Dark Readingの「Heard It From a CISO」ビデオシリーズへようこそ。本シリーズでは、サイバーセキュリティ分野への参入やキャリアアップに関するアドバイスを、実際に経験した専門家から紹介します。
今回の最新エピソードでは、Dark Readingのアソシエイトエディター、クリスティーナ・ビークが、エッジコンピューティングおよびコンテンツデリバリーネットワーク(CDN)プロバイダーであるFastlyの最高情報セキュリティ責任者(CISO)、マーシャル・アーウィン氏にインタビューします。
この対談では、アーウィン氏がサイバーセキュリティリーダーになるまでの型破りな道のりを掘り下げます。彼は大学のキャリアフェアでの予期せぬ出会いから、コンピュータサイエンスの勉強を経て、2004年に中央情報局(CIA)のサイバーユニットに進むことになりました。
この議論では、Fastlyのネットワークを通じて世界のインターネットトラフィックの大部分を保護するという、ユニークな課題と責任についても深く掘り下げています。FastlyはReddit、Pinterest、The New York Timesなどの大手企業を支えています。アーウィン氏は、グローバルなWebトラフィックを守るという高いリスクと責任、そして成功すれば多くを守り、失敗すれば同じトラフィックを危険にさらすことになるという役割の本質について語ります。
インタビューを通じて、アーウィン氏は将来のサイバーセキュリティ専門家に向けて実践的なアドバイスを提供しています。教育の道筋、成長する分野の機会と課題、AIのような新興技術の影響など、よくある質問にも答えています。彼は技術的基礎の重要性を強調し、重大なインシデントがサイバーセキュリティ分野でのキャリアを決定づける瞬間になり得ることを共有しています。
また、本シリーズの他のエピソードもぜひご覧ください:「FBIからCISOへ:サイバーセキュリティ成功への型破りな道のり」(Kaseya CISO ジェイソン・マナー氏出演)、 「サイバーキャリアの機会:資格と学位の比較」(長年CISOを務めるメリナ・スコット氏出演)、および「男性中心のサイバー業界でも、レジリエンスのある女性には活躍の場がある」(Weave Communications CISO ジェシカ・シカ氏出演)。
Fastlyのマーシャル・アーウィン:全編書き起こし
この書き起こしは、分かりやすさのために編集されています。
クリスティーナ・ビーク:こんにちは!私はクリスティーナ・ビークです。Dark Readingのアソシエイトエディターで、「Heard It From a CISO」シリーズの新しいエピソードをお届けします。今回はFastlyのCISO、マーシャル・アーウィン氏にご参加いただきました。マーシャルさん、まずはご経歴や教育背景、そして最初にサイバーセキュリティに関わることになったきっかけについて教えてください。
マーシャル・アーウィン:本日は私とFastlyをお招きいただき、ありがとうございます。この対談をとても楽しみにしています。私の経歴や現在の役職にたどり着いた経緯は、かなり迂回したものでした。もともと大学ではコンピュータサイエンスを専攻していて、キャリアフェアに参加しました。2004年のことで、Googleのブースがすぐそばにあり、中央情報局(CIA)のブースもありましたが、CIAのブースには誰もいませんでした。面白そうだと思い、まずは話を聞いてみることにしました。その会話がきっかけで、大学卒業後最初の仕事としてCIAのサイバーユニットで非常に興味深い仕事をすることになり、それがサイバーセキュリティの世界に入るきっかけでした。その後、方向転換してCIAの対テロセンターでもかなりの時間を過ごしました。そこで得た文化や精神は、今の仕事にも活かされています。これが私のキャリア初期の話です。もしご興味があれば、その後どのようにして再びサイバーセキュリティに戻ったかもお話しできます。
KB:素晴らしいですね。ぜひお聞きしたいです。CISOになるまでの道のりをどのように表現しますか?
