サイバーに精通した役員室の設立

プロデューサー[00:00:00] Security Visionaries へようこそ。これは Netskope が提供するポッドキャストで、サイバーセキュリティ、テクノロジー、信頼、ネットワーキングの世界の上級管理職との会話をお届けすることに重点を置いています。このエピソードでは、Netskope のクラウド戦略およびイノベーション責任者である Shamla Naidoo 氏と、AKnowledge Partners の社長兼 CEO である Homaira Akbari 氏との対談を特集します。司会は、カリフォルニア大学バークレー校情報学部教授であり、Breakwater Strategy のパートナーでもある Steve Weber 氏が務めます。最近出版された書籍『The Cyber Savvy Boardroom: Essentials Explained』の共著者であるシャムラ氏とホマイラ氏は、この本を執筆したきっかけ、この本がサイバーセキュリティの進化する傾向にどのように対応しているか、そして同業者からこの本についてどのようなフィードバックを受けたかについて語ります。以下は、Shamla、Homaira、Steve との会話です。

スティーブ・ウェーバー[00:00:45] Security Visionaries ポッドキャストへようこそ。私の名前はスティーブ・ウェーバーです。私はカリフォルニア大学バークレー校情報学部の教授であり、ワシントン DC に拠点を置くコンサルティング会社 Breakwater Strategy のパートナーです。このポッドキャストを司会させていただくことは私にとって光栄です。私は、技術面、ビジネス面、ポリシー面からサイバーセキュリティの世界に10年間携わってきました。そして、最も興味深く、挑戦的で、重要な動向の 1 つは、取締役会で交わされるサイバーセキュリティに関する会話です。取締役が監視とガバナンスに取り組む様子を見守る中で、非常に急速に変化する複雑なリスクが混在しています。その中に、Homaira Akbari と Shamla Naidoo が新しい、非常に説得力のある本、「The Cyber Savvy Boardroom」を出版しました。 これはさまざまな面で注目に値すると思いますが、私にとって特に注目すべきは、その読みやすさ、すぐに使える実用性、そして率直に言ってそのカバー範囲です。それでは最初から始めましょう。 ホマイラ、シャルマ。自己紹介をお願いします。この本を執筆することになったきっかけや、なぜ今なのか教えてください。

ホマイラ・アクバリ[00:01:58] 私はホマイラ・アクバリ、AKnowledge Partners の社長兼 CEO です。私は実験粒子物理学の科学者としてキャリアをスタートし、欧州原子核研究センター（CERN）で働きました。 私はビジネスキャリアの半分を、フランスの Thales や Microsoft、Liberty Media などの企業でテクノロジー事業を率いて過ごし、IoT 企業 Skybitz の CEO を務めました。私は現在、Banco Santander と Landstar System の取締役を務めています。現在、私は AKnowledge Partners で働いています。私は、セキュリティ、サイバーセキュリティ、IoT、エネルギー転換、人工知能の分野で、大手企業のプライベートエクイティに携わっています。

Steve Weber [00:02:43] シャムラ?

シャムラ ナイドゥ[00:02:44] 私はシャムラ ナイドゥです。私は長年テクノロジストとして働いています。私はテクノロジーの分野で 40 年を過ごし、そのうちの約半分の時間を大規模組織のサイバーセキュリティのリーダーとして過ごしました。私は3つの上場企業の取締役を務めており、イリノイ大学で新興技術法と国際プライバシー法を教えています。ですから、私は同じ会話に 3 つの異なる視点を持ち込んでいます。それは、実務家であること、取締役会の最新情報を受け取る側であること、そして取締役会の規制上の責任と義務を学んで理解することです。

スティーブ・ウェーバー[00:03:16] なぜ今なのかお話しいただけますか?よろしければ、2023 年から 2024 年にかけての本の緊急性とタイミングの重要性についてお話しください。

