2024年、マイクロソフトは、より広範なSecure Future Initiative(SFI)の一環として、新たな副CISO(dCISO)戦略を発表しました。このCISO役割の進化の理由と可能性を理解するために、Ann Johnson(コーポレートバイスプレジデント兼副CISO)とMark Russinovich(CTO、Azure副CISO兼テクニカルフェロー)に話を伺いました。
マイクロソフトの副CISO戦略
イゴール・ツィガンスキーが2023年末にコーポレートCISOに就任した際、彼は専門分野での専門的な支援が必要だと判断しました。マイクロソフトは巨大かつ非常に複雑な組織であり、CISOの役割のあらゆる側面も同様に大規模かつ広範です。
その結果、2024年を通じて導入されたのが、マイクロソフト内のさまざまな機能にわたるリスクを担当する合計14人のdCISOです。それぞれがツィガンスキーに報告し、必要に応じて関連する製品またはサービスの責任者にも報告します。
「私はカスタマーセキュリティ管理オフィス(CSMO)を担当しています」とジョンソンは説明します。「私たちはCISOオフィスのすべての外部対応を担当しています。」他のdCISOはコアとなるマイクロソフト製品に紐づいていますが、同社には顧客やパートナーからの問い合わせもあります。マイクロソフトはどのように自社を守っているのか?マイクロソフトをベンチマークにできるのか?脅威ハンティングはどうしているのか?どんな製品を使っているのか?
「こうした質問は定期的に寄せられます」と彼女は続けます。「私の役割は、マイクロソフトCISOオフィスとの関係を持つ顧客を支援するフロントドアとなることです。情報共有やベンチマーク、業界のベストプラクティスの実践、脅威インテリジェンスの共有を確実に行います。私の仕事は、製品担当のdCISOが本来の業務に集中できるようにしつつ、必要に応じて会話に参加してもらうことです。」
ルシノビッチもこうした製品担当dCISOの一人です。「イゴールは、各分野の専門家であり、担当する製品グループや横断的サービスに紐づくdCISOが必要だと判断しました」と彼は説明します。結果として複雑に見えるかもしれませんが、目的は正しい情報を正しい宛先に届けることです。
グローバルCISO(ツィガンスキー)の管轄下にあるだけでなく、製品担当dCISOは自分の製品のシニアビジネスリーダーにも報告します。ルシノビッチはAzureのdCISOです。「私は、クラウドおよびAI部門を率いるエグゼクティブバイスプレジデントのスコット・ガスリーに報告しています」と彼は付け加えます。ガスリーはサティア・ナデラに報告します。
Azureは中心的な製品ですが、複数の製品グループにまたがる横断的な側面もあります。そのため、特定分野の専門家としてのdCISOの概念が混乱することもあります。「私はWindowsやLinuxのバックグラウンドがあるため、コアオペレーティングシステムのdCISOも務めています。さらに、エンジニアリングシステムも担当しており、これは複数のグループにまたがり、全社が依存しています。」
これらの責任は、dCISOプログラムの横断的要素の一例です。非常に複雑に見えるかもしれませんが、明確さを提供するために設計されています。目的は、各製品のビジネスリーダーが自分の責任範囲について専門的かつ集中した情報を得られるようにしつつ、会社全体―ナデラに至るまで―が自社とその製品のセキュリティ体制を完全かつ統合的に把握できるようにすることです。
広告。スクロールして続きを読む。
副CISOはCISO役割の未来か?
マイクロソフトのdCISOはCISO機能の未来を示しているのでしょうか?少なくとも原則的には、規模はともかく、答えは「イエス」と言えそうです。
「イゴールはCEOレベルの会話をしています」とジョンソンはコメントします。「彼は世界中の政府や組織の幹部と会い、マイクロソフトのコアセキュリティプログラムも運営しています。ガバナンス、リスク、コンプライアンスにも関与しています。すべてのCISOは非常に広範な範囲を担当しています。」
しかし彼女は続けます。「その範囲に、マイクロソフトという組織の規模と複雑さ、さまざまなプラットフォーム、世界中の多様なコミュニティ、数多くの製品を加えると……仕事はあまりにも複雑です。」
ルシノビッチも同様の意見です。「マイクロソフトは従業員数、製品、サービスの面で巨大な会社です。セキュリティに限らず、これらすべての専門家になるのは一人では不可能です。リスク判断の中には、深い知識や専門性、そしてエンジニアリングリーダーとの深い対話ができる帯域幅が必要なものもあります。」
これは、一人のCISOでは対応できないことだと彼は言います。「人間的に不可能です。だからイゴールは責任を分散し、全社をカバーする大きなガバナンスと責任を維持しつつ、拡張性を持たせています。dCISOは割り当てられたドメインのCISOだと考えていいでしょう。」
ジョンソンも同意します。「ほとんどのdCISOは実質的に機能的なCISOだと私は考えています。他の会社ではCISOと呼ばれるでしょう。それほど責任範囲と規模が大きいのです。」
マイクロソフトはその規模と複雑さでユニークかもしれません。しかしCISOのツィガンスキーが直面する課題は、すべてのCISOが直面する課題と同じで、ただし遥かに大きいだけです。CISOの役割がガバナンス(セキュリティ)から、コンプライアンス(法務)、社内アプリや外部製品開発(エンジニアリング)、ビジネスリーダーとの連携(ビジネス知識とコミュニケーション能力)、AI(データサイエンティスト)などに拡大していることを考えると、ツィガンスキーが採用した解決策はすべてのCISOが検討すべきものです。
この基本的なコンセプト自体はまったく新しいものではありません。近年、ビジネス情報セキュリティオフィサー(BISO)の増加が見られます。「大手グローバル銀行は以前からBISOの概念を持っています」とジョンソンは言います。「リテールバンキング用のBISOや、ハイネットワース用のBISOがいました。世界が複雑化し、組織が成長するにつれて、こうした構造を取る企業が増えていると感じます。」
中間的なドメイン専門家の必要性は存在します。中小企業ではdCISO(やBISO)とは呼ばれないかもしれませんが、より大規模で複雑な企業にとって、マイクロソフトのdCISOプログラムは魅力的な道筋を示しています。
マイクロソフトの副CISOになるには?
