キース・マッカモンは、まずテクノロジストであり、その次にセキュリティの達人となった人物だ。サイバーセキュリティについて正式な教育を受けたことは一度もない。しかし、テクノロジーへの愛情とパズルを解くことの喜びが、自然とこの分野へと彼を導き、道中で学び続けてきた。
Red Canaryの背景
現在はSixgen傘下にあるKyrus Techは、Carbon BlackとRed Canary(現在はZscaler傘下)双方の源流となった企業である。
Kyrusはエンドポイント検知・対応(EDR)技術を開発し、2011年にCarbon Blackを完全子会社として設立した。実質的にはEDRに特化したKyrusの事業部門である。2013年までには、多くのEDR顧客が、Carbon Blackによって検知された問題への対応について、追加の支援を必要としていることが明らかになった。
当初はこれを社内で対応していたが、2014年にRed CanaryがKyrusからスピンアウトし、独立企業として設立された。Carbon BlackのEDRの上にMDRを提供するためである。同社はブライアン・ベイヤー(CEO)、クリス・ロース(CTO)、そしてキース・マッカモン(CSO)によって創業された。KyrusはRed Canaryの初期シード資金にも出資している。
同じ年、Bit9がKyrusからEDR事業を買収し、その2年後に社名をCarbon Blackへと変更した。このCarbon Blackは2019年にVMwareに買収され(VMware Carbon Blackとなる)、そのVMwareは2023年にBroadcomに買収され、2024年にはBroadcomのSymantec資産に統合された。
Red Canaryは10年以上にわたり独立企業として事業を継続してきたが、2025年8月に完了した取引でZscalerに買収された。
「カーボンブラック」と「レッドカナリア」はどちらもメタファーだ。カーボンブラックは、さまざまな素材に加えることで、深く均一に統合され、強度を高める炭素の一種である。レッドカナリアは、かつて炭鉱に連れて行かれ、有毒ガスという脅威が存在する場合に、早期警告を発し、回避行動を促したカナリアを想起させる。
キース・マッカモンのキャリアパス
マッカモンはサイバーセキュリティのキャリアを選んだわけではない。彼自身の言葉を借りれば、「たまたま出会った」のだ。
多くのセキュリティ専門家と同様に、彼も幼い頃からコンピュータに触れていた。父親はベル研究所で働き、兄はコンピュータに強い関心を持っていた。しかし、彼自身はそうではなかった。
「子どもの頃、コンピュータを使い始めたのは、ある意味、半ば強制されたからです。」学校で仕事を探す必要があり、彼はライフガードかジムで働きたいと思っていた。「ところが、地下のコンピュータラボに放り込まれたんです。そこが、たくさんのユーザーがいる、意味のある規模のコンピュータに初めて触れた場所でした。」
すべてが初めてで、経験も訓練もなかったが、彼は踏ん張って仕事をしながら学ぼうとした。そこで二つのことに気づく。自分はテクノロジーが好きだということ、そして問題を解くことが大好きだということだ。いきなり深いところに放り込まれたものの、コンピュータシステムやネットワーキングを楽しんでいる自分を見出した。
卒業後、ネットワーキングの知識を多少身につけていた彼は、ドットコムブームのさなかに通信業界で働き始めた。まだサイバーセキュリティという分野ではなかった。というのも、その分野はほとんど存在しておらず、ようやく立ち上がりつつある段階だったからだ。マーティン・ロエシュのSnortが出たばかりで、Sourcefireもまだ創業されていなかった。しかし、サイバーセキュリティ上の脅威は目に見えて増加し、問題を引き起こし始めていた。
「本当に難しくて面白い問題は、いつも誰か別の人のところに回されていることに気づいたんです。自分がその“別の人”になりたかった。サイバーセキュリティの複雑さ、チャレンジ性、そして対立的な性質に魅力を感じました。」いつものように、彼は独学で、仕事を通じて学んでいった。「それが私の旅路でした。ネットワークを構築し、それが悪用されていることを理解し、そしてどうすればそれを把握できるのかを考えるようになったのです。」
