CISOのプレイブック

00:00

さて、セグメントのシーズン2が終わり、今年のサイバーセキュリティ啓発月間も終わりに近づいています。今シーズンの最後のゲストとして、ネットスコープの真の最高情報セキュリティ責任者（CISO）、EMEAのCISOであるニール・タッカーを迎えることができてうれしいです。ニール、本日はご参加いただき、誠にありがとうございます。

00:21

ここに来ることができて光栄だよRaghu、招待してくれてありがとう。

00:26

それは私たちの喜びです。パートナーの代理人がいることはいつでも良いことです。それには二重に感謝します。つまり、CISO、CSO（最高セキュリティ責任者）、そう、これは本当に知名度の高い肩書きで、今日ではあらゆる規模の組織で非常に重要になっています。でもニール、どうやってCISOになったんですか？

00:50

さて、長い道のりでした。私がコンピューター時代に育ったとだけ言っておきますよね？それで、子供の頃、私はコンピューターに慣れてきました。コンピューターは、家庭やオフィスなどに入ってきた新しいもののようなものでした。それで、私は少し大人になって、コンピューターを扱ったり、通勤時代を扱ったりするようなことに慣れてきました。そして、私の最初の役割の1つは、人々をインターネットに接続する面倒を見ることでした。つまり、私のキャリアにおける最初のステップは、インターネットの時代でした。ダイヤルアップモデムとかそういうものがまだあった時代に。そしてもちろん、時間が経つにつれて、セキュリティが導入されましたよね？人々をサービスなどにつなげる方法を保護する必要がありました。そして今ではリモートワーカーなどが登場しました。そういうわけで、私もそういう生活を送っていました。実際、2000年代半ばになってようやく、技術面だけでなく、経営側の立場に転向したのです。まだ技術的なバックグラウンドは残っています。ええ、私は経営陣に異動したようなものです。そして、大規模なハイパースケールに移行する組織が増え始めたのは、まさにクラウド時代の頃でした。そのデータセンター、そしてその種類、未来、戦略はクラウドにありましたよね？そして、SaaSが爆発的に普及したことで、私にとって、当時働いていた組織を保護するための別のこと、つまりクラウドの採用を確保することが、やはり大きな課題となりました。まさにそういうわけで、私がその時代に初めてCISOの役割を果たしたのは、まさにその時でした。そして、ええ、その時代に経験を積むことは本当に重要でした。そうですね、そうやって私は転職してCISOになりました。しかし、私の経歴を振り返ってみると、私はサービスデスクで働いてきました。そこでコミュニケーションや問題やインシデントへの対処という点で、本当に良いスキルをいくつか学びました。そしてもちろん、それが今日のCISOとして身につけているのも良いことです。私はある意味役割の仕事をしてきましたが、やはりリスクに関するものでした。私はリスクを扱う大規模な金融サービス組織で働いています。再保険はリスクがすべてだと。ですから、私はそれらの組織でもその職務に携わってきました。ですから私は過去25年間に学んだことをすべて取り入れてきました。私は今でもそうした日々のこと、学んだことの多くを、CISOとしての役割で日々活かしています。

02:58

それを聞くのが大好きですよね？あなたは人々をインターネットに接続することからキャリアをスタートさせましたが、今はインターネットへのアクセス方法と、インターネットから仕事にアクセスする際のセキュリティを確保する会社で働いています。ほぼ一巡して完成しました。それでは、CISOの役割についてお話しましょう。あなたの意見では、あなたの経験から言うと、この職務において何年にもわたり成熟し、発展してきた中で、その職務はどのように変化してきましたか？また、本質的にどの程度変わってきましたか？

03:32

ええ、つまり、クラウド時代を経て、確かに状況は変わったと思いますよね？その前は、境界のセキュリティと組織のセキュリティを確保することがすべてでした。繰り返しになりますが、それはもちろん境界線を使ってできる限りのセキュリティを確保することでした。でも面白いのは、実際に座っていたのを覚えているから。2000年代半ばにイベントに行ったんだ。境界線が崩れていくことについて話していたのは、ジェリコのフォーラムでした。そして、彼らはクラウドについて話しました。その時点ではクラウドとは呼ばれていませんでしたが、これはクラウド以前のようなものでした。しかし、最終的には、これが起こっていたのです。組織はこの境界が崩れていくのを目の当たりにしていました。とにかく、私にとっては、技術的な側面や技術的なスキルセットに焦点を当てるのではなく、契約や契約、契約条件のようなものをよりよく理解することが重要になったと思います。しかし、最終的にはリスクに関するものでもありますよね？そこで、その時点で興味深かったのは、「クラウドは信用できるか？」という議論を以前の組織の1つで社内で行っていたことです。そしてもちろん、他の誰かのデータセンターについても、同じ議論が交わされます。それ以前にはサードパーティを利用していましたが、今では、実際には予測していなかった規模で成長しているようで、あっという間に実現しました。そして、それは今日でも私がよく目にしていることだと思います。繰り返しになりますが、CISOの役割は、リスクに焦点を当て、新しいテクノロジーや新しいイノベーションに目を向ける必要があると思います。もちろん、私たちは長年AIを扱ってきました。しかしもちろん、ここ数年、AI の使用が爆発的に増加しています。繰り返しになりますが、最終的にはすべてリスクに帰着します。また、結局はデータをよりよく理解することにもつながります。これについてはいつも話していますよね？重要なのはデータであり、リスクに関するものです。できれば、今日のCISOとして、データに関連するリスクの理解に長けていれば、すでにCISOとして素晴らしい機会があり、キャリアパスも得られていますよね？CISOになりたいと考えているなら、その知識を持っているだけで本当に大きなインパクトがあります。

05:33

絶対に同意します。そして、あなたがデータを理解することについて話すとき、本当の意味は、それがビジネス目標とどう結びついているかを本当に理解することだと思いますよね？つまり、保護しているものをある程度理解できて、なぜそれがビジネスにとって重要なのかを理解できるということでしょうか。それが今日のCSOの役割の重要な部分であるに違いありません。

