このHelp Net Securityインタビューで、Booking HoldingsのSVP兼グローバル最高セキュリティ責任者(CSO)であるDevon Bryanは、空軍のネットワークセキュリティエンジニアから金融サービス、ホスピタリティ、旅行技術業界にわたるグローバルCSO(最高セキュリティ責任者)への道のりを振り返ります。
彼は、アイデンティティ、決済、ロイヤルティプログラム、サードパーティ統合が相互に接続された旅行業界のエコシステムがどのように複合的なリスクを生み出すのか、またAIがどのように脅威モデルを従来のインフラストラクチャを超えて、プロンプトインジェクション、モデルアクセス、シャドーAI採用を含むように拡張したのかについて論じています。Bryanはまた、セキュリティがビジネス上の決定にどのように関与すべきかを決定するためのフレームワークを共有し、技術的な深さだけでなく判断力が、優れたオペレーターと将来のエンタープライズリーダーを区別する理由について説明しています。
ほとんどのCSO(最高セキュリティ責任者)は技術的またはコンプライアンス的背景から昇進します。あなたのキャリアパスはどちらでしたか、またそのパスにおけるギャップはどこにあると感じていますか?
私の経歴は最初は技術的なものでした。空軍でネットワークセキュリティエンジニアとして始めましたが、そこでのマインドセットは非常に運用的でした。ネットワークを理解し、ミッションを理解し、敵を理解し、圧力下でシステムを動かし続けることです。そこから金融サービス、コンサルティング、重要インフラ、ホスピタリティ、そして現在のグローバル旅行技術へと移り、非常に異なるリスク環境と運用モデルに触れることができました。
技術的な基礎が与えてくれたのは、システムがどのように機能するか、攻撃がどのように進化するか、運用上の失敗が複雑な環境全体でどのようにカスケードするかを理解する信頼性でした。しかし、時間をかけて閉じなければならなかった最大のギャップは、技術的に「正しい」答えを超えて考え、セキュリティ、ビジネス成長、顧客体験、回復力、規制上の期待、実行速度の間の緊張に対応する方法を学ぶことでした。
キャリアの早い段階では、ストーリーテリング、影響力、組織的ダイナミクスがセキュリティリーダーシップに対して有効であることがいかに重要であるかを過小評価していた可能性があります。シニアレベルでは、人々はあなたがサイバーリスクを理解しているかどうかだけを評価しているわけではありません。彼らはあなたが不確実性の中で組織が耐久的な決定を下すのを支援でき、多様なステークホルダーを調整でき、単に技術機能の長をするのではなくエンタープライズリーダーとして運用できるかどうかを評価しています。これはエンジニアリングと運用からグローバルCISO(最高情報セキュリティ責任者)およびCSO(最高セキュリティ責任者)の役割への移行において、私にとって最大のマインドセットシフトの1つでした。最終的には、この役割はセキュリティと回復力とビジネス戦略が一緒にスケールできる運用モデルを構築するのを支援することについてです。
旅行業界は脅威行為者にとって特に魅力的な交差点に位置しています。財務データ、身分証明書、ロイヤルティポイント経済、地政学的ターゲットがすべて1つの場所にあります。これらの攻撃対象のうち、どれがあなたを最も不安にさせていますか、そしてなぜですか?
私にとって最も顕著なのは、エコシステムの相互接続性と、リスクがいかに迅速にそれを通じて伝播するかです。旅行はアイデンティティ、決済、ロイヤルティエコシステム、サードパーティ統合、グローバル運用、地政学的配慮を膨大な規模で一緒に持ち込みます。ある領域の混乱は、顧客、パートナー、従業員全体に及ぶ運用上、財務上、評判上の影響を生み出す可能性があります。
銀行、ホスピタリティ、そして現在の旅行技術業界で働いてきたので、攻撃者はますます個々のシステムだけでなく信頼関係と運用上の依存関係をターゲットにしていることを学びました。攻撃面はもはやあなたが直接所有しているものに限定されていません。それはベンダー、API、クラウド環境、パートナーエコシステム、そしてますますAI対応ワークフローを含んでいます。これが回復力が予防と同じくらい重要である理由です。私たちは多層防御、継続的な監視、強固なアイデンティティ管理、運用態勢に大きく焦点を当てています。なぜなら、グローバルに相互接続されたビジネスにおいて、迅速に検出、対応、回復する能力はイベントを防ぐこと自体と同じくらい重要だからです。
最終的には、より広いミッションは、何百万人もの人々が信頼を持って世界中を旅し、取引し、移動することを可能にする信頼エコシステムを保護することです。
生成AI(ジェネレーティブAI)は、ハイパーリアルなフィッシングから合成身元攻撃に至るまで、詐欺の新しいカテゴリーを生成しています。過去18ヶ月間、特にAIのせいであなたの脅威モデルはどのように変わりましたか?
