Dark Readingの「Heard it From a CISO」動画シリーズへようこそ。本シリーズではCISOや他のサイバーセキュリティ専門家からのアドバイスを紹介します。
今回の最新エピソードでは、Dark Readingのアソシエイトエディター、クリスティーナ・ビークが3人のプロフェッショナルにインタビューし、軍からサイバーセキュリティ分野への道のりについて語ります。彼女はBlackDuckの最高情報セキュリティ責任者ブルース・ジェンキンス、Fenix24のアソシエイトディレクター、ジェフ・ライフォード、Deepwatchのサイバーセキュリティ・イネーブルメントディレクター、フランキー・スクラファーニに、サイバーセキュリティのキャリアに適した独自のスキルとマインドセットについて話を聞きます。
軍で培われた規律、細部への注意、リーダーシップ能力は、サイバー防衛という緊迫した世界に直接活かされます。退役軍人はミッションクリティカルな業務の重要性を理解しており、プレッシャー下でも集中力を維持できます。これは、サイバー脅威から組織を守る際に不可欠な資質です。サイバー攻撃は営業時間を待ってはくれません。
サイバーセキュリティ分野は、技術的な経験を持つ人だけでなく、あらゆる軍歴の退役軍人を歓迎します。水上戦闘士官、情報分析官、アビオニクス技術者など、どのような職種であっても、チームワーク、問題解決力、適応力といった軍の基本的価値観がサイバーセキュリティの役割に強固な基盤を与えます。多くの成功したサイバーセキュリティ専門家は、全く異なる軍の専門分野から転身しており、技術的スキルは後から学べる一方で、軍人としてのマインドセットはかけがえのないものだと証明しています。
また、本シリーズの他のエピソードもご覧ください: 「シェフからCISOへ:共感を第一にしたサイバーセキュリティリーダーシップ」(CriblのCISO、マイク・ライオンズ); 「Fastly CISO:重大インシデントをキャリアの起爆剤に」(FastlyのCISO、マーシャル・アーウィン);「FBIからCISOへ:型破りなサイバーセキュリティ成功への道」(KaseyaのCISO、ジェイソン・マナー); 「サイバーキャリアの機会:資格と学位の比較」(長年CISOを務めるメリーナ・スコット);「男性中心のサイバー業界でも、レジリエンスある女性に活躍の場がある」(Weave CommunicationsのCISO、ジェシカ・シカ)
イントロダクション:全編動画書き起こし
クリスティーナ・ビーク: 皆さん、こんにちは。私はDark Readingのアソシエイトエディター、クリスティーナ・ビークです。本日は「Heard It from a CISO」の新しいエピソードをお届けします。今日はCISOからではなく、退役軍人でもある3人のサイバーセキュリティ専門家にお話を伺います。
今日は、彼らがどのように軍からサイバーセキュリティへと転身したのか、そこで学んだこと、そして今後サイバーセキュリティ分野で何を期待しているのかについて語ってもらいます。さっそく始めましょう。
BlackDuckのCISO、ブルース・ジェンキンスとの対談:全編動画書き起こし
この書き起こしは明瞭さのために編集されています。
クリスティーナ・ビーク:こんにちは、ブルース。本日Dark Readingのインタビューにご協力いただきありがとうございます。まずはご経歴についてお聞かせください。軍でのキャリアや、どのようにしてサイバーセキュリティ分野に転身されたのか教えてください。
ブルース・ジェンキンス:もちろんです。長い話なので簡潔にします。1979年6月、高校を卒業したばかりで、当時はあまり成績も良くなく、将来の計画もありませんでした。ソファで寝転がっていたら電話が鳴り、リクルーターからアメリカ空軍について話を聞かないかと誘われました。特に予定もなかったので行ってみることにしました。適性検査を受け、リクルーターは私を持ち上げて「脳外科医になれる」と言い、エレクトロニクス分野、より正確にはF4戦闘機のアビオニクス技術者になるよう勧められました。夏にミネアポリスへ行き、右手を挙げて宣誓し、テキサスへ飛び、基礎訓練を経てカリフォルニアのジョージ空軍基地に初任地として配属されました。数年間エレクトロニクス分野で過ごし、その後ドイツで10年間勤務しました。リーダーシップやマネジメントについて多くを学び、自分自身についても理解を深めました。学位も取得しました。高校時代は学ぶことに興味がありませんでしたが、教育の価値と恩恵をすぐに実感しました。空軍コミュニティカレッジで準学士号を取得し、その後10年かけて学士号も取得しました。ヨーロッパや南西アジアでのキャンペーンの最中で12時間シフトも多かったため、学位取得に10年かかりました。その後アメリカに戻り、コロラドスプリングスのシャイアンマウンテンやピーターソン空軍基地でNORADの支援を行いました。そして士官になりたいと決意し、1995年に空軍の通信・コンピュータ分野(つまりITとサイバーセキュリティ)で士官に任官されました。その後、南西アジアで指揮官となり、2004年にアメリカに戻ってITセキュリティとコンプライアンスに従事していた際、空軍の人事システム「Assignment Management System」で情報漏洩が発生しました。その中心でITセキュリティとコンプライアンスを担当しており、これはアプリケーションセキュリティの問題、いわゆるSQLインジェクションでした。技術的な詳細は省きますが、ソフトウェアの欠陥を突かれてウェブアプリケーションに侵入されました。