05:53

うん。つまり、いつもそういう議論だったんだ。「すべてのデータを保護できるか？」という話でした。この組織が日常的に扱うすべてのデータ。ええ。究極的にはニルヴァーナとは、それをやろうとすることです。しかし、まとめると、これを行う唯一の現実的な方法は優先順位を付けることです。リスクの優先順位付けを検討することです。つまり、たとえば、私がそのデータにアクセスできなくなった場合に、それが組織にどのような影響を与えるかという観点から、最大のリスクはどこから来ているか、最も高いリスクは何かを調べます。そのデータにはもうアクセスできません。これは明らかに、ランサムウェアで何年も続いていました。しかし、それも出回っていますが、そのデータの価値は何でしょうか？なぜなら、そのデータを失った場合、たとえば財務的な観点から、罰金や罰則だけでなく、最終的には知的財産も失うことになるので、そのデータに関連して、本当の意味でどのような影響があるのでしょうか？私の評判は下がっているのでしょうか？そういう意味でダメージはあるの？ですから、私にとっては、繰り返しになりますが、可能な場合はデータを制御することについて常に話しています。そして、あなたの言うところでは、ええ、絶対に、そのデータの識別が非常に上手になることです。多くの組織がこれを非常にうまく行っているのを見てきました。つまり、私は長年、データクラス分けとデータ損失防止ツールに関わってきましたが、これに関してはルールブックをほとんど破棄しなければならないと思います。確かに、クラス分けは良いことです。データの分類に目を向ける必要があります。では、どのカテゴリのデータについて話しているのでしょうか。しかし、繰り返しになりますが、そのデータを制御することで、最終的に統制がどこに行ってもそのデータに従うようになり、そのデータの周囲にある種の境界線を維持できると思います。そういうわけで、セキュリティチームの役割と責任の種類は変化していると思います。そしてもちろん、そのチームを率いるCISOは、ある種の革新を続け、その分野のパイオニアになる必要があります。

07:39

もちろん、クラス分け、そしてそれを推進するためのカテゴリー化という課題全体が、目指している成果を推進するための基礎のようなものだと思います。それはある意味、その根幹をなすものです。それでは、あなたの視点から、自分の役割において克服しなければならなかった課題について話しましょう。つまり、業界全体におけるある種の課題について説明しますが、CISOとしてのあなた自身の開発経路と、克服しなければならなかったことについて、もう一度話しましょう。

08:09

ええ、たぶん、つまり、私にとっては、最初だったと思います。つまり、何年も前に初めて取締役会に出席したことを覚えています。私はある役職を引き受けて、基本的には前の人が長年発表してきたものを発表しました。そして、それは取締役会が「なぜこれを発表しているの？」と尋ねる機会だったと思います。そして私は「まあ、続きだよ」と言いました。私は比較的新人で、この役職に就いて、この取締役会の準備に6、7週間かかったと思います。これが今日発表された内容で、役員室に行って発表する機会がありました。繰り返しになりますが、最初の質問は「なぜ？これらすべてにどんな意味があるのでしょう？」だから、その質問は今まで聞かれたことがなかったんだろうね。そして、私ははっきりと答えました。私はとても率直でした。繰り返しますが、その点では、これは以前に提示されたものです。ただし、他の指標を検討したい場合は、変更することができます。そして、「セキュリティチームの価値は何か？」という議論をしました。つまり、素晴らしい最初の取締役会だったんですね。最後まで投げ込まれてしまったしかし、私にとってはもちろん、指標や測定値については好きにする必要があるということが浮き彫りになりました。私たちはよりビジネスとの連携を深める必要があるということです。それが私の、私の最初の発見でした。それは、パッチを適用したシステムの数や、発生したインシデントの数ではありません。最終的には、たとえば、セキュリティチームがビジネスをどのようにサポートし、ビジネスを推進し、ビジネスの前進を支援するかということでした。当然のことながら、私は次の取締役会に戻ってきて、それに関連するまったく異なる、まったく異なる一連の指標を発表しました。それが私の最初の発見でした。また、コミュニケーションはもちろん、そのような環境では流行語や略語を実際に使用することはできないということにもすぐに気付きました。そして、私はおそらく過去10～15年の間、この種の用語を扱ってきたと思います。ですから、私には、早急にコミュニケーションを改善する必要がありました。そしてもちろん、よりビジネス価値主導型のコミュニケーションを図ることも必要です。そして最終的には、やはりビジネスのサポートに戻ることになります。新しい収益源、新しいアイデア、M&Aタイプのエンゲージメントという観点から見ると、私たちが経験して買収した組織をどれだけ早く立ち上げ、確保できるかというと、ビジネスを支えることができるでしょうか。そして最終的には、それをビジネスリーダーに再び説明できるようにするのでしょうか？これが、おそらく私がCISOとして取り組む必要があると感じた最初の課題と改善の一部でした。繰り返しになりますが、過去10～15年を振り返ってみると、技術的な側面にそれほど焦点を当てることよりも、この種の議論を行うことの価値は、私が感じた方法です。

1030

それはあなたが指摘する素晴らしい点です。なぜなら、その経験はCISOキャリアの非常に早い段階にあり、10年以上前にさかのぼるようなものだからです。逆向きのコメントやソートリーダーシップの記事でCISOのようなものを見たり、CISO/CSOが取締役会の優先事項とより連携する必要があるという解説があったりすると、今でもかなり疲れます。取締役会とのコミュニケーションを改善し、その理由を理解してもらう必要があります。10〜15年前にこれらの質問を受けたのなら、なぜこれがまだ話題になっているのでしょう？私たちは、この必要性を超えるべきだったのです。そして、このことが重要だと誰にも言われたり、言い直したりする必要はないのです。それは当たり前のこととしてとらえるべきだ。なぜこんな議論が今も続いているのか。

11:18

ええ、それは本当に良い点です。ところで、私は今でもそう思っています。私たちは再び耳を傾けています。私たちは組織の理事会から教育を受けています。多くの経営幹部レベルと同様に、他の多くの役割も教育されていると思いますよね？例えば、私は取締役会の会議で、彼らが見たいと思うような正しい種類の情報を提供しなかったからといって、あなたが呼ばれたことがないようなものです。ですから、常に学習には時間がかかります。たとえば、これらのセッションに参加するのは常に学習者です。また、私の次の役割に必要なポイントは、同じ種類の情報、同じ種類の指標を提示するのではなく、最初の会議に参加して、「この組織をサポートし、もちろん改善のために取締役会として必要な情報を提供するために、どうすれば支援できるか」と尋ねることでした。だから、みんなまだ学んでいるところだと思いますよね？いや、答えなんてないんだろうね。取締役会と関わることに対する唯一の答えはありません。それはすべての組織で異なり、組織ごとに異なる要件があると思います。また、どの組織にも独自の課題や独自の戦略があり、それを次の組織に持ち込むことはできません。だから、たぶんそれが理由だと思います。これは問題ではないという議論がもっと増えていると思います。しかし、これについてよく耳にする例のいくつかは、話し合うべきことであり、ビジネス言語を使って話すべきであり、このようなレベルのコミュニケーションをとるべきなのです。しかし、実際に例を挙げている人は誰もいません。ところで、そこにはいくつかあります。しかし、ええ、私たちはそれらを常に前面に押し出す必要があります。そうすることで、人々が取締役会に伝えるのに良い指標とは何かを理解してもらう必要があります。

