Clarke Rodgers (00:08):
Wagner さん、本日はご参加いただき、本当にありがとうございます。

Mike Wagner 氏 (00:10):
Clarke さん、こちらこそありがとうございます。このような機会をいただき、光栄です。

Clarke Rodgers (00:12):
早速ですが、ご自身の役割と責任について教えてください。

Mike Wagner 氏 (00:16):
わかりました。私は Kenvue という企業で CISO を努めています。Kenvue は、Johnson & Johnson の系列企業の傘下にありました。Tylenol、Motrin、Aveeno、Neutrogena、Johnson's Baby など、当社が製造する製品の一部を知れば、気付かれるかと思います。

ビジネスにおける私の役割は、流布している脅威からデータ、システム、人々を適切に保護することです。当社を確実に保護しつつ、ビジネスがコンシューマー、お客様、サプライヤー、そしてもちろん当社のワークフォースに対し、より迅速で合理化され、コスト効率の高いアクセスを確実に提供できるようにしています。

Clarke Rodgers (01:01):
少し深掘りさせていただきます。この役割に就く前、セキュリティ分野におけるご経歴について簡単に教えていただけますか? CISO の前に別のポジションに就いたことがあるのではないかと思いますが。

Mike Wagner 氏 (01:11):
そのとおりです。私は Air Force Academy に通い、Air Force Cyber 組織に所属し、さまざまな役割を担っていました。役割の 1 つは Office of Special Investigations のもので、9.11 事件が起こったときにはワシントン D.C. 地域で勤務していました。2000 年代初めにその役割を離れましたが、予備役として残りました。そのため、短期間にわたって、米国の企業と空軍で並行してキャリアを積むことになりました。これは良い経験になりました。

サイバーなどの分野では、このような並行したキャリアは相互にうまく補完し合います。なぜなら、知識を習得し、予備役または州兵として実践できるからです。そして、それらのテクニック、教訓、インテリジェンスを企業空間に応用できます。企業の側では、いくつかの異なる業種を経験しました。最初は通信業界でした。短期間にわたって金融サービスに従事した後、ここ 15 年ほどは主にヘルスケアに携わっています。

直近 5～6 年間は、サプライチェーン、企業、グローバルサプライチェーンに重点的に取り組んできました。また、同社がデジタルサプライチェーン戦略を推進する中で、セキュリティの OT の分野に多くの労力を割いてきました。企業ネットワーク内で開くさまざまな開口部が保護されており、適切なアクセスのみが通過するようにしてきました。また、すべてのサプライヤー、物流業者、ネットワーク提供業者、サードパーティーの物流プロバイダーなどにも対応してきました。インシデントが発生した場合に備えて、これらの関係者の体制が整っているようにしたり、これらの関係者と連携したりできるようにしてきました。

Clarke Rodgers (03:01):
興味深いですね。次に、軍隊から企業生活への移行についてお話しいただけますか? その移行はご自身にとって大きな変化でしたか? それとも、サイバーはあらゆる場所で関係するため、それほど大変ではなかったでしょうか?

Mike Wagner 氏 (03:16):
興味深いのは、軍隊では、22 歳で将校になり、すぐに 25 人ほどの部下を持つことがあるということです。企業の世界では、自分自身の能力をより明らかに証明する必要があります。そのような信頼をすぐに得ることはできません。したがって、リーダーシップという意味では、基本に立ち返る必要がありました。つまり、皆が何をしようとしているのか、何をしているのかに寄り添って、信頼を獲得し、信頼関係を築くということです。

ただし、技術的な能力、サイバーと軍事、ネットワークの保護という専門的な観点からは、同じ手法や戦術が企業ネットワークの保護にも当てはまります。また、個人としての内なるパーパスによってそれを強化することもできます。内なるパーパスは私たち全員にとって非常に重要であり、ネットワークを守り、データを守り、人々を守るものです。

