Dan Lohrmann: つまり、常に重要なのはコミュニケーションと、どのようにコミュニケーションするかということです。誰が誰といつ話すのですか?まず何をしますか?どのような順番で?どうやってやるんですか?準備はできていますか?あなたのプレイブックはどのように機能しますか?それらの演習、それらのテーブルトップ演習、それらの本格的な演習、プレイブックを実際に実践すれば完璧になる、そうですよね?
ダン・ローマン: 消防隊が消火訓練をするのと同じように、家が燃えているときに初めて防護服を着る人に家に来てもらうのではなく、自分が何をするのか、どこへ行くのか、何をするのか、そしてさまざまな状況に応じてどのように行うのかを知ってもらいたいのです。
スピーカー 2: こんにちは。Netskope の CSO、Jason Clark が主催する Security Visionaries へようこそ。本日のゲストは、Presidio のフィールド最高情報セキュリティ責任者、Dan Lohrmann 氏です。
スピーカー 2: あらゆるリスクに対応するという考えは、魔法のように一夜にして実現するものではなく、練習、反復、勤勉が必要です。 そして、悪意のある行為者は常に存在し、あなたがどれだけ準備ができているかをテストする新しい方法を持っています。セキュリティリーダーとして、最も予期しない課題にも備えることが私たちの仕事です。消防士が適切な準備なしに燃えている建物に突入しないのと同様に、セキュリティ リーダーもデジタル火災を同じように捉える必要があります。ハッカーの立場になって考えるには、トレーニングとロールプレイングが必要です。常に数歩先を行くことを目指してください。なぜなら、スーツを着て試すことなく最初の火災に巻き込まれることを望む企業はないからです。 それで、ダンのインタビューに進む前に、スポンサーからの短いメッセージをご紹介します。
スピーカー 3: Security Visionaries ポッドキャストは、Netskope のチームによって運営されています。NetskopeはSASEリーダーであり、今日のビジネスのスピードに合わせて高速なデータ中心のクラウド スマートなユーザー エクスペリエンスを提供するために必要なすべてを提供しています。詳細については、 Netskopeをご覧ください。
話し手 2: では、早速、Presidio の現場最高情報セキュリティ責任者 Dan Lohrmann 氏とホストの Jason Clark 氏による、6 人のセキュリティ ビジョナリーのエピソードをお楽しみください。
Jason Clark: Security Visionaries へようこそ。司会のジェイソン・クラークです。Netskope の最高戦略・セキュリティ責任者です。今日は特別ゲストの Dan Lohrmann 氏をお迎えします。ダン、元気ですか?
ダン・ローマン:とても元気です。ありがとう、ジェイソン。
ジェイソン・クラーク: あなたと私は、おそらく 15 年くらい知り合いだと思います。
ダン・ローマン:その通りです。Websense 時代に初めてあなたに会ったのを覚えています。私がミシガン州の最高情報セキュリティ責任者だった頃、あなたは当時、顧客重視の素晴らしい経営者でした。今もそうであると知っていますので、ご一緒できて嬉しいです。
ジェイソン・クラーク:ポッドキャストをやっていて一番好きなのは、みんなと再びつながることができることです。そして特に、パンデミックの狂気の時代には。それで、まずは、サイバーセキュリティ分野での最初の仕事は何だったのか、ダンさんから伺いたいと思います。
ダン・ローマン: 私はバルパライソ大学を卒業し、コンピュータサイエンスの学位を取得して、国家安全保障局に就職しました。 私たちがよく使う古い決まり文句は、私が何をしたかをあなたに話したら、あなたを殺さなければならない、というものです。しかし、私はコンピュータ ネットワークに携わっていました。これは非機密扱いのオンコールですが、80 年代後半の私の最初の仕事は、さまざまなベンダーと連携して相互運用性を実現することでした。
Dan Lohrmann: ですから、当時は TCP/IP や IP バージョン 4、IP バージョン 6 などといった難解なものばかりではありませんでした。しかし、それは S&A のようなもので、DECnet があり、その他さまざまなものがありました。つまり、基本的には、IBM から DEC、Digital、Sun SPARCstation など、あらゆるものまでネットワークを相互に接続するということです。そして私はその研究室を運営していました。インターネットが登場する前から、世界中にネットワークを展開していました。これはかなりすごいことです。
ジェイソン・クラーク:それは私が軍隊に入ったときの仕事とよく似ていますね。 それはネットワークに話をしてもらうためだけのことでした。それは重いガジュマルの木でした。そして、私たちは NT 4.O と Active Directory への移行を進めていました。そしてとても楽しかったです。技術を管理するのと CSO になるのとでは、まったく違います。きっと、懐かしく思う日もあるでしょう。何をすべきかを指示しても、実行されません。
ダン・ローマン:同感です。そして実践的な部分、私はそれを逃しました。しかし、その後私たちはイギリスに行きました。そこではすべての話をするわけではありませんが、ネットワークに全員が関与した話や、私たちが危うく衛星を落としそうになった話など、クレイジーな話をいくつか話しました。それはかなり怖い出来事でしたが、すべてうまくいきました。私は実践的なものも大好きなので、そういうものが少し恋しいですね。
ジェイソン・クラーク:プレシディオでの新しい役割についてのニュースを見ました。ぜひそれについて聞かせていただきたいです。
ダン・ローマン: そうです。ありがとう。私は主に公共部門を担当する現場の最高情報セキュリティ責任者です。ご存知のとおり、私はミシガン州政府で CSO や CTO としてさまざまな役割を担ってきました。過去 6 ~ 7 年間、私は Security Mentor で最高セキュリティ責任者として勤務していました。