12:55

ええ、絶対に。単に「もっと良い仕事をしなさい」という当たり前のことを述べるよりも、例がはるかに大きいと思います。でも、あなたが始めに話を戻すと、私たちはほとんど取締役会メンバーのような感じで、「なぜ私がこのことを気にしなくてはいけないの？」という質問が好きです。それは、取締役会のプレゼンテーションだけでなく、どんなプレゼンテーションでも常に心に留めておくべき良い質問だと思います。それは、なぜ私の聴衆は私が彼らに話していることを気にかける必要があるのかということです。それは世界で最も素晴らしいアイデアかもしれませんが、聴衆が気にしなければ、それは気にしませんし、問題でもありません。

13:28

あの本だよね？まずは、なぜ？スライドデッキを使用してプレゼンテーションを行う場合や、ディスカッションを行う場合は、それだけです。なぜこの話題について話しているのでしょうか。その理由は？これはなぜ重要なのでしょうか。繰り返しますが、なぜ私たちはこれに時間とエネルギーを費やしているのでしょうか。それはいつでも良い出発点です。つまり、私はこれを新しいビジネスチャンスの観点から話しますが、これについて考え始めると、たとえば将来のビジネスについて考えるときには、この観点から何を解決しようとしているのでしょうか？だから、ええ、最初から始めるのはいつでもいいことです。なぜ？

13:53

ええ、絶対に。だから、この会話の準備段階で話し合っていると、あなたは多くの時間を費やしているんだね。もちろん、あなたはNetskopeのCISOですが、顧客のCISOと話すことにも多くの時間を費やしています。では、彼らは何にワクワクしているのでしょうか？そして、彼らは「ねえ、実は、私たちはこういうことを正しくやっているんだ」と感じているのでしょうか。なぜなら、サイバーにはネガティブな要素がたくさんあるので、ポジティブなメッセージも重要だと思うからです。

14:20

ええ、本当です、はい。実は、先週、顧客諮問委員会が開かれました。そこでもまた、業界の同僚、他のCISO、素晴らしい組織の同僚と話す絶好の機会でした。そして、課題という2つの側面を聞くのはいつも興味深いものですが、サイバーセキュリティの観点からも、イノベーションのような素晴らしいことに関して、何がうまくいっているのか、彼らが見ているものは何かという話も聞くことができます。そして、多くの組織が前向きで、実際に自社のテクノロジーやセキュリティスタックの多くを統合し始めているのを見るのは素晴らしいことだと思います。過去に持っていたセキュリティスタックは、多くの場合複雑で管理が困難でした。例として、企業ネットワークからの移行について簡単に話し合いました。繰り返しになりますが、20年前にさかのぼると、境界のない世界への移行について話したときに、Jerichoフォーラムやクラウドセキュリティアライアンスなどと話していました。そして興味深いのは、それが実際に起こっているということですよね？私たちは今、これを絶対に行っている組織が増えています。私たちの目標は、まだ導入されていなければ、最終的に企業ネットワークを廃止し、従業員や使用したいデバイスを問わず、利用したいサービスに直接接続できるようにすることであり、VPNを使用してネットワークに接続し直してからサービスにアクセスできるようにすることです。つまり、それを維持する必要のあるユースケースや特定の業界がまだいくつかありますが、先週、大手金融サービス機関の1つと話をしたところ、それが彼らの目標だったのは素晴らしいことです。彼らは、管理が難しく、拡張が難しい企業ネットワークからの脱却を目指しています。それは良いことだったし、組織がどのようにしてそれを実現したか、どのように実現したかを共有し、コスト削減、多くの分野でのコスト統合、リスク削減、そして最終的には従業員とエンドユーザーの一般的な生産性の向上など、すべてのメリットを検討していることについて、より一貫したメッセージが見えてきました。

16:16

それは本当に面白いことだし、ペリメーターレスなのか、それともマイクロペリメーターみたいにマイクロペリメーターに向かって動いているのか、全体的にどんな方向に進んでも、好きなようにフレームに収めたいと思うんだ。それらは本質的に同じコインの両面だと思います。これがセキュリティの観点から効率的である理由は、「これは信頼できる？」という難問がないからだと思います。これは信頼できないのか？そのようなことはなくなります。なぜなら、これがゼロトラストへの手がかりでなければ、それは後でやってくるからですよね？でも、それが素晴らしいことだと思います。突然、「まあ、すべてはインターネット経由でアクセスされている」と言えることです。私はすべてをそのように扱っています。そうすれば、セキュリティを適用するための非常に一貫した方法を実現できます。つまり、すべてのコンテキストなどを使用できますよね？そして、スターバックスから来るものは、ホテルのラウンジから来るものとは扱いが違うかもしれませんよね？それでも、仮定をしなくても同じ原則を適用することはできます。そして、そこはとてもパワフルな場所だと思います。