ホマイラ・アクバリ[00:03:27] 現実的に考えると、この本は1年前か数年前に書かれるべきでした。しかし、今緊急なのは、スティーブさんも皆さんも毎日目にしているように、この種のサイバー侵害のニュースがあり、こうしたサイバー侵害はどんどん大規模になり、拡大しているということです。それは金融サービスやヘルスケアだけに限ったことではなく、あらゆる業界、あらゆる顧客、あらゆる規模の事業体に広がり、非営利企業やファミリーオフィス、大規模な上場企業や非上場企業、そして小規模な企業にも平等に適用されることになります。 これは具体的にはランサムウェアによるもので、基本的には、企業のデータやその他の資産が侵害され、その後ハイジャック、つまり暗号化されて乗っ取られるタイプの攻撃です。そして、ハッカーたちはそれを公開するために金銭を要求します。そして今やそれは実際に刑事事件となってしまったのです。そして、あらゆる分野、あらゆる企業がその影響を受けます。そして第二に、緊急性がある理由は、多くの規制当局、特に米国ではFCCが情報開示規則を導入したばかりであり、これは主に上場企業を対象としているからです。しかし、ご存知のとおり、通常、民間企業もこれに従っており、提出書類と 8-K を通じて 4 営業日以内に重大な違反を報告することになっています。 そのため、突然、サイバーセキュリティは組織が抱える他のリスクと同等のものとなりました。さらに、SEC は企業に対し、サイバーリスクに対する戦略、ガバナンス、組織をどのようにサポートするかに関する組織を策定または詳細化し、そのすべての情報を毎年 10-K に組み込むことを義務付けています。 それで。取締役会は、これまで以上にサイバー、サイバーセキュリティリスクの監視、SECの要件やその他の規制要件が満たされていることの確認に関与しています。

スティーブ・ウェーバー[00:05:58] シャムラさん、あなたの観点から何かお答えいただけますか?じっくり腰を据えて時間をかけて本を書くのは初めてです。なぜ今なのか？何？あなたにとって緊急性はどこにありましたか？

シャムラ・ナイドゥー[00:06:10] 私が付け加えたいのは、今まさにビジネスが驚異的なスピードで成長しているということです。 そして、あらゆる企業のほとんどは、すでに何らかの形でデジタル企業になっていると私は主張します。しかし、それらはすべてデジタルフットプリントを増加させています。私たちはデータ経済の時代に生きているので、これまで以上に多くのデータを作成し、生産しています。私たちのテクノロジーはますます高速化しています。率直に言って、これらはすべてビジネスの成長に大きなチャンスをもたらすので良いことです。しかし同時に、デジタルフットプリントが大きくなると露出ポイントも増えるため、サイバーセキュリティのリスクに対しても相応の努力と相応のレベルの注意を払う必要があります。妥協の機会が増えます。盗難やその他の不正行為の機会が増えます。したがって、今は、戦略を監督する取締役が、良い点に焦点を当てるだけでなく、失敗する可能性のある点にも同等の注意を払うべき時であり、それが取締役会の任務であると私は考えています。しかし、私たちがこの本でやろうとしていること、そして今なぜそうしようとしているのかは、注目を集め、そのコミュニティに、私たちがここに目を向ける必要があり、今回は無視できないという認識を喚起することです。

スティーブ・ウェーバー[00:07:34] 興味深いですね。まるで、デジタルトランスフォーメーションという言葉が使われるのを見るたびに、サイバーセキュリティという言葉が同じ文か次の文にあることを確認する必要があるかのようです。 ホマイラさん、また戻って来ます。技術的な観点から最も知識の少ない取締役や最も知識のある取締役向けにも、多くの出版物があり、取締役向けのサイバーセキュリティ教育専用のコースもあります。明らかに、あなたはこの本をその環境に持ち込むことになります。これらすべての選択肢を念頭に置いて、この本をどのように構成したのですか?混雑していて、依然として提供するのが難しい教育的な視点に本当の価値を追加するという点で、あなたの観点から見て何が違っていましたか?

