画像をタップして拡大する

2019年4月16日

Liz Joyce (CISO): サイバーセキュリティでリーダーシップを発揮するには、技術的専門知識以外も必要

サイバーセキュリティプロフェッショナルは、高度化するテクノロジーの課題に取り組んでいますが、リスク管理と戦略的なプランニングに関してスキルを高めなければなりません。

画像をタップして拡大する
Liz Joyce (HPE CISO)

学生の頃からサイバーセキュリティに興味を持っていたLiz Joyceは、個人のハッカーやスクリプトキディがハクティビスト、国家、サイバー犯罪組織などの狡猾な攻撃者に取って代わられる中で脅威が進化するのを最前線で見てきました。Lizは、Hewlett Packard Enterpriseの最高情報セキュリティ責任者として、こうした脅威について考えなければならず、またLizのチームは、HPE全体における従業員の育成やサイバーセキュリティの教育といった、管理の大きな課題に対処することを求められています。enterprise.nxtとのインタビューでは、Lizにこの分野での数十年にわたる経験から得た有益な情報とアドバイスを提供していただきます。

 

情報セキュリティ分野でのキャリアはどのように始まったのですか。

私は昔から数学と科学が大好きでした。ある種の科学オタクだった私は、テレビの科学番組を見たり、子供の頃から講義を受けに行ったりするのが好きだったのですが、その情熱が消えることはなく、大学でコンピューターサイエンスを専攻することにしました。そして最初はとても興味があったロボット工学について研究しようと考えたのですが、ソフトウェアの方がはるかに面白いことに気づいたのです。

その後私は、大学院生として分散ネットワークに注目していたヨーロッパの研究チームで研究を行いました。その研究対象の1つがセキュリティであり、当時はまだ「サイバーセキュリティ」という言葉すらなく、「情報セキュリティ」と呼ばれていたのですが、セキュリティは魅力的で未知の部分が非常に多く、実際の論理やさまざまな可変的要素を研究することに大きなやりがいを感じたのです。また、研究で得たすべての知識を活用し、実社会でそれを応用したいと思っていることに気づきました。

そこで私は、コンサルタントとしてのキャリアをスタートさせ、自分自身の知識を応用できるテクノロジー企業に就職したのですが、それでは物足りず、他のセキュリティスペシャリストと仕事をしたいと考えてセキュリティ企業に転職し、経験を積み重ねました。そして私は、衛星通信や医療など、さまざまな領域で実際どのようにそうした研究を応用でき、セキュリティによって実社会の問題が解決されるのかを明らかにしました。セキュリティはあらゆる場所で求められるものであり、それが私の心をつかんだのだと思います。またセキュリティは、誰もがそれぞれの規模と範囲で対策を講じることができるものです。

 

キャリアの初期の段階でご自身の仕事の重要性が明らかになった出来事はありましたか。

私はある時期、セキュリティオペレーションチームのメンバーとしてお客様にサービスを提供していたのですが、現場で作業しているときに誰かに肩をたたかれ、「Liz、ちょっと見てみて」と言われたのを覚えています。私たちは、データ分析を活用するダッシュボードのセットアップを完了したその日にCode Redワームの攻撃を受け、分析によってどこで問題が発生しているのかが明らかになったのですが、それはまさに地球が真っ赤になるのを見ているかのようであり、アジア太平洋地域から始まった攻撃が地球全体に広がったのです。

このとき私は、自分たちがどれだけの対策を講じることができ、それがどの程度効果的なのか、そして単独や個人のレベルではなく、グローバルな規模の問題を解決するうえで、それぞれの対応によってどれほどの違いが生まれる可能性があるのかを知りました。セキュリティは魅力的なだけでなく、自らが人々の保護に貢献しているという自覚から満足を得ることもできます。陳腐な表現に聞こえますが、セキュリティとは悪人と戦うことなのです。

ファームウェア攻撃に対する世界初にして唯一の防御機能を提供するHPEインフラストラクチャセキュリティソリューションを活用すれば、ハイブリッドITシステムを管理、監視、保護することが可能です。

 

