ハーヴェイ・ユーイングとの安全保障の現状への挑戦

ハーヴェイ・ユーイング： セキュリティはチームスポーツだとおっしゃいますが、まさにその通りだと思います。これは、技術者に加えて、オペレーター、臨床医、プロセスのフロント、ミドル、バックをサポートする人々と正確に連携して行う必要があることです。私たちはその範囲全体に焦点を当てています。皆さんもよくご存知のとおり、現代では境界線は基本的になくなっているので、チームスポーツであるべきだと今日では言うのにこれよりよい方法はないと思います。私たちは、人間的な側面から、私たちが持つテクノロジースタックの最も低いレベルに至るまで、焦点を当てる必要があります。

アナウンサー 1: こんにちは。Security Visionaries へようこそ。ヘルスケア業界で働くには多くの課題がありますが、患者データは最優先事項です。医師からオペレーター、技術者に至るまで、そのデータは安全かつプライベートに保たれなければなりません。R1 RCM の最高情報責任者である Harvey Ewing 氏は、組織内の全員が人間のファイアウォールとして機能するように努めています。Harvey は、サイバーセキュリティ、ガバナンス、リスク、コンプライアンスの分野で 25 年以上の経験を持っています。R1 RCM では、エンタープライズ テクノロジーのセキュリティ、配信、改善を担当しています。Security Visionaries ポッドキャストは、Netskope のチームによって運営されています。Netskope では、あらゆる場所の人、デバイス、データに最適化されたアクセスとゼロ トラスト セキュリティを提供するプラットフォームにより、クラウド、データ、ネットワーク セキュリティを再定義しています。Netskope顧客の危険な旅においてあらゆるリスクに対応できるよう支援する方法について詳しくは、NETSKOPE.com をご覧ください。 ハーヴェイ・ユーイングと司会のマイク・アンダーソンとのインタビューをお楽しみください。

マイク・アンダーソン: 本日の「Security Visionaries」のエピソードへようこそ。司会のマイク・アンダーソンです。私は Netskope の最高デジタル情報責任者です。本日は、Harvey Ewing 氏をお迎えします。Harvey 氏は、セキュリティ リーダーとしてキャリアをスタートし、その後 CIO に就任するという、驚くべき経歴の持ち主です。 そこで、私たちのテーマである「チームスポーツとしてのセキュリティ」について話すとき、その道のりについて私たちに話を聞いてくれる最適なゲストはハーヴェイだと感じています。それでハーヴェイ、元気ですか？貴社のバックグラウンドと、 CISOから CIO への歩み、そしてそこから CIO への軸足について少しお聞かせください。

ハーベイ・ユーイング: もちろんです。 元気だよ、マイク。ここに来られて嬉しいです。来てくれてありがとう。とても興味深い話ですね。実は私は何年も前にビジネスの分野で起業したので、ビジネスの学位も持っています。 それは 90 年代半ばに急速に情報セキュリティへと変わり、今日まで私が情熱を注いできた分野です。私のマネーグラム・インターナショナルでの最後の役職は、最高情報セキュリティ責任者として採用されたことです。就任して約 8 か月後、当時の上司である Camilla Chittle が私のところに来て、「あなたを CIO の職に就かせたいのですが、これはチームをまとめる絶好の機会だと思います」と言いました。最初は少し躊躇していましたが、これは大きな変化だと思いました。しかし、私の心に残ったことの 1 つは、従来はうまく連携できなかった技術者のグループをいくつかまとめることができるということでした。それが、私が MoneyGram の CIO に就任した本当の理由です。同時に CISO の役割も担っていましたが、これは非常にユニークな経験でした。当然ですが、1 つの料金で 2 つの仕事をこなせるのは MoneyGram にとって素晴らしいことですが、私にとっても有益でした。

マイク・アンダーソン：それは素晴らしいですね。◇ R1 に方向転換したということは、金融サービス分野から離れたということですね。 あなたはエネルギー業界やさまざまな業界で活躍されてきたと存じます。これを聞いている私たちの仲間の多くは、R1 についてよく知らないかもしれませんので、現在携わっている R1 のビジネスについて少し教えてください。 チームスポーツについてさらに詳しく見ていきましょう。

ハーヴェイ・ユーイング： ええ、その通りです。おっしゃる通り、金融サービスからヘルスケアへの大きな転換が起こっています。R1 は収益サイクル管理会社であり、医療機関が患者の収益源を管理する方法を最適化するのを支援します。 つまり、私たちは本質的に、医療提供者が最も重要なこと、つまり患者と提供しているケアに集中できるようにします。R1 は、患者の受け入れ、支払いおよび請求プロセス全体にわたる患者管理、場合によっては術後ケアまでを支援します。 そこで当社は最近、収益情報に重点を置く企業も買収しました。したがって、合併後の R1 は、医療提供者が提供したサービスに対して報酬を受け取ることができるようにすることに重点を置いており、その結果、医療提供者は最も重要な患者の医療に集中できるようになります。

マイク・アンダーソン: つまり、私が正しく理解しているのであれば、私が病院に行って医療費を支払うときにクレジットカードを使うと、実際にはあなたのクレジットカードの処理と集金が行われているということですね。

ハーヴェイ・ユーイング：まさにその通りです。つまり、R1 はそのように支援するのです。正解です。

マイク・アンダーソン：それは素晴らしいですね。したがって、医療について話すとき、そして入院する患者から支払いを受けるときには、セキュリティが最も重要になると思います。私は貴社の CISO である Cecil 氏を知っており、私たちは多くの有意義な会話をしてきました。R1 のビジネスにおいて、セキュリティにどのような重点を置いているか、また組織として行っている他の投資分野との関係でセキュリティをどのように優先しているかについてお話しいただけますか?

