あなたの唇は「ノー」と言いますが、私は聞いていません

セキュリティ専門家が新しいテクノロジーの安全性の不安について不満を漏らしてきた長い歴史があります。 新しいテクノロジーが普及しても、そこに優れたセキュリティが組み込まれていることはほとんどありません。大衆が戻ってきて、「セキュリティは正しい。私たちが愛用しているこのテクノロジーの使用をやめるべきだ」などとは決して言いません。 人気のあるテクノロジーは常に勝利を収めます。

今週のエピソードは、私、CISO シリーズのプロデューサーである David Spark (@dspark) と、YL Ventures の運営パートナーである Andy Ellis (@csoandy) が司会を務めます。 ゲストは、副社長兼 CISO の BILL リンキ・セティ (@rinkisethi) です。

フィードバックはありましたか? LinkedIn での会話に参加してください。

[ボイスオーバー]サイバーセキュリティに関して私が嫌いなのは、行きましょう！

【林樹世志】サイバーセキュリティに関して私が嫌いなのは、この分野のジェンダーの多様性が世界のジェンダーの多様性を代表していないことです。 イライラする理由は、解決しなければならない最も困難な課題がいくつかあり、サイバー セキュリティの課題を解決するには別の方法が必要だからです。そして、それを行う唯一の方法は、そういう多様性を持っている。

[ボイスオーバー]CISO シリーズ ポッドキャストを開始する時間です。

[デヴィッド・スパーク] CISO シリーズ ポッドキャストへようこそ。 私の名前はデヴィッド・スパークです。 CISOシリーズのプロデューサーです。 そして、共同司会者として私に加わったのは、あなたも聞いたことがあるでしょう、アンディ・エリスです。 彼は YL Ventures の運営パートナーです。 アンディ、素晴らしい聴衆に挨拶してください。

[アンディ・エリス]素敵な聴衆の皆様、こんにちは。

[デヴィッド・スパーク] cisoseries.com では、他のすべてのプログラムをご覧いただけます。 うちには靴がたくさんあります。 シーズンやその週の出来事に応じて、毎週 8 ～ 10 のエピソードをドロップします。 しかし、多くのことが起こっています。 今日のエピソードのスポンサーは、サイバー労働力と専門能力開発を促進する OffSec です。はい、実際、彼らは独自のセキュリティ専門家を育成するための素晴らしい教育プラットフォームを持っています。 番組の後半で私たちが何を言うのか聞きたいと思うでしょう。 乞うご期待。 でもその前に、アンディ、RSA に行ってこれを録音しているのはほんの数週間です。 知りたいのですが… 素晴らしいヒントをいくつか教えていただきました。あなたにとって、「個人的に RSA をうまく成功させた」ことを意味する大きなことは何ですか。 あなたにとってそれは何ですか？

[アンディ・エリス]それは本当に難しいことです。 そして実際のところは家に帰るまで分からないと思います。 それは実際には 2 つのことだからです。 一つは、私はまだ健康かということです。 そして、それを行う理由はさまざまです。

[デヴィッド・スパーク]私は昨年RSAで新型コロナウイルスに感染しました。

[アンディ・エリス]そうですね、それは絶対にやるべきことではありません。 でも、燃え尽きてしまうこともあります。 私はボロボロになって走ります。 そして、私にとって本当に楽しみなのは、どれだけ多くのフォローアップがあるかです。 「ああ、私が送ると言ったからといって、この人にアメリアを送らなければならないが、私はそれに興奮していない」というようなことをフォローアップすることがたくさんあります。 でも、「ああ、本当に素敵な人に出会ったんだ。それでメールを送ることになったんだ。そうするって言ったから今から会話することになるんだ」みたいな感じです。 私が本当に楽しみにしているのは、「RSA にいた間、素晴らしい会話ができた。次のステップを楽しみにしている」と評価して言えることです。

[デヴィッド・スパーク]それはとても良いことです。 フォローアップに関して私が不満を感じているのは、RSA への関心の高さ、そして RSA を離れると関心がどれほど低くなるかということです。 （笑）

[アンディ・エリス]絶対に。 あなたをフォローするために興奮しているふりをする人がたくさんいますが、そうではありません。

[デヴィッド・スパーク]うん。 そうですね、私にとっては、たくさんのスポンサーや潜在的なスポンサーと会うことになるので、それは素晴らしいことです。 また、ゲストや潜在的なゲストとのミーティングも行います。 つまり、それは常に…ネットワーキングだけでも、私にとっては非常に大きなものです。 私たちにはゲストがいます。ターンチャンピオンのゲストです。以前、彼女が Twitter の CISO だったときに彼女を迎えました。 そして今、私たちは彼女を捕まえました、今、彼女はBILLのCISOです。 それは他でもないリンキ・セティです。 りんきさん、またご参加いただきまして誠にありがとうございます。

【林樹世志】お招きいただきありがとうございます。

3:21.887

[デヴィッド・スパーク]最近ニューヨーク市に出席したCISA長官のジェン・イースタリー氏は、「CEOや取締役は企業のサイバー責任を、IT担当者が心配することではなく、優れたガバナンスの問題として受け止める必要がある」と述べた。 さて、アンディ、ここで形勢を逆転させたいと思います。 リスクを軽減する仕事を容易にするために、取締役会のメンバーや経営幹部は何をしていますか?アンディ、あなたは、経営幹部や取締役会は事前の知識に基づいてリスクに関する意思決定を行うため、CISO だけが教育を受けることはできないと言いました。 それで…これが私がここで明らかにしようとしている部分です。 経営幹部がサイバー リスクを理解できるように昇格した場合、どのようにしてより適切に業務を遂行できたのでしょうか?