Dan Lohrmann: この役割では、Presidio が Netskope や他のさまざまな企業と提携して、主に SLED、州、地方、政府の教育に重点を置いた経営幹部に指導を行っていますが、他の政府とも協力して仕事をしていました。そして、実際に顧客の問題を聞き、解決策を提供し、パートナーと協力して顧客のサイバーニーズにエンドツーエンドのソリューションを提供します。
ダン・ローマン:本当に興奮しています。私は今、消防ホースから水を飲んでいます。ここに来てまだ 5 週間ほどですが、仕事も人々も大好きで、すでにたくさんのことを学んでいます。そうですね。かなりかっこいいですね。
Jason Clark: 政府、特に SLED は、これまでテクノロジーの導入や変革への取り組みがかなり遅いことで知られてきました。今はどうなっているのでしょうか?サイバーセキュリティに関するいくつかの新しい大統領令などにより、状況はどのように変化しているのでしょうか。全体的な観点から、あなたの見解をぜひお聞かせください。
ダン・ローマン: そうです。つまり、他の人たちと同じように、まず第一に、脅威の状況が狂い始めているのです。つまり、ランサムウェアやその他のサイバー攻撃によって大きな被害を受けているのです。そして嬉しいことに、良いニュースがあります。つまり、サイバーの世界では良いニュースはあまりないのです。しかし良いニュースは、私たちは州政府と地方自治体に新しい専用のサイバー助成金を獲得したということです。それは5年間で10億ドルに相当します。 これは多くの州政府や地方自治体にとって本当に役立つと思います。
ダン・ローマン:正直に言うと、今、最も大きな問題は、州政府と地方政府が疲弊し、人材を確保できていないことです。そして、そこが彼らがボードを横切るところです。民間部門でも同様の現象が起きています。しかし、CSO が「ダン、それはできない」と言っているのが聞こえます。
ダン・ローマン:私が知っているある大きな州チームは、今年初めからサイバーチームの人員の半分を失ったんです。ですから、それは非常に大きな挑戦なのです。彼らは理解していると思います。本当に理解しているはずです。なぜなら、今年はコロニアル・パイプラインを中心にさまざまなことが起こっており、それが最前線にあり、COVID-19の間に私たちが目にしたデジタル変革は非常に大きなものだったからです。
Dan Lohrmann: つまり、ニーズは存在し、在宅勤務への移行も存在し、そういったことはすべて存在しているのですが、現時点ではまだ非常に困難な課題です。
ジェイソン・クラーク: では、10億ドルという金額について話をするわけですね?SLED や連邦政府全体を見ると、今のところ彼らが気づいていない最大の脆弱性は何だと思いますか? これは 2 つの側面から成る質問です。彼らは気づいていないのか、それともどこにそのお金の大半を投入すべきなのか、という質問です。
Dan Lohrmann: 可視性だと思います。NSA で私たちがいつも言っている古い決まり文句は、「知らないことは分からない」ということです。 クラウドへの大きな移行があったことはわかっていますが、それは素晴らしいことであり、今ではすべてがクラウドに移行しています。
Dan Lohrmann: つまり、クラウドに対する抵抗は 10 年前とはまったく違うのです。つまり、すべてがクラウドに移行しており、それは素晴らしいことです。ただ、すべてのデータがどこにあるのか分からないことが課題だと思います。つまり、データの可視性は、その旅のさまざまなエンドツーエンドの部分をすべて把握しているわけではないということです。そして人々はゼロトラストを望んでいると思います。彼らはSASEをやりたいのです。彼らはそれをやりたいのです。そして、彼らが現在直面している課題は、人的側面に関するものだと私は言えます。それは常に人による処理技術です。それはいつものことだよ。
Dan Lohrmann: しかし、あなたが自分の仕事についてよくご存知のとおり、「私たちはそれをクラウドに入れて、Microsoft に引き渡します」と言うだけです。「AWS に引き渡します」と言っても問題は解決しません。そういうのよく聞くよね。そうですね、私は AWS や Microsoft を知っていますが、これらは良い企業です。私は誰かを非難しているわけではありません。ただ言っているだけです。彼らは、自分たちの方が規模が大きく、強力だから私たちよりもうまくできると考えています。実際、できるかもしれませんが、構成についてよく考えなければなりません。本当に端から端まで考えなければいけません。全体、エンドポイント、そしてもちろんアイデンティティ管理、エンドツーエンドの全体について真剣に考える必要があります。そして、まさにそこに課題があると思います。うまくやっている人もいますが、常にリーダー、追随者、遅れをとる人がいます。3つのグループがあります。本当にうまくやっている人もいれば、本当に苦労している人もいます。
ジェイソン・クラーク: そうです。つまり、先ほどおっしゃったように、クラウドへの移行に伴い大企業についてお話しされました。奇妙なことに、時々、私が CIO と呼ぶような人が現れることがあります。まあ、彼らはセキュリティを確保したと仮定するだけですよね?反対に、データに対する責任はあなた自身にあります。彼らは、設定の例として、データのセキュリティについては責任を負いません。
ジェイソン・クラーク:そして、その点についてはもっと認識を高める必要があると思います。ですから、あなたがおっしゃったように、その多くは可視性です。特にクラウドへの移行に伴い、完全な可視性が得られています。
ジェイソン・クラーク:しかし、その努力のどの程度が人々に焦点を当てているのでしょうか?その 10 億ドルのうち、従業員の給与をもっと上げる、あるいはアウトソーシングをさらに支援するといったことに充てられる金額はありますか?つまり、あなたが言ったように、それが一番の問題なのです。それで、その 10 億ドルはどのように使われるのでしょうか?