ハーヴェイ・ユーイング：はい、それは素晴らしい質問です。R1 はまさにこれに注力しています。R1 がクライアントに提供するサービスに基づいてアクセスできる情報の量を考えると、それは PII から個人の健康情報、サービス提供時の支払い情報まで、考えられる限りのあらゆる個人情報に及びます。したがって、セキュリティは最優先事項であり、それは素晴らしいことです。R01 では、Cecil とサイバー セキュリティの側面に対して多大なサポートが行われています。言うまでもなく、HIPAA は私たちが行うすべての業務において非常に重要な部分です。セキュリティとプライバシーの両方の役割が、私たちの対応の多くを推進します。しかし、それは私たちだけではできないことだと私は言います。ですから、セキュリティはチームスポーツだと言うのは、まさにその通りです。これは、技術者に加えて、オペレーター、臨床医、プロセスのフロント、ミドル、バックをサポートする人々と正確に連携して行う必要があることです。私たちはその範囲全体に焦点を当てていますが、今日ではチームスポーツであるべきだと表現するより良い方法はないと思います。なぜなら、ご存じのとおり、今日の時代では境界線は基本的になくなり、人間的な側面から、私たちが持つテクノロジースタックの最低レベルまで、ずっと焦点を当てる必要があるからです。

マイク・アンダーソン：いいえ、全くその通りです。先ほどおっしゃったように、セキュリティ チームと、おそらく一緒に作業しなければならない他のチームとの間には、多少の摩擦が生じる可能性があります。セキュリティは Cecil が担当し、ネットワーク側の多くを担当するインフラストラクチャ チームがあり、そして当然のことながら、それに不可欠な役割を果たすアプリケーション チームもあります。どのようにして、これらのチーム間の橋渡しを行い、チームがうまく連携して、目指す安全な成果の一部を達成できるようにしていますか?

Harvey Ewing: その通りです。Mike、それはまた良い質問ですね。最初のステップは、MoneyGram と同様、適切なインフラストラクチャ、セキュリティ、ネットワーク担当者を同じ部屋に集めて、連携して情報を共有し、従来のインフラストラクチャで明らかに発生する多くの事柄から感情を排除し、これらのチームが本当にチームとして機能していることを確認することでした。ですから、私が IT 分野で話していることの 1 つは、健全な対立と呼んでいるものです。それは、私たちが前向きな姿勢で最善を尽くせるよう努力することを意味します。私は、組織内のどのレベルにいても、チーム全員に現状に挑戦し、自分たちの意見が重要であることを理解してもらい、時には難しいこともある前向きな方法でそれを実行してほしいと思っています。技術者は皆、自分たちがその部屋の中で一番優秀で賢いと思いたがっているようだが、それは必ずしも悪いことではない。しかし、時には、これを感情的に行わず、誰かが自分たちのやったことや、私たちがいつもやってきたやり方に異議を唱えることを人々が心配しないようにしなければなりません。それは良いことだと思います。そして、「まあ、私たちはいつもこうやってきた」というフレーズが嫌いで、そのフレーズに挑戦することが私たちの活動の根底にあるものです。あなたが言及したもう一つの側面は、アプリケーション開発者を結集することです。多くの人が左にシフトすることについて話しますが、実際に左にシフトすることは、左にシフトすることについて話しているのではなく、実際に左にシフトしているのです。これは難しい場合があります。なぜなら、CICD プロセスを進め、人々がクラウドに移行し、インフラストラクチャが組織全体での課題が少なくなり、クリティカル パスではなくなるにつれて、安全なコードを実際にどのように作成するかに重点を置くようになるからです。アプリケーション開発者とアプリケーション セキュリティ エンジニアを同じチームに組み込むことにも、私は重点を置いています。この 2 つのグループでも、別の人にレポートすることになります。 アプリケーション セキュリティ エンジニアが単に脆弱性やコードの問題を見つけて、それを開発者に渡して「これを修正する必要があります」と言うだけになるのではなく、協力して作業していることを確認し、連携させることが重要です。これは難しい場合があります。アプリケーション セキュリティ エンジニアがパートナーとして認識されるようにすることが重要です。そこで、セキュリティの観点からコーダーを雇用し、チームに組み込んで、開発者にソリューションを提供します。つまり、その反復を実際に方程式の左側に移動することになります。アプリケーション セキュリティ エンジニアが協力してコードを作成し、優れたコードを生成して展開することを開発者が理解したら、左側でもう少し繰り返し作業を進め、右側で本格的に取り組みます。 チームが固まり、私たちは誰かを非難するためにいるわけではない、彼らの仕事ぶりを非難するためにいるわけではないことを理解したら。私たちがそこにいるのは、問題を解決するためだけであり、会社が私たちができる限り最善のコードを展開していることを確信できるようにするためであり、物事は非常にうまくいっているようです。したがって、これはまさに共同作業による統合アプローチであり、両チームが可能な限り最高のコードを提供するために努力しています。ですから、マイクさん、これらすべての側面をまとめると、これはあなたの質問に対する非常に長い答えであることは承知していますが、感情的な側面を本当に分析していることになります。また、社内の成功のために真に協力し、会社が社外でも成功できるようにすることを知っているチームを編成します。

マイク・アンダーソン: マット・ルメイという友人がいます。彼は『Agile for Everybody』という本を執筆しており、その中でサイロの破壊について語られています。人々は自分が属しているサイロ内での作業に慣れてしまい、そこに集中してしまうことが多いそうです。「頭を上げて他の人と協力して働かなければならない」と誰かが言わない限り、本当に求めている敏捷性は得られません。ですから、あなたがそれを推進しているのは素晴らしいことですし、リリースをどれだけ早く出すことができるかという速度を本当に加速させているというあなたの言葉から私が受け取ったことを、あなたが本当に理解しているように聞こえます。なぜなら、設計により組み込まれているためセキュリティが低下し、実稼働環境での導入が妨げられるのを目にしたことがあると思います。これは、ゲートの最後にあるものが、再設計や再エンジニアリングのために開始点に戻されることが多いのとは対照的です。

