Clarke Rodgers (00:08):
Kane さん、本日はご参加いただき、本当にありがとうございます。

Darren Kane 氏 (00:10):
Rodgers さん、このような機会をいただき、ありがとうございます。

Clarke Rodgers (00:11):
今日は楽しみにしていました。早速ですが、ご自身、経歴、NBN での役割についてお聞かせいただけますか?

Darren Kane 氏 (00:18):
はい。私は 4 人の子どもを持つ父親であり、1 人の人間の夫でもあります。現在は、オーストラリアの National Broadband Network で Chief Security Officer を務めています。これは政府が完全に所有する企業で、オーストラリア全土の約 860 万の施設に卸売ブロードバンドサービスを提供しています。これにより、1,100 万以上の施設への接続が可能となっています。

私はこの役割を 8 年ちょっと務めています。以前は、Telstra で企業セキュリティを指揮するなど、セキュリティ関連の役割に 11 年半従事していました。その前は、政府、Australian Securities Investment Commission で 6 年半勤務していました。これは米国の SEC のような組織です。その前は Australian Federal Police に約 13 年間勤務していました。したがって、私の経歴は主に法執行とセキュリティ分野に集中しており、合計で 40 年近くになります。

Clarke Rodgers (01:05):
すばらしいですね。さて、私は多くのお客様の CISO と会い、CISO の役割が時間とともに進化するのを目にしてきました。ここ 10～15 年で、セキュリティオフィスは着実に進歩を遂げており、セキュリティオフィサーは私たちに不可欠な役割となったと言えるでしょう。セキュリティオフィサーは地下室にいて、どうしても必要なときだけ連れ出すというようなジョークもあります。現在では、CISO は取締役会に定期的に報告を行っています。CISO は経営幹部の一員であり、ビジネス全体の一部となっています。ご自身の経験の中で、そして特にオーストラリアにおいて、その役割がどのように進化してきたのかについてのお考えをお聞かせいただけますか?

Darren Kane 氏 (01:44):
最初に、CISO、すなわち Chief Information Security Officer の役割は非常に重要です。企業がより効率的かつ効果的になり、テクノロジープラットフォームを基盤として構築され、デジタル時代に突入する中で、その分野におけるセキュリティリスクを管理する CISO の役割は飛躍的に増大しました。しかし、そのことは、これらのテクノロジープラットフォーム上に存在するあらゆるものにも当てはまります。

そのため、情報セキュリティのみに焦点を当てるという CISO の役割は、ほとんど時代遅れになっています。CISO は現在、プライバシー、インシデント対応、事業継続性など、特に運用テクノロジーに関する問題に注力することが求められています。そして、アクセスポイントを構築するためのアクセスコントロールシステム、デジタルフォレンジック、調査の要件などがある中で、CISO の役割はますます大きくなっており、情報セキュリティ以外の問題についても対応する必要があります。

したがって、私は「I を捨てる」ことを提唱しています。 今日の大企業の役割において CISO を設ける必要がある場合には、本当は CSO を設けるべきだと私は考えます。そして、私が言及した責任領域はすべて、今日では非常に重要です。信頼できるインサイダープログラムから、プライバシーとプライバシー侵害、インシデント対応まで、これらは一連の大きな責任となっています。そして、それが 1 つの合理的な取り組みであることについて、CEO、経営幹部、取締役会が確信できるようにするために、1 人がそれに責任を負うのは珍しいことではありません。今日、その役割を担うのが CSO です。

また、現代の企業や組織において、CISO と CSO の両方の重要性が非常に高まっているということも付け加えておきたいと思います。取締役会、経営幹部、特に政府は、セキュリティがもたらすリスクを理解するようになりました。したがって、その責任を所有することとされた個人は、より重要な役割を果たす必要があり、管理して率いるだけでなく、明確に説明し、コミュニケーションできることが期待されています。

Clarke Rodgers (03:57):
最初にお伝えしたいのは、私は「I」を捨てる人を好ましく思っているということです。 T シャツに書いておくべきメッセージですね。その点を少し深掘りさせてください。組織全体のリスク管理についてお話しいただきました。Chief Security Officer の役割、あるいは Chief Information Security Officer の役割にある人は、ビジネスの観点から組織にイノベーションを起こして成功を収める必要性と、セキュリティの観点から行う必要があるすべてのことのバランスをどのように取りますか? リスク、コンプライアンス、プライバシーの観点からお伺いしたいと思います。 お客様のためにイノベーションを続けながら、そのセキュリティの側面をビジネスリーダーにどのように「売り込む」のでしょうか?