しかし、それは旅の前半に過ぎない。彼はテクノロジーとサイバーセキュリティの概念を理解したが、依然として深い問題解決とサイバーセキュリティの対立的側面に強い関心を持っていた。国家安全保障や、国家レベルのエリートハッカーという問題に興味を持つようになったのは、当然の流れだろう。彼はManTech、続いてKyrus Techへと移っていく。
ManTechは、政府機関向けのサイバーセキュリティおよび先端技術ソリューションを専門とする米国の防衛請負企業である。同社は自らをこう表現している。「ManTechのサイバー専門家は、クライアントがサイバースペース優勢を支えるために、否定(Deny)、防御(Defend)、制圧(Dominate)を可能にする、革新的なフルスペクトラムのサイバー任務能力を研究・開発・提供します。」ManTechでの経験は、マッカモンに攻撃的サイバー作戦の経験と、国家レベルのエリートな敵対者が日々どのように仕事をしているのかという理解を与えた。
Kyrus Techは、元ManTech社員によって設立されたという点で、ある意味ManTechに似ている。しかし本質的には、リバースエンジニアリング、データサイエンス、高度なセキュリティソリューションを専門とするソフトウェア開発企業であり、従業員の独創的な思考を奨励する文化を持っていた。この文化からCarbon Blackが生まれ、続いてCarbon Blackのテレメトリを最大限に活用することを目的としたRed Canaryのスピンアウトへとつながった。Red Canaryは、マッカモンを含む3人のKyrus社員によって設立された。
マッカモンは、自分は「たまたま」サイバーセキュリティに出会ったと言う。だが、彼はノルン(運命の女神)に導かれてこの分野に入り、さらにRed Canaryへと進んだのだと示唆したくもなる。
セキュリティリーダーであるということ
マッカモンはサイバーセキュリティについて正式な教育を受けたことがなく、コンピューティングやセキュリティに関する学位も持っていない。「一つもありません」と彼は言う。それは彼のキャリアの妨げになったのだろうか。「そうは思いません。学術的なバックグラウンドはありませんが、時間を割いて教えてくれたメンターたちに恵まれました。だから、それが足かせになったとは思いませんが、私が優秀だから成功したというわけでもない。素晴らしい人たちと一緒に働けたことと、自分自身の決意と強情さの組み合わせです。私の道のりは、防御と攻撃の両方を含む国家安全保障の分野へと進み、偶然にも、ここ20年一緒に働いてきた素晴らしい人たちの集団に出会うことになったのです。」
ここで一つの疑問が生じる。防御側に携わると同時に、攻撃側にも間近で関わってきた彼の経験からすると、サイバーセキュリティリーダーは本質的にハッカーであるべきなのだろうか。「そうであることのデメリットはほとんどない」と彼は言う。
彼自身は自分をハッカーだとは考えていないが、そのキャリアと姿勢を踏まえると、明らかにハッカーのマインドセットを持っている。彼は、ハッカーの重要な特性として、ミッションへの集中力、好奇心、そして「何よりも、自分の目的を達成するまで決して諦めないこと」を挙げる。それは、キース・マッカモンそのもののように聞こえる。
彼の仕事には、国家安全保障ミッションを基盤としつつ、シギント(信号情報)を含む攻撃的サイバーセキュリティも含まれていた。自分たちがやるときはシギント(SIGINT)であり、相手がやるときはサイバースパイ(諜報)である。同時に、防御側としての訓練では、国家レベルのAPTというエリートハッカーたちと対峙してきた。つまり彼は、ハッカーがどのように動き、どうすれば止められるのかを知っているという強みを持っている。