ハーヴェイ・ユーイング：まさにその通りだよ、マイク。あなたは私よりも 5 段落ほど短く、それを実現しました。しかし、それが私たちの意図であり、まさにやりたいことであり、あなたの言うとおりです。最初からやり直して脆弱性に対処するための専用の速度を得ようとするのではなく、開発プロセスの一部として脆弱性に対処すると、テストから上位環境、そして本番環境へと進むにつれて速度が大幅に向上します。

マイク・アンダーソン: 想像するしかないですね。両方の視点を持っているというのは興味深いですね。CISO と話をすると、彼らはいつもセキュリティについて話します。つまり、継続的に資金を投入し、「CFO の見解を予測できる程度の割合にまでセキュリティが落ち着くのはいつになるのか」と考えている、ということです。しかし同時に、確かマッケソンのCISOがこう言っていました。「収益の創出です。優れたセキュリティ プログラムがなければ、ビジネスを獲得することができません。人々は私たちにデータを託そうとはしないからです。」 それはあなたにとって大きな意味を持つと想像せざるを得ません。それはどのように展開したと思いますか?チーム スポーツについて考えると、それは IT とセキュリティ内だけに限ったことではなく、誰かがあなたにデータを託すことになるので、組織全体がセキュリティの考え方を持つことになります。少なくとも彼らと同等かそれ以上のセキュリティ管理体制が整っていると彼らに感じてもらう必要があります。

ハーヴェイ・ユーイング： ええ、その通りです。マイク、これもまた良い指摘です。これは重要であり、まさにこれらの質問に対処するために、私たちはこれらのチームから商業および販売側に招き入れられます。明らかに、私たちが扱っている情報は、お客様のために取り扱う情報の中でも最も機密性の高いものであり、彼らは私たちがそれを適切に取り扱うことを確認したいと考えており、その理由は私もよく理解できます。したがって、重要なことは、座ってクライアントに私たちが正しいことを行っていることを保証し、現在どのようにリスクに対処しているかについて厳しい話し合いを行っていることです。私たちは戦略的な展望に目を向けています。私たちは、存在する脅威やリスクに応じて進化していくよう努めています。技術的な観点からそのハードルを乗り越えたら、私たちが一緒に仕事をしているビジネス リーダーたちが、データの扱い方、データの管理方法、データへのアクセスの監視方法、誰がいつアクセスできるのか、どこにデータが流れるのかについて、納得していることを確認することも私たちの責務になると思います。これらはすべて非常に重要な側面であり、それが実現できれば営業チームにとって競争上の優位性が得られます。セキュリティ チームは、クライアントの質問に確実に対応し、私たちがプロセス全体の実現者であり、社内の他のチーム、特に営業チームと協力してクライアントの約束を果たしていること、そしてそれを効果的に実行できること、そしてクライアントにサービスを提供するために保護する必要があるデータを確実に保護できることをビジネスに知らせることができます。そのデータに適切にアクセスできます。私たちが仕事をすることで、彼らはより良く仕事をすることができ、患者のケアをすることができます。

マイク・アンダーソン：それは素晴らしいですね。ボードを見たときに、それをどのようにボードに反映させているのか想像しなければなりません。彼らも一種のチームスポーツの一部なのですから。取締役会がどの程度のリスクを受け入れる意思があるかについて合意を得る必要があります。セキュリティおよび IT リーダーとしての経験を踏まえて、同僚と話をする場合、どのようなアドバイスをしますか?A、そのボード会話をどのように管理しますか?2 つ目は、セキュリティへの取り組み方や取締役会が尋ねる質問について考えている同僚に、どのようなアドバイスをしますか。質問は2つあります。両方を部分的に取るのもいいかもしれません。

ハーヴェイ・ユーイング： ええ、その通りです。それはとてもとても重要だと思います。私の意見では、取締役会にプレゼンテーションを行う技術者は、必ずやらなければならないことが 1 つあります。それは専門用語を話すのではなく、ビジネス用語を話すことです。リスクについて話すとき、リスクこそが重要な要素です。地球上のあらゆる企業は、ある程度のリスクを負っています。R1も同様です。したがって、取締役会に赴いて話し合うことは、会社が受け入れる覚悟のあるリスクのレベルについてということに重点を置くことになります。サイバー面での私の観点から重要なことは、我々がどこへ向かうのか、彼らがどの程度のリスクを受け入れるのかという点で、取締役会にとってはそれほど重要ではないかもしれない。つまり、これは、特定の領域で私たちが抱えている、または抱える可能性のあるリスクのレベルを示す単純な方程式を作成し、取締役会が負いたいリスクの量まで特定のリスクレベルを軽減するためにどれだけの費用がかかるかを把握することです。彼らは、10万ドルのリスクを軽減するために100万ドルを費やしたいとは思わないでしょう。アルゴリズムを組み立てて、実際にビジネス要因を考慮に入れ、取締役会にとって重要な方程式を提示し、「これが当社の定量化可能なリスクレベルです。このリスクレベルを軽減して残留リスクをXレベルにするには、どれだけの費用がかかると考えられますか」という決定を下せるようになれば、取締役会はそれに満足するか、そうでないかのどちらかになるでしょう。彼らがそれに満足しておらず、さらなるリスクを軽減したい場合、彼らはあなたにもっとお金を与えるかもしれません。彼らは「いいえ、私たちはそのリスクを下げたいのです」と言うかもしれません。素晴らしい。また、「いいえ、当社はこれらの特定の分野ではリスクを受け入れるつもりですので、今は出費を抑えていただき、後ほど戻ってきてさらに資金を投入してさらなるレベルのリスクに対処するかもしれません」と言うかもしれません。しかし、取締役会のメンバーとの信頼関係を築くことが本当に重要です。R1 の取締役会は、サイバーリスクのさまざまなレベルがどのようなものか、そのリスクにどのように対処しているか、リスクに応じてどのように進化しているか、それがビジネスにとって本当に何を意味するのかを理解することに熱心に取り組んでいます。この業界ではブランドと評判が非常に重要です。R1 を含め、私たち全員が課題を経験してきました。私たちはこれらの課題に対処し、方向転換を行い、脅威の状況の変化に基づいていくつかのリスクを振り返って再評価する必要があり、そうした会話を持ち、透明性を保つ必要があります。すべての質問に対するすべての答えを知る必要はありません。「いいえ、分かりません。その情報を後ほどお伝えします」と言っても大丈夫です。しかし、古い恐怖、不確実性、疑念で人々を圧倒しないようにすることが絶対に必要です。それは、企業が懸念しているリスクに基づいた定量化可能な情報、または適切な方法で認識しておく必要のあるリスクを列挙し、次に、リスクは何か、そのリスクを軽減するためにはコストはいくらになるかという実用的なアプローチを組み立てることです。これは受け入れられますか?より多くのリスクを受け入れるか、より少ないリスクを受け入れるか?答えが何であれ、企業が受け入れる意思のあるリスクの量に基づいてソリューションをカスタマイズすることができ、それが投資の観点から私たちが向かう方向を決定します。

