Ross McKercharは18年前にSophosの最初のセキュリティエンジニアとしてキャリアを開始し、現在は同社のCISOです。私たちは彼の経歴とCISOの役割について議論しました。
「ほとんどの若者のように、私は子どもの頃ビデオゲームをしていました。16歳までには、ITは堅実でよい職業だと確信していたので、エディンバラ大学でコンピュータサイエンスの学位を取得することにしました。」
しかし、その後、ある気づきが訪れました。「これは多くの人に不快感を与えるかもしれませんが、ITの多くはかなり退屈です。」ITについて話すと人々の目が曇ります。しかし、サイバー犯罪について話すと、彼らは関心を持つようになります。「それは単なるコンピュータ室の箱ではなく、全世界的な現象です。地政学的であり、対立的であり、どこにいる誰にでも影響を与えます。」紛争は良いストーリーを生み出します。そこで、彼はITへの関心をサイバーセキュリティにシフトさせました。
リーダーシップとチームマネジメントの道
彼がサイバーセキュリティのリーダーになったのはどのようにしてで、なぜでしょうか?リーダーシップは遺伝的な資質か、それとも学習できるものかについては常に疑問があります。つまり、先天的か後天的か、あるいはその両方か。McKercharの簡潔な答えは、それが学習できるものですが、それを楽しんでいる場合に限られるということです。彼自身については、それに成長していく要素と、それとともに成長する要素の両方があると示唆しています。
「18年前にSophosに入社したとき、私は基本的に最初の内部サイバーセキュリティ従業員でした。その意味で、私は常にリーダーでした。1人のチームのリーダーです。今は、はるかに大きなチームを持つCISO です。」
その過程で、彼はコンピュータサイエンスの学位からは得られない、または学習する必要があるスキルを習得する必要がありました。スキルギャップで説明されるのが一般的な時代に、質の高いチームメンバーを採用する方法。そのチームを管理して最適なパフォーマンスを提供する方法。そしてチームをその最適なパフォーマンスで維持する方法です。
「スキルギャップは実在します」と彼は言います。「しかし、それは数値と影響の両面で誤解されていると思います。サイバーセキュリティの専門職は他のほとんどの職業よりも速く成長しています。その意味では、需要は常に増加しています。教育はセキュリティの基礎についてより多くの訓練で対応しており、サイバーセキュリティでの職を探している人が増えています。」問題は、大学を卒業したばかりで経験がない人からの需要ではなく、経験と感情的および事業的知性の両方を持っている人からの需要です。スキルギャップは大学院レベルではなく、シニアレベルにあります。
これの一部は、企業が攻撃後にのみセキュリティを強化する継続的な傾向です。その結果、セキュリティチームは突然、短時間で2人から12人に急増します。そのような時期に、雇用主は新人の卒業生ではなく、経験豊富な専門家を望みます。
これはCISO に二重の問題を生じさせます。第1に、職を求めている人はより多くいますが、利用可能な職はそれらの人々を探していません。これらの職はあなたが既に持っている人々にとってより魅力的です。これが2番目の問題です。既存チームの管理と維持です。「チームメンバーを保持する必要があります。彼らは去ることができ、明日別の仕事を得ることができるからです。」
したがって、良いチームを見つけるのは難しいですが、それを保つことも同じくらい難しいです。McKercharのアプローチは、チームメンバーが可能な限り最高の自分になることを促すことです。「スマートな人を雇ってあなたに何をするかを指示させます。リーダーの役割は、彼らがそうすることができるように邪魔なものを取り除くことです。」これはチームに対する絶対的な全権委任を意味するものではありません。リーダーはチームとその方向を会社の事業目標に沿わせるために、舵の上で軽いタッチを保つ必要があります。しかし、目標は満足のいくチームを管理することです。なぜなら、幸せな人は留まり、不幸な人は去るからです。
