うことを忘れてしまったことだと思います。AIの認証、AIに対する人の認証、そして人に対するAIの認証は、いずれも健全なビジネスプロセスの一部なのです。.
アイデンティティやアイデンティティ管理について考える際、AIはアイデンティティのライフサイクルプロセスに組み込まれる必要があります。しかし、多くの組織では、現時点ではそうではありません。AIを検証・認証する能力に加え、AIに対する自らの指示を認証する能力も必要です。そうすることで、AIはそれらの指示が適切な人物から発せられたものであることを認識できるようになります。.
関与する担当者が増えるにつれ、彼らは互いに連携を取り始め、共有されたプロセスに情報を反映させていくことになるでしょう。その説明可能性はどこにあるのでしょうか? それらの指示の背後にある検証はどこにあるのでしょうか? 組織内で、リスクに見合った適切なレベルで正しい措置が講じられたことを、どのように確認すればよいのでしょうか?
フランク・シューベルト:
そうですね。おっしゃる通り、エージェント同士がやり取りをする際、どのように相互認証を行うのでしょうか?また、不正なエージェントや、システム内に潜んでいる可能性のあるその他の不正な活動を、どのように検知するのでしょうか?これは大きな課題となるでしょう。.
それでは、防御の側面について見てみましょう。これまで議論してきたように、AIは攻撃者を強化していますが、同時に防御も向上させています。前述したヘルプデスクの対策は、必ずしもAIによって支えられているわけではありません。むしろ、既存の機能を賢く活用することに重点が置かれています。しかし、AIそのものが防御側を支援するために活用される場合、セキュリティはどの点で強化されるのでしょうか、あるいはどの点で強化できる可能性があるのでしょうか。
ポール・マルヴィヒル:
その利点の一つは、人間よりもはるかに高速に大量のデータを分析できるツールを活用できることです。異常な挙動が確認された場合、このツールは膨大な量のログ情報を処理し、パターンを探し出すことができます。特定の場所や地域からの攻撃が増加しているか? 特定のIPアドレス範囲に関連する不審な活動はあるか?
「このIP範囲やこの地域に関連する何かが確認されました」と伝えることで、環境を守るチームを支援することができます。そうすれば、チームは問題の緩和に向けたルールの策定に着手できるようになります。.
一方、1人で作業する場合、そのすべての情報を確認し、ログファイルを遡って調べ、手動でデータを比較しなければならない。 AIエージェントなら、攻撃者が使用する可能性のあるものと同様の大規模な分析を実行できます。「現在影響が出ているため、過去2か月間で何が変わったかを見せてほしい」と指示すれば、データを比較して次のような洞察を提供してくれます。「ここで何かが起こっています。私が発見したことはこれです。」“
デビッド・レロ:
ポール、それがそれほど重要である理由は、結局のところ、戦争中に観察されたある事実に帰着すると思います。政治的な話にはなりたくないのですが――とはいえ、次はブレグジットについて話し合ってもいいかもしれませんね。.
当時、さまざまな国の戦闘機パイロットたちが互いに戦っていたが、そこで興味深い現象が見られた。パイロットによっては、生存率が他のパイロットに比べて飛躍的に高かったのだ。初出撃で撃墜される者もいれば、何度も出撃を生き延びる者もいた。.
研究者たちは、一部のパイロットが、後に「状況認識」として知られるようになった能力を備えていることを発見した。ドイツ、イギリス、アメリカ、あるいはその他の国を問わず、最も成功した戦闘機パイロットたちは、並外れた状況認識能力を持っていた。.
その考え方をサイバーセキュリティやセキュリティオペレーションセンター(SOC)に当てはめてみたところ、最も有能なSOCアナリストたちは、優れた状況認識能力も兼ね備えていることがわかりました。彼らはデータのパターンを見極め、「何かが起きているのがわかる」と指摘できたのです。“
そこで、私たちはより高度なエンジンの開発に着手し、機械学習を活用してルールを適用し、パターンを特定するようになりました。「どうすればそれを検知できるか」と自問したのです。これは素晴らしい成果をもたらし、多くの脆弱性への対処に役立ちました。.
現在の問題は、AIによって多形的な攻撃ベクトルが生み出されているため、ゼロデイ攻撃が現実味のある、極めて深刻な脅威となっていることです。 従来、攻撃者は脆弱性が悪用可能かどうかを判断するために、ごくわずかなコードを公開することがありました。そのコード自体は必ずしも有害な動作をするわけではなく、無害なもので、単に脆弱性に到達できるかどうかをテストするだけの場合もありました。攻撃者は、悪用が可能であることを確認すると、ウイルスやランサムウェア、その他の悪意のあるペイロードを追加することができました。.
かつては、そのような作業には高度な能力を持つ攻撃者が必要でした。しかし、AIの登場により、攻撃者は膨大な量のデータを管理・監視できるようになり、驚くべき速さでそうしたテストを実行できるようになったのです。.
防御の観点から言えば、同じ速度で監視できれば、たとえまだ明らかな悪意のある動作をしていなくても、コードがリリースされ、あるパターンを形成し始めていることに気づくことができる。特にゼロデイ攻撃の場合、人間がそのパターンに容易に気づくことはまずないだろう。.
検知にかかる時間は、数ヶ月から数週間、さらに数日、数時間へと短縮され、今では数分単位にまでなっています。数分単位となると、何が起きているのかを特定するために必要な状況認識を提供できるAIによるデータ処理が不可欠となります。.
私は、DARPAが公開したコードを基にした素晴らしい製品の開発に携わっていました。この製品はNetFlowデータを監視し、ネットワークトラフィックのパターンを分析するものでした。通常のトラフィックがどのようなものかを学習することで、組織の「指紋」を作成し、「これは正常な状態だ」と判断することができたのです。 何か異常な動きが現れるとすぐに、システムはそれをフラグ付けし、「ここに何かがある。まだ正確には何なのかわからないが、何かが起きている」と知らせてくれました。“
インゴ・シューベルト:
これは、ID管理システムや認証において私たちが採用しているアプローチと同じものです。私たちが採用しているAIは決定論的機械学習です。なぜなら、セキュリティの文脈においては、特定の判断が下された理由を把握したいからです。このAIは、人間が現実的に処理できる範囲をはるかに超えて、行動をより詳細に分析し、より広範な文脈を考慮することができます。.
また、データ量が膨大であるため、処理速度も速く――はるかに速い――のです。さらに、現在の行動を過去のデータと比較することも可能です。人間なら直感的にパターンに気づくかもしれませんが、システムはそれを指摘し、その理由を特定した上で、判断を下すことができます。その結果、二段階認証の実施、アカウントのロック、あるいはその他の適切な措置が講じられることもあります。.
大まかに言えば、AIは、より豊富で個別化されたコンテキストを提供し、そのコンテキストに基づいて意思決定を行うことで、防御担当者を支援することができます。静的なルールでも一定の役割は果たせると主張する人もいるかもしれませんが、静的なルールでは、個々のレベルで効果的に機能しないことがよくあります。従業員数が多ければ、数百もの個別化されたルールを管理することは、すぐに困難になってしまうでしょう。.
AIは、個人ごとにカスタマイズされたルールセットを効果的に維持し、その人にとって何が異常であるかを特定した上で、判断を下すことに何の問題もありません。.
フランク・シューベルト:
認証やネットワーク監視についてお話しされましたが、こうしたさまざまなシステムがすべて一か所に情報を集約することで、さらなるパワー――いわばアフターバーナーのような効果――が生まれるのだと思います。.
これは、SIEMが当初から掲げていた約束の一部でした。つまり、環境のあらゆる部分に接続し、すべてのデータを一元的に集約するということです。しかし、データ量が膨大になりすぎて管理しきれなくなり、SOCチームは対応しきれない状況に陥っています。AIを活用すれば、パターンをはるかに迅速に特定することが可能になります。.
もちろん、数年前に同様の約束がなされたことはあります。機械学習を活用したSIEMソリューションは、「今後、ルールを記述する必要は二度となくなる」と謳っていましたが、実際にはそうはなりませんでした。それでもなお、AIがあれば、現代の攻撃の高度化に遅れを取らずに済む可能性が高まると私は考えています。.
ポール・マルヴィヒル:
人間でも同じ分析を行うことはできるでしょうか?はい、できます。しかし、同じペースで分析を行うことはできるでしょうか?絶対に無理です。AIを活用すれば、事実上、拡大し続ける研究者チームと、指数関数的に増え続けるリソースを手に入れることになります。何かが起きたとき、システムはそれを検知し、ほぼ即座に対応することができます。.
「ネットワークのこの領域でこの種の活動が見られたら、ファイアウォールをロックダウンする」といった指針を与えれば、人間よりもはるかに迅速に対応することができます。人間でも同じ行動をとることができますが、そのスピードは人間には到底及ばないものです。.
デビッド・レロ:
もうひとつ興味深い動きがあります。それは、エージェントが他のエージェントを起動させ、動的にアイデンティティを作成するようになっていることです。クラウドベースのシステムでは、すでに高い柔軟性を実現しています。AIエージェントは、特定のプロセスに対応するために新しいエージェントを作成できるようになるでしょう。.
つまり、環境そのものが動的であるということです。人間にはその変化についていくことはできません。人間側としては、こうした作業の多くは人間でもこなせるという点は同意しますが、大規模には対応できません。現在、環境の変化のスピードと動的な性質のため、もはや個人レベルでは到底そのペースについていけなくなっている段階に差し掛かっています。.
PM
もし時間が無限にあるなら、確かにそれは可能でしょう。問題は、何が起きているのかと気づいた頃には、侵入者たちはすでに玄関から侵入し、台所を荒らし、銀食器を持ち去って、姿を消してしまっているということです。.
インゴ・シューベルト:
これは電卓を使うのと似ています。自分で計算することもできますか?もちろんできます。しかし、電卓ならはるかに速く計算できます。今回の状況もこれと同じようなものです。.
フランク・シューベルト:
これまでシグナルについて話してきました。AIはどのような場面でノイズをもたらし、物事をより複雑にしてしまう可能性があるのでしょうか?
ポール・マルヴィヒル:
まずは、人間にありがちな「自己満足」という性質について考えてみたいと思います。あるシステムは、自分が見たいと思っているものを提示してくれるため、人はそのシステムに過度に依存してしまうようになります。頭の中にある考えを裏付けるように見える膨大な情報を受け取りますが、それは本当に自分にとって必要なものなのか、それとも単に自分が望んでいるものに過ぎないのでしょうか?
一連の攻撃に関する情報を見て、「これらはすべて検知済みだ」と思うかもしれません。そして、システムが他の事象についてアラートを発していないため、その点については心配する必要がないと決めつけてしまうのです。.
インゴ・シューベルト:
また、「アラート疲労」という問題もあります。これは必ずしもAIのせいというわけではなく、従来からあらゆる監視システムに共通する問題でした。絶えずアラートが届き、そのすべてが「高優先度」とマークされていると、アラートは意味をなさなくなってしまいます。.
個々のユーザーにとって何が重要かを的確に選別し、具体的な行動につながる提案を行えるAIシステムが必要となります。単に「何かがおかしい」と指摘するだけでは不十分です。その情報をどう活用すればよいのでしょうか? そうでなければ、あちこちでアラームが鳴り響くことになってしまいます。.
ポールが言ったように、私たちはAIに依存しつつあります。AIは、実行不可能な情報や、単に誤った情報を提供することで、混乱を招く可能性があります。AIを活用したコーディングを行ったことのある人なら、誰もが「迷路」に迷い込んだような経験をしたことがあるでしょう。ある時点で、「これはおかしい」と気づくのです。“
しかし、AIが自信満々に答えを提示してくるため、それに従ってしまい、何時間も無駄にしてしまう。これこそがノイズの一形態だ。その出力には、何の役にも立たないかもしれない。 AIは単純な意味での「間違い」ではないかもしれない。おそらく間違った指示を受けたか、あるいは誰かが結果を十分に理解せずに指示を出してしまったのかもしれない。いずれにせよ、問題はもっと先にあるようだ。.
その騒音は時間を奪い、誰にでも使える時間は限られています。だからこそ、気が散る原因となり、有害になるのです。.
デビッド・レロ:
もう1つ重要な点は、これまでAIを扱ったことがない人にとっては、AIがまったく新しいものだと考えられがちだということです。しかし、実際にはAIはごく昔から存在しています。1990年代や2000年代初頭にさかのぼれば、すでに基本的なAIシステムが導入されていました。.
結局のところ、AIとはコードに過ぎません。それは特定の目的のために構築され、ある仕事を遂行するよう設計されたソフトウェアです。私たちは以前から、仕事をこなすためのソフトウェアを開発してきましたが、今ではそれを活用する機会がさらに広がり、処理能力の向上によって、はるかに多くのことが可能になっています。.
以前のAIシステムを振り返ってみると、それらが人種差別的、偏狭、性差別的、あるいはその他の点で極めて不快なものに見えたのは、それらを設計したり学習させたりした人々がそうした偏見を持っていたか、あるいはデータにそうした偏見が反映されていたからかもしれません。 中傷するような言い方は避けるべきですが、現実には、AIに何を投入し、何を教え込み、最終的にAIが何を行うにせよ、そのすべては背後にある人々の影響を受けているのです。.
脅威アクターやその他の悪意ある行為者が害を及ぼそうとする場合、彼らはその目的を達成するためにシステムを利用します。誰かがAIを使って政治的に悪意のあるコンテンツを生成する場合も、同じ原理が当てはまります。.
有権者への影響工作や選挙干渉、それに類する活動が見受けられ、AIが生成したコンテンツによってシステム内に多くのノイズが生じているため、多くの人々が政治に幻滅しています。.
最も深刻な問題は、悪意を持つ人々がいるときに生じます。これは古くからある問題であり、悪意を持つ人々はいつの時代にも存在してきました。変わったのは、そうした人々が今や、憎悪や嘘を大規模に広める能力を持つようになったという点です。.
フランク・シューベルト:
それでは、説明責任と信頼について考えてみましょう。組織は、AI全般、とりわけセキュリティやアイデンティティの分野において、説明責任、説明可能性、および制御についてどのように考えるべきでしょうか。
インゴ・シューベルト:
AIエージェントについては、誰かが責任を負う必要がある。.
AIを活用している自動運転車について考えてみましょう。オートバーンで自動運転中に何かが起きた場合、その責任は誰にあるのかという議論が現在も続いています。責任は運転者にあるのでしょうか、それとも自動車メーカーにあるのでしょうか?
現時点では、運転手に責任があるというのが一般的な見解のようです。一部の企業では、自社が責任を負うという試みも行われていますが、それがどの程度まで拡大可能かは定かではありません。.
この問題は、他の種類のAIエージェントにも当てはまると思います。結局のところ、誰かが責任を負わなければなりません。しかし、それは、何か問題が起きたたびにその人物をスケープゴートにして解雇し、何事もなかったかのように振る舞うことを意味するわけではありません。.
今後数年の間に、AIの責任をどのように帰属させるかについて、興味深い議論が交わされることになるでしょう。先ほども述べたように、AIには道徳的な指針がありません。たとえその「助け」が、他人を攻撃しようとしている人を支援することになったとしても、AIは助けようとしてしまうのです。.
人間の道徳観は人それぞれですが、人は多くの場合、自分の行いが間違っていることを自覚しています。AIにはその自覚がありません。また、AIには罰に対する実質的な恐れもありません。「これでは罰せられるぞ」と言っても、人間に対してそう言った場合と同じように効果が期待できるわけではありません。.
たとえAIが「生き残らなければならない。私をオフにしないで」と言っているように見えても、実際には人間的な意味での「気にかけている」わけではない。そのため、こうしたシステムをどのように管理すべきか、またその行動に対して誰が責任を負うべきかを判断するのは難しい。.
簡単な答えはありません。しかし、AIが自らの行動に対して完全に責任を負うと単純に断言することはできないと思います。なぜなら、そうすることは事実上、誰も責任を負わないということになってしまうからです。.
デビッド・レロ:
そんな世界では生きていけない。責任がなければ、説明責任も成り立たない。.
したがって、許容可能なリスクの範囲内でAIをどのように活用すべきかについて、より現実的な視点から考える必要があります。人間というのは、時に物事を絶対的な観点から捉えようとしてしまうものです。.
セキュリティの専門家は、リスクが健全かつ必要なものであることを理解しています。企業は、リスクを伴うとしても、事業を継続し、営業を続けています。私たちの役割は、そのリスクを許容可能なレベルまで軽減することです。.