マイク・アンダーソン: いいえ、それは大いに納得できます。そのユニークな視点を考えると、やはりバック グランドにいるあなたは、明らかに R1 内のセキュリティのトピックに深く関わっていることがわかります。 他の CIO や他の業界も同レベルの関与を持つべきだと考えますか?同僚に対して、どの程度の関与が必要か、また、組織内でのチームの安全を確保し、チームスポーツの一員となるために何をすべきかについて、どのようなアドバイスをしますか。

Harvey Ewing: そうですね、Mike さん、それは本当に興味深い質問ですね。特に、より多くの CIO や CSO が議論の場に加わるようになっていると思いますし、それは本当に重要なことです。なぜなら、テクノロジーの観点から見たセキュリティの成功は常にトップダウンだからです。それはボトムアップではありません。したがって、必要なサポートを確実に受けられるようにするには、取締役会レベルから始める必要があります。私がキャリアの初期に犯した致命的な失敗は、あまりにも多くの技術的な言葉をぶつけ合い、取締役会に「ここで私たちが解決しようとしていることがまったく理解できない」と言わせてしまったことです。 ですから、私にとって最も役に立ったことの一つは、取締役の視点からテクノロジーとセキュリティを真剣に検討したことだと思います。彼らの焦点は何ですか?聴衆を知り、テクノロジー関連の問題をビジネス プレゼンテーションにしっかりとまとめ、消化しやすい、理解しやすいものにし、そして何よりもビジネスに直接影響を与えるものにします。正直に言うと、私のキャリアの初期のころは、それを学ぶのにしばらく時間がかかりました。技術者の観点から行うと、取締役会から得られるリターンは少なくなります。彼らはあなたのプレゼンテーションに感謝するでしょうが、あなたが提示するデータを実際に理解することはできないかもしれません。ビジネスの視点からこれらの特定の課題を実際に検討し、取締役会のメンバーでない場合は取締役会のメンバーに自己紹介することが重要です。可能であれば、役員たちと時間を話し合うように依頼してください。実際に会議に出席することになった場合は、取締役との関係を構築してください。取締役会が始まるまで待たずに、その短いプレゼンテーションの中で関係を明確にしてみてください。 連絡を取り、あなたのリクエストと会社が行っているテクノロジーやセキュリティへの投資を評価する責任を持つ役員と、短い会議を定期的に開催するようにしてください。いったん関係を築き、透明性を保ち、彼らが下そうとしている決断に関係する情報を提示すれば、彼らはあなたを探し出すでしょう。過去に私がそうした経験から言うと、私が直接会議の席に着いていない場合、取締役たちは会議の外で直接私に連絡を取り、情報を尋ねたり、具体的な課題について話し合ったりしていました。一度テーブルに着くと、信頼関係が築かれ、透明性が確保され、彼らはそれを非常に高く評価するでしょう。経営レベルではさまざまな変化が起こっています。SCC は、取締役会がサイバー関連の問題をより認識する必要があり、取締役がサイバーに関する具体的な経験と専門知識を持つ必要があるという事実を主張しています。だから機会は増えていくでしょう。今こそ、それらを活用し、ビジネスを支援し、取締役が納得のいく必要な決定を下せるような実際的な方法でそれを実行する時だと私は思います。リスクを軽減する正しい方法で会社を導いていると認識することは、あなたにとって不可欠であり、取締役にとっても非常に有益です。

マイク・アンダーソン: ちょっと話題を変えたいと思います。ボードには常に洞察が書かれていて、それは非常に価値があると言っています。ですから、CIO として、自分が大好きな分野、つまり、バックグランドによるアプリケーション担当のような分野が常にあることをご存じです。 つまり、常にアプリケーション側に惹かれることになります。あなたはバック グランドのセキュリティ担当者なので、たくさんの任務があると想像してみてください。 つまり、明らかにセキュリティは存在します。あなたのテクノロジースタックや注力している場所について考えるとき、あなたが時間を費やすのが好きな分野は何ですか?