[アンディ・エリス]彼らは戦術的になるのをやめたと思います。 私が多くの企業で目にする課題の 1 つは、多くの CISO と話していると、新しい取締役会のメンバーを迎え入れようとしているということですが、その取締役会のメンバーはサイバーを理解しているということです。 彼らはすぐに核心部分に飛び込みます。 彼らは、「ああ、CSF に対してコントロールが調整されているのを見てもらえますか? あるいは、具体的な詳細について話しましょう。」といった感じです。 そして実際、それは外国為替のようなものです。 私は実際、サイバー リスクについて話す方法として為替リスクを使用するのが好きです。 多国籍企業で経営幹部レベルで働く人は皆、外国為替リスクが自社のビジネスにどのような影響を与えるかについて基本的な理解を持っています。彼らは CFO に頼って、「おいおい、私たちはもしかしたら少しは大丈夫かもしれない」といったお誘いを聞くでしょう。当社の収益、英国子会社、米ドルの間で過剰にレバレッジがかかっています。」 しかし、彼らは基本とそれがどのように組み合わされるかを知っています。 そしてそれこそが私たちが高める必要があるものなのです。 CISO と同様に、経営幹部に「このトロイの木馬の特定の名前について心配する必要があります」と言う必要はありません。 しかし、彼らがランサムウェアがどのように機能するかを基本的に理解していないとしたら…そして、それがどのように機能するかというと、私は 3 文の説明のように話しています… マシンに乗り、横に移動し、すべてのデータを盗みます。ドーン、それが彼らの説明です。 そのため、何かが起こったときに、「これは当社のビジネスにどのような影響を与えるだろうか?」と考えるための明確な枠組みを持っています。

[デヴィッド・スパーク]いい視点ね。 リンキ、これをあなたに投げます。 さまざまなレベルのサイバー意識の高い取締役会や経営幹部と仕事をしたことはありますか?それともそうではありませんか? 2 つのグループの運営方法が異なることをどのように見てきましたか?また、それによってどのように仕事が楽になるのでしょうか?

【林樹世志】そうですね、私は CISO として取締役会に所属しており、CISO として取締役会にも報告しているので、これは興味深いことだと思います。

[デヴィッド・スパーク]つまり、両方の側面から見たことになります。

【林樹世志】そうですね、それについてはいくつかの異なる視点があります。 1 つは、CISO が資料を提示するとき、多くの指標とデータが存在すると思います。 そして、取締役会のメンバーがそのデータを要求して、「ああ、私たちはいくつかの資料を読みました。これがあなたが発表すべき内容です。」と言うことがよくありました。 それで、あなたはそれを集めに行きます。しかし、それが CISO として私を夜更かしさせている理由ですか? それは、リーダーから必要なサポートを得られるかどうかについての重要な会話だと思います。 夜も眠れなくなる主なリスクは何ですか? それらの分野に適切な投資はあるのでしょうか? それが取締役会室であろうと、取締役会のメンバーと1対1で対話し、適切な種類のサポートを得ることが実際に最も重要なことだと私は思います。

[デヴィッド・スパーク]そして、サポートは単にお金に換算されるのでしょうか？ つまり、サポートとは何ですか？ レベルをさらに深く掘り下げることはできますか?

【林樹世志】いいえ、必ずしもお金ではありません。 リスクを理解し、投資を行っていない場合でも、「これがビジネスにとって正しい決断であり、私たちが目指す方向である」と理解することだと思います。 あるいは、「これは受け入れるべきギャップではないと思うので、適切な投資をしましょう」という場合です。 それがお金であれ、それが何であれ、それは本当に重要だと思います。 取締役会のメンバーもサイバーセキュリティに関する授業を受けに行っているのを見てきましたが、その一部はそう思うのです...資料の一部を見ましたが、少し古いです。 代わりに CISO に相談したほうがよいと思います。 私が企業が行っているもう 1 つのことは、私が行っていることです。これは私が見た新しいことであり、実際に非常に素晴らしいことだと思います。取締役会に助言する CISO 諮問委員会を設立し始めていることです。 そのため、CISO が来て知識を共有することで、多様な視点が得られます。 この意見は、取締役会に所属している 1 人の CISO からだけ聞いているわけではありません。 それで、「ほら、私たちは取締役会として認識していないので、教育を受ける必要があります。しかし、それには時間がかかるかもしれません。それで、他の人たちに来てもらい、私たちを助けてもらいましょう。」と言う興味深い方法があると思います。 そして、それを行うボードがますます増えているのを私は見ています。

[デヴィッド・スパーク]アンディ、私がリンキに尋ねたのと同じ質問を 1 つだけ聞きたいのですが、理事会からのサポートはあなたにとって何を意味するのかということです。

[アンディ・エリス]つまり、サポートとは…取締役会が「適切なサポートはありますか」と尋ねるとき、「あなたが何か重要なことを言ったとき、同僚はあなたの言うことを聞いてくれますか?」と尋ねているのだと思います。 なぜなら、実行する必要があるすべての取り組みで CEO の承認を得る必要がある場合、サポートを受けることができないからです。サポートとは、あなたがビジネスの一部であることを意味します。 そして、あなたが「やあ、これを終わらせる必要がある」と言うとき、それは理にかなった範囲で、人事が現れて「やあ、これを終わらせる必要がある…」と言った場合と同じように、人々は通常、押し返しません。人事部が求めるすべてを。 私たちはそれに対して多くのことを反対しています。 しかし、反発しか感じていないのであれば、サポートは得られません。

8:39.144

[デヴィッド・スパーク] Twitter の @myracoonhands…本名ではありません。 ちなみに、彼らはAKA Infosecsieという名前でも呼ばれています。 どうか尋ねられました…