ホマイラ・アクバリ[00:08:22] シャムラと私は、実際に市場に何があるのかを研究しました。そして、実際にギャップを感じたことが、私たちの本を書くきっかけになったのです。そこで私たちが今目にしているのは、サイバーセキュリティの基本的な用語や基本的な概念について語った文章、書籍、パンフレットが主です。 そして、それは通常、取締役が尋ねることができる何百もの質問にまで及ぶことがあります。CISO として、私たちは、取締役の同僚の何人かが役員会議室でこれらの質問をしていることに気付き、リアルタイムで観察してきました。私たち CISO はそれに応じます。そして取締役は「ああ、わかりました、ありがとうございます」と言うのです。しかし、CSO や経営陣全体と、これらの回答の背景にあるものや、自分が何をしているのかを本当に理解するための、本当に有意義な議論や取り組みは行われていません。たとえば、会計や財務に関する質問をすると、頻繁に議論が起こりますが、サイバー セキュリティの分野では通常、議論は起こりません。なぜなら、取締役がサイバー セキュリティに関する基本的な知識を持っていないからです。そこで私たちは、取締役全員が必要とする基礎知識を、80 ページというかなり短い冊子にまとめることにしました。そして私たちの計画は、彼らがその知識、そのプラットフォームに基づいて構築し続けることです。そして、ご存知のとおり、サイバーセキュリティに関しては、継続的な学習が必要です。しかし、私たちが行ったことの非常にユニークな点は、グラフィック形式で理解でき、すべての取締役が非常に有能な人材である賢明な取締役がかなり迅速に理解できる一連のメンタルモデルを作成したことです。これが、一連のマップとして定義した方法です。本書には 4 つのマップがあり、最初のマップではビジネス資産グループを定義し、基本的に 10 個のカテゴリを作成しました。たとえば、データは 1 つのビジネス資産グループ、金融資産です。他の人は人間です。しかし、実際には約 10 個のビジネス資産グループがあり、それらを定義しています。これらを定義したら、次にホワイトハットとは何かを示すために進みました。私たちの資産は事業資産です。アクセスすることでどのような利益が得られるのか、その動機は何なのか、なぜアクセスするのか、どのようにアクセスするのか。そして、それが私たちが攻撃ベクトルと呼んでいるものに至りました。そこで、各ビジネス資産グループに、それらのグループに直接アクセスするか、組織の重要な資産にアクセスするための経路としてそれらを攻撃するための、現在存在する攻撃ベクトルをマッピングしました。これにより、たとえば、データは重要な資産として定義されますが、その 1 つにすぎません。 次にマップ 3 に進みます。マップ 3 も、先ほど示したのと同じ 10 個のビジネス資産グループに関するものです。どうやって彼らを守るんですか？そこで、私たちは、今日の優れた企業、つまり非常に優れた、あるいは望ましいセキュリティ体制を備えた優れた組織の防御戦略が、実際にこれらの特定の資産グループを防御してきた典型的な方法を示しました。次にマップ 4 に進みます。ここでは、保護の有効性を示すために、各ビジネス資産グループのメトリックを再度提供します。さらに、これは防御システムであるため、保護だけではなく、サイバーセキュリティには検出、対応、回復も含まれます。また、テストや検出と対応のメトリックを通じてセキュリティ体制の有効性を測定するメトリックも組み込んでいます。これはこれまでにないユニークな内容で、非常に包括的であると同時に、理解しやすく、習得しやすい内容だと思います。

スティーブ・ウェーバー[00:12:40] そうですね、読者の視点から言うと、他の読者も同じことを感じるのではないかと思います。これらのメンタルマップ構成は、優先順位や質問する質問の階層を定義するのに非常に役立ちます。ですから、私にとって、それは確かにとても新しく、とても重要で、役に立つことでした。 Sharma 戻って、具体的にクラウドについてお聞きしたいと思います。非常に多くのさまざまな規模の組織にとって、デジタル トランスフォーメーションは、さまざまな構成でのクラウドへの移行についての会話になっています。 それではクラウドについてお話しましょう。クラウド変革とクラウド移行について考えると、特にセキュリティに関して、取締役会にはどのような可能性や疑問が生じますか?