ジョンソンは、自身のサイバー分野でのキャリアの始まりは少し偶然だったと考えています。技術には興味があったものの、学問的には政治学を専攻していました。大学卒業後、いくつかのテック企業で働きましたが(「仕事が必要だったんです」と彼女は言います)、サイバー分野ではありませんでした。
しかし満足できませんでした。「何か違うことがしたいと思い、当時、VPNアクセス用のRSAセキュリティハードウェアトークンを会社から支給されていました。私は根っからの技術者です。新しいことを学ぶのが大好きです。そこで、このRSAセキュリティハードウェアトークンについてできる限り学び、その仕組みを理解しました。RSAセキュリティに応募し、運良く2000年に採用されました。」
こうしてサイバー分野に入り、キャリアが開花しました。13年後にはRSAのグローバルIPV&グローバルアカウント担当VPとなり、その後Qualysで社長兼COO、さらにBoundless SpatialでCEOを務めました。そこから2015年にマイクロソフトのエンタープライズサイバーセキュリティグループのゼネラルマネージャーとなり、2024年にはコーポレートVP兼副CISOに昇進しました。
ルシノビッチのサイバー分野への入り口は、コンピュータとエンジニアリングの学術的資格の積み重ねに基づいていました。情熱はもっと早く、Apple IIに触れた時に始まりました。それがきっかけで、コンピュータの内部構造をできる限り学びたいと思うようになりました。「カーネギーメロン大学で電気・コンピュータ工学の学位を取得し、レンセラー工科大学(RPI)で修士号を取得、その後再びCMUで電気・コンピュータ工学の博士号を取得しました。」
約10年にわたる学術キャリアの後、商用コンピュータを理解するために産業界に進みました。「その時、Windows 3.1、95、NT、Windows 2000の内部構造の理解を深め始めました。」1996年にはWinternalsを共同設立し、チーフセキュリティアーキテクトを務めました。
WinternalsはWindowsの内部構造を理解し、管理者がOSの奥深くまでアクセスできるツールを開発しました。その一つがSysinternalsです。この間にマイクロソフトとの強い関係が築かれ、2006年にMSがWinternalsを買収した際、ルシノビッチも加わりました。最初はWindows部門のアーキテクトとしてカーネルやARMプロセッサへの移植に取り組みました。
同時に、クラウドや社内の新しい小規模Azureグループにも興味を持つようになりました。「クラウドは、事実上世界のOSを作る大きなチャンスだと感じました。Azureは2010年2月にローンチし、同年7月にAzureに加わりました。」
2014年にはAzureのCTOとなり、2024年にはマイクロソフトAzureのCTO、副CISO、テクニカルフェローとなりました。
異なる道とキャリアを歩んできた二人ですが、どちらもマイクロソフトのセキュリティリーダーとして高い地位を築いています。彼らが考える、こうした成功を可能にする主な資質は何か、考察する価値があります。
「俊敏性、柔軟性、そしてレジリエンス(回復力)」とジョンソンは言います。「この仕事はいつも楽しいわけではなく、脅威は日々変化・進化します。自分が何者かをしっかり持つ必要があります。流れに身を任せる覚悟と、本当に強いレジリエンスが必要です。長く続けられる人は皆これらを持っています。」
ルシノビッチは、コミュニケーションと協調の能力だと考えています。「多くのステークホルダーと連携する必要があるので、コミュニケーションと協力の能力は不可欠です。人を遠ざけてしまうと……ステークホルダーを遠ざけると、効果的に仕事ができなくなります。」
両者とも、正しい姿勢があれば誰でもこうしたキャリアの成功を収められると信じているのは心強いことです。「個人的には、技術を深く理解したいタイプですが、それが絶対に必要というわけではありません」とルシノビッチは説明します。
「イゴールがdCISOに深い理解を委任しているように、物事を委任することもできます。ある程度の技術的理解は常に重要ですが、そうでなければ完全に切り離されてしまいます。しかし、私ほど技術的に深くなくても、効果的なCISOにはなれると思います。」
ジョンソンも、サイバー分野の資格がなくても成功できると同意します。「適性が必要です。毎日学ぶ意欲が必要です。自分が知らないことを受け入れる覚悟と、ネットワークを広げることが必要です」と彼女は言います。