Darren Kane 氏 (04:40):
それは困難なことです。疑いようもありません。誰もが適切に対応できなかったことがあると思います。私も同じです。私は、私たちが責任を負っているリスクを理解し、認識するよう、ビジネス部門に継続的に働きかけています。このような働きかけを通じて、私たちはしばしばリスクが破局的なものであるかのように伝え、さらなるリソースや資金の支援を受けてリスクに対処するよう、ビジネス部門に要求することになります。リソースの調達とは、つまりワークフォースのことです。

また、それはリスクを認識することでもあります。これも私たちが管理していました。ビジネス部門がリスクを理解および認識するよう、私たちがあらゆる種類の努力をしていたしばらくの間は、それがうまくいっていたと思います。しかし最近では、ご質問に関連して述べると、ほとんどの有能な取締役会や経営幹部は、セキュリティリスクについて驚くほど深く理解しています。取締役会や経営幹部が問題にしているのは、そのリスクを制御するために私たちが何をしているのか、そして許容可能な範囲内でどのようにそのリスクを管理するのかということです。

ご質問に関連して述べると、リスクを破局的なものとして売り込み続けるだけなら、それはうんざりするメッセージとなります。そのため、私は、協力的な経営幹部や理解のある取締役会と協力し、これらの経営幹部や取締役会が、適切なセキュリティの成熟度、強力な体制、ハイジーンの重要性、そして、そこからどのようなメリットや機会が得られるかを理解するのをサポートするというアプローチを採用しています。私たちが成功を収めるために許容可能な範囲でリスクを管理しているという安心感を経営幹部や取締役会が得たとしたら、資金をビジネスの別の領域、例えば回復力に関する領域に用いることができるのではないでしょうか?

Clarke Rodgers (06:21):
確かにそうですね。

Darren Kane 氏 (06:21):
夜にはもう少し安心して睡眠をとることができ、ワークフォースなど他の問題に集中できるのではないでしょうか? したがって、セキュリティは「No」を突き付けるものでも、阻害要因でもなく、イネーブラーとみなされるべきである、というのが私のアプローチです。思い付く限りで最適な例えとして、企業を高性能の自動車、CEO を運転手と考えます。自動車には自動車を停めるためにブレーキがあります。このブレーキがセキュリティグループです。そして、これが私たちについて極めて一般的に認識および理解されているところです。

私はこれに同意していません。自動車の運転手である CEO が、その自動車のパフォーマンスを限界まで引き出すためにブレーキがあると私は考えます。

Clarke Rodgers (07:06):
より速く走らせるためですね。

Darren Kane 氏 (07:07):
必要なときにはブレーキを踏めば停止できるという確信と知識に基づいて、そのパフォーマンスを限界まで引き出して走行するのです。実際の場面では、セキュリティグループにより、ビジネス部門はパフォーマンスの限界ぎりぎりで走行できるのです。

Clarke Rodgers (07:22):
すばらしい例です。ありがとうございます。あなたはご自身で取締役会に報告していますか?

Darren Kane 氏 (07:25):
はい。Ordinance Committee を通じて、および取締役会で必要に応じて、頻繁に報告しています。ただし、義務として年に 2 回は必ず報告しています。そして、もちろん経営幹部に対しても報告します。私は経営幹部の直属の部下であり、必要に応じて頻繁に報告します。

Clarke Rodgers (07:40):
具体的な内容には触れませんが、取締役会や経営幹部は最近どのような情報に興味を抱いていますか? と言うのも、長年の間、「私はこれだけ多くのマシンにパッチを当てました。当社にはこれほど多くの脆弱性がありました。これらの脆弱性に対処するために、この新しいセキュリティソフトウェアを導入しました」というようなことが話されてきたからです。 取締役会や経営幹部は、今でも細かい技術的な点に興味を抱いていますか? それとも別の方法でリスクを伝えていますか?

