今日のセキュリティリーダーは、ベンダーとの関係、タレントパイプライン、ディープフェイクやランサムウェア・アズ・ア・サービスのような新たな脅威に注目すべきです。
メグ・アンダーソンは、約20年にわたりエンタープライズサイバーセキュリティを率いてきました。直近ではPrincipal Financial Groupの副社長兼最高情報セキュリティ責任者(CISO)を務め、サイバー戦略の策定や取締役会へのデジタルリスクに関する助言を行ってきました。
Cスイートの現場で培った経験から、アンダーソンはサイバー・レジリエンスやデジタルトランスフォーメーションに関する洞察で広く尊敬されています。また、次世代のセキュリティリーダーの育成に力を注いでいることでも知られています。
以下のインタビューで、今年のCSO殿堂入りを果たした12人のうちの一人であるアンダーソンが、サイバーセキュリティを形作るテクノロジー、変化し続けるCISOの役割、そして人材育成がかつてないほど重要になっている理由について語ります。
今注目している新興セキュリティ技術と、その理由を教えてください。
メグ・アンダーソン:金融サービス業界の引退したCISOとして、私は脅威の状況が初歩的なマルウェアから国家レベルの攻撃者や高度なランサムウェア・アズ・ア・サービスの運用へと進化するのを見てきました。
最近では、AIがリアルタイムで脅威を可視化し、ワークフローを自動化し、攻撃者の行動を予測できるフォースマルチプライヤー(力の増幅装置)として最も注目しています。大手セキュリティベンダーも新興スタートアップもAIに多大な投資をしているのは心強いことです。AIへの注力が検知精度や対応速度の向上につながることを期待しています。しかしご存知の通り、AIは攻撃者側にも武器化されており、それに対抗するためには同等に高度な防御が必要です。
また、データ保護やID・アクセス管理にも注目しています。これらはゼロトラスト、行動バイオメトリクス、適応型コントロールの進化により急速に変化しています。特にAIがこれらの分野をどう強化できるかに興味があります。
ディープフェイクの検出も非常に重要です。特に金融サービス業界では信頼がすべてです。悪意ある攻撃者が顧客や経営幹部、従業員になりすますことができるのは非常に憂慮すべきことです。音声や映像の真正性を確認する新しいツールの登場を注視しています。
私はワクワクしつつも慎重な楽観主義者です。ツールは賢くなっていますが、攻撃者も同様に賢くなっています。
CISOの視点から最も慎重になる技術と、その理由を教えてください。
メグ・アンダーソン:「戦略的な課題を解決しない“ソリューション”」には慎重です。CISOには予算もリソースも限りがあります。ツールが投資や戦略ロードマップのどこに位置するのかを理解する必要があります。新しい技術を試す余裕がある時もあれば、計画したイニシアチブに集中すべき時もありました。
しかし、計画に固執しすぎるのもよくありません。状況は変化します。新興技術を試す際は、何を学びたいのか、どう成功を測るのか明確な目標を持って意図的に取り組んできました。
ほとんどのCISOは、真にエンタープライズグレードになる前に市場に急いで投入される新興技術には当然慎重です。従業員が「みんなが使っている」新しいクールな技術を見れば、自分たちも使いたくなります。しかし、実験と迅速な導入を両立させるための適切なガードレールを見つけるのは難しいものです。
現在の技術革新のスピードをどう評価しますか?企業が追いつくためのアドバイスは?
メグ・アンダーソン:イノベーションのスピードは刺激的であり、同時に疲れるものです。しかし、すべてのパラダイムシフトを追いかけるのではなく、意図的であるべきです。ビジネス目標に結びつけて、自分たちのペースでイノベーションを吸収できる戦略を構築しましょう。ほとんどの企業は、すべての分野で最先端を追い続ける余裕はありません。それでいいのです。
重要なのは、これから何が来るのかを見通せることです。そうすれば、明日には既製品として買えるものを自分たちで作ってしまうことを避けられます。
あまり使われていない戦略の一つが、既存ベンダーとの関係を深めることです。私は常にチームに、ベンダーに対して厳しい質問を投げかけるよう勧めてきました。今後どんな技術が登場するのか?AIをどう統合しているのか?相互運用性に投資しているのか、それとも囲い込みを狙っているのか?そして同じくらい重要なのが、契約が柔軟性を持つようになっているか?ベンダーが画期的な機能や製品をリリースした時、迅速に方向転換できるか?という点です。
ベンダーとの親密な関係には信頼が必要です。しかし賢くベンダーを選べば、調達や統合の手間なく新しい機能を導入できます。
今後5〜10年の人材についての予測は?AIが新人の登竜門を奪うことを懸念していますか?
