Dark Readingの動画シリーズ「Heard it From a CISO」へようこそ。本シリーズでは、サイバーセキュリティ分野に実際に携わってきた人々から、この業界に入り、キャリアを築いていくためのアドバイスをお届けします。
サイバーセキュリティは、個人のプライバシーから世界規模のビジネス運用まで、現代生活のあらゆる側面に関わる分野です。Dark Readingの最新エピソードでは、Cato Networksのチーフ・セキュリティ・ストラテジストであり、ボストン・カレッジの教授でもあるEtay Mayorが、自身の歩み、専門知識、そしてこの絶えず進化する領域に入ろうとする人々への助言を共有します。数十年にわたるキャリアを持つMayorの独自の視点は、サイバーセキュリティの中にある多くの機会と、効果的な防御を構築するために攻撃者のように考えることの重要性を浮き彫りにしています。
好奇心旺盛な10代の頃に学校のデータベースをハッキングした経験から、コンピュータサイエンスや対テロリズムの高度な学位取得に至るまで、彼の歩みは、好奇心と実践的な学びの価値を示しています。現在、Mayorは技術的専門性とストーリーテリングのスキルを生かして、学生やプロフェッショナルを教育し、現代のサイバー脅威に対処するうえで多様な視点が必要であることを強調しています。Cato Networksとボストン・カレッジでの彼の活動は、この分野におけるイノベーションと協働を育むという彼のコミットメントを反映しています。
このインタビューでMayorは、サイバーセキュリティは単なる技術分野ではなく、法、政策、マーケティングなどとも交差する多面的な領域だと強調します。オンラインチュートリアルからAIツールまで、今日利用できる豊富なリソースを活用し、業界の協働的な性質を受け入れるよう、志望者に促しています。技術の専門家であっても、法務やビジネスのバックグラウンドを持つ人であっても、学び、適応し、創造的に考える意欲がある限り、サイバーセキュリティには誰にでも居場所があるとMayorは考えています。
また、本シリーズの他の回もぜひご覧ください:「スキルギャップを埋める:軍の退役軍人がサイバーセキュリティを強化する方法」は、BlackDuckの最高情報セキュリティ責任者(CISO)であるBruce Jenkins、Fenix24のアソシエイト・ディレクターであるJeff Liford、DeepwatchのCybersecurity EnablementディレクターであるFrankie Sclafaniが登場。「シェフからCISOへ:共感を最優先するサイバーセキュリティ・リーダーシップ」は、CriblのCISOであるMyke Lyonsが登場。「FastlyのCISO:重大インシデントをキャリアの起爆剤にする」は、FastlyのCISOであるMarshall Erwinが登場。「FBIからCISOへ:サイバーセキュリティ成功への型破りな道」は、KaseyaのCISOであるJason Manarが登場。「サイバー分野のキャリア機会:資格と学位をどう比較するか」は、長年CISOを務めるMelina Scottoが登場。さらに「男性優位のサイバー業界にも、レジリエンスを備えた女性のための場はある」は、Weave CommunicationsのCISOであるJessica Sicaが登場します。
Cato NetworksのEtay Mayor:全文書き起こし
この書き起こしは、明確さのために編集されています。
Kristina Beek: こんにちは、Kristina Beekです。Dark Readingのアソシエイト・エディターで、今回は「Heard It From a CISO」の新しいエピソードをお届けします。ここでは、専門家やサイバーセキュリティのプロフェッショナルから、この分野の内側について伺います。本日はCato Networksのチーフ・セキュリティ・ストラテジスト、Etay Mayorさんにご参加いただきます。本日はお越しいただき、本当にありがとうございます。
Etay Mayor: お招きいただきありがとうございます。
KB: では最初から始めましょう。学歴やバックグラウンドはどのようなもので、最初にどのようにサイバーセキュリティに関わるようになったのですか?