Darren Kane 氏 (08:10):
私は別の方法でリスクを伝えています。今言われた内容は非常に詳細で、取締役会よりも、経営報告として EXCO に伝えることの方が多いものです。しかし、私は CSO (Chief Security Officer) であるため、860 万の施設に対する卸売アクセスを含む、NBN 全体のあらゆるセキュリティリスクに対する企業責任を負っています。オーストラリアの全データの 85%～86% が当社のネットワークを通過します。

Clarke Rodgers (08:39):
すばらしいですね。

Darren Kane 氏 (08:40):
そのため、取締役会や経営幹部に説明する際には、極めて全体的な観点から説明をするように心がけています。何らかの目標を達成するよう求められた場合には、より詳細なデータを提供します。しかし、今日の環境では、地政学的問題、脅威に満ちた環境、ウクライナの問題、インド太平洋の問題、サプライチェーンの問題などが極めて重要です。もちろん、世界中の他の地域と同様に、サイバーリスク、国家、サイバー犯罪も重大な問題です。

したがって、私が報告し得る問題の範囲は非常に広範にわたります。具体的にサイバーセキュリティに焦点を絞って質問された場合には、もちろんそれについて、また、それを管理するために当社がどのようにコントロールを設けて対応しているのかを詳しく説明します。しかし、私は折に触れて、より広範で全体的な視点から報告するよう努めています。

Clarke Rodgers (09:36):
通常、リスクを損益や金額の観点から定量化していますか? 私が知りたいのは、もし私が取締役会のメンバーだったら、どのような言葉で話したいかということかもしれません。そして、あなたはどのように会話を取締役会のメンバーに合わせて適応させているのでしょうか?

Darren Kane 氏 (09:52):
すばらしい質問ですね。先ほどおっしゃった点については、従来は難しい指標です。しかし、将来的には、定量的な分析と、ビジネスの言葉でリスクを明らかにする能力が必要になると私は考えています。組織は金銭的な側面とセンスに基づいて行動します。S-E-N-S-E と綴るセンスです。そのため、取締役会や EXCO などに説明する際に、「アタックサーフェス」、「内部脅威」、「不正行為者」などの言葉を使用するのは適切ではないと思います。 私たちの業界における最近の例や傾向である「ゼロトラスト」さえも適切ではありません。

Clarke Rodgers (10:32):
確かにそうですね。

Darren Kane 氏 (10:33):
私は、取締役会や、私と一緒に働く人たちから信頼を得ることに努めています。そのため、このような専門的な言葉を用いようとするのは、私が試みていることをこれらの人々に知らせる上で有害でしかありません。定量的な分析と金銭的な指標を用い、リスクをその全体的なコストと管理コストを対比したものとして実際に特定し、その後に残留するリスクを明らかにするのが、おそらく最良のアプローチだと考えます。完璧ではありませんが、私はこのようなアプローチに取り組んでいます。

Clarke Rodgers (11:02):
すばらしいです。では、少し話題を変えて、人員配置について考えてみましょう。 私はこれまでに、「もう十分」という意味で、自社のセキュリティ担当者の人数に満足している CISO や CSO に会ったことがありません。 より多ければより適切に対応できます。そして、追加のセキュリティ担当者を雇用することなく、セキュリティチームを組織全体にスケールする方法について、さまざまなアイデアを持つ人々と話をしてきました。セキュリティスタッフの人数が限られている可能性がある中で、NBN では、セキュリティを全社的に浸透させるためにどのように対応していますか?