17:20

うん、うん。絶対だと思うよ一般的に採用されているゼロトラストの原則について話すときだと思います。例を挙げると、私は親友と一緒に大規模で非常に大規模な組織でCIOとして働いていましたが、彼は素晴らしい話をしてくれました。パンデミックの間、誰もがリモートで仕事をしていたのは明らかで、リモートワーカーの安全性を高めるために、ゼロトラストの原則とポリシーセットをすべて設定しました。そして興味深かったのは、彼がこう言ったときです。「みんながオフィスに戻ってきたとき、私たちが行った変更のおかげで、全員がリモートにいるほうがセキュリティが向上することに気付きました。そこで、同じ原則を社内ネットワークにも適用したいと考えました。そして、繰り返しになりますが、社内ネットワーク、つまり企業ネットワークをなくすことはできないのかと気付きました。」そして、最終的にはそこが彼らの目標です。この例であるこの組織では、これがこの移行、この種のアプローチへの転換を正当化する優れた方法であると考えています。繰り返しになりますが、自社のセキュリティ体制とセキュリティコントロールを見ると、実際にはリモートワーカーに対してよりきめ細かく、より具体的に制御できることに気付きました。しかし、彼らがこれを行ったやり方は、今ではほとんど基本になりつつありますが、アイデンティティを評価する手段としてだけでなく、ゼロトラストの一環としてアイデンティティをシグナルとしてのみ使用したりしています。もちろん、それはその人が使用しているデバイスを考慮したものでした。企業なのか？個人用デバイスなのか、それともラップトップやモバイル以外の、他のタイプのデバイスなのか。しかし、デバイス自体についてもう少し理解し、デバイスの姿勢チェックを行うだけでなく、デバイスを理解してから位置を調べることも必要です。では、その人はどこから接続しているのか、どこに接続しているのか、そしてどのアプリケーションに関する詳細を確認するのでしょうか。なぜなら、今やすべてがアプリケーションに関するものだからです。実際はそうではありません。ネットワークに接続していないのです。アプリケーションに接続している。そして、アプリケーションのどのインスタンスだったのでしょう？なぜなら、アプリケーションの企業インスタンスは個人インスタンスとは大きく異なり、もちろん同じである場合もあります。OneDrive や Google ドライブなど、わかりやすい例を見てみます。どのタイプのインスタンスに接続するかは、本当に重要です。企業データを個人用 OneDrive インスタンスに移動する場合、それはおそらく大変なことですよね。そして、次はアクティビティです。では、その前と後に何が起こったのでしょうか？そしてもちろん、データピースにも戻ります。先週、諮問委員会でこれについて話していたところ、あちこちでコメントがありました。そろそろ時間についてです。なぜなら、時間、データ、データへのアクセスは特定の時点では明らかに異常ですが、最終的にはゼロトラストのような原則を構築するときには、時間についても考慮する必要があります。データには独自のライフサイクルがあるからです。つまり、データには、ある時点では機密性が高い特定のデータ資産などが存在する可能性がありますが、M&Aタイプの活動に関するあらゆる種類の作業と同様に、その時点以降は機密ではなくなる可能性があります。したがって、時間はその一環として考慮すべき一種のシグナルでもあります。でもさっきも言ったように、アイデンティティを超えてこのことを考えるきっかけになったんです。繰り返しになりますが、これはもちろんNetskopeで採用したもので、社内のセキュリティ機能の一環として、完全にゼロトラストです。そして、その成熟度モデルを見て、最適なスタンスの観点からできる限り上へ進み、これらすべてのシグナルを含めてください。なぜなら、それらはすべて重要だからです。

20:41

ええ、いいえ、私は完全に同意します。アイデンティティは重要だと思うけど、いろんな意味で、おそらくオーバーローテーションがあって、アイデンティティに焦点が当てられていて、他のシグナルや他の柱に十分な焦点が当てられていなかったんだと思う。そして、あなたが話していたように、ネットワーク、アプリケーション、デバイスなど、他のさまざまな信号源を調べているようなものですが、ゼロトラストの柱のようなものについて考えるとき、デバイス、アプリケーション、ユーザー、ネットワークなど、それはワークロードかデータだと思いますが、思い出せません。そして、私たちはしばしば、それぞれの柱におけるある種の成熟度、つまり統制の成熟度について話します。しかし、おっしゃるように、実際には、これらの柱はそれぞれシグナルの源でもあります。そして、これら両方をすべてのものの特性であると同時に保護するものでもあり、ゼロトラスト戦略を調整して成熟させるにつれて、この2つの間には多くの相互関係があると考えているように、ええ、私も同意しますよね？これらのシグナルについて考えるときは、アイデンティティの先を考えてみてください。

21:48

私は長年セキュリティ運用チームを率いていましたが、あなたはいつも前後関係を求めていました。繰り返しますが、これは本当に大雑把な例ですが、機密性の高い価値の高いデータを取り出して、USB ドライブに保存する担当者がいました。彼らはもうすぐ会社を去ろうとしていたので、私たちはその組織に電話をかけ、その人物を特定しました。私たちは、「OK、その USB ドライブはしっかりと消去する必要があるので、元に戻す必要があります」と言いました。どうやら彼らはバックアップ目的でそれをしていたようで、すでに警鐘が鳴っていました。ファイルサーバーなどや GitHub リポジトリなどがあるのに、なぜ USB にバックアップするのでしょう。これも以前の役割でしたが、興味深いものでした。デバイスが戻ってきたとき、データをコピーするために実際に使用されていたものとは別のデバイスだったからです。繰り返しになりますが、これは即時のアラームで、私たちは実際にその人を止めました。彼らは、「ああ、別のUSBドライブを返したよ」と言いました。しかし、繰り返しになりますが、これは大雑把な例であり、なぜそのコンテキストが本当に重要なのかを示す一例に過ぎません。なぜなら、それが組織における重大なデータ侵害と見なされる時点で実際に停止したからです。私たちはそれが起こらないようにしました。そしてもちろん、私たちはセキュリティ実務者として、復旧などへの対応の一環として何が起こるかを知っているので、できるだけ多くの侵害を阻止したいと考えていることは承知しています。また、それには多くの時間と労力が費やされます。だからこそ、繰り返しになりますが、セキュリティ運用チームから、私が一緒に仕事をしているセキュリティ運用チームにお願いします。今日お話しするのは、これらのことからどのようなコンテキストを得ることができるかを検討することです。そして、場合によっては、イベントの影響と評価を実際に判断するには、これらの 8 つか 9 つのシグナルのうち、少なくとも 8 つか 9 つのシグナルのうち必要な場合もあります。

23:22

あなたは疑いの恩恵をこの人に与えなかったと思います。彼らがしたのは、USBを取り出して、それを別のUSBにバックアップしたということだと思います。これは彼らがあなたに渡したものです。つまり、万が一の場合に備えて、冗長バックアップを作成していたのです。

