オーストラリア税務局を含め、民間・公共の両部門でCISOを務めてきたノートンが、主要な政府機関を守る難しさと、今日セキュリティ・リーダーシップがどのように進化していると見ているかを語る。
ジェイミー・ノートンは子どもの頃、両親からコンピューターを与えられ、成長する中でそれで遊んだりいじったりしていた。大学に進学すると、ITと会計を「本当に、ちょっとした余談みたいな感じで」学んだ。ちょうどインターネットが台頭し始めた頃で、ソフトウェア開発のバックグラウンドを持つ彼は、Unixやその他のオペレーティングシステムを触り始めた。
大学を卒業したとき、テック分野で何を追求するのかは分かっていなかったが、ドットコム・ブームが幅広い技術的機会をもたらし、最初の職務は国防分野のインテリジェンスだった。「そこで、セキュリティという観点でものを考えるようになり始めたんです」と、当時の省庁におけるテック・セキュリティ領域の初期の日々について、ノートンはCSOに語る。「ただ、リスクの概念やネットワークを守る概念、いくつかの基本はすでにありました。」そしてそのとき、ノートンはサイバーセキュリティがキャリアの機会になり得ると初めて気づいた。
2000年頃、ノートンは「正式に」サイバーセキュリティの世界に入った。
「国防の後は、ベンダー側やいくつかのスタートアップにいました。デジタルトラストの強固なシステム、認証、アイデンティティに深く関わる時期を経て、より主流の、そして初期のサイバー・リーダーシップの役割へ移りました。」ノートンはまた、中堅期にいくつかの営業職も経験し、その後「最近は再びコンサルティングに戻る」形でサイバー・リーダーシップの役割へと戻っていった。
彼のサイバーセキュリティのキャリアには、世界保健機関(WHO)、NECオーストラリア、オーストラリア税務局での勤務が含まれる。現在はISACAの取締役会の副議長であり、オーストラリア証券投資委員会(ASIC)のCISOでもある。
CSOは、金融と政府におけるサイバーセキュリティの課題や人材の定着について、ジェイミー・ノートンに話を聞いた。以下は、その会話を長さと明瞭さのために編集したものである。
今日、サイバーセキュリティ・リーダーが直面する主要な課題にはどのようなものがありますか?
ノートン:明らかに非常に複雑な領域ですが、同時に、状況を大きく動かす基礎的なこともあります。CISOにとっての課題の一部は、その基礎的な衛生管理(ハイジーン)を組織にどう根付かせるかです。レガシー環境は、おそらく最大の課題で、特に政府では顕著です。古くて時代遅れで、更新もされなくなったシステムを守ろうとすると、セキュリティ態勢を変えるために大きな投資が必要になります。
しかしその上にあるのが、環境全体にわたる広範な衛生管理という考え方で、基本を実行するだけでも本当に難しいことがあります。そこにはプロセスの要素があり、もちろん技術の要素もありますが、人の要素もあります。ですから、それらすべての基盤を整合させることが重要なのです。
今はAIをはじめ、巨大なものになっていくさまざまな要素が出てきており、10年後がどうなっているかは本当のところ分かりません。5年後ですら分からないかもしれません。変化があまりにも速く、テクノロジーやセキュリティに携わる私たちは革新的でありたいし、迅速に動き、最前線にいたいと思っています。そうしないと取り残されるリスクがあるからです。しかし、機密情報を誤って露出させないよう、安全な形で進めなければなりません。これもまた課題です。
サイバーセキュリティ・リーダーとしてのご経験から、サイバーセキュリティは通常、組織にとって何を意味しますか?