「Black HatやRSACに行ったり、SANSのコースやLinkedIn Learningのコースを受けたり……業界の基礎を理解するために必要なことをしましょう。その上で自分に最適な分野を決めてください。サイバーはフォレンジックやリバースエンジニアリングだけではありません。サイバーセキュリティマーケター、サイバーセキュリティ弁護士、サイバーセキュリティ人事、サイバーセキュリティ経営者、サイバーセキュリティ広報などもあります。どこから始められるか考えましょう。ただし、『自分は深いサイバー技術者じゃないから無理』と狭く考えないでください。サイバーセキュリティはあらゆる分野がある産業です。自分のスキルがどこにフィットするか考え、学びに投資しましょう。」
アドバイス
良いアドバイスはキャリアに役立つツールです。特にそれを実践すればなおさらです。二人のdCISOに、これまで受けた最高のキャリアアドバイスと、これからのリーダーに伝えたいアドバイスを聞きました。
ルシノビッチがこれまで受けた最高のアドバイスは、父親からの「興味を持ったことはできるだけ多く学べ」というものでした。
「それが、コンピュータで博士号を取ろうと思ったきっかけです」と彼は付け加えます。これが良いキャリアアドバイスであることは、ジョンソンのキャリアの歩みからも裏付けられます。彼女のサイバーキャリアは、ハードウェアトークンに興味を持ったことから始まりました(「このRSAセキュリティハードウェアトークンについてできる限り学び、その仕組みを理解しました」)。
ジョンソン自身が受けた最高のアドバイスは、マネジメントに就いたばかりの頃にリーダーから言われた「人は自分の発言の影響を理解していない」というものでした。
「最初は意味が分かりませんでしたが、やがて自分の直接的なコミュニケーションスタイルを変える必要があると気付きました。コミュニケーションは受け手がすべてであり、相手が理解できるように伝え方を変えなければならないと学びました。全員に同じように接して押し通すのではなく、効果的なコミュニケーションの方法を学ぶことが、誰にとってもキャリアで最も重要なことの一つです。」
サイバーセキュリティ分野でリーダーを目指す人へのアドバイスとして、ルシノビッチは学び続けることの重要性を強調します。「今なら、人工知能について学ぶことを勧めます。現状、強み、限界を理解し、その応用方法を知ること。AIはすべての仕事に関わっています。AIは今まさに中心的な存在です。強く推奨します。」
ジョンソンの最初のアドバイスは、「自分が知らないことを知らないと理解すること」です。それができて初めて、知らないことを受け入れ、修正し、成長し続けられます。「少し成功しただけで自信過剰になり、学びと成長への投資をやめてしまい、つまずく人もいます。」
彼女の二つ目のアドバイスは「人に『無理』と言わせないこと」。経歴や経験、学歴を見て「この分野には向いていない」と言われても、あきらめずに自分がなりたい人間になれることを証明し続けてください。ただし繰り返しますが、そのためには毎日学び続ける意欲が不可欠です。
今後の脅威
アドバイス以外にも、現在のリーダーがどのようにその地位にたどり着いたか(受けたアドバイス)、そして何を学んだか(与えるアドバイス)を知ることは有益です。さらに、彼らが今後どんなサイバーセキュリティ脅威を予想しているかを知るのも参考になります。現職の立場に影響される部分はあっても、その価値が損なわれることはありません。
ルシノビッチは二つの主要分野を挙げます。「主な脅威は国家主体と人工知能です。国家主体がマイクロソフトのような企業を大胆に攻撃し、顧客情報を狙っています。この傾向がすぐに終わるとは思いません。」
二つ目の懸念は人工知能です。「AIはサイバーセキュリティのあらゆる分野にますます組み込まれています。攻撃にも防御にも使われます。攻撃者はAIを活用してシステムを調査し、これまで不可能だった自動化された方法で攻撃を仕掛けてくるでしょう。」
ジョンソンもこうした脅威のミクロな見方に異論はありませんが、マクロな観点では今後も大きくは変わらないと考えています。「脅威の状況はそれほど大きく変化しないと思います」と彼女は言います。「引き続きランサムウェアやBECなどの金銭目的の攻撃が主流ですし、国家主体も主にスパイ活動や情報収集が目的です。」
彼女の見方では、サイバー攻撃者の動機、意図、標的は変わらず、攻撃手法の詳細だけが変化します。敵対的AIの例では、脆弱性の検出、新たなマルウェアの作成、ソーシャルエンジニアリングの巧妙化、攻撃の自動化などが挙げられます。攻撃の速度や精度、規模は増しますが、金銭目的や国家主体の攻撃者はすでに脆弱性、マルウェア、ソーシャルエンジニアリングを利用しています。