[アンディ・エリス]そこに入れられた声門閉鎖が気に入っています。

[デヴィッド・スパーク]貴方のために。 あなたがリーダーの立場にある場合、失敗にどう対処しますか? 具体的にはスタッフ内で。 「失敗は許されない」という言葉についてどう思いますか。 そこで、私のお気に入りの回答を 3 つだけ引用したいと思います。 ショーン・モレットは、「失敗とは、間違いを犯すことではない。失敗とは、間違いを認識せず、修正しないことである。」と言いました。 @CyndyL44 は、「私はソフトウェア製品管理の仕事をしています。失敗が許されないなら、私たちは決して何も作りません。それは時代遅れの営業的な動機付けのナンセンスだと思います。」と述べました。 そして、G DATAのカルステン・ハーン氏は、「失敗は避けられないものであり、将来物事を学んで改善する機会です。それを個人的な失敗と捉えるのではなく、プロセスを改善するために活用されるべきです。ほとんどの場合、失敗はそうではありません」と述べています。原因は人ではなく、プロセスによるものです。」 そこで、凛木さん、これをあなたに投げかけますが、「失敗は選択肢ではない」という言葉について、少し裏話を付け加えさせていただきます。 これは実際には NASA の飛行責任者、ジーン・クランツとアポロ 13 号の月面着陸ミッションに由来するとされる言葉ですが、彼は決してそれを言ったことはありません。 それは1995年の映画「アポロ13号」でのみ言われたことです。 そこで、凛木さんに聞きますが、スタッフの失敗にはどのように対処していますか? 「失敗は許されない」という言葉についてどう思いますか。 それはあなた自身が言ったセリフですか？

【林樹世志】私自身、そのセリフを言ったことはないと思います。 サイバーセキュリティ担当者として、物事の失敗を見つけるのが私たちの仕事ではないでしょうか? それが私たちの繁栄なのです。 だから、失敗について考えるときは、間違いについても考えるのです。 そして、私はあなたが提供した引用のいくつかに同意します…間違いを犯すことは、どのように学び、どのように成長し、どのように革新するかであると思います。それは、同じ間違いを何度も繰り返し続けるか、意図が悪い場合です。 そのとき、それはもう間違いでさえないと思うのです。 まったく違うことについて話しているんですね。 でも、成長しようと思えば必ず失敗すると思います。 そしてそこから学ぶ…そしてそれが成功を定義するものです。 だから、失敗は許されないとは思いませんが、それは私の心には響きません。

[デヴィッド・スパーク]アンディ、チームの失敗にはどう対処していますか?

[アンディ・エリス]そこで、自分の本を調べてみました…申し訳ありませんが、本を参照する必要があります。 そして、私の 54 章のうち、6 章は失敗に関するものです。

[デヴィッド・スパーク]書くのに失敗しましたか？

[アンディ・エリス] [笑い] 他の章のいくつかは書くのに失敗しました。 編集者がこの本を出版するまでは 55 章ありましたが、現在は 54 章のみです。

[デヴィッド・スパーク]（笑）ちょっと待って、知りたいんだけど、どっちがカットされたの？

[アンディ・エリス]そのタイトルは「サッカーチームがどんなに優れていても、ホッケーリンクに置くと失敗する運命にある」というものだった。

[デヴィッド・スパーク]はい、それが好きです。 それは良いことだ。

[アンディ・エリス]実はこれが気に入ったのですが、近くにある 2 つの章と重なっていました。 そう、とにかく。 まず、失敗は人を成長させるものです。 誰かを成長させたいときはいつもと同じように、失敗のリスクにさらさなければなりません。 管理された方法で行う必要があります。 安全にしてあげるべきですよ。 「ああ、次の仕事レベルに向けて準備をしたいのですか？まあ、準備ができていない状態であなたを送り出させてください。」とただ言うべきではありません。 企業内での失敗を謝罪する失敗作も準備されている。 失敗したとき、それはあなた自身のものです。 「ああ、私たちは失敗した。私たちが間違っていたのはここだ。リーダーとしての私はこうするだろう」と言うだけです。

そして、あなたはチームと協力し、「時間内に追いつくことができず、私はあなたを失敗させました」と言います。 しかし、プロジェクトで失敗することも非常に重要です。 定期的に失敗しない場合は、十分な賭けをしていないことになります。 あなたがすることすべて…確かなことは何もありません。 したがって、行うことすべてが成功した場合、それは製品組織であれ、セキュリティ プロジェクトであれ、投資に対してあまりにも保守的であったことを意味します。 私のチームが開始したものの、途中まで進んで風向きが変わったことに気づき、これはもう必要なくなったため、完了しなかったプロジェクトの数…そして私たちは、失敗を早期に認め、失敗するのではなく、すぐに失敗することをいとわなかったのです。失敗は許されないので、全力を尽くし続けてください。

[デヴィッド・スパーク]リンキ、A、チームにいくつかのことを破れる可能性があるように自分を追い込み、そこから学ぶことができるようにするには、チームに何をしますか? そこに至るまでに何かやっている事はありますか？

【林樹世志】そうですね、それが彼らに間違いを犯したり、知識に基づいたリスクを犯したりする力を与えていると思います。 右？ それで、私はアンディの言ったことのいくつかに同意できませんでした。 しかし、企業とレッドチームを組むことだけを考えると、事態は破綻するでしょう。 そして、もしチームが、私が何かをダウンさせるかもしれない…サーバーがダウンするかもしれない…ということをあまりにも恐れているなら、あなたはリスクを冒して、見つけなければならないものを見つけるつもりはありません。そして、彼らにこう言う力を与えるのです。 「でも、大丈夫。もしあなたが失敗したら、私がそこに行きます。私はあなたを守るためにそこにいます。そして私たちはそこから学び、二度と同じことをしないようにします。」 しかし同時に、そうすることで、見つけなければならない問題も見つけられるのです。 そして、そういう時もありました…