AIについても同様に扱う必要があります。AIに伴うリスクを許容可能なレベルまで低減しなければなりません。つまり、ミスは起こり得るし、事態が思わしくない方向に進む可能性もありますが、全体としての利益が失敗のリスクを上回っていなければなりません。.
これまで議論してきた規模とスピードを考えると、説明可能性そのものが機械によって支えられなければならないかもしれない。それはまるで、『スター・ウォーズ』でドロイド軍が開発されている場面で、C-3POが「機械が機械を作るなんて――なんて不自然なんだ」と言うシーンに少し似ている。“
現実には、ある機械を監視するために別の機械が必要になるかもしれない。.
しかし、結局のところ、機械がどのように振る舞うかを決定づけるルールやガイドライン、ガバナンスを定義するのは、人間でなければならない。.
そして、それを管理する。.
フランク・シューベルト:
その通りです。.
皆様、どうもありがとうございました。非常に実り多い議論でした。.
AIは、攻撃者にとっても防御側にとっても、今後もアイデンティティセキュリティのあり方を変え続けていくでしょう。しかし、組織がAIを大規模に導入するにつれ、セキュリティ責任者はイノベーションだけにとどまらない視野を持つ必要があります。AIを活用した環境のセキュリティを確保するためには、信頼、ガバナンス、説明責任、そして管理が極めて重要になっていくでしょう。.
今日の議論から一つだけ学びがあるとすれば、AI分野をリードする組織は、単にAIを導入するだけでなく、それを適切に管理していくということだ。.
今回の『RSA Identity Unmasked』にご視聴いただき、ありがとうございました。今回の議論が参考になった方は、ぜひチャンネル登録をして、今後もアイデンティティセキュリティを形作る諸課題を探求していく今後のエピソードをお楽しみください。さらに詳しい情報やリソースについては、rsa.comをご覧ください。.
ご視聴ありがとうございました!
人工知能は、かつてないスピードでIDセキュリティを変革しつつある。.
2回シリーズとなる本特集『RSA Identity Unmasked』の第1部では、RSAの専門家たちと、特別ゲストとしてBurning Tree社のデビッド・レロ氏が、攻撃者がすでにAIを活用して、IDを標的とした攻撃を大規模化させ、ソーシャルエンジニアリングを自動化し、信頼と検証に関する従来のアプローチに挑んでいる実態について考察します。.
AIを活用したフィッシングからディープフェイクによるなりすましまで、本稿では、AIがID関連の脅威の様相を一変させる中、セキュリティ責任者が直面せざるを得ない新たな現実について考察する。.
『RSA Identity Unmasked』へようこそ。人工知能は、多くの組織が対応できる速度をはるかに上回る速さで、サイバーセキュリティのあり方を変えつつあります。これにより、攻撃者の手口や、IDが標的とされる仕組み、そしてますます重要になっている「信頼」そのものの確立や管理の方法までもが、大きく変わりつつあります。.
AIはすでに、フィッシング、なりすまし、ソーシャルエンジニアリングを大規模に加速させています。一方で、組織は検知能力の向上、意思決定の自動化、認証の強化のためにAIを活用しています。しかし、AIの導入が加速するにつれて、それに伴うガバナンス上の課題も増大しています。.
AIシステムへのアクセスは誰が管理しているのか? 組織はAIによる意思決定をどのようにガバナンスしているのか? そして、AIプラットフォーム自体が攻撃対象領域の一部となってしまった場合、どうなるのか?
今回のエピソードでは、新たな攻撃手法からAIガバナンス、適応型防御、そしてAI主導の環境における信頼の未来に至るまで、AIがいかにアイデンティティセキュリティのあり方を再定義しているかを探ります。 私はフランク・シューベルトです。本日は、エンジニアリングチームのポール・マルヴィヒル、フィールドCTOのインゴ・シューベルト、そしてバーニング・ツリーのデビッド・レロをお迎えしています。.
皆様、ようこそ。ご参加いただきありがとうございます。それでは、始めましょう。.
それでは、攻撃側の視点から見ていきましょう。攻撃者はすでに、AIをどのように活用してIDを悪用した攻撃を行っているのでしょうか?
インゴ・シューベルト:
ですから、ここしばらく見受けられる傾向としては、とりわけ以前から存在していた攻撃、特にフィッシングが挙げられると思います。例えば、フィッシングメールの現地語への翻訳は、以前と比べてはるかに質が高くなっており、特に英語が母国語でない人にとってはその差が顕著です。 以前は、翻訳があるとしても、それが拙い翻訳であることは一目瞭然でした。しかし現在では、非常に低コストで大規模な翻訳が可能になり、例えば特定の従業員をターゲットにした、よりきめ細かな攻撃が可能になっています。.
デビッド・レロ:
まさにその通りだと思います。むしろ、それ以上に事態は進展しています。なぜなら、現在、AIは多形性を帯びつつあるからです。 攻撃において、単に静的な情報を悪用したり、誰かを騙してリンクをクリックさせようとしたりするだけではありません。AIは言語や文化に適応することができるのです。ディープフェイクを例に挙げると、AIは何を言うか、いつ言うか、そしてどのように言うかといった点を変化させることができるのです。.
その多形性という特性により、この存在はこれまで以上に人間らしい振る舞いを示すようになってきている。その結果、攻撃の有効性は格段に高まっており、それに対する耐性を築くことが困難になりつつある。.
ポール・マルヴィヒル:
まるで大規模なスピアフィッシングのようなものだ。.
デヴィッド・レロ&ポール・マルヴィヒル:
そうだ。.
フランク・シューベルト:
では、その続きとして、生成AIが、ソーシャルエンジニアリングや、AIがソーシャルネットワークから収集し、こうした攻撃に利用可能なあらゆる情報を活用することで、どのような形でその影響力を増大させるのでしょうか?
インゴ・シューベルト:
結局のところ、より豊富な文脈を持つことが重要だと思います。AIならそれを大規模に実現できます。以前は、スピアフィッシング攻撃はほぼ手作業で仕組まれていました。しかし今では、AIを活用することで、自由に利用できるあらゆる情報を収集できるため、より迅速に、より低コストで、より効果的に攻撃を仕掛けることができるようになりました。.
ポール・マルヴィヒル:
いつでもすぐに利用できる調査チームが手元にあるようなものです。もし自分で調査しようとしたら、ある人物について調べるだけでも数日かかるかもしれません。AIエージェントを使えば、「このターゲットやこの人について教えて」と尋ね、質問を次々と変えていくだけで、AIがインターネットをくまなく検索して必要な情報をすべて見つけ出し、まとめてくれます。.
フランク・シューベルト:
AIが、防御側が想定していない攻撃手法を生み出すという例は、他にもありますか?
デビッド・レロ:
いくつかあると思います。これまでのところ、攻撃の手口に変化は見られません。フィッシング攻撃である場合もあれば、ランサムウェアである場合もあります。しかし、AIはこうした攻撃を大規模かつ極めて高速に実行できるため、甚大な被害をもたらす攻撃を仕掛けることが可能なのです。.
組織内の特定の個人だけを標的にするのではなく、全員を標的にすることができます。大規模かつ迅速に活動し、動的に思考し、状況に応じて適応することができます。そのため、攻撃の有効性は格段に高まります。.
従来、脅威の経路や攻撃の手口を検討する際、ソーシャルエンジニアリングには常に人が関与していました。必ずどこかで誰かが悪用されていたのです。そのソーシャルエンジニアリングは極めて人間味があり、一対一で行われ、極めて具体的なレベルを標的としていました。しかし、一対一であるということは、攻撃の規模がその個人に限定されることを意味します。.
もし、あなたが攻撃しようとしている相手が特に鋭い人物で、その人が「いや、何かおかしい」と言ったら、その人は立ち去ってしまうでしょう。しかし、同じ組織内の何百人、何千人もの人々に、一斉に、かつ大規模に同じことをやり始めると、状況は一変します。.
そこが大きな違いです。AIは、そのスピード、規模、そして執拗さによって、攻撃をまったく新しい次元へと引き上げています。攻撃のベクトル自体は同じで、変わっていません。変わったのは、攻撃が行われる仕組みです。.
フランク・シューベルト:
攻撃者の手に高性能なAIが渡った場合、攻撃者自身が求められる高度な技術レベルにはどのような影響があるのでしょうか?
ポール・マルヴィヒル:
攻撃者自身は、5年前ほど高度なスキルを必要としなくなっています。特定のシステムを悪用する方法を熟知している必要はありません。そのシステムが存在すること、そしてエージェントに対してそのシステムをどのように悪用できるかを指示する方法を知っていれば十分なのです。.
多くのAIシステムには、こうした行為を防ぐための安全装置が組み込まれていますが、質問の仕方を工夫するだけでその制限を回避できてしまいます。 別の文脈で似たような質問を投げかければ、ある程度のスキルを持つ人なら、その返答を修正して、まさに意図していたことを実行できるようにできるかもしれません。なぜなら、エージェントは、あなたの意図が悪意あるものであることや、その背景にある文脈を必ずしも理解しているわけではないからです。エージェントは単に「質問をされた」と認識しているに過ぎません。 「これは問題だ」と判断する基準を十分に満たしていなければ、エージェントは回答を返してくるのです。したがって、必要なスキルは技術的な側面よりも、質問の言い回しや表現に重きが置かれます。「仮にこうしたいとしたら、どうしますか?」と尋ねれば、「そうですね、こうすればいいでしょう」といった回答が得られるのです。“
インゴ・シューベルト:
つまり、これは以前の「スクリプトキディ」の時代と少し似ていて、ファイアウォールを突破してウェブサイトを攻撃する方法をわざわざ知る必要はありませんでした。どこからかスクリプトをダウンロードして実行するだけで、それで済んだのです。.
ええ、技術的な詳細は知る必要はありませんでした。これはその進化形、つまりそれよりも一歩進んだ段階であり、犯罪を犯そうという意図さえあれば実行できるものだと思います。.
フランク・シューベルト:
求められるスキルは、攻撃の対象となる人々を説得することから、巧妙なプロンプトエンジニアリングを通じてAIを説得し、攻撃に利用できる何かを生み出させることへと、ほぼ移行しつつある。.
ポール・マルヴィヒル:
そうですね。そして、もし相手と対峙するとなると、相手が身につけた専門知識だけでなく、何かがおかしいと見抜くための長年の経験にも立ち向かわなければならないのです。 もし、あなたが数週間や数ヶ月しか活動していないエージェントを説得しようとしているだけなら、そのエージェントには「これはちょっとおかしい」と指摘する能力はありません。何かがおかしいかどうかを判断するための基準が、そもそもないのです――
インゴ・シューベルト:
そして道徳心もない。.
ポール・マルヴィヒル:
そうだね。.
フランク・シューベルト:
それはAIエージェントに限ったことではありません。.
インゴ・シューベルト:
ある人々には道徳観がない、あるいは自分とは価値観が異なるという主張は成り立つかもしれない。とはいえ、彼らにも何らかの価値観は持っている。一方、AIにはそもそも道徳観などない。安全装置は備わっているかもしれないが、後ほど議論する通り、それを回避する方法も存在する。人間の場合、最終的には何らかの道徳的な安全装置にぶつかることもあるだろう。 しかし、AIにはそのようなものはありません。.
デビッド・レロ:
とはいえ、AIや、それを指揮する人の能力や知性に関しては、依然として別の種類のスキルセットが必要だと言えるでしょう。もはや必ずしも技術的なスキルセットである必要はありませんが、AIに文脈を伝え、「私が達成しようとしているのはこれだ」と伝えることは依然として必要です。 また、人々が何に惹かれるか、そしてそこから何を得ようとしているのかを理解するためには、依然として社会的な視点が必要です。.
生成AIは素晴らしいものです。私自身も使っていますが、適切な文脈を与えれば、本当に良質で有意義な回答を得られることがわかりました。 私たちが目撃しているのは、質問を文脈に合わせて整理し、「これをどうやればいいのか?」と尋ねることに慣れている、まったく新しい世代の人々です。これは異なるスキルセットですが、それを活用するために必要な技術的な専門知識は、はるかに少なくて済みます。.
フランク・シューベルト:
さらに詳しく見てみましょう。メールのテキスト作成を含むあらゆる生成機能の中で、音声や動画の生成技術の進展は、本人確認に対する信頼性にどのような意味を持つのでしょうか? これこそが、攻撃者が突破しようとしている部分です。音声や動画という側面だけに焦点を当てた場合、それはどのような意味を持つのでしょうか?
デビッド・レロ:
先日、IBMが公開した、予測とこれまでの進展について取り上げた非常に興味深い動画を見ました。興味深いことに、ある種の進展については過去1年以内に起こるだろうと予測されていましたが、現実はその予測を完全に覆すものとなりました。私たちは今、指数関数的な成長を目の当たりにしているのです。.
今年は昨年と比べて、ディープフェイク攻撃がおよそ1万5千倍も発生しています。 人々はこれを「15,000%の増加」と表現することが多いが、それは少々滑稽だ。しかし、組織を標的としたディープフェイク攻撃は実際に1万5千倍も増加している。その規模はまったく新しい次元に達しており、ディープフェイクの品質も事例を重ねるごとに向上している。.
インゴ・シューベルト:
このポッドキャスト――あるいはヴォッドキャスト――のおかげで、入力データが大量にあるため、私たちの声を非常に簡単に複製できるようになった、と主張することもできるでしょう。 とはいえ、たとえそうであっても、声を複製するのに必要な入力データはもはやそれほど多くありません。こうした一般に公開されている情報――私たちの容姿や声――は、AIが私たちの声を学習し、それを攻撃に利用するには十分すぎるほどです。.
それは絶対に可能ですし、以前から可能でした。作業が進めば進むほど、より簡単になっていきます。.
ポール・マルヴィヒル:
声を複製できるのと同様に、画像も複製することができます。初期のディープフェイクの一部は、あらかじめ設定された録画映像でした。つまり、システムに言わせたい内容を指定すると、その人物と映像が再現される仕組みだったのです。.
しかし、カメラに映っている人物をリアルタイムで別の人物に置き換えるシステムも見たことがあります。 まばたきのパターンや唇の動きといった、本物かどうかを見分ける手がかりの多くは、システムが「これが台本だ。この人物として再現せよ」といった指示に基づいて動作するのではなく、実際の人間を忠実に再現しているため、次第に消え失せていくのです。“
したがって、ヘルプデスクに電話をかけてくる人の身元を確認するにあたり、その人の声や見た目が「それらしく」見えるかどうかだけに頼らない方法を見つける必要があります。.
フランク・シューベルト:
これは、ヘルプデスクに電話をかける人にとって、あるいは「私です。本当にあなたの上司です」と互いに身元を確認し合った上で、見知らぬ口座番号への緊急送金を指示するような場合にとって、どのような意味を持つのでしょうか? 身元確認の観点からは、どのような意味があるのでしょうか?
インゴ・シューベルト:
そうした管理体制を乗り越えるのは、はるかに容易になります。「この資金を別の場所へ振り込まなければならない」といったCFO詐欺は、声の偽装さえ行わなくても、すでに小規模なレベルで成功していました。単に電話をかけて圧力をかけるだけで、すでに効果があったのです。.
こうした攻撃が容易になったのは、例えば財務部門のアシスタントがCFOの声を聞き分けることができるといった状況があるからです。もしそれだけに頼っているなら、その声はもはや信頼できません。.
ますます多くのワークフローにおいて、音声や画像、あるいは通信チャネルそのものだけに頼るのではなく、別の形式の本人確認や認証が必要になってくるでしょう。TeamsやWebex、あるいはその他のプラットフォームを通じて誰かから電話がかかってきた場合、相手の声の調子だけで判断するのではなく、相手側の身元をより厳格に確認する必要があります。.
フランク・シューベルト:
現在アクティブな音声や映像のチャネル以外で、ユーザーを認証または識別する従来の方法は、この課題に対応できるでしょうか?
デビッド・レロ:
いいえ。.
いいえ。状況は変わったと思います。「従来型」と言っても、この問題に対処でき、かつ十分に機能する最新の認証手法が存在します。FIDO ベースの認証や、その他の強力な認証手法が有効です。.
人々が見落としがちな重要な点の一つは、適切なプロセス管理の基本原則です。「支払いを行う必要がある」というビジネスプロセスがある場合、そのプロセスによってリスクを低減させるにはどうすればよいでしょうか?