しかし、サイバーセキュリティの唯一の定数は変化です。AIと呼ばれるこの新しいものがあります。そして、AIの最も頻繁に宣伝される効果の1つは、専門知識の自動化の増加であり、人間の専門家の必要性の対応する減少です。そして拡張して、スキルギャップの狭まりです。McKercharは判断を保留しています。
「私は CISO のピアと話す時間をたくさん費やしています」と彼は説明します。「そして、メディアとビジネスリーダーから聞いているのは、私がピアから聞いているのとは非常に異なるナレーティブです。」彼は、これまでに見られている採用の削減がすべて、企業が賭けをしている企業によるものだと示唆しています。1年後に雇用が必要ないと賭けているので、今それをしていません。
彼はまた、一部の企業がその賭けを今逆転させていると疑っています。「興味深い時期でした。LLM はパブリックデータで訓練されており、組織内でそれらが機能するようにするのは、公開コンテキストではなく組織コンテキストがアラート のトリアージにおいてすべてである場合は課題です。私の人間のオペレーションアナリストは、本当にビジネスを理解しており、どこに行き、誰と話すかを知っています。彼らはアラートが明白なものより多かれ少なかれ重要であるかどうかについてほぼ第六感を持っています。AI はそこに到達しますが、まだそこにはいません。」現在の AI を高い知識を持っているが低い理解を持つものとして説明するのは魅力的です。
それにもかかわらず、AI の敵対的使用は、すべての防御側が注視しているものです。サイバーセキュリティはその本質上、主に対応的です。攻撃側が積極的であり、常に新しい攻撃方法を探し、開発しています。そして防御側は、新しい、以前未知の攻撃方法論に対して防御する新しい方法で対応する必要があります。AI はまだ発展中の技術であり、誰もまだその将来の能力を知りません。
「それは100万ドルの質問です」と McKerchar は言います。「どこに着地するのか?」彼は2つの提案をしています。1番目は、AI の現在の主要な敵対的使用です。フィッシングのためのより高度なルアーの開発です。「攻撃を規模で自動化するために使用されている証拠がありますが、フィッシングの品質はまだ高度な攻撃側のレベルではありません。ボリュームが大幅に増加しているだけです。」
彼はより懸念しているのは、AI が新しい脆弱性を見つける能力であり、攻撃側はこの能力を使用する必要があります。ゼロデイを見つけるのは費用がかかるため、攻撃側によって見つかった場合、それらはサプライチェーン可能性を持つ高価値ターゲットに対してやや控えめに使用される傾向があります。しかし、ゼロデイの費用が削減され、それ以上ある場合、それらはより弱い防御を持つより小さな企業に対して使用されます。独自ソフトウェアを持つこれらのより小さな企業は、ゼロデイの典型的なターゲットではありません。しかし、ゼロデイの費用が下がるにつれて、その魅力が上がります。
メンタルヘルス
これはサイバー防御の対応的な性質を変えません。困難は、攻撃の増加したボリュームと洗練さを通じて防御側への圧力が増加するということです。そしてこれはCISO の仕事に追加されます。CISO とセキュリティチームの両方が増加した圧力に対処する必要があります。これは新しいものではありませんが、悪化しています。そして継続した圧力は、バーンアウトとして知られるメンタルヘルス問題の主な原因です。
「バーンアウトはサイバーセキュリティの現実です」と McKerchar はコメントしています。それは完全な精神的疲労と仕事からの撤退であり、世界保健機関によって「成功裏に管理されていない慢性的な職場ストレスから生じるものとして概念化されたシンドロームです」と説明されています。Cybermindz は I-Rest として知られる技術を使用してバーンアウトを治療しており、これは CISO と全体的なセキュリティチームの両方に影響を与えます。I-Rest は軍によって PTSD を治療するためにも使用されているため、バーンアウトを長期間の不安定なストレスによって引き起こされる緩やかなバーンPTSD のような形態と見なすのは魅力的です。しかし、すべての病気と同様に、予防は治療よりも優れています。
