Trellix がセキュリティの最前線をリードし続ける方法

Clarke Rodgers (00:10):
Martin さん、本日はご参加いただき、ありがとうございます。

Martin Holste 氏 (00:12):
もちろんです。お招きいただき、ありがとうございます。

Clarke Rodgers (00:13):
ご経歴と、Trellix に入社したきっかけについて簡単にお話しいただけますか?

Martin Holste 氏 (00:16):
Trellix では CTO for Cloud を務めており、AI を含めた新興テクノロジーにも対応しています。

かなり前になりますが、私はウィスコンシン州のセキュリティオペレーションセンターの運営に 7 年間携わっていました。APT 攻撃といった攻撃が発見されたことから、ここではこれらに関する多くの事柄を身をもって学びました。

Clarke Rodgers (00:34):
そうなんですね。

Martin Holste 氏 (00:35):
とてもやりがいのある仕事でした。その後 Mandiant に移りましたが、そこからは本当に目まぐるしい経験をしてきました。Mandiant は FireEye に買収され、そこではクラウドについて多くの事柄を学びました。その後、FireEye は Trellix と合併しました。私は、Trellix での冒険を心底楽しんでいます。

Clarke Rodgers (00:49):
ずいぶん前からサイバーセキュリティ分野に携わっておられるのですね。ビジネスの観点から見ると、サイバーセキュリティはどのように進化してきたと思いますか? セキュリティチームは、何か悪いことが起こって、それに対処してもらう必要が生じるまでは地下室で待機させておくものだという冗談を言うことがよくありますが、今では取締役会に直接報告する CISO がいて、実質的なビジネスリーダーになっています。これまでに目にしてきた移り変わりについて少しお話していただけますか?

Martin Holste 氏 (01:14):
はい。私は、社内でも、お客様との連携においてもこの移り変わりを直接経験してきました。CISO は現在、取締役会と直接会話することが一般的になっています。取締役会が CISO から直接聞くことを求めているからです。取締役会は、何が起こっているのかをいつも正確に把握しておきたいと考えています。これは、過去 5 年間ほどで起こった確かな変化です。それ以前は、どちらかというと IT 部門、つまり CIO が報告する体制になっていました。これは、そういった状況が数年の間に変化したことをよく表していると思います。

Clarke Rodgers (01:42):
セキュリティオペレーションセンター (SOC) に関する深い専門知識をお持ちですが、SOC アナリストの燃え尽き症候群を避けるためには、どのようなベストプラクティスがありますか?

Martin Holste 氏 (01:54):
これは非常に重要な事柄です。世間で見られるスキルギャップを考えると、優秀な人材を失うわけにはいきません。そのため、こういった人材が退屈な作業を行うことがないように、可能な限り多くのオートメーションを利用できることが大きく貢献します。

つまり、スタッフが、特に対応中のインシデントといった事柄についてできる限り他の人と話している、または進行中のビジネスの可視性を得られるように物事が関連付けられていることを確実にする投資的な作業を行っている必要があるということです。

Clarke Rodgers (02:21):
よくご存じのことだと思いますが、SOC に限らず、より大規模なセキュリティチームについて考えても、最近は優秀なセキュリティプロフェッショナルを見つけて維持することが困難です。Trellix では、セキュリティ文化を育み、コードを書いている単独の開発者が実際にセキュリティに注意を払っていることを確実するために何をしていますか?

Martin Holste 氏 (02:43):
セキュリティは全員の責任であり、これは私たちの文化全体にも確実に組み込まれています。毎日悪者と戦っているときに、これを考えずにいることはできません。そこで、少し悪者の立場に立って考え始めます。開発者レベルの社員であっても、私たちの製品の仕組みと、それがお客様にとって重要である理由を理解してもらうように努めています。そして、強固な構築が行われていることを確信できるように、可視性などを最初から組み込んでいます。

Clarke Rodgers (03:06):
セキュリティ専門ではないプロフェッショナルに対してセキュリティを頭ごなしに強制するのではなく、「もっと良い結果が出せたはずだ」といったコーチ的な考え方を用いて行えるように導入しているメカニズムやベストプラクティスはありますか?