23:34

もちろん、それは、ええ、彼らが持ち歩いていたこのデータを持っているという事実を隠すためでした。もちろん、私たちは彼らに企業データを持ち帰ってほしくありませんでした。それが最終的に私たちが抱えていたシナリオであり、そうですね、私たちはそれを軽減することができました。しかし、繰り返しになりますが、その状況からすると、デバイスを見てみると、アラートをトリガーしたのはこのデバイスではなかったようです。そのため、すぐに大きな問題が発生することがわかります。ええ、今日のクラウドでも同じだと思います。クラウドの課題について話している他の多くのCISOと話し合っています。私たちの組織でどのクラウドサービスが使用されているか、何が承認されたか、何がベンダー評価や第三者評価を経たかなどを常に完全に把握できるわけではなかったようです。そして、今日でも多くの組織がその課題を抱えていると思います。彼らが私に与えてくれるフィードバックです。何が使われているのか正確にはわかりません。当社にはAzure、AWS、GCPなどの承認済みのパブリッククラウドサービスがありますが、SaaSの場合、私が通常受け取るフィードバックは、SaaSの観点から何を使用しているのかよくわからないということです。たとえば、クラウドサービスに関して日常的に使用されているものの包括的なインベントリを取得できない場合などです。しかしもちろん、Netskopeのように、組織がそれを特定し、それを制御するのに役立つツールもあります。そして、それは本当に良い出発点だと思います。しかし、結局はデータに帰着します。さて、さて、これらのサービスにはどのようなデータが送られるのでしょうか？なぜなら、それらのサービスにアクセスできなくなると、そのサービスなどは利用できなくなるからです。どのような影響がありますか?繰り返しになりますが、取締役会レベルの議論に戻ると、それが今話し合っていることです。このデータにアクセスできなくなった場合、それが組織としての私たちにどのような影響を与えるのか、私たちは今、AIサービスについても同じ議論をしています。AI サービスがビジネスプロセスに組み込まれる傾向が高まるにつれ、「そのサービスが利用できなくなったらどうなるか、どのような影響があるか」というようなものです。ですから、そうですね、私たちはそれらの方法について考え始めなければなりません。これはもちろん耐障害性の一形態ですが、今では、「自分のサービスがどれだけ耐障害性があるか、利用できなくなったり侵害されたりした場合はどうなるか」ということを考えています。

25:35

シャドーITの使用についておっしゃったことに戻りますよね？そして、何と言っても、これがCASB市場の初期段階のようなものだった2010年代半ばを例にとってみましょう。また、実際にバンガロールの開発センターを訪問し、製品チームのメンバーと一緒に座って、こう言ったことを覚えています。「素晴らしいと思います。評価段階です。これ、これ、これ、これ、これとこれを実行していただければ幸いです。そうすれば、SaaSの使用状況について必要なすべての可視性が得られるので、」しかし、先ほどお話ししたように、一種のAI、あなたはAIの使い方について触れたようなものですよね？そして、これは本当に興味深いことだと思います。なぜなら、AI モデルがビジネスアプリケーションの重要なコンポーネントになるにつれて、AI モデルは重要なアプリケーションになっていると思うからです。つまり、私が銀行プロバイダー、つまり私の中核となる銀行システムだった場合と同じ方法で、それをどのように保護するかを考える必要があるのですね。今や、私の AI モデルは A、I、C の両方にとって基本的なものになりましたよね？AI モデルの 3 つすべてを保護する必要があります。

26:43

うん。繰り返しになりますが、先ほど言ったように、私はコンピューターの時代、インターネットの時代、クラウドの時代、そして今のAI時代など、さまざまな時代を生きてきました。正直に言うと、自分の中に別の年齢があるかどうかはわかりません。もしかしたら、私が人工知能に取って代わられるかも知れません。しかし、あなたの言うとおりだと思います。私たちが新しい時代に入るたびに、あるいは別の時代に移行するたびに、私たちは当然のことながら、それをより安全にする方法を考え始めます。インターネット時代についても同じ議論をしましたが、実際には、インターネットへのアクセスを特定の人にのみ許可するというケースでした。そしてもちろん、数か月も経たないうちに、誰もがアクセスできるようになりました。クラウドについても同じことが言えます。使用するクラウドサービスの数を制限するだけのようです。そして、数か月も経たないうちに、シャドウ IT の問題が発生しました。そしてもちろん、私たちは今 AI の時代に生きていると思います。つまり、私たちが重点的に取り組んでいることが1つあります。そこで、私はAIガバナンス委員会のメンバーであり、責任あるAIポリシーとAIセキュリティ標準を共同執筆し、Netscapeのチームと緊密に連携しています。繰り返しになりますが、AIの使用という点では、企業の観点からだけでなく、製品に含まれるものからも。私たちには記録があり、使用に関する正確な記録があり、これらすべてをたとえばユースケースに結び付けています。それで、ええ、私たちにはそれができる素晴らしい能力がありますよね？私たちには組織としてこれがあります。たとえば、AI の使用をより適切に保護するために、AI を特定し、統制を確実に行うためにも AI に重点を置いています。もちろん、私は脅威研究チームとも緊密に連携しています。もちろん、脅威や攻撃を仕掛けたり、新しいタイプの手法を使用したりするなどの点で、イノベーションを推進するためのAIの使用が増えていることを目の当たりにしているので、それはすでに見てきました。そして、防御の観点から見ると、繰り返しになりますが、AIによる防御を構築するという観点から製品チームをサポートすることです。ええ、私たちはすでにこのような状況を見ています。しかし、先ほども言ったように、私たちの組織的な観点からは、これには包括的なアプローチを取る必要があります。こうしたさまざまなユースケースをすべて検討する必要があります。また、影響がある場合はどのような影響があるかを確認する必要があります。繰り返しになりますが、AIの使用を統制・管理するという点では、すでに組織として私たちにとって極めて重要です。そして、私たちには、いま、今、ここにも規制があります。8月に施行されたEU AI法についてです。これも興味深いことです。他の組織と定期的に話をしていて、「大丈夫、3年間何もする必要はない」というフィードバックをもらうこともあるからです。そして私の返答は、「いや、実は最初のマイルストーンであり、最初の施行という最初の施行は、まもなく2025年2月に予定されていますよね？ですから、待ちきれません。」実際に、禁止されている AI、システム、サービスの使用に関する最初のマイルストーンに向けて準備が整いつつあります。つまり、そうですね、規制が役割を果たすと思うけど、最終的にはわかっていることに戻りますよね？私たちには何があるのでしょう？どうやって確保しているの？ガバナンスが適用されていることを確認するにはどうすればよいか？