Clarke Rodgers (04:11):
そのようなミッションを持つということですね。

Mike Wagner 氏 (04:13):
はい。私のパーパスの一部です。私の DNA の中核とも言えます。

Clarke Rodgers (04:17):
すばらしいです。企業の世界や現在の役割において、一般的に、CISO は時間とともに進化しているように見えます。以前は、CISO と CSO は非常に技術的な役割であり、そこまで深くビジネスに携わっていませんでしたが、現在では、CISO と CSO が組織の上級リーダーシップの一部となっています。定期的に取締役会に報告し、ビット、バイト、ファイアウォールといった言葉ではなく、ビジネスの言葉を用いて話しています。その移行はどのように行いましたか? 先ほど、信頼について話されました。組織内において、他のシニアエグゼクティブからの信頼をどのように獲得していますか?

Mike Wagner 氏 (04:58):
セキュリティの専門家にとって、そして CISO にとってはもちろん、最大のスキルの 1 つは、人々と関わる能力だと思います。 つながりを持つこと、つまり、話を聞こうと思ってもらえるような共通点を持つことです。したがって、そのつながりを構築し、サイバーとは何か、サイバーがなぜ重要かについて情報提供するという目標を設定できるようになれば、物事はずっと簡単になります。

これはとても基礎的なことですが、基本的には、エグゼクティブレベルに働きかけ、サイバーについて理解してもらうこと、それがビジネス上の責任であると理解してもらうことが重要なのです。そして、率直に言うと、これらのエグゼクティブは、ビジネスを遂行するために、私たちのサービスを利用すべきです。

当社はコンシューマーヘルス関連の大手企業です。10 億を超えるコンシューマーを抱えており、今後も成長を続けたいと考えています。コンシューマーは今後ますます当社から直接購入するようになるでしょう。それを踏まえて、日焼け止め、Tylenol、赤ちゃんの快適さを増すためのもののいずれであっても、これらのコンシューマーがより良い生活と健康を実現するための当社の商品にどのようにアクセスしてもらえばよいのでしょうか?

当社はより容易にアクセスできるようにしたいと考えています。また、当社がこれらのコンシューマーのデータを保護できることを認識してもらいたいと考えています。そしてもちろん、コンシューマーに加えて、当社のすばらしいお客様やサプライヤー、ワークフォースと連携したいと考えています。そのようなユーザーエクスペリエンス、つまり、人々が当社のシステムを利用する際のエクスペリエンスを、より簡単、シームレス、安全なものにしたいと考えているのです。

Clarke Rodgers (06:33):
なるほど。今ご説明いただいたことは CISO にとって共通の課題ですよね? つまり、セキュリティを早期かつ頻繁に組み込むのはビジネスとして望ましいということを人々が理解するように、セキュリティ組織の外にセキュリティ文化を構築するということかと思います。 では、組織でセキュリティの文化を構築するために、どのように取り組んでいますか? あるいはどのようなプログラムを導入していますか?

Mike Wagner 氏 (06:58):
私たちが導入し、すばらしい成功を収めたプログラムの 1 つが、先ほど少し言及した運用テクノロジーまたは OT というコンセプトです。当社は世界的なメーカーです。数十の工場があり、数百のサードパーティーの物流プロバイダーと提携しています。当社は、OT チャンピオンプログラムと呼ばれるものを導入しています。サプライチェーンのビジネス内におけるセキュリティについて、その推進者に連絡できるようにしているのです。

Clarke Rodgers (07:28):
興味深いですね。

Mike Wagner 氏 (07:29):
はい。私たちはこれらの人々をトレーニングします。「トレーナーをトレーニングする」プログラムのようなものです。しかしそれ以上に、これらの人々にとって、私たちはリソースです。私たちはこれらの人々の支持者であり、これらの人々は私たちのプログラムの支持者なのです。このプログラムが成功を収めたと言えるのは、このプログラムなしではたどり着けなかった領域にたどり着くことができたからです。

先ほど、軍隊に所属することとの共通点についてお話しましたね。それになぞらえるとすれば、米軍が海外に遠征した際に、移動に関して現地の人々を頼るようなものです。現地の人々は地理や地形に詳しいです。注意すべき場所や、最適な位置を知っています。これと同じような考え方ができます。すなわち、ビジネスにおいて、この場合はサプライチェーンの領域で、人材を関与させたり、権限を与えたりすることで、これらの人々は、私たちがより成功できるようサポートしてくれます。その代わりとして、私たちは、これらの人々がビジネスで成果を上げ、新聞で悪いニュースに登場することがないようにし、当社の製品を必要としているコンシューマーに届けられるようサポートしているのです。

Clarke Rodgers (08:33):
あなたが立ち上げたそのプログラムによってもたらされるメリットを、ビジネスリーダーたちは理解しましたか?