Dan Lohrmann: そうですね、ガイダンスは出ていると思います。法律で定められていること、大統領が署名した法律では、計画を立てなければならないと定められています。それは良いことです。多くの人は計画を持っていません。したがって、すべての州が計画を立て、地方自治体が州の計画に反映されるのか、それともすべての市、郡、町が独自の計画を立てなければならないのかは明らかではありません。それは DHS と CSA からはまだ明らかにされておらず、まだ下がってきています。
ダン・ローマン:それは結果に基づいて決まると思います。そして、その一部は人口に応じて分配され、お金の使い道のリストや、対象となるものとそうでないもののリストが作られると思います。そして、これには競争的な要素も含まれ、「X、Y、Zを実行するための最良の計画を持っている州が、より多くの資金を獲得できる」と言えるでしょう。
Dan Lohrmann: ですから、そういった詳細の多くはこれから明らかになると思います。私はそれを称賛します。サイバーに特化しているからです。そして、過去何年にもわたって他の助成金がサイバーのために使われる可能性がありましたが、多くの州がその資金を得ることができなかったことを私は知っています。 他のことに使っていました。 また、ジェイソン、これは本当に頭金だと私は思います。なぜなら、これは10年くらい、おそらく私たちの残りの人生に及ぶことになると思うからです。それが問題なのです。それは世間に広まるでしょうし、州や地方自治体もそれに貢献する必要があるでしょう。毎年、90、10、80、20の試合をしなければならないでしょう。地元住民が譲歩しなければならない金額は 10% 増加します。
Dan Lohrmann: しかし、新しいものが設置された後は、実際に運用面でその費用を支払うことはできなくなります。だから役に立つと思います。ボールはフットボールフィールドの向こう側に移動すると思います。おそらく全部ではないでしょう。
ジェイソン・クラーク:少し話題を変えましょう、ダン。あなたにとって刺激的なこと、つまりあなたの新しい本についてお話ししたいと思います。そしてそれはちょうど11月にWileyから発売されました。それは「サイバーメイデイとその翌日」と呼ばれています。その名前が気に入りました。絶対読むよ。まだです。先ほど話したように、音声版もやります。ただ、この本がどんな内容なのか、そしてなぜ誰もが読むべきなのかについて、あなたの意見を聞きたいのです。
ダン・ローマン: そうです。本当にありがとう。そして私はこれについてとても興奮しています。それはサイバー メイデーとその翌日、そして第 2 部、小さな文字で書かれたタイトルの「避けられないビジネス中断への準備、管理、回復のためのリーダー ガイド」です。
ダン・ローマン: それで、本のバックグラウンドを簡単に説明しました。 私はShamane Tanとの共著者です。Shamane は実際にはオーストラリアのシドニーにあります。彼女はまさにサイバーウーマン・オブ・ザ・イヤーのスターです。彼女は、オーストラリアでサイバーリーダーシップに関する賞を再び受賞したばかりです。そして彼女はオーストラリア、日本、シンガポール全土でサイバーミートアップを開始した。 彼女はアジアでは本当に人気者なんです。そして彼女は最初の本を書きました。私は、CSO 時代のたくさんのストーリーをそれに貢献しました。そして彼女は言いました。「ダン、一緒に何かやりましょう。」
ダン・ローマン:約1年前、正確には8月20日、まさにCOVID-19の真っ最中でした。彼女は手を伸ばした。すでに話しましたが、これは SolarWinds がヒットする前、Colonial Pipeline がヒットする前、JBS Meats がヒットする前のことでした。何について書きたいのでしょうか?そして、ランサムウェア攻撃やサイバー攻撃が頻発していた当時でさえ、CSO、セキュリティ担当役員、CTO、技術担当役員だけでなく、経営幹部に実際に何が起こっているのかという真実の話が欠けていると私たちは考えていました。ランサムウェアに感染したり、サイバー攻撃を受けたり、その渦中にいるとどうなるでしょうか?
Dan Lohrmann: 世の中にはチェックリストがたくさんありますね。無料のリソースがたくさんあります。実際、これらすべてについては本の最後で言及しています。全部ではないです。全部は言えません。世の中には大きなものがたくさんあり、無料のリソースもあります。素晴らしいチェックリストやガイド、ホワイトペーパーも多数あります。私たちはできる限り多くのものを試して参考にし、正しい方向に導きます。
ダン・ローマン:しかし、私たちは、事件の前、最中、そして後の 3 つの部分を結びつけるというアイデアが本当に重要だと考えました。では、その前に何ができるでしょうか?この本の 4 つの章は、準備について、プレイブックの作成から演習の実施、テーブル上の演習、実際の実話まで、あらゆることについて書かれています。人々が学んだこと、そして良いこと、悪いこと、醜いこと。
ダン・ローマン:そして、事件の最中、その事件についての本当の話。そして最後に、その後はどうなりましたか?最後の章では、サイバーレモンを組織レモネードに変えています。つまり、学んだことをどのように計画やプレイブック、シナリオに反映させ、より良く改善していくかということです。そして、本当の目標は、人々が他の人々の経験から学べるように支援することでした。世界中から集められた 35 の真実の物語のうち、約半分は政府機関、残りの半分は民間部門の小規模、中規模、大規模組織です。そして、本当の目標は、いわば他人の立場になって考えてみること、つまり、自分が襲われたときに何が起こったのかをほんの少しだけ伝えることです。
ジェイソン・クラーク: それはすごいですね。まあ、そこら中の組織の中で、ですよね?とにかく大きいものなら何でも呼んでください。即断即決だとしたら、何パーセントくらいの人が十分に準備ができていると思いますか?
ダン・ローマン:よく準備されていました。おお。それは本当に難しいです...これは大規模な組織ですか、それともこれだけですか?