ノートン:さまざまです。確かに時間の経過とともに、また組織によっても変わってきました。規模やスケールにも依存しますが、取締役会や経営層のセキュリティに対するマインドセットにも大きく左右されます。中規模から大規模の政府機関では、経営層レベルでサイバーセキュリティに強い焦点が当たっています。また、PSPF[Protective Security Policy Framework:保護セキュリティ政策フレームワーク]などの強力なポリシーやフレームワーク、その他の枠組みや要件もあります。
企業の世界ではかなりばらつきがあります。大企業であっても、経営層や取締役会の機能がセキュリティリスクに対する説明責任を受け入れるまでに苦労しているケースを見てきました。以前からセキュリティを推進してきた組織に比べると、少し時間がかかっているだけなのかもしれません。市場で起きていること、規制の広がり、メディアなどで行われているセキュリティに関する一般的な情報発信、そしてもう一つはインシデントです。OPTUSやMedibank、そして直近ではQantasのような事案のコストです。こうしたことが、効果的なサイバー・ガバナンスへの注目を高め、潮目を変えていると思います。組織の最上位層――経営リーダーシップチームや取締役――からの支援がますます強まっており、それによって私たちはさらに状況を前進させられるはずです。
サイバーセキュリティの専門家が離職しないよう、チームのモチベーションをどう維持していますか?
ノートン:政府では、企業ほどの報酬水準を用意できないことが多いので、人が働くのが好きになれる前向きな文化と環境をつくるようにしています。私個人の目標は、チームにメンタリングと助言を提供しつつ、キャリアの選択肢がどのようなものか、業界が各領域でどうなっているかを非常に透明性高く伝えることです。政府内であれそうでなかれ、彼らが自分の道を見つけ、キャリアの野心を実現できるよう支援する点で、私はチームにとって最も強い擁護者でありたいと思っています。
官僚的な手続きを減らすよう努めます。難しいこともありますが、そうしたものの影響を最小化しようとします。研修は、おそらく人に優位性を与える重要なレバーであり、キャリアの中でさらに学び続けられること、そして刺激的な技術に触れられることにもつながります。
政府におけるミッションの要素も重要です。私たちはしばしば、ミッション志向が強く、自分自身を超えた成功を追求する人を惹きつけます。国のため、あるいは経済の特定領域のために何かを成し遂げようとするのです。これは私たちが提供できる重要な成果です。
一方で、特に新卒やキャリア初期の段階では、私たちがしばしば次のステップに向けたインキュベーター(育成の場)になることも分かっています。そして、その考え方に慣れることは悪いことではないと思います。彼らは入ってきて、キャリアの最初の3〜5年で素晴らしいイノベーションをもたらしてくれるかもしれません。彼らは私たちから研修や支援を受け、その後しばらく民間に行くかもしれませんが、後に政府に戻ってくるかもしれません。経済全体の中で、押したり引いたりがあるのだと思います。
サイバーセキュリティ・リーダーの役割は今後どこへ向かうと見ていますか?
ノートン:AIのようなイノベーションは、役割と日々の活動に根本的な影響を与えるでしょう。変わらない部分もありますが、今後しばらくの間に形を変え、変化していく部分が多くあります。業界として、私たちは純粋にテック関連の機能と見なされる状態から進化し、リスク機能の隣により自然に位置づく方向へ移行しつつあります。すべての組織で起きているわけではありませんが、金融サービスではすでに進んでいます。政府でも、組織によってはセキュリティが最高執行責任者(COO)や最高リスク責任者(CRO)の配下に置かれるような流れが見え始めることを期待しています。そうなれば、非常にテック寄りのレンズや、それが生む利害の衝突が取り除かれます。
ただ、役割そのものも過去20〜25年で大きく変わりました。非常に技術的な出自から、今では取締役会や経営層(エグゼクティブ・スイート)と対話する、よりCレベルの役割になっています。これは今後も続き、少なくとも一定のサイバーセキュリティの専門性を持つ取締役が増えているのが見え始めています。
今日、組織を守るうえでCISOが自問すべきなのに見落としがちな問いは何でしょうか?
ノートン:自分は実際にどれだけの可視性を持っているのか、そして自分の見立てが正しい見立てであること、さらに3カ月後も正しい見立てであり続けることに、どれほど自信があるのか――そう自問することだと思います。
キャリアの中で、最も誇りに思うことと、最も誇りに思えないことは何ですか?
