Dark Readingの「Heard it From a CISO」ビデオシリーズへようこそ。このシリーズでは、サイバーセキュリティ分野への参入やキャリアアップについて、実際に経験したCISOたちのアドバイスを紹介します。
今回の最新エピソードでは、Dark Readingのアソシエイトエディター、クリスティーナ・ビークがCriblの最高情報セキュリティ責任者(CISO)であるマイク・ライオンズ氏にインタビューします。ライオンズ氏は、サイバーセキュリティに転身する前にシェフとして働いていたというユニークな経歴を持っています。料理学校を卒業し、フードクリティックを目指していた彼が、ITおよびセキュリティデータパイプラインの大手企業でサイバーセキュリティを率いるまでの道のりは、(ミザンプラス、レシピ、サービス文化などの)独自の規律感を育み、セキュリティ戦略や危機対応へのアプローチに大きな影響を与えました。
ライオンズ氏は、技術的な資格や正式なサイバーセキュリティ教育だけに注目するのではなく、好奇心や学びへの飢えこそが採用候補者にとって最も重要な資質だと考えています。彼のアプローチは、共感をセキュリティ文化の礎とし、セキュリティインシデントを罰するべき失敗ではなく、同僚を指導し教育する機会と捉えるようチームに促しています。
また、ライオンズ氏は業界の未来について実用的な視点も示しました。人工知能が攻撃側・防御側の両方でサイバーセキュリティ運用を根本的に変えることを認めつつ、プロフェッショナルは技術導入により慎重になり、測定可能な成果に注力し続ける必要があると語ります。彼の新人へのアドバイスは一貫しています。「自分の技術を磨き、自分が信じる組織で働き、学び続けること」です。
このシリーズの他のエピソードもぜひご覧ください:「Fastly CISO:重大インシデントをキャリアの転機に」(Fastly CISOのマーシャル・アーウィン氏)、 「FBIからCISOへ:型破りなサイバーセキュリティ成功の道」(Kaseya CISOのジェイソン・マナー氏)、 「サイバーキャリアの機会:資格と学位の比較」(長年CISOを務めるメリナ・スコット氏)、 そして「男性中心のサイバー業界にもレジリエンスのある女性の居場所がある」(Weave Communications CISOのジェシカ・シカ氏)です。
Criblのマイク・ライオンズ氏:全ビデオ書き起こし
この書き起こしは明瞭さのために編集されています。
クリスティーナ・ビーク: 皆さん、こんにちは。私はクリスティーナ・ビーク、Dark Readingのアソシエイトエディターです。「Heard it From a CISO」の新しいエピソードに来ています。本日はCriblのCISO、マイク・ライオンズさんにご参加いただきます。マイクさん、本日はありがとうございます。
マイク・ライオンズ: お会いできてうれしいです、クリスティーナ。今日この会話ができて光栄です。
KB: 素晴らしいですね。では、まず最初に、現在のCISOとしての役割やCriblが何をしている会社なのか教えていただけますか?
ML: もちろんです。私はここCriblでCISOを務めています。CriblはITおよびセキュリティデータのパイプラインとテレメトリーソリューションを提供しています。ITやセキュリティ担当者にとって重要なのは、システムやソフトウェア、SaaS技術から出てくる膨大なデータを学び、管理し、対処することです。私たちは、適切なデータができるだけ早く適切な場所に届くよう支援し、適切なコスト配分を実現するとともに、さまざまな脅威やビジネス上の混乱に対する洞察とコンテキストを提供することを目指しています。
KB: 素晴らしいですね。CISOはサイバーセキュリティ分野のトップリーダー職と見なされていますが、そこに至るまでには長い道のりがある人もいます。あなたの教育やキャリアの背景、そして最初にサイバーセキュリティに関わったきっかけについて教えてください。シェフの経歴があると伺っていますので、特にユニークだと思います。
ML: そうなんです。私はそれが普通だと思っていました。みんな料理学校に行って最終的にCISOになるんだと。でも実際はユニークな経歴ですよね。私はシェフになりたかったし、次はフードライター、そしてフードクリティックになりたかった。だから料理学校に行き、完全に料理の世界にいました。夏の間、家族や知人の会社でプリンターを運ぶアルバイトをしたのですが、物を持ち上げたり下ろしたりするのが得意でした。一緒に働いていた女性は技術担当で、当時運んでいたプリンターよりも小柄でした。私は力仕事担当で、彼女は頭脳担当。今でも彼女は頭脳担当だと思います。正直、彼女からコピー&ペーストの仕方などを教わりました。妻も私よりずっと技術に詳しく、私はコンピュータを壊しながら使い方を覚えました。廃棄寸前のコンピュータをもらってきて、小さなラボを作ったりして、IPやOSIモデル、アプリケーションのデプロイ、自動化やワークフロー、データの流れなどを学びました。興味深いことに、私の最初のセキュリティの仕事はログやテレメトリー関連でした。それが2003年頃で、今またフルタイムのセキュリティ職に戻り、ログやトレース、メトリクスなどを扱う会社にいます。
KB: 素晴らしいですね。あなたはサイバー分野に転身する前は完全にシェフの世界にいたと話していましたが、サイバーに入ってからCISOになることは目標でしたか?それとも自然な流れでそうなったのでしょうか?
