新たな脅威や革新的なテクノロジーへの対応に追われる企業が増える中、SilverfortのCISO(最高情報セキュリティ責任者)ジョン・ポール・カニンガム氏は、人工知能(AI)が新参者のキャリア展望を狭めるのではないかという懸念があるにもかかわらず、熟練したセキュリティ人材への需要が衰える気配はないと述べています。
「Heard It From a CISO」ビデオシリーズの最新エピソードでは、カニンガム氏がこうした業界の動向について自身の見解を語っています。軍務、金融セクター、そして現在のSilverfortの企業インフラ保護という多彩な経歴を持つ同氏が、現代のセキュリティリーダーシップの多面的な側面について話してくれました。
AIがサイバーセキュリティの雇用に与える影響についての議論は白熱しており、ジュニアアナリストたちは自動化によって自分のスキルが時代遅れになるのではないかと不安を抱いています。しかしカニンガム氏のような業界のベテランたちは、この技術的変化は排除ではなく進化を意味すると主張しています。AIは大量のログファイルの解析やパターンの特定に優れていますが、戦略的思考、ステークホルダーとの連携、柔軟な問題解決が求められる領域では、人間の存在は依然として不可欠です。
特に注目すべきは、サイバーセキュリティという分野が複数の入口からアクセス可能であるという点です。一つの教育的経路を必要とする多くの職業とは異なり、サイバーセキュリティは技術的なバックグラウンド、監査・コンプライアンス業務、プロジェクト管理、法執行機関など、幅広い分野からの人材を歓迎しています。こうした多様な出身背景はこの分野を豊かにし、あらゆる攻撃ベクターにわたって巧妙化する攻撃者に対抗しなければならない業界に、多様な視点をもたらしています。
これは、サイバーセキュリティの現場リーダーたちとの率直な独占対談を特集した、Dark Readingの継続シリーズ「Heard It From a CISO」の一部です。シリーズ全編はこちらからご覧ください。
「Heard It From a CISO」ジョン・ポール・カニンガム氏との完全トランスクリプト
このトランスクリプトは、Informa TechTargetの社内AIアシスタントによって明瞭さと長さのために編集されています。完全な内容をご覧になりたい方は動画をご視聴ください。
Dark ReadingのKristina Beek: こんにちは、Kristina Beekです。Dark Readingの副編集長を務めており、「Heard It From a CISO」の新しいエピソードをお届けします。本日はSilverfortのCISO、ジョン・ポール・カニンガム氏にお越しいただきました。本日はご参加いただきありがとうございます、ジョン。
ジョン・ポール・カニンガム: もちろんです。クリスティーナさんとこうしてお話しできて本当に良かったです。喜んで参加させていただきました。
DR’s Kristina Beek: ありがとうございます。今回の主なテーマは、サイバーセキュリティへの参入方法や、この分野で働くとはどういうことかということです。特にあなたのような実力とキャリアをお持ちの方の視点からぜひ聞かせていただきたいと思います。まず自己紹介と、あなたのバックグラウンド、そしてCISOとしてのお仕事についてお話しいただけますか。
ジョン・ポール・カニンガム: はい、もちろんです。先ほど申し上げたように、私はジョン・ポール・カニンガムで、現在SilverfortのCISOを務めています。Silverfortはアイデンティティセキュリティ企業です。ここでの役割が素晴らしいのは、外部のサイバー脅威からSilverfortを守るという企業セキュリティの面と、製品のアイデンティティセキュリティ戦略への関与、さらにはアイデンティティセキュリティとAIといったテーマで業界内の啓発活動まで、両方携われることです。非常に多面的な役割で常に多忙ですが、多くのエンゲージメントの機会を与えてくれています。これが現在の私の仕事です。
DR’s Kristina Beek: なるほど、素晴らしいですね。最初にサイバーセキュリティの世界に入ったきっかけは何でしょうか?