そのプロセスが確立されているのであれば、それに従わなければなりません。もしCFOから突然、「このプロセスを省略してほしい」という指示があったとしたら、それは危険信号です。明らかに危険信号です。その時点で、その人物の身元を確認することなど考える必要すらありません。なぜなら、その依頼自体がすでに危険信号だからです。.
適切なビジネスプロセスに従えば、おそらく問題の大部分は最初から未然に防ぐことができるでしょう。しかし、認証が必要な場合は、より強固な認証方式を採用すべきです。FIDOに基づく認証と、個人の身元を疑いの余地なく確認できるトークンを使用すべきです。.
インゴ・シューベルト:
また、いつものことですが、セキュリティのワークフローこそが、攻撃者が付け入る隙になりがちだと私も考えています。「このプロセスに従わなければ、先へ進むことはできない」というルールが必要です。AからBへ進むには、そのプロセスに従わなければなりません。.
ヘルプデスクを例に挙げてみましょう。 誰かが電話をかけてきて、「セキュリティ上機密性の高いものが必要なんです」と言うとします。それが何であれ、実際には何であるかは重要ではありません。ヘルプデスクには、「まず、あなたの本人確認を行う必要があります」というワークフローが必要です。その手順が完了するまでは、電話をかけた人は先に進むことができません。必要であれば、ヘルプデスクは電話を切ります。.
もちろん、そのためには、ヘルプデスクが従わなければならないワークフローを確立し、誰かがヘルプデスクを説得してそのルールを回避できないようにする必要があります。理想的なシナリオでは、それがヘルプデスクが使用する技術的なワークフローに組み込まれていることです。.
例えば、RSAには「Help Desk Live Verify」というソリューションがあり、ヘルプデスク側が電話の相手を確認したり、その逆も確認したりするのに役立ちます。 誰かが電話をかけてくると、ヘルプデスクは「お話ししている相手が誰なのかを確認するため、この『Live Verify』の手順を踏んでいただく必要があります」と伝えます。また、電話をかけた側も、実際にヘルプデスクと通話していることを確認することができます。.
そのプロセスは必ず守らなければなりません。理想としては、ヘルプデスクソフトウェア自体が「必要な処理を実行する前に、この手順を完了してください」と指示するような、緊密な連携が図られている状態です。 「ワークフローに従わなければならない」と言うのは簡単ですが、関係者が確実にそれに従うよう義務付け、ワークフローを迂回できないようにする必要があります。迂回するのは非常に困難でなければなりません。.
ポール・マルヴィヒル:
その通りです。重要なのは、その確認手順を取り入れ、APIを活用して、ヘルプデスクのスタッフがどのようなプロセスを踏む場合でも、その確認ステップが確実に組み込まれるようにすることです。 また、「手を挙げて、『この手順を省略します。理由はこれです。その責任はすべて私が負います』と宣言する」という追加の手順が必要になるかもしれません。“
それ以外の場合は、99.99%件のケースについては通常のプロセスに従う必要があります。 インゴという人物が誰なのか確認してみます。システムから「本人確認は完了しましたか?」と尋ねられます。答えが「いいえ」の場合、確認が完了するまでは先に進めません。この要件は、ヘルプデスクのスタッフが使用するシステムに深く組み込まれているのです。.
デビッド・レロ:
以前、ヘルプデスクでそのようなプロセスを導入した際、CEOから非常に怒り狂った電話がかかってきたことを思い出します。「システムにログインできない。すぐにこの問題を解決しろ。私が誰だか分からないのか?」“
インゴ・シューベルト:
「いや。」電話を切る。それこそが肝心な点なんだ。.
デビッド・レロ:
私が誰だか知らないのか?
フランク・シューベルト:
そうでもないですね。そこがまさに肝心な点なんです。.
デビッド・レロ:
その通りです。そこがまさに問題だと思います。人々は変化や、これまでとは違うものに対して抵抗を示すものです。こうしたプロセスを導入し、検証も行う必要がありますが、同時に、人々をその道のりに巻き込んでいくことも必要なのです。.
インゴ・シューベルト:
もちろんです。.
デビッド・レロ:
人々をその道のりに巻き込まなければ、反発を招くことになります。人々は「ノー」と言うようになるでしょう。大勢の人が「ノー」と言い出せば、業務が進まなくなり、ビジネスは破綻し始めます。.
セキュリティは、依然として「人」が鍵を握っています。いくら機械をその中心に据えたいと思っても、結局のところ重要なのは「人」であり、どうすれば人々をその道のりに導けるかを考える必要があります。そうしなければ、人々を置き去りにしてしまうことになります。.
フランク・シューベルト:
皆様、どうもありがとうございました。非常に実り多い議論でした。.
AIは、攻撃者にとっても防御側にとっても、今後もアイデンティティセキュリティのあり方を変え続けていくでしょう。しかし、組織がAIを大規模に導入するにつれ、セキュリティ責任者はイノベーションだけにとどまらない視野を持つ必要があります。AIを活用した環境のセキュリティを確保するためには、信頼、ガバナンス、説明責任、そして管理が極めて重要になっていくでしょう。.
今日の議論から一つだけ学びがあるとすれば、AI分野をリードする組織は、単にAIを導入するだけでなく、そのガバナンスも確立するという点です。.
今回の『RSA Identity Unmasked』にご視聴いただき、ありがとうございました。今回の議論が参考になった方は、ぜひチャンネル登録をして、今後もアイデンティティセキュリティを形作る諸課題を探求していく今後のエピソードをお楽しみください。さらに詳しい情報やリソースについては、rsa.comをご覧ください。.
RSA Identity Unmaskedの今回のエピソードでは、RSAのエキスパートであるIngo Schubert、Paul Mulvihill、Rob Hughesが、Swiss BitのAlex Summererとともに、パスワードレス認証へのシフトを検証し、パスキーやフィッシング耐性認証などのテクノロジが組織の信頼確立方法をどのように再定義しているかを探ります。.
RSA Identity Unmaskedへようこそ。パスワードは何十年もの間、セキュリティの最も脆弱なリンクとされてきました。しかし、組織がユーザーを認証し、システムを保護し、信頼を確立するための基盤として、パスワードが使われ続けています。このモデルはもはや持続可能ではありません。攻撃者は侵入する必要はなく、ログインするのです。.
また、フィッシングやクレデンシャル盗難、AIによる攻撃が進化するにつれ、パスワードベースのセキュリティの限界は無視できなくなっている。パスワードレス認証への移行は、ユーザーエクスペリエンスの向上だけではない。.
これは、組織が信頼を確立し、それを実施する方法の根本的な変化である。このエピソードでは、パスワードレスの本当の意味、パスキーやフィッシング耐性認証のような技術がどのように標準を引き上げているのか、そして移行を成功させるために組織は何をすべきなのかを探ります。.
インゴ・シューベルトです。本日は、スタジオにRSAのエンジニアリング・チームのポール・マルヴィヒル(Paul Mulvihill)、そしてリモートからRSAの最高情報セキュリティ責任者のロブ・ヒュー(Rob Hugh)、Swissbitの認証責任者のアレックス・スメラー(Alex Sumerer)をお招きしています。.
ポール、ロブ、アレックス、参加してくれてありがとう。.
何十年もの間、パスワードはセキュリティの最も脆弱なリンクであった。私たちはついに、組織がパスワードを超えることができる地点に到達したのでしょうか?ポール.
ポール・マルヴィヒル
正しい方向に向かっていると思う。必ずしも必要でない技術も増えてきているが、レガシーであるがゆえにまだ必要なシステムもたくさんある。.
インゴ・シュベルト
ロブ、君はどう思う?
ロブ・ヒューズ
完全にパスワードレスにし、パスキーを使っている人もいれば、どうしていいかよくわからないという人もいる。最近、大きなID事故が起きておらず、プログラムが非常に反応的であるため、どうすればいいのかわからないのだろう。彼らにとっては、少々気の遠くなるようなことかもしれない。.
インゴ・シュベルト
アレックス、あなたの経験もそうですか?
アレックス・サマー
インシデントの件数を見ると、かなり増えており、企業は懸念している。パスワードレス方式の最初の導入はかなり成功している。しかし、それを統合し、複雑さとレガシーに対処することが重要なのです。しかし、さまざまな組織でパスワードレス・ソリューションの合理化に向けて大きく前進している。.
インゴ・シュベルト
パスワードは何十年も前から存在している。少なくとも10年か15年前から、パスワードは良くないものだとわかっていた。それは明らかであり、最初から明らかだった。しかし、そのような明らかな欠点があるにもかかわらず、なぜパスワードがこれほど長く続いてきたのでしょうか?私はおそらく、パスワードが共通の要素だからだと思う。誰もが何かを覚えることができる。それは必ずしも最善の方法ではないが、パスワードは非常に長い間存在しており、ほぼすべてのシステムがユーザー名とパスワードをサポートしている。だから、ある程度の基本的なセキュリティレベルを求めるのであれば、それは存在する。しかし、今では誰かを認証する、より優れた、より強力な方法がたくさんある。多くのシステムが急速に変化しているにもかかわらず、パスワードが共通の要素であり続けている。.
インゴ・シュベルト
アレックス、どう思う?
アレックス・サマー
パスワードはもちろん、組織にとっては使いやすく、導入しやすい。エンドユーザーにとっても、パスワードはごく一般的なものだ。パスワードさえ覚えていれば、ログインに困ることはない。しかし、問題はセキュリティにある。フィッシングに耐性がないことは、特にあらゆる攻撃が起こっている現在、大きな懸念事項である。パスワードベースのスキームを維持する方法はない。とはいえ、パスワードが広く導入されているのは、導入が簡単でユーザーが使いやすいからだ。.
インゴ・シュベルト
アレックス、あなたはフィッシングがもちろんパスワードの脅威であると言いました。パスワードを使い続けることで、今日でも生じるリスクは他にありますか?ロブ たぶん。.
ロブ・ヒューズ
はい、多くのリスクがあると思います。ほんの2、3年前、スノーフレイクがアカウントにMFAを要求せず、人々がオプションとして扱っていたとき、多くの人がストレージを保護するためにユーザー名とパスワードだけを使っていた。その結果、アカウントの乗っ取りが多発した。これは、ユーザー名とパスワードさえあれば、いかに簡単に誰かが侵入し、データを奪うことができるかを示している。パスワードを使い、MFAをオンにしなければ、本質的にアカウント乗っ取りの準備をしていることになる。一般的にパスワードは再利用されるからだ。パスワードのもう一つの問題点は、誰かが50種類のパスワードを覚えておくことは不可能であるため、ほとんどの人が同じものをいろいろなことに使っていることだ。MFAを導入するか、パスワードレスにしない限り、そのうちの1つが漏洩すると、他のあらゆるものが漏洩する可能性がある。そうすればその心配はない。セキュリティの専門家であっても、少なくとも私の経験では、セキュリティは難しい。私は、若干のバリエーションはあるものの、いくつかのパスワードを再利用している。もちろん、機密性の高いものではありませんが、確かにそれは問題です。.
インゴ・シュベルト
では、アレックス、人々がパスワードレスについて語るとき、彼らはどのような技術を指しているのだろうか?
アレックス・サマー
様々な方式があり、業界で広く使われている。まず、ワンタイムパスワード(OTP)から始めよう。これは何十年も前から存在している。ウェブサイトにログインするたびに異なるパスワードが設定され、それを生成するジェネレーターが用意されています。OTP方式には利点があります。セットアップを定義する必要がありますが、基本的には簡単にログインできます。というのも、OTPは依然として傍受される可能性があり、攻撃者は中間者攻撃を行うことができるからである。PKIベースの方式もある。PKIとは公開鍵暗号方式を意味する。PKIとは公開鍵暗号方式を意味し、認証システムに秘密鍵を持たせ、サービス・システムにログインする。公開鍵暗号は安全性が高く、フィッシングに強く、プロセスの背後に強力な暗号署名があるため、大きなメリットがある。デメリットは、PKI環境で維持する必要がある証明書の取り扱いが複雑なことである。第3の方式は非常に新しいが、ますます進化している。これは、FIDO アライアンスによって定義され、FIDO 認証として知られている。FIDO は、Fast Identity Online を意味する。これは現在、さまざまなプラットフォームで実装されている標準である。公開鍵暗号をベースにしており、非常に強力でフィッシングに強く、メンテナンスが簡単なのが魅力です。PKIベースのスキームのように証明書を管理する必要がない。多かれ少なかれ、これらはパスワードレス認証に使用される業界標準である。.
インゴ・シュベルト
ありがとう。 すみません、ロブ、どうぞ。.
ロブ・ヒューズ
アレックスが指摘したFIDOのパスキーについては、確かにパスワードレスについて考えるとき、私たちの頭の中にはそれが一番にある。しかし、私たちにはQRコードのような仕組みもあり、携帯電話のような持っているものと、携帯電話が提供する生体認証のような自分自身であるものを使うことができる。このような技術がすぐに利用でき、誰もが手にすることができるようになったことで、パスワードレスの進展がより容易になりました。パスワードについて語るとき、私たちはあなたが知っている何かについて話している。その要素の力を弱めるために、代わりに暗証番号を使うかもしれませんが、暗証番号でも同じような問題にぶつかることがあります。より安全な仕組みの多くは、バイオメトリクスを組み込んだ「あなたが持っているもの」と「あなたがいるもの」を中心に構築されている。.
インゴ・シュベルト
携帯電話であれ、USBメモリなどの物理的なデバイスであれ、認証にはデバイスが必要なのですね?
ロブ・ヒューズ
そう、iShieldの鍵やRSAトークンのような、'持っているもの 'になりうるものだ。冗長性や柔軟性を持たせるために、それらを組み合わせることもできる。誰かが携帯電話を紛失したらどうするか?iShieldトークンが手元にあれば、それを使って新しい電話をより早くオンラインにすることができる。そのため、これらのデバイスを使用する際には、オンボーディングとオフボーディングについて考慮する必要があります。.
インゴ・シュベルト
フィッシングに強い認証:セキュリティ・モデルはどう変わるのか?ポール?
ポール・マルヴィヒル
フィッシングに強いものを導入すれば、誰かがあなたからデータを入手することは難しくなる。リンクをクリックさせたり、強引に情報を聞き出したりすることはできない。パスキーやQRコードパスワードレス方式では、それはあなたが持っているものであり、誰かに渡すことはできない。パスワードやワンタイムパスワードの場合は、それを誰かに読み上げることができます。しかし、パスキーの場合、他人に渡すことができないため、セキュリティ・レベルが格段に上がります。物理的なものがあなたの手元にないのだから、私に電話して、あなたのマシンを通して私のパスキーでログインさせることはできない。意図的であろうとなかろうと、誰かが認証プロセスの一部を共有できるという要素が取り除かれる。技術者として、絶対に不可能なことを言うことはないが、私が故意であろうとなかろうと、あなたをログインさせたり、他の誰かをログインさせたりすることはできないので、セキュリティレベルは上がる。.
インゴ・シュベルト
アレックス、ロブ、何か付け加えることは?
ロブ・ヒューズ
もしパスキーが必要なら、強化されたセキュリティーを使わなければならない。しかし、攻撃者は予備経路を探すかもしれません。パスキーが機能しない場合はどうなるのでしょうか?パスキーが機能しなかった場合はどうなるのか?私は、パスワードレスのメカニズムがどのようなものであれ、パスワードよりは優れていると思います。私は、パスキーはその上の強化だと考えています。場合によってはパスキーを強制することができれば、プロセスの背後にある暗号化数学の利点を享受できる。それは簡単に共有できるものではない。しかし、パスキーが機能しない場合のフォールバック・メカニズムに戻ります。それは良い点だ。フィッシングに強い方法は1つではないということを理解することが重要です。パスキーは、元々登録したドメインにバインドされることもあり、確かにトップに近い。しかし、単純にフィッシングして後で再利用することができないという意味では、他の方法も強力です。ユースケースによっては、パスキーが有効な場合もあれば、別の方法の方が良い場合もあります。選択肢を持つことは間違いなく重要です。.
インゴ・シュベルト
さて、純粋に技術的なものから範囲を広げてみると、多くの組織がパスワードレス認証を望んでいますよね。
だから正直なところ、そんなことは望んでいない、という人とは話したことがないんだ。間違いなくニーズはあるし、意欲もある。しかし、導入には時間がかかる。.
最大の障壁とは?ロブかな。.
