数ヶ月前に計算したところ、サイバーセキュリティ業界に入ってから約10,000日が経過していました。気の遠くなるようなマイルストーンのようにも思えますが、数十年の月日は瞬く間に過ぎるものです。この内省を契機に、これまでの歩みを振り返ることにしました。自分のためだけではなく、業界全体のためにここに記したいと思います。マルウェア、DoS攻撃、中間者攻撃など、我々が直面する代表的な脅威の流行は変わっていませんが、脅威を取り巻く環境は一変しました。変わったのは攻撃者のスピード、規模、巧妙です。防御側の役割も進歩しました。さらに、戦略上の必須事項の変化により、セキュリティ自体に対する考え方も変わっています。
苦い教訓であり、基礎を成す経験
キャリアの始まりは、大学全体を混乱に陥れたうかつな行動です。90年代半ば、パデュー大学で計算機科学を学んでいた筆者は、プロセス間通信の研究課題を与えられました。異なるプロセスを横断して自己複製できるプログラムの作成が目標でした。筆者はこの課題に熱中し、もう一歩踏み込むことを決意します。「ネットワーク上のマシンを横断して複製する機能を持たせてはどうだろう」と考えたのです。
賢いアイデアだと思った筆者は、すかさずこのプログラムを作成します。もちろん悪意はなく、データ窃取やファイル削除の機能はありません。実践的学習の一環として、プログラムの実行を確認する「こんにちは、地球人」という無害なポップアップ メッセージを表示する機能まで追加しました。何が起きたかはご想像の通りです。このプログラムは学内のほぼすべてのコンピュータ ラボに拡散しました。想定外の負荷によってマシンがクラッシュし、数時間のうちにネットワーク全体のシャットダウンをIT部門に強いるまでに至りました。
賞賛すべきことに、大学は自白した筆者を罰するどころか、キル スイッチの作成と脆弱性の把握に協力してくれました。この経験が筆者の基礎です。できるからといってすべきではないことを学びました。更に重要な点として、制御のためだけでなく、駆け足で行動する際のブレーキとしてガードレールが必須であることも学びました。10,000日後の今日では、イノベーションを遅らせる障害物としてセキュリティを扱うのではなく、開発ライフサイクルの早期にセキュリティを組み込む取り組みを進めていますが、現在でも開発者にとって学ぶところのある教訓です。
CISO: 技術オペレーターから経営幹部へ
キャリアを開始した頃、CISOの概念はまだ存在しません。セキュリティ マネージャーはもっぱらネットワークとエンドポイントのみを扱いました。現在のCISOはデジタル変革の要です。安全なリモートワークを実現すべく、経営側が初めてセキュリティ部門を頼ったCOVIDの流行後、この変化は急激に加速しています。
もはや現代のCISOは、脊髄反射で最も優れた最新ツールを購入するだけの技術職ではいられません。筆者の経験から、特に優れた成功を収めたリーダーの共通点は以下の4領域の改革です。
- 戦略的シフト: 技術オペレーターから、取締役会レベルの議論とビジネスの観点によるリスク定量化が可能な経営幹部へシフトしています。
- スコープの拡大: 組織の壁を超えて重点分野を拡大し、サードパーティ リスク管理、プライバシー、コンプライアンス統合をスコープに含めています。全体の強さが最も脆弱なサプライヤーに依存することを理解しています。
- 投資の最適化: 単に新製品を導入するのではなく、ROIの測定やテクノロジ ポートフォリオの最適化を重視する予算管理の達人です。
- リーダーシップと危機管理: 筆者の知る最良のCISOは部門を横断して精力的に働く人物です。このような担当者はDevOps、財務、法務と相互理解し、全社的なセキュリティを支援できます。また、危機管理の専門家でもあり、必ず起こるインシデントへの備えと訓練を怠りません。
単なる整理統合ではない、プラットフォーム化
ベストオブブリードな製品を多数組み合わせて複雑性の問題を解決する試みが長年続いています。筆者は前職で直に体験しました。この手法はいわゆる「プラットフォーム」の構築を意図しているものの、ポリシー、統制、可視性レベルが統一されていない独立したツールの寄せ集めになるのが実状です。問題を解決するどころか増やすため、効果がありません。
弊社のCEOのNikesh Aroraが提唱している「プラットフォーム化」は、業界が切実に求めるコンセプトを具体化しています。このプラットフォーム化は単なる整理統合ではありません。整理統合はあくまでプラットフォーム化の多数のメリットの一つです。
真のプラットフォーム アプローチとは、ネイティブに統合された単一のシステムで業務を合理化することです。高精度・高品質で包括的なデータをセキュリティ体制全体で活用し、成果を高める効果もあります。そのメリットは以下の通り明白です。
- セキュリティの統一と業務の効率化: 多数のベンダーとサイロ化したツールを管理する複雑さを解消します。
- 優れた分析: 包括的なデータセットで訓練した機械学習を用いて分析結果を関連付けし、脅威を先手で阻止する予測機能を実現します。
- ビジネスへの効果を実証可能: レスポンス時間の短縮、ベンダー経費の削減、コンプライアンス業務の簡素化といった成果を取締役会に示し、セキュリティがコスト センターではなくビジネスの成功を支える要素だと証明できます。
次の10,000日へ
未来を予測することはできませんが、明日のCISO—あるいは、最高AIセキュリティ責任者と呼ばれているかもしれません—にとって何が必要かは明言できます。それは、柔軟な考え方です。100%の自動化こそ、SOCのあるべき将来像です。カレンダーやコミュニケーションを管理できるパーソナルAIエージェントは既に登場しています。パーソナル セキュリティに特化したAIエージェントも非現実的な想像ではありません。
結局、利用者が攻撃側であれ防御側であれ、AIの有効性は訓練用のデータに依存します。これは動かしようのない真実です。攻撃に先手を打つには、高品質・高精度な最良のサイバーセキュリティ データを防御用のAIモデルに供給する必要があります。
将来も通用する戦略を策定するには、全従業員が当事者となるセキュリティ意識文化の醸成が必要です。サイバーセキュリティを最初のステップとして組み込まないデジタル変革の取り組みは確実に失敗します。パデュー大学のコンピュータ ラボで過ごした混沌の一夜から、現在の取締役会室に至るまで、軸となる教訓は変わりません。すなわち、ブレーキの無い開発がもたらすものはイノベーションではなく、起こるべくして起こる事故です。次の10,000日の課題は、回復力と目的を軸とした開発です。
詳細はポッドキャスト シリーズ: Threat Vectorをお聴きください。
著者の見解に関心をお持ちの場合は、他のブログ記事をご覧ください。