ジョン・ポール・カニンガム: 多くの人と同じように、私もテクノロジーからスタートしました。かなり昔のことです。当時、JPモルガン・チェース——ご存じの方も多いと思いますが、非常に大きな銀行——で働いていました。ある日、上司から「セキュリティと情報リスク管理を本格的に担当してほしい」と声をかけられたのです。当時、プライバシー法が重要性を増しており、今ではさらに重要になっていますね。私は「ぜひその挑戦を受けます」と答えました。意図的なキャリアチェンジだったとは言い切れませんが、目の前にチャンスが訪れ、それをつかんだ形です。そこからはCISSP(公認情報システムセキュリティ専門家)の資格を取得し、銀行内でサイバーセキュリティに必要なスキルを伸ばす機会を積極的に探し続けました。多くの方はサイバーセキュリティをみんなが同じことをする均質な分野だと思いがちですが、実際には少なくとも5つの専門領域があり、どの領域からでも参入できます。技術的なバックグラウンドからでも、リスク管理や監査のバックグラウンドからでも入れますし、様々なルートが最終的には同じ場所へつながっています。
DR’s Kristina Beek: あなたには軍のバックグラウンドがあるとお聞きしました。それがサイバーセキュリティ全般へのアプローチや、CISOとしての役割に影響を与えていると感じますか?
ジョン・ポール・カニンガム: 影響があったと思います。今もあると思います。サイバーセキュリティというと、機密性・完全性・可用性がよく語られますが、物理的セキュリティやビジネスの継続性、人々が働き続けられる環境の確保といった要素も重要です。そうしたテーマの多くは軍から来ています。部隊防護は軍における中心的な課題でしたから。私が軍にいたとき、技術職ではなく法執行の役割を担っていました。そのため、自然な探偵的思考や規制・法的側面をサイバーセキュリティに適用する姿勢が醸成され、大きな影響を受けました。また、オフィスやデータセンターの物理的なセキュリティ、戦時下における人々の安全確保といった視点も磨かれました。Silverfortにはイスラエルにも多くのメンバーがいます。現実的な物理的脅威が存在する中で、彼らをどう守るかという問題意識もここから来ています。軍での経験は間違いなく私を形成しました。少なくとも、キャリアを通じて活かせるリーダーシップの基盤を与えてくれました。
DR’s Kristina Beek: サイバーセキュリティの仕事において、最もやりがいを感じる部分、あるいは最も良かったと思う部分はどこですか?
ジョン・ポール・カニンガム: 思わずニヤリとしてしまいますが、サイバーセキュリティの素晴らしさの一つは、毎日が新しい1日だということです。常に新しい課題があり、常に新しい機会があります。非常に多面的で、フォーカスできることがたくさんあります。技術的なサイバー防御だけでなく、リスク管理の側面、経営陣や事業部門との連携、セキュリティを高めるためのプロジェクトへの参画など、様々な道があります。その人の可能性や強みをうまく活かせる多くの道筋があるのです。ある分野が得意でなくても、別の分野で強みを発揮できるかもしれません。サイバーセキュリティにはそのような人にも居場所があります。拡張性があり、常に変化し続け進化し続けるこの分野は、常に学び続け、知識を応用し続けられるという点でとても楽しいと思っています。
過去に学んだ優れたパターン、そして今台頭している新しいもの——AIはその典型例ですが——その前にはウェブがあり、クライアント・サーバーがあり、さらに遡ればテクノロジーが変化・転換するたびにさまざまな転換点がありました。そしてセキュリティは常にそれに適用され続けてきました。
これがこの仕事をやりがいのあるキャリアにしていると思います。もう一つの側面は、自分が違いを生み出しているという実感です——企業を守り、その資産と従業員を守っているという自覚。そして最終的には、何か大切なものに貢献できたという確信です。
DR’s Kristina Beek: おっしゃる通りです。サイバーセキュリティへのさまざまな参入経路についてもお話しいただきましたし、ご自身の資格取得の経歴についても触れていただきました。では、今日この分野に参入するための最善の方法は何だとお考えですか?伝統的な4年制大学の学位を取得する人もいますし、他の分野から転換して資格取得を目指す人もいます。成功への道として、どのようなものが考えられますか?