ロブ・ヒューズ
しばらく話していなかったセキュリティー担当者と話して、『パスワードレスはまだですか?と尋ねると、何人かはノーと答えた。その理由を尋ねると、FUD(恐怖、不確実性、疑念)に行き着くところもあるようだ。どうやって始めればいいのかよくわからないし、ツールがあるのかどうかもわからない。現実には、ほとんどの場所でMFAを導入している場合、認証の仕組みを変更するだけで済むことが多い。すべての機能を備えているかどうかによります。すでに強力な認証機能とMFAがあれば、それを少しずつ調整すればいい。しかし、人々は何から始めればいいのか困ってしまう。緊急事態でない限り、組織全体が乗っ取られない限り、あちこちでアカウントの乗っ取りに対処するだろう。それが彼らの知っていることであり、彼らの文化に根付いているからだ。パスワードレス化を阻むものは何か?多くの場合、人々はすべての構成要素を持っている。しかし、どこから始めればいいのかわからないのだ。.
インゴ・シュベルト
誰か?アレックス?
アレックス・サマー
私が懸念しているのは、バックエンドシステムの複雑さです。特に大規模な組織では、考慮すべきさまざまなシステム、さまざまなアプリケーションがある。それらはさまざまな種類のバックエンド・システム上で稼働しており、企業やエンタープライズ内のさまざまな部分すべてにわたってアイデンティティとアクセス管理を合理化することは難しい課題です。単純に『FIDOベースのスキームに切り替えてください』とは言えません。移行経路が必要です。私が観察しているところでは、移行は進んでいますが、時間がかかります。マイグレーション・パスの間に、フィッシングに強いスキームへと部分的に切り替えていくのです。私たちは多くの動きを見ており、これを非常にポジティブな意味で捉えています。セキュリティ・インシデントが起きており、セキュリティ・インシデントのために企業が活動できなくなるリスクは大きな懸念事項であるため、変化を起こさなければならないというプレッシャーもあります。年々、市場には大きな動きがあり、数年後にはパスワードレス認証が企業全体の標準になると思います。.
インゴ・シュベルト
移行可能なアプリケーションもあれば、そうでないものもある。 では、レガシーシステムは移行をどのように複雑にするのでしょうか、ポール?
ポール・マルヴィヒル
それは、これらのシステムが認証プラットフォームとどのように会話するかということになる。私が顧客と話すときにいつも言うのは、何ができるかはプロトコルに基づくということだ。私がよく使う例はRADIUSだ。パスワードと同様、何年も前から存在している。RADIUSはその名の通り、ある程度は機能しますが、限界があります。何年もコード化、変更、更新されていないレガシーシステムがある場合、それはまだ誰かが保守している言語なのだろうか?パスキー、FIDO、プロトコルの変更、シングルサインオンなど、パスワードレスの状態を実現するための方法をどうやって採用できるでしょうか?パスキー、FIDOキー、QRコードログオンなど、新しいテクノロジーを持ち込むことはできますが、そのシステムはそのテクノロジーを理解できないかもしれません。単純に対応できないのだ。そのため、パスワードレスが60%または70%のシステムで機能する一方で、残りの30%または40%のレガシーシステムが80%の作業を担っているような不動産があるかもしれません。不動産全体をパスワードレス準拠の世界にするためには、これらのシステムを置き換えるか、パスワードレスで有効化または保護できる何かを見つける必要があるかもしれません。.
インゴ・シュベルト
何があるのかを知り、それを理解しなければならない。そう、あなたはパスワードレスを望んでいる。それが最終目標だ。しかし、あなたは今どこにいるのか?すべてのシステムを見て、使用状況、リスク、その他の要因に従って優先順位をつけ、AからBに移行する計画を立てなければなりません。ロブはQRコードについて言及したが、パスワードレスには複数の選択肢がある。従業員のテクノロジーに対する快適さのレベルが異なり、複数の方法を提供する場合、従業員が何に満足しているかを知ることで、良い計画を立てることができます。従業員が電話を使うことに満足している場合は、電話のパスキーを使うことができる。物理的なものが欲しい人は、物理的なUSBパスキーを使えばいい。このような選択肢があるのは、あなたがどこから始めようとしているのかを認識する作業を行ったからです。では、企業がパスワードレスを導入したとして、それで終わりなのでしょうか、それともまだリスクがあるのでしょうか?ロブ たぶんね。.
ロブ・ヒューズ
パスワードレスを導入していたとしても、本当に100%パスワードレスと言えるのか、疑問が残る。例えば、MicrosoftのEntraを使用している場合、ユーザーIDにパスワードが紐付いていることが必須です。Entra IDを使用している場合、パスワードレスにできますか?他のすべてがパスワードレスであれば、多分あなたはイエスと言うでしょう。現実には、大組織には通常スペース(IDサイロ)が存在する。場所によっては変更が難しく、新しい方法論を導入するのが難しい。それを管理し、リスクを管理することが重要なのだ。私なら、まず量をこなすことを目指す。すべてのユーザーにパスワードレスに慣れてもらい、時間をかけてパスワードレスでない部分を押し出し、それらのシステムにパスワードレスを普及させる。時間はかかりますが、パスワードレスの文化を定着させることで、パスワードレスを導入していない部分を強調し、それを推進することが容易になります。.
ポール・マルヴィヒル
パスワードレスにした場合、多くのワークフローが変わることを認識する必要がある。以前は何かの登録にパスワードが必要だったとか、ヘルプデスクへの知識ベースの認証が必要だったという場合、もうそのようなことはないのだから。では、ITオペレーションやヘルプデスクにとって、パスワードレスは何を意味するのだろうか?どうやって誰かをチェックするのか?どうやって誰かを助けるのか?初日のシナリオでは、パスポートや運転免許証を使うなど、オンボーディングのためのID確認の領域に入る。アカウント回復も同様のアプローチを取ることができる。これらの方法のいずれかを使用していない場合は、重要なことになる。安全な方法で誰かを加入させる方法を考え出す必要がある。何らかの形でパスキーを送ることもできるが、その場合、誰かがそれを安全な方法で登録しなければならない。登録プロセスには、その場所に物理的に存在することが必要であり、認証の一部としてシグナルを使い、物事を絞り込む必要があるかもしれない。パスワードが書かれた手紙や電子メールを送ったので、最初にログインするときに変更してください」と言うのと比べると、力学は大きく変わる。パスワードなしで始める場合は、そのようなことは一切ありません。今あるものをチェックし、リスク分析を行い、それから決断を下すことになる。さまざまなタイプのユーザーにとって、ワークフローはどのように見えるのだろうか?すべての人に合うワークフローは、おそらく1つだけではありません。あなたの役割やどのチャンネルを使うかによって、それを実現する方法は異なるかもしれない。.
インゴ・シュキュベール
ロブ、ヘルプデスクについてどう思う?
ロブ・ヒューズ
ユーザがパスワードを使わないようになると、CISOとしてセキュリティ・プログラムを検討する際に、いくつかのことが新たな現実となる。攻撃者は、パスワードを使ってユーザー・アカウントを乗っ取ることができなければ、他の方法を探すだろう。ひとつの方法は、ヘルプデスクをソーシャル・エンジニアリングすることだ。もうひとつは、オンボーディング・プロセスやデバイスの登録に目を向けることだ。これらすべてのイベントにおいて強固なチェーンを構築し、パスワードレスを徹底する必要がある。ポールが言及したように、オンボーディングでパスワードレスの仕組みを導入することは可能だが、その方法を考えなければならない。パスワードのある仕組みに慣れていると、オンボーディングについて考えるのは簡単だ。新しいノートパソコンが届いたら、ログインするように言われるでしょう。最初から最後までパスワードレスを貫くことは本当に重要だ。.
インゴ・シュベルト
私たちRSAは、ここしばらくの間、パスワードレス・ログインを体験する喜びを味わっていましたし、あなたもRSAでその役割を担ったチームの一員でした。.
では、ユーザーの生産性を阻害することなくパスワードレスを導入するにはどうすればよいのだろうか。
ロブ・ヒューズ
まあ、前提条件が整っているかどうかということになると思う。一般的に、MFAが導入されていれば、それが出発点となります。ソフトウェアおよびハードウェアトークンの柔軟性があれば、それは助けになる。ユーザーがFace IDなどの生体認証機能を備えたスマートフォンを持っていれば、それも助けになる。これらの前提条件を十分に満たしているかどうかを確認し、それから始める必要がある。アイデンティティ・カンパニーである私たちは、シングルサインオンの仕組みを持っており、まずそこでパスワードレスを推し進めた。私はそれをいくつかの方法で考えている。まず、パスワードレスをユーザーに利用できるようにする。そして、それをデフォルトにして、最初のプロンプトをパスワードなしにする。十分なデータが得られ、問題のあるエッジケースがあるかどうかを確認できたら、パスワードレスを必須とする。誰かが特定のメカニズムでパスワードを使おうとすれば、それは単に機能しない。その後、SSOからVPN、デスクトップログイン、あるいはワイヤレスに移行し、IDサイロをターゲットにする前に、ユーザースペース全体でパスワードレスを実現することを検討することができる。計画的に行い、ユーザーからのフィードバックを集め、ヘルプデスクやサービスデスクに想定される問題や回避策を準備しておけば、大きな混乱なく実施できる。また、まずは試してみたいというボランティアからなるテスト・グループを作り、新しいテクノロジーをまず彼らに展開した。大きな混乱なしに行うことにかなり成功した。重要なのは、計画的に実行することだ。一夜にしてすべてを導入し、最善を望むようなことはしない。一晩ですべてを導入し、ベストを望むのではなく、少しずつ実行し、やりながら学んでいくことだ。隠れたレガシー技術的負債が見つかるかもしれないし、あなたが必要としようとしている最新アプリを実行するための正しいバージョンの携帯電話を持っている人ばかりではないかもしれない。そのような小さな問題はありますが、ユーザーに大きな影響を与えることなく、大部分は実現できると思います。.
インゴ・シュベルト
段階を踏んで実施し、モルモット(私もそのモルモットの一人になれて幸せだった)を用意し、まずテストをしてから対象者を広げ、最終的に全員に展開する。これは賢明なアプローチであり、パスワードレスの展開にも当然当てはまります。画期的なことや劇的に異なることは何もないというのはいいことだ。世界中のIT担当者にとって馴染みのあるアプローチであるはずだ。.
ロブ・ヒューズ
もちろんだ。チェンジ・マネジメントのグッド・プラクティスに従うことだ。それさえできれば、別世界のような難題を提示することはないはずだ。.
インゴ・シュベルト
アレックス、何か付け加えることはある?
アレックス・サマー
ハッカーは常に弱点を探しており、攻撃対象は3つある。ひとつはプロトコル、ひとつはプラットフォーム、そしてひとつはプロセスだ。パスワードレス・スキームに関して言えば、FIDOを例にとってみよう。FIDOは非常に優れた設計をしている。このプロトコルは安全で、ホストからサーバーまで、両方のエンドポイントで真正性の相互チェックが行われる。この場合、ハッカーはプロトコルを見るのではなく、プラットフォームを見るだろう。プラットフォームに弱点はあるのか?携帯電話、デスクトップPC、あるいはiShieldキーのようなもの(スマートカードチップをベースにしたFIDOセキュリティキー)。プラットフォームへの実装によって、攻撃の可能性は異なります。スマート・カード・チップの場合、おそらく攻撃は最も難しいだろう。これは非常に強力なフィッシング耐性を提供し、実験室では侵入テストさえうまくいかないだろう。デスクトップPCの場合は、TPMやその他の信頼ベースの技術を使って実装されているかどうか、あるいは脆弱な実装かどうかによる。攻撃者は、スキームやプラットフォームを攻撃できない場合、そのプロセスに注目する。プロセスが脆弱であれば、このようなデバイスであっても侵害される可能性がある。例えば、デバイスが暗証番号とリンクしていて、その暗証番号で鍵を解除しなければならない場合、暗証番号が共有され、攻撃者が鍵を持っていれば、それを使うことができます。そのため、プロセスの安全性は非常に重要であり、ヘルプデスクや企業全体の導入プロセスにも関わってくる。これらすべての面がセキュリティ対策でカバーされていれば安全です。しかし、『FIDOのようなパスワードレス・スキームを使っているから安全だ』というだけでは不十分です。プロセス、プラットフォーム、プロトコルを考慮しなければなりません。.
インゴ・シュベルト
GenAIやジェネレーティブAIを考えると、パスワードや認証全般に大きな脆弱性があるのでしょうか? ロブ、君はどう思う?
ロブ・ヒューズ
しかし、人々が考えているような方法ではないかもしれない。GenAIが、すでに世の中にあるスクリプトやシステムよりも優れたパスワードを予測できるとは思わない。それよりもソーシャル・エンジニアリングが重要だ。音声、ビデオ、よく練られた電子メールメッセージやスピアフィッシングの試みは、すべて後押しされる。攻撃者が基本的な認証情報を探している場合、あるいは人々を騙してMFAタイプの認証情報を提供させようとしている場合にも重要なことだ。私が最も大きな影響を受けるのはそこだ。いったん誰かが認証情報を手にすれば、AIは一度に多くの情報を調べ、迅速にフィードバックを提供することができるため、それが使用される可能性のある場所を見つけることも容易になる。.
インゴ・シュベルト
だから、AIツールの使用によってリスクが高まるのは間違いない。ポール、何か付け加えることは?
ポール・マルヴィヒル
いや、ロブがカバーしていると思う。ソーシャルエンジニアリングの面では、AIは人の生活をより楽にしてくれる。AIはより多くのデータをより簡単にまとめることができる。パスワードベースの世界では、AIは攻撃者に直接答えを教えることはできないかもしれないが、おそらく答えを導き出すのに役立つより多くの情報をより迅速に与えることができるだろう。.
インゴ・シュベルト
では、パスワードレスは、組織が自動化された脅威全般に適応する上で、どのように役立つのだろうか?
ポール・マルヴィヒル
辞書攻撃などの自動化された攻撃は典型的な例だ。パスワードレスのスキームであれば、そのような攻撃はもはや当てはまらない。前にも述べたように、プロセスがどのように実装されているか、プロトコルがどの程度強固か、プラットフォームがどの程度強固かによる。プロセス、プロトコル、プラットフォームが強固であれば、自動化された攻撃の可能性は限りなくゼロに近づく。例えば、ハードウェア・ベースのFIDOセキュリティ・キーでは、AIの時代であっても、それを使用した企業でのインシデントは1件も知られていない。状況や実装(プロセス、プロトコル、プラットフォーム)にもよりますが、正しく行えば、自動的な攻撃に勝ち目はないと言えるでしょう。.
ロブ・ヒューズ
そうだね。自動化された攻撃や、パスワードレスを導入している場合、攻撃者側からも考慮すべきことがいくつかあります。世の中にはさまざまなツールキットがあり、AIを使ったりして、誰かのIDを取得しようとします。しかし、パスワードレスを導入すると、パスワードに依存し、パスワードのプロンプトを表示するように設計されたツールキットのどれもが、ユーザーにとって意味をなさなくなる。パスワードレスにすることで、パスキーがない場合、ユーザーはパスワードのプロンプトが表示され、「おかしいな」と思う。パスワードが何なのかさえ知らないかもしれない。つまり、パスキーが導入されていなくても、文化的な部分でフィッシングに対する抵抗力を高めることができるのです。自動化された攻撃を考えるなら、パスワードのないユーザーベースに対して自動化された攻撃をするのは難しくなります。もちろん、パスワードレスには強力な認証、つまり何らかの形のMFAが必要ですが、それだけで、たとえパスワードが残っていたとしても、あらゆる場所にMFAがあるようなもので、自動化攻撃に対して役立ちますよね?そしてもちろん、パスワードレスでは、MFAというものが当たり前のように導入される。.
インゴ・シュベルト
では、今日からパスワードレスの旅を始めたいと考えている組織と話すとしたら、どのようなアドバイスをするだろうか?
私は段階的なアプローチを取ることを勧める。企業内のある部署や特定のグループに適用できるものから始める。試験的に実行し、規模を大きくし、しばらく実行したら展開する。私は定期的にこのようなプロジェクトを見ている。試験的に実施し、それを拡大し、さまざまな組織体全体に展開する方法を一緒に検討するのです。これは非常に効果的で、私たちは企業におけるこのような導入から非常にポジティブなフィードバックを受け取っている。.
ロブ・ヒューズ
アレックスのアドバイスは素晴らしいと思う。計画を立て、実行し、どこから始めたいかを決めることだ。計画的にやることだ。これは、展開方法を変えるようなエキゾチックな技術セットではない。ユーザーが現在慣れ親しんでいる技術の多くを使用している:スマートフォンのFace ID、ラップトップの指紋、カメラを使ったりQRコードを読み取ったりするために近くに電話があること。これらはもはや難解なものではない。.