KB: なるほど。
BJ: 当時私はAppsec(アプリケーションセキュリティ)の綴りすら知りませんでしたが、リーダーシップやチームワークについてはよく知っていました。私はこの事件を調査するクライシスアクションチームの共同リーダーを務め、その後アプリケーションセキュリティのパイロットプログラムを主導し、空軍がAppsec防御を強化するために何ができるかを模索しました。私の活動がプライベートエクイティ企業の目に留まり、ソフトウェアセキュリティのスタートアップにリクルートされ、28年の空軍キャリア(16年下士官、残りは士官)を経て2007年に退役しました。その後、アプリケーションセキュリティのプロフェッショナルサービス組織を率い、複数の企業で合併・買収を経験し、アプリケーションセキュリティ戦略や顧客対応、営業チームとの協働など様々な役割を経て、最終的にSynopsisにたどり着きました。そして昨年、ソフトウェアインテグリティグループがSynopsisから分離され、現在のBlack Duckとなり、昨年12月1日に最高情報セキュリティ責任者に昇進しました。
KB: すばらしいお話をありがとうございます。軍での経験が、サイバーセキュリティ分野でご自身を差別化し、成功する助けになったと感じますか?
BJ: 軍での経験やスキルが他者との差別化につながったかは分かりませんが、リーダーシップ、チームワーク、仲間意識、そして自分のミッションを信じて働いてくれる人々の重要性を学んだことは、軍を離れた後のキャリアでも大いに役立ちました。私にとっては不可欠だったと思います。これが他者と自分を区別する要素かどうかは分かりませんが、自分のキャリアの歩み方は非常にユニークだと思いますし、最終的に最高情報セキュリティ責任者としてサイバーセキュリティ企業にたどり着いたのもその結果だと思います。
KB: サイバーセキュリティは、退役軍人やこれから退役する人たちにおすすめできる分野だと思いますか?
BJ: 私はサイバーセキュリティを全ての人におすすめします。なぜならスキル不足があるからです。例えば、私のチームにはソフトウェア開発のバックグラウンドを持つメンバーがいます。これはサイバーセキュリティで非常に重要なスキルです。なぜなら、敵がどのようにソフトウェアシステムを攻撃するかを理解することが、リスク分析の重要な要素だからです。幅広く言えば、さまざまな分野からの応募者を歓迎しています。数年前、心理学の学位を持つ方を面接しました。その方は自分が適格でないと感じていましたが、心理学は人や状況、関係性を扱う学問であり、サイバーセキュリティもまさに人とシステム、その相互作用を理解することが重要です。ですので、心理学の学位でもサイバーセキュリティに役立ちます。軍でキャリアを考えているなら、直接関係ないと思ってもサイバーセキュリティを検討してみてください。
KB: さまざまなバックグラウンドの人がいる中で、サイバーセキュリティやテクノロジーに慣れるために活用できるリソースはありますか?
BJ: はい、多くのプロフェッショナル団体があります。ISC 2、ISACA、SANS Instituteなどです。これらは必ずしも唯一のリソースではありませんが、サイバーセキュリティ分野で成功するために必要な知識を得るのに非常に良いリソースです。
KB: すばらしいです。最後の質問ですが、あなたにとってサイバーセキュリティの未来はどのように見えますか?
BJ: 私にとってサイバーセキュリティの未来には、今後も多くの「人間」が関わると考えています。これは人工知能の文脈で言っています。現時点では、AIが進化してもサイバーセキュリティには賢い人材が必要です。AIソリューションの活用だけでなく、敵がAIをどのように使って攻撃してくるかを理解することも重要です。現在、敵は人間であり、多くの自動化を活用して悪事を働いています。AIは悪意ある者にさらなる力を与えます。だからこそ、善良な側にも人間が必要であり、AIを活用して脅威に対抗する必要があります。今後もAIの活用は増えるでしょうが、依然として多くの優秀な技術者がこの分野で活躍し続けると信じています。
KB: すばらしいお話をありがとうございました。Dark Readingのためにお時間をいただき感謝します。多くの方にとって大変参考になると思います。本当にありがとうございました。
BJ: このような機会をいただき、ありがとうございました。
Fenix24アソシエイトディレクター、ジェフ・ライフォードとの対談:: 全編動画書き起こし
この書き起こしは明瞭さのために編集されています。
クリスティーナ・ビーク:自己紹介をお願いします。それから始めましょう。
ジェフ・ライフォード:はい。私の名前はジェフ・ライフォードです。Phoenix24でインシデント対応・復旧のアソシエイトディレクターを務めています。Phoenix24に入社する前は、米国国防総省や陸軍で、機密・非機密のシステムエンジニアリングに携わっていました。その前は米陸軍情報部門の一員でした。
KB: ありがとうございます。軍からサイバーセキュリティへの転身について、もう少し詳しく教えていただけますか?