ジョン・ポール・カニンガム: 非常に良い質問ですね。先ほど申し上げたように、サイバーセキュリティの世界に価値をもたらす方法はたくさんあります。サイバーセキュリティは、企業の技術的な防護やインシデント対応だけでなく、テクノロジーリスクやサイバーセキュリティリスクのリスク管理、ポリシー策定、トレーニングといった側面も含む非常に幅広い分野です。ビジネス的な側面も大きい。最も自然なサイバーセキュリティへの入口は技術側からだと思います——ネットワーク、エンドポイント、クラウドなどのテクノロジーを理解し、それをどう守るかを学ぶという道です。しかし監査の経験がある方であれば、ガバナンス・リスク・コンプライアンス(GRC)の分野でサイバーセキュリティに貢献できます。監査スキルは非常に適応しやすいです。ただ少し違うのは、リスク管理と監査の最大の違いとして、リスク管理ではソリューションへの到達も支援しようとしている点です。単に標準に照らして合格・不合格を判定するのではなく、ギャップを特定し、そのギャップを埋めてコントロールをより効果的にするためのセキュリティソリューションを提供しようとしています。それでも、そうしたスキルセットは十分に活かせます。サイバーセキュリティに参入したい方には、多くの道があります。
DR’s Kristina Beek: なるほど。
ジョン・ポール・カニンガム: 実はプロジェクト管理からも参入できます。大規模なセキュリティグループではプロジェクトマネージャーが必要で、セキュリティプロジェクトをプロジェクトマネージャーとして学ぶことができます。しかし最善のアドバイスは、自分が本当に得意なことを見つけ、それをセキュリティ組織のニーズに適応させる方法を探ることだと思います。技術担当者になりたいなら、複数の技術を理解しましょう。ネットワーク、エンドポイント、クラウドを学び、幅広い経験を積み、それらをどう守るかを真剣に探求してください。アイデンティティセキュリティは特に良い切り口です。アイデンティティはセキュリティのあらゆる部分に関わっており、企業が侵害される原因として最も多い要素の一つだからです。
侵害の根本には多くの場合、アイデンティティセキュリティの弱点があります。つまり、参入方法には様々なルートがあるということです。アイデンティティセキュリティに特化して入る方法もあれば、エンドポイント、ネットワーク、クラウド環境のテクノロジーセキュリティに集中することもできます。プロジェクト推進型の人材として、セキュリティプロジェクトの実装を支援する形で入ることもできます。ガバナンスの確立・評価・ソリューション構築を担うコンプライアンス・監査の専門家として入ることも、ソリューションのアーキテクトとして参入することも可能です。
とにかく自分が本当に得意なことを見つけることです。それはきっとセキュリティのどこかで活かせるはずです。そして最初の段階から始める機会を探し、そこに向けて歩み始めてください。
DR’s Kristina Beek: おっしゃる通りです。あなたの見解では、サイバーセキュリティは成長している分野ですか?今後さらに多くの雇用機会が生まれると期待できますか?もちろん、先ほどもおっしゃったように、今はAIが大きなテーマです。
多くのジュニアレベルやエントリーレベルのアナリストたちが「自分の業務責任がすべてAIに取って代わられてしまう。自分の居場所はまだあるのだろうか」と心配しています。そうした懸念に対して、どのようにお答えになりますか?