Shamla Naidoo [00:13:29] ご存知のとおり、クラウドの概念を本に追加したとき、それは重要なトピックでした。なぜなら、取締役会では、ほとんどの取締役がスピードの概念を理解しているからです。彼らは、私たちが本当に迅速に能力を構築する必要があることを理解しています。そして、クラウドに何かを置いたり、クラウドのサービスを利用したりできることを伝えると、基本的な機能を構築するためにチームに時間と労力を費やす必要がないため、はるかに早く実現できることがすぐにわかります。すでに誰かがそれをやりました。私たちはそれを買う、借りる、リースするなどして、その上に独自の機能を構築し、すぐに市場に投入できるようになります。 したがって、クラウドの利点を理解し、スピードが役員会議での会話の通貨となることを理解する必要があります。しかし私たちにとっての疑問は、どのように問題が起こる可能性があるかを彼らは知っておくべきかどうかでした。たとえば、クラウド環境をサポートするインフラストラクチャが物理的に制御できないことは明らかでしょうか?データセンターであれば実行しなかったであろう、実行すべきことは何でしょうか?私たちがこのテーマに焦点を当てた本当の理由は、クラウドにデータを置くことのリスクを理解する必要があるからです。そして、それは必ずしも触ったり感じたりできるものだけではありません。時には、誰を監督する必要があるのか、誰を監督する必要があるのか、パートナーや第三者にどのような期待を持つべきなのか、などといった問題もあります。しかし、繰り返しになりますが、こうした大きなメリットにはリスクが伴うため、企業は望む結果を得るために、それらのリスクを最も効率的に管理する方法を見つけ出す必要があります。

スティーブ・ウェーバー[00:15:20] 素晴らしいですね。シャムラさん、リスクについてのあなたの意見は非常に重要なので、それについてお話ししたいと思います。私が話をした多くの取締役は、本質的には監督環境におけるリスク管理者として自らを語ります。さて、ホマイラさん、あなたの見解と、この本がサイバーリスク選好の問題にどのように取り組んでいるかについてお聞きしたいと思います。リスクをゼロにすることはできません。サイバーセキュリティを向上させるために、組織内のサービス、製品、プロセスに費用をかけています。そして当然の疑問は、リスクを自分が望むレベルに調整することで、投資収益が得られ、価値が得られているかどうかをどうやって確認するかということです。そこで、このケースの意思決定者や取締役が、その状況においてリスクについて建設的に考える上で、この本がどのように役立つかについて話してください。

Homaira Akbari [00:16:12] 私たちは数多くの例とガイドラインを示しています。そしてそこから、先ほど申し上げたように、それらの投資が利益をもたらすかどうかを測定するのに役立つ一連の指標についても話します。しかし、まず最初に、私たちが話しているような例を挙げてみましょう。まず第一に、取締役会は、組織が必要な財務的および非財務的（私は非財務的であることを強調したいと思います）な投資を行って、予防可能な攻撃を予防し、予防不可能な攻撃から防御していることに安心感を持つ必要があります。したがって、当然ながら、金融機関に関しては、クラス最高のセキュリティ対策を講じているかどうかを検討することが 1 つの手段となります。また、クラス最高のサイバーセキュリティ防御者であり、最高の防御エコシステムを備えているのは、ティア 1 の金融機関または銀行です。スティーブ、典型的な一流銀行では、サイバーセキュリティに毎年 5000 億ドルから 10 億ドルを費やしており、これは通常、銀行の IT 予算の 5 % から 10 % に相当します。ご存知のとおり、中小企業が第一層です。彼らは銀行であり、本当に最高クラスです。しかし、中小企業では、おそらくそのような金額を費やす余裕がないと思われます。 IT予算の5～10％が適切な基準ですが、非常に小規模でIT予算がかなり少ない場合は、おそらく予算の15～20％ほどを費やす必要があるでしょう。 重要な点は、先ほどあなたがおっしゃったことです。防御について考えるとき、サイバー セキュリティのリスクから身を守る必要があると言われる場合、それには 4 つの側面があります。資産の保護、脅威の検出、攻撃への対応、そして攻撃からの回復が必要です。なぜなら、サイバー侵害は必ず起こるからです。したがって、セキュリティ体制が定義されており、セキュリティがそれを作成できることを確認する必要があります。したがって、クラス最高のさまざまなツールを導入できます。しかし、この説明を終えるにあたって、非財務的な投資について強調しなければ、私は惜しまれます。あれは何ですか？組織にとって、適切なサイバー文化を持つことが何よりも重要です。どういう意味ですか？それはどういう意味でしょうか?これは、CEO や経営陣から始まり、会社の全従業員にいたるまで、サイバーセキュリティに対する意識と取り組みを全社的に高めることです。そして、現在私たちが知っていることは、すべての違反の3分の2、おそらく80％近くが、下請け業者の組織内の人々による意図的または意図的でない何らかのエラーによるものであるということです。したがって、CEO が「私はこれを信じています。これに全力で取り組みます」と表明することで、サイバーセキュリティ文化が構築され、それが組織全体に浸透し、すべての幹部が責任を負うようになります。これは CISO だけではありません。サイバーセキュリティを担当する CISO として活躍してきたシャムラが、さらに詳しく説明します。