ML: 2003年、2004年当時、CISOという役職があったかどうかも分かりません。あったとしてもごく初期だったでしょう。当時はIT寄りの仕事で、技術者にとってはCIOがキャリアの頂点でした。私はずっとアーキテクトのような、技術に深く関わる人になりたかったんです。その後、数年間人のマネジメントを経験し、技術だけでなく人々を支援する広い機会があることに気づきました。従来型の職業(医者、弁護士、配管工、電気技師など)を目指している人たちにも、技術の急速な変化により新たな可能性が生まれていました。個人の経歴や経験はそれほど重要ではなく、学ぶ意欲や学び方を活かせることが大切だと感じました。CISOとして、他の人の成長を促し、興味を持ってもらうことができると気づきました。今でも私は過去の経歴や学歴だけで人を採用することはありません。もちろんそれらも重要ですが、一番大切なのはパーソナリティと学ぶ意欲だと思っています。
KB: 採用について話されましたが、この分野に入る最良の方法は何だと思いますか?どんな職種に応募すべきか、どんなバックグラウンドが望ましいか、例えば4年制のサイバー関連学位や資格など、アドバイスをお願いします。
ML: すべての科目を実務経験者が教えている学校は存在しないと思います。ですので、大学で学んだことがサイバー関連でも他分野でも、シェフや料理、包丁技術でも構いません。重要なのは、今見ているものをより良くする方法を考えられるかどうかです。例えば、あなたがフィッシングメッセージを受け取っているなら(誰でも受け取ります)、LinkedInやWhatsApp、Instagramのフィッシングメッセージが来るでしょう。私もよくランダムな番号からSMSが届きます。それに興味を持てますか?どうやってそれが発生し、どこから来たのか、調べてみたいと思いますか?そして今、技術的に最も面白い時代、AIの導入期に差し掛かっています。その可能性は計り知れません。卒業生の親御さんから「AIに仕事が取られるのでは」と心配されることもありますが、そうではありません。AIを使って反復作業を自動化したり、調査を効率化したりできる人材が求められています。無料・有料を問わず利用できるものを活用することが大切です。私が候補者に求めるのは好奇心のレベルです。11段階中11くらいが理想です。飢えと好奇心が最も重要な資質です。
KB: 現在一緒に働いている、または管理している人たちについて、どんな点が際立っていますか?採用時には好奇心や飢えを重視するとおっしゃいましたが、実際に働く中で問題解決や対応で印象に残る資質は何でしょうか?
ML: 私にとって最も重要なのは、セキュリティに関わる人々への共感です。例えばアプリケーションセキュリティの欠陥を見つけたとき、それを意図的に起こしたわけではない開発者に共感すること。また、技術に詳しくない営業担当者がリンクをクリックしてしまった場合も、責めるのではなく指導の機会と捉え、緊張やスティグマを和らげることが大切です。チームの誰もが「この人は怪しい」と思うこともありますが、本質的には「彼らをより良くし、攻撃に対処できるよう助けたい」という気持ちです。経営層でも忙しさからミスをすることがありますが、思いやりのある文化重視の対応が重要です。私のチームは年齢も経歴も多様ですが、共通しているのは共感と文化の成長を大切にしていることです。文化は拡大します。文化はどの会社でも最も重要な要素です。MBA的な「文化は戦略を朝食に食べる」的な話もありますが、セキュリティ文化や信頼は失いやすく、築くのは大変です。信頼されるチームとなり、会社やネットワークをより安全にすることが私やチームにとって最も重要です。
KB: 文化や周囲の人々について話していただきましたが、メンターシップについても伺いたいです。サイバーセキュリティや料理の世界で、個人的にもキャリア的にも印象的なメンターはいましたか?また、メンターを選ぶ際のアドバイスはありますか?