Martin Holste 氏 (03:20):
Trellix には、スタッフ全員が受ける多数のトレーニングプログラムがあります。それに加えて、私たちはセキュリティ企業として常に最前線に立っています。なので、これは私たちの全体的な文化における私たちの行動に深く根付いています。営業部門や経理部門に所属していても、私たちは常にセキュリティについて話しています。私たちがセキュリティの最前線に立っていること、セキュリティが全員にとって「0 番目の仕事」(job zero) であることを確実にしています。

Clarke Rodgers (03:44):
マルチクラウドや、複数のクラウドにまたがる複数のワークロードを安全にする方法などのトピックについてお客様に話すとき、どのようなアドバイスを提供していますか?

Martin Holste 氏 (03:55):
複雑さはセキュリティの敵です。そのため、最初にすることは、物事を可能な限りシンプルに行っていることの確認です。一般的に、クラウドの数をできるだけ少なくすることで、このシンプルさが大きく向上します。複数のクラウドがある場合に私がよく推奨するのは、1 つのクラウドをプライマリクラウドとして扱い、それ以外は基本的にオンプレミスとして、またはデータセンター的なアプローチで扱うということです。大抵の場合、これは、クラウドまたは非クラウドとしてシンプル化するために役立ちます。

Clarke Rodgers (04:21):
最近注目されているもう 1 つの話題は、生成系 AI です。同じような経験をお持ちだと思いますが、お客様と話すときの視点は 2 つしかありません。1 つ目は、前向きなビジネス的な視点からあらゆる可能性を考えること、2 つ目は、悪者や攻撃者の視点からあらゆる可能性を考えることです。生成系 AI についてはどうお考えですか? 生成系 AI は私たちをどこに導いていくと思いますか?

Martin Holste 氏 (04:47):
ビジネス面で言うと、生成系 AI を使い始める必要があり、そうしなければ遅れを取ることになります。このため、CISO として、社員が生産性を向上できるようにするだけでなく、それを安全な方法で行う手段を見つける必要があります。つまり、社員が生成系 AI を使用できるようにすると同時に、それを使用するときに社員とビジネスを守るためのコントロールとポリシーを設定する必要があります。

Clarke Rodgers (05:05):
Trellix では現在全員が生成系 AI を使用していますか?

Martin Holste 氏 (05:08):
はい。私は、標準的な業務で生成系 AI を可能な限り使用することを強く支持しています。Trellix では、社員が生産性を高めることができるように、あらゆる種類のさまざまな AI を使用する方法について社内で多くのトレーニングを行っています。これに併せて、社員が何かを本来あるべきでない場所に誤ってコピーして貼り付けることを不可能にするためのコントロールも導入しています。

Clarke Rodgers (05:29):
すばらしいですね。注目されているもう 1 つの話題はゼロトラストですね。 ゼロトラストの課題の一部分は、私と Martin さんとではこれが持つ意味が異なるかもしれないということです。ゼロトラストについてはどうお考えですか?

Martin Holste 氏 (05:38):
そうですね。これには 2 つの見方があります。私たちの視点では、これをエンドポイントから見ています。このエンドポイントは信頼に足るものなのか、 そうではないのかということです。 AWS Verified Access のリリースによって過去数年で起こった興味深い事柄の 1 つは、エンドポイントで私たちが認識している事柄と連動するポリシーをクラウド側で記述できるようになったことです。これは業界における大きな変化であり、これをどのように利用できるかを AWS のお客様と私たちのお客様の全員が理解することが非常に重要だと思います。

Clarke Rodgers (06:03):
Martin さん、本日は対談に参加していただき、本当にありがとうございました。

Martin Holste 氏 (06:06):
こちらこそありがとうございました。