「ほとんどの組織は、国家安全保障の現場で我々が相手にしているような敵と対峙しているわけではありません。多くの組織は、朝起きて、国家の最精鋭チームの一つに属する“頂点の敵”と向き合うことにはならない。それが大半の侵害の現実ではないのです。しかし、そうした侵害がどのように起こるのか、特に“悪者”だと我々が考えているが、彼らにとっては単なる仕事であるプロフェッショナルたちによるサイバー侵入が、いかに緻密で体系的に行われるのかを理解していることは…私にとって非常に有益な経験と視点になっています。」
それは彼自身には役立ったが、それが不可欠だとか、常に有利だとは考えていない。「“銃をぶっ放すハッカー”として、すべての経験が破壊に偏っている状態でCISOの役割に就くのは難しいと思います。それは、人々がどうやって侵入するかを理解するには役立ちますが、エンタープライズシステムがどのように構築され、どう通信しているのか、そしてあらゆる制約、人間的要因、リスク要因、予算要因などを深く理解することにはつながらないかもしれない。CISOには非常に幅広いスキルが求められます。これは、私が出会った中で最も垂直統合された職種の一つです。ハッカーのマインドセットや考え方、能力を“十分に”理解している必要があり、エンタープライズITについても“十分に”理解している必要がある。優れたコミュニケーターでなければならず、自分がいるビジネスの経済性についてもよく理解していなければなりません。」
この垂直統合性は、CISOの流動性、すなわち“CISOの入れ替わりの激しさ”の重要な要因でもある。大企業のCISOは、そのポジションに長年とどまる傾向があるが、中小企業では離職が早く、在任期間は短い。主な理由は4つある。ストレスと燃え尽き、より多くのリソースと権限、報酬を持つ“より良い会社”への転職、侵害のスケープゴートとして解雇されること、そしてより大きな企業に買収され、2人目のCISOが不要になった結果として職が消滅することだ。
「それがこの仕事の性質なんです」とマッカモンは説明する。「CISOが新しい職場に入るとき、初日から、最終日が思ったより早く来るかもしれないと分かっている。仕事には膨大な組織力学が絡み、そして本質的に“対立的”なんです。」ときには、敵は社内にいる。セキュリティ予算を削減・抑制しようとする財務責任者、どう考えても安全ではあり得ない、あるいは安全にできないことを要求するビジネスリーダー、セキュリティガイドラインを守ろうとしない、あるいは守れない従業員たち。CISOには、どうしてもヤヌス的な二面性がつきまとう。
CISOは、ビジネスをうまく守ることができても、自身のポジションは常に不安定なままかもしれない。しかしそれもまた、この仕事の本質だとマッカモンは言う。では、このように複雑でストレスフルで不安定なポジションをうまく乗り切るために、CISOに最も役立つ性格や資質とは何だろうか。マッカモンは二つ挙げる。
「まず第一に、コミュニケーション能力です」と彼は言う。一見、セキュリティの問題とは無関係に思えるかもしれないが、あらゆる問題の解決には直結している。「優れた思考力とコミュニケーション能力、特に優れた文章力は、非常に重要だと思います。」
しかし第二に、そしてさらに重要なのは、冷静さを保つ能力だ。「セキュリティリーダーにとって最も重要な資質は、ストレスの高い状況でも冷静でいられることです」と彼は言う。キップリングもかつて似たようなことを言っている(現代の女性リーダーの皆さんにはお詫びするが)――「まわりの人がみな取り乱し、お前のせいだとお前を責めるときでも、平静を保っていられるなら;すべての人がお前を疑っても、自分を信じ続け、しかも彼らの疑いにも耳を貸すことができるなら……お前は一人前の男になるだろう、わが子よ。」キップリングはCISOについて書いていたわけではないが、その言葉は現代のCISO像に見事に重なる。
業界へのアドバイス
メンターから受けるアドバイスは、どんなキャリアの成長にとっても重要な要素だ。マッカモンにとって重要なのは、単なるアドバイスではなく、経験から何を学び、その学びをどう活かすかである。実質的には、彼が多くのメンターを観察することで得た“学び”がアドバイスとなっている。「私は国家安全保障の分野で、60〜70の拠点と、それぞれにスタッフがいる環境で働いていました。チームを率いた経験はありましたが、これほど大きく、しかもリスクが非常に高いチームは初めてでした。」彼は国家レベルの活動の猛攻に直面し、追加の“レバレッジ”を必要としていた。
