人工知能がかつてない速度でサイバーセキュリティの世界を塗り替えるなか、ZoomのCISOを務めるサンドラ・マクレオド氏は、デジタル防衛の未来について説得力ある見解を示しています。CiscoでのペネトレーションテストからZoomのセキュリティ戦略のリードまで、長年にわたる豊富な経験を持つマクレオド氏は、技術的な知見を土台にリーダーシップを発揮しています。彼女がCISOへとたどり着いたキャリアパスは、サイバーセキュリティにおけるリーダーシップそのものの変化を映し出しています。
現在、ZoomのCISOとして、マクレオド氏はこの分野への入り口は「一つではない」と強調し、自分の興味があるところから始めることを志望者に勧めています。また、一つの専門領域に閉じこもらず、複数のセキュリティ分野に幅広く触れることが重要だと述べています。さらに、サイバーセキュリティは多様な人材を歓迎する分野であるとも語っており、男性優位の技術分野においても女性には活躍のチャンスがあると言います。マクレオド氏が自身の成功の要因として挙げるのは、意識的なネットワーク構築と、昇進を後押ししてくれた仲間やスポンサーの存在です。技術力はドアを開けるかもしれませんが、実際にそのドアをくぐれるかどうかは、人間関係やメンタリップによって決まることを改めて気づかせてくれる言葉です。
Zoomがビジネスツールから一般家庭に不可欠なコミュニケーション手段へと進化したパンデミック期には、「Zoomボミング」をはじめ、前例のないセキュリティ課題が相次ぎました。マクレオド氏はこうした事態を経て同社がセキュリティへのアプローチをどう進化させてきたかを語り、ユーザーの自由度を保ちながら「デフォルトでセキュア」を実現するという哲学を強調しています。
今後の展望について、マクレオド氏はAIが人間のセキュリティ専門家の代替ではなく「実現者」として機能する未来を描いています。セキュリティオペレーションセンター(SOC)における繰り返し作業の自動化から、AIを活用した攻撃にも耐えうる堅牢なシステムの構築まで、進化し続ける脅威に先手を打つためのテクノロジーの役割について、楽観的な視点を示しています。
本稿は、Dark Readingが継続的に展開する動画シリーズ「Heard It From a CISO」の一環です。サイバーセキュリティの最前線で活躍するリーダーたちとの率直な独占インタビューをお届けしています。シリーズ全編はこちらからご覧いただけます。
サンドラ・マクレオド氏インタビュー全文書き起こし
本書き起こしは、Informa TechTargetの社内AIアシスタントにより、明瞭さと長さを考慮して編集されています。全編をご覧になるには動画をご視聴ください。
Dark ReadingのKristina Beek:皆さん、こんにちは。Dark Readingの「Heard It From a CISO」シリーズをお届けするKristina Beekです。本日はZoomのCISOを務めるサンドラさんにお越しいただきました。ありがとうございます。
サンドラ・マクレオド:ご招待いただき、ありがとうございます。
DR’s Kristina Beek:まず、ご自身のご経歴についてご紹介いただけますか。
サンドラ・マクレオド:Zoomには5年在籍しています。セキュリティアシュアランス、エンタープライズセキュリティ、オフェンシブセキュリティを中心に担当してきて、約1年前にCISOに就任しました。ちょうど1年という節目を迎えたところです。なかなか激動の1年でしたね。キャリアとしては、ソフトウェア開発から始まり、セキュリティへの情熱を育んでいきました。約15年前に完全にセキュリティの世界へ転向し、Ciscoでペネトレーションテストを担当しました。プロダクトセキュリティに携わる方の多くと同じような出発点ですが、そこからレッドチームやシステム分野へと興味を広げ、プロダクトセキュリティだけに留まらない形で成長してきました。
DR’s Kristina Beek:学歴を拝見すると、コンピュータエンジニアリングかコンピュータサイエンスの学士号と、同分野の修士号をお持ちとのことでした。その学問的な背景とソフトウェア出身というキャリアは、CISOとしての働き方に影響を与えていると思われますか?サイバーセキュリティ全般と同様、CISOになる方のバックグラウンドは実に様々だと感じているのですが。
サンドラ・マクレオド:そうですね、確かに異なるバックグラウンドはそれぞれ異なる視点をもたらします。私のバックグラウンドがZoomでのCISO業務において特に役立っていると感じるのは、テック企業を運営する上でセキュリティが抱える課題を深く理解できている点です。製品を市場に届けることとセキュリティをいかにバランスさせるかは、常に難しい問題です。タイトなスケジュールや強いプレッシャーのなかで製品を作ることへの現場感覚が、そうした理解を深めてくれています。
それでもセキュリティは妥協できません。そのような意味で、私の経験は独自の視点をもたらしてくれており、本当に感謝しています。
DR’s Kristina Beek:CISOとしてのご経験について聞かせてください。私はCISOという役職を、技術的なサイバーセキュリティと経営陣や事業部門をつなぐ橋渡し役と捉えているのですが、Zoomでのご経験もそのような感覚に近いですか?