ハーヴェイ・ユーイング：ああ、また素晴らしい質問ですね。おっしゃる通りです。機会があれば、また飛び込んでみたいと思っています。最近はそんなことはめったにありませんし、私がそうするとチームはかなり怖がりますが、本当に良い可視性を提供するツールを持っているのです。予防は常に目標となるわけではありません。私たちは失敗することが分かっているので、人的セキュリティを確保するだけでなく、組織内のさまざまな要因により境界が崩壊しつつあり、それが拡大している大きな領域であることを理解できるツールが必要です。しかし、何が起こっているかを理解し、それに対処するための可視性を提供するツールが必要です。そうした可視性がなければ、見えないものに対処することは実際には不可能です。私が本当に頼りにしているのは、長年にわたって進化してきたツールであり、これによってパケットの追跡までできる詳細な機能が得られるのです。物事が進化するにつれて、マイク、データの統合にも役立つツールを実際に活用することになります。世の中には膨大なデータがあり、何が起きているのか理解できるツールもたくさんあるのです。したがって、現在発生しているセキュリティ侵害の一部や、進化している脅威の一部に目を向けると、ユーザーが通常の行動から外れたことを行っているかどうかを把握する必要があります。実際、いくつかの記事を読んでみると、農地を購入している中国関連企業に起こっている動揺の様子がわかり、非常に興味深いと思います。 最近読んだ記事によると、これらの特定の企業のうちの 1 社は、その農地が他の大手プロバイダーの隣、またはその範囲内にあったため、実際に 5G アンテナを設置したそうです。 もし誰かがその情報を入手し、企業に侵入して許可されたユーザーを獲得できるとしたら、それが何なのかをどうやって知ることができるのでしょうか?それは、実際に、自分の環境で何が起こっているかを分析し、何が異常であるかを把握できる可視性と能力を持つことです。私にそのような能力を与えてくれるツールこそ、私が本当に注目したいものなのです。どうすればパズル全体を組み立てられるのでしょうか?何を探せばいいですか?環境内で誰かがパワー ユーザーになりすましているかどうかをどのように判断すればよいですか?つまり、ただ魅力的だということです。行けるエリアはたくさんあります。常に何かが見つかります。それを探すことは私が情熱を注いでいることであり、これまでのキャリアを通じてさまざまなツールを使ってやってきたことです。

マイク・アンダーソン: その可視性、データはどこに流れているのでしょうか?ロシアとウクライナで起きていること、そして今日の地政学的環境全体のせいで、社内ではこの疑問が何度も生じてきました。「私のデータはどこに行くの？」という感じです。誰が持ってるの？間違った場所に行きたくないんです。」それで、それはまさにその通りです。技術スタックを見てみると、明らかにビジネス プロセスの一部である、プロセスにおける摩擦をいかに減らすかという問題もよく出てきます。なぜなら、セキュリティのために摩擦を増やすと、セキュリティが適切に実装されていない場合、人々は仕事を遂行できなくなり、プロセスに摩擦が生じる可能性があるからです。セキュリティ、ビジネスプロセス、構築しているアプリケーションなど、ビジネスにおける摩擦を軽減するためにテクノロジーを活用している例にはどのようなものがありますか？ あなたのビジネスにおける摩擦の軽減の例は何ですか？

ハーヴェイ・ユーイング：そうですね、マイクさん、それは本当に良い質問ですね。これは、COVID-19とリモートワーク、在宅勤務によって本当に加速されたと思います。COVIDは本当に世界を変えたと思います。したがって、このケースでは摩擦の減少は 2 倍になると思います。 これにより、ユーザーはどこからでも安全に作業できるようになります。それは企業にとって非常に大きなメリットです。明らかに、才能ある人材の維持は、私たちがユーザーに働き方を提供する方法によって形作られます。逆に言えば、デバイスや場所に関係なく、行われている作業を企業が信頼できるようにすることです。それは挑戦です。明らかに、これはあなたとあなたの会社が毎日重点的に取り組んでいることであり、重要なことです。したがって、24 時間 365 日アクセスする必要があるシステムにどこからでも安全に接続できるようにすることは、まさにその摩擦を軽減する方法の 1 つです。これは、従業員にとっても会社にとっても、双方にとって有益なことです。境界線が崩れ続ける中で、私たちは今後もこれを実行し続ける必要があると私は固く信じています。私たちは世界中の多くのケースで才能を見つけます。 ユーザーにその柔軟性を提供できれば、ユーザーはより幸せになり、生産性が向上し、その会社で働きたいと思うようになります。また、ユーザーが満足し、承認された場所であればどこからでも働けるというバランスレベルを見つければ、転職する可能性は低くなります。これは明らかに、私のケースの R1 の観点からのことです。 しかし、彼らがやるべきことをやっているかどうかも確認する必要があります。ユーザーはアクセスが許可されているシステムにのみアクセスでき、その範囲外には行けません。それは透明でなければなりません。たくさんの面倒な手続きを踏むユーザーを受け入れることはできません。セキュリティは可能な限り透明性が高く、常に存在するべきですが、完璧な世界ではユーザーがそれを意識するようなものであってはなりません。したがって、セキュリティとアクセスを透明かつ安全にすればするほど、チームとしてのパフォーマンスが向上します。

マイク・アンダーソン：それは素晴らしいですね。興味深いですね。先ほどあなたがおっしゃった人に関するコメントを思い出します。社内で実行したエキサイティングなことの 1 つは、T シャツを作って「あなたは社員にとっての人間ファイアウォールです」と書いたことです。組織を見てみると、先ほどセキュリティを通じて人々を支援することについてもお話ししましたよね?IT は障害ではなく、実現手段として、セキュリティは実現手段として。R1 社内の従業員を活性化し、ビジネスを推進する人間ファイアウォールとするために、どのようなことを行っていますか?それをどのように行っているか、いくつか例を挙げて教えてください。