JL: 実は偶然の産物でした。軍では情報部門で働いていましたが、IT分野にキャリアを移したいと考えていました。その背景や人脈のおかげで、同じ部署でシステムエンジニアリングの仕事に就くことができ、そこから契約業務などさまざまな機会が開けました。特にここ10~15年、DoD(国防総省)では全ての管理者がセキュリティの知識を持つことが求められています。もともとはシステムエンジニアリングや信頼性、冗長性に興味がありましたが、それがセキュリティの可用性の観点から重要になり、徐々に脆弱性管理、インシデント対応、暗号技術、DoD独自のネットワークでの高度なセキュリティに関わるようになりました。その後Phoenixに移り、これまでの経験を活かして、ランサムウェア被害者のためにシステムの復旧や対応をフルタイムで行うようになりました。ミッションに強く惹かれ、偶然この分野に入りましたが、まさに自分の居場所だと感じています。
KB: 軍での経験が、サイバーセキュリティ分野での成功や、同僚との差別化に役立っていると感じますか?
JL: 確かに役立っています。軍では、プレッシャー下で不完全な情報のもとで行動する能力が非常に重視されます。危機的状況では全ての情報を待つ余裕はなく、決断を迫られます。決断しないことも一つの決断です。インシデント対応でも同じで、企業が壊滅的なランサムウェアイベントに遭った場合、完璧な情報を得るまで6か月かけていたら会社が潰れてしまいます。100の疑問のうち10しか答えが得られなくても、それで前に進まなければなりません。軍でこのようなストレス下での行動を学んだ人は、この分野で自然と成功しやすいです。間違えることもありますが、それもまた次の課題として対処します。多くの人はこの状況に慣れていませんが、退役軍人の多くは慣れています。
KB: なるほど。軍人が自分の目的を見つけ、成長できる分野としてサイバーセキュリティはおすすめできますか?
JL: 多くの人にとって、サイバーセキュリティはおすすめできます。サイバーセキュリティには高いストレスや緊張感、即応性が求められます。ミッションは今すぐにでも重要で、月曜の朝まで待ってくれません。退役軍人はこのようなミッションへの責任感や使命感を理解しています。技術的なバックグラウンドがなくても、そのマインドセットは非常に大きな価値があります。技術的に優れていてもリスク判断ができない人もいれば、リスク判断が得意で技術的知識が浅い人もいます。両者を組み合わせれば、退役軍人の活躍の場があります。
KB: 最後の質問ですが、サイバーセキュリティの未来はどのように見えますか?
JL: ここ数年、大規模なランサムウェアイベントが増えています。従来のように一部のコンピュータだけで発生するインシデントではなく、全体に影響が及ぶため、問題を切り離して対処することができなくなっています。今後もこの傾向は強まるでしょう。私たちはこれをサイバー戦争の時代と呼んでいます。問題はマルウェアやウイルスではなく、人間やAIが自分たちの環境を標的にして戦ってくることです。これは全く新しい脅威のクラスであり、対抗するには異なる姿勢が必要です。今後もこのような高強度のサイバー紛争が増えていくでしょう。
KB: ありがとうございました。本日はDark Readingのインタビューにご協力いただき感謝します。
JL: こちらこそ、ありがとうございました。
Deepwatch サイバーセキュリティ・イネーブルメントディレクター、フランキー・スクラファーニとの対談:全編動画書き起こし
この書き起こしは明瞭さのために編集されています。
クリスティーナ・ビーク:こんにちは、フランキー。本日はDark Readingのインタビューにご協力いただきありがとうございます。まずは軍でのご経歴や、どのようにしてサイバーセキュリティ分野に転身されたのか教えてください。
フランキー・スクラファーニ:はい、良い質問ですね。私のキャリアは大学時代に始まりました。通っていた大学で空軍のROTCプログラムに参加し、デジタルフォレンジクスなどのコンピュータ関連の授業を受けていました。影響力のある教授たちの勧めでサイバーセキュリティの道に進みました。多くの大学生と同じように、将来何をしたいか模索していました。
軍に入った当初、私はサイバー専門のキャリアフィールドに配属される幸運に恵まれました。当時はまだ新しい分野で、以前は無線通信が主でしたが、私は最初のサイバーセキュリティ(攻撃・防御両方)訓練を受けた数少ない一人でした。コンピュータサイエンスとコンピュータエンジニアリングの教育を受け、空軍でサイバーセキュリティの訓練も受けました。最初の配属先はNSA(米国家安全保障局)で、インシデント対応業務を支援していました。現場でインサイダー脅威の評価やIR(インシデント対応)業務を行い、その後NSAのサイバー攻撃部門(TAO)に異動し、SIGINTミッションを通じたサイバーインテリジェンス活動に従事しました。その後、民間でのキャリアを試したくなり、現役を離れてFire EyeのシニアSOCアナリストに転職しましたが、まだ奉仕の気持ちが残っていたので、指揮官の勧めでエアナショナルガードに入りました。ガード部隊はサイバーコマンドに連携しており、民間キャリアを始めながらも軍務も続けました。フォートミードやドイツのラムシュタイン空軍基地でサイバー部隊の訓練を担当し、Fire Eye、Mandiant、Googleと民間キャリアも成長させ、現在はDeepwatchでサイバーイネーブルメントディレクターとしてチームを率いています。とても面白く充実したキャリアです。
KB: ありがとうございます。軍から民間への転身はどのようなものでしたか?サポートは十分でしたか?スムーズでしたか?
