この書き起こしは分かりやすさのために編集されています。
Kelly Jackson Higgins(Dark Reading編集長): こんにちは、Dark Readingバーチャルニュースデスクへようこそ。私はDark Reading編集長のKelly Jackson Higginsです。本日はCarmine Valenteさん、Con Edisonの副CISOにご参加いただいています。Carmineさん、ようこそ。
Carmine Valente(Con Edison副CISO):こんにちは、Kelly。ありがとうございます。お招きいただきありがとうございます。
Jackson Higgins:本日はご参加いただきありがとうございます。まずは、Con Edでのあなたの役割について少しお話しいただければと思います。あなたのセキュリティ分野でのご経歴は非常に幅広いと伺っています。どのようにして今のポジションに至ったのか、少しお話しいただけますか?
Valente:はい、まずは現在の役割からお話しします。私はCon Edisonの副CISOです。この役割では、CISOをサポートし、継続性を確保することが主な任務です。CISOが不在の際は私が対応し、その逆も然りです。また、サイバーセキュリティ戦略やサイバーセキュリティプログラムの管理も担当しています。つまり、戦略、プログラム管理、そして私たちが使用するツールに関するあらゆること、社内プロジェクトやイニシアチブ、財務なども含まれます。
さらに、「ビジネス情報セキュリティサービス」と呼ばれる部門も担当しており、これはCon Ed内のさまざまな組織にまたがるBISO(ビジネス情報セキュリティ責任者)を指します。これまでの経験としては、サイバーセキュリティ業界で約18年間、アドバイザーやE&Yでの勤務、そして顧客・クライアント・業界側での経験を積んできました。E&Yでは約11年、ヨーロッパ、アフリカ、アメリカで勤務し、イタリアでサイバーセキュリティ部門の立ち上げにも携わりました。その後、Paramount Globalで約8年間、サイバーセキュリティリスク担当副社長を務め、重要インフラ分野に進むことを決めました。そして最近Con Edisonに入社し、ここ数か月で新たなスタートを切りました。
Jackson Higgins: 特に興味深いのは、あなたが今この組織に加わったことと、ITとOTセキュリティの交差点という新しい世界です。(情報技術と運用技術)Con Edでこれらの世界をどのように融合させているのか、またその課題について少しお話しいただけますか?
Valente:素晴らしいご指摘です、Kelly。私はこの対談を通じて、サイバーセキュリティ全体についてお話しすることになると思いますが、現在、サイバーセキュリティ、特にOTとITに関しては変革期、移行期にあると考えています。かつてはOTは稼働時間や物理的セキュリティ、可用性に重点を置き、ITはデータの機密性や完全性に重点を置く、2つの独立したサイロでした。しかし、クラウドコンピューティングの急速な進化やOTのインターネット接続が進んだことで、両者は大きく融合しつつあります。融合と分離のバランスは非常に繊細で、どちらもメリットや新たな脅威をもたらす可能性があります。Con Edisonで行っていること、そして業界全体が目指していることは、まずガバナンスを明確にし、OTとITの両方を強力に監督する体制を整えることです。その上で、両者の境界線を明確にし、協力して取り組んでいます。
Jackson Higgins:とても良いご指摘ですね。昔は本当にエアギャップされた——本物のエアギャップシステムがありましたよね?今はもうそうではありません。それを踏まえて、最近…OT側では大規模な攻撃はあまり見かけませんが、ITシステムへの攻撃は多くの企業で頻繁に見られます。今、特に注目しているサイバー脅威や、戦略的に対策を考えている脅威はありますか?
Valente:はい、その通りです。一般的にOT環境でも多くの攻撃が見られるようになっています。先ほども述べたように、両者が融合しつつあるため、ランサムウェア攻撃やサプライチェーン攻撃といった典型的な脅威がOTにも非常に関係してきています。そして、AIの導入も2つの大きな側面で新たな層を加えています。ひとつは、ハッキングがより簡単になっていること。つまり、攻撃や脅威環境について深い技術的知識がなくても、AIによってアクセスが容易になっています。また、既存の脆弱性の悪用も加速しています。ITとOTの融合、AIの進化、OT環境がますますインターネットに接続されることで、OTの世界もIT環境で見られる標準的・古典的なサイバーセキュリティ脅威にさらされるようになってきています。
Jackson Higgins:それが、いわゆる機会主義的なサイバー犯罪なのか、国家による活動なのか、どちらが多いのかお聞きしようと思っていましたが、結局はどちらも同じような攻撃が起きているので、どちらでも備えが必要ですよね?
Valente:まさにその通りです。特に今の時期は、地政学的な状況もあり、国家による攻撃が非常に重要な要素となっています。イランで起きていることや、中国によるSalt Typhoon攻撃で通信業界が標的になったことなど、これらは非常に重要な事例です。ただし、これら2つの世界にも融合の要素があり、国家による攻撃がアクティビズム(活動家)を誘発し、機会主義的な攻撃にもつながることがよくあります。結論としては、どちらにも備える必要があります。国家による攻撃はより複雑で長期的な傾向がありますが、機会主義的な攻撃も国家的な攻撃も、Con Edや業界全体にとって最重要課題です。
Jackson Higgins:この2つの世界が重なり合い、脅威の種類もグレーになってきているのが興味深いですね。ただ、結局サイバー攻撃はサイバー攻撃であり、どこから来ても同じですよね。それはとても納得できます。次に、クラウドアプリケーションについてお聞きしたいのですが、エンドポイントやWebアプリケーションの戦略にどのような影響を与えていますか?今や誰もがクラウド上の異なるアプリを使い、オンプレミスにも多くのIDが存在しています。こうした状況はエンドポイントセキュリティのアプローチに影響を与えていますか?
