Dark Readingの「CISOとのキャリア対談」ビデオシリーズへようこそ。ここでは、サイバーセキュリティ分野への参入やキャリアアップに関する、実際に経験を積んだ方々からのアドバイスを紹介します。
今回のDark Readingアソシエイトエディター、クリスティーナ・ビークとの対談では、長年CISOを務めてきたメリーナ・スコット氏が、オペラ歌手志望からサイバーセキュリティリーダーへと転身し、連邦政府請負業者やフォーチュン500企業でトップセキュリティ責任者を務めた自身の道のりを語ります。30年にわたるキャリアの中で、サイバーセキュリティが単なる境界防御から、横方向の移動、AIを活用した脅威、クラウド、そしてあらゆる重要なビジネスリスクに対応する包括的なアプローチへと進化してきた様子を目の当たりにしてきました。今やサイバーは、成功する企業の中核となっています。
新しい挑戦に「イエス」と言い続け、常に学び続けることの重要性を強調しつつ、スコット氏はサイバーセキュリティ分野に入る人々に対し、ISC2などの団体やUdemyのようなプラットフォームで資格取得を目指すこと、そして本格的な学位取得に進む前に自分の進路を考えることを勧めています。リーダーシップ職には正式な教育が依然として価値がありますが、特にパターン認識能力に優れたニューロダイバージェントの方々にとっては、技術職であれば資格だけでも十分な場合があります。
また、サイバーセキュリティに特化する前に、さまざまなシステムやネットワーク、AIで実践的な経験を積むことを推奨しています。技術的な詳細を理解することで、セキュリティ専門家が運用チームと効果的に連携できるようになるからです。そして、メンターを見つけることも、分野に入ったばかりの人には非常に重要だと述べています。
以下に、ビデオインタビュー全編と、その後にQ&Aの書き起こしを掲載しています。
この書き起こしは、分かりやすさのために編集されています。
クリスティーナ・ビーク: まず自己紹介とご経歴について教えていただけますか?
メリーナ・スコット: 連邦政府や連邦請負業者、フォーチュン500企業でCISOを務めてきました。現在は他のCISOへのアドバイザーや取締役として、企業がCISOの視点でサイバーセキュリティを考えられるよう支援しています。
私の経歴は多様でカラフルです。本来なら今ごろ有名なオペラ歌手になっているはずでしたが(笑)、30年前くらいはそれで生計を立て、レッスン代も稼いでいました。だから、アーティストがテクニカルな副業に挑戦するのを見るのが大好きです。
歌のキャリアの初期に、十分な収入が得られないと気づきました。どうやら私には必要なものが足りなかったようです。でも、データベース管理が大好きで、その分野は当時とても開かれていました。
データベース管理からすぐに、ある日上司に「ネットワークも担当して」と言われ、私は「分かりました」と答えました。
そこからすぐにファイアウォールの管理に発展しました。当時は「サイバーセキュリティ」とは呼ばず、むしろ「境界防御」といった感じでした。その後、国際的な医療データのHIPAAタイプのセキュリティ、国内医療データ、そして連邦の医療データと担当範囲が広がりました。
「これは一般公開されているか?インターネットに接続されているか?それだけ守ればいい」と考えていましたが、実はサイバー犯罪者は横方向に移動できることが分かり、すべてを守る必要があると気づきました。そこから「サイバーセキュリティ」と呼ぶようになったのです。
大手連邦請負業者で働く幸運にも恵まれました。連邦政府が閉鎖した際、「あなたはエンジニアだから、提案書の文言も書けるでしょ」と言われ、サイバーセキュリティ関連の提案書を書くことになりました。
まるでファンタジー小説を書くような気分でした。彼らは虹やユニコーンを求めていて、サイバーセキュリティの観点から解決策を設計し、「私のユニコーンは一番魔法的で、虹は一番カラフルです」と提案する。競合他社よりも素晴らしいファンタジーを提出できれば勝ちです。
そうしてその組織内で昇進し、連邦医療部門のCISOとなり、30億ドル規模の業務を担当しました。契約は300件ほどあり、12億ドル規模の組織全体を統括するCISOやCIOの素晴らしいメンターにも恵まれました。
その後、フォーチュン500企業でも働く機会を得て、とても楽しかったです。結局、私たちは皆同じサイバー犯罪者と戦っているのです。
KB: 現在、同じようにキャリアアップを目指す人へのアドバイスは?