ME:私はサイバーセキュリティのキャリアを非常に興味深い時期にスタートしたと思います。2004年から2005年頃で、当時この分野に携わる人々は、サイバーに関する実存的なリスクが急速に高まっていると感じていました。当時は「サイバー」という言葉自体が今ほど一般的ではありませんでしたし、業界全体や政府もそのリスクを十分に認識していませんでした。そのため、私たちの仕事に注目を集めるのは本当に大変でした。そうした理由もあり、私は対テロ分野に移りました。そこで、即時的なセキュリティの課題やリスクにチームで取り組み、人々を守るということの意味を学びました。この精神は、今でもサイバーセキュリティの仕事に活かされています。その後、技術的なセキュリティ業務からは5年以上離れ、米国議会でスノーデン事件の頃に技術的なサイバーセキュリティ問題に取り組みました。当時、インテリジェンスコミュニティでの経験と技術的知識、セキュリティ知識を持つ議会スタッフはほとんどいませんでした。それが再び技術的なセキュリティ分野に戻るきっかけとなりました。
議会でしばらく働いた後、最終的にFirefoxブラウザの開発元Mozillaに就職しました。Mozillaは素晴らしい組織で、プロダクトリーダーと共に重要なプライバシー・セキュリティ機能を実装したり、組織内部のセキュリティ面での課題に取り組んだりする機会を与えてくれました。Mozillaでは約10年弱働き、その後2年ほど前にFastlyに移りました。
KB:素晴らしいですね。私の理解では、FastlyはReddit、Pinterest、The New York Timesなどの大手企業を支えているそうですが、そういった企業と関わるFastlyで働くことについてどう感じていますか?
ME:Fastlyで働く上で私が本当に好きな点は、実際に大きな影響を与えられることです。私たちは大企業ではありませんが、それでも世界のインターネットトラフィックの大部分を支えています。私が率いるチームがネットワークを安全に構築・運用できれば、世界のWebトラフィックの大部分を守ることができます。逆に、ミスをすればそのトラフィックを危険にさらすことになります。私たちの仕事の影響は非常に大きく、責任も重大です。ストレスの多い状況になることもありますが、それこそがこの仕事のやりがいであり、グローバル規模で本当に影響を与えられる点が魅力です。私は常にそういった役割を求めてきました。
KB:このシリーズを始めた理由の一つは、サイバーセキュリティ分野に興味を持つ人々、例えば新卒者やキャリアチェンジを考えている方々に道しるべを示すことです。あなたの豊富な経験から、この分野に入る最良の方法は何だと思いますか?
ME:私たちがチームメンバーに求めていることをお伝えします。まず大事なのは、技術的な能力とバックグラウンドを持ち、できれば実際に開発やシステム管理などのハンズオン経験があることです。当社のような規模の会社では、セキュリティ業務に集中できますが、システムの仕組みを直感的に理解し、エンジニアリング志向の会社と連携できる技術的素養が必要です。セキュリティに特化する前に、技術的な実務経験を積むことがとても重要だと考えています。強い技術的バックグラウンドとハンズオン経験がある人は、状況に応じて柔軟に対応できるため、私たちの採用でも重視しています。
KB:2004年のキャリアフェアの話に戻りますが、今では大学でサイバーセキュリティやコンピュータサイエンスを学ぶ選択肢があり、資格取得も人気です。どちらを勧めますか?両方?それともどちらか一方?
ME:私がこの分野に入った頃は、資格取得は一般的な道ではありませんでした。サイバーセキュリティの資格はドアを開くのに役立つこともありますが、必須だとは思いません。強い技術的バックグラウンドがあれば、資格と同等に評価します。私の道のりは迂回的ですが、それは業界全体のセキュリティや成熟度の不足を反映しています。今では私のような道を歩むのは珍しいでしょうが、資格よりも、他の技術スキルやコンピュータサイエンスのバックグラウンドを重視しています。
KB:サイバーセキュリティについて、特にDark Readingで働く前は、技術分野を考える際にサイバーセキュリティが最初に思い浮かぶことはありませんでした。今の人たちは、自分が本当にサイバーセキュリティに興味があるのか、他の技術分野なのか、どう見極めるべきだと思いますか?
ME:面白い質問ですね。私たちの業界の課題の一つは、今やサイバーセキュリティが全てのセキュリティを意味するようになったことです。その範囲はどんどん広がっています。あまりうまく答えられていないかもしれませんが、セキュリティという言葉の意味が広がりすぎていることが課題だと思います。
KB:KaseyaのCISO、ジェイソン・マナー氏へのインタビューを思い出します。彼の息子さんがサイバーセキュリティの求人を見て、給料が高くて在宅勤務もできると知り、「これはいい」と思ったそうです。でも実際には大きな責任が伴います。こうした役割に興味を持つ人に、責任の重さについてどう伝えますか?