Darren Kane 氏 (11:46):
私は人材の維持だけでなく、人材の入れ替えにも目を向けています。ある意味、入れ替えにより重きを置いているとも言えます。人材を維持するために私がオファーできる金額には限りがあります。人材を維持するために私がオファーできる昇進、能力開発、その他の機会は限られています。

結局のところ、業界は人材を必要としています。もし私が獲得した人材が転職することを決めたのであれば、私は幸運を祈りつつ、その人を送り出します。私の仕事は、引き継ぎと人材管理を通じて業務が円滑に遂行されるようにすること、組織に引き付けた人が、その穴を埋めるための能力を備えているようにすることです。そのため、私は大学院プログラムと最近のインターンシップに重点を置いており、それを非常に誇りに思っています。少しお時間をいただければ、簡単に説明します。

Clarke Rodgers (12:35):
ぜひお願いします。

Darren Kane 氏 (12:37):
私たちが認識したのは、卒業生とインターンの取り組みにもっと多様性が必要であるということでした。そこで、SLT とセキュリティグループのシニアメンバーは、Box Hill TAFE をターゲットにしたのです。これは米国で言うコミュニティカレッジのようなものです。それはビクトリア州メルボルンの Box Hill TAFE であり、当社はサイバーセキュリティの分野でキャリアを築こうとしている人々にインターンシップを提供しました。セカンドキャリアや仕事への復帰を考えている人々をターゲットにしようとしたところ、これまでサイバーセキュリティの経験がなかったすばらしい女性を 5 名も獲得することができました。これらの女性は、育児やその他の理由で仕事を離れ、仕事に復帰することを目指していた人々でした。

Clarke Rodgers (13:18):
すばらしいですね。

Darren Kane 氏 (13:19):
当初 6 か月間のインターンシップを提供しましたが、このような時期であっても、当社はその期間を延長したいと考えました。そして当社は、彼女らを雇用する機会があれば確実に雇用することを目標としました。しかし、それが不可能であっても、当社は彼女らに業界での 12 か月間の経験を与え、当社以外でのポジションに応募した際に、履歴書にそのことを記載できるようにしました。最近その中の 1 名が 4 大コンサルティング企業の 1 社に採用されたことをとても喜ばしく思っています。

Clarke Rodgers (13:46):
すばらしいです。

Darren Kane 氏 (13:47):
また、他の人々に適切な役割を与えることにも尽力しています。これらのインターンや女性たちと話をすると、本当に有能であることがわかります。これらの人々は優れた能力を発揮するための機会やチャンスを求めています。これは、私たちの業界全体が世界的に見習うべき例だと思います。つまり、ほとんどの場合において、ビジネスで雇用する必要があるのは、すばらしい態度と好奇心を備えている人材だということです。必ずしもハードスキルを備えている必要はありません。なぜなら、採用すべきは態度であり、スキルは訓練できるからです。

そこで、ご質問に簡単にお答えすると、私は人材の維持よりも入れ替えにより重きを置いています。そして私は、過去にセキュリティグループに所属し、別の場所に移っていった人々を非常に誇りに思っています。過去に NBN に所属していた人々のうち、8～9 名の人々が現在メルボルンで CISO の職に就いています。

Clarke Rodgers (14:37):
すばらしいですね。

Darren Kane 氏 (14:38):
はい。したがって、私の意見としては、NBN を成長させることと同様に、業界を強化することも重要です。

Clarke Rodgers (14:47):
インターンプログラムに関するお話には感銘を受けました。ご存知のとおり、私は多くの CISO と話す機会があります。そして、これらの CISO は、チームの多様性、意見の多様性、バックグラウンドの多様性、経験の多様性について話します。あなたのチームにおけるそのような多様性についてお聞かせいただけますか? 誰もがコンピュータサイエンスのバックグラウンドを持っているわけではなく、誰もが熱心なセキュリティ研究者であるわけでもありません。人事部門に所属していた人や、財務のバックグラウンドを持っている人が、結果的に優れたセキュリティの実務者になったという事例もあるかもしれません。