Jason Clark: 5,000 人以上の組織であればどこでもそうだと思います。
Dan Lohrmann: 半分は思いつきで言っただけです。
ジェイソン・クラーク:それより少ないと思います。実際はそれよりも少ないのではないかと思います。
ダン・ローマン:そうですね、それはまた、十分に準備されているということが何を意味するかによっても異なります。なぜなら、準備ができていると思っていても、実際に何が起こるかについては決して準備ができていないからです。そして、たくさんの物語があります...私もその話をします。その話のいくつかは私自身のものです。かなり昔に遡りますが、ほとんどは最近のものです。しかし、2003 年の停電や私がミシガン州政府にいたときに起こったことについても、あなたと私は過去に話し合ったことがあると思います。
ダン・ローマン:しかし、北東部では全電力が失われましたが、それはサイバー攻撃ではありませんでした。ただし、そこにはサイバー要素がたくさん含まれていました。そして、私たちがどこへ行き、何をしたか、私たちには Y2K 計画があり、この計画があり、机上演習もいくつか行いました。結局、私たちはランサムウェアに襲われたわけではなく、かなりうまく切り抜けることができました。それは違いました。しかし、良いことも悪いことも醜いこともありました。したがって、一部の組織は他の組織よりも準備が整っていると思います。だからおそらく50%未満でしょう。
Jason Clark: あなたのお気に入りのストーリーのもう一つの例を挙げていただけますか。
Dan Lohrmann: 1つ読んでみましょう。 1つのセクションだけ読んでいただきたいからです。 これは第 5 章からの抜粋です。2 ページだけ簡単にお読みします。 頑張って早く読みます。 しかし、章のタイトルは「サイレンが鳴ったとき、あなたはどこにいましたか?」です。しかし、これは本当の話です。
Dan Lohrmann: 「ネットワークがロックされました。今すぐ 3,000 万ドルを支払う必要があります!」以下は、2021 年 1 月に 2,875 万ドルの身代金要求を受けた、ランサムウェア集団と 150 億ドルの米国被害企業との間で実際に行われた交渉です。
Dan Lohrmann: 数回の攻撃の後、被害企業の攻撃額は 225 万に達しましたが、ランサムウェア犯罪者からは対応を軽蔑されました。言い換えると、数人の管理者が 3 日間で Ms Exchange サーバーをインストールしようとして、それができないのを見るのは非常に面白いです。貴社のサーバー 6,000 台のうち 5,000 台を暗号化しました。簡単な計算をすると、費用は 1 時間あたり 50 ドル、あるいは多めに見積もって 65 ドルになるかもしれません。つまり、1 台のサーバーを復元するのにかかる 24 時間と、当社が暗号化したサーバーの数を掛け合わせると、人件費だけで 1,000 万ドル相当になります。
Dan Lohrmann: これらのランサムウェア集団が、サイバー攻撃によって引き起こされた事業中断の経済的影響を伝え、被害者が要求に従うことで損失を削減する方法を示す効果的な方法を見つけていることは興味深いことです。作業は続行されましたが、インストールにすべての時間を費やしたことを忘れないでください。おっと、データを復元することすらできません。できますか?なぜなら、それは今後1000年間失われるからです。彼らはメッセージの最後に時間的なプレッシャーを加えましたが、同時に慈悲も示しました。
ダン・ローマン:時間は刻々と過ぎています。あと 8 時間以内に、あなたの値段は 6,000 万ドルに上がるでしょう。したがって、私たちの寛大な申し出を受け入れて 287 億 5000 万ドルを支払うか、量子コンピューティングに投資して暗号解読プロセスを迅速化するかのいずれかを選択してください。会社が追加の時間を要求したとき、詐欺師たちは戻って計算しました。私はそうは思いません、あなたたちは貧乏でもなかったし、子供でもありませんでした。もし失敗したら、その結果を受け入れなければなりません。
ダン・ローマン:翌日、会社がようやく 475 万ドルの支払い許可を得ると、恐喝者は要求額を 1,200 万ドルに引き下げることに同意しました。残金を72時間以内にお支払いいただく条件。さらに数回のメッセージのやり取りの後、犯罪者たちは4つの簡単な約束をすることで合意に達しました。ハッカーは新たな攻撃を仕掛けることはありません。 同社はデータを完全に復号化するためのツールを入手することになる。ハッカーはネットワークから完全に離脱し、二度と彼らをターゲットにすることはなくなるでしょう。ハッカーは、自分自身を削除するためのデータへのアクセス権を会社に与えることになります。データは決して公開または再販されることはありません。そしてハッカーたちは、自分たちの行動、ネットワークに侵入した方法、攻撃の実行方法、組織のセキュリティを改善し他のハッカーの侵入を防ぐためのヒントなど、完全なレポートを提供します。 同社は最終的に1100万ドルの身代金を支払った。」そこで終わりにします。しかし、それは一つの物語に過ぎず、さらに詳しい話が続きます。でもそうだね。
Jason Clark: 最近、旅行会社の CIO と会議をしました。私は、2 つの旅行・レジャー会社を担当する予定です。そして、彼らはパンデミックの真っ只中にランサムウェアに感染し、大規模な被害を受けました。去年の5月、6月頃の話ですね。そして、彼らは 2,000 万ドルを要求しましたが、CIO からの返答は、「現在、収益はゼロであり、将来の収益の予測もありません」というものでした。 今のところ失うものは何もない。お金がありません。お客様はいません。"
ジェイソン・クラーク:つまり、それは機密情報というよりも、システムがロックアップしたということになりますね。それは個人情報ではありませんでした。でも、結局、COVID-19のせいで1万ドルくらい払うことになったんです。しかし、私は、つまり、これらのストーリーを現実のものにするのが大好きで、これはセキュリティ担当者や CSO だけでなく、ビジネス リーダーにも読んでもらいたいことの 1 つだと思います。
Dan Lohrmann: これは実際には経営幹部向けに書かれたものですが、あらゆるビジネスリーダー向けにも書かれています。つまり、中小企業であれば、所有できる可能性があります... 私の兄のスティーブは数年前にランサムウェアの被害に遭いました。彼は今その本を一冊持っています。彼はメリーランド州オーシャンシティに20軒の不動産を所有し、10人の従業員を抱えているが、ランサムウェアの攻撃を受けた。そしてありがたいことに、当時はまだ初期の頃でした。そして彼は1,200ドルを支払わなければなりませんでした。それは約3、4年前のことでした。
ダン・ローマン:つまり、これは誰にでも起こり得るということなんです。これは、テクノロジーやセキュリティのコミュニティだけでなく、ビジネスコミュニティ向けに書かれたものです。
ジェイソン・クラーク:では、この本の執筆にはどのくらいの時間がかかりましたか?