EM: バックグラウンドとしては、コンピュータサイエンスの学士号と、対テロリズムおよびサイバーテロリズムの修士号を持っています。ただ、コンピュータやサイバーセキュリティに入ったのは子どもの頃です。ずっとコンピュータで遊んでいましたし、物を分解するのが好きでした。勉強はあまり得意ではありませんでしたが、コンピュータはかなり得意で、実際に学校のデータベースに侵入して成績を書き換えたことがあります。
KB: すごい。
EM: それがサイバーセキュリティの始まりでした。見つかって、罰を受けました。ちなみに、他の子どもたちにもやり方を教えて、彼らも成績を変えられるようにしていました。私と学術の関係はなかなか面白いのですが、そうやってコンピュータとハッキングに入っていきました。正式な教育なしで始めて、そこから積み上げていったんです。
KB: 正式な教育はどのようなものだったのですか?
EM: 高校を卒業して学部を修了し、その後修士課程も終えました。同時に、学部在学中から業界にも入りました。仕事を始め、不正対策とサイバーセキュリティの領域でプロジェクトマネジメントをしていました。
KB: チーフ・セキュリティ・ストラテジストになるまでの道のりを、どのように説明しますか?職業上のキャリアはどのようなものですか?
EM: 職業上のキャリアとしては、不正対策の領域でプロジェクトマネジメントから始めました。そして、フィッシングやマルウェアのごく初期の時代について理解するようになりました。攻撃がどのように起き、組織にどんな影響を与えるのか、ということです。すぐに脅威インテリジェンスの領域へ移り、舞台裏で何が起きているのかに深く入り込みました。脅威アクターがどう考え、どう行動し、何を話し、彼らのフォーラムやマーケットがどのようなものかを研究しました。RSAのリサーチラボを運営し、そこではリバースエンジニアやペネトレーションテスターのチームを率いていました。同時に、複雑な技術的ストーリーを人が読める形に翻訳し、物語として伝えるのが得意だと気づきました。カンファレンスに登壇し、見つけた研究について話すようになりました。技術理解、実践的なサイバーセキュリティ、そしてレポートやプレゼンを組み立てる力——この組み合わせが、私の道を切り開いてくれました。
KB: Cato Networksで働くのはどんな感じですか?
EM: 素晴らしいですね。Catoにはもう5年在籍しています。Catoで脅威インテリジェンス領域を立ち上げ、AIと脅威インテリジェンスに注力して脅威アクターを理解することに取り組みました。CTRL(Cyber Threats Research Lab)というものを構築し、Cato内のすべてのリサーチグループを統合しています。私たちが見ているものや、脅威アクターが何を計画しているのかについて、顧客を支援し、市場を教育するためのナレッジベースを作っています。
KB: ボストン・カレッジの教授でもあると伺いました。何を教えていて、学生からどんなことを学びましたか?
EM: はい、ボストン・カレッジでサイバーセキュリティの教授をしています。講義名は「Designing Defensive and Offensive Capabilities(防御・攻撃能力の設計)」ですが、ここだけの話——「Introduction to Hacking(ハッキング入門)」とは名付けられなかったからそうしただけです。実際はそれです。私はコンピュータサイエンスの学生ではなく、非技術系の学生に、サイバー犯罪者や脅威アクターのように考える方法を教えています。キャリアの中で気づいたのは、優秀な防御側や研究者はたくさんいる一方で、攻撃者のように考えられない人が多いということです。結果として「やるべきことのチェックリスト」的なアプローチになりがちですが、攻撃者の視点から物事を見る必要があります。この講義では、システムを攻撃する方法、情報収集、運用にAIを使う方法、そしてソーシャルエンジニアリング攻撃の実施を学びます。学生は最新のセキュリティツールを見ることを期待して来ますし、実際に見ますが、同時に私が「最高のハッキングツールの一つはヘルメットと黄色いベストだ」と言うのも聞くことになります。それがあれば、あまり質問されずにどこにでも入れてしまう。私たちは枠にとらわれずに考え、作戦を立てて実行します——実際の攻撃ではありませんが——攻撃者としてどう動くかを考えるのです。
KB: 授業を受けた後に、サイバーセキュリティを職業として目指したいと思う学生はいますか?