AIは速度、スケール、アクセス可能性、精巧さを通じて脅威の風景を根本的に変えました。かつて専門的なスキルを必要とした脅威は、現在、より説得力を持ち、はるかに大量に実行できます。AIのため、フィッシング、なりすまし、詐欺、社会工学がより個人化され、多言語で、運用的にスケーラブルになっているのを見ています。
過去18ヶ月間で最も変わったのは、私たちの脅威モデルが従来のインフラストラクチャとアプリケーションセキュリティをはるかに超えて拡張されたことです。私たちはアイデンティティの整合性、AI生成コンテンツ、マシン対マシン信頼、モデルアクセス、プロンプトインジェクション、データ系統、サードパーティAI依存、および企業全体でのシャドーAI採用に関連する増加するリスクについて、はるかに深く考えています。
同時に、AIは防御能力としても重要になっています。私たちはAIを活用して、脅威検出、脆弱性優先順位付け、詐欺分析、セキュリティワークフロー全体の運用効率を改善しています。重要なのは、AIが攻撃者と防御者の両方にとって力の倍加であることを認識することです。つまり、組織はそれに楽観性と規律の両方で対処する必要があります。
セキュリティはしばしば参加することを求めていない会話に引き込まれることがあります。それはM&A(買収・合併)デューデリジェンス、製品戦略、または規制ロビー活動かもしれません。どこに旗を立てるべきか、そしてどこで身を引くべきかはどのように決めていますか?
現代的なセキュリティリーダーシップの現実の1つは、セキュリティがM&A(買収・合併)、AI採用、製品戦略、回復力計画、規制議論、または地政学的リスク管理であれ、ますます主要なビジネス会話の一部になっているということです。それは高度にデジタル化され、グローバルに相互接続されたビジネスで運用する性質です。
私にとって、旗を立てる場所についての決定は通常、4つのことに帰結します。信頼、回復力、規制上の露出、および体系的なビジネス上の影響です。決定が顧客の信頼、運用継続性、エンタープライズリスク態勢、または安全にスケールする私たちの能力に大きく影響する可能性がある場合、セキュリティはプロセスの早い段階で強い声を持つ必要があります。
同時に、私はセキュリティが永続的な拒否機能として機能することはできないことを長年にわたって学びました。特に大規模で分散した組織では、目標はすべての決定に対する集中的管理ではありません。それは、チームが受け入れ可能なリスク枠組み内で運用しながら迅速に移動できるようにする明確な基準、説明責任モデル、エスカレーションパス、およびガードレールを確立することです。セキュリティリーダーシップの成熟性は、どこで過度に対応しないかを知ることについてです。セキュリティがあらゆる運用上の決定に深く挿入される場合、摩擦と依存を作成します。最高のセキュリティ組織は確信を持った意思決定を可能にします。
ランクを通じて上がってきたセキュリティリーダーの次の世代を見ると、採用と開発でどのスキルが最も過小評価されていると思いますか?
サイバーセキュリティリーダーシップで最も過小評価されているスキルの1つは判断力です。技術的専門知識は重要ですが、判断力はリーダーが技術的信号を圧力と曖昧性の下で健全なビジネス上の決定に変換することを可能にするものです。キャリアの過程で、多くの技術的に優秀な人々がすべての問題を技術的問題として見なし、タイミング、運用上の現実、顧客への影響、法的配慮、組織的ダイナミクス、およびリスク耐容度に関する幅広いビジネス上の文脈を理解していないために苦しんでいるのを見てきました。
判断力はコミュニケーションにも現れます。複雑さを単純化し、異なる聴衆にリスクを明確に伝え、エンジニアリング、法律、財務、運用、および経営陣全体で信頼を構築する能力は、ますます優れたオペレーターと将来のエンタープライズリーダーを区別しているものです。
新興の才能を見るとき、私は好奇心、適応性、圧力下での沈着さ、および誰かが技術的な快適ゾーンの外で効果的に運用できるかどうかに注意深く注意を払います。業界はセキュリティリーダーがAI、地政学的不安定性、規制拡大、サプライチェーンの複雑性、およびますます自律的なシステムすべてを同時に移動する必要がある世界へ移動しています。次の世代のリーダーは技術的な深さ以上のものが必要になります。彼らは、組織が毎年より速く、より相互接続され、より不確実になっている環境で耐久的な決定を下すのを支援するための判断力、回復力、およびエンタープライズマインドセットが必要になります。
翻訳元: https://www.helpnetsecurity.com/2026/05/21/devon-bryan-booking-holdings-cso-leadership-travel/