脅威はどのように変化したのですか。今セキュリティプロフェッショナルやCISOが頭を悩ませている問題について教えてください。

非常に多くの変化があり、重要なポイントとしては、攻撃の規模、攻撃のスピード、攻撃の高度化、そして攻撃者の組織の4つが挙げられます。

まずは規模の変化について考えてみましょう。私が働き始めた頃、データ侵害などの事件は1年に1回起きる程度で、現在のように毎週、また場合によっては毎日大きなニュースになるものではありませんでした。さらに、かつて1万~10万の単位でも衝撃的だった記録の漏洩も急増し、現在では、1回のインシデントで約7,500万~1億4,500万件もの記録が漏洩しています。このように攻撃の規模が拡大し、私たちの業務はすべてが変化しました。

次にスピードの変化について見てみましょう。テクノロジーは素晴らしいものであり、私たちの生活を向上させますが、それと同時に攻撃者は現在、高度化したテクノロジーを悪用しています。攻撃者は、さまざまなチャネルとベクトルで、しかもこれまでにないスピードで私たちに攻撃を仕掛けてくるのです。かつて脆弱性が悪用されるまでには、数か月の時間がかかっていましたが、現在では、その時間が数週間、数日、また場合によっては数時間にまで短縮されています。

そのうえ、脅威には多くの変異が存在します。問題が解決されたと思ったとしても、脅威は絶えず変化しており、システムにアクセスして、認証情報を収集したり、ランサムウェアでシステムを使用できないようにしたりといった、システムを侵害する最も効果的な方法を判断できるマルウェアさえあり、それが非常に大きな課題となっています。

そして高度化と組織に関してですが、攻撃者はかつて、攻撃を仕掛けてくるスクリプトキディや個人のような「厄介な」存在と考えられていたものの、一般的には「ドアをノックする」のがわかったため、その存在に気づくことができていました。しかし今日では状況が一変し、私たちはハクティビスト、国家、組織化された大規模なサイバー犯罪グループなどと戦っています。こうした集団は非常に高度化しつつあり、防御する側が属性を見つけ出そうとしていることをわかっています。そして今では、攻撃の形跡を残さないアプローチを取っているため、その存在に気づくことさえありません。

企業にとっては、インシデントが発生するかどうかではなく、いつ発生するのかが問題です。また、インシデントに対応する方法だけでなく、非常に長期間にわたって影響を及ぼし続けると思われるインシデントからリカバリする方法も非常に重要です。

Hewlett Packard Enterprise最高情報セキュリティ責任者、Liz Joyce

 

そのような脅威のすべてを抑制し続けるにはどうすればよいのですか。

適切な人員、つまり賢明でセキュリティを専門とする、問題を明らかにできる人員がいれば、その解決に大きく貢献してくれます。

ただし、適切な人員の雇用には現実的な課題があり、最新のレポートの予測によると、サイバーセキュリティ関連の人員は数百万人不足しています。この市場は競争が激しいため、企業は適切な人員を見つけることだけでなく、そうした人員に働き続けてもらえる方法についても考えなければなりません。またその一方で、自動化やオーケストレーションなどを活用してセキュリティチームのマンパワーを補ったり強化したりすることにより、このような人材不足に対処する方法を考える必要があります。

 

この分野の優秀な人員がまったく足りていない企業にアドバイスをいただけますか。

問題に対処する方法はいくつかありますが、何よりもまず、適切なスキルを持つ人材やリソースにとって魅力的な企業であると認識してもらう必要があります。そのような企業は、革新的なテクノロジーやプロセスを取り入れており、事業部門の支援を得ているわけですが、あらゆる面で魅力を感じてもらえる企業の実現に取り組むHPEは、サイバーセキュリティチームのメンバーが自社に貢献して高い評価を受け、業務を完遂するための支援を得ていることをわかっているという点で大きな違いを生み出しています。

また、他のコンサルティングのスキルを活用することも可能ですが、これに関しても私は、Pointnextチームとパートナーエコシステムの豊富なリソースを有する企業であるという点で優位性を感じています。さらに私たちは、アイデアの循環や共有によってチームのメンバーであり続けたいと思ってもらえるようにするなど、絶えずチームを強化して成長させ、新たな機会を提供しようと努めています。

長期的な観点では、私たちは業界として、サイバーセキュリティに携わる人材の多様化の推進について考えなければなりません。たとえば、サイバーセキュリティ担当者に占める女性の割合は14%に過ぎませんが、私自身の考えとして、サイバーセキュリティ業界は、組織内であるか社会全体であるか、また意識的であるか無意識的であるかどうかにかかわらず、障壁と偏見の解消に取り組んで、この分野でのマイノリティや女性の活躍を促し、均等な機会を確保する必要があります。これこそが、人材不足を解消するうえでの重要なポイントとなります。