過去に起こった状況を 2 つ挙げることができます。1 つは、レッドチームだったとき、またはレッドチームが何かを打ち破り、それを共有したときです。 そしてそこから学び、そして… あるいは、修正する必要のあるギャップを見つけるかのどちらかになります。 彼らがそれを隠蔽した別の場所がありました。 そして、私にとって、それはあなたが望むタイプの行動ではありません。しかし、人々を怖がらせたり、失敗を許さない環境を作り出したりすると、それが起こる可能性のあることの1つです。 ですから、私は人々に力を与えて、「間違いを犯しても大丈夫です。私も間違いを犯しました。そして、たとえ間違いを犯したとしても、それでも間違いを犯します。そして、それが間違った決断であったことを共有することだと思います。あるいは、それは間違ったことだった。方向転換しよう。」 つまり、それが間違いは大丈夫だというロールモデルを示す方法だと思います。

[デヴィッド・スパーク]さて、アンディはもう一度自分の本を参照したいと考えています。 さあ、アンディ。

[アンディ・エリス]したがって、謝罪予算は、チームがリスクを負うことを可能にするものです。 それで、人々が違うように聞こえるように少し調整します。 凛姫は「もし失敗したら、私が守ってあげる」と言いました。 実際には少し異なります。 それは、「私が謝りに行きます」です。 あなたがこのようなことをして、私たちがビジネスに損害を与えたのは CISO としての私の責任であるように、私たちはビジネスに対して謝罪すると同時に、これは必要なリスクであったと弁護する必要があります。 でも、私はそこにいて、あなたの背中を押すのではなく、あなたと一緒にいて、人々が「誰かに怒鳴らなければならない」ようなときにあなたの代わりになることを願っています。 「よかった、私はここにいる。怒鳴りつけてください。申し訳ありません。私にそそのかされてこんなことをしたのは私のチームです。」 さて、私はバックエンドで、「あなたはその年の謝罪予算を使い果たしました。あなたにはもう少しリスクを減らし、同僚にももう少しリスクを負わせてください。」と言うかもしれません。 私は以前、人々とそのような会話をしたことがあります。 しかし、それが彼らが本当に知っておくべきことです。あなたが彼らと戦い続けるということではなく、何らかの形で会社を潰したときにあなたが熱意を持って謝罪する人になるということです。

【林樹世志】私はあなたのその言い方が好きです。 まさにその通りです。 まさにその通りです。

15:43.021

[デヴィッド・スパーク]先に進む前に、私たちのスポンサーである OffSec について話したいと思います。 これはかなりクールです。 これを聞いてください。 有名な OSCP 認定と Kali Linux Distro を支援するサイバー セキュリティ学習およびスキル開発会社 OffSec は、企業固有のニーズに合わせて特別に作成された新しいソリューションを開発しました。それは Learn Enterprise と呼ばれます。 ああ、それは簡単に理解できますよね？ Learn Enterprise プランを使用すると、従業員は 1,500 を超えるビデオ、2,000 の実践的な演習、800 を超える実践ラボを含む OffSec 学習ライブラリに無制限にアクセスできます。 ライブラリは定期的に更新され、基礎から高度まで防御および攻撃の職務に固有のコンテンツが提供されます。さらに良いことに、プラン所有者は新しい OffSec サイバー範囲に独占的にアクセスして、現実世界の環境でスキルを練習できます。 ほんの数例を挙げると、Google、VMware、Microsoft はすべて、チーム開発のニーズに OffSec を信頼しています。 OffSec の新しいサービスである Learn Enterprise について詳しくは、Web サイト (offsec.com) にアクセスするだけでご覧いただけます。 それを綴らせてください。 オフセック.com。 OffSec.com、今すぐそこに向かいましょう。

「もっと悪いことは何ですか?」と遊ぶ時間です。

23:00.114

[デヴィッド・スパーク]リンキ、あなたはこれをプレイしたことがあるので、プレイ方法を知っていると思います。 またプレイしてみます。 そして、これは…言っておくが、これは「さらに悪いことに」シナリオのブルーリボン提出者だ。 問題は、この人物が匿名であるにもかかわらず、オスマン・ヤングというペンネームで活動していることです。[ふりがな 00:17:36] 。よし？ つまり、これがオスマンのシナリオです。 少し長いので、気長に読み進めてください。

[アンディ・エリス]オスマンは私が気づくたびに少しずつ複雑になっていきます。

[デヴィッド・スパーク]はい、これはかなり複雑です。 そう言います。

[アンディ・エリス]私は単純に「表か裏か、どっちが悪いですか?」を待っています。

[デヴィッド・スパーク]ダメダメダメ。 そうですね、オスマンはとてもクリエイティブです。 すでに述べたように、オスマンはこれらの作品を使えば、小説執筆の分野でも非常に良いキャリアを築くことができるでしょう。 会社には CISO はなく、情報セキュリティは IT 部門が必要に応じて操作し、理論的に処理するものです。 したがって、発生を待っている侵害が環境全体に点在しています。わかりました、シナリオ 1。 そして、私は強調したいと思いますが、実際にはこれらのどちらも好きではないでしょう。 ローカル SQL データベース内に多くの規制された PII を含むミッション クリティカルなアプリケーションをホストする DMZ Web サーバーがあります。 NIC (ネットワーク インターフェイス コントローラー) は、ネットワークまたはホスト ベースのファイアウォールなしでインターネットに直接公開されていますが、Windows 2022 を実行しており、パッチ火曜日のパッチ適用後 24 時間以内にパッチが適用されます。 SQL およびその他すべてのアプリケーション ミドルウェアも完全に最新の状態に保たれます。 SQL データベースには、GDPR によって規制されているヨーロッパの顧客の個人情報が満載されています。 つまり、名前、住所、電話番号、電子メール、生年月日、収入、販売履歴が得られました。サーバーには、信頼できるベンダーの高度なマルウェア対策ソフトウェア、EDR クライアント、高度な構成ロックダウン ソリューション、適切に構成されたログイン、およびフィードアウトが搭載されています。適切に調整されたSIMに。 そして、ファイアウォールを除く、業界標準の推奨事項に基づいてハードウェアを構成する高度なオペレーティング システム。これが欠けている大きな点です。 シナリオ 2 では、マルウェア対策やその他のセキュリティ制御を備えていない Windows XP ワークステーションを使用しています。 それは内部ネットワーク上にあります。 内部ネットワークのセグメンテーションがありません。 2016 年以来更新されていない Web ブラウザを実行しています。インターンたちは、昼休みにインターネットを閲覧するためにこのブラウザを使用しています。Windows XP ワークステーション自体には機密情報はありませんが、攻撃者がアクセスできるようにする何かに感染します。それを出発点として使用したり、ネットワークの残りの部分で偵察を集めて他の攻撃を開始したりできます。 わかった、アンディ、どっちが悪いの？