「私自身の状況を取ってください」と McKerchar は続けます。「私は18年間継続的にオンコールです。」彼は、各従業員が雇用を開始したその日から現在まで、そしてまだ継続中のサイバーセキュリティ労働力全体に同じ公式を適用します。「サイバーセキュリティの最悪の点は、ほぼ常に何か醸造されているということであり、それはいつも金曜日に悪くなるように見えます。」オンコールはサイバーセキュリティでは24/7 です。毎週土曜日と日曜日を含むすべてを。「オフィスにいなくても、何かがいつでも爆発する可能性があるという絶え間ない不安があります。」
バーンアウトを防止するには、ベースストレスレベルを低減し、ゼロストレスの期間を確保する必要があります。「人々が継続的なマラソンを走っているときスプリントを入れることを期待することはできません。ですから、私はワークロードを減らし、楽しい要素を増やそうとします。それは単に適切な労働時間を要求することの問題ではなく、人々が彼らが取り組みたいプロジェクトに取り組むことを許可することもあります。楽しいものと同様に重要なプロジェクト。」
バーンアウトがなくても、単なる疲労によって人々の効果的な IQ は低下します。「あなたが必要とする最後のことは、彼らのキャリアの最も重要な仕事をしようとしているときに、彼らの知識の60%で動作し、座っているチームです。ですから、大きなインシデントがある場合、シフトローテーションとハンドオーバーを定義し、人々が過剰に労働するのを防ぐことが重要です。いつもいくつかは作業したいだけです。彼らは続けていきたいです。しかし、彼らを特定し、彼らが全体的な重みが彼らの肩の上にのみあると感じないようにし、彼らが機敏を必要としているために持続可能な方法で働く必要があることを理解するよう主張することは、私にとって非常に重要です。」
ストレスレベルの管理、士気の向上、継続的な疲労の回避は、McKerchar のバーンアウトを防ぐ方法です。
ハッキングバック
サイバーセキュリティの別の繰り返される主題は、サイバー防御側が運動防御側と同じ報復の権利を持つかどうかです。中立的なオブザーバーはほとんど、2022年のロシアの侵略に続いてウクライナが同じ方法で報復する権利を疑問視しません。サイバー攻撃(システムへのサイバー侵略)に続いて、サイバー防御側は同じ権利を持つべきですか?つまり、ハッキングバックの権利があるべきですか?
それは常に繰り返される質問ですが、合意は、そのような権利は個々の企業ではなく政府にのみ属するということです。とは言うものの、McKerchar と Sophos は Pacific Rim というプロジェクトでこの質問をその限界に持ちました。中国のハッカーが Sophos ファイアウォールを攻撃していることを発見し、独自の観察とテレメトリを増やしながらファイアウォールのセキュリティを改善しました。時が経つにつれて、攻撃側が悪用を開発するために使用されていた侵害されたデバイスを発見しました。それは、攻撃側のアクティビティを監視できるように、デバイスに独自のカーネルインプラントを置くことで対応しました。
表面的には、このインプラントは、それが外国ではなくローカルデバイスを関与させたにもかかわらず、ハッキングバックの形として見ることができます。しかし、それは「ハッキング」ではありませんでした。Sophos は法的助言を取得し、米国 NSA と英国 NCSC の両方と協力して、プライバシー規則への適合性を確保し、Sophos との侵害されたデバイスの EULA を通じて合法性を確認しました。
「私はそれを『ハッキングバック』と呼ぶことはできません」と McKerchar は言います。「しかし、私たちはこの敵に対して自分たちを守るために、通常以上に堅牢なアクションを取りました。それは、敵対側を監視しながら、彼らが自分たちのデバイス上で悪用を開発しながら、ラインを歩いているのは例です。しかし、私たちが取ったアクションから顧客を安全に保ちます。」
メンターシップ
アドバイス、または専門的な専門用語では「メンターシップ」は、CISO の役割の別の重要なファセットです。職務記述書に書かれていませんが、ほとんどの CISO は、彼らのチームのメンバーが彼らの自身の野心と成功する方法についてアドバイスすることを喜びます。これは1つの質問を提起します。このCISO が彼のキャリアの初期段階で受け取った最良のメンターシップ、またはアドバイスは何ですか?
