経営幹部におけるセキュリティリーダーシップの進化

Clarke Rodgers (00:09):
Rothe さん、本日はご参加いただき、ありがとうございます。

Chris Rothe 氏 (00:11):
こちらこそ。ご招待いただき、ありがとうございます。

Clarke Rodgers (00:13):
ご経歴と Red Canary での役割について簡単に教えていただけますか?

Chris Rothe 氏 (00:17):
私は Red Canary の CTO であり、共同創業者でもあります。当社は検出応答の分野で事業活動を行っています。会社を設立する前は、衛星データ処理の業務に従事していました。これは「多くのデータを収集して、興味深いアルゴリズムを適用する」仕事です。 そしてアナリストに興味深いデータを渡し、意思決定を行えるようにします。これは、ついでながら、サイバーセキュリティの分野で当社が行っていることと非常によく似ています。

Clarke Rodgers (00:39):
Rothe さんはサイバーセキュリティ業界に長い間携わっていますね。CISO については、以前は地下室にいたが、今は役員室にいる、という冗談がよく聞かれます。その進化をどのようにご覧になってきましたか?

Chris Rothe 氏 (00:49):
私が最も大きな変化としてとらえているのは、CISO が技術的な性格を薄め、より政治的な役割になったことです。組織全体のセキュリティの擁護者となり、セキュリティを文化に組み込むことが重要となったということです。さらに、SaaS プラットフォームを所有する当社のような企業にとって、CISO は、私たちがデータを保護していることを、お客様に確実に信頼してもらう上で、極めて濃密にお客様と関わる役割でもあります。 

Clarke Rodgers (01:16):
Rothe さんは自らの役割においてお客様と話すとき、セキュリティのビジネス価値をどのように説明しますか?

Chris Rothe 氏 (01:21):
結局のところ、ビジネスリスクとは財務リスクのことです。それは、業界ごとにさまざまな形をとります。金融サービス業界では評判が重要であり、お金に関して人々から信頼を寄せてもらえるかどうかが重要です。製造業やヘルスケアなどの業界では、機械の動作を継続させることや、ヘルスケアのシナリオで人々の生命が維持されるようにするという運用上のリスクです。

ですから実際にはそれがすべてです。金銭的なことから、実際に 1 USD の支出ごとにリスクをどのように減らすことができるかというところまで話を持っていくことができれば、真に成功した会話となる可能性があります。

人々が話したいのは別のことである場合があります。これらの人々は、技術的な側面や、現在起こっているセキュリティインシデントの数を減らすためにどのようにサポートしてもらえるのか、など、サイバーセキュリティのトピックについて話したいと考えています。それもすばらしいことです。最終的には、これらのすべてのトピックは、ある時点で金銭的な会話につながっていきます。

Clarke Rodgers (02:06):
セキュリティチームの有効性を高めるとともに、個人で作業を進めるデベロッパーがセキュリティに気を配り、日常業務の中でセキュリティについて考えるようにするために、Red Canary の社内ではどのように対応していますか?

Chris Rothe 氏 (02:22):
それは当社にとって非常に重要です。セキュリティ企業として、当社はより高い基準を求められています。したがって、社内の全員が当社のビジネスとお客様のビジネスのセキュリティに配慮することが重要です。セキュリティへの配慮をすべての人の役割にとって当たり前にするために、当社が長年にわたり行っていることとして、ソフトウェア開発ライフサイクルで、すべてのスクラムチームに製品セキュリティスペシャリストを一員として配置していることがあります。これらのスペシャリストは、スプリント計画、事前計画の一部に含まれています。「さぁ、デザインをまとめて、それからセキュリティ部門に問題ないか確認しましょう」というようなものではありません。 これらのスペシャリストと一緒に作業を進めるのです。これは非常に基本的な要素です。

2 つ目は、セキュリティチェックや静的分析、その他私たちが行うあらゆることを、デベロッパーの作業に初めから組み込むことです。CI/CD パイプラインに統合するのです。必要かどうかを考える必要はありません。コードをマージする前に、これらすべてを通過する必要があるのです。これらはデベロッパーの業務に沿ったもので、ほとんどの場合、支障をきたすことはありません。

Clarke Rodgers (03:17):
どの業界でも、セキュリティ人材を見つけるのは非常に難しいです。 セキュリティ人材を雇用するか、維持するか、トレーニングするかのいずれかが必要ですよね。Red Canary では、セキュリティの専門家の力を強化するためにどのような戦略を用いていますか?