スティーブ・ウェーバー[00:19:51] シャムラさん、話を戻して今日の質問をしたいと思います。それは今まさに皆さんの頭の中にあることだと思います。皆さんがこの本を書き始めた頃は、大規模言語モデルはまだ研究室や大学の人々が遊んでいる研究用のおもちゃのようなものでした。 今から約8、9か月前になると思います。ChatGPT は突如として登場し、最も興味深く、魅力的で、重要な開発の 1 つとなり、AI という言葉はどこにでも存在するようになりました。 そこで、生成 AI ChatGPT のようなテクノロジーの台頭によって、このような本の必要性がどのように変化または加速されるのか、また、文化的な変化を含め、Homaira 氏が先ほどお話ししたような変化についてお話ししましょう。

シャムラ ナイドゥー[00:20:39] スティーブ、興味深いのは、10 年前にも私たちはクラウド テクノロジーに対して同じような反応を示していたということです。右。そして、最近ではクラウドになりました。今は人工知能、特に大規模言語モデルです。ご存知のとおり、1、2年後には量子コンピュータが登場するでしょう。そして重要なのは、イノベーションは止まらないということです。つまり、常に革新が起きるのです。私たちは常に新しいテクノロジー、新しいアプローチ、新しいアーキテクチャ、新しいツールに直面することになるでしょう。それがテクノロジーの本質なのです。ですから、ここでの考え方は、私たちはどんなことにも備える必要があるということだと思います。そして、特に取締役は変化のペースを理解し、基礎知識を迅速に構築する必要があることを認識しなければなりません。なぜなら、それが最も大きなギャップだからです。基礎がなければ、世の中にあるすばらしい情報はすべて届きますが、その基礎が強固ではないため、そこから実際に何かを構築することができません。この本は、彼らに、これから登場する新しいテクノロジーや新しい構造に備えるための基礎を与えるものだと思います。つまり、これが学習の始まりだということです。それは「学習」ではありません。それは他の知識が構築される基礎となります。ですから、将来のイノベーションに備えておくべきだと私は言いたいのです。この本では、イノベーションの将来について考えるための基本的な概念、アプローチ、モデルを紹介します。しかし、ご存知のとおり、大規模言語モデルは今、大きな話題になっています。 私たちがデータ経済の時代に生きているからこそ、これが話題になるのです。どこにでもデータがあります。 この技術が利用可能になるまで、ほとんどのデータは見えませんでした。そのため、このすべてのデータに埋め込まれたビジネス洞察を得ることができます。ですから、今こそ、データ、データ保護、データのリスク、エラーのリスク、省略のリスク、そして私たちがビジネスのために展開しようとしている大規模な言語モデルに組み込まれているすべての活動に焦点を当てる機会だと考えています。 しかし、繰り返しますが、それは基礎なのです。