29:35

ええ、絶対に。このAIに関する会話は、CISOとの会話と結びつけるようなものです。CISOがワクワクしていることや前向きに感じていることについて話しました。彼らは何に苦労しているんだろう？彼らは何に不満を感じているのでしょうか？

29:52

ええ、それでも一番は、現在の規制環境における課題だと思います。また、今後予定されている新しい規制や、標準や枠組みの変更もあります。つまり、私たちは長年それを生きてきましたよね？しかし、ええ、今はたくさんの規制が施行されているようです。それらはすべてどのように連携しているのでしょうか？たとえば、重複している部分はありますか？そして、それは何なのか、何が優先されるのか、そういうこと。そして、ええ、私はこれらのことを定期的に扱っています。たとえば、NIS2 と DORA は最初に発表されたときからずっと関わっています。EU AI 法について再び、EU ジャーナルにテキストが正式に掲載された8月に、これに関する論文を書きました。だから、そういうこと全部ね。だから、こういうことは承知しているけど、難しいんだ。今日のCISO組織にとって、規制の観点から何をすべきかを理解するのは本当に難しいです。そこで、これをどう解決するかを考えています。問題や課題について話すのも嬉しいのですが、それと、どうすればそれを迅速に解決できるかについても考えています。繰り返しになりますが、私が通常これに取り組む方法は、現在の標準統制フレームワークを構築または改善することです。そのため、たとえば、これから導入されるこれらの規制、基準、フレームワークの多くの要件を満たす一連の共通統制を適用できます。そして、組織統制や技術統制のようなものを適用することで、その要件を満たすことができます。しかし、規制や標準フレームワークに従って適用するだけではありません。それを適用すれば、それゆえにそれが複数のものにも当てはまるのです。そういうふうに私が実際に共有してきた方法なんです。私はネットスケープで一緒に働いている私のチームで一連の記事を書いてきました。私たちは皆、最終的に組織が何をすべきかを理解するのに役立つこの一連のコンプライアンスガイドに取り組んできました。一方、私たちが言うように、手っ取り早い成果の種類や、適用する場合はこの統制を適用する方法についてですが、規制環境全体にどのような影響があるのでしょうか。ええ、これらは私が聞いている課題であり、それらの課題の解決を支援することについて私たちがどのように考えているかについても同様です。

31:53

ええ、そして、実際に解決しなければならないさまざまな規制が非常に多い場合、それがどれほど面倒になるかはよくわかりますよね？そして、それぞれが求めているのは同じようなものですが、色が少し違います。そして、あなたは「すべての色を塗る必要があるのか、それとも一部の色だけでいいのか？」と言っているのです。しかし、私は同意します。おそらく、ある種の一貫したフレームワークをその上に構築し、その上に規制を組み込んだり、単に拡張したりすると、少なくとも「オーケー、まあ、まあ、このフレームワークを採用するなら、そうだね、基本をすべてカバーしていることはわかっている」というコメントが得られます。そして、ある程度、そして私はDORAにうなずきます。具体的には、このケースでは、DORAは、ISO 27001とNISTのサイバーセキュリティフレームワークが本質的にインスピレーションの源であることを強く指摘していると思います。その上に構築されています。その規制機関は、ここで一からやり直す必要はないと言っていて、標準やフレームワークなど、構築すべき良いものがたくさんあり、それが私たちが個別に作り上げるのではなく、私たちが成熟する方法だと言っているという点で、私たちが希望を持てるようなものだと思いますか。

33:04

ええ、それは成熟度でもあります。そして、これらの標準やフレームワークの新しいバージョンもリリースされるときには、いつ見ても良いものです。つまり、私は何年もの間、ウェブ、クラウド、データセキュリティなどを含むISO 270001の更新を提唱してきました。それが実際に何を意味するのか詳細には触れませんでした。ですから、私が新しく更新された標準がリリースされたときにワクワクする人の一人だったとき、私はとても興奮しました。彼らが2022年を立ち上げたとき、私は「素晴らしい、ついにウェブセキュリティとクラウドセキュリティとデータセキュリティに取り組んだ」と思いました。私の QSA が導入されてから、私は長年 DLP を支持してきました。そして、DLP が私のカードデータ環境外のカードデータを識別するのにどのように役立っているかを彼に示したのです。彼は「オーケー、その技術は何て呼ばれてるの？」と言っていました。私は「DLP って呼ばれてるんだ」と言いました。「おもしろい。たぶんそれを補償コントロールと考えてもいいだろう。」私は、ええ、そうすべきだ、そうあるべきだ、本当に、そうすべきではない、という感じでした。」繰り返しになりますが、それが今の私の年齢を示しています。2000年代半ばのことです。しかし、標準やフレームワークが、利用可能なコントロールに追いついてきているのは素晴らしいことです。繰り返しになりますが、できるのであれば、常にセキュリティを簡素化する必要があるということには完全に同意します。つまり、複雑さは常に私たちの敵です。ボールの裁量に話を戻すと、正解もなければ、完璧にフィットするものもありません。ですから、たとえ行ってしまったとしても、多くの規制基準や枠組みを遵守しなければならず、多くの場合、それらは依然として私たちや私たちの組織に固有のものです。そう、それは私たちがそれらをどのように適用するかであり、私たちがそれらをどう考えるかなのです。そうですね。しかし、ほとんどの時間をコンプライアンス要件を満たすために費やしているのであれば、残念ながらそうではありません。イノベーションや最新の脅威やデータ、そしてもちろん、他の分野での進歩についても調べる時間が常にあるとは限りません。ですから、コンプライアンスの部分を簡略化できれば、そうなると思います。他のことにも集中できるという点で、その見返りが得られると思います。

34:56

絶対だよね？コンプライアンスを完全に簡素化することだと思います。誰もがそれを歓迎するでしょう。しかし、コンプライアンスに関する報告が容易になるだけでなく、コンプライアンスがイノベーションを促進するのを見るのも面白いと思います。それはイノベーションではなく、単に報告の質を高めることであり、セキュリティ分野でより多くのイノベーションを推進する方法としてのコンプライアンスなのです。それにはチャンスがあると思います。あなたの視点はどのようなものですか。