ダン・ローマン: それで、私たちはそれを中止し、提案書を書きました。 私たちは去年の10月にそれをやろうと合意しました。私たちはそれぞれ章を書き、提案書をまとめました。私たち二人とも以前に本を書いたことがあります。これは私の3冊目の本です。私たちは冬の間に提案書を作成し、それを売り込み、それをやりたいという出版社が 3 社ありました。ワイリー。私たちはワイリーと合意し、5月1日に本の初稿を完成させました。そしてコロニアル・パイプラインが襲来した。編集がどんどん入ってきて。最終原稿は 7 月 1 日に完成しました。
Dan Lohrmann: つまり、そのほとんどは 3 か月ほどで書き上げたことになります。しかし、実際のところ、このプロセス全体は約 9 か月かかりました。そして、私たちは JBS ミートや Colonial Pipeline、SolarWinds を通じてそれをアップデートしてきましたが、締め切りは今年の 7 月でした。
ジェイソン・クラーク:つまり、今、誰にとっても非常に重要な意味を持つということです。
Dan Lohrmann: ああ、それは Colonial や JBS、Solar Winds などにも当てはまります。問題は、ジェイソン、議会証言で、2021年にはランサムウェアが過去10年間を合わせた数より多く発生したと述べられていることに人々が気づいていないということだ。私にはそれはおかしいと思う。ちなみに、これは本には載っておらず、数週間前に議会証言で明らかになったものです。これらの数字にはただただ驚かされます。なぜなら、19 がどれだけ大きかったか、20 がどれだけ大きかったかを知っているからです。そして、その年はランサムウェアにとって大きな年でした。そして現時点では状況は悪化する一方です。残念なことに、それに加えて身代金も値上がりしており、さらに高額を要求されています。これは確かに組織が直面している大きな問題です。
ジェイソン・クラーク: つまり、これは銀行強盗ですよね?これは単なるドライブバイ銀行強盗であり、今や再発明されたものである。それで、同じトピックで少し話題を変えて、これについてお話したいと思いますが、机上演習や本格的なサイバー演習のようなものが、これを計画して実行するよりもなぜそれほど重要なのでしょうか?
Dan Lohrmann: まず第一に、全員を巻き込むことです。なぜなら、この大きな部分は、確かに技術的な部分があり、大きな部分があり、それらすべてを持っているからです。しかし、本当に大きな問題はコミュニケーションなのです。経営幹部間でどのようにコミュニケーションを取っていますか?社内ではどのようにコミュニケーションを取っていますか?投資家、コミュニティ、一般の人々に対して、上、下、横、あらゆる情報をどのように伝えますか。どのようにコミュニケーションをとるかは、20 年前に遡ります。火災、洪水、竜巻などの緊急管理に携わったことがある人なら、その歴史は数百年にも及ぶと言うでしょう。つまり、それは常にコミュニケーション、そしてどのようにコミュニケーションするかという問題なのです。誰が誰といつ話すのですか?まず何をしますか?どのような順番で?どうやってやるんですか?準備はできていますか?あなたのプレイブックはどのように機能していますか?
Dan Lohrmann: それらの演習、それらのテーブルトップ演習、それらの本格的な演習に、プレイブックを持ち込んで、実際に練習すれば完璧になる、ということですね?消防隊が消火訓練をするのと同じように、家が燃えているときに初めて防護服を着る人に家に来てもらうのではなく、さまざまな状況やシナリオ、注射などに基づいて、自分が何をするのか、どこへ行くのか、何をするのか、どのように行うのかを知ってもらいたいのです。それがあなたが本当にすべきことなのです。
Dan Lohrmann: そして、多くの人が「データはバックアップしてある」と考えています。簡単にお話しすると、帯域幅も接続もなかったため、復旧に 6 週間かかりました。結局、彼らは徹底的に考えていなかったため、身代金を支払わなければならなくなりました。彼らは解決策を持っていると思っていましたが、実際にはそのプロセス全体を経験したことがありませんでした。そして彼らは、自分たちが何を知らないのかを知らなかったのです。
Jason Clark: 給与を支払っている企業と支払っていない企業の割合はそれぞれ何パーセントくらいだと思いますか?
ダン・ローマン:50%以上が支払っていると思います。 ジェイソン、そのことでとても難しいのは、レポートしない人たちだ。
ジェイソン・クラーク:どれが一番多いですか。
ダン・ローマン:その通りです。私が言っているのは、FBI のものです...私たちが把握している数字、つまり、こうしたレポートや技術雑誌、フォーブスなどを見ると、ランサムウェア攻撃がどれだけあったかが年末のレポートでわかるでしょう。毎年恒例の予想ブログを書いています。そして、これらの年末の数字はすべて、私たちが知っていることに基づいています。しかし、中小企業が 20,000 ドルの身代金を支払ったにもかかわらず、それを法執行機関に報告しなかった場合は、その金額はカウントされません。 そうすると、その数字は 50% をはるかに超えることになります。つまり、私たちが知らないものも含めて、70~80%くらいだと思います。
ジェイソン クラーク: そして、おっしゃるとおり、2021 年の数字はこれまでより 10 倍も増えるでしょう。かなり高いと思います。
ダン・ローマン:それは我々が知っているよりも高いです。
Jason Clark: それでは少しだけまとめますね。だって、あなたは自分の予測を述べたばかりですから。では、来年のあなたの一番の予想は何ですか?