 

採用に関してどのような独創的なアプローチを取っていますか。

新たなサイバーセキュリティ担当者を採用するために、私たちはインターンシップとトレーニングプログラムに重点を置いてきましたが、候補者の経歴が変化してきたのではないかと思います。

以前はその範囲がかなり狭く、一定の技術的スキルや技術基準が重視されていました。これらは今もなお非常に重要ですが、現在では、より一層幅広く特定の能力に目を向けるアプローチを取っており、たとえば、パターン認識や分析の能力に優れている人材を探したうえで、チームのメンバーになってもらうためのトレーニングやカリキュラムを提供することがあります。実際のところ、これが今日の企業に必要とされる幅広いサイバーセキュリティのスキルの獲得やニーズへの対応につながっています。

 

サイバーセキュリティのミッションを遂行するために、リーダーは事業部門の支援を得ること以外に何をしなければなりませんか。

あなたがサイバーセキュリティに精通した組織のリーダーであり、管理部門のスタッフであるのか、経理部門のスタッフであるのか、エンジニアであるのか、研究開発部門のスタッフであるのかどうかにかかわらず、全員があらゆる業務の中で自社のセキュリティについて考えることが責務であると考えているのであれば、その企業のセキュリティは大きく向上します。「疑わしいリンクをクリックする人物が1人いれば十分」というおなじみのフレーズは、講じられている多くのサイバーセキュリティ対策を台無しにする可能性があるため、的を射てはいますが、組織全体にサイバーセキュリティを意識した文化を取り入れると、非常に大きな違いが生まれます。

 

セキュリティに関しては主に、コアの保護、検出、およびリカバリの3つを優先しなければなりませんが、テクノロジー関連のメディアでは、リカバリではなく検出、またはコアの保護に重点が置かれすぎているように思います。

しかし、リカバリも同じように重要であり、その理由として、企業にとっては、インシデントが発生するかどうかではなく、いつ発生するのかが問題であるという点が挙げられます。また、インシデントに対応する方法だけでなく、非常に長期間にわたって影響を及ぼし続けると思われるインシデントからリカバリする方法も非常に重要です。これに関しては、事業継続性を確保するためのプロセスを経なければならない可能性があり、データのリカバリや運用が維持されていることの確認が求められます。

WannaCryやNotPetyaなどの最近の攻撃に目を向けてみると、それらの攻撃が世界中の企業や機関、さらにはそこからサービスを受けている人々にどれだけ悪影響を及ぼしたのかがわかります。このような攻撃の影響は、数時間や数日ではなく、数週間から数か月も続いたのです。

機能を維持できるよう、こうした攻撃からどのようにリカバリするのかは非常に重要です。インスタンスやイベントを調べているうちに苦境に陥り、その結果として運用を維持できなくなってしまっては意味がありません。

 

HPEはガールスカウトと提携し、女性のサイバーセキュリティに対する認識を高める教育を進めてきましたが、そのプログラムでは、どのようなことが行われているのですか。また、どのようにしてSTEM教育に対する興味を育てているのですか。

この興味深いパートナーシップは、主に2つの要素を中心に構成されています。1つ目は、若い女性が安全かつ防御的にインターネットを利用できるようサポートすることを目的に作成したサイバーセキュリティカリキュラムです。このカリキュラムは、個人情報とデジタルフットプリント、オンラインの安全性、プライバシーとセキュリティ、そしてネットいじめという、4つのコア領域の基本知識とベストプラクティスをカバーしています。また、Cyber Squadと呼ばれる教育用オンラインゲームもあり、そのゲームでは、物語風のインタラクティブなフォーマットで実際のシナリオを再現し、オンラインでの危険な行為と安全な行為の結果をシミュレーションしています。そしてこれらのゲームとカリキュラムを完了したガールスカウトの団員には、サイバーセキュリティの知識があることを証明する刺繍入りのワッペンが贈られます。私たちはこのパートナーシップを通じて、女性にきわめて重要なサイバーセキュリティのスキルを身に付けるとともに、STEMに興味を持ってもらいたいと考えています。このゲームは、面白いインタラクティブなフォーマットで楽しみながらテクノロジーを学んでもらえる内容となっており、標準的な学校での教育とは大きく異なります。これは些細なことのように思われるかもしれませんが、早い段階でテクノロジーに興味を持って楽しんでもらえれば、それがSTEMによって得られる将来の機会や可能性の理解につながるうえ、今後の好奇心の探究を促すことができます。