Mike Wagner 氏 (08:40):
もちろんです。セキュリティがますます主流になるにつれ、これらの部門のビジネスリーダーは、私たちのプログラムがチームメンバーにも関係があることを認識しています。そして、私たちは既に多くのリーダーと話をしています。そのため、ある程度なじみがあり、ホイールには既にグリースが塗られているため、円滑に導入できます。これらのリーダーには、私たちが提供する情報やトレーニングを受け入れる態勢が整っています。

Clarke Rodgers (09:15):
これらのリーダーにどのようにリスクを伝えているか、また、これらのリーダーがセキュリティを自分のこととして捉えるよう、どのように対応しているかを、簡単に教えていただけますか? 一昔前の CISO は、このようなリスクについて、脆弱性マトリックスやパッチ適用プログラムなど検査票のような形で伝達していたため、取締役会の共感を得にくいことが多かったように思います。取締役会にリスクをどのように伝えているのか?

Mike Wagner 氏 (09:38):
私たちはそれをビジネスリスク、ビジネスに対する影響という観点から捉えています。当然ながら、私たちは実装済みのコントロールを通じて、その影響を最小限に抑えるよう取り組んでいます。また、私たちのプログラム、それがどのように進化しているか、そして私たちのプログラムの機能がどのようにビジネスの成長を可能にしているかについても話しています。多くの人はセキュリティを防御として、おそらく保険のような文脈で考えています。

Clarke Rodgers (10:04):
そうですね。

Mike Wagner 氏 (10:05):
私たちは、防御だけではなく、アクセスの観点からもセキュリティを考えます。そして、アクセスはイネーブラーです。コンシューマーのアクセス、お客様のアクセス、サプライヤーのアクセス、そしてもちろんワークフォースのアクセスについて既に言及しました。アクセスをより簡単かつシームレスにできれば、ビジネスをより迅速に進めることができます。私たちの開発プロセスでは、テクノロジーの新しいリリースをロールアウトする際に、セキュリティがシフトレフトされ、パイプラインの一部となっていることを確認します。これらは私たちが早期に得た教訓であり、そのおかげでビジネス部門の真のパートナーとなり、多くの信頼を得ることができました。

Clarke Rodgers (10:49):
すばらしいです。それでは、少しトピックを変えて、セキュリティプログラムに対する人員配置についてお聞かせください。 チャンピオンプログラムと OT については既にお話しいただきました。OT 以外で、組織内のセキュリティチームの力を効果的に高める方法はありますか?

Mike Wagner 氏 (11:10):
ソフトウェアエンジニアリングのスキルを備えた人材は必要です。かなりの数の軍経験者も採用しました。ソフトウェアのデプロイやコードを理解するといったスキルが重要性を増していて、最近はより重視されています。AI がセキュリティプログラムにどのように役立つのか、そして限られた数の従業員で世界の製造拠点をどのようにカバーできるのかを検討している現在では、そのように考えざるを得ないでしょう。 そのため、私たちは AI によってさらにさまざまなことが実現されることを心待ちにしています。

一方で、人間的な側面からは、空軍やさまざまな軍事フォーラムにいる人々に目を向けています。当社は、軍務を終えた退役軍人向けのプログラムを提供してきました。これらのプログラムの中には、退役軍人が働きながら大学の学位を取得できるものもあります。これらのプログラムは大きな成功を収めてきました。