Dan Lohrmann: そうですね、たくさん挙げられます。今、それらをすべて確認しています。ご存知のとおり、あなたと私はこのことについて数年にわたって話し合ってきましたが、まず第一に、これらはダン・ローマンの予測ではありません。私は、すべてのトップ企業からのトップ予測レポートと考えるものをまとめています。つまり、トレンドマイクロやファイアアイズからのものですが、私が言っているのはこれらではありません。
Dan Lohrmann: 非常に優れた予測レポートを発表している企業がいくつかあります。これらのレポートには文字通り数万ドルから数十万ドルが費やされており、それらは本当によくできています。それは、耳に手を突っ込んで明日雪が降るかもしれないと推測するだけのことではありません。彼らは本当に調査をして、実際に試して点と点を結びつけて、「明らかに、データ侵害は今後さらに増えるだろう」と言うのです。 明らかに、ランサムウェアは増加するでしょう。明らかに、さらに重要なインフラが攻撃を受けることになるだろう。」毎年、大規模なサイバー 9/11 の予測が立て続けに行われ、人々は壮大な出来事を聞きたがっています。
ダン・ローマン:ここ数年、そういった話は控えられてきました。インターネット全体がダウンするとか、何千人もの人がどこかの病院で亡くなるとかいう話は誰も聞きたくないですからね。なぜなら、後ほどお話しすると思いますが、CSO にとって、単なる流行のメッセージは成功するメッセージではないからです。つまり、どのような種類の標的型攻撃があなたに対して行われているのかをもう少し具体的に知りたいのです。多くのレポートと私のお気に入りの予測は、人工知能と悪者がどのようにマシンラーニングを使っているか、人工知能が非常に洗練された方法でこれらの企業を実際に追跡し、さまざまな方法で標的にするかといったものです。 技術的な観点からの詳細は、今は触れません。
Dan Lohrmann: しかし、脆弱性を探し、既知のゼロデイを探し、既知の問題を探し、そしてインターネットをくまなく調べるというのは、まるで原石を探すか、干し草の山から針を探すかのようです。しかし、マシンラーニングと人工知能の観点から適切なツールがあれば、それらは非常に効果的です。
Dan Lohrmann: つまり、攻撃はよりターゲットを絞った、より具体的なものになってきているということですね。人々は宿題をやっています。それは、私があなたに初めて会った10年前、世界にスパムを送って誰かがクリックしてくれることを期待するような状況とは大きく異なっています。まだ続いているものもあれば、まだ機能しているものもあります。しかし、その多くはよりターゲットを絞ったものになっています。そして最近聞いたのですが、ダークウェブがパスワードで溢れているように、人々は未だに 2 要素認証 (これはクレイジーです) や多要素認証 (MFA) を使っていません。 そして彼らはハッキングすらしていない、ただクレデンシャルでログインしているだけだ、これはクレイジーなことだが、それが起こっているのだ。 Future
Jason Clark: そして、聞いている皆さん、つまり、皆さんが持っているすべてのアプリは多要素認証であるべきです。
ダン・ローマン:その通りです。
ジェイソン・クラーク:正直に言うと、セキュリティに関しては、君は仕事をしていない。
ダン・ローマン 正解です。
ジェイソン・クラーク:その時期にね。なぜならそれは-
Dan Lohrmann: よく言った。まったくその通りです。
ジェイソン・クラーク:その通りですね。存在します。世の中には、MFA をサポートしていない製品や SaaS アプリが数多く存在します。彼らは創業間もない若い企業で、従業員 28 名で HR アプリを開発したにもかかわらず、非常に大規模な企業にサービスを提供しています。なぜなら、これはすべてシャドー IT によって推進されており、最終的にセキュリティ担当者がそれを見つけて、「この機能を構築できない限り、接続を切断します」ということになるからです。Okta 支払いなどの当社のソリューションに統合する必要があります。そうですか?
ダン・ローマン:その通りです。同じ点について言えば、1年前に私が...銀行の名前は言いませんが、ある銀行にいたことを覚えています。私は文字通り、上の階層まで昇進した銀行に勤めていました。多要素認証をしたいのですが、銀行には多要素認証がありませんでした。そして私はCSOまで行き、最終的に彼らのパイロットに実際に追加されました。そして実際、私は今でもその考えに固執しています。彼らは今、全面的にMFAを持っています。 しかし、金融機関の保険、あらゆる種類の金融口座、または取引があり、それが多要素ではない場合、他の人を探してください。
Jason Clark: 今 IR についてもう少し詳しく話を進めたいと思います。 いろんなことをやってきましたね。セキュリティのあらゆる側面、あらゆる種類に取り組んできました。あなたの好きなドメインは何ですか?セキュリティ意識の向上にも多くの取り組みをしましたね。サイバーセキュリティで一番好きな分野は何ですか?
Dan Lohrmann: セキュリティ意識は非常に高かったです。私は7年間それに携わっていました。Security Mentor は素晴らしい会社です。ちょっとしたメッセージです。しかし、私はまだ彼らを愛しています。彼らは素晴らしい会社です。私が気に入ったのは、日常のユーザーにとって非常に実用的であるという点です。私の教会の人たち、私の地域の人々、そしてクリスマスパーティーで出会った人たちに、今私ができる3つのことは何かと尋ねてみました。つまり、多要素認証なので、Facebook と Gmail で 2FA を有効にしてください。
Dan Lohrmann: そうですね、私はそれが気に入りました。なぜなら、 Netskopeや私が現在 Presidio で働いている会社で素晴らしい仕事をしている多くのことについて語り始めると、それが社会全体に完全に関連しているからです。Netskope Netskopeその 1 つですが、もちろん AWS やCrowdStrike 、そして Okta などのさまざまな人々についても話します。 そして実際、それを一般人の視点から人々に説明するのはより困難です。現在の役割で気に入っていることは、1、2年後に尋ねられると思いますが、それはもっと幅広いものです。そして、それは本当に、完全なスコープの機能に戻ります
Jason Clark: 完全なソリューション セットです。
ダン・ローマン: まさにその通りです。
ジェイソン・クラーク:あなたはあらゆる面で人々を助けることができます。問題があれば、私が解決できますよね?