[アンディ・エリス]2 番目のシナリオでは、ネットワーク内のどこかに同等の貴重なデータがあると想定できますか?

[デヴィッド・スパーク]はい。 はい。 はい。

[アンディ・エリス]そうですね、私がそうでないことを確認したかっただけです…2番目のシナリオは、データがまったくない会社で働くことになるというものですが、実際にはかなり良いシナリオである可能性があります。

[デヴィッド・スパーク]文字通り、これはダミー コンピューターのようなものです。インターネットの残りの部分への舷窓のようなものです。

[アンディ・エリス]これは非常に機密性の高い環境にあるダミー コンピューターです。 ああ、それならこれは私にとって簡単です。 私は完全に 2 番の最悪のシナリオを選択します。

[デヴィッド・スパーク]はい、しかし重要なのは、他の場所でも優れたセキュリティを確保できるということです。 ただ、これってことは…

[アンディ・エリス]あなたはそこが出発点として使用される可能性があると言いましたが、それは私が他の場所に十分なセキュリティを持っていないことを示唆しています、そうでなければあなたはそれを言及したでしょう。

[デヴィッド・スパーク]いいえ、しかしこの特定のショップは、ネットワーク セキュリティに対してハードな外殻のアプローチを採用しました。 内部的には、ネットワークの監視、ログイン、制御はありません。 つまり、かつては攻撃者だった…そうですね、その通りです。 そこにある XP ボックスはネットワーク内を自由に移動できます。

[アンディ・エリス]そうですね、2番目が間違いなく最悪です。 理由は 2 つあるので、両方説明します。 そしてリンキも私に同意してくれると思うので、今回は私が勝つつもりです。 まず第一に、私たちが目にしている現代の攻撃者が行っていることは、すべて多段階の攻撃経路であるということです。 したがって、機密データが最初のエントリ ポイントであるマシン上になければ安全だという考えは、取り除く必要があります。実際に彼らが攻撃しているのはネットワーク全体であることを考えなければなりません。彼らにエントリーポイントを与えました。 それが理由 1 です。 私がそうじゃない理由は…実はシナリオ 1 が好きなんです。 それほど悪くないと思います。 なぜなら、あなたが主張しているのは、そのマシンではすべてが正しく行われているということだからです。

これは実際にはファイアウォールが必要ないことを意味し、これは多くの人にとって非常に物議を醸すことになるでしょう。 私は補正コントロールの大ファンです。 しかし、ファイアウォールは、完璧なセキュリティを実現することの不可能性を補う制御手段です。 しかし、これはこのシナリオであり、オスマン ヤングがそのボックスに完璧なセキュリティを与えてくれました。つまり、インターネットに公開しているサービスを除いて、インターネットに対して開いているポートはありません。 ファイアウォールがインターネットに公開するもの。 ネットワーク層の防御がない場合に実際に発生する唯一のリスクは DDAS です。 それは問題でしょう。 実際、これより良い解決策が見つからなかった場合、私の答えは、シナリオ 1 が私のお気に入りであり、その後はサーバーから DDAS を実行して、データ侵害が絶対に起こらないようにする、というものになるでしょう。 .でも、そこまでする必要もありません。 私が言いたいのは、1 番目のシナリオは実際には悪いシナリオではなく、ほとんどの企業のシナリオよりも優れているということです。 したがって、2番目は絶対に最悪です。

[デヴィッド・スパーク]よし。 いい答えだ。 わかりました、リンキ、同意していると仮定します。 これについては同意しますか? うなずく人がたくさんいたからです。

【林樹世志】 100%。 ２番はひどいですね。 ネットワークの境界セキュリティをすべて備えているのは、誰かがソーシャル エンジニアリングされることを想定しているからです。 完璧なセキュリティはありませんし、最も機密性の高いデータにアクセスするために使用されるパッチなどが不足しています。そこで、これらの人々が 100% のセキュリティを実践しているという事実を、アンディは見事に理解しました。 、私が心配するのはDDASです。 しかし、その場合でも、それが侵害やデータ侵害につながるわけではありません。 可用性の問題が発生します。 したがって、シナリオ 2 は明らかに悪いです。