35:20

うん。つまり、EU の AI 法を何度も読んだことがありますが、繰り返しになりますが、これを組織でどのように活用して、要件を満たしていることを確認できるかがよくわかります。しかし、例えば、サイバーセキュリティ統制を実施する場合でも、その対策が法律に準拠しているかどうかも確認する必要があります。ですから、その点ではもちろん非常に高いレベルです。特定の分野では非常に曖昧ですが、特定の種類のアクティビティや特定の種類の監視などについて説明していますが、人間が特定のものを検査するのではなく、機械をベースにしていれば、究極的にはそれができることですよね？もちろん、イノベーションの観点からは理解することが重要ですが、やはり組織内でAI/MLを使用して組織のセキュリティを確保できることも理解しておく必要があります。そうではありません。たとえば、プロファイリングとかこのようなものと見なされるため、できないことを強調して焦点を合わせようとしているわけではありませんよね？ですから、それは本当に重要なことです。今日でも、優れたベストプラクティスガイドが世の中には常に存在していると思います。イベントに行って、基調講演者の話を聞いたり、興味のあるセッションに行ったりすると、これを経験して革新を起こした人は常にたくさんいます。彼らはおそらく特定のコンプライアンス要件を満たすためのプラットフォームを使用したことがあるでしょう。しかし、たとえば、組織がそのコンプライアンス要件を満たすのを支援するために割り当てられた予算をどのように取ったか、そしてそれを満たしたのかコンプライアンス要件、そしてその種の支出、技術投資の一部を使用または転用したこともある他のこともやってください。繰り返しになりますが、どの組織にとっても、これを考慮することは本当に重要なことだと思いますよね？これは私が経験したもう一つの変化です。繰り返しになりますが、CISOは統合を検討していると聞きました。彼らはコスト削減をどこで見ることができるかを探しています。そして私にとって、そのための素晴らしい機会がいくつかあります。つまり、70種類ほどのテクノロジーを持つ組織を立ち上げたことを覚えています。チームを見回したところ、10人ほどの人がいました。私は「オーケー、それぞれ7人だ」って感じでした。まあパッチを当てて更新し、ルールや設定を最新の状態に保ったとしても、それは不可能ですよね？保有しているテクノロジーの数やベンダーの違いなどを減らし始める必要があり、より管理しやすいテクノロジースタックに本当に統合する必要があります。そこで、この良い機会を見ました。「さて、これを実現するためのコンプライアンス要件は何か？」脅威やデータ保護の観点から、どのような点で役立つのでしょうか?これにより、当社のインフラストラクチャはどのように保護されているのでしょうか。これによってどのように人々の安全が確保されるのでしょうか？なぜなら、そうですね、私たちは人々の安全を確保する手助けも必要だからです。教育や意識向上にどう役立つのか。そこで、これらの重要かつ重要な分野に本当に当てはまる要件を最終候補に挙げ、そうですね、絶対に、使用しているテクノロジーベンダーの数を減らし、最終的には管理しやすくすることを検討することができました。そして、私が入社したすべての組織で、そのことに集中できるように努めてきました。なぜなら、これらの要件を満たしている限り、それは素晴らしいことですが、技術的な負債もたくさんあるからです。これは、誰もが最大の課題の 1 つとしてよく口にするフレーズだと思います。この複雑さを軽減するために絶対に検討できる方法はいくつかあります。そして、複雑さを減らせば、より多くの時間を集中できるようになると思います。チーム全体が、テクノロジーのチューニング、構成、改善に再び注力し、イベントの確認やメトリクス、トレンド、分析、分析などにより多くの時間を費やしたいと思っています。更新が予定されているため、テクノロジーの一部を更新する必要はありません。そういうこと、本当にやりたいと思っています。もちろん、SSCとSASEの喜びと喜びは、最終的にはプロバイダーに任せて、ポリシーの維持と設定に費やした時間を活用できることです。それが私の観点から見ると、本当に重要なことです。繰り返しますが、私たちがどのようにリソースを管理しているのか、私たちの考えです。

39:17

この統合について言えるのは、それもチャンスだと思うことです。特に、「ねえ、私たちにはこの能力がある」と言ってくるようなベンダーがいる場合はなおさらです。ベンダー側にいると、見込み客から顧客への反発は「ほかにも 30 のツールがある」ということがよくありますが、あなたの場合は、他に70のツールと言っていましたよね。しかし、統合を行うことで、自分が持っている能力を正確に把握できるようになると思います。新しいテクノロジーを提示された組織にとって最大の課題は、現在のスタックの機能を実際に理解していないということですよね？それが価値を提供するところと実際のところ、70あるにもかかわらず、機能や主要な機能にはまだギャップがあります。そして、本質的にそれらを発見し、「ああ、わかった、なぜこれが必要なのかがわかった」と言う機会を与えてくれると思います。