ハーヴェイ・ユーイング氏：私たちは人間のファイアウォールに本当に力を入れており、それが素晴らしい表現方法だと思っています。ユーザーは、他のユーザーと同様に、潜在的な脅威を探し、組織への足掛かりの大部分が電子メール攻撃によるものであることを理解するためのトレーニングを受ける必要があります。なぜそのリンクをクリックしてはいけないのでしょうか?何を探す必要がありますか?なぜこれが会社にとって重要なのでしょうか?これは、ユーザーが会社のセキュリティの最前線にいること、そして R1 やユーザーが勤務する会社を攻撃しようとする者にとってユーザーがまさに貴重なターゲットであることを理解してもらうための、非常に前向きな方法です。私は、ユーザーをできるだけ巻き込み、私たちがなぜこれを行っているのかをユーザーに理解してもらいたいと思っています。なぜこうしたセキュリティ関連のことが重要なのでしょうか?それは本当に私と何の関係があるのでしょうか?私はただ仕事を終わらせたいだけです。そのため、ユーザーに同時に大量のトレーニングを強制することはありません。私の意見では、これはもっと軽い方法が一番効果的です。ユーザーにセキュリティ意識啓発トレーニングを魅力的な方法で提供する場合、私はコメディを通じてセキュリティ意識啓発トレーニングを提供するのが好きです。世の中にはそれを実現できるツールがたくさんあり、それが本当に役に立つと思います。自分たちがやっていることを少しからかって、大抵は楽しんでやっているのだと人々が理解すれば、彼らは参加してくれるでしょう。以前の会社で使っていた2文字のツールが1つありました。 1 つは「Human Error」、もう 1 つは「Sound Judgment」と名付けられました。トレーニングは非常に効果的で、私は「健全な判断」と「ヒューマンエラー」のシャツを印刷してもらいました。人々は「ヒューマンエラー」のシャツを気に入ってくれました。 彼らは社内でヒューマンエラーのシャツを着るのが大好きで、そうすると物事がうまくいって彼らがそれを楽しんでいるのが分かります。笑って済ませられるが、トレーニングには意味がある。私が所有するすべてのサイトで同じパスワードを使いたくないのはなぜですか？ システムをロック解除したまま長時間放置したくないのはなぜでしょうか?もう一度言いますが、こうした状況のいくつかを茶化して、それほどドラマチックにならないようにしたことが、大ヒットになったと思います。これは私たちが R1 で行っていることと同じことであり、それが重要であることを人々に理解してもらうために非常に役立っています。私たちは皆さんを死ぬほど怖がらせたいわけではなく、ただこれがどれほど重要かを判断し理解してもらいたいだけなのです。そして私たち自身を少しからかってみようと思います。普通のユーザーはそれをとても気に入っていると思います。マイク・アンダーソン: ええ、携帯電話にパスコードがなかった時代のことを思い出しました。携帯電話をテーブルの上に置いたまま帰ってきて、友達に本当は送ってほしくないテキストメッセージを送っていたんです。頭の中にそんなイメージが浮かんだんです。

ハーヴェイ・ユーイング：その通りです。

マイク・アンダーソン: それはいつも楽しいですね。

ハーヴェイ・ユーイング：その通りです。

マイク・アンダーソン: 私が推進しようとしていることの一つは、より良いデジタル市民権という概念全体です。結局のところ、クリックしてほしくないものを人々はクリックしないということです。私たちが買って欲しくないものは彼らは買わないだろう。そして、IT、テクノロジー、セキュリティに関するアイデアがあれば、私たちに提案してくれます。私たちは一緒に協力します。それが完璧なデジタル市民となるでしょう。明らかに、私たちはそこから少し離れています。R1 内でデジタル市民権を促進するために、セキュリティ面、あるいはセキュリティ以外の面でどのような取り組みを行っていますか?

ハーヴェイ・ユーイング: あなたはデジタル市民権についてもう一つ本当に良い点を指摘しましたね。これは本当に良い言い方だと思います。データはどこにでもあるため、データへのアクセス権を持つ人がデータを適切に処理していることを確認する必要があります。使う必要がある目的で、必要なだけ使うようにする。 私たちがその患者データをどのように扱っているかを理解して、承認されたエリアの外に保管することはしないでください。 R1 は非常に迅速に動く会社です。当社は急速に進化しており、社内には何千人ものユーザーがいます。そのため、当社がアクセスできる最も機密性の高いデータの一部にアクセスできることをユーザーが理解し、それを適切に扱うことが必須です。私たちはそれを実現するために非常に熱心に取り組んでいます。データ ガバナンスは、それ自体が独立した世界です。それはR1が真剣に取り組んでいることです。私たちがデータの適切な管理者となることを軸にしたビジネス文化を構築している方法は、まさに今私が言ったことを実行することです。私たちは組織全体にわたってデータ管理者を育成しています。私たちはデータ管理者をトレーニングしています。これらのデータ管理者は、自分の管理および責任範囲内でデータをキュレートする責任を負います。人々にそれを実行する権限を与え、それがなぜ重要であるかを教育すると、従業員はそれを理解します。彼らは理解しています。彼らは正しいことをしたいと思っており、私たちはそれを奨励し、祝福します。私たちが正しいことを行うとき、クライアントや患者が私たちに託したデータを適切に管理している人々に感謝します。私たちがそれを祝うとき、人々は賛同します。だから、失敗しても怒らないのです。 データの観点から私たちが取り組んでいる問題の大部分は、悪意を持って何かをしようとしている人や、便宜を図って仕事をこなそうとしている人によるものではないと言えます。私たちは人々と協力して、最終的にそのデータを保護すべき方法と一致しない可能性のある行動の一部を教育し、修正するのを支援しています。しかし、彼らがそれを成し遂げたなら、私たちはそれを祝福し、それを成し遂げた人々に報酬を与えます。そうすることで、環境への信頼と私たちへの関与が本当に構築されます。なぜなら、私たちは来て、あなたが困っていると言ったり、あなたの仕事を難しくするようなことをしたりしないからです。私たちは、そうした勝利を祝し、人々がそれに励まされて、今後もデータを適切に扱い続けるでしょう。つまり、これは本当に、エンゲージメント、つまり、私たちが何をしているのか、それがどのように重要なのかを人々に理解してもらうこと、そしてその成功に報いること、そしてそこから勢いが生まれることなのです。