当社は、会社に所属する退役軍人向けに、すばらしい福利厚生プログラムを用意しています。2 週間の軍事訓練や召集などに備えて、当社は軍関係者が働きやすい制度を用意しています。退役軍人にとって充実した確実なメリットを確保しているのです。

現在、人材の採用が大変で、優秀な人材の採用は、CISO が今後数年間にわたって直面する課題の 1 つであるとよく耳にします。これは実は、過去にも直面してきた課題です。私はよくこのような例え話をします。私は、自分自身が大学フットボールのコーチに似ていると感じます。求人を出す前に採用活動を行うのです。人材に狙いを定め、人間関係を築きます。優れた人材がいるであろうさまざまなフォーラムにも参加します

そして、最終的には人間同士のことですから、握手をして、関係を維持し、この特別な人とのつながりを築きます。あとは、必要なときにうまくいくことを願うだけです。Kenvue のサイバー部門の人材に関して言えば、幸運なことに、いくつかのすばらしい企業から非常に優秀な人材を採用でき、サイバー部門に非常に優秀で生産性の高い人材を配置することができました。

Clarke Rodgers (13:50):
すばらしい話ですね。文化的な側面について、繰り返しになりますが、CISO の役割が時間とともに進化する中、CISO とセキュリティ部門は概して、「No」と言う部門であると みなされてきました。 しかし、今日極めて大きな成功を収めている CISO のお客様は、セキュリティ部門をイネーブラーであり、「Yes、しかし」と言う部門であると 見ていますよね? つまり、警官が減り、コーチが増えたのです。Wagner さんの組織の状況はいかがでしょうか? また、その変化は長期的にはどのように起こりましたか?

Mike Wagner 氏 (14:29):
私たちはイネーブラーとして認識されることを望んでいます。サイバー部門が防御だけを担っているのではなく、アクセスを可能にもしていると認識してもらいたいと考えています。では、どのようにしてそれを実現したのでしょうか? それは、情報の提供を通じてです。私たちがビジネス部門に情報を提供し、意識を高めてもらうように働きかけることで、これらの人々は理解してくれます。競合他社、知っている会社、ランサムウェアの被害を受けた可能性のあるサードパーティーの物流プロバイダーが、どのような状況に陥ったのかを見てください、と伝えると、ビジネス部門の人々はそのような状況に陥りたくないと思うのです。

そのような情報提供を通じて、ビジネス部門は私たちに非常に協力的になり、私たちは進むべき道を示すことができました。私は、クラウドプロバイダーとの関係により、当社の業務の安全性が向上するだけでなく、そのテクノロジーのデプロイ速度が向上し、より速く、より良く、より低コストで実行できるようになると確信しています。そして、ビジネス部門はそのような状況を好ましく思います。つまり、製品を手頃な価格で、より速く、より良く、より低コストでお客様に届けるために、私たちが尽力していることをビジネス部門が知れば、協力してくれるはずです。

Clarke Rodgers (15:52):
すばらしいです。水晶玉をお持ちでないことは認識した上でお伺いします。5 年後にもう一度この会話をするとしたら、CISO にとっての最大の課題および機会として、私たちはどのようなことを話すことになるでしょうか?

Mike Wagner 氏 (16:08):
5 年の間には、私たちはより成熟し、これらの AI ロボットが私たちの力をどのように強化するかを理解できるようになるでしょう。私たちの取り組みをビジネス部門がより良く理解できるよう、情報の提供は継続されると思います。私たちは今、話し合いの席に着いています。私たちの意見は、おそらく技術面だけでなく、ビジネス面でも重要であり続けるとともに、成熟していくと思います。

従来のように CISO が IT 部門の一員であり続けるのか、あるいは CIO の下に位置づけられているのかはわかりません。CISO の立ち位置は色々と考えることができますが、ビジネス上の意思決定や、取引先のさまざまなサプライヤーやお客様に大きく貢献し、大きな役割を果たすことになるのは間違いないでしょう。

Clarke Rodgers (17:15):
すばらしいです。Wagner さん、本日はご参加いただき、本当にありがとうございます。

Mike Wagner 氏 (17:19):
こちらこそ。ありがとうございました、Rodgers さん。