出典: Kjetil Kolbjørnsrud via Alamy Stock Photo
最高情報セキュリティ責任者(CISO)として、彼は会社のデジタル世界を守る方法を知っていました。しかし、彼が知らなかったこと、そして訓練されていなかったことは、メキシコのカルテルがオフィスの窓のすぐ外で人々を斬首する中でそれをどうやって行うかでした。
別のCISOは、子供をサッカーの練習に連れて行く準備をしながら車の中に座っていました。彼はバックし、上を見上げ、自宅の玄関を閉め忘れたことに気づきました。彼は車を降りて家のドアを閉めに行きましたが、車のギアをパークに入れるのを忘れていました。車と子供は車道を後ろに転がり始めました。その時、彼は自分がどれほど燃え尽きていたかに気づきました。本当に燃え尽きていたことに気づきました。彼は翌日辞職しました。
これらは、新しいドキュメンタリーシリーズ「CISO: The Worst Job I Ever Wanted」に登場する多くの個人的なストーリーのうちの2つです。このプロジェクトは、CISOの役割を定義することを目的としており、高いリスクで知られる仕事であり、さらに高い燃え尽き率を持つ仕事です。
このシリーズは、CISOを支援し、保護し、彼らに声を与え、日々の苦労を乗り越える中で彼らが一人ではないことを思い出させるために制作されました。このドキュメンタリーシリーズはまた、CISOが脆弱になる機会を提供し、その役割で実際にどのような経験をするのかを明らかにしました。シリーズのプロデューサーたちは、CISOの状況を改善するための法案を推進する人々を支援したいとも考えています。
関連:サイバーセキュリティを形作ったハッカーにスポットライトを当てる新しいドキュメンタリーシリーズ
仕事の期待は非現実的か?
CISOは、組織の技術面とビジネス面の両方を管理することが期待されています。この役割には広範なコミュニケーションスキルが必要です。なぜなら、多くのリーダーやステークホルダーは技術やそれを組織全体で最適に実装する方法を理解していないからです。サイバー攻撃が増加する中で、CISOは増大するセキュリティ予算を正当化しなければなりません。そして、会社が攻撃を受けた場合、CISOが最初に責められることが多いです。例えば、2023年に証券取引委員会(SEC)は、SolarWindsとそのCISOであるティモシー・ブラウンを「既知のサイバーセキュリティリスクと脆弱性に関連する詐欺と内部統制の失敗」で告発しました。フォレスターのアナリストはこの起訴について、SECが「CISOをスケープゴートにしている」と指摘し、「CISOに弁護士をつけるように助言しました。」
ドキュメンタリーシリーズに登場するほぼすべてのCISOが慢性的な状態を発展させていると、ドキュメンタリーシリーズのエグゼクティブプロデューサーであり、Nagomi Securityのグローバルマーケティングディレクターであるダニエル・ルワンはDark Readingに語ります。ルワンは、ソーシャルメディアに投稿されない、真に自分を明かすストーリーに常に感銘を受けてきました。サイバーセキュリティに足を踏み入れた後、彼女の役割の一部はCISOと話すことでした。彼女が学んだことは驚くべきものでした。
関連:CompTIA XpertシリーズがSecurityXプロフェッショナル認定で拡大
「私は何年にもわたって逸話を聞いてきました。特にあるCISOは、大規模な通信会社のセキュリティプログラムを監督していましたが、彼をインタビューしているとき、彼の背後には約5ダースの賞があり、『これらが見えますか?私は成功や勝利で評価されるのではなく、私のミスで評価されます』と言いました」とルワンは言います。「それはある種の波及効果でした。そして、昨年のブラックハットで、私たちはクローズドドアのイベントを開催し、約12人の評判の良いCISOを部屋に集めました。私のキャリアで初めて、彼らが恐怖や不安について話すのを聞きました。それはほとんどカタルシスのセラピーセッションのようでした。彼らはこの役割に座ることがどのようなものかについての感情を話したことがありませんでした。」
ドキュメンタリーシリーズの参加者の一人は、1995年にシティグループが彼を迎え入れたとき、広く最初のCISOと見なされているスティーブ・カッツの下で働いていました。最初のCISOと見なされています。
「CISOはC-suiteにいるにもかかわらず、C-suiteにいるようには扱われていません」とルワンは言います。多くのCISOは組織のこの一部についてのみ意見を求められ、他のことについては求められないことを指摘しています。彼らはしばしば技術的に専門化された内向的な人々であり、組織全体でコミュニケーションを取るための戦略的なビジネスの洞察力を求められています。「期待と個人的な責任が増えています」とルワンは言います。
‘どのようにしてここにたどり着いたのか?’
ドキュメンタリーシリーズは、CISOになるために必要なものを定義することを目的としています。例えば、CISOはどのように認定されるべきか?信頼性はどのように測定されるべきか?業界はCISOの役割をどのように標準化できるか?
「私たちは、人々がどのようにしてここにたどり着いたのかを理解する手助けをしたい」とルワンは説明します。
シリーズのもう一つの目標は、CISOの役割を取り巻くさまざまな懸念を解決できる人々を支援し、可能にすることです。それが新しい法案を推進することを意味するのか、役割の明確な定義を作成することを意味するのか、CISOがどのように保護されるべきかを決定することを意味するのかにかかわらずです。サイバー保険でさえ彼らの保護を保証するものではないとルワンは警告します。
一部のCISOは感情的な脆弱性の可能性からカメラに出ることに躊躇していましたが、最初の数人が参加を決めると、ドミノ効果が生まれ、さらに多くの人が参加しました。CISOへの提案は、プロデューサーが潜在的な参加者に単なるサウンドバイトを求めているのではないことを説明するディスカバリーコールから始まりました。「これはベンダーの制作ではなく、人間の制作です」とルワンは言います。
これまでにティーザートレーラーが公開されており、公式トレーラーは8月のブラックハット会議で公開される予定です。シリーズの最初の3エピソードは秋に予定されています。
会話に価値を追加する
サイバーセキュリティ業界全体の問題を強調することはますます重要になっていますが、ドキュメンタリーシリーズはどれだけの価値を会話に追加するのでしょうか?
コロンビア大学国際公共政策大学院の上級研究員であるジェイソン・ヒーリーは、この種のサイバーセキュリティ関連の資料は、政府関係者やホワイトハウスなどの政策面で役立つと述べています。ヒーリーは、ニューヨークタイムズのジャーナリスト、デイビッド・サンガーの「The Perfect Weapon」がサイバー戦争の危険性を概説し、アレックス・ギブニーの「Zero Days」がStuxnetとオリンピックゲームズマルウェアの開発、展開、発見を描写しているようなドキュメンタリーは、全国のさまざまな大学で政策に焦点を当てたカリキュラムでよく使用されていると述べています。
「[それは]多くの資料への親しみやすい紹介であり、映画を使うことで堅苦しい本よりも取り込みやすい」とヒーリーは言います。