MS: 私は基本的に常に次の挑戦に「イエス」と言ってきました。キャリア初期の方には、とにかくやってみてほしいです。「自分には向いていない」と思わず、まずは挑戦してみて、自分に合っているか確かめてください。もし23歳や24歳の私に「将来VPやCISOになる」と言ったら、信じなかったでしょう。でも、やってみないと分からないものです。
本当に面白い旅でした。30年にわたり、サイバーセキュリティの世界は驚くほど楽しく、イノベーションもたくさんありました。
KB: AIが労働市場に与える影響についてはどう思いますか?AI時代に最も成長の機会があるのはどこでしょう?
MS: 間違いなく両方を組み合わせることができます。サイバーセキュリティやデータ・システムの保護を考えるとき、AIを無視することはできません。なぜならサイバー犯罪者もAIを使っているからです。私たちはサイバー戦争の中にいて、AI攻撃を打ち破るにはAIが必要です。ですので、AIの教育や資格とサイバーセキュリティの資格を組み合わせるチャンスがあります。
KB: 資格取得はどこから始めれば良いでしょうか?
MS: 私は資格取得の大きな推進者です。特にサイバーセキュリティが副業だったり、まだ確信が持てない場合は、資格取得を強く勧めます。4年制の技術系学士号をサイバーに捧げるのは迷うかもしれませんが、まずは資格取得講座を受けてみて、自分に合うか試してみてください。ブートキャンプも大好きです。
もう少し知識を深めたい場合は、Dr.ライロン・アンドリュースのUdemy講座が素晴らしいです。彼は私のISC2認定クラウドセキュリティプロフェッショナル資格取得時の最初のメンター兼教師でした。ISC2とUdemyが資格取得の出発点としておすすめです。
自分が他のエンジニアと比べてどうなのか知りたい場合、自分の技術スタックを理解し、ベンダー技術(Palo AltoやCiscoなど)の資格を取得しているかもしれませんが、全国的なトレーニングや資格取得が本当に比較の基準になります。
今すぐAIの資格が欲しい方には、Oracleが非常に良い資格を提供しています。比較的短期間で取得可能です。40時間ほどかけて素晴らしいトレーニングが受けられ、費用も非常に安価です。10月1日までは無料ですが、日程が延長されることもあります。
KB: 幅広く学ぶべきか、専門特化すべきか?
MS: AIやサイバーセキュリティの資格を取得して、進みたい方向かどうか見極めてください。私がキャリアを始めた頃はサイバーセキュリティの学位プログラムがなかったので、ネットワークセキュリティの学士号を取得しました。
当時は、データベースやヘルプデスクから始めて、徐々に昇進し、サイバーセキュリティの職務に就くという流れでした。これは、あらゆる知識が必要だったからです。
誰かに「この脆弱性を修正して」と頼むとき、実際にどれだけの労力や技術的詳細が必要か理解していなければ、ただ「今すぐ修正しろ」と命令するだけになってしまいます。自分の経歴にそうした経験があると、「これなら20分くらいでできるよ」と具体的にアドバイスできます。
以前その仕事をしていた立場から、今のネットワーク担当者がどんな状況か理解できます。パケットを通すのが仕事で、できれば安全にやりたいけれど、運用と安全性が競合した場合は、運用が優先されるのです。
こうした視点をキャリアの中で持つことは重要です。今サイバーセキュリティの学位を持っているからといって、すぐにサイバーセキュリティで成功できるとは限りません。まずはシステムやネットワーク、AIなどで少し経験を積むことをおすすめします。そうすれば、CISOやサイバーセキュリティ専門家になったとき、単なる監査やチェックリストの視点だけでなく、実際の脅威やインテリジェンス、環境に必要な対策を理解できるようになります。
脅威がどこから来るのか、インテリジェンスを理解し、自分の環境でどのように脆弱性を補強し、サイバーリスクを減らし続けるかを理解することが大切です。
KB: サイバーセキュリティに興味はあるけれど確信が持てない人が、資格を取得した後にこの分野でキャリアを積みたいと決めた場合、2年制または4年制の学位を取得すべきでしょうか?それは競争力維持に役立ちますか?絶対に必要なものですか?
MS: 過去20年ほどで、4年制や2年制の学位の価値は変化してきたと思います。私も最初は高い目標を持っていましたが、学士号を取得したのは45歳になってから、多くの勉強を経てのことでした。
これは私自身の道のりであり、費用や自分にとって何が合理的かによります。資格を取って仕事に就き、会社に学士号や準学士号の費用を負担してもらえるなら素晴らしいです。特にCISOなどリーダー職を目指すなら、やはり正式な教育は今も価値があります。
「自分には必要ない、実務をやっているから」と思った時期もありましたが、州立大学で学んださまざまなことが自分を大きく成長させてくれました。
KB: より現場のディフェンダーを目指す場合は?