EM: はい。私の学生の多くは、セキュリティポリシーや法務寄りの人たちです。組織のサイバーセキュリティ部門の一員になるのに、必ずしも超技術的である必要はない、と気づく人が多い。技術的であることは素晴らしいですが、ほぼ毎学期、まったく別の分野の学生が、私が考えたこともないアイデアを持ち込んでくるのです。自分にも視野の狭さがあることを示してくれますし、彼らの発想は完全に型破りです。その思考の流れを見るのは本当に面白いですね。
KB: そうした「枠にとらわれない思考」はサイバーセキュリティに必要ですが、この分野に入る最善の方法は何だと思いますか?
EM: まず、恐れないことです。参入障壁が高いと思っている人が多いですが、確かに一定の技術的能力や知識は必要な一方で、業界は外部の視点を必要としています。私が約30年前に始めた頃とは大きく違います。当時は特定の本を探すか、説明してくれる人を見つける必要がありました。今は知識が溢れています——YouTubeチャンネル、動画、講座、マスタークラス。自分を教育し始めるための情報が豊富にあります。また、この業界は企業が多いとはいえ、世界は狭いということも知っておくべきです。サイバーセキュリティのエグゼクティブに質問しに行って無視される、というのは私はまだ見たことがありません。LinkedInで私に連絡してくる人もいますし、そうした依頼を無視する人はあまりいないと思います。業界は話すことにオープンで、台座の上にいるように見えるエグゼクティブにも近づけます——彼らは別世界の人ではありません。誰もがどこかから始めています。とにかくやってみてください。サイバーセキュリティの素晴らしい点は、常に進化していることです。私たちは毎週のように新しいことを学んでいます。
KB: サイバーセキュリティは成長している分野だと思いますか?
EM: はい、常に成長し、さまざまな要素が加わることで拡大し続けています。もし25年前にこの質問をされていたら、サイバーセキュリティはITの一部で、とても技術的なものだと言っていたでしょう。今では、政治やマーケティングにもサイバーセキュリティが見られますし、影響を受けない業界はありません。逆もまた真です。大規模組織のCISOであれば、あらゆる分野のステークホルダーに協力してもらいたい。侵害や攻撃が起きたとき、それはITだけの問題ではなく、ビジネスの問題です。弁護士、マーケティング担当、技術者——全員が状況を理解している必要があります。どこを見ても、組織のあらゆる部分から人が必要です。間違いなく成長していて、常に拡大しています。
KB: サイバーセキュリティに興味があるかどうかは、どうすれば分かるのでしょう?テックの中でも、IT、サイバーセキュリティ、その他の分野があります。どうすればサイバーセキュリティが自分に合っていると分かりますか?