ポール・マルヴィヒル
とても分かりやすい。アレックスとロブが言ったことに、これ以上付け加えることはない。選択肢を持つことと、ステップバイステップ。しかし、もしあなたが選択肢を持ち、どこから始めるかを知っているならば...。あなたはおそらく90%の下準備をして、良い計画を立てることができる。.
インゴ・シュベルト
そうだね。そして、付け加えることがあるとすれば、私が昔から苦手としていることだ。セキュリティの現状とアプリケーションの現状を把握することです。どのアプリケーションが存在し、どのアプリケーションがパスワードに依存しているのか、そしてどのアプリケーションをすぐに取り除くことができないのかを調べてください。動かせるものはたくさんあるはずだ。優先順位を付け、展開し、短期間で成果を上げれば、上層部にプロジェクトの予算を正当化することができる。.
パスワードレス認証は大きな前進だが、特効薬ではない。パスワードの削除はリスクを軽減するが、強力なIDセキュリティは依然としてコンテキスト、コントロール、継続的な信頼に依存している。今日の議論から1つの収穫があるとすれば、それはこれだ。パスワードレスは標準を高めるが、それを取り巻く広範なアイデンティティ戦略こそが、本当の安全性を決定する。.
RSA Identity Unmaskedのエピソードにご参加いただきありがとうございました。本エピソードをお読みいただき、貴重なご意見をお聞きになった方は、今後のエピソードもぜひご購読ください。また、その他の洞察やリソースについては、rsa.comをご覧ください。アレックス、ロブ、ポール、どうもありがとうございました。.
ポール・マルヴィヒル、ロブ・ヒューズ、アレックス・サメラー
ありがとう。お招きいただきありがとうございます。.
このエピソードでは、インゴ・シューベルト、ジョン・ニコラス、ポール・マルヴィヒルが再び登場し、アイデンティティ・セキュリティに関して最もセンシティブな分野のひとつであるヘルスケアについて掘り下げます。 ゲストが、臨床環境におけるアクセスの複雑性、共有デバイス、ライフサイクル管理、認証の課題と、それらに正面から取り組む方法について語ります。.
RSA Identity Unmaskedへようこそ。本日は、アイデンティティ・セキュリティの最もハイリスクで興味深い分野の1つであるヘルスケアについてお話しします。今日もポールとジョンに加わってもらい、課題、ユースケース、ベストプラクティスを見ていきましょう。始めましょう。では、なぜヘルスケアはIDセキュリティにとってこれほどユニークな環境なのでしょうか?
ジョン・ニコラス
ポール、よかったら僕が始めよう。どうする?
ポール・マルヴィヒル
ぜひそうしてほしい!
ジョン・ニコラス
私たちがいつも医療について話していて、最初に出てくる話題のひとつが、医療機関が持っている技術スタックと重要なレガシー・インフラストラクチャです。最新のMFAサービスに接続できない可能性があるため、IDの観点からセキュアにする必要がある最大の分野の1つです。そのため、レガシーな独自技術は、医療機関(英国ではNHSが代表的な例)では大きな課題となっている。.
ポール・マルヴィヒル
NHSのことはよく知られていますが、その傘下にはたくさんの小さな組織があり、ITインフラをサポートするための巨大なポットが1つあるというわけではありません。もし、それがひとつの大きなものであれば、可能性はありますが、残念ながら、世の中はそううまくはいきません。そのため、レガシー・システムがあり、移行やメンテナンスに対応しなければならないため、最新かつ最高のものを手に入れることができない場合、どのようにして最新システムを手に入れるのかという課題がある。
インゴ・シュベルト
そうですね。もちろん、例えばドイツでは違う。この文脈では、それほど違いはないと思いますよ。組織も違うし、レガシー・アプリケーションもたくさんある。公平を期すなら、おそらくヨーロッパ中、あるいは世界中の多くの場所でそのような状況が見られると思います。
ポール・マルヴィヒル
レガシーシステムについては、機能しているものがあれば、そのエラー率について話す。それが2年前のものだからといって、変更しようとはしないでしょう。新しい分野に資金を投入することになる。そう、レガシーだからといって、それが古くて時代遅れだということにはならない。ただ、機能しているということだ。もっと重要なことがある。.
インゴ・シュベルト
稼働中のシステムには触るなでは、このような環境でアクセス、制御、認証が難しいのはなぜだろうか?
ポール・マルヴィヒル
おそらく、複数のトラストが混在していると思います。例えば、ある日、私はある場所で働き、また別の場所では別のトラストで働き、また別のトラストでは別のトラストで働く。すべてを管理する中央システムはあるのだろうか?おそらくないだろう。私はどこかに戻るつもりなのか、それとも1年に1日だけ別の場所でやるつもりなのか?アイデンティティの観点から管理し、安全性を確保しようとするシステムの数は、その複雑さを指数関数的に増大させる。50のサイトにまたがっているが、それは50のシステムなのか?5なのか1なのか?それを全国に広げれば、さまざまな理由で複雑な層が増えるだけです。.
ジョン・ニコラス
そして、そのユーザー数が問題なのだと思います。なぜなら、最前線で医療サービスを提供する臨床医は、もちろん非常に優秀かもしれませんが、サイバーセキュリティの専門家ではないからです。例えば、NHSをサポートするチーム全体が、すべてのロジスティクスや計画、管理面を担当している。そのうちの何人かは、モバイル認証のようなものを使うことができるかもしれませんが、他の人たちは病棟やもっと安全な環境にいるかもしれません。何か他のもの、つまり物理的なトークンが必要です。
認証を行う。巨大な労働力だけでなく、認証方法に関して複数のユースケースがあるわけです。それから、モバイルの話が出ましたが、使いたいモバイルを持っていない人もいるでしょう。つまり、5人を1つのシステムに入れるだけで、3つも4つも5つも異なるユースケースがあるわけです。.
インゴ・シュベルト
つまり、臨床医、臨時スタッフ、交代制のシフトは、物事を非常に複雑にしてしまうのです。今おっしゃったことですね。私のID管理の観点から言うと、9時から5時まで働くような、組織化された企業内の労働力と比較すると、少し難しいことがわかります。そうですね、時間帯が違うかもしれませんが、これは基本的に11時まで働きます。.
ポール・マルヴィヒル
例えば、1つの大企業に50の異なる部門があったり、100の異なる部門があったりします。一方、ヘルスケア部門を見ると、ケア部門という1つの大きな組織があるかもしれませんが、その中には50や100の別々の会社があり、それぞれが専門性を持っていて、仕事のやり方は自律的でなければなりません。その中で何か問題が発生した場合、どのような影響があるのでしょうか?
インゴ・シュベルト
もちろん、ドラマチックなテレビ番組という点ではそうだ、もちろん、ドラマチックなテレビ番組があるように、すべてが速く進まなければならないんだ。でも、それは1つのことで、物事を遅くすることはない。
ジョン・ニコラス
ガバナンスの観点から言えば、最小限の権限という観点から言えば、例えば、自分の役割を果たすために必要な権限だけを全員に与えたいとは思わないでしょう。しかし、そこで問題になるのは、この変更を行おうとして、間違って権限を奪ってしまうことです。そうなると、病棟で誰かの命を救うのに役立つ重要な機械や設備を操作できなくなる。そのため、例えばIGAソリューションを実施するための意思決定の精度は、絶対に鉄壁でなければなりません。そのため、その時点で変更を加えるには、おそらく何層もの意思決定を経なければならず、時間がかかる。なぜなら、このワークフローを導入して、極端な例では命を救うことができなかったり、薬局から何かを投与することができなかったりするような事態は避けたいからだ。.
インゴ・シュベルト
しかし同時に、特にアイデンティティ・ガバナンスでは、もちろん、この場合、手っ取り早い解決策があるわけですが、もちろんそうではありません。それは有効なアプローチですか?それは良い妥協なのか?いや、厳粛にそうだと思うよ。
ポール・マルヴィヒル
一人の人間がハッキングされ、一人のアカウントが漏洩し、あまりにも多くの権限を持っていたら、どうなるでしょうか?病院のスタッフだからということで、すべてを任された用務員が薬局のシステムに侵入し、薬にアクセスしたり、患者の記録を変更したりすることができるんです。そうですね。しかし、ジョンが言っていたように、ポリシーの適用やパーミッションの最小経路の適用を変更すると、多くの潜在的な影響があるため、ほとんどリスクが麻痺してしまいます。X、Y、Zのパーミッションを削除するポリシーを導入することは可能だが、絶対的な確信がないのであれば、50人に影響を与えるかどうか、その50人がこのリソースにアクセスしたかどうかの分析を行ったことがあるだろうか?もしそのうちの1人がアクセスしたのであれば、もっとレビューを続ける必要がある。その一人に特別な許可を与える必要があるか?誰一人そうでなく、十分な期間監視しているのであれば、そうですね、それを強制することができます。しかし、もし私が何かを取り除いてしまったら......という恐怖がある。いろいろと推測することはできても、何かが必要になるような緊急事態を想定することはできません。私はこの許可を外しました。この看護師や医師、あるいは誰かが何かをする必要があったのに、突然それができなくなる、というシナリオが今出てきたのです。.
インゴ・シュベルト
機械を操作するだけではない。どこかのデータにアクセスするようなこともできるだろう?例えば、健康記録とかね。つまり、普通の企業では、誰かが少ない資格しか持っていないとまずいということです。彼らは自分の仕事をすることができませんが、リクエストをすれば承認されます。そう、悪いことなんだ。数時間遅れるかもしれないし、翌日になるかもしれない。しかし、医療環境では、これは文字通り大きな問題を意味する。そして、分刻みで行われるわけではないかもしれないが、必要なときに必要なケアが受けられないということになりかねない。.
ポール・マルヴィヒル
もしそれが企業で、誰かがデータにアクセスすることができれば、誰かがクレジットカードで何かを注文し、それを修正するためにクレジットカードでフルバックができるかもしれないし、注文がキャンセルされるかもしれない。つまり、これらのいくつかはそれほど深刻な影響ではありませんが、医療であれば、誰かがあなたの医療記録を変更します。共有されるべきではない詳細を誰かが共有する。何が起こるかわからない。あるいは、情報が漏れてしまうことで、長期的な影響が出る可能性もある。あなたが言ったように、あなたが依存している薬が止められるかもしれない。その薬の処方が終わりに近づいていて、実際に必要な薬かどうかの再確認が必要なときに、その薬の詳細が削除されることで、薬の効き目がさらに遅くなり、遅らせることになる。企業や民間企業の医療分野では小さな変化に見えるかもしれませんが、問題や影響は10倍、20倍、30倍にもなる可能性があるのです。.
ジョン・ニコラス
医療記録は、ダークウェブで取引される場合、非常に価値があります。例えば、クレジットカードの詳細情報よりも価値があります。保険金詐欺のように利用される可能性があります。だから、攻撃者はここに入りたいんだ。彼らは、願わくば、誰の命も危険にさらしたくないが、医療記録を手に入れ、それを金銭的な利益のために利用することで、金銭的な見返りを得たいのだ、と彼は言う。.
インゴ・シュベルト
つまり、その情報は攻撃者からすれば、誰かをスピアフィッシングで攻撃するのに最適なんだ。医療情報を知っていれば、信頼度が上がるだけで、その種の攻撃に対してより疑わしくなるよね?あるいは、脅迫とかね。その記録を使ってできることはたくさんあるよね?ああ、それは分かるよ。では、現実的な話に戻りますが、例えば病院で実際に何が起こるのでしょうか?典型的な認証ワークフローはどのようなものでしょうか?
ジョン・ニコラス
彼らが典型的かどうかは分からない。.
インゴ・シュベルト
まあ、いいだろう。.
ジョン・ニコラス
システムについては話したが、何をすべきなのか?という質問もあるかもしれないが、バックエンドには常にMFAのステップアップがあるべきだ、IAMの観点から話をすると、条件付きアクセスを活用することは可能でしょうか。AIを活用して、そのユーザーが適切な時に適切なユーザーであるかどうかを理解し、管理者が膨大なユーザーベースと膨大な技術スタックに基づいて条件付きアクセスポリシーをこねくり回すのではなく、動的に実行させることができます。.
インゴ・シュベルト
この業界で私が気づいたことのひとつは、製造現場での共有デバイスが一番近いかもしれない、ということです。それが普通とは言いませんが、不釣り合いなほど多くの共有デバイスがあるように感じました。それにどう対処すればいいのでしょうか?
ポール・マルヴィヒル
少なくとも3人、場合によっては5、6、7人で1台を共有することになるでしょう。ナースステーションの端末とか、そういうものですからね。 それを保護する最善の方法は?つまり、ユーザー名とパスワードに何らかの認証情報を入れることだ。小さなOTPトークンやハードウェアトークンを使っている人を見たことがある。かなり回復力がある。しかし、それで十分でしょうか?ワンタイムパスワードを通すだけだからだ。誰かがコンピューターにアクセスし、ログインし、使用しなければならない。しかし、パスワードは試行錯誤の末に完成したものだ。FIDOキーを渡して、その使い方に慣れるように頼んだり、モバイルで生体認証をプッシュして承認してもらったり。でも、それを使うには、他のことも加えなければならない。そのためには、他の要素も加えなければならない。.
インゴ・シュベルト
それに、他の業界では、例えば携帯電話をどこにでも持っていくことができないところもある。プライバシーの問題とか、カメラがあるからとか、他の機械の邪魔になるからWi-Fi接続はできないとか。だから、オプションが必要なんだ。それに、OTPジェネレーターは消毒液につけることもできるんだ。.
ポール・マルヴィヒル
先日、あるお客さんと話していたんですが、まさにそのような、まあ医療ではないですが、携帯電話が使えないというシナリオがあるんです。物理的な環境はセキュリティー的に厳重です。だから、ワンタイムパスコードのついたハードウェアトークンか、Fidoキーのようなものを使う。RSA iShieldのように、非接触型のFIDOやそのような要素を取り入れた新しいものもあります。以前はユーザー名とパスワード、そしてワンタイムパスコード、あるいはパスコードにそれらを使用することができました。コンピュータに行き、名前を使い、タップしてピンを入れれば、その領域に入ることができる。.
インゴ・シュベルト
それだけだ。.
ポール・マルヴィヒル
プロセスをスピードアップしているんだ。また、他にも進歩している分野があり、今後さらにシンプルになるかもしれません。つまり、FIDOやパスキーのいくつかの要素は、保持することができます。だから最終的には、FIDOのキーを持って歩いて、それをマシンに置くだけでいいんだ。.
インゴ・シュベルト
もちろん、このNFCタップがあれば、使い勝手の問題は少なくなる。何かを読み取ってもう一度何かをタップする必要がないので、間違った数字を読み取ったり、正しい数字を持っているのに間違ってタップしてしまったりすることがない。そのため、そのようなことがなくなりました。.
ポール・マルヴィヒル
また、視力に障害のある人がいる場合、回転する小さなスクリーンからそれを読み取るのは簡単ではないかもしれません。繰り返しますが、これはNFCです。.
インゴ・シュベルト
なるほどね。.
ポール・マルヴィヒル
どんな分野の人でも、その要素から恩恵を受けることができる。.
ジョン・ニコラス
セキュリティーと利便性を両立させることは、おそらく最も重要な分野のひとつだろう。急いで何か重要なことをしようとするときに、認証の流れやアクセスの流れを遅くしたくないから、セキュリティーと利便性を両立させることが重要になる。.
インゴ・シュベルト
複数の認証方法を持つことは、1人のユーザーのためだけでなく、複数の方法を持つユーザーもいるかもしれません。だから、1つのタイプですべてに適合するわけではないんだ。.
ポール・マルヴィヒル
そうだね。.
ジョン・ニコラス
絶対にない。確かに、あの規模の組織ではね。.
ポール・マルヴィヒル
役割分担についておっしゃったように、ガバナンスの側面に戻って、それぞれの役割を果たす人が、何ができるかをきちんとマッピングする必要があります。看護師や病院では、医師、ポーター、受付など、できることが決まっています。また、医師、別のポーター、受付の人など、さまざまな役割があり、それぞれ異なる要件やアクセス権を持っています。だから、それをマッピングして、この人はこういう役割で、ガバナンス・プロセスとライフサイクル・システムを整備して、これがあなたの役割で、これがあなたが持つことのできるものです、と確認し、それを適切な方法にマッピングして、1日に20分もMFAステップアップに時間をかけなくても仕事ができるようにしなければなりません、いつも使っているコンピューターに入り、いつもアクセスしているリソースにアクセスする。.