サンドラ・マクレオド:まさにその通りです。私たちには満たすべき要件がある一方で、ビジネス上の課題もあり、事業をしっかりと支えなければなりません。私たちがセキュリティを捉える視点は、「いかにビジネスを支援できるか」という観点です。摩擦の少ないセキュリティプロセスを構築しながら、製品の深部まで把握できるようにする。プロダクトセキュリティへの関与はできる限り早い段階で行い、後からセキュリティを付け足すことで生じる摩擦をなくすことを目指しています。クラウドチームと連携し、新しいデータセンターを構築する際にセキュリティ要件をあらかじめ組み込んでいく取り組みも、その一例です。摩擦と影響を減らし、セキュリティ要件を満たしながらもビジネスのスピードを上げられるよう支援することに、常に注力しています。
DR’s Kristina Beek:ありがとうございます。サイバーセキュリティの世界に長く携わってきた女性として、この分野での経験はいかがでしたか?年月を経るなかで変化を感じていますか?女性全般、あるいは特にリーダーシップの面で、以前より女性が受け入れられやすくなったと感じますか?
サンドラ・マクレオド:難しい質問ですね。私は、女性や女性リーダーへの支援が充実している職場に恵まれてきたので、私の経験が他の方の経験と同じとは言えないかもしれません。素晴らしい仲間やスポンサーに恵まれ、より上のポジションへの挑戦を励ましてもらいました。Zoomでも、経営幹部チームにおける女性のリーダーシップの代表性は非常に高いと感じています。個人的には本当に恵まれた環境で歩んでこられたことに、深く感謝しています。
DR’s Kristina Beek:サイバーセキュリティを目指す女性や、セキュリティのリーダーシップを志す女性へのアドバイスはありますか?
サンドラ・マクレオド:もちろんです。サイバーセキュリティに興味があるなら、この分野でリーダーになりたいなら、迷わず挑戦してください。女性であることを理由に躊躇しないでほしいのです。誰にでも言えることですが、特に女性には重要だと思うのが、ネットワークの構築です。振り返ると、この20年間で就いてきたほとんどの仕事は、人脈を通じて機会を知り、「あなたに合いそうだよ」と声をかけてもらったことがきっかけでした。ネットワークは自然にできるものではなく、意識的に築いていかなければなりません。特に女性同士のネットワークを大切にすることで、この分野の女性リーダーたちとのつながりから得られるものは本当に大きいと感じています。
DR’s Kristina Beek:ありがとうございます。Zoomについてお伺いします。私は2017年から2021年まで大学に通っていたのですが、まさにパンデミックの時代と重なりました。仕事でも、私の場合は学業でも、繋がりを維持するためにZoomが至る所で使われていたので、そこで初めてZoomを知りました。
あの時代にZoomの利用が急拡大した一方で、「Zoomボミング」(無許可の第三者がZoom会議に乱入する問題)のような課題も生まれました。現在もこの問題は同社にとって主要なセキュリティ課題として残っているのでしょうか?
サンドラ・マクレオド:Zoomボミングへの対策として特に重要だったのは、管理者やユーザーへの教育です。Zoomの設定でミーティングをどうコントロールできるか、誰をどのように参加させるかを理解していただくことに力を入れてきました。設定できる項目を把握してもらうことで、多くの問題を未然に防げるようになっています。ただ、ソーシャルメディアやニュースサイトなど、あらゆるコミュニケーションプラットフォームは悪用される可能性があります。だからこそ、私たちは常にこの問題を意識し、ユーザー保護の仕組みをどう構築・強化するかを継続的に検討しています。
DR’s Kristina Beek:プラットフォーム側が保護機能を提供する責任を持つ一方で、ユーザー側もサイバーセキュリティの基本的な習慣を実践する責任があると思われますか?
サンドラ・マクレオド:まさにパートナーシップです。私たちはプラットフォームとして責任を感じており、活用できるあらゆる選択肢を提供しなければなりません。そして、それを使いやすくすることも不可欠です。見つけにくければ誰も使いません。ミーティングやコミュニケーションを簡単に保護できる仕組みを整えることが、私たちの役割です。私たちが重視しているのは「デフォルトでセキュア」であること、そして必要に応じて設定を開放できる選択肢を提供することです。セキュリティをデフォルトで確保しながら、柔軟に開放できる設計を心がけています。
DR’s Kristina Beek:改めてご経歴についてお聞きします。コンピュータエンジニアリングとコンピュータサイエンスの2つの学位をお持ちですが、サイバーセキュリティを目指すには現在様々な教育上のルートがあります。高校卒業直後、大学卒業直後、あるいは異なるキャリアからの転職など、様々な立場の方に向けて、どのルートが最善かというアドバイスはありますか?