Darren Kane 氏 (15:19):
ご質問はまさに私が考えていることに関するものなので、つい微笑んでしまいますね。私は、村を守ろうとするのであれば、さまざまな経歴を持つ村民が必要だという事実を強く信じています。すばらしい話があります。知り合いから連絡がありました。この人は、パンデミックの最中、ロックダウン中、オーストラリアの国営航空会社の 1 社で働いていました。非常に上級のスタッフであり、Airbus の他の機長を訓練した機長です。彼は仕事を失いました。最終的には、コミュニティカレッジ、つまり Box Hill TAFE に通うことになり、LinkedIn で私に連絡してきました。興味深い話ですよね。

そこで私は当然、「興味深いですね」と答えました。 そして、「それで、これからどうしますか?」と言いました。 私は知らなかったのですが、彼はしばらくして NBN でのポジションに応募し、当社は契約社員として彼を採用しました。

Clarke Rodgers (16:08):
なるほど。

Darren Kane 氏 (16:09):
彼はこれまで飛行に情熱を傾けてきましたが、以前は西オーストラリア州の法執行機関に勤務していました。クロスオーバーが少しあったのです。

Clarke Rodgers (16:19):
そのようなつながりがあったのですね。

Darren Kane 氏 (16:20): はい。つながりがありました。当社は彼と 12 か月間の契約を締結しました。彼が所持していたのは、Box Hill TAFE の認定コースでの 12 か月間の トレーニングだけでした。当然ながら、リーダーとしても管理者としても優れた能力を備えていました。もちろん、Airbus や Boeing を操縦するハードスキルも備えています。

彼は信じられないほどの成功を収めました。まさにぴったり適合したのです。当社は、彼をフルタイムで迎え入れることを強く希望していました。パンデミックが終わり、私たちは元どおりの生活に戻ろうとし始めました。当社が提示したポジションを彼が受け入れようとしていたまさにそのとき、航空会社からも、戻ってきて常任上級機長の職に就かないかというオファーがあったのです。その後、その経験を経て空に戻った彼についてのすばらしい記事を目にしました。 

Clarke Rodgers (17:14):
本当にすばらしいです。

Darren Kane 氏 (17:15):
はい。あなたがおっしゃった点に関するすばらしい例ですよね。経験も能力も関係ありませんでした。重要なのは、コミュニケーションスキル、熱心に取り組む能力、そして学習意欲だったのです。そのような特性、またはそれらすべての特性を備えた人材を見つけることができれば、成功できることがわかりました。なぜなら、そのような人材が求めているのは機会だけで、機会はそうした人材とともに成長するものだからです。

Clarke Rodgers (17:41):
そして、さまざまな視点がセキュリティ部門のあらゆる側面で非常に役に立つということですね。

Darren Kane 氏 (17:46):
そのとおりです。また、オーストラリアでは、言語についてはそれほど多様性がないため、言語スキルはそこまで重要ではありません。しかし、出自の多様性、宗教の多様性、ジェンダーの多様性がますます重要になってきています。有能なリーダーやマネージャーは、多様性の重要性と、多様性がチームにもたらしてくれるものを理解するはずです。

Clarke Rodgers (18:13):
NBN が 860 万ほどの顧客を抱えていることに加えて、貴社が保有するすべてのデータセンターや、テクノロジーがすべての人々の生活に拡大し続けているという事実を考えると、NBN が自社のリソースを管理し、それについて考える方法において、持続可能性はどのような役割を果たしているのでしょうか? 顧客に影響はあるでしょうか?