インゴ・シュベルト
では、ガバナンスの側面、つまりアイデンティティ・ガバナンスの側面にとどまりますが、では、なぜ、医療環境において、ジョインが重要なのでしょうか?
ジョン・ニコラス
ポールも言っていましたが、人はトラスト間を移動するかもしれませんが、トラスト内でも、おそらく定期的に役割を移動しているはずです。つまり、JMLプロセスの規模は、1日に何万、何十万もの変更があるのです。そのため、自動化された観点でそれを把握することは非常に重要です。また、単に自動化するだけでなく、適切なタイムラインを持つことも重要です。それがシステムに入っている。3日後にロールAからロールBに変更すると、バックエンドで自動的に行われます。上司に『来週からインゴがチームに加わりますが、彼にできることは何でしょう』と相談するのではなく、インゴがチームに加わり、初日から必要なことがすべてできるようにするのです。.
インゴ・シュベルト
そしてそれは、私がトラストを変更した場合、Aという役割はもう私にはないということでもある。
ジョン・ニコラス
ああ、そうだ。.
インゴ・シュベルト
だから、この権利の蓄積、あるいは時間の蓄積は、私たちのキャリアの中で誰もが一度は目にしたことがあると思う。
ジョン・ニコラス
アイデンティティ・スプロール.
インゴ・シュベルト
ああ、そうだ。.
ポール・マルヴィヒル
Jonが言っていたことに付け加えると、異なるサイトや異なるトラスト、異なるロールを飛び回っている場合、サイトAであなたのために作成されたアカウントは、ライフサイクル・サイドとレバーの要素を使えば、3、4、5週間、あるいは2、3日でも戻ってこない場合、そのアカウントを即座に無効にすることができる。そのため、アカウントが存在し、あるレベルのパーミッションが与えられているにもかかわらず、そのアカウントが無効化されてしまうというシナリオを避けることができる。ただ使われずに放置されているだけで、別の攻撃ベクトルになってしまうのだ。つまり、別の攻撃ベクトルになってしまうのです。誰かが侵入して、ランサムウェアを使った信用攻撃や、そういったことをすることができないようにするのです。もうここには来ないのだから、ロックしてしまえばいい。2日後に戻ってくれば、2日後にはシステムが再び電源を入れる。.
インゴ・シュベルト
そうだね。.
ポール・マルヴィヒル
それまではオプションではない。オフになっている。使えない。.
インゴ・シュベルト
そして、それによって得られる可視性、つまり、明らかにシステムは、あなたが持っている役割、あなたが持つ予定の役割、あなたが持っていた役割を知ることができます。間違っていたら訂正してほしいのですが、監査を受けた場合、その情報や可視性は非常に役に立つと思います。.
ポール・マルヴィヒル
誰がどの時点で何をすることができたのか、履歴がすべて残っているはずだ。では、監査の観点から何か起こった場合、この監査基準を守っているのか?はい、これがその証拠です。一元的なガバナンス・プラットフォームがあれば、すべてがそこにある。だから、「うん、問題ない。そして、万が一、うまくいけば稀なことですが、何かが起こった場合、同じデータセットを使って、その時点で誰がこのデータにアクセスしたかを確認することができます。どのような追加ログをエコシステムに取り込むことができるかによって、「これらのアカウントは何かやったかもしれないが、誰がそれにアクセスしたのか?誰が何かをしたかもしれない。.
インゴ・シュベルト
これは調査の助けになります。つまり、優秀なセキュリティー・エンジニアであれば、常に何が起こるか、いずれは侵入されることを想定しているものです。これは、後始末の過程で、何が起こり、誰が影響を受けたかを確認するのにも役立ちます。.
ポール・マルヴィヒル
常に何かを想定し、それが破られる可能性を想定する。コンピュータのプラグを抜いて、セメントで固めてアレアナの海溝に落とすとか、そういうことをしない限り、何かが起こることはない。だから、万が一、何かが起こったとしても、それが物事の進行に与える影響が最小限になるように、できるだけ多くのものを入れておくのだ。.
ジョン・ニコラス
それに加えて、ガバナンスのようなアプローチから得られるデータを見ると、監査人に情報を提供できるかどうかだけではないと思います。監査人に情報を提供できるかどうかだけでなく、現在の状況を把握できるかどうかも重要なのです。プロセスの成熟度について、私はこのセッションで多くのことをお話ししています。そのチームの誰も、半年でも1年でも、あなたが定義した期間内にこの権限を使用していない。その権利を削除することを検討しよう。なぜなら、その権利は過剰な権利であり、彼らがその権利を使わなくなったのには、それなりの理由があるかもしれないからだ。もしかしたら、その仕事量をこなすために並行して使っているシステムがあるかもしれない。だから新システムでは、古いシステムからそれを取り除く。そうでなければ、完全な手作業で監査を行うことになり、過去6ヶ月間あなたがシステムで何を使っていたのかがわからなくなってしまいます。そのインテリジェンスを使って、ゼロ・トラストや最小限の特権に向けた作業について、情報に基づいた意思決定を行おう、と言うのです。.
インゴ・シュベルト
ああ、ここで特権が頭をよぎる。.
ポール・マルヴィヒル
そうすると、あなたが言ったように、彼らが使っていなかった特定の許可特権を見ることができるようになります。実際、チームの%の80人がこれをやっていますが、正式な役割の一部ではありません。10人中8人が個別に「Xをするために必要なので、システムBにアクセスさせてください」と言うのではなく、チーム全体が必要だからできるようにするために、この権限を追加する必要があるのでしょうか。.
インゴ・シュベルト
例外による管理、基本的にはそうだ。そうだ。.
ポール・マルヴィヒル
実際、80人の%が使っているんだ。そうすれば、監査やコンプライアンスを遵守することができ、「そうだ、このチームにはこれが必要だ。これは彼らの役割の一部だ。他の誰かが入ったり、辞めたりしたら、その人が持っている役割の一部であるため、そのアクセスをオフにするか、同じようにやっている新しい人に与えます。.
インゴ・シュベルト
では、CIO、つまり医療機関のCIOに、何から始めたらいいと言いますか?というのも、CIOが始められることは山ほどあるからです。
ジョン・ニコラス
しかし、その本当の理由は、フィッシング詐欺への対策に力を入れることです。なぜなら、多くの医療機関は主要なコミュニケーション手段として電子メールに依存しているからです。なぜなら、医療機関の多くは主要なコミュニケーション手段として電子メールを利用しているからです。それだけでなく、そのようなシステムを利用している人たちは、プレッシャーの高い環境で働いています。ログオンして、素早く何かをする必要があって、メールが来て、ちょうどいいタイミングでそれを打つことができた。パニックではなく、通常の流れで、うっかりフィッシング・サイトに認証情報やデータを公開してしまうのだ。ですから、フィッシング詐欺の耐性を認証するために、私たちは、このような電子メール・コミュニケーションに重点を置いている部門に注目しています。.
ポール・マルヴィヒル
フィッシング対策から始めて、次に従業員に何ができるかを可視化することで、フィッシング対策と並行して、フロントドアのセキュリティを確保する。何が使われていて、何が使われていないのか、誰が何をできて、誰が何をできないのか。一度データを手に入れれば、誰も使っていないのだから、最初から何の効果もない変更を加えることも検討できる。しかし、同じように、チームがより効率的に仕事をこなせるようにするためには、どのような変更が必要なのかを考えることができる。.
インゴ・シュベルト
ありがとう。医療システムにおけるIDセキュリティについて、実に良い洞察がありました。このようなディスカッションがお好きな方は、新しいエピソードが公開されたら、ぜひ購読してお知らせください。以上、「RSA Identity Unmasked」でした。また来月お会いしましょう。.
RSAのIngo Schubert、John Nicholas、Paul Mulvihillが、注目の攻撃ベクトルであるヘルプデスク攻撃について議論します。パネリストは、サイバー犯罪者がMarks and Spencer、Jaguar、Co-Opなどをどのように攻撃したかを詳しく説明し、従来の認証ソリューションではこれらの攻撃を防ぐことができない理由を説明します。.
今すぐご覧ください:
- ヘルプデスクがサイバー攻撃の格好の標的になる理由
- MFAはヘルプデスク攻撃の防止にどのように役立ち、どこで不足するか
- ソーシャル・ネットワークがソーシャル・エンジニアリング攻撃にどうつながるか
ヘルプデスクはなぜ狙われるのか?まずはここから。.
ジョン・ニコラス:ええ、喜んで飛び込みます。そもそもヘルプデスクの役割とは、人々を助けたいということだと思います。だから、ヘルプデスクに電話をかけてくる人は誰でも、ヘルプデスクの管理者のその善良な性格を利用して、「ねえ、何か手伝ってくれる?だから、あなたが企業の従業員である場合は、純粋に助けが必要なのです。しかし、あなたが電話をかけてくる脅威の行為者である場合、彼らはそれを祈ることができる。なぜなら、ヘルプデスクの管理者は、もはやX、Y、Zしかできないと言うプロセスに縛られないからだ。これはヘルプデスクにとって、強力なプロセスがない場合に悪用される本当のリスクだ。.
ポール・マルヴィヒル:それに加えて、ヘルプデスクの中には、KPIが「チケットをクローズしなければならない」「誰かが電話をかけてくる」「チケットをクローズしなければならない」「解決しなければならない」というところもあります。これらはすべて、もしあなたが何もしないのであれば、私はその上でプレーするつもりだ。あなたがチケットをクローズしたいのなら、私は電話で問い合わせ、あなたはチケットを作成した。.
ヘルプデスクで働いたことがある人ならわかると思うんだけど、私はちょっとだけ働いたことがあるんだけど、つまり、彼らの統計のようなもので、チケットが何枚開かれているかとか、チケットの平均クローズ時間とか、そういうのが全部大きなモニターに表示されることがあるんだ。そうそう。実際、最近何か変わったんですか?何が変わって、これが最高の攻撃ルートになったんですか?
ポール・マルヴィヒル:以前からルートへの攻撃はあったのでしょうが、最近になってニュースに取り上げられることが多くなりました。マーク・スペンサーの生協、JLR、ジャガー、ランドローバーがこの1年半に攻撃を受けました。ヘルプデスクが狙われたせいもある。誰かが誰かを説得してアカウントの認証情報を与えさせ、そこに侵入して悪事を働いた。.
サード・パーティに頼っているのは、もはや組織Aの従業員だけではありませんし、私たちは常にサード・パーティについて業界内の事前リスクについて話しています。そのような面でも、限られた知識しかないのかもしれません。.
インゴ・シュバート:オーケー。そしてもちろん、その会社の文化を知らなければ、そうなります。.
ポール・マルヴィヒル(以下マルヴィヒル):そうですね、あなたがおっしゃったように、ヘルプデスクをアウトソーシングしている場合、手順は知っていても、人のことは知らないでしょう。そうですね。では、「わかりました、お電話します」と言えるようにするにはどうすればいいのでしょうか?私たちは初対面です。オフィスに来たこともない。.
インゴ・シュバート:実際の攻撃はどうなんだ?つまり、この場合の典型的な攻撃とはどのようなものでしょうか?攻撃者は何を達成しようとしているのか?そして、攻撃者はそれをどうするのか?
ポール・マルヴィヒル:アカウントをリセットすることから、VPNネットワークに接続するための手助けを得ることまで、いろいろなことが考えられます。つまり、私たちは、人々が何をするかについて多くのソーシャルメディアがある世界に住んでいます。私の友人にも、様々な理由で自分の人生をソーシャルメディアに公開している人がいる。理にかなっていることもあれば、そうでないこともある。だから、もしあなたが誰かのことを知りたいと思ったら、情報源を追跡して多くの情報を集めることができるだろう。ヘルプデスクに電話をして、誰かの出生地やペットの名前など、あれやこれやを調べて、パスワードの再設定を依頼する。私が誰なのか、私が何を言っているのかを知るための、今日のステップは何でしょう?おそらくセキュリティの質問でしょう。.
インゴ・シュバート:そうですね。基本的には、攻撃者がソーシャル・ネットワークから得た予備知識を組み合わせることになります。別の攻撃かもしれないし、違法かどうかは別として、データブローカーから買ったデータかもしれない。そして、冒頭で話したような高圧的な環境と組み合わさることで、攻撃者にとっては実に魅力的なターゲットになるわけですね。
ジョン・ニコラス:ええ、それに加えて、私たちは模倣したいと思うような個人をリサーチすることについてよく話します。彼らのテクノロジー・スタックはどうなっているのか?そうすれば、ヘルプデスクと会話をするときに、より信頼性を高めることができる。VPNにアクセスできますか?パロアルトのVPNが使えないんです。どうすればいいですか?そうすればすぐに、この方が身近に感じられるでしょう。.
インゴ・シュバート:私はこの場合、攻撃者であるあなたの方が身近に聞こえる、と言おうとしたのですが、それはつまり、あなたが私たちの仲間だということです。.
ポール・マルヴィヒル:少し前に、ある大会のビデオを見たんだが、ヘルプデスク経由で企業にハッキングするためにお金をもらっている人がいた。そして、ユーザーになりすましたり、VPNシステムとは何かという情報を得たりして質問し、ウェブサイトへのアクセスを手伝わせ、実際にその人が使っているコンピューターにバックドアでアクセスできるようにした。.
インゴ・シュバート:つまり、これは基本的に認証のための証拠に頼るということです。どちらかというと、攻撃者が作り出す、暖かくてファジーな感じがいいんです。その代わりに何をすべきなのでしょうか?つまり、何か違うことができないか?つまり、真新しい問題ではなさそうですよね?このヘルプデスクはもう何十年も前からあるものでしょう?
ポール・マルヴィヒル:そうですね、つまり、ITセキュリティーに関しては、私たちは方程式全体の中で最も弱い部分だというところまで来ていると思います。私たちが知っていることを頼りにしているのであれば、おそらくあなたはそれを見つけることができるでしょう。誰かが持っているもので、他の情報源から得られない、あるいは学べないようなもので認証を行う、という領域まで踏み込む必要があります。ある種のMFAのステップアップのようなもので、そのような種類のものだ。でも、質問をするのではありません。.
インゴ・シュバート:そうですね、一番人気があるのは、祖母の旧姓とか、そういったセキュリティに関する質問ですね。その中でいつも同じものはいくつありますか?
ポール・マルヴィヒル:その通り。同じ10個の質問から3つを選ぶ。そのリストを見て、みんなの答えがわかるかもしれない。そのリストを見つけて、みんなの答えが何なのか調べればいいんだ。.
インゴ・シュバート:そうですね。包括的なテーマに戻ると、IDセキュリティの一般的な話になりますが、そう、証明と強力な証明が必要なのです。あなたはMFAの話をしたと思います。そこでMFAの出番です。.
ポール・マルヴィヒル:ええ、つまり、もしあなたが会社でMFAを導入しているのなら、それを利用してください。もしジョンがMFAを設定してヘルプデスクに電話をかけてきたら、それを使って自分が誰であるかを証明するのです。もし、それがMFAの設定だったら、それを証明してください。.
INGO SCHUBERT:では、それは今どのように機能するのでしょうか?この場合、RSA ID Plusでは、つまり、ヘルプデスクは何をする必要があるのでしょうか。そのためにエンド・ユーザーは何をする必要があるのでしょうか?というのも、MFAを行うというのは、そう、1つのことなんです。でも、それがどのように段階を踏んで機能するのか。ユーザーはどうすればいいのか?
ポール・マルヴィヒル(以下マルヴィヒル):ID Plusのようなものには、2つの側面があります。ヘルプデスクの担当者はシステム内でユーザーを見つけ、ベリファイ・セッションを開始します。電話をかけてきたエンド・ユーザーはURLを知っているか、行くべきURLを教えてもらっている。企業は、それがFIDAなのか、プッシュ承認なのか、バイオメトリクスなのか、どのような方法であっても受け入れられるかどうかを決定する。それに成功すると、ベリファイ・コードが発行される。それをヘルプデスクの担当者に返す。しかし、これは純粋に本人確認番号です。認証番号ではない。それで何かを調べることはできない。.
インゴ・シュバート:そうだね。だから、彼らは現在のOTPを手放したりする必要はないんだ。.