McKerchar にとって、それは単純なステートメントでした。「経営者はサプライズを好みません。」それはプロフェッショナルに聞こえませんでしたが、彼はそれがすべてコミュニケーションについてであることに気付きました。セキュリティはしばしば悪いニュースを配信する必要があり、または他の部門の失敗を強調する必要があります。そのニュースをどのように配信するかが重要です。
「これらの問題をどのように伝え、人々を乗り込ませ、あなたと一緒に働くようにしていくかは、驚くほど難しいです。良い関係を持つ必要があります。彼らはあなたを信頼する必要があり、あなたは一対一の会話を最初に持つことができる必要があります。人々に何かを伝えたい方法のほぼ順序があり、それはほぼ顔を保存する事のようです。その単純なアドバイスは、ステークホルダーと関係管理の重要性を理解するのに役立ちました。」
「コミュニケーション」と「信頼」は、McKerchar との私たちの会話全体を通じて繰り返されたテーマでした。
彼が自分のチームに与えるアドバイスは、関係する人によって個別です。しかし、最も一般的なのは「あなたが本当に達成したいものを理解してください。人々は、あなたが聞きたいと思うことを伝える傾向があります。彼らは通常、『私は CISO 、リーダーになりたいです』と言うでしょう。」彼らは必ずしも、彼らが実際に技術的なリーダーシップを実践したいのか、または理論的リーダーシップを実践しない方がいいのか、ビジネスリーダー、またはコンサルタントなのかを知りません。彼らは基本的に「私は成功したいと思っています」と言っているだけです。しかし、そこに到達するための最善のルートを選択する前に、目的地を知る必要があります。
彼の2番目のアドバイスは、純粋に技術スキルに集中しないことです。「技術スキルの上で多くの人を見かけ、大きな組織で物事を成し遂げるために必要な感情的知識、クロスファンクショナル実行とコミュニケーションスキルを構築しない人が多くいます。それは私が人々が戻ってくるのを見ている最初の番号です。」
脅威
私たちはいつもこれらの会話を簡単な質問で終えます。今後数年で直面する可能性が高い最大の脅威は何ですか?AI などの特定のテーマは比較的一貫しています。しかし McKerchar は異なります。
「私はおそらく「AI」と言うべきですが、私は「信頼」と言うつもりです。特にサイバーセキュリティ業界内で。サイバーセキュリティ業界は悪い、そして成長する信頼の問題を持っていると思います。その理由は、サイバーセキュリティ製品が侵害の原因となるサイバーセキュリティ業界内で。その理由は、サイバーセキュリティ製品が侵害の原因となる明確で継続的なトレンドです。」
彼には一点があります。最近の例には、F5、SonicWall、Okta、Barracuda ESG、Codecov、MOVEit、Kaseya、3CX、そしてもちろん SolarWinds が含まれます。
「サイバーセキュリティ業界に深いいる誰かとして、明らかな対応は脇に立ってしまい、私たちの競合他社の苦難に奇妙な喜びであるかもしれません。しかし本当の問題は、それが全体的な業界の信頼の問題を作成することです。全体的に、私たちは自社製品をどのように構築および開発するかについてゲームを増やす必要があります。そして、市場のインセンティブが通常はベンダーをその方向に押すことがないため、それがどのように起こるつもりかは分かりません。」
顧客が自分たちを守るために使用するセキュリティ製品を信頼できない場合、誰もが苦労する必要があります。そしてこの懸念は、おそらく彼と彼の会社が Pacific Rim エピソード中に中国の APT から自分の製品と彼のクライアントを保護するために取った極端な対策を説明するのに役立つかもしれません。
翻訳元: https://www.securityweek.com/ciso-conversations-ross-mckerchar-ciso-at-sophos/