ジョン・ポール・カニンガム: 断言できます。あなたの居場所は必ずありますし、これは成長している分野です。AIは一部の業務を代替するでしょう。例えばログファイルやログのセットを調べる作業は、人間よりもAIの方がはるかに速く、効率的で、正確にこなせます。AIに任せることになる作業は確かにあります。しかし、人間が不要になることはありません。サイバーセキュリティの広さについて先ほど触れましたが、AIはプロジェクトを運営できません。プロジェクトチームと連携して要件を理解し、そのニーズに合わせてセキュリティを適応させることは、依然として人間の仕事です。また、AIが得意とする技術的な領域においても、AIとともに機能しAIの使い方を知った人間の監督者が必要です。世界は変化しているのです。かつて人間がやっていた仕事の一部をAIが担うようになりますが、人間への需要はなくなりません。
むしろ、AIはセキュリティをより重要にしました。AIの爆発的な普及により、残念ながら多くの脆弱性が生まれ、多くの慣行を見直す必要性が生じています。先ほど「過去のパターンを応用する」と申し上げましたが、組織をセキュアに保つための優れたパターンはすでに確立されています。しかし、それをAIに適用できる段階にはまだ達していません。では今、最大の課題は何か——優れたパターンを活かしつつ新たなパターンを取り入れ、AIをどう守るかということです。AIの普及は至るところで起きていますが、正直に言えば、企業のセキュリティレベルは今のところむしろ低下していると思います。
だからこそ、セキュリティチームには大きなチャンスがあります。より安全な方法で物事を実現するイネーブラーとしての役割を果たしつつ、ビジネス、開発者、AIを活用したい人々を支援し、同時に先ほど申し上げた通り組織を守り、AIのリスクを管理していく——その両立を実現する機会がここにあります。
AIについての私の考えだけで、また別のインタビュー1本分になりますね。もしそこに踏み込みたいなら喜んでお話しします。
DR’s Kristina Beek: 時間があまりないので、AIだけをテーマにしたインタビューはまた別の機会にしましょう。本当に大きなテーマですからね。
ジョン・ポール・カニンガム: ぜひそうしましょう。「ターミネーター対ミニオン」のアナロジーをお話しします。次回にとっておきますね。
DR’s Kristina Beek: おお、楽しみです!では最後の質問です。どのように解釈していただいても構いません——あなたが考えるサイバーセキュリティの未来とはどのようなものでしょうか?
ジョン・ポール・カニンガム: テクノロジーに人が関わり続ける限り、セキュリティへの需要はなくなりません。この分野は消えることはなく、テクノロジーに完全に置き換えられることもないでしょう。人々を守る方法や、システムを守る方法は、多くの面で自律化が進むかもしれません。しかしセキュリティにはそれ以上のものがあります。ビジネス、取締役会、経営陣、プロジェクト、企業がやりたいこと——そこへの人間的なつながり、人間的な関与です。サイバーセキュリティの未来は非常に明るいと思います。とても素晴らしいキャリアです。最も大切なのは、自分を拡張可能にしておくこと——柔軟性を持つこと——だと思います。私が常に高く評価するのは、適応できる人です。ある一つのことが非常に得意でも、テクノロジーは進化し続けるので、自分もそれに合わせて進化していく必要があります。
DR’s Kristina Beek: そうですね。
ジョン・ポール・カニンガム: そのための機会はたくさんあります。テクノロジーの成長とともに学び続けたいという意欲があれば、セキュリティの世界では可能性に上限はありません。これからもますます強固な分野であり続けるでしょう。そして先ほども少し触れましたが、AIはまた新たなフロンティアです——私たちが探求すべき新たな領域です。
しかし、Silverfortで語るアイデンティティセキュリティにしても、アイデンティティの概念はコンピュータへのログインが必要になった時点から存在しています。かつてはログインが不要だった時代があったかもしれませんが、ログインが必要になって以来、アイデンティティは常に存在してきました。AIの時代になって、アイデンティティはかつてないほど重要になっています。AIをどう分離管理するか。AIは実質的に合成された「人間」です。これまでのセキュリティの教訓と原則をAIにどう適用していくか——そういうことも含め、セキュリティの未来は非常に明るい、そう申し上げましょう。
DR’s Kristina Beek: この分野でさまざまな変化が起きている中、聴いている方々も安心されることでしょう。本当に多くのことがありますね。本日はお時間をいただきありがとうございました。心から感謝しています。
ジョン・ポール・カニンガム: クリスティーナさん、とても楽しかったです。また近い将来にお話しできることを楽しみにしています。お声がけいただき、視聴者の皆さんにお話しする機会を与えていただき、本当にありがとうございました。
翻訳元: https://www.darkreading.com/cybersecurity-operations/identity-security-cyber-career-entry-point