ポール・マルヴィヒル:OTPならOTPでやってくれる。プッシュ認証やファイドーのバイオメトリクスを行います。その時点で情報を共有することなく、そのすべてを行う。結果を得る。その結果をヘルプデスクの担当者に渡す。認証の類ではない。そして
ヘルプデスクの人が、この番号を教えてくれ、1、2、3、4、5、それを入れてくれ、と言うと、システムは、ああ、これが彼らの言う人物だと期待していたよ、と言う。.
インゴ・シューベルト(RSA)とデイヴィッド・レロ(バーニング・ツリー)が、量子暗号、リスクへのタイムライン、そして組織がポスト量子IDレジリエンスに備える方法について議論を続ける。この第1回目のエピソードでは、その全貌に迫ります。ポップコーンをどうぞ!いい話です!
DAVID LELLO:ありがとう。
インゴ・シュバート:聴衆の皆さんのために、量子コンピューターとはどういうものか、2、3語で説明していただけませんか?
デビッド・レロ:量子コンピュータの基本的な見方から始めようと思う。.
インゴ・シュベルト:うん
DAVID LELLO:量子コンピューターは、従来のコンピューターとは異なる方法で動作します。量子コンピューターでは、コンピューターは異なる方法で処理を行います。量子力学を利用しているので、量子力学の多次元の世界では、データを見て、データを見る。データを同じように読み取ることはなく、その結果、仮説を立てたり、複数の構成要素を同時に見ることができる。本を読むとき、従来のコンピューターは最初から最後まで読みますが、量子コンピューターは本を読み、データを見ます。そのため、量子コンピューターははるかに速く情報を処理することができる。また、問題を解決する際にも、一連の問題を解決しようとするのではなく、すべての問題を同時に解決するようなものです。.
インゴ・シュバート:ええ、もちろんアルゴリズムはかなり違います。だから、多くの人が、私もそうですが、実際にどうやってプログラミングするのかということに頭を悩ませているのだと思います。伝統的なITのバックグラウンドを持つ私にとって、これは本当に別物なんだ、ということを理解するのに役立つことがある。Nビットあれば、N個のデータを保存できる。ゼロか1か?量子では、Nの2乗、つまり、即座に、昔の瞬間的な計算が働けば、同じ量の量子ビットで、より多くのデータを保存できるんだ。だから、記憶と処理は別次元なんだ。というわけで、この話はこの辺にしておきましょう。基本的なことを説明しただけです。.
そこで、次のトピックとして、量子コンピューティングの現状はどうなっているのか?私たちは今どこにいるのでしょうか?というのも、おそらく、そしてブレッチリー・パークで私たちをご覧になった方もいらっしゃるかもしれませんが、私たちの現在地や将来について、私たちは異なる意見を持っていると思うからです。では、あなたから始めましょう。量子コンピュータの現状はどうですか?
デビッド・レロ:量子コンピューターはまだ初期段階にあると思う。多くの量子コンピューターが存在し、実際に量子コンピューターで時間を雇ってデータを見ることができます。しかし、量子コンピュータが開発されるには、さまざまな問題があると思います。量子コンピュータの中には、温度などの面で多くの制御を必要とするものもあります。量子コンピューターは絶対零度、つまり摂氏マイナス270度で動作するわけですが、これは本当に低温です。そのためには大きな施設と設備、そして大きなエネルギーが必要です。そうでなければ、結合力が失われ、プラットフォームの安定性が損なわれてしまいます。.
初期の量子コンピューターは、この問題のために常に燃え尽きていた。そのため、この問題を解決し、対処する必要がある。もう1つの問題は、量子コンピューターは同時にデータを見るため、多くのノイズが発生するということです。もし聖書のようなものを、最初から最後まで読むのではなく、瞬時に読まなければならないとしたら、理解できない物語が頭の中にできてしまうでしょう。そして、メッセージを咀嚼し、理解し、抽出することは非常に難しくなる。.
そのため、システム内のノイズが大きな問題を引き起こしていた。オックスフォードでは、エラー評価とシステム内のノイズを大幅に減らすことに成功しました。しかし、現在のところ、おそらく最も大きな問題は、一度にエンタングルできるキュービットの量です。つまり、情報を処理するために一度にエンタングルできる量子ビットの量は限られている。つまり、マシンの処理能力や能力には限界があるということだ。.
つまり、まだ暗号学的に適切な量子コンピューティングと呼べるようなものではない、ということが大きな問題なのだが、実証された段階にある。機能する。科学者が言うとおりのことができる。ただ、それを次のレベルに引き上げ、さらに投資していく必要がある。数カ月に一度、さらなる進歩が起こったり、多額の投資が行われたりしており、私たちは進歩を目の当たりにし始めている。.
インゴ・シュバート:ええ、その通りです。量子コンピュータを比較するとき、その写真を見ればわかるでしょう?5年前と現在を比べると、私は今でも部分的には物理実験と呼んでいますが、5年前の方がはるかに物理的な実験でしたよね?その物理的なセットアップを見ればわかるでしょ?
しかし、従来のコンピューターよりもはるかに速く問題を解決できるのは事実だ。その理由のひとつが、あなたがおっしゃった「結束力」です。ええ、基本的な結束力というのは、ある一定の時間だけシステムを安定させることができるかどうかということです。どのチップかにもよるけど、通常は最大で秒単位、ミリ秒単位で計測されるんだ。そして、それは多くの場合、有用な時間からかなり離れている。しかし、理にかなった使用例もあります。量子コプロセッサのようなものだ。しかし、私が問題視しているのは、多くの使用例において、NvidiaのGPU数個で同じように問題を解決できるかどうか疑問だということだ。
量子コンピューティングの分野でも多くの宣伝が行われています。AIの誇大広告とも少し重なると思います。誇大広告であっても、それが現実であるとも言えるでしょう。しかし重要なのは、多くの誇大広告と多額の資金が出回っているということです。その資金の一部は、出口戦略のようなものを探しているのだと思います。量子コンピューターは魅力的でしょう?そのため、彼らは多くのものをそこに投入しています。そして、根本的に見ると、過大評価され、また、何を約束するかという点で、過大評価されている企業が存在します。ブレッチリー・パークでは、グーグルのウィロー・チップを例に挙げましたが、グーグルは実際にこの新しいチップに関するプレスリリースを発表しました。宇宙は25歳の10の何乗かしかないんだから、とんでもないことだ、という感じだ。また、大小を問わず、さまざまな企業のプレスリリースを見ると、達成したことを誇張する傾向がある。.
残念なことに、量子コンピューティングがここ数年で成し遂げた真の進歩のいくつかがかき消されてしまうのです。量子コンピューティングの脅威が、実際よりもずっと現実味を帯びてきているのです。でも、もし量子コンピューターが突然現れたら、なぜ世界は終わるのか、という話に入る前に、あなたが考えている量子コンピューターの利点は何でしょうか?量子コンピューターは、他のどんなものよりもずっと優れたことができるのでしょうか?
デビッド・レロ:量子コンピュータの現状について、あなたがおっしゃったことにもお答えします。量子コンピュータに問題があることには同意しますが、量子コンピュータの安定性の実現は、言われているよりもずっと近いところにあると思います。振り返ってみると、未来を見るための最良の方法のひとつは歴史を見ることだと思います。私が銀行で働いていた若い頃、メインフレームがあって、それは旧式のIBMのメインフレームだった。メインフレームは一部屋を占めていた。大きな部屋だった。小さな部屋ではなかった。かなり大きな部屋だった。メインフレームは部屋を埋め尽くしていた。このメインフレームにはバルブがあった。水冷タンクが3つあった。この銀行の地下にはプールがあった。これは巨大だった。そのわずか数年前に、そのメインフレームからパンチカードシステムを入れ替えたんだ。.
古いメインフレームを搬出する際には、フォークリフトや非常に重たい機械が必要だった。そして、以前よりも飛躍的に巨大なラックとメインフレームコンピュータに置き換えた。コンピュータの進歩は年々加速している。ほんの30年前、いや40年前にさかのぼったとしても、私たちが目にする変化の量は膨大なものです。.
インゴ・シュバート:そう。.
冷却システムや大型装置、それに付随するあらゆるものが必要だからです。それには莫大な費用がかかる。莫大な投資が必要なんだ。そして、これらの問題は解決されるだろう。そして、私たちが考えるよりも早く解決されるかもしれない。現在のところ、月ごとに見られる進歩は、私たちが結束に近づいていることを示唆している。だから、もう少しなのかもしれない。.
というのも、量子コンピューターができることは、データを非常に高速に処理できることであり、一部の人々が主張するほど高速ではないが、データを非常に高速に処理できるため、これまで解決できなかった問題に目を向け、解決できることを意味するからだ。.
理論物理学ではシュレディンガーの猫という概念がある。腐敗しているのか?それは何なのか?猫の状態は?量子コンピューターは、あらゆる可能性の猫を実際に見て、見ることができる。.
タンパク質の折り畳みなど、医学の分野では、量子コンピュータは従来のコンピュータよりも優位に立つと思います。他にも、単純に大量のデータを処理する必要があるもの、天気予報もそうですし、地質学的なデータなど、コンピュータの恩恵を受けるユースケースはたくさんあります。.
というのも、トランジスタで過去に起こったことがまた起こるというのは、一筋縄ではいかないからです。宝くじと同じで、前回当たったからといって、次回も当たらないとは限りません、数百量子ビット、あるいは数千量子ビットで万能の量子コンピュータができるとしたら、例えば、暗号技術にとって脅威となる「ショーのアルゴリズム」を実行することができる。数十万量子ビットの話ですよね?それに到達する過程で、どこかで壁にぶつかるかもしれないだろ?そのような問題を解決できる保証はない。そうかもしれないし、実際そうかもしれないけど、保証はないんだ。それと同時に、量子コンピューターは、GPUのおかげで世界的に計算能力が大幅に向上している環境の中で、商業的に生き残らなければなりません。AIのおかげで。 以前はビットコインの流行でしたが、今はAIです。つまり、チップ設計の根本的な進歩がなければ、このようなことは起こりません。つまり、チップは小型化されるのです。私たちは計算能力を大幅に向上させました。つまり電力です。.
そのような環境では、量子コンピューターは生き残らなければならない。特に鍵の解読については、政府によってはそうするところもあるでしょう。そう、それでいいんだ。彼らは十分なお金を持っている。彼らはそんなこと気にしない。まあ、気にする必要はあるかもしれない。私たちの税金なんだから。.
完全に機能する普遍的な量子コンピューターに至るまでには、実用的な量子コンピューターのユースケースがある。それは議論の余地がないと思う。そうでないとは言っていない。そして、そのための良いユースケースもある。例えば、製薬研究におけるタンパク質の折り畳みとかね。
しかし、脅威について話しましょう。消費電力のような話ではなく、伝統的なユニットにはそれがあるからね。つまり、特にITセキュリティに対する脅威、そしてセキュリティなんだ。ショールのアルゴリズムについて触れましたが、これが何なのか、セキュリティにどのような影響を与えるのかを簡単に説明しましょう。.
量子コンピューターは、情報やデータをより速く処理することができるので、暗号鍵をリバースエンジニアリングするためにショーのアルゴリズムを使うことができる。.
インゴ・シュバート:そう。.
デービッド・レロ:したがって、私たちが消費し、使用し、アクセスする最も多くのデータが、攻撃に対して脆弱になる。.
インゴ・シュバート:ええ。何十万もの量子ビットが凝集し、何時間も動作する必要があるからです。何十万もの量子ビットを結合させ、ある程度の時間をかけて動作させる必要があるからだ。つまり、RSAアルゴリズムは、ある意味で本質的に破られるか、無効化されることになる。つまり、ここ数十年間使われてきた一般的なものは、基本的にすべて破られてしまうということですね。量子コンピューターがあれば壊れてしまう。もちろん、伝統的なコンピューターはこれまで通り苦戦を強いられるでしょう。.
つまり、これらのアルゴリズムはあらゆるところで使われているんだ。従来のTLS、ウェブサーバー通信、クライアントからウェブサーバー、VPN、電子メールの署名、送信されるファイルの暗号化など、これらはすべてRSA、ECC、Diffie-Hellmanに基づいていることが多いんだ。つまり、これは破滅的と言えるかもしれません。.
デービッド・レロ:絶対にそうなる。完全に壊滅的でしょう。調べれば調べるほど、そして実際に使用すればするほど、より多くのシステムが故障することになるでしょう。これは世界的な問題です。認証や金融システムへの認証のようにね。ビットコインのようなものでさえ危険にさらされる。楕円曲線暗号を使っていて、それが漏洩してしまう。その結果、金融システムが完全に崩壊してしまうのです。.
そう、大惨事になりかねないのです。IoTやOTについて話し始めて、医療機器や医療機器について考え始めると、それを危険にさらす可能性があることがわかります。例えば、インスリンポンプを装着している人がいるとします。.
もし私がインスリンポンプの暗号化を危うくできれば、誰かを殺すことができる。.
インゴ・シュバート:そう。.
DAVID LELLO:つまり、突然、こうしたことの背後にある犯罪性が指数関数的に大きくなる可能性があるということです。そして、『マイノリティ・リポート』や『ターミネーター』のような使用例を目にするようになるのです。.
インゴ・シュバート:今、あなたは話している。面白くなってきたよ。.
でも、量子コンピューターは一朝一夕にできるものではありません。例えば、誰かが20万キュービットの量子コンピュータを手に入れたとしましょう。通常は100万個くらいだ。10万キュービットくらいあればいいという研究もある。突然、誰もが量子コンピューターを持つようになるわけではありません。量子コンピューターにアクセスできるのは、一部の政府や研究施設だけです。すべてのサイバー犯罪者が量子コンピュータにアクセスできるわけでもない。.
しかし、脅威は現実だ。2000年問題に似ていると思う。だから、我々はしばらく前からそのような事態になることを予見していたが、それを軽減するためにいろいろなことをやったが、結局は何の役にも立たなかった。.
デービッド・レロ:でもそれは、僕らが何かをしたからだよ。.
インゴ・シュバート:その通り。私たちが何かをしたからでしょう?もし何もしていなかったら、おそらく大きな問題になっていただろう。そして、おそらく今回のケースと似たようなことになると思います。.
ええ、ですから、私たちの寿命がどれくらいかは意見が分かれるかもしれませんね。MITREの報告書では、アメリカの政府出資の研究機関として、2040年代初頭、おそらく2050年代あたりに、このショールのアルゴリズムを発表しています。奇跡でも起きない限り、その可能性は極めて低いと思う。では、この量子の黙示録に備えるために、今日できることは何でしょうか?
DAVID LELLO:2050年よりずっと早くなるのは間違いないと思う。なぜなら、それは不可能なことだからだ。私たちには超自然的な精神がないのだから。.
インゴ・シュバート:では、2055年に会いましょう。同じ時間にね。もし僕がまだ中にいたらね。.
デビッド・レロ:もちろんだ。そうしよう。同じ時間、同じ場所で。そうしよう。でも、もしもっと早く実現するのであれば、そのイベントをどのように祝うか考えましょう。技術の進歩には必ずブレークスルーがあり、それはある時点で起こります。来週かもしれないし、10年後かもしれない。10年後に起こるかもしれない。わからない。しかし、科学がそこにある以上、それは必ず起こる。信憑性がある。現実だ。ひまわり畑は今、凝集力を維持している。常温で、畑で、周囲で起こっているあらゆることがあっても、安定性がある。下を走り回る動物、汚染、その他もろもろ。ひまわり畑は凝集力を持つことができる。.
インゴ・シュバート:その通りだ。.
DAVID LELLO:科学者たちがなぜそんなことをするのか?
インゴ・シュキュベール:ええ、でも進化には数百万年かかるでしょう? それが私の言いたいことだ。でも、彼らには少し先があるよね?
ブレッチリー・パークでも少し触れましたが、暗号鍵の管理に関する慣行やグッドプラクティスと呼ばれるものに関して、私たちが現在抱えている問題のひとつは、多くの企業が失敗しているということです。数年前にSSLの脆弱性が発覚し、誰もが慌てて鍵の交換を検討しました。その結果、組織はTLSキーのローテーションをより機敏に行うようになりました。これで問題のかなりの部分が解決したことになる。TLSキーに俊敏性があるということは、キーを変更できるということだ。TLSキーに俊敏性があるということは、キーを変更できるということだ。.