メグ・アンダーソン:これは、サイバーセキュリティチームの構築にキャリアを捧げてきた私たちにとって非常に重要な課題です。私は人材パイプラインに強い関心を持っています。
ログ分析やチケットのトリアージといった基礎的な作業が自動化されているのは事実です。しかし、AIが新人を排除するとは思いません。基準が変わるだけです。エントリーレベルの人材には、より高い批判的思考力や適応力が求められるようになります。AIの下ではなく、AIと共に働くことが期待されるのです。
こうした変化は初めてではありません。私が2008年以前に開発者としてキャリアを始めた頃も、自動化がコーディング、テスト、デプロイの方法を変えていました。10年後に雇われたプログラマーは、全く異なるツールキットとマインドセットを持っていました。
ですから、今日の職務記述書だけでなく、明日のスキルも見据えて採用することが重要です。メンターシッププログラムを構築し、若手スタッフをローテーションさせ、早い段階で戦略的思考に触れさせましょう。ツールは変わっても、サイバーセキュリティの世界で人間の判断力や倫理的思考は決して代替できません。
あなたのキャリアの中でCISOの役割はどう進化しましたか?今後のリーダーシップやビジネスへの影響についてどう考えますか?
メグ・アンダーソン:最大の変化は、CISOがニッチな技術リーダーから、企業全体に関与するリーダーへと役割が拡大したことです。
キャリアの初期には、チーム内の技術プラットフォームの構築に注力していました。しかし情報セキュリティが取締役会レベルの関心事となるにつれ、私たちのチームはビジネス成果に根ざした全社的なセキュリティ戦略へとシフトしました。単にシステムを守るだけでなく、企業が顧客、投資家、その他のステークホルダーに対して果たすべき約束を守ることが重要になったのです。この変化は、経営陣にサイバーリスクの適切な監督を求める圧力の高まりによって後押しされました。
サイバーのパフォーマンスがCスイートの目標や指標、年次インセンティブに組み込まれることで、セキュリティの責任はより明確になりました。これによりCISOの影響力も増しました。ソフトウェア開発の脆弱性やフィッシングの脅威、ベンダーのデューデリジェンスについての議論も、単なる技術的リスクではなく、予算やボーナス、ブランドの評判という観点で語られることで、より重みを持つようになりました。
役割が進化する中で、CISOはリスクマネジメントの議論の中心に居続ける必要があります。情報セキュリティチームの外でもサイバーリスクを考慮する機会が増えており、これは財務リスクの多くが財務部門の外で管理されているのと同じです。
引退後も企業のイノベーションやサイバーセキュリティ強化をどう支援していく予定ですか?
メグ・アンダーソン:現在、いくつかの企業にアドバイスをしていますが、正式な契約ではなく、サイバーセキュリティリーダーのメンターとして関わっています。彼らがキャリアの選択やリーダーシップの課題を乗り越えるのを支援するのは非常にやりがいがあります。何をすべきかを指示するのではなく、「なぜ」「どうやって」を一緒に考えることを重視しています。
引退の専門家が必ずしも教えてくれないことの一つは、専門知識が持ち続ける影響力です。オフィスを離れたその日になくなるわけではありません。むしろ、より純粋な形で残ります。しかし、その知識をどう活用するか――共有するのか、収益化するのか、自然に進化させるのか――は非常に個人的な決断です。
今、私が学ぼうとしている大きな教訓は「引退後最初の6ヶ月は何も引き受けない」ということです。思ったより難しく、今はその“間”を大切にしようとしています。しかし、次に何をするにしても、それは意図的で意味があり、自分が与えたい影響と一致したものにしたいと思っています。
サイバーセキュリティを形作るリーダーから学ぼう
メグ・アンダーソンは、CSO殿堂入りを果たしたセキュリティビジョナリーの一人にすぎません。CSOカンファレンス&アワードに参加し、トップCISOから直接話を聞き、戦略的なセキュリティの洞察を得て、組織のための実践的なガイダンスを手に入れましょう。今すぐ登録して席を確保してください。
ニュースレターを購読する
編集部からあなたのメールボックスへ
下記にメールアドレスを入力してスタートしましょう。