[デヴィッド・スパーク]よし。

[アンディ・エリス]私が前の会社でゼロトラスト サービスを構築したのには理由があり、シナリオ 2 を阻止するためでした。

23:00.114

[デヴィッド・スパーク] LinkedIn で、Instacart の Matthew Sullivan 氏は、「セキュリティ関係者は、オープン AI、Chat GPT、Copilot に対して好きなだけ抵抗するのは歓迎です。しかし、私たちが BYOD、Dev Ops、Cloud、 「テクノロジーは常に勝利を収めます。あなたの仕事はテクノロジーと戦うことではありません。あなたの仕事は、テクノロジーの絶対的な専門家となり、従業員や製品に成果をもたらすようアドバイスすることです。」 つまり、セキュリティ専門家が新しいテクノロジーの安全性の低さについて不満を訴えてきた長い歴史があることに私は気づきました。 そして正直に言うと、新しいテクノロジーが普及しても、多くの優れたセキュリティが組み込まれていることはめったにありません。大衆がやって来て「セキュリティは正しい。私たちが愛用しているこのものの使用をやめるべきだ」などとは決して言いません。 したがって、人気のあるツールが常に勝ちます。 リンキ、セキュリティが不十分なツールが普及すると、セキュリティは常に負けて手を投げ出さなければならないのでしょうか? とにかく専門家にならなければいけないのでしょうか？ それとも中間点はあるのでしょうか?どう思いますか?

【林樹世志】手を上げないと思います。 面白いことに、ちょうど悪い CISO を作る 5 つの特徴についての記事を読んでいたのですが、そのうちの 1 人がまさにこれについて語っています。 私がその記事を読んだのは CSO Online か何かだったと思います。 しかし、そのうちの 1 つは、CISO がやって来て、「これらのツールは安全ではないため、使用することはできません。データがどのように処理されているかはまだわかりません。」と言われたことです。 そこで人々は回避策を見つけます。 いずれにしても彼らはツールを使用するつもりであり、その場合、CISO は組織内で悪者になります。 したがって、組織にとってどのようなリスクがあるのか​​、また、これらのものの良い使い方と悪い使い方について人々にどのように教育できるかを理解する必要があると思います。それは、ビジネスの観点を持たず、それをしないときだと思います。人々がなぜこれをどのように使用するのか理解できず、あなたは物事を非常に厳重にロックしようとします。 そうなると、実際にツール自体を使用するよりも大きな脆弱性が生じます。 また、シナリオやリスク環境によっては、Chat GPT や Grammarly などを使用するリスクを受け入れられない場合もあります。しかし、組織のリスクが何なのか、どこまで監視できるのかをよく理解する必要があると思います。強制し、ユーザーをどれだけ教育できるか。 そして、それがあなたの考え方であれば、必ずしも敗北を感じる必要はありません。 したがって、それについてどう考えるか、リスクとビジネス価値の種類をどのように考慮するかが非常に重要だと思います。

[デヴィッド・スパーク]質問させて下さい。 これまでに経験した役職の中で、ビジネスのようなことが大好きなのに、セキュリティの専門家として「何ということだ、一体どういうことだ？」と思ったような状況はありましたか? そしてあなたはチーム全員にこう言いました。「これと戦うことはできないので、これを解決しなければなりません。これは使用される予定です。ここで何をするつもりですか？」 あなたもその立場にいたことはありますか？

【林樹世志】ずっと。 （笑）

[デヴィッド・スパーク]わかった。

【林樹世志】ずっと。 特に、エンタープライズ バージョンがあるツールがあるときに、「もっと安全なエンタープライズ バージョンを入手する予算がない」というような場合は特にそうです。 あるいは、エンタープライズ バージョンがなく、まさにご指摘のとおりで、これをどのように許可するのか、ブロックするのかを考えなければならない場合、あるいは代替手段はあるのでしょうか? そしてそれらの代替案とは何でしょうか？ それは常に話し合わなければいけないことだと思います。 この分野には新しいテクノロジーが常に登場しており、リスクを理解し、何を受け入れることができるか受け入れられないかを理解し、議論することが…毎日、私たちが行っていることだと思います。

[デヴィッド・スパーク]アンディ？

[アンディ・エリス]そこで、Rinki 氏は、これらの 99% の解決策は契約であると示唆しました。 「ああ、機密データが Open AI に漏洩したらどうなるの?」と心配する人たちと同じです。 まあ、それがおそらく無料版を使用すべきではない理由です。 有料バージョンを使用し、ベンダーを実際のベンダーにする契約を結んでいる必要があります。したがって、Open AI がそれを許可するかどうかを判断することで、ベンダーが何を行っているかを監査して理解することができます。 Chat GPT に関する私の懸念はまったく異なります。ほとんどのセキュリティ専門家は、より大きなリスクは実際には風評被害であることを忘れていると思います。 これはチャットGPTの嘘です。

[デヴィッド・スパーク]ちなみに、彼は嘘が上手です。

[アンディ・エリス]大嘘つきだ。 それは、カクテルパーティーで、ただ聞こえの良いものを作るだけの[ビープ音]のようなものです。 そして、社内にそれに依存し、そのデータをコピーアンドペーストして公開している人がいる場合、ほとんどの CISO にとって、機密データが公開されるリスクよりも、そのほうが会社にとって大きなリスクとなります。それでも、試してみるべきです。機密データのリスクを管理する必要がありますが、そのことで自転車を流されずに、このウサギの穴に集中してください。本当の問題は、ChatGPT が Chat GPT を使用して提供する回答を適切に判断するのに十分な知識を持っていない人がいることです。 そして、Chat GPT が伝えたことが正しいことを検証する方法について教育する必要があります。Chat GPT が素晴らしいと思う人にとって、私はそれが大好きです。 いつも使っています。 そして、ほぼ毎回のストレッチの前に自分に言い聞かせるために、私の略歴を書いて送ってもらうようにお願いしています。 そして、私が人生で成し遂げたことは驚くべきことです。 それは間違っています。