ML: ありがとうございます。良い質問ですね。多くの人はメンターについて十分に考えていないか、「メンターが必要だからチェックリストを埋める」感覚で捉えがちです。まず、メンターは一人ではありません。複数いて当然ですし、経験や相性によって変わります。最初に大切なのは相性です。私は取締役だった人からも学びましたし、彼らは自分が私のメンターだと気づいていなかったかもしれませんが、私はよく相談していました。営業職の友人やCISOのメンターもいます。彼らの経験から何を学べるか、どんな話を自分の経験に翻訳できるかを考えています。CISOのメンターが言っていたのは、「家が火事のときに最後に変えるのはセキュリティシステムだ」ということです。新しい会社に入るとき、その会社が成長中か安定しているかを見極めることが大切です。もし成長や学びを求めるなら、安定・成長中の会社を選ぶべきです。料理の世界では、人の技術への敬意が印象的でした。東京の有名な寿司職人、ジローさんの映画「二郎は鮨の夢を見る」は素晴らしいです。彼は90代になっても最高の寿司を作ることに人生を捧げ、単一料理の店で初めてミシュラン三つ星を獲得しました。当初は「寿司だけで三つ星は無理」と否定されましたが、実際に食べた人は皆「完璧な寿司だ」と絶賛しました。
KB: 素晴らしい話ですね。最後にお聞きしたいのですが、あなたが考えるサイバーセキュリティの未来はどのようなものでしょうか?
ML: サイバーセキュリティの未来は、AIが防御・攻撃の両面で大きく関わるでしょう。そして私たちは適切な技術導入や慎重な判断を教える必要があります。営業、エンタープライズアプリ、エンジニアリング、人事など、すべての部門が新技術の導入を検討するようになります。サイバー分野での最大の変化は、以前は手作業だったことがより速く、違った形で行われるようになることです。新技術を導入する際は、攻撃者も同じものにアクセスできることを理解しなければなりません。攻撃者は多くのミスが許されますが、私たちは毎日正確である必要があります。AIを搭載した技術を導入する際は、測定可能な有用性があるか確認してください。そして常に学び、飢え続け、業界の進歩に目を向けてください。サイバーセキュリティは他分野と同じくらい新技術の導入が進んでおり、これは攻撃者の進化に対応するためです。今や新技術の影響は直接的です。常に先を行き、学び続けることが重要です。そして、共感の心を忘れず、悪い人もいれば良い人もいることを覚えておきましょう。ネットワークを作り、仲間を見つけてください。
KB: たくさんお話しいただきましたが、新卒や今シェフをしていてサイバーセキュリティに転職したい人への最後のアドバイスはありますか?
ML: 自分の技術を磨いてください。続けてください。心を込めて取り組んでください。心がこもっていなければ、どれだけ努力しても身につきません。自分が好きな仕事、信じられる会社、良いと思える場所で働いてください。一緒に働きたいと思える人と働くことも大切です。有名な会社だからという理由だけで選ばないでください。本当に興味があるなら、Criblは常に採用中です。業界で素晴らしい人たちとつなげることもできます。私の子どもたちが将来サイバーや料理の道に進むのも楽しみです。娘は10歳で一緒に料理をし、息子も料理ができます。二人ともサイバーにも料理にも向いていると思います。サイバー業界は広く、多様な道があります。サイバー=一日中コードをハックしたり、脆弱性を修復するだけではありません。新卒が持っている多くのスキルはサイバーセキュリティコミュニティにとって大きな力になります。
KB: 素晴らしいお話をありがとうございました。とても有意義な会話で、これからこの業界を目指す方々にとって大きな助けになると思います。
ML: ありがとうございます、クリスティーナ。とても良い会話でした。