Chris Rothe 氏 (03:31):
AWS の用語を借りるとすれば、当社はチームのセキュリティの専門家が、単に反復的で「差別化につながらない」手間のかかる作業を行う必要がないようにしたいと考えています。

Clarke Rodgers (03:40):
なるほど。

Chris Rothe 氏 (03:40):
1 日の約 60% を超える時間をそのような作業に費やす必要がないようにしたいのです。60% というのはちょうど目安のようなもので、それを超す時間が費やされていると、セキュリティの専門家が仕事の繰り返しに飽き始めます。そこで当社は、これらの専門家が使用できるツールや、オートメーションの構築を通じて、そのような状況が生じないようにしています。繰り返しのパターンを見つけて、ML や AI などであるかにかかわらず、これらの専門家に代わって差別化につながらない手間のかかる作業を行うためのツールを構築することによってこれを実現しているのです。これにより、これらの専門家はより興味深い仕事に注力できるようになります。

Clarke Rodgers (04:09):
ツールとオートメーションについて言及がありました。生成 AI が最近大流行していますよね。 一方ではセキュリティの実践者として、すなわち「これを使用するリスクをどのように管理するか?」ということを考える者として、他方では生成 AI がもたらすことのできるメリットについて考えるビジネスオーナーとして、それについてどのようにお考えでしょうか? 少しお話しいただけますか?

Chris Rothe 氏 (04:31):
リスクの観点からは、当社の取り組みの出発点は、「誰が所有しているか不明な AI によって作成されたコンテンツを使用しないように、適切な保護を確実に導入しよう」ということだったと思います。 そこで、それに対処するためにいくつかのガードレールを設けました。

しかし一般的には、当社は Red Canary チームの全員が、自分の役割にふさわしい方法で生成 AI を使用することを望んでいます。お客様との電話がうまくいったばかりの営業担当者がフォローアップメールを作成する必要がある場合は、それを迅速化して、コミュニケーションの質を高めてもらいたいと考えています。なぜなら、おそらく 1 時間かかるところを 5 分で完了でき、最終的には、それがお客様にとっても、当社にとっても良いことだからです。これが当社のアプローチです。誰もが安全な方法でそれを使用できるようにすることを目指しています。

しかし当社はまだ、「どのような落とし穴があるのか」、「それに関連する課題は何か」、「生成 AI に関連して、今後数年間でどのような法的問題が発生し得るか」を完全に理解するには至っていないと思います。 具体的にセキュリティの分野でどのように使用しているかという点については、コパイロットの構造またはアイデアは当社が非常に気に入っているものの 1 つです。

当社は何年もの間、セキュリティプラットフォームを、これは少しばかげた例えですが、MechWarrior のスーツのようなものと考えてきました。比較的普通の兵士をロケットランチャーを備えたクレイジーな機械に乗り込ませると、より速く走ったり、より高くジャンプしたりできるようになりますよね。生成 AI は、それをさらに進めて、調査プロセスをより迅速、完全、正確にする方法を理解し、最終的に脅威をより早く発見して阻止できるようにするために、いくつかの優れた新しいツールを提供してくれます。

これらは当社が検討している適用例の一部です。セキュリティにおける大きな課題は、結局のところ、進めるのに十分な人材がいないことです。だからこそ、プラットフォームとサービスをより安全にするという観点から、AWS が一歩ずつ着実に進める取り組みが非常に重要なのです。そして、その世界の外では、セキュリティの専門家というかなり希少なリソースを活用し、付加価値を生まない作業に従事させることでやる気を失うことがないようにすることが重要です。こうした専門家たちに、すばらしいことを成し遂げられるようにするツールを提供するのです。

Clarke Rodgers (06:42):
関連して、Rothe さんは多くのお客様と話をする機会があり、それらのお客様の多くは複数のクラウドを利用していますね。セキュリティの側面、つまり複数のクラウドを保護する際に起こり得る課題について、どのように助言していますか?

Chris Rothe 氏 (06:58):
一般的に、当社は「使用しているプラットフォームがクラウドであれオンプレミスであれ、データやアクセスについて同じ一連のコントロールと、同じ理解を確実に持つようにしましょう」と助言しています。 それは一種のベースラインのレイヤーです。誰がアクセスできるのか、何にアクセスできるのか、問題が起こった場合にどのようにそれを把握するのかを知っておくようにしましょう、ということです。

Clarke Rodgers (07:21):
そして、これらのお客様が自ら定義しているセキュリティの成果も同じであるべきということですね?

Chris Rothe 氏 (07:25):
そのとおりです。そして、特定のクラウドプラットフォームなどでその成果が得られない場合は、それについて再考し、その使用を続けるべきかどうかを検討する必要があるかもしれません。セキュリティが基本的なものではなく、そのようなベースラインの一連のコントロールで本来あるべき態様で実現できないのであれば、それがアーキテクチャに組み込まれている意義はあるでしょうか?

マルチクラウドに関連する戦略には多大な労力が費やされているため、これらの議論は難しいものです。しかし最終的には、どのようなコントロールを導入する必要があるのか、そして不正行為者をどのように見つけるのかを理解することが出発点になると思います。それに答えられない場合は、アーキテクチャまたは戦略を再考する必要があります。

Clarke Rodgers (08:07):
すばらしい視点ですね。Rothe さん、本日は対談に参加していただき、本当にありがとうございました。

Chris Rothe 氏 (08:12):
こちらこそ、お招きいただき、ありがとうございました。感謝しています。