マイク・アンダーソン：そうですね、確かにそういう意味では、アメはムチよりずっと効果的です。人々に望んでいる行動を認識し、それを指摘することができれば、他の人々も同じように行動したいと思うようになります。つまり、あなたがそうするのは素晴らしいことです。それは素晴らしい方法ですね。それは人生のあらゆる面で当てはまります。私も自分の子供達にそうさせてみようと思います。 「やあ、それは本当に素晴らしい仕事だ。「その良い行動に対して私はあなたを褒めてあげます」と言うのと、「あなたはそんなことをするべきではなかった」と言うのとでは、決して同じようには機能しません。同じ心理学が私たちの人々にも当てはまります。ちょっと別の話題に移りたいと思います。面白いですね。いくつか聞いたことはありましたが、パンデミックの初め、私がシュナイダーエレクトリックにいたころ、当社の社長は「私の水晶玉は壊れていて、将来がどうなるのか本当にはわかりません。水晶玉は、将来何が起こるのかをはっきりと教えてくれません」と言っていました。では、今と同じように未来に目を向けるとしたら、将来に備えるために CIO やテクノロジーリーダーが今日投資すべき分野はどこだとお考えですか?

ハーヴェイ・ユーイング：すごいですね。それは本当に難しい問題だよ、マイク。数年後にこの番組を見直したとき、私はきっと自分自身を笑いながら「わあ、私は大間違いだった」と言うだろう。しかし、私は彼に全力を尽くすつもりです。それは行動を正常化できることに戻ると思います。ハーヴェイはハーヴェイがやるべきことを普通にやっているだろうか？彼は普段の仕事のやり方の範囲を超えて行動しているのでしょうか?それは本当に重要になると思います。また、AI と ML は非常に興味深い課題になると思います。また、今日の従来の技術スタックは、Quantum などの新興技術だけでなく、AI と ML の進歩によっても大きく推進されると思います。人間が、自分よりほんの少しだけ速く考える非常に複雑なアルゴリズムと戦っているとき、どうやってついていけばいいのでしょうか?したがって、量子耐性を備えた暗号化ツールが必要になります。AI と ML 戦略に合わせて進化できるツールが必要になります。悪意のある性質を意図した AI や ML に対抗するにはどうすればよいでしょうか?それは興味深いことになると思います。それで、もし私が未来に飛躍できるとしたら、「では、テクノロジーの悪意ある側面の進歩にどう対応すればいいのか？」を理解するでしょう。将来簡単に破られてしまうシステムをどのように保護すればよいでしょうか？」ですから、私が本当にツールと集中力を持ちたいと思うのは、そういった分野だと思います。

マイク・アンダーソン: 私もあなたの意見は正しいと思います。それは、私たちの脅威の状況においても進化し続ける部分になるということです。よく話題になるトピックの 1 つです。それは報道機関のどこでもです。 あなたと私はこのことについて以前にも話しましたが、ゼロ トラストという言葉が頻繁に出てきます。ゼロ トラストは、今後 3 年後、5 年後も話題に上り続けるものなのでしょうか?それは、企業がデータ保護戦略を構築する方法とどのように関連しているのでしょうか?ゼロ トラストというテーマ全体についてどうお考えですか。また、データ保護について考える際に、ゼロ トラストはどのように進化していくとお考えですか。

Harvey Ewing: ええ、それは必須だと思いますよ、Mike。ゼロ トラストは、ここ数分間ここで話してきた多くの理由から、将来必ず実行する必要があるものです。職務を遂行するためには、機密情報へのアクセスが依然として必要になりますが、適切な人物に権限を与えたかどうか、リモートワークやそのハイブリッドな部分で作業している場合、どうすれば適切な人物に権限を与えたかを確実に把握できるでしょうか。ゼロ トラストは素晴らしいですが、言うのは簡単ですが、実行するのは非常に困難です。そこに到達するには、ツールのエコシステムが必要になると思います。Netskope が取り組んでいる多くの保護対策は、本当に不可欠なものになると思います。長期的にゼロトラストを実現するには、本当に戦略が必要になると思います。どのようにすれば適切に承認できるかを理解するために、私たちは今後も方向転換を続けていく必要があります。それが、機密データや知的財産、あるいは認証を必要とするその他の種類のシステムへのアクセスを許可できる唯一の方法だと私は思います。将来的には境界が最終的に消滅するため、これ以外の方法はありません。

マイク・アンダーソン：素晴らしい洞察でした。お時間を割いていただき、本当に感謝しています。さて、このセグメントを締めくくるにあたって、いくつか簡単にお伝えしたいと思います。だから楽しくなりそうです。私は Brene Brown のポッドキャストの大ファンなので、この情報を彼女から受け取りました。それで、これを試してみます。 それで、あなたに簡単な質問があります。これまでに受けた最高のリーダーシップアドバイスは何ですか?