ダン・ローマン:それです。その通り。そして私はそれが大好きです。聞いてください、私は CSO や CIO と率直な会話をするのが好きなんです。そして、私はこう言わなければなりません、良くも悪くも、人々は私が頭がおかしいと言うでしょう、なぜなら多分もっとたくさんのお金があるだろうから、そして民間部門にはあるからです。
Dan Lohrmann: しかし、私は NSA 時代からイギリスの Lockheed 社や ManTech 社、そしてミシガン州立大学に勤めていたころまで、ずっと政府に携わってきました。政府と人を助けることが好きなんです。つまり、社会の改善に貢献したいという情熱です。ですから、私にとって、彼らはリソースが不足しており、多くの点で弱者ですが、公共部門や政府と正直でオープンな会話をすることに、私は熱心でもあります。だって、彼らは今まさに最前線で活躍している英雄ですから。そしてそれは難しいです。大変だよ。彼らは週7日、1日14、16時間という長時間労働をし、汗を流しています。そして私は彼らに同情します。それは大変な仕事です。
ジェイソン・クラーク:これは非常に大変な仕事なので、一般的には何年も続かず、頻繁に転職することになります。そしてストレスは計り知れないほど大きいのです。そうですよ。人を見つけることができない、脅威が急速に進化している、ビジネスがクラウドに移行している、それでもオンプレミスで保護する必要がある、などです。つまり、攻撃力は 2 倍、表面攻撃力は 3 倍になりますが、予算は 3 倍、2 倍にはなりません。 つまり、それは非常に、非常に、非常に大変な仕事であり、それに疑いの余地はありません。
ダン・ローマン: そうです。そして、優秀な人材を失ってしまうのです。チームを組んで、「このチームは…」という感じでした。そして、私は今でもその栄光の日々を愛していますが、14年前に私が初めて本を書いたときのことを覚えています。私たちはミシガン州政府にチームを持っていましたが、当時は経済もサイバー世界も今とは全く異なっていました。私が名前を挙げられる10人全員が世界中で素晴らしい活動を行っているCSOなので、私たちは素晴らしいチームだったと確信しています。
ダン・ローマン:つまり、もうそのようなチームを維持することはできないということですね。つまり、彼らは次から次へとオファーを受けることになるので、そうすることはできないのです。特に政府では、それは本当に大変で、やる気を引き出す役割も果たさなければなりません。あなたは応援者であり、モチベーターでなければなりません。
ジェイソン・クラーク:実際、これは政府や州からの人材獲得を目的としていることで知られています。私はコロラド州のジョナサン・トロールを雇いました。彼は素晴らしいし、初めての依頼でも費用を抑えることができるからです。
ジェイソン・クラーク:つまり才能について言えば、そうですね?そして、先ほどお話ししたように、CSO のクレーターのようなものです。それは最大の出来事の一つでした。個人的な成功の尺度として、あなたのために働いた後に何人の人がすぐに幹部になったかが時々あると思いますよね?人材基盤を拡大し、人々のキャリアを支援することが私たちの仕事の 1 つです。しかし、初めて CSO になる人に対する一番のアドバイスは何でしょうか?
Dan Lohrmann: メンターを見つけてください。まさにあなたが今言ったように、ジェイソン、できれば現在の組織の外で、何かを売りつけようとしない、信頼できるメンターを見つけてください。つまり、私が言っているのは、メンターのことではありません。メンターは、できれば少なくとも営業マンであれば、その役割から抜け出して、あなたの人生について、そしてあなたに語りかけてくれる人です。彼らはあなたと同じ境遇を経験しているので、あなたはただそれをはっきり言うだけです。彼らはそれがどんな感じか知っています。そこには政治が関わっています。社内政治がある。私は共和党と民主党について話しているのではない。つまり、それが影響することもあるのです。しかし、どんな組織でも政治は存在します。
ジェイソン・クラーク:どの会社にも政治は存在します。ちなみに、すべての CSO が苦労している最大のことの 1 つは、政治的な側面だと思います。ビジネスに摩擦を生じさせる必要があるため、摩擦のない状態にすることはできないのです。彼らは何でもやろうとするだろう。そして、そのバランスを保つことです。私が話をする多くの CSO は、「ああ、私が廊下を歩いていると、人々は私を怖がって振り返って反対方向に歩き始めるのです」と言います。「それは良くないことだ」って思ったよ。
ダン・ローマン: そうです。そしてそれが2番目になります。つまり、4つか5つあげるよ。しかし、人間関係、人間関係、人間関係です。つまり、それは重要なのです。ミシガン州の私たちの最初のソックスは、バットケイブと呼ばれていました。いつもバットケイブにいるだけではいけません。この男は、「それは素晴らしい。バットケイブにいるよ。"
ダン・ローマン:しかし、360 度の人間関係を築かなければなりません。したがって、あなたは、部下とどのように協力するか、同僚とどのように協力するか、もちろん経営陣とどのように協力するかだけでなく、ベンダー コミュニティとどのように協力するか、そして顧客とどのように協力するかによって評価されることになります。したがって、これらの関係が鍵となります。
ダン・ローマン:そしてそれは難しいです。つまり、CSO はそれほど多くないのです。そして、私は時々苦労しました。そして、人生の他のことと同じように、すべての人と良い関係を築くのは難しいこと、すべての人と友達になれるわけではないことはわかっています。しかし、360度良好な関係を築くことは別のことです。言うのは簡単ですし、誰もが言いますが、実行するのは難しいのです。そしてそれをうまくやるのは非常に難しいです。そしてそれは何年もかかります。経験が必要です。
Dan Lohrmann: CSO として新しい仕事に就くとき、あなたは 5 年間のベテランではありません。なぜなら、5 回の予算サイクルを経験していないし、5 回のクリスマスや年末の表彰式も経験していないからです。つまり、良いことも悪いことも醜いことも学ぶのです。そして、あなたが自分の役割に本当に適応できる時間を得られることを願っています。
Dan Lohrmann: しかし、そこでメンターが役に立つのです。メンターは、沼地を抜ける手助けをしてくれます。なぜなら、いくつかのことはうまくやれるからです。ほとんどの CSO は最初はうまくやれますが、たいていは苦労することもあります。
Jason Clark: もし過去に戻れるなら、何を変えますか?