ホマイラ・アクバリ[00:22:53] スティーブにそれをお願いできれば。非常に興味深いのは、シャムラ氏が述べたように、この本では新興技術について、特にエアとチャットについて触れていますが、IoTについても触れています。たとえばIoTに関しては、サイバーリスクの80%がこれまで経験した他のリスクと非常によく似ているという事実について述べています。しかし、それには特殊性があります。ChatGPT や AI の場合、誰もが知っているように、大きなリスクの 1 つは、モデルに間違ったデータを入力し、その結果、実際に偽のデータを作成することで不正確な結果が得られることです。 これがディープフェイクと呼ばれるものにつながります。データが非常に偽物になり、ある意味では信じられないほどになりますが、一部の人々はそれを信じ、ディープフェイクと呼ばれるものが作成されます。それで、シャムラさんが言ったことはまさにそれだと思います。つまり、私たちは新興テクノロジーについて、それをどう考えるべきかについて話しますが、その後でこれらのケースについて具体的な説明をします。ですから、私たちは取締役がその日の話題について、どのように取り組むべきかを考えるのを手助けしていると思います。

スティーブ・ウェーバー[00:24:10] 2024 年には新しいものが登場し、それがテストされることになるのは間違いないと思います。ホマイラさん、取締役会が自らを評価する方法、また評価すべき方法について少しお話ししましょう。多数の取締役会や公開企業などが存在することは明らかです。そして人々は自分自身に問いかけます。私たちはどうしているのだろうか？自分たちが何をやっているかどうやって知るのでしょうか?順調ですよ。「良い見た目とはどのようなものか」というのは、私たち全員がよく耳にする質問だと思います。では、取締役会が自社を評価したい場合、サイバーセキュリティの成熟度や優秀性を考慮するには、どのように進めればよいのでしょうか?そして、この本では、指標や比較についてどのように語られており、「他の人がやっていることと比べて良いとはどういうことか」という問いにどう答えているのでしょうか

Homaira Akbari [00:24:55] Stevie 第 7 章では、測定の指標について説明しています。これは、役員や CISO、エコシステム内の他の人たちから何百万回も尋ねられてきた質問だからです。第 7 章で私たちが採用したアプローチでは、基本的に 2 セットのメトリックを定義しました。1 つは運用レベルのメトリックであり、もう 1 つは取締役会レベルのメトリックです。運用レベルのメトリックは、それが言及しているエリアのマップに対応しており、基本的には各ビジネス資産グループについて、保護の有効性を測定する方法と、使用する検出および対応の方法論を示しています。 また、組織のセキュリティ態勢を測定またはテストする必要があることについても説明されており、これによって、成熟度を測る唯一の尺度ではなく、1 つの尺度が得られます。次に、取締役会レベルのメトリクスについて説明します。私たちの知る限り、取締役会レベルのメトリクスには実際には 5 つのコンポーネントがあり、そのうち 2 つは運用上のものであるという、シャムラと私が考案した概念を実際に作成した人は誰もいません。したがって、入力事項の 1 つは、サイバー セキュリティ プログラム、その有効性、規制遵守、そしてサイバー セキュリティのリスク プロファイルです。これは、先ほど述べた運用指標から得られます。しかし、さらに 3 つの評価も追加されます。1つは、サイバーセキュリティ文化とは何ですか?2番目は、投資額と保険の補償範囲はどの程度ですか?最後に、サイバー侵害の影響を管理するための組織の準備状況はどの程度でしょうか?そして、私たちは、どの組織も私たちが述べたとおりにはならないと考えていますが、一度そうすることで、組織の成熟度を判断できるようになると信じています。 そして私たちにとって、これが鍵なのです。

スティーブ・ウェーバー[00:27:04] 素晴らしいですね。話を戻しましょう、シャムラさん。あなたと Homaira は、毎日サイバーセキュリティの世界に生きています。あなたはそのパズルの非常に多くの異なる側面を経験してきましたが、本の最後で、人々がその日の終わりに本当に持ち帰る必要のある最も重要な反省、考え、そして教訓は何であるかについて、実際に理解することが非常に重要だと感じました。なぜなら、優先順位付けはこの会話において非常に重要な部分だからです。それでは、本の終わりに込めた思いや感想、読者が本から受け取る最も重要なものについて少しお話しください。