ノートン:ISACAで私が行っている仕事は、専門家にとって業界を改善すると信じている、業界横断・グローバルな取り組みという野心的なアジェンダを伴っており、実際のインパクトとレガシーがあると感じています。
失敗という点ではたくさんあります。私は「早く失敗して学ぶ」タイプです。政府は必ずしもその領域にいるわけではなく、経営層のマインドセットも少し違うので、失敗もそれなりに経験してきましたし、刺さらなかったプレゼンも相応にありました。ただ、伝えたいメッセージはこうです。CISOとして、初日から完璧に準備できていることはありません。重要な役割、あるいは中規模組織で役割に就いたときには、対応し、回復し、またやり直すことを学ばなければなりません。そして道中、常に全員を感心させられるわけではありません。時には厳しいメッセージを伝えなければならないからです。CISOであることの大きな課題は、効果的なナラティブを構築し、ELT(経営リーダーシップチーム)と取締役会の信頼を得て、彼らが完全にコミットした状態にし、必要なときに難しいメッセージを届けられるようにすることです。
また、レジリエンスを築くことでもあります。孤独になることもあるからです。時には、あなたのメッセージが彼らに影響するために不満を持つ一部の経営層から、あなたが非難を受ける立場になることもあります。だからこそ、サイバー燃え尽きが大きな問題になるのだと思います。打撃を受け続けて、「もうやりたくない」と感じるところまで追い込まれることがよくあります。その多くは組織文化に起因し、願わくば、非常に支援的な組織であることが重要です。
AIはスキルギャップを広げると思いますか、それともサイバーセキュリティを助けると思いますか?
ノートン:今後5〜10年で大きく変わるサイバーの役割は確実にあり、縮小するものもあると思います。より深い意味では、経済の他の部分にも大きな影響を与えるでしょう。テックの観点では、データ分析や意思決定支援システムの一部は、AIが支援し、自動化していくものが増えると思います。最初は意思決定支援システムとして始まり、AIから必要な情報をより迅速に得られるようになることで、人手が少なくて済むようになります。そして、エージェント型AIや今後登場するものによって、単純な意思決定、次に少し複雑な意思決定が可能になり、時間とともに一部の役割は置き換わっていくと思います。ただ、私は楽観的です。これは人間の働き手を価値連鎖のより上流へ押し上げるでしょう。リーダーシップの観点ではより上位へ、あるいは高度に技術的な観点ではより深い領域へ進むことになるかもしれません。
座右の銘はありますか?
ノートン:税務局にいた頃、当時のコミッショナーであるクリス・ジョーダンが「基本を見事にやり切る(Do the basics brilliantly)」というブランディングを掲げていて、それが一般的なマントラとして私の中に残っています。セキュリティにも非常によく当てはまります。基本をしっかりやれば、サイバー能力は大きく向上するからです。もちろんそれだけに集中すればよいわけではなく、他にも多くの要素が動いています。しかし、基本ができていなければ、それだけで多くの防御を失うことになります。
もう一つ好きなのは、私にとって役に立ってきた言葉で、今でも真実だと思うのですが、「同じことを何度も繰り返しながら、違う結果を期待する」ことの無意味さです。これは多くのことに当てはまります。違う結果を得たいなら、やり方を変えなければなりません。それなのに、人生のさまざまな局面でそれを頻繁に目にします。
サイバーセキュリティのキャリアを始めたい人へのアドバイスはありますか?
ノートン:新卒やキャリア初期のサイバー人材にとって、初期段階のキャリアへ移行し、最初の仕事を得るのが難しいことは理解しています。粘り強さと推進力は重要な資質で、ここから言うのは簡単だということも分かっています。しかし、粘り強く関与し、手に入るものを積極的に取りに行く人は、何度か打ちのめされても学び続けます。ISACAに参加するかもしれません。少しでも競争上の優位を得るために、早い段階で資格を取るかもしれません。多くの場合、ネットワーキングで関係を築き、関与し、自分を外に出すことで、機会が生まれます。
よりシニアなレベルになると難しくなります。そこでまた学習プロセスが重要になり、自分が能力を積み上げていることを示すCV(履歴書)になっているかを確認することです。自分のブランドを理解し、プロとして磨くこと。つまり、CVを磨き上げて、自分のブランドが何で、何を提供できるのかを本当に反映させることが鍵です。疲れた同じCVを投げてばらまき、何かが引っかかるのを期待するだけではいけません。人材が希少だった時代にはそれでうまくいったかもしれませんが、今は市場に供給が多すぎます。