Darren Kane (18:34):
NBN が製品として提供しているのは、人々がどこからでも在宅勤務することを可能にするものです。カーボンフットプリントの問題やオフィスのペーパーレス化の問題に対応する必要があります。カーボンフットプリントを改善するためのテクノロジーを利用しているため、いくつかの領域では、カーボンフットプリントを残さないようにすることができます。

860 万の施設が接続されており、各所には複数の人がいる可能性があります。しかし、このような状況は、オーストラリアの情報格差を解消し、アクセスを必要とするすべての人々がアクセスできるようにするだけでなく、テクノロジーを活用してカーボンフットプリントを削減できるように取り組む機会でもあると考えています。

在宅勤務について考えてみると、最近の COVID によるロックダウン中にインフラの観点からオーストラリア経済を救ったのは、道路や鉄道ではなく、接続性であったと私は信じています。

Clarke Rodgers (19:33):
確かにそうですね。

Darren Kane 氏 (19:34):
そして、そのテクノロジーを通じて、人々は新しい働き方を知ることができました。これにより、オーストラリアの遠隔地や田舎に住むより多くの人々にとって、ハイブリッドワークやリモートワークが可能になり、職場と自宅の間を往復する必要がなくなることで、カーボンフットプリントが削減されます。

したがって、テクノロジーと、特に接続性を介した今後のテクノロジーの実際の利用方法は、二酸化炭素排出量の削減とより高い持続可能性を提供するものになると考えています。

Clarke Rodgers (20:09):
よくわかりました。目の前に水晶玉がないことは承知していますが、1 つお聞かせください。Kane さんはセキュリティ業界で 40 年近く、あるいは 40 年ちょっと働いているとおっしゃっていたと思います。今から 5 年後、どのようなことが話題になっていると思いますか?

Darren Kane 氏 (20:26):
2025 年になると、私が業界に入ってから 40 年が経つことになります。私たちが現在直面しているような脅威に満ちた環境をこれまでに経験したことはなかったように思います。私は生成系 AI と機械学習が機会と技術進歩という形で業界に恩恵をもたらしてくれると信じていますが、この業界に属する私たちがこれらの恩恵を完全に理解できるとは考えていません。脅威に満ちた環境はさらに激化することになるかもしれません。それは本当にエキサイティングなことだと思います。

データとデータ量は急増し、それを管理する能力が必要になると思います。おそらく私は、セキュリティのリスクについて、コミュニティがセキュリティ確保の業務をその依頼先に任せきりにしないようにすることが必要だと考えています。この意味がおわかりでしょうか? 今後、セキュリティは全員の責任になる、と私は考えているのです。

Clarke Rodgers (21:34):
興味深いですね。

Darren Kane 氏 (21:35):
「あなたは Chief Security Officer であり、チームがそのリスクを所有しているのです」と言うことはできません。なぜなら、そのリスクは、その領域に全員を関与させることによってのみ、許容範囲内で管理できるものだからです。出入りするドアを確実に施錠する清掃員、リンクをクリックしたことすら理解していない、慎重さを欠く人差し指を持った多忙な PA、そして当然ながら、会社を守る部門のサイバーセキュリティの専門家や CISO など、すべての人々に関与してもらうのです。今後 3～5 年間に、これらの人々全員が、リスクを管理するためのコントロールの導入方法を認識し、理解する責任を負っています。

そして、これらの人々が何かを見たり、何かをしたりしたかもしれないと思ったときに声を上げるように奨励して、当社がそれに対応できるようにする必要があると考えます。フィッシングに関する訓練などは、学習体験の例と言えるでしょう。それは懲罰的な経験であってはなりません。

Clarke Rodgers (22:37):
将来そのような状態になるとすると、セキュリティ文化の観点から、セキュリティ以外の業務に従事している人々の認識を高めて、常にセキュリティについて考えてもらえるようにするために、現在どのようなことを行っていますか?

Darren Kane 氏 (22:54):
最も重要なことは、リスクが破局的なものであるかのように認識されないようにすることだと思います。そのため、私が心がけているのは、常に「リスクがあるからやめましょう」と言うのではなく、良い点を宣伝し、機会があると示すことです。 もう一度自動車の例えに戻るなら、ブレーキは必要があれば踏むことができます。外に出て人生を楽しみましょう。

Clarke Rodgers (23:13):
すばらしいです。Kane さん、本日はご参加いただき、ありがとうございました。

Darren Kane 氏 (23:15):
こちらこそ。このような機会をいただき、感謝いたします。すばらしい時間を過ごしました。ありがとうございました。