ゼロトラスト全盛期、ファイアウォールの役割はどうなるのか?
──ファイアウォールに代表される境界型防御から「ゼロトラスト」へのシフトが見受けられます。この状況下、ファイアウォールの果たす役割をどう見ていますか。
そもそもファイアウォールは現在でも大きな役割を果たしています。ネットワークセキュリティには不可欠な存在であり、攻撃の特定や阻止などの共通機能を提供する唯一の場所と言えるでしょう。
そして、常に新しいネットワークやエンドポイントが出現しているため、すべてのエンドポイントデバイスやアプリケーションを保護することは不可能です。自社のものだけでなく、顧客のPCだったり、IoTデバイスだったりすることもあるでしょう。そこでファイアウォールをはじめとしたネットワークセキュリティを用いることで、それらの変化を検出し、制御することで被害を抑制しています。チェック・ポイントでは阻止の段階までカバーできるようにしており、今後も境界型防御の必要性は変わりません。
またゼロトラストにおいても、ファイアウォールは重要な役割を果たしています。たとえば接続が安全であれば通信を許可し、安全でなければ検証する。これを担うのは境界型防御であり、ゼロトラストと境界型防御は矛盾する存在ではありません。それでも理論上は矛盾していると主張できるかもしれませんが、現実としては矛盾しておらず、それらのバランスをとることが重要です。境界型防御とゼロトラスト、双方のバランスを見極める必要があると考えています。
加えて言うならば、(一部ベンダーによる)ファイアウォール不要論は、誤解を招く表現でしょう。決して我々は「チェック・ポイントだけで良い」「エンドポイントセキュリティは不要」などと主張することはしません。なぜならエントポイントセキュリティは必要だからです。
セキュリティ業界に長く身を置く立場として、ネットワーク上のあらゆる場所で多くのセキュリティ技術を使うことは、すべての人にとって良いことだと考えています。というのも、チェック・ポイントだけで守ることができる限界を知っているからです。そのため我々は、複数のセキュリティレイヤーを持つことを推奨しています。
──現在進行形で、AIがさまざまなものを塗り替えています。たとえば生成AIはコードも書いてくれますが、セキュリティを学ぶ者にどのような影響を与えると思いますか。ビル・ゲイツ氏はコーディングは依然として重要だとの見解も示していますね。
AIに限らず、すべての新しい技術に言えることですが、良い面と悪い面があります。
そもそも基礎を学ぶことは重要で、どのように動作するのかを理解しなければいけません。もしプログラミングやコンピュータサイエンスを学ぶべきかと聞かれたら、「もちろん理解する必要がある」と答えるでしょう。
同時に、新しい技術をどのように使うべきかを理解する必要もあります。我々はほとんどのものについて仕組みを理解せずに、“使い方を知っている”という状態に陥ってはいないでしょうか。たとえば料理をするとき、数千年前の人のように原材料を確保するところから始めませんよね。しかし、我々は数千年前よりも良い食事をとっています。私が学生だった40年前は機械語でプログラミングを学びましたが、実際にコードを書くために使ったことはありません。それでも学んで良かったと思っています。
何より物事は変化していきます。今はAIによって、これまでよりも多くの人がアプリケーションを開発できるようになりました。ITの世界は、これまで何度も大きな進化を経験してきましたが、そのたびにアプリケーションの開発が簡単になり、技術を利用する人、必要とする人も増えてきましたよね。
──では、もしシュエッドさんがAIで起業するなら、どのようなスタートアップを立ち上げますか。
第一に正しいものごとを見つけることは簡単ではありません。そして AIのような大きなトレンドが到来しているとき、誰もが何かをしてみようと思うでしょう。そうした状況下では、(起業のためには)どうやって自分を差別化するのか、“独自のニッチさ”を見つけなければなりません。
私がアドバイスを送るなら、成功したいのであれば自分より優れた人や賢い人など、学ぶことができる人と付き合うだけではなく、自分のニッチを見出すことが重要だと伝えます。賢い人と比べる必要はありません。賢い人といても、あなた自身が最高な状態になることは難しい。そうではなく、ユニークになること。他の人がしないことをしようとすること。そうしたユニークさが、チームワークや新しいアイデアなどを生み出します。実際に私がキャリアを通じて取り組んできたことでもあります。
では、AIによる起業に話を戻してアドバイスをすると、あくまでもAIは人々が使用するツールです。20〜30年前にネットワークの時代だからと、ネットワークを開発したでしょうか。Ciscoをもう1つ作る必要はありませんよね。
──イベントの基調講演では、APACの特徴として「セキュリティへの投資が少ない地域」とおっしゃっていました。最後に日本市場をどのように見ているのか教えてください。
APACはデジタル化が進んでおり、行動様式などが異なる国々が集まった地域です。今、この地域への攻撃レベルは高くなっています。組織への攻撃レベルは世界平均を約60%上回っており、状況は年々悪化。国家を後ろ盾とした攻撃、犯罪的な攻撃、ディープフェイクを用いた攻撃などが多数観測されています。一方、サイバーセキュリティへの投資基準は世界で最も低いという特徴があります。
私は日本が大好きで、私の子供の休暇に行きたい国のトップです。日本の特徴として、完璧を求める品質基準の高さ、商習慣などが挙げられるでしょう。品質基準の高さは、我々にとって素晴らしい学びの機会となっていますが、障壁になることもあります。商習慣については、信頼関係が何よりも重要な一方、自分たちのやり方で進めようとする強い意志をもっていると感じます。そのためにシステムを統合し、必要なものを備えなければならないなど、特有の難しさも出てくるでしょう。
まさに日本はユニークな市場であり、チェック・ポイントにとって難しさもありますが、重要な市場です。ここで成功すれば、良い製品を作っていることだというお墨付きが得られることも大きいでしょう。