EM: 試してみて、触ってみて、学び始めるまで分からないと思います。サイバーセキュリティの中だけでも、分岐は非常に多い。ファイアウォール担当である必要はありません。サイバーセキュリティを理解している弁護士になることもできます。要素はたくさんあります。サイバーセキュリティは職場だけでなく、家庭でも家族とともに影響を受けます。いつでも遭遇します。講座を試して、システムをハッキングすることに興味があるのか、あるいはそれを取り巻く法律や規制を理解することに興味があるのかを見てください。そこが本当に好きな人もいます。サイバーセキュリティには多くの専門領域があります。
KB: なるほど。
EM: まさにファイアウォール担当だけではありません。サイバーセキュリティを理解する弁護士にもなれます。さまざまな要素があります。サイバーセキュリティのユニークな点の一つは、職場だけでなく、子どもや家族との家庭生活、日々の暮らしにも影響することです。好き嫌いに関係なく遭遇します。講座を試して、さまざまなシステムに侵入することに興味があるのか、あるいは関連する法律や規制を理解することに興味があるのかを見てください。そこが本当に楽しい人もいます。サイバーセキュリティという大きな分野の中には、さまざまな専門領域があります。
KB: OK。
EM: 非常に多様です。私は大学で教えていますが、私に直接レポートするトップの研究者2人は学位を持っていません。独学で学びました。好奇心を持ち、いろいろ触ってみて、自分の仕事において非常にプロフェッショナルになりました。それは完全に正当な道です。別の道としては、正式な教育があります。技術的スキルやハードスキルは、常に持っていて損はありません。
しかし、外部の視点や、異なる領域から来て異なる観点を持ち込む人々は、いつも興味深い存在です。例を挙げましょう。私の講義で行うプロジェクトの一つに、OSINT(オープンソース・インテリジェンス)があります。ウェブからどれだけ情報を収集できるか——FacebookやInstagramなど、さまざまなプラットフォームに人々が投稿するものです。私はこれを教え、学生に私が示したことを適用するよう求めます。約3年前、軍に所属していたものの本質的には技術者ではない学生が、プロジェクトを持って戻ってきました。彼女はVenmoを使って社会的グループを特定し、誰が誰と友人なのか、誰がもう友人ではないのかを見つけ、関係性をマッピングした方法を見せてくれました。
私は、プライベート設定にしない限りVenmoがすべてを公開していることすら知りませんでした。彼女はすべてのログを取り出し、異なる人々の関係性を分析しました。やり方を知らなかったというより、そもそもそれが可能だと知らなかったのです。だからこそ、さまざまな分野から人が持ち込む異なる視点を私は重視しています。
元刑事が持ち込むものは、ボストン・カレッジのフットボールチームの学生が貢献するものとはまったく違うでしょう。こうした多様な視点を見るのは実に興味深いです。
KB: この分野で成功するのに役立つソフトスキルや資質についてはどうでしょう?あなたがマネジメントしたり教えたりしてきた人々の中で、卓越できる要因としてどんな点に気づきましたか?
EM: それは極めて多様だということです。先ほど言ったように、私のトップの研究者2人は学位を持っていません。好奇心があり、独学でした。その好奇心と探求する意欲が、重要な資質です。
技術スキルは重要ですが、外部の視点や、違う考え方ができる能力も同じくらい価値があります。たとえば、先ほど触れたOSINTプロジェクトでは、Venmoを使った学生の独自のアプローチは、私が考えたことすらありませんでした。そうした発想——別の角度から物事を見ること——は、サイバーセキュリティにおいて非常に重要です。
KB: 最後に、サイバーセキュリティに興味がある人、この分野への転身を考えている人、あるいは一般的に関心がある人に向けて、共有したい考えや持ち帰ってほしいポイントはありますか?
EM: 私が皆さんに持ち帰ってほしい主な点は、サイバーセキュリティの中のさまざまな領域を試したり実験したりすることを、恥ずかしがらないでほしいということです。システムへの侵入(ハッキング)を試してみたいなら、利用できる情報は豊富にあります——動画、チュートリアル、マスタークラス、さらには物事を理解するのを助けてくれるAIチャットボットもあります。
枠にとらわれずに考えることや、攻撃者がどのように物事にアプローチするかを理解することに興味があるなら、組織がチェックリストを超えて、より先を見据えた戦略を採用するのを助けられます。
ぜひ試してみてください。そして、サイバーセキュリティのプロフェッショナルに質問することを恐れないでください。きっと喜んで助けてくれるはずです。
KB: 本日はDark Readingのためにお時間を割いてお話しいただき、本当にありがとうございました。とても感謝していますし、サイバーセキュリティ・コミュニティに参加したいと考えている方々にとって役立つ内容になると思います。
EM: お役に立ててうれしいです。機会をいただき、ありがとうございました。
翻訳元: https://www.darkreading.com/cybersecurity-operations/cybersecurity-tips-cato-networks-ciso