サンドラ・マクレオド:良い質問ですね。答えは、あなたの興味次第だと思います。ルートはたくさんあり、唯一の正解はありません。100人のCISOに話を聞けば、おそらく100通りの異なるパスが返ってくるでしょう。セキュリティには、プロダクトセキュリティ、ネットワークセキュリティ、クラウドセキュリティ、エンドポイントセキュリティなど、学べる領域が無数にあります。だから私がお伝えしたいのは、まず自分の興味があるところから始めてほしいということです。ネットワークが好きで、ルーターをいじるのが楽しいなら、そこから始める。ソフトウェアやコーディングが好きなら、そこから始める。システム管理に興味があるなら、そこから始める。セキュリティコンプライアンスなら、そこから。ただし、そこから視野を広げ、他の分野へとつなげていくことが大切です。CISOへの道において最も重要なのは、複数のドメインを横断した経験と知識を積むことです。一つの分野に留まり続けると、それは難しくなります。常に問いを持ち、他のドメインに触れ、経験を広げながら理解を深めていくことが、成長への鍵だと思います。
DR’s Kristina Beek:人工知能について、Zoomとしてどのようにお考えですか?製品へのAI活用は進めているのでしょうか?
サンドラ・マクレオド:もちろんです。製品面では、今まさに「AIファーストプラットフォーム」というビジョンのもとで進んでいます。コミュニケーションのあらゆる側面、さらには生産性向上においてもAIの活用を探っています。ミーティングからフォローアップまでをAIでつなぐ「会話からの完結(Conversation to Completion)」という考え方を掲げており、会議でアクションアイテムや次のステップを確認した後、AIがフォローアップを自動化する仕組みを構築しています。製品にAIを組み込む取り組みはその一例に過ぎません。
一方で、セキュリティ業務の日々のタスクやワークフローにどうAIを活用するかも検討しています。SOCにおけるエージェント型AIワークフローの構築は大きなテーマです。チームには「繰り返し発生するタスクやワークフローをすべて洗い出し、AIで自動化できないかを考えてほしい」というミッションを課しています。人間にしかできない判断や高度な思考が必要な業務に集中するために、AIに繰り返し作業を任せ、スケールアップと能力向上を目指しています。防御の面でも、脆弱性の発見、攻撃の検知、インシデント対応の支援にAIを活用する方向で取り組みを進めています。
DR’s Kristina Beek:関連して伺いたいのですが、特に今就職活動中の学生たちの間には「AIに仕事を奪われるのでは」「自分のための仕事は残るのか」という不安があります。これについてはどのようにお考えですか?
サンドラ・マクレオド:少なくとも近い将来には、そのようなことはないと言えます。私たちがAIを活用しているのは、人間が本来集中したくない繰り返し作業を自動化し、より重要な仕事に注力するためです。製品や事業の急成長に対応しながら、どうやってセキュリティのペースを維持するか。その答えはAIしかありません。AIは能力を拡張する手段として非常に重要です。人間には難しいスピードとスケールで分析を行い、私たちの対応力を高めてくれます。ただし、AIに「何を見るべきか」「何をすべきか」を指示するのは、あくまでも人間です。日々の重要な業務では、依然として人間が意思決定の中心に存在しています。
DR’s Kristina Beek:素晴らしいですね。最後の質問です。自由にお答えいただいて構いませんが、サイバーセキュリティの未来はどのような姿だと思いますか?
サンドラ・マクレオド:ワクワクする問いですね。AIがこの業界に与えるインパクトを考えると、変化は来ると誰もが分かっていましたが、そのスピードがここまで速いとは思っていませんでした。AIを使って脆弱性を発見する取り組みも進んでおり、Mythosのようなシステムがこれまで発見できなかった脆弱性を見つけ始めています。懸念されるのは、それが攻撃者の手に渡ったときに何が起きるか、ということです。私が特に興味深いと感じているのは、AIを活用して極めて堅牢なシステムや製品を構築し、攻撃者よりも速く前進できるかという問いです。今は常に後追いで、攻撃者に追いつこうと走り続けています。AIを使って、AIを活用した攻撃や脅威にも耐えられる、より堅牢なシステムをどう作り上げるか。今後は自律的なプロセスとワークフローをさらに構築し、より難しい問題や革新的なセキュリティソリューションに人間が集中できる環境を整えていくことが大切だと考えています。今はまさに歴史的な転換点にあると感じており、AIが未来にもたらすものに心から期待しています。
DR’s Kristina Beek:素晴らしいお話でした。本日はお時間をいただき、本当にありがとうございます。非常に示唆に富んだ対話でした。
サンドラ・マクレオド:こちらこそ、ありがとうございました。とても楽しい時間でした。
翻訳元: https://www.darkreading.com/cybersecurity-operations/zoom-ciso-ai-security-enabler-role-replacer