MS: エンジニアやセキュリティオペレーションセンター(SoC)アナリストを目指すなら、資格があれば学位は必要ない場合も多いです。特にニューロダイバージェントの方は、他の人には見えないパターンやインジケーターを見抜く力があるかもしれません。
その場合、伝統的な学習方法はあまり向かないかもしれません。なぜなら、直線的な思考(シラバス、課題提出日、テスト日など)に基づいているからです。しかし、SoCの優秀な人たちは、ホイールやスポークのように多角的に物事を考え、攻撃を異なる視点から見抜くことができます。
KB: サイバーセキュリティ業界への他の入り口はありますか?
MS: 軍隊も選択肢に入れてみてください。素晴らしい経験が積めるだけでなく、セキュリティクリアランスや退役軍人教育の特典も得られます。国へのコミットメントが必要ですが、軍の適性検査を受けて、軍施設のSOCに向いているか確認してみてください。
一般的に、将来的にリーダー職を目指すなら、最初は学位なしでも始められますが、いずれは何らかの学位で上限を突破しないとキャリアの天井が低くなってしまいます。
KB: もし メンターを見つけたい場合、どうすれば良いですか?
MS: 私は多くのメンティーをLinkedInや友人・家族を通じて得ました。まずは今働いている場所、または働きたい場所、学生なら大学のIT部門などで仕事を探すのも良いでしょう。身近にたくさんいます。
私の最初のメンターの一人、チャドという方は本当に素晴らしい人でした。常に前向きなコーチで、決して意地悪なことは言わず、私が間違ったときも優しく丁寧に指摘してくれました。彼は昔からのITマネージャーで、転職の際も部下を連れていくタイプでした。メンターはあなたのことをよく知り、あなたの価値を理解してくれる存在です。
そして、メンティーとしてだけでなく、メンターとしても誰かを支えることが大切です。そうすることでサイクルが完結します。
KB: あなたがサイバーセキュリティの世界に入った当時と今では大きく違いますが、その変化は良い方向でしょうか、悪い方向でしょうか?
MS: 今は当時よりもずっと華やかです。当時はネットワークの監督者で、うるさい存在でした。誰もサイバーセキュリティを望んでいませんでした。正直なところ、当時は「どう扱っていいか分からない人」をサイバーセキュリティに回すこともありました。まだ新しい分野だったからです。
今ではサイバーセキュリティチームはとても人気のある役割です。ITマネージャーやCIOから見ても、組織の価値を高める重要な存在となっています。単にサイバー犯罪者から守るだけでなく、サービスとして組織に貢献する必要があります。
優れたコントロールを提供するだけでなく、そのコントロールが何をしているのか、どう運用に役立つのか、競争力や収益にどう貢献するのかを理解してもらうことが重要です。それは人間関係の構築に他なりません。
今では、20年前とは違い、サイバーリスクがビジネスリスクであることが理解されています。以前は「規制のためにやるべき」と訴えていましたが、パッチが適用されたシステムは安全なだけでなく、より良く動作するシステムでもあるのです。
KB: リーダー職として、人材のどんな資質や特徴が印象に残りますか?また、あなたを管理した人についても教えてください。彼らが仕事で優れている理由は?
MS: 私の上司だった方々の視点から言うと、自信と寛大さが偉大なリーダーを作る要素です。
皆が知識を持っていますが、賢いからといって人に不親切で良い理由にはなりません。中には厳しく当たる人もいますが、それは自分を守るためだったりします。
単純に聞こえるかもしれませんが、自分の仕事や一緒に働く人を好きになることが大切です。変な意味ではなく、相手への敬意を持つということです。
若い人材に求めるのは、目の輝きです。これは履歴書には現れません。会話ができるか、つながりを感じられるか、サイバーセキュリティに興味があるかを見ています。
私は、何でも挑戦し、少しリスクを取るB+の学生の方が、すべてを知っていて新しいことを学ぶ意欲がないAの学生よりも好ましいです。自信は時間とともに身につきます。
寛大さと謙虚さは、上司にも部下にも必要です。すべてのやり取りは、相手を高めるか傷つけるかの機会です。リーダーでもメンバーでも、人を傷つけるのではなく、互いに高め合うことを心がけてください。
KB: サイバーセキュリティのキャリアを考えている人に、最後に一言お願いします。
MS: そうですね。最後に伝えたいのは、サイバーセキュリティに至る道はたくさんあり、リーダーシップを目指すなら自分だけの道があるということです。誰にも「間違ったやり方だ」と言わせないでください。そして、あなたの成功を助けたいと思っている素晴らしい人たちがたくさんいます。彼らを探し出せば、道はずっと歩きやすくなります。