40:11

ええ、その通りです。つまり、私が最初にしたことのひとつは、以前の役職でサプライヤーパートナーを雇うことでした。つまり、ネットスコープの素晴らしいところは、明らかに6年半、7年前にネットスコープに入社したことです。私たちは製品とテクノロジーを提供するクラウド企業です。だから、私にはそんな問題はありませんでした。しかし、それは私が以前の組織で言わなければならないことです。なぜなら、これは大きな課題であることを私は知っているからです。でも、サプライヤーやパートナーを呼んで、「オーケー、6か月後に更新があるんだ」と言っていました。そして、彼らがいつも最初に言うのは、「わかった、もう少ししたら連絡する」ということでした。そして私はこう言いました。「いいえ、なぜ今、私たちがこの技術を使っているのかを知りたいのです。このテクノロジーにはどのようなメリットがあるのでしょうか？」そして、そのような議論をしてきました。もちろん、私は戻って、「ええ、おそらくそれを統合することを考え始めることができるでしょう」と言います。そして、まだワークシートも持っていて、ネットスコープの他の多くの組織と実際に仕事をしてきましたが、同じ課題を抱えていました。そして、ここには250種類ほどのテクノロジーのリストがあり、それらを最終的にどのように統合できるか、場合によっては段階的に統合できるかを説明したようなものです。つまり、フェーズ 1 は、フェーズ 2、フェーズ 3 です。重複するものがたくさんあるので、統合を検討し始めることができますよね？重要な機能を見ると、すでに持っている他のテクノロジーと重複する可能性のある、多くの機能がありますが、私もまったく同感です。そうではありません。常に誰かに見えるわけでもありません。この新しい、ピカピカの、新しいものについて聞いたら、「いいな、それはいいな、取り入れられる」と思うかもしれませんが、実は今、それは私が持っている他のものと重なっているかもしれません。じゃあ、買い替える必要があるの？これは例えです。妻にも同じようなものがあって、私のワードローブは、これ以上入ることができないから、何か新しいものを持ち込むなら、何かを取り除かないといけない、という感じです。それで、今のところ、それととても似ていますよね？しかし、この場合、CISOとしての私たちの視点から見ると、まあ、もし私が1つ持ち込んだら、おそらく3つのことを取り除く必要があると思います。最終的には、私が持っていたこのスイートスポットがある程度わかりました。先週、顧客諮問委員会という素晴らしいディスカッションを行いました。スイートスポットのようなものは、10未満になることですよね？10種類以下のテクノロジーがあれば、それらはすべてできることを実行していて、統合されていて、オープンで、互いに話し合っていて、もちろん、この種のものの最新の利点を活用しています。つまり、これを技術スタックからカバーし、管理しやすいレベルにまで削減しているのです。これは一種のスイートスポットです。他の組織が「ええ、10には決して到達できないが、20まで下げてみるつもりだ」と言うことは承知しています。それが究極的にはあなたがなりたい場所です。そして、特定のユースケースがあるのであれば、ポイント製品の必要性はまだあると思いますが、今お話ししたような統合とプラットフォームプレイのすべてが見えてきています。このような機能があって、すべてがマイクロサービスベースになっていて、最終的にはプラットフォーム上でマイクロサービスを実行できるのです。こういったことをよりスマートに行うことができるのです。

42:57

ええ、絶対に。あと数分あるので、最後までです。私たちは明らかに、エキサイティングなこと、そして同様にやりがいのあることなどについて話してきました。しかし、予想外のことについてはどうでしょうか？この1年、あるいはそれ以前に出会ったことはありますか？それはまるで、「うーん、それは私が予想していたこととは正反対だった」と考えているようなものです。

43:22

ええ、つまり、AIに戻ることができると思います。そして、AIが爆発的に普及することはわかっていました。AI が普及することはわかっていました。これに関する記事を書いたのは、AIの時代に向けた2014年の頃だったと思います。そして、ええ、私たちは皆、それを待って、待って、待っていました。そして、「もうすぐ起こる、すぐに起こる」ということでした。今年ではなかったと思いますが、ええ、過去数年間は、まあ、まったく期待していませんでした。そうだったように感じました。おそらく決して起こらないでしょう。つまり、MLにはユースケースがなかったかのようでした。そう、私たちは長年MLを使ってきました。たとえば、私たちはそこに価値を見出してきました。しかし、GenAI のようなものについて話すとき、私たちは何もしていませんでした。つまり、私は何年も前に GenAI サービスを利用していましたが、実際役に立ちました。ノートの観点からも、そういったことをすべて記録するという観点からも、私は役に立ちました。本当にすごく助かりました。そして、「素晴らしい」と思いました。これは素晴らしいユースケースです。しかし、このような突然、GenAI と AI の使用が爆発的に増加するとはまったく予想していませんでした。そして、それはあっという間に起こりました。そして、それが起こると知ったときはほとんど驚きでした。しかし、それは予想外のことだったと思います。数週間も経たないうちに、組織全体が元々のようにクラウドサービスプロバイダーのベンダー評価などを行っているように感じました。そして、2週間後、新しいベンダー、そして新しい機能を追加し続ける既存のベンダーに対してもこのテストを実施するようになりました。これは最大の課題の1つだと思います。ですから、今と同じように、他のCISOと話をすると、私たちのチームには新しいテクノロジー、またはこれを追加した既存のテクノロジーが殺到しているだけだと言っているようなものです。ただ、このような爆発的な事態が発生しただけです。だから、それが直近の予想外の挑戦だったんだと思う。でも、ええ、それは数年前のことです。数年前は生きていけなかったけど、今も続いている。

45:15

いいね。すごい。その予測をしたときのことを願っています。当時、Nvidia株を大量に購入して、今はうまくやっていることを願っています。まとめましょうね。あなたはCISOとして素晴らしい経験を積んでいます。あなたは他のCISO、CIO、主要な意思決定者とのチャットに多くの時間を費やしています。サイバー業界でキャリアをスタートしたばかりで、いつの日かCISOやCSOのようになることを目指している人向けです。彼らに何かアドバイスはありますか？

45:43

私にとっては、機会が与えられたらいつも「はい」と言うことだと思います。たとえそうでなくても、おそらく自分のキャリアパスにおけるあなたのようなものだと思っていて、おそらく「はい」と言うでしょう。繰り返しになりますが、間違いなく、外に出てください。他のCISOと話して、他のCISOから学びましょう。私がこのキャリアを始めたとき、あったらよかったのですが、質問できるCISOは本当にいませんでした。私たちは仕事で何かを学ばなければなりませんでした。ええ、今、私たちにはこの素晴らしい機会があると思いますし、ほとんどのCISOは非常にオープンで、喜んで考えを共有してくれると思いますよね？つまり、まあ、このポッドキャストでね。考えや経験などを分かち合うことで、私たちはみんな私だと思います。とにかく個人的には、この業界に入社したときよりも良い場所にこの業界を去りたいですよね？それはいつも、あなたが恩返しをしようとしていることを示す良い兆候です。ですから、私としては、そうですね。もしあなたが本当にCISOになりたいと思っているなら、他のCISOと話をして、彼らの周りにできるだけ多くの時間を費やしてみてください。しかし、イベントにも行きます。ディナーなどに行く機会があれば行って、その方法を理解し、課題について聞いて、これらの課題の解決にどのように役立つかについて考え始めてください。この業界には必ず問題解決者が必要ですよね？問題解決者が多ければ多いほど良い。そのようなスキル、その分野への意欲、関心があり、優れた問題解決者であれば、このキャリアは間違いなくあなたのためのキャリアです。

47:05

素晴らしい。さて、ニール、今日は時間を割いてくれて本当にありがとう、そしてあなたの知恵に感謝します。このような会話ができて良かったです。本当に感謝しています。乾杯。

47:15

ええ、いいえ。ありがとう、ラグー。

‍