FS: スムーズでもあり、困難でもありました。スムーズだった理由は2つあります。1つ目は、軍でもサイバーセキュリティ分野だったので、民間でもそのまま活かせる訓練やスキル、経験があったことです。困難だったのは、軍で得られる多くのものを失うことです。仲間や連帯感、国に貢献するという使命感など、軍を離れると喪失感に悩むことがあります。計画があっても、自分がこの世界でどう生きるかを見つけるのは難しいものです。だからコミュニティや、同じ経験をした友人、退役軍人コミュニティに頼ることが大きな助けになります。
KB: 軍での経験は、今のサイバーセキュリティの仕事に役立っていますか?
FS: もちろんです。軍のどの部門でも、軍でのキャリアを通じて身につくスキルがあります。例えば、毎日制服の点検を受けることで養われる細部への注意力は、サイバー分野では特に重要です。IPアドレスやドメイン名の1桁のミスが、攻撃者を止められるかどうかを左右します。このような注意力や集中力、リーダーシップなど、軍で自然と身につくスキルはサイバーセキュリティで非常に役立ちます。
KB: あなたはコンピュータサイエンスやサイバーセキュリティに興味があり、そのおかげでこの分野に入れたと思いますが、今は非伝統的なバックグラウンドからサイバーセキュリティを目指す人も多いです。軍人でIT経験がない人がサイバーセキュリティを目指す場合、どんなリソースやコミュニティを勧めますか?
FS: もちろんです。まず、キャリアチェンジでサイバーセキュリティに入る人が大好きです。技術やIT以外のバックグラウンドを持つ人がもたらす多様なスキルは素晴らしいです。軍で艦船の指揮をしていた人が独学でITやサイバーを学び、サイバーセキュリティの専門家になった例もあります。元小学校教師がサイバーセキュリティに転身した例も知っています。多様なバックグラウンドからの転身は十分可能です。IT経験がなくてもサイバーセキュリティへの転身は可能で、多くの成功例を見てきました。
リソースとしては、現役軍人向けにSkill Bridgeという180日間のインターンシップ制度があります。現役のまま企業でインターンをし、給与や福利厚生も維持されます。私ももっと知っていればよかったと思う制度です。現役軍人や雇用主はSkill Bridgeを活用してください。
他にもGIビルでの教育支援や、SANSによる退役軍人向けの無料トレーニングなど、多くのリソースがあります。地元のBSidesやSmooconなどのカンファレンス、ITやサイバー分野のローカルコミュニティにも参加しましょう。サイバーセキュリティは人脈が重要なので、ぜひ積極的にコミュニティに参加してください。
KB: ありがとうございます。最後の質問ですが、あなたにとってサイバーセキュリティの未来はどう見えますか?
FS: はい。サイバーセキュリティ分野ではスキルギャップが長年続いており、今も解消されていません。だからこそ、より多くの退役軍人にこの分野に興味を持ってもらい、キャリアにしてほしいと思います。また、現在世界全体がAIの進化という大きな変革期にあります。AIをツールとして活用できれば大きな力になります。ITやサイバー分野に新しく入る人は、様々なAIモデルを積極的に試し、勉強や日々の業務に活用してください。AIはゲームチェンジャーです。
KB: 本日は貴重なお話をありがとうございました。皆さんの知恵に感謝します。
FS: こちらこそ、クリスティーナさん、ありがとうございました。
翻訳元: https://www.darkreading.com/cybersecurity-operations/military-veterans-strengthening-cybersecurity