Dan Lohrmann: 2004年頃、私がミシガン州でCSOを務めていた頃の話があります。当時、上司はTeri Takaiでした。テリはミシガン州の CIO でした。彼女はその後、カリフォルニアの CIO に就任しました。その後、彼女は米国国防総省のCIOに就任しました。とても有名ですね。多くの州知事、アーノルド・シュワルツェネッガー、そして現在エネルギー長官を務めるジェニファー・グランホルム氏のために働いた。
Dan Lohrmann: とにかく、新しい CSO 関係では、常に、形成、混乱、規範化、実行といった段階があると言われていますよね?まあ、これが私たちの嵐の顔でした。とにかく、テリと私は結末を言うと、結局良い友達になったんです。
ダン・ローマン:とにかく。その最中、テリは州内のすべての会議室に Wi-Fi を導入するよう私に依頼しました。そして私はWi-Fiに反対でした。私はNSAの人です。そして私はこれらすべてのホワイトペーパーを持っていました。私は宿題を全部やりました。そして私はCIA、NSA、FBIに行ったことがあります。私はこれらすべてのホワイトペーパーを持っていました。Wi-Fi は悪い考えです。車を運転中、ホームデポに侵入者がいました。
ジェイソン・クラーク: [クロストーク 00:38:10]。
ダン・ローマン:そういうことすべてです。とにかく、要するに、私はこの会議に参加したのです。テリは「わかったわ、ダン…」と言った。この大きな政府会議室の周りには 10 人ほどの人がいた。会議室に入って約 20 分後、テリのスタッフ ミーティングが行われます。毎週のスタッフ ミーティングです。そして議題フォーラムが開かれました。そして彼女は言いました。「ダン、それで、これをどうやってやるの?」そして私は言いました。「まあ、テリ、それは悪い考えだよ。このプロジェクトは中止させていただきます。」そこで、私はこれらの紙を配り、部屋中に回しました。そして私は言いました。「これを裏付けるホワイトペーパーがここにあります。なぜこれが私たちがすべきことではないのかを要約したいだけです。」
ダン・ローマン: それでテリーは言いました、「やめて。「みんなに部屋から出て行ってほしいんだけど、ダン。」そこで、全員が立ち上がって部屋から出て行きました。政府がこれほど早く撤退するのを見たことがない。とにかく、長い話を短くすると、彼女は私の目を見てこう言いました。「ダン、もしそれがあなたの答えなら、あなたはミシガン州の CSO にはなれません。」そこで私は言いました。「ちょっと待ってください、テリ、説明させてください。」彼女は「いや、いや、やめてよ」と言いました。彼女は言いました。「私たちはあなたが賢いことを知っています。」あなたはNSAから修士号などを取得しました、私たちはそれらすべてを手に入れました。」彼女はこう言いました。「でも、私はダウ・フォード、クライスラー、GMに行ったことがありますが、どの企業も会議室にWi-Fiが備え付けられていました。彼らはあなたが知らないことを何を知っているのですか?"
ダン・ローマン: 彼女は「1週間以内に調べなさい。さもなければ辞職してもらいます」と言った。そしてそれは私にとって衝撃的な瞬間でした。つまり、それは人生を変える瞬間だったのです。つまり、私のキャリアはまるで目の前で走馬灯のように過ぎ去ったのです。もちろん、私たちは戻って、ダウ・フォード、クライスラー、GMと話をしました。州内のすべての会議室でWi-Fiが利用できました。2年後、私たちは全国政府における最高のセキュリティWi-Fi賞を受賞しました、などなど。しかし、私にとってのより大きな教訓は、「はい、しかし」または「はい、そして」という結論に達するには、選択肢を検討する必要があるということでした。金、銀、銅をあげなければなりません。もちろん、これは Wi-Fi だけの問題ではなく、クラウドにも当てはまります。これは、
ジェイソン・クラーク: 必ず方法はあります。
ダン・ローマン:その通りです。クラウド、IoT、AIなど、新しいホットな話題が何であれ。セキュリティ上の答えは常に「ノー」です。そして、自分が知らないことを他の人が知っているかを把握しなければなりません。答えは時々「ノー」である必要があるかもしれません、ジェイソン、そのことについては前に話しました。しかし、肝心なのは、本当に...そして、私の考え方は本当に変わりました。どうすれば支援者になれるのでしょうか?その時から、私は正しい記事を書くようになりました。O5 一言。サイバーセキュリティを有効にするために文化をどのように変えますか?Netskope もそうしていることを私は知っています。どうすれば安全にクラウドを利用できるようになりますか?
ジェイソン・クラーク: 素晴らしいアドバイスです、ダン。それでは、本日はここまでとなります。ダン、これはすごいですね。そしてありがとう。そして、これをさらに何時間でも簡単に続けることができたような気がします。しかし、お別れする前に、まず、あなたを見つけてあなたの本を入手できる場所はどこでしょうか?また、他に誰かに伝えたいことはありますか?
ダン・ローマン:もちろんです。そうですね、本当にありがとう。そしてジェイソン、改めてありがとう。Netskopeに感謝します。招待していただきありがとうございます。あなたの番組に出演させていただき光栄です。あなたは真の思想的リーダーであり、業界の専門家です。それで、私はあなたとあなたの功績の大ファンです。
ダン・ローマン: 本のタイトルは『サイバーメイデイとその翌日』です。Amazonで入手できます。それはあそこにあります。また、政府の技術雑誌にも寄稿しています。それで私は毎週ブログを書いています。毎週日曜日と月曜日に公開されます。これは、Government Technology 誌の月曜朝のトップストーリーです。サイバーセキュリティについて語るローマン氏の姿がそこにあります。Twitter でも @govcso です。GOVCSO、@govcso は私の Twitter ハンドルです。
Dan Lohrmann: LinkedIn で私とつながることもできます。私は業界のプロだけでなく、業界の新しい人たちともつながるのが大好きなんです。全員を指導することはできません。人々を指導してほしいという依頼を多く受けます。私は何人かの人を指導していますが、あなたともつながりたいと思っています。LinkedIn で Dan Lohrmann までお気軽にご連絡ください。
ジェイソン・クラーク: はい。聞いてください、皆さん、あなたは間違いなくダンとつながっています。彼が望んでいるのは、ただ人々を助けたいということだけです。彼はこの業界をより良くし、地域社会に貢献したいと考えています。それが私がダンを好きな理由の一つです。すべてはコミュニティに関することです。ありがとう、ダン。それでは一週間後にお会いしましょう。
ダン・ローマン: どうもありがとう、ジェイソン。感謝します。
スピーカー 3: Security Visionaries ポッドキャストは、Netskope のチームによって運営されています。デジタル トランスフォーメーションを実現する適切なクラウド セキュリティ プラットフォームをお探しなら、Netskope セキュリティ クラウドが、あらゆるデバイスからあらゆるアプリケーションまで、ユーザーを安全かつ迅速にインターネットに直接接続できるよう支援します。詳細については、 Netskopeをご覧ください。
スピーカー 2: Security Visionaries をお聞きいただきありがとうございました。ぜひ、この番組を評価してレビューし、楽しんでくれそうな知り合いと共有してください。隔週で公開されるエピソードにご期待ください。それではまた次回でお会いしましょう。
){kind=icon}