[デヴィッド・スパーク]それはあなたを実際よりも良く聞こえるようにしますか？

[アンディ・エリス]少なくとも違う。 私のお気に入りは、私が受賞した業界賞とほとんど同じではありませんが、一連の業界賞を受賞したことです。 そして私は、「このアンディは、私が同じような出版物で実際に賞を受賞した年かその近くの年に6つの賞を受賞しました。」と思います。 それはとても奇妙でした。それで、私のより大きな心配は、人々がチャット GPT を使用すべきかどうかをめぐるこの戦いを戦うのに忙しすぎて、チャット GPT を使用するプロセスが何であるかについての会話ができていないということです。実際にビジネスに役立つ方法です。

28:41.374

[デヴィッド・スパーク] Dark Reading では、Green Shoe Consulting の Steve Shelton が、何時間も電子メールの送受信ができずに CEO が動揺する CISO の架空のシナリオを概説しています。 CISO は昇進し、より多くの責任とプレッシャーを引き受けるようになりました。 CISO は自分の業績を誇りに思っていますが、インシデントが発生して評判が崩れるのではないかと心配しています。最後に、これが私が疑問に思っていることですが、経営陣は悪意のある脅威に対する 100% の保護と完璧なパフォーマンスを期待しており、セキュリティ チームはそれを認識しています。非現実的で不当な期待。 さて、このシナリオは 2023 年 2 月に公開されました。私の質問は、このシナリオ、特に最後の部分がどの程度現実的かということです。そして、CISO は船の右側でこれらの問題に直面できるのはどこでしょうか? とは…? では、まずリンキさんに聞きます。 CISO とそのセキュリティ チームのパフォーマンスにはどのような期待がありますか?

【林木世志】期待値を設定してそれを伝え、広く伝えることが私の仕事だと感じているので面白いです。 つまり、私が言いたいのは、すべてのリスクを理解し、すべてのリスクを背負うことは私だけの仕事ではない、ということを理解しているということです。「おい、どうしてこんなことが起こるんだろう、どうしてだろう」と人々が予想していたところで何かが起こったときだ。これらのリスクは私にも会社にもまったく伝えられませんでした。なぜ透明性がなかったのですか?」 そういう時は自分の仕事ができていないように感じます。 しかしその代わりに、もしあなたが積極的に来て、「現状はこんな感じです…」と言ってきたら、これは取締役会のコミュニケーションやエグゼクティブコミュニケーションにうまく結びついて、「これが私たちの評価です。これが私たちの意見です」ということになります。当社は企業として適切な投資を行ってきたため、これらの分野で私に期待できることは非常に良好ですが、適切な投資や適切な能力が不足している分野があります。

あるいは、何についてリスクを受け入れるかについて、リーダーシップチームとして一緒にいくつかの決定を下しました。」 そして、何かが起こったとき、それは CISO だけではありません。 これがそれほど重要であれば、戻って適切な投資を行う必要があるかもしれません。」 そこで私は 2 つのことを強調します。CISO の役割は変化し、コミュニケーション、教育、ビジネスの理解、リスクの伝達となったと思います。それを一人で抱え込むのではなく、実行することがとても重要です。そして、それに関して調整が行われていることです。そして、それを継続的に行っているのであれば、大丈夫だと思います。このような状況には遭遇しません。うまくいけば。リスクは変化するので、継続的という言葉を強調します。「これは大きなリスクだと思うので、それについて何か行動を起こす必要がある。だから、それを提起するのが私の仕事だ…」と言う人もいるかもしれません。私は偏執的で、これらのことについて常に考えている人間です。手を挙げて適切な人々に伝えに行き、それからどのように対処したいかについて調整するのが私の仕事です。

[デヴィッド・スパーク]私たちのもう一人の共催者であるマイク・ジョンソン氏は、CEO や取締役会のメンバーが「当社の安全性はどの程度か」という古典的な答えのない質問をしているのであれば、CISO としてのあなたは取締役会を適切に教育していないことになる、と述べました。 そこで、お二人から早急にお答えいただきたいと思います。 アンディ、その質問がそのように聞かれないように、そして彼らが尋ねるべきであることを確認するためにあなたは何をしていますか?

[アンディ・エリス]マイクがよく言うのは、「セキュリティ プログラムはどこですか? たとえば、私たちはどこですか?」というものです。 ですから、私はこの質問が大好きです。なぜなら、この質問をより深い会話への誘いに変えることができるからです。 「ほら、それは本当に複雑な質問ですね」と言っても大丈夫です。 そして、必要に応じてそれを逸らすためのユーモラスな方法を持っています。実際、私は軍隊について冗談を言っていますが、建物の安全を確保するように頼まれた場合、建物のさまざまな部門で安全とはまったく異なる意味を持ちます。 空軍にいるときにリースを取得することから、海兵隊にいるときにそれを爆破するまで、すべてが必要なので、何を要求するか注意してください。

しかし、取締役会と本当に話したいのは、「これが私たちが心配している、受け入れがたい損失についてです。これは考えられる最悪の事態です。これに対して私たちが取り組んでいることは次のとおりです。」ということなので、そのような会話をすることはできます。そして、私たちの会社の規模と直面するリスクを考慮すると、それが合理的であると考えています。」 そして、ある時点で、彼らはあなたを信頼しなければなりません。なぜなら、結局のところ、彼らがしていることは、あなたが彼らのアドバイザーであることを信頼していることであり、あなたは現在のプログラムが合理的かどうかを彼らに伝えていることになるからです。 そして彼らの統治はまさにそれに基づいています。 ここで、番号と通信してみるとよいでしょう。 「ああ、私たちは Spark スケールで 75 です。」 または、「私たちはエリススケールのレッドイプシロンです」など、あなたと私が思いつくかもしれないどんなおかしなことでも。でも結局のところ、あなたの目標は、ただ明確にコミュニケーションできるようになることです。 そして、あなたは悪い日を過ごすことになるでしょう。 この質問で私が興味深かったのは、このシナリオは、事件の最中で、事件後の仕事について心配している人だったということです。実際、問題があることがわかります。なぜなら、事件中は、次のことに集中しているからです。」インシデントをどう解決するか?どうやってコミュニケーションを取るか?」

