何十年もの間、サイバーセキュリティは解決不可能なパズルとして扱われてきました。業界は、より多くのレイヤー、より多くの製品、より多くのフレームワークで対応してきました。
しかし、もし答えが目の前に隠されていたとしたらどうでしょうか?
私たちが何千年も信じてきた常識が、このパズルを見事に解いてくれるとしたらどうでしょうか?
それをMagicEndpointで実現します。その方法はこうです。
原則1:正確さは、最もよく確認できることから始まる
実生活では、最も簡単で信頼できるものを検証します:
- 交通システムは、ドライバーではなくナンバープレートで車をチェックします。
- 審判がフィールド上で正確に識別できるように、選手はゼッケンをつけます。
サイバーセキュリティへの応用:
「ユーザーだけ」を検証するのではなく、デバイス上のユーザーを検証します。なぜなら、デバイスは暗号化ができますが、ユーザーはできないからです。そして暗号は天文学的な独自性を与えてくれます。暗号鍵に使われる素数は、宇宙に存在する原子よりも多いです。
そのため、たとえ認証情報が盗まれたとしても、攻撃者はTPMにバインドされた鍵を複製することはできません。宇宙規模の精度です。
原則2:レジリエンスはスナップショットではなくジャーニーから生まれる
常識的には”一瞬が誤解を招く。タイムラインは真実を語る。”と言われます。
実生活では、何年も一貫した行動をとって初めて、その人を本当に知ることができます。
サイバーセキュリティへの応用:
スナップショットベースのチェックは壊れやすいです。ひとつの異常がFAILをPASSに変えることもあります。タイムラインベースのチェックは強固です。デバイスのポスチャー、エンドポイントへのログインに使用されるMFA、ジオロケーションの一貫性などのようなシグナル-ジャーニーを考慮します。エンドポイントの電源が入った瞬間から電源が切れるまでのタイムラインを確認でき、過去の履歴を含めることもできます。
これは、ログイン、アプリへのアクセス、信頼性の判断など、あらゆる認証に適用されます。
原則3:重要なときに検証するのであって、簡単なときに検証するのではない
街灯効果という言葉を聞いたことがありますか?人々が街灯の下でなくした鍵を探すのは、それが便利だからであって、そこに鍵があるからではありません。
サイバーセキュリティも同じです。ログイン時に検証するのは簡単だからです。しかし、検証はサービスを提供する前、あるいは提供中に行われるべきであり、便利だからという理由でログイン時に早めるべきでないのが常識です。
そのため、私たちはチャネルにIDを組み込み、セッション全体にわたって信頼を持続させています。
正確さとレジリエンスのための極端な例:ビットコイン
ビットコインのレジリエンスは、2つの力が一緒に働くことで生まれます:
- 暗号:すべての取引は公開鍵暗号を使用して署名されます。
- タイムライン:取引はブロック単位で連鎖し、不変の履歴を形成します。
一つのトランザクションを変更するためには、攻撃者はチェーン全体を書き換えなければなりません。つまり、暗号+タイムライン=レジリエンスなのです。
なぜこれが有効なのか
- 暗号は静的な強さ、つまり天文的な独自性をいつでも与えてくれます。
- タイムラインは、動的な強さ-文脈に応じて進化する適応型の信頼を加えます。
共に:デジタル時代における継続的な信頼
そして、これが大きな問題だ
根本原因の論理を通して要件を解釈することが明確になると、私たちは次のような発見をしました:
- パッチや回避策が大半を占める標準を解消しながら、より強固なセキュリティを導入することができます。
- 私たちは、あなたが夢にも思わないような恩恵を与えます。
- そして何よりも大きい:NO USER ACTION
最善の解決策は最もシンプルなもので、それは常識がもたらすものです。
「サイバーセキュリティはロケット科学である必要はありません。それが常識なのです。」