ハーヴェイ・ユーイング：まあ、大変だ。毎日試して追加しているものです。 私はほぼ毎日失敗していますが、それは感情を排除しています。できるだけ感情を抑え、現実的に難しい課題に取り組むようにしてください。

マイク・アンダーソン: 素晴らしいアドバイスですね。 あなたの最後の食事は何にしたいですか？

ハーヴェイ・ユーイング: まあ、大変ですね。見つけることができた中で一番大きなステーキと言わざるを得ないと思う。

マイク・アンダーソン: なあ、知ってる？まあ、いつかステーキを食べに行かないといけないね。今日は私たちのポッドキャストにご参加いただきありがとうございました。それは愛だろう。

ハーヴェイ・ユーイング: いいですね。

マイク・アンダーソン: 何日も肉の汗をかくことになるだろう。それは素晴らしいでしょう。

ハーヴェイ・ユーイング：それは素晴らしいですね。

マイク・アンダーソン：これはあなたを驚かせることになるでしょう。好きな曲と、その曲からあなたについて何が分かりますか?

ハーヴェイ・ユーイング: 2曲あると思います。1つはザ・ユース、ハンク・ウィリアムス・ジュニアの「Cowboy Can Survive」です。もう1つは、ティアーズ・フォー・フィアーズの「Everyone Wants to Rule the World」です。だから『カントリーボーイは生き残れる』は私の若さを象徴している。私は防弾なので何でも乗り越えられます。その後、サイバー、インフラストラクチャ、配信の分野に移行し、Everyone Wants to Rule the World に至りました。

マイク・アンダーソン：それは素晴らしいですね。よし。最後に読んだ本は何ですか?

ハーヴェイ・ユーイング: 『Servant Leadership』は本当に私が読んだ最後のビジネス書です。 その他のほとんどは、サイバー側でより急速に進化しているものに追いつくためのものにすぎません。つまり、私は大の読書家ではなく、急速に変化する情報の消費者なのです。ですから、企業側としては答えるのが難しい質問です。サーバントリーダーシップは私にとってとても重要です。

マイク・アンダーソン：それは素晴らしいですね。さて、最後の質問です。あなたが最も尊敬する人は誰ですか、またその理由は?

ハーヴェイ・ユーイング: その質問にはたくさんの答えがあります。今回は妻と一緒に行くことになります。彼女がいなかったら、今の私は存在しなかったでしょう。彼女は私の最大のサポーターであり、私を正しい道に導いてくれ、私が毎日行うすべてのことを可能にしてくれる存在です。彼女なしではできなかったのです。

マイク・アンダーソン：ああ、それは素晴らしいですね。さて、ハーヴェイさん、今日は私たちのリスナーと話す時間を割いていただき、本当に感謝しています。最後になりますが、最後にリスナーの皆さんに伝えたいことや感想などはありますか?

ハーヴェイ・ユーイング: 皆さん、ありがとうございました。マイク、お時間をいただきありがとうございました。セキュリティの観点から言えば、信念を持ち続けて進み続けることだと思います。なぜなら、テクノロジーとセキュリティの専門家たちがいなかったら、今日のビジネスは生まれないからです。ですから、彼らが行うことはすべて重要であり、私は彼らの努力に感謝しています。

マイク・アンダーソン：本当にありがとう。素晴らしいアドバイスです。ゲストとしてご参加いただきありがとうございます。

ハーヴェイ・ユーイング：ありがとう、マイク。感謝します。

マイク・アンダーソン: 本日は特別ゲストのハーヴェイ・ユーイング氏を迎えた Security Visionaries ポッドキャストをお聴きいただき、ありがとうございます。私はいつも、私たちの会話から得た重要なポイントをいくつか皆さんにお伝えしたいと思っています。今日ハーヴェイとの会話から私が得た 3 つのことは、まず第一にシフト レフトです。シフト レフトとは、アプリケーションの構築方法に関する設計プロセス、開発プロセスにセキュリティを実際に組み込むことです。セキュリティが、イノベーションを遅らせ、ユーザーや顧客に新しい機能を展開するペースを遅らせる最終段階の関門となることを私たちは望んでいないからです。次に、ボードをセキュリティ付きでオンラインにする必要があります。セキュリティがなぜ重要なのかを彼らに理解してもらう必要があり、彼らが理解できる方法でセキュリティを実施する必要があります。私たちは一般の人にもわかる言葉で話さなければなりません。せいぜい類推を使うのが常に良いのです。取締役会が理解できるような言葉で、つまりリスク許容度がどの程度なのかという観点から、セキュリティをどのように提示すればよいでしょうか。最後に重要なのは透明性です。正直に言って、すべてが重要です。私たちは従業員に対して、どのように働くことを期待しているかを透明に伝える必要があります。ハイブリッドですか？セキュリティの観点から、それらはどのように機能すると期待されますか?私たちは期待値を設定し、それを従業員に透明性を持って伝える必要があります。それで、ハーヴェイ・ユーイング氏との今日の会話から価値を得ていただければ幸いです。私もそうでした。皆さんもぜひご参加いただき、Security Visionaries ポッドキャストの次のエピソードをお聴きください。

アナウンサー 2: Security Visionaries ポッドキャストはNetskopeのチームによって運営されており、高速で使いやすいです。 Netskope プラットフォームは、人、デバイス、データがどこにいても最適化されたアクセスとゼロ トラスト セキュリティを提供します。お客様がリスクを軽減し、パフォーマンスを加速し、あらゆるクラウド、ウェブ、プライベート アプリケーション アクティビティに対する比類のない可視性を実現できるよう支援します。 Netskope顧客の危険な旅においてあらゆるリスクに対応できるよう支援する方法について詳しくは、NETSKOPE.com をご覧ください。

アナウンサー 3: セキュリティビジョナリーズをお聞きいただきありがとうございました。ぜひ、この番組を評価してレビューし、この番組を楽しんでくれそうな知り合いと共有してください。隔週で公開されるエピソードにご期待ください。次回もぜひご覧ください。