「そのとき気づいたのは、自分が部屋で一番賢い人間であっても、それだけでは問題は解決しないということです。本当に必要なのは、効果的に権限委譲する能力なんです。」彼は以前のメンターからこれを学んでいた。それは、誰かに何をすべきか細かく指示することではなく、その人が何をすべきかを理解しており、実行してくれると信頼することだ。リーダーは原則を教え、その原則をどう実現するかはメンバー自身の判断に任せるべきだ。
「人は、ただ言われたことをやっているだけでは学べません。自分で決断し、自分で失敗することで学ぶのです――そこから成長が生まれます。」
では、他者に向けて何か具体的なアドバイスをするとしたら何か、とさらに尋ねると、彼はしばらく考えた後、こう答えた。「前向きでいなさい。サイバーセキュリティをめぐるニヒリズムと戦うんです。」これはよく引用される「侵害されるかどうかではなく、いつ侵害されるかの問題だ」という言葉に典型的に表れている。「私はRed Canaryに入社する全ての新入社員に、『不満を言う一番良い方法は、何かを作ることだ』と伝えています。」これは、UNIVACコンピュータ向けの世界初のコンパイラの原型を開発した伝説的なグレース・ホッパーの言葉だ。
「うまくいっていない、あるいは問題があるとき、人は必要な人材やツールがないことを不満に思うかもしれません。でも、一歩引いて、不満を言うのをやめて、何かを作ってそれを機能させることもできる。自分の組織やサイバーセキュリティ、あるいは世界が、自分の思うように機能していないからといって落ち込んだり怒ったりするのではなく、それを機能させるための何かを作るんです。小さなツールを作ってもいいし、プログラムを作ってもいいし、自分が教わりたかったことを人に教えるのでもいい。」
これは、彼がもっと早くキャリアの初期に学んでおきたかったことでもある。「私自身、何度も幻滅のどん底を経験しました……“こんなの絶対うまくいかない、私たちは絶対に勝てない”とね。でも、顔を上げて前向きでい続けることで、好循環が生まれる――そして、危機のときに自分が話をしたくなるような、味方にいてほしいと思えるような人間になれるんです。」
彼のアドバイスを少し言い換えるなら、「積極的に前向きであれ」となるだろう。
現在の脅威
一般的には、ランサムウェア、ワイパー、インフォスティーラーのような、よりアクティブなマルウェアタイプが主要な脅威だと考えられている。マッカモンの見方は少し違う。「ランサムウェアは結果であって、多くの別の脅威が結実したものです。私が間違いなく最も懸念しているトレンドは、ランサムウェアのような事態が“どのようにして”起こるのか、という点です」と彼は指摘する。
最大の脅威は、敵対者の多様性と、プロフェッショナリズムの高まりである。マッカモンはその例としてClickFixを挙げる。「標的に実装されているあらゆるセキュリティコントロールをかいくぐって、フィッシングメールを届けようと躍起になる代わりに、攻撃者はサイレントなマルバタイジングやドライブバイ攻撃を使って、ユーザーの側から“招き入れてもらう”ように仕向けるのです。」
このアプローチは非常に巧妙で、‘マルウェアが検出されました、このリンクをクリックして削除してください’といった、けたたましく点滅する警告よりもはるかに効果的だ。後者は恐怖という感情トリガーを使うが、そこには信頼がない。一方、ClickFixは恐怖を伴わない“信頼”を利用する。
何が有効かを学び取るこの柔軟性に、犯罪サービス化(crime-as-a-service)の拡大が加わり、新たな手法が犯罪エコシステム全体に急速に広まっていることこそが、個々の悪意あるペイロードよりも大きな脅威となっている。ペイロードはあくまで結果であり、真の脅威は、サイバー犯罪のプロフェッショナリズムと、サイバー犯罪者たちの創造性なのだ。
翻訳元: https://www.securityweek.com/ciso-conversations-keith-mccammon-cso-and-co-founder-at-red-canary/