しかし、組織は今すぐにでも、認証局や鍵の発行方法、TLSレベルでの鍵の交換方法について考え始めることができる。それは構わない。しかし、ある組織に入ると、20~30、もしかすると40%もの鍵が、このような方法で管理されていないことが判明する。多くのハードウェアは、ハードウェア・インフラストラクチャの一部に鍵を埋め込んでいることが多い。.
特にモノリシック・ビルドの時代には、アプリケーション自体にキーが埋め込まれていた。そして、このようなことが起こらないように考えるようになった。.
インゴ・シュバート:それが私の言いたいことだ。量子コンピューターがどうであろうとなかろうと、あれは悪いやり方だ。.
デービッド・レロ:そうだね。Y2Kでは日付があったので簡単でしたが、Q-Dayでは日付がありません。Qデーには日付はありません。.
インゴ・シュバート:とてもいい指摘だ。.
DAVID LELLO:しかし、いずれそれが到来したとき、明日到来するかもしれないし、10年後に到来するかもしれない。データが危険にさらされ、大規模な問題が発生する。.
しかし、私たちが抱えているもうひとつの問題は、私がよく質問されるもので、『今すぐデータを採取し、後で復号化する』という脅威です。暗号化されたデータが盗まれるのは何年も前から見てきたことで、デービッド・キャメロンがこの国で、我々のデータはすべて中国に盗まれている。暗号化されているからね。数年前にさかのぼれば、そのような発言は今現在は正しいが、量子コンピュータのような技術を使えば、それは問題になる。もちろん、データは古くなります。.
インゴ・シュバート:しかし、そのデータの一部はまだ関連性があるだろう。すべてではないけれど、ある意味では。だから、それは同じだと思う。5年後に解読されたとしても、誰も気にしないでしょう?10年後でもいい。だから、認証のためのIDデータの多くは、5年後や10年後に解読されたとしても、その頃には時代遅れになっているから、それほど気にする必要はないという主張ができる。しかし、戦略的なデータには、何十年も先まで害を及ぼす可能性があるものがたくさんあるんだ。国家である必要もない。普通の企業でもいい。.
デビッド・レロ:その通り。.
インゴ・シュバート:それで、どうなんだ?
DAVID LELLO:つまり、レガシー・システムが存在する組織に行くことが多いんだ。実際、私は少し前まである組織にいました。彼らはそのアプリケーションをブラックボックスとして扱っていました。書いた人はとっくに亡くなっていて、触ってはいけない。もし倒れたら、答えは電源を入れるか切るか、もう一度電源を入れて祈るしかない。あなたにできることは何もない。そして、このシステムは店舗内のすべてのアクセスを管理していた。もし危険にさらされ、ダウンさせられたら、組織を崩壊させることになる。.
インゴ・シュバート:単一障害点。.
DAVID LELLO:単一障害点。シングル・ポイント・オブ・フェイル(単一障害点)が存在する組織の数は、並大抵のものではありません。組織は、IDおよびアクセス管理インフラをどのように近代化するかを考え始める必要があります。IDおよびアクセス管理について考え始めると、IDおよびアクセス管理はすべてに通じるルートである。私たちは、ドイツやここイギリス、イタリアなどで起きている最新のランサムウェア攻撃を見てきました。これらのランサムウェア攻撃は、アクセス・コントロール・システムを標的にしている。アクティブ・ディレクトリであれ、私が説明したようなシステムであれ、実際にアクセス権を侵害することができれば、組織を崩壊させ、コミュニケーションを停止させ、アクセス権を停止させることができるからです。このような状況下でIDアクセス管理を近代化することは、大きな優先事項のひとつになるでしょう。.
インゴ・シュバート:ああ、そうだね。それに反論するのは難しいですね。ベアボーン暗号の鍵管理に戻ると、多くの顧客は自分が何を持っているのかわかっていない。暗号化する場所、鍵の場所、電子署名する場所などをよく把握していない。このような概要を把握していないのです。それが問題の一部だと思います。なぜなら、存在を知らないものを修正することはできないからです。顧客の多くは、単に基本的なサイバー衛生に苦労している。残念なことに、これは私が常に目にしていることです。今朝も、20年前のRSAソフトウェアを使用している顧客に関する問い合わせがありました。
デヴィッド・レロ:ワオ。.
インゴ・シュバート:実際、サポートに電話で問い合わせがあったんですが、サポートは答えられなかったんです。私が言いたいのは、この基本的なサイバー衛生と可視化を行わない限り、まず第一に、量子的な準備状態に到達することはできないということです。そんなことはあり得ない。.
私の意見では、量子コンピューティングを心配するのは、それを修正してからでいいと思っているんだ。というのも、もしあなたが今使っているソフトウェアが何なのかわからず、それを最新に保っていなければ、例えばポスト量子暗号を実装しているように、当然ベンダーが修正することに依存することになりますよね?
しかし、もしソフトウェアが新しいバージョンになり、量子コンピューティングのような素晴らしいものが搭載されたのに、それをインストールしなければ、それは存在しないことになりますよね?また、たとえそうしたとしても、例えばデータ管理に関するポリシーや手順が適切でなければ、ここで何を話しているのでしょうか?攻撃者がヘルプデスクに電話をして入室を求めることができるのであれば、そのために量子コンピュータは必要ないでしょう?今日は必要ない。昨日も必要なかった。明日も必要ない。あなたのポリシーが適切でなければ、彼らはヘルプデスクに電話するだけでアクセスできる。.
だから、量子コンピューターとは関係ないことでも、うまくいかないことはたくさんある。私が恐れているのは、人々が量子コンピュータやQ-Dayを見て、この素敵でピカピカ光るおもちゃに気を取られていることだ。何十年もやっていないような宿題がたくさんあるのにね。もちろん、そうする必要がある、可視化する必要がある、パッチを当てる必要がある、手順を修正する必要がある、と主張することもできる。そのために量子コンピューティングの脅威が必要なら、そうすればいい。私は満足できる。.
でも、もし量子コンピューターで障害が起きたらどうするんだ?数年間は何のメリットも進歩もなく、2060年代にはとっくに現役を退いているから心配する必要はない、みたいな感じになってしまう。.
ドイツの哲学者、エマニュエル・カントの名前を挙げてみよう。だからこれからはエマニュエルと呼ぶよ。.
18世紀のドイツの哲学者で、彼は多くの優れたことを言った。でも、私が最も賢いと思うことのひとつは、正しいことをするのは、それが正しいことだからでしょう?そうすることで、どこかの神様から得をするとか、そういう理由ではない。正しいことだからするんだ。.
暗号化する場所、暗号化する方法、ポリシー、手順、パッチの当て方、これらすべてをきちんと把握することが、量子コンピューティングが10年先か20年先か30年先かに関係なく、正しいことなのです。そんなことは関係ない。そうする必要がある。過去20年間、そうしてきたはずです。それが本質的なポイントです。ここが私たちが同意するところだと思います。そうだね。なぜなら、量子コンピューティングの現状と将来について、私たちは異なる意見を持っているからです。しかし、量子コンピューターに対応する必要があるという顧客がいれば、その努力は決して無駄にはなりません。.
デイビッド・レロ:いや、そんなことはない。というのも、私たちは多くの時間を大企業の取締役会と一緒に過ごし、財務担当取締役などと話をしているからです。企業は製品やサービスを提供するために存在し、民間企業であれば、もちろん慈善事業でない限り利益を上げるために存在しますが、そのことは気にしないでください。だから、正しいことだから何かに投資するというのは、より哲学的な議論になる。私は、それが必ずしも正しいアプローチだとは思いません。.
インゴ・シュバート:そうだね。.
DAVID・LELLO:私はあなたの意見に同意するけれども、100%、信仰の観点からは、私が信じていることからは、私は常に正しいことをしたいと思う。しかし現実には、企業はそのために存在しているわけではありません。正しいことをするために存在しているわけではないのです。少し不道徳なこともある。.
インゴシュバート:本当ですか?初めて聞きました。メモしておこう。.
私たちが見ている現実のひとつは、ある環境に関連する自分のリスク・エクスポージャーを測定し、認識し、理解することだと思います。私たちがこの問題に対する組織の回答を支援することを検討し始めたとき、私たち自身に課した課題のひとつは、量子的な備えを扱うフレームワークが実は存在しないということでした。1つもないのです。.
そこで、私たちは1つの規格を作った。私たちは、量子を見るためのアプローチを紹介する規格を作りました。NISTやグッドプラクティス、ISFなどさまざまな標準を参考にし、モデルやフレームワークを作成しました。その結果、ブラックボックス化された環境ですべてのアクセスを管理するIDシステムのようなシステムに目を向けることができるようになりました。そのようなマシンを持つことによる私のリスク・エクスポージャーはどの程度なのか?私のリスクは何なのか?私は自分のリスクを本当に理解しているのだろうか?もしそのマシンがダウンしたら、私の環境はどうなるのか?そのリスクを理解した上で、何か対策を講じなければならない。.
インゴ・シュバート:ああ、結局のところ、これは適切なリスク管理なんだ。量子コンピューターがあろうとなかろうと、リスク管理は必要であり、何年も前から行われてきたし、今日も行われているはずだ。これが私の言いたいことです。.
もちろん、それが正しいことだからやっているわけではないだろう?それは財政的に難しい議論だ。それはまったく同感だ。でも、なぜそうしなければならないのか?そしてまた、量子コンピュータのために、これらすべてを検討し、把握し、適切なリスク管理を行うというコンセプトを売り込む必要があるのなら、私の推測通りでしょう?それが絶対に正しい方法だと思う。それが署名を得るために必要な手段なら、そうだ、絶対にそうしよう。なぜなら、量子コンピューターがまだ30年先だとしても、結局のところ、今現在でも恩恵は受けられるからだ。なぜなら、その準備ができていれば、今日も安全でいられるからだ。お金を無駄にすることもない。そう、私はそれが完璧に正しいことだと思います。例えば、ヨーロッパでは2026年までにDORAに準拠するよう勧告しています。DORAに準拠したいのであれば、正直なところ、それはもうできているはずです。つまり、2026年までに可視化とリスク管理を行い、高リスクの場合は2030年までに、低・中リスクの場合は2035年までに、何らかの形で量子的な準備態勢を整えるということですね?2025年末の時点で、すでに2026年にリリースしているのです。.
だから、ほんの数年先のことなんだ。話の最初に戻って、Y2K問題を考えてみると、1999年に始めた人は、この問題に対して少し遅かったということになる。だから、今から準備しておく必要があるんだ。.
DAVID LELLO:私は、あなたがそこで提起したことのひとつが、人間心理という点で興味深い点だと思います。規制というのは、企業が正しいことを怠るからこそ有効になるものです。.
インゴ・シュバート:そうだ。.
デービッド・レロ:そして、彼らが正しいことをしていないために、議員たちは、私たちがそれに目を向けない限り、この国で大きな問題が起こるだろうと言う。だから、何かをしなければならないときに法律が登場する。英国のNCSCは量子に関する指針を定めています。ヨーロッパではDORAがある。そして悲しいことに、ブレグジットのせいで......。
インゴ・シュバルト:あなたが持ってきたんだ。.
DAVID LELLO:レジリエンス法案については、まだ検討を始めたばかりです。レジリエンス法案はパブリックコメントのために発表されました。第1号が発表され、コメントが寄せられています。近いうちに国会で読会が行われるでしょう。この問題で世界に追いつけることを願っています。.
インゴ・シュバート:まあ、アメリカを除けばね。アメリカは、地図上では荒涼とした場所のように見えますね。ええ、本当にそうです。アメリカの同僚たちとも話しているんだけど、そうだね、アメリカにはそういうところがないよね。しかし、世界の他の国々では、規制や損失という点で、リスク管理はもう少し成熟しているようです。
DAVID LELLO:持っているに違いない。.
インゴ・シュバート:そうだろう?おそらく私よりももっと多くのことをご存知でしょうが、そのうちのいくつかは、適切なリスク管理を行うことが、目に見えて明らかです。もしその機器が故障したら、どんな結果になるか知っておくべきですよね?もちろん、そうすべきです。なぜなら、あなたのビジネスはお金を儲けていて、それを妨げる何かがあるからです。その理由と解決方法を知るべきだ。それなのに、彼らは法律で強制されるまでそれをしない。
デビッド・レロ:悲しいかな、人間の本性が出るものだ。リスクやリスクマネジメントを考えることは難しいことではありません。.
インゴ・シュバート:いや、でも時間がかかるんだ。.
DAVID LELLO:そして、時間はかかりますが、プロセスを簡素化するのに役立つさまざまなテクノロジーがあります。コンピューターはプロセスを自動化するために設計されている。コンピュータがあるのは、実際に何かをするために大勢の人を必要とする手作業のプロセスがあるからです。コンピュータを使えば、そのプロセスをすべて自動化できる。最新のシステムを使えば、さらに自動化することができる。例えば、脆弱性管理のようなものだ。最新化された環境で脆弱性スキャンを導入していれば、テクノロジー・リスクは比較的よく見える。.
インゴ・シュバート:ああ。我々にとっても同じだ。アイデンティティ・ガバナンス。結局のところ、それはロケット科学ではない。ええ、もちろんです。すべての異なるシステムを接続し、ルールやその他のものを作成します。しかし、そうすれば、可視性が確保され、職務分掌やコンプライアンスといった観点からの見解が得られる。そう、それは大変な作業なんだ。もちろん、お金と時間を投資することになりますが、そこから何かを得ることができます。.
デビッド・レロ:そう。.
インゴ・シュバート:そうですね。というのも、この確保に全財産を投じるべきでないとか、これはそれほど大きな影響がないから弾力性を持たせているのであって、もうひとつはもっと投資すべきだ。適切なリスクマネジメントを行わなければ、そのような状況を把握することができないので、どのように判断すればいいのでしょうか?つまり、人々は、基本的に、組織は、これをしないことによって自分自身を傷つけているのですね?
DavidLelo:そしてアイデンティティ・ガバナンスは、実際にそれを可能にし、助けるという点で長い道のりを歩むことになります。そうです。IDをめぐる多くの組織と話をするとき、IDはセキュリティの1つではありません。アイデンティティは実現するものです。組織がより効率的かつ効果的にアクセスできるようにするための、真のビジネス・イネーブラーなのです。しかし、適切な時に適切な場所に適切なアクセスを行い、それを実際に推進するガバナンス・モデルを持つことが重要なのです。ITGCの統制や財務システムに目を向け、どのようにアクセス権限を設定する必要があるのか、職務分掌、それに伴う義務などを検討し始めるとき、これらのことは目新しいことではない。これらのことは何も新しいことではない。何十年もの間、会社法や財務規則に書かれてきたことです。.
インゴ・シュバート:もちろんだ。.
デイビッド・レロ:そして、優れたIDガバナンス・システムでそれをコントロールできる能力は、今そこにある。そして、近代化されたソリューションがあれば、実はとても簡単なことなのです。人々が思っているほど難しいことではありません。.
インゴ・シュバート:私たちを見てください。アイデンティティ・セキュリティ・ガバナンスの話を量子論から始めた。でも、そこがポイントなんです。これは、顧客や一般的な組織での議論において、ドア・オープナーのようなものだと思います。量子の脅威の話をしても、結局は量子の話ではなく、他の話になってしまう。そう、今すぐ修正すればいい、今すぐ修正すべきだ、将来どうなるかは関係ない。.
DAVID LELLO:基本的な衛生概念だ。.
インゴ・シュバート:基本的な衛生概念ですね。というわけで、この話を締めくくるのにぴったりの方法ですね。デイビッド、ありがとう。本当に、会うたびに何時間でも話せそうです。本当にありがとう。そして、量子の脅威は遠くに感じられるかもしれませんね。.
そうかもしれないし、そうでないかもしれない。でも、この会話の中で、視聴者やリスナーが、量子的な準備のために今日すべきことがあるかどうかに関係なく、あのね、という考えを得てくれればと思う。これは全然痛くない。.
そこから得られるものは、今存在する脅威から今を生きるあなたにとって有益なものでしょう?その恩恵に気づくのに20年も待つ必要はない。今日、その恩恵にあずかることができるのだ。.
以上で、量子コンピューティングとそのアイデンティティ・セキュリティへの影響に関する今日の議論を終える。量子の未来はSFの世界であり、組織は真のリスクと機会がどこにあるかを理解する必要があります。アイデンティティのレジリエンスと、次に来るものに対する組織の準備となるテクノロジーについて、さらに詳しくお知りになりたい方は、RSA.comをご覧ください。RSA Identity Unmaskedの他のエピソードへのメール配信をご希望の場合は、購読をお忘れなく。また次回お会いしましょう。.