「ゼロトラスト」のコンセプト発案者であるPalo Alto NetworksのJohn Kindervag(ジョン・キンダーバーグ)氏。農場の仕事に比べたらITの仕事は楽と笑顔で語る同氏がセキュリティに出会い、やがてゼロトラストという考えに至ったきっかけとは何だったのか。
世界で活躍するエンジニアの先輩たちにお話を伺う「GoGlobal!」シリーズ。今回は、「ゼロトラスト」のコンセプト発案者であるJohn Kindervag(ジョン・キンダーバーグ)氏にご登場いただく。「エンジニアになったのは自然な流れ」と語る同氏は、情報漏えいなどのセキュリティ事件は「人とパケットの信頼を混同している」ためだと分析する。ジョン氏が考える「本当の信頼」とは何なのか。
阿部川“Go”久広(以降、阿部川) キンダーバーグさんのご出身はどちらですか。
キンダーバーグ氏 米国ワイオミング州のキャスパーですが、父がラジオ放送局関連の仕事をしていましたので頻繁に引っ越しました。10代のころはネブラスカ州で育ちました。そこで農場を家族経営していました。
人はよく、IT業界の仕事がきついと文句を言いますが、全くそうは思いません。「毎日5時に起きて子牛の世話をする」なんてことはありませんから(笑)
阿部川 学生のときはどんなことをなさっていましたか。
キンダーバーグ氏 アイオワ大学と、ネブラスカ大学の2つの大学に在籍していました。そこではコミュニケーションやフィルム、ビデオなどの技術を学びました。卒業後しばらくは放送業界で、テレビ放送のディレクターや、ビデオエンジニアの仕事をしていました。
阿部川 コンピュータに興味を持ち始めたのはどんなきっかけでしたか。
キンダーバーグ氏 確か84年か85年のことだったかと思いますが、とても大掛かりなアニメーションのプロジェクトがあり、ロサンゼルスに行きました。そこで初めて、クレイ社のスーパーコンピュータに出会いました。今考えるとあれがコンピュータに興味を持つ最初のきっかけだったと思います。
阿部川 キンダーバーグさんにとって最初のコンピュータはクレイ社のものだったのですね。
キンダーバーグ氏 いやいや、あんな高価なものではありません(笑)。そういう意味では、私の最初のコンピュータは「KAYPRO」でした。覚えていますか? 「持ち歩ける」というのがキャッチフレーズで、アタッシェケースぐらいの大きさでした。
阿部川 ありましたね(笑)きっとキンダーバーグさんと私は世代が近いですね。
キンダーバーグ氏によるとテレビ業界の仕事をしていた当時、ブロードキャストのネットワークを構築して配信するなど、テレビの仕事のほとんどはデジタル化されていて、コンピュータを通さなければ実現できないものが増えていたという。コンピュータ化、ネットワーク化というのが大きなトレンドになっており「エンジニアリングの仕事に徐々に移っていったのは自然な流れでした」と同氏は語る。
キンダーバーグ氏 コンピュータ業界に移ってからは、ネットワークエンジニアやセキュリティエンジニア、コンサルタント、アーキテクト、ペネトレーションテスターなどいろいろな業務を体験しました。「ITのテクノロジーを、例えば製造業の分野にどのように導入し、その業界の業務と連結させるか」といったことが中心でしたので、仕事はとても楽しいものでした。たくさんの経験ができますし、多くの最新の技術に触れることができるのですから。
阿部川 その後、フォレスターリサーチに転職されましたね。
キンダーバーグ氏 当時、ITの知見を持つアナリストはあまりいませんでしたが、フォレスターリサーチにはセキュリティの知見を持つアナリストが在籍しており、素晴らしい環境でした。「ゼロトラスト」のコンセプトを構築したのはこの時期です。
米国では当時から、大量の個人データ流出といったことが社会問題化していました。私は多くのスタッフや予算を確保して、ゼロトラストを推進しなければならないと思いました。
どうせ働くのであれば、ゼロトラストの実現に最も注力している企業で仕事がしたいと考え、「Palo Alto Networks」(以下、パロアルト)に転職しました。私にとってパロアルトはゼロトラストの素晴らしさを理解してくれた最初のテクノロジー企業です。
阿部川 ゼロトラストのモットーとして「Verify and never trust」(検証して確かめない限り、信頼しない)を第一に掲げていますね。
キンダーバーグ氏 米国では「Trust by Verify」(検証に基づいた信頼)と言います。「どのようにセキュリティを保証していますか」という問いに対して「検証に基づいて信頼できるシステムを構築しています」というように用います。この表現を初めに使ったのはロナルド・レーガン元大統領といわれています。
阿部川 非常に大げさな言い方になりますが、日本の文化は基本的に、他人を信頼する上に築かれてきています。しかし、ゼロトラストは、基本的に検証しない限りは信頼しない、という、否定が出発点になっているように思えますがいかがでしょうか?
キンダーバーグ氏 いえ、それは違うと思います。それにはまず「人に対する信頼」と「システムに対する信頼」が違うことを理解しなければなりません。
「trust」(信頼する)という単語に注目してみましょう。これは本来「私は何もしません、誰かにお任せします」という意味です。少し意地悪な言い方をすると「何もしないことに対する精神衛生上好ましい言い訳」ともいえます。私が企業のセキュリティ担当者などに「社内のユーザーを信頼するためにどのような検証をしていますか」と聞くと大抵は「特別なことはしていない」と返ってきます。これは大変怠惰な話ですよね、だって信頼しているといっておきながら、その信頼を保証するようなことは一切やっていないと言っているのですから。
Copyright © ITmedia, Inc. All Rights Reserved.