[デヴィッド・スパーク]このシナリオでは、上層部と CISO との関係が良好でないことは明らかです。

[アンディ・エリス]存在しない可能性もありますが、実際には適切なインシデント モデルが存在しない可能性があります。 健全な組織では、定期的にインシデントが発生します。 それらのほとんどは、それほど悪い結果をもたらしません。 しかし、それらは少なくとも目に見えるようになっているので、管理者はインシデントを管理できる能力があるということを理解することができます。なぜなら、それが私が行間から読んだことだからです。 そしてもしかしたらそれは私自身の偏見かもしれません。 でも、これが壊れているのに、あなたは私に代わって物事を直してくれます。 なぜまだ戻っていないのですか？ なぜ CEO はインシデントの仕組みを理解していないのでしょうか? 何年にもわたって物事を解決してきた中で、物事はすぐに解決するものではないということを彼らに教えてきたのではありませんか？

[デヴィッド・スパーク]おそらくこの作品の作者にはオスマン・ヤングからフィクションを書く教育が必要だろう。

[アンディ・エリス]それは素晴らしいアイデアだと思います。

[デヴィッド・スパーク]うん。 はい、私はそう思います。 わかりました、リンキ、これをまとめてもらいたいのですが。 「どれくらい安全ですか？」という質問に直面したら、どうしますか?

【林木世志】アンディはうまくいったと思います。 もしそうなら…私たちのセキュリティ プログラムが何なのかを彼らに示すために、絵を描いていればいいのですが。 私たちがどの程度安全であるかについては答えがありません。 それは、「これが私たちのセキュリティ プログラムであり、ここにリスクがある」ということです。 そして私は、彼らがその場を立ち去ってこう言ってほしいと思っています。「私たちがどこに投資し、どこにセキュリティへの投資が不足しているのかをよく理解しています。または、どのようなリスクを負い、どのようなリスクに対処し、どのリスクに対処してきたのかをよく理解しています。」 「」 そしてそれが、私たちがどれほど安全であるかについての彼らの答えだと思います。 そういう質問もよく受けます。 「それを定義する数字を 1 つ教えてください。」 そして、それはまるでそのようなものは存在しないようなものであり、それはこのことに関する広範な理解が欠如していることを意味します。そしてアンディの観点から言えば、それは私がセキュリティとは何かを実際に明確に定義するという仕事をしていないことを意味します。

35:25.191

[デヴィッド・スパーク]素晴らしい点。 さて、これでこのショーは終わりになります。 ありがとうございます、リンキ、それは BILL の CISO であるリンキ セティです。 ただビル。 ただし、bill.com で見つけることができます。 そして、このエピソードをサポートしてくださったスポンサーの OffSec に多大な感謝を申し上げます。 CISO シリーズの新しいスポンサーです。Web サイトは offsec.com であることを忘れないでください。 また、スタッフを増員したい場合は、誰もがさらに賢明なスタッフを必要としているため、そうするのだと思いますが、offsec.com でチェックしてください。 リンキさん、今は採用してるんですか？

【林木世志】うちは絶対採用してます。 もしあなたが探しているなら、私たちはあなたをチームに加えたいと思っています。 BILL は、中小企業の財務業務をどのように自動化するかに焦点を当てています。 そして、当社は信頼できるベンダーでもあります。 当社には、顧客と顧客データを真剣に考慮するサイバーセキュリティ専門家からなる素晴らしいチームがいます。

[デヴィッド・スパーク]素晴らしい。 とても良い。 ということで、BILLのサイトをチェックしてみてはいかがでしょうか。 そして、彼らは LinkedIn を通じてあなたに連絡することができますか? はい？

【林木世志】絶対に。

[デヴィッド・スパーク]素晴らしい。 アンディ、最後に何か言葉はありますか？

[アンディ・エリス]ああ、いつも最後の言葉が大好きです。 ただし、この場合、Rinki があなたを採用しないことに決めても、当社のポートフォリオは常に採用中です。 jobs.ylventures.com にアクセスできます。

[デヴィッド・スパーク]つまり、最初に bill.com に立ち寄るようみんなに伝えているということですね。

[アンディ・エリス]絶対に。 私はキャリアを通じてRinkiと一緒に働きたいと思っていましたが、それを実現することができませんでした。そうすれば、私はリスナーを通して代わりに生きることができます。

[デヴィッド・スパーク]ああ。 もし就職できたら… ちなみに、連絡するときは名前を伏せてください。 何が起こるか誰にも分かりません。 それについては私にはコントロールできません。 ただし、できる限り私たちの名前を削除してください。 リンキさん、本当にありがとうございました。 どうもありがとう、アンディ。 そして視聴者の皆様、ありがとうございました。 皆様のご貢献と、CISO シリーズ ポッドキャストをご視聴いただき、誠にありがとうございます。

[ボイスオーバー]これで別のエピソードは終わります。 ポッドキャストをまだ購読していない場合は、購読してください。 私たちのウェブサイト cisoseries.com には、他にもたくさんの番組があります。 金曜日のライブショー、スーパー サイバー フライデーとサイバー セキュリティ ヘッドライン – ウィーク イン レビューにぜひご参加ください。 この番組はあなたの意見によって成長します。 私たちは、より多くのディスカッション、質問、「さらに悪いことに」のシナリオを常に探しています。ポッドキャストのスポンサーに興味がある場合は、cisoseries.com のスポンサー メニューの下にある説明ビデオをチェックしてください。 または、David Spark (david@cisoseriescom) に直接ご連絡ください。 CISO シリーズ ポッドキャストをお聞きいただきありがとうございます。