私たちは現在、ワシントンD.C.、メリーランド州、バージニア州、およびウエストバージニア州の6万人のスカウトにサービスを提供するGirl Scouts Nation’s Capitalでこのプログラムを試験的に運用していますが、今後全国や国外の青年組織に幅広く展開する予定です。このプログラムの詳細については、こちらをご覧ください。

 

どのような本を読むのが好きですか。

私は夫の影響でSF好きになりました。若い頃は古典ばかりを読んでいましたが、彼のおかげでSFの良さがわかるようなったのです。SFを読んでいると、日常生活から離れられることもあれば、新たな可能性が見つかることもあるのですが、その部分が、科学とテクノロジーが大好きな理由と関連しています。また、これまでは現実のテクノロジーについてだけ考えるのが好きだったのですが、今では架空世界のテクノロジーにも楽しみを感じるようになりました。

もう1つ興味がある本のジャンルは、子供に関係しています。私には小さい子供がいるため、最近は踊る動物や歌うものの物語を数多く読んでいるのですが、子供のおかげで読む本のレパートリーが大きく広がり、私自身も楽しい時間を過ごせています。

 

5~10年後の情報セキュリティ分野はどのようになっていると思いますか。

テクノロジーの課題がさらに増えるのではないでしょうか。また私たちは、今よりはるかに広い範囲でAIが活用されるようになると見ています。AIは、応答時間を短縮したり、複雑な状況をより詳細に把握したり、日常のプロセスを自動化したりする可能性を秘めており、それによってアナリストは、より困難なセキュリティの問題に注力できるようになります。

ただし、AIを導入すると、AIのアルゴリズム自体とそのデータも保護しなければならなくなり、それらが操作されて予期せぬ結果がもたらされないようにする必要が生じます。日常生活に組み込まれつつあるAIは今後、攻撃者にとって非常に重要な金鉱のようなものになると思われますが、私たちは実際にAIを使用する立場として、今からこの問題について考えていかなければなりません。これは、どの新しいテクノロジーにも言えることです。こうしたテクノロジーはセキュリティの強化に役立つ一方、ハッカーにとっても非常に価値のある資産となり、その手に渡ると強力な武器に変わってしまいます。

さらに大きな問題は、サイバーセキュリティをどのように捉えるかです。サイバーセキュリティについては、単に技術的な問題としてではなく、リスクの観点から考察し、あらゆる業務の中核的な要件であると考える方向へと大きくシフトする必要があります。サイバーセキュリティは、社内全体、またはさらには業界全体のリスクを調べて評価するプロセスに組み組み込む必要があり、技術的リスクを管理するプロセスだけでなく、企業のリスク管理プロセスにも含めなければなりません。

それに加え、サイバーセキュリティはあらゆる業務に組み込む必要があり、問題が起きてから「セキュリティ機能」を追加するだけで済むものではなく、サービスや製品に最初から、またさらにはそれらを構築するために使用するプロセスにも組み込まなければなりません。そしてそのためには、サイバーセキュリティを付け足しのようなものから企業の文化や習慣へと大きく変化させる必要があります。

 

CISOの観点: リーダーのためのアドバイス

  • サイバーセキュリティを担当する人材の深刻な不足に対処するため、企業は障壁と偏見の解消に取り組んで、この分野へのマイノリティや女性の進出を促す必要があります。
  • AIは、応答時間を短縮してアナリストが優先度の高い問題に注力できるようにする機会をもたらしますが、攻撃者にも機会を与えます。サイバーセキュリティプロフェッショナルは、この新しいテクノロジーを適切に管理する必要があります。
  • サイバーセキュリティは、単なる技術的な問題ではなく、テクニカルソリューションが必要とされます。管理者は、サイバーセキュリティをリスクの観点から考え、その考え方を中核的なビジネスアクティビティやプランニングに組み込まなければなりません。

この記事/コンテンツは、記載されている個人の著者が執筆したものであり、必ずしもヒューレット・パッカード エンタープライズの見解を反映しているわけではありません。

enterprise.nxt

ITプロフェッショナルの皆様へ価値あるインサイトをご提供する Enterprise.nxt へようこそ。

ハイブリッド IT、エッジコンピューティング、データセンター変革、新しいコンピューティングパラダイムに関する分析、リサーチ、実践的アドバイスを業界の第一人者からご提供します。