ME:特に重大なインシデントの最中は大変です。私がキャリアで経験した重大インシデントは、全体の成長にとって非常に重要でしたが、ストレスが多い状況です。現場に立ち、長時間働くことも求められますし、個人的なストレスも大きいです。そういった道を選ぶなら、その点を意識する必要があります。しかし振り返ると、それらが自分のセキュリティキャリアの中で最も重要な転機だったとも思います。
KB:サイバーセキュリティ分野は成長していると思いますか?AIの台頭で、エントリーレベルの職が不要になるのではと心配する人もいますが、どう思いますか?
ME:現時点での私の考えをお伝えしますが、今後どうなるかは自信がありません。ただ、AIツールがエントリーレベルの職を置き換えるという懸念は、他の開発職ほどセキュリティ職では大きくないと思います。その理由は、新しいAIトレンドを除いても、どのセキュリティチームも日々のインシデント対応やシステムの脆弱性、リスク対応の量に苦しんでいるからです。人手だけでは解決できない問題であり、自動化によってノイズを減らし、本当に必要な時に人材を集中させることが重要です。AIはその点で役立つでしょう。重大なインシデント時には優秀な技術者が必要ですが、それまでの段階ではノイズを効率的に処理する手段が必要で、AIツールはその助けになると考えています。
KB:問題解決能力について、これまで管理してきた人材や現在のチームで、技術スキルやソフトスキル、問題への取り組み方など、どんな資質が際立っていると思いますか?
ME:過去に関わった重大インシデントについて少しお話しします。これらは非常にストレスが高く、時間もかかり、困難な状況でしたが、私のキャリアの大きな転機となりました。セキュリティリスクが現実の問題となり、なぜ私たちが日々努力しているのかを実感できる場面です。また、こうした時こそリーダーシップを発揮するチャンスでもあります。重大インシデントがキャリアの転機となったのは、セキュリティリーダーシップに空白が生まれ、私がその空白を埋めることができたからです。会社のリーダーたちも私の行動を見て、リーダーシップを任せてくれました。その結果、今の役職に就いています。こうした重大な出来事の際に、誰が現場に立つかを見るようにしています。混乱やストレスの中で一歩引く人もいれば、積極的に前に出て助けよう、リードしようとする人もいます。そうした姿勢が、信頼でき、成長してほしい人材の大きな特徴だと考えています。
KB:あなたはこうした転機でリーダーシップを発揮し、今の地位に就いたと話されましたが、CISOになることを目指していたのでしょうか?CISOという役職は非常に責任が重いですが、どう思いますか?
ME:私にとっては、その責任こそがこの役割の醍醐味です。Fastlyに入社した動機の一つも高いリスクにあります。私たちはWebの大部分のトラフィックを守っています。自分の仕事がうまくいけば、本当に大きな影響を与えられます。こうした責任は時にプレッシャーにもなりますが、それがこの仕事を面白く、やりがいのあるものにしています。重大なインシデントや侵害を経験したときは大変ですが、振り返ると自分の仕事を誇りに思えます。
KB:確かに。最後に、サイバーセキュリティ分野の未来についてどう思いますか?
ME:正直に言うと、前向きな話に持っていけるか分かりませんが、まずはネガティブな面から話します。私は2004年頃にこの分野に入りましたが、当時は関係者の間で実存的な問題が迫っているという認識はあったものの、社会全体の認識は広がっていませんでした。今では広い認識が得られましたが、リスクは現実化し、十分に先手を打てていません。リスクはシステム全体に拡散し、企業や政府もまだ十分な解決策を見つけられていません。その結果、消費者は日々受け入れがたいレベルのリスクを負っています。つまり、やるべきことはまだたくさんあります。CISOを目指し、責任を担いたい人には大きな影響を与えるチャンスがありますが、この分野にはさらなる進歩と多くの機会が残されています。
KB:ありがとうございました。最後に、この分野に興味を持つ方々へのアドバイスがあればお願いします。
MI:ここで述べた2つのポイントを強調したいと思います。1つは、ハンズオンでの実践的な経験が重要であり、それがあればセキュリティの仕事で効果的に活躍できます。もう1つは、重大なセキュリティインシデントをリーダーシップの機会と捉えることで、キャリアの道筋を決定づけることができるという点です。
KB:素晴らしいです。本日はDark Readingのインタビューにご協力いただき、ありがとうございました。
ME:もちろん、こちらこそありがとうございました。
KB:はい、ありがとうございました。さようなら。
翻訳元: https://www.darkreading.com/cybersecurity-operations/fastly-ciso-major-incidents-career-catalysts