Valente:はい、確実に影響しています。クラウド革命、あるいは進化によってSaaSアプリケーションが増加しました。そのため、ブラウザが全体のアーキテクチャの中で非常に重要な役割を担うようになっています。防御の観点から考えると、ブラウザは主要な要素のひとつになっています。面白いことに、もし1年前に同じ質問をされたら、全く違う答えをしていたと思います。今は、ブラウザセキュリティがこの変革の中で重要な要素だと考えていますし、エンドポイントレベルでの脆弱性管理が全体的な多層防御の仕組みの中で非常に重要になっています。ただし、CrowdStrikeやMicrosoftのような従来型のエンドポイントセキュリティ技術も、依然として重要であり、エンドポイントのセキュリティ確保には不可欠です。
Jackson Higgins:少し話題を変えます。脅威側でAIに触れられていましたが、セキュリティ業界でも多くのエージェント型AI機能が登場しています。セキュリティ運用において、これらがどのような役割を果たすと考えていますか?活用していますか?今後の展望についてどうお考えですか?
Valente:とても興味深い未来が待っていると思います。私は、特にSecOps(セキュリティ運用)に関しては、「導入」よりも「進化」という言葉を使う傾向があります。AIは何らかの形で常にSecOpsに存在してきました。20年以上前、私の学士論文の卒業研究でもネットワーク異常検知のために機械学習を使っていました。SecOpsの中には常にデータを処理し、ビッグデータを分析して脅威や異常を検知するツールが存在してきました。生成AIの登場で、これは全く新しいレベルに進化しています。業界の大手企業はすでに生成AI機能を自社製品に取り入れ始めています。多くのSIEM(セキュリティ情報イベント管理)も行動分析を提供しており、これらはセキュリティ運用において非常に重要かつ有益だと考えています。
Jackson Higgins:おっしゃる通り、AIは新しいものではなく、機械学習の一部として以前から存在していましたよね。今はエージェント型AIが急速に普及し、使いやすくなっています。業界では多くの空きポジションがあり、適切な人材やセキュリティチームの確保が難しいという話もよく聞きます。セキュリティ運用チームの採用だけでなく、必要な新しいツールに対応できるようスキルを維持すること、あるいは自動化によって役割が変化する中で、どのようにチームの役割を進化させていくか——これらの課題についてどうお考えですか?数年前に「Tier1 SOCアナリストの仕事はなくなる」と言われていましたが、実際にはまだ存在しています。進化し続ける環境の中で、チームのスキル維持や働き方についての課題は何だとお考えですか?
Valente:とても良いご質問です。私が最も重要だと考えるのは「文化」です。ご指摘の通り、この分野は常に進化し続けています。脅威環境も技術環境も進化し続けています。したがって、「変化の文化」をチームに根付かせることが重要だと考えています。つまり、変化は必ずしも悪いことではないと全員が認識することが大切です。AIの導入やクラウドコンピューティングの進化、OTのインターネット接続などは、確かに脅威でもありますが、一方で私たちの仕事をより良くする大きなチャンスでもあります。AIなどのツールを活用し、SOCが低リスクの要素ではなく高価値のターゲットに集中できるようにすることが重要です。そのためには「変化の文化」を築き、全員がそれを受け入れ、実践、脅威環境、技術環境とともに進化できるようにすることが鍵だと思います。
Jackson Higgins:それはこの業界にとってまさに理想的なテーマですね。ある意味では、変化が唯一の常であり、何も変わらないことはありません。進化が早く、絶え間なく続きます。チームにとって非常に興味深い課題ですが、技術や脅威の進化を見据えて先を考えていらっしゃるようですね。そろそろ時間となりますが、最後に何か伝えたいことや、他に共有したい洞察があればお願いします。
Valente:今、サイバーセキュリティという分野全体にとって非常にエキサイティングな時期を迎えていると思います。技術分野で多くの変化が起きているだけでなく——AIは今や大きなテーマですが——人の側面がどのように変化し、人々がどのようにサイバーセキュリティに取り組むのかも興味深いです。私たちの世代はサイバーセキュリティからキャリアを始めたわけではなく、IT分野を通じて適応し、成長してきました。今ではサイバーセキュリティの学術的なバックグラウンドを持つ人が増えてきており、基礎が固まりつつあります。その上に現場経験が積み重なっていくことで、今後どのように人々がサイバーセキュリティや技術分野に取り組むのかが非常に楽しみです。本当にエキサイティングな時期であり、今後の展開がとても楽しみです。
Jackson Higgins:Carmineさん、とても興味深いお話をありがとうございました。業界の実務者の視点から現状をお聞きできて、とても参考になりました。本日はDark Readingバーチャルニュースデスクにご参加いただき、本当にありがとうございました。
Valente:こちらこそ、お招きいただきありがとうございました。
翻訳元: https://www.darkreading.com/ics-ot-security/ciso-conversations-convergence-of-it-and-ot-security