シャムラ・ナイドゥー[00:27:48] では、テクノロジーのメリットを測定する方法は誰もが知っている、というところから始めたいと思います。 それは簡単な部分です。私たちが苦労しているのは、問題を測定し、計算し、問題が起こったときに実際にそれに立ち向かうことであり、取締役会がその責任を負っています。ですから、彼らを助けるためには、テクノロジーには多くの利点があるということを考える必要があると思います。どうして間違いが起きるのでしょうか?重要なのは、サイバーセキュリティ企業でサイバーセキュリティ製品やサービスを販売していない限り、収益はサイバーセキュリティの実践からは生まれないということです。収益はビジネス慣行から生まれますが、セキュリティ慣行、テクノロジー、ツール、制御などがそれらのビジネスを可能にします。したがって、当社の事業の利益と当社の事業から生み出される収益を計算する場合、それをセキュリティのコストで相殺する必要があります。なぜなら、セキュリティは単なるビジネス促進要因ではなく、生み出される収益への投資だからです。そして、投資を取り除いたら、純利益はいくらになったかがわかります。つまり、それは確かに事業を行うためのコストですが、収益を得るためのコストなのです。ですから、それは重要な考慮事項です。覚えておくべきもう 1 つの点は、このトピックに関するリーダーシップは、このトピックに関するテクノロジーやツールと互換性がないということです。したがって、リスク選択に関して取締役会を支援できる優秀で強力なリーダーが必要です。企業が直面する最大のリスクをどのようにして選び出し、それを阻止するのでしょうか?そして、どのようにして、適切な次のステップを拾い上げ、リスクを負って削減し続けるのでしょうか?なぜなら、ツールとテクノロジーだけに焦点を当てると、適切な優先順位で適切なことに焦点を当てているかどうかをどうやって知ることができるでしょうか?そして、ご存じのとおり、私たちは対処しなければならない問題が非常に多く、それらすべてに、同じレベルの厳しさ、同じレベルの投資で同時に対処することは不可能です。したがって、これらのリスクを慎重に選択することは、CSO とセキュリティ リーダーが取締役会を支援する必要があると私は考えています。そしてまた、良好で豊かでオープンで透明性のある対話をすることが本当に重要だとも言いたいのです。したがって、取締役会は CISO と対話する必要があります。ステータスに関するものだけでなく、ステータスの更新だけではありません。本当にすべきことは、私たちが何をしていないのか、何に焦点を当てていないのか、何に十分な時間を費やしていないのかというリスクの議論です。なぜなら、すべてをこなすには時間が足りないことは誰もが知っているからです。したがって、その議論には透明性が求められます。そして、この問題に関して適切なリーダーは CISO だけではないはずです。あらゆるビジネス上の決定、あらゆるビジネス分野において、彼らは利益を上げる方法を知っていますが、サイバーが彼らにどのような影響を与えるか、それが彼らにどのような力を与えるか、それが彼らにどのような制約を与えるか、そして彼らにどのような害を及ぼすか、または損害を与えるかを知り、理解することも彼らに課されるべきです。 したがって、サイバーセキュリティはビジネスではないため、ビジネスリーダーは CSO と同程度に結果に対して責任を負い始める必要があります。それはあなたが行う他のすべてのことのほんの一部にすぎません。したがって、サイバー IQ、サイバー文化はすべて、非常に重要な考慮事項であると私は考えます。そして最後に、私が言ったように、何が失敗して何が成功したかを把握する必要があるのは CSO だけではありません。

スティーブ・ウェーバー[00:31:35] 興味深いですね。ホマイラさん、最も重要かつ最も強力な教訓について何か追加のご意見はありますか。それは、サイバーセキュリティのリスク プロファイルとそれがビジネスに及ぼす影響について、取締役会レベルで質の高い戦略的会話が行われたことです。本を読み終えた人が心に留め、心に留めておくべき最も重要なポイントは何でしょうか?

ホマイラ・アクバリ[00:31:53] スティーブ、ポイントは数十個あり、私たちはそれを指摘しています。しかし、はい、私には 1 つの教訓があります。それは、この質問が何度も私に尋ねられ、また Shamla からも尋ねられたことに基づいています。どうすれば効率的かつ安全になれるのでしょうか?100% 安全を確保するにはどうすればよいでしょうか?100% 安全になるよう十分な費用をかけたいです。フォーチュン 50 社の幹部から、なぜ政府は私たちを 100% 安全にしてくれないのかと尋ねられたことがあります。できるよ、と彼らは言った。しかし、現実には 100% 安全ということはあり得ません。なぜ？その理由は3つあります。第一の理由は、基本的にすべての企業、政府、そして消費者を含む世界中のあらゆる団体が、セキュリティを考慮して設計されていない時代遅れのテクノロジーと IT システムに依存していることです。そして、それらは脆弱性を生み出します。そして問題は、それらの脆弱性の多くが今日では明らかではないということです。2 番目の理由は、私たちが毎日新しいテクノロジー、新しいイノベーションを採用しており、その中にはセキュリティが設計されているものさえあるということです。 しかし、古いテクノロジーと統合するとすぐに、それらも脆弱になったり、古いテクノロジーにさえ脆弱性が生じたりします。つまり、攻撃対象領域が拡大し、既存の攻撃対象領域に影響を及ぼすことで、多数の脆弱性が生じますが、その一部は私たちにも知られています。また、いわゆるゼロデイ脆弱性のように、知られていないものもあります。そして最後に、これは敵対者がいるセクターの 1 つです。非常に高額の報酬を得ている人々や、非常に裕福な人々、そして実際に脆弱性を探し、それを悪用する組織、犯罪組織が存在します。そして、ご存じのとおり、なぜ私たちに尋ねられたのでしょうか。なぜ彼らはこれを私たちの前に渡すのでしょうか。私が言及した最初の 2 つの理由としては、私たちが気づいていないだけであり、これらの人々は実際に継続的に作業を行っており、これらの脆弱性を探す賢明な人々だからです。結果として、100% 安全になることは決してありません。そのため、検出、優れた脅威インテリジェンスを備え、他の企業や他の団体と連携して政府と連携し、調整し、協力することが、あらゆるデバイスから脅威インテリジェンスを備え、検出、対応、回復できるようにするために非常に重要です。

スティーブ・ウェーバー[00:34:34] それは本当に重要です。レッスンで覚えているのは、先ほど話していた「見た目の良さとはどのようなものか？」という話に戻ることです。完璧な見た目とはどのようなものかという質問をするべきではありません。なぜなら、完璧なものは存在しないし、良い見た目とはどのようなものかという質問自体が正しい質問ではないからです。今おっしゃったことから、おそらく正しい質問は、「自分たちが競合他社よりも早く、より良くなっていると、どうやってわかるのか」ということだと思います。

シャムラ・ナイドゥー[00:34:54] スティーブ、私もそれに付け加えて、それは非常に素晴らしい指摘です。なぜなら、すべてのリスクがすべての企業で同じではないからです。右。ですから、それは適切なことであり、あなたの食欲の範囲内のことです。取締役の皆さんに申し上げたいことの一つは、ただ自分の言いたいことを言うことです。何が重要だと思うかを明確にしてください。それがなければ、CISO は、あなたが望んでいると思うもの、必要だと思うものを提供するために、一生懸命努力します。 したがって、現時点でこの会社にとって、この取締役会にとって何が重要であるかを明確にしてください。何が重要ですか?何を知りたいですか?私自身も実務家ですが、CISO は皆さんが必要なものを提供してくれると断言できます。しかし、推測している場合は、間違える可能性が高くなります。

スティーブ・ウェーバー[00:35:43] 素晴らしいですね。そうですね、私はこの本を読む機会に恵まれましたが、リスナーの多くはおそらく読んでいないでしょう。それでは最後に、この本をどこで入手できるか説明していただけますか?この本はどこで入手できますか?いつ利用可能になりますか？

Homaira Akbari [00:35:58] 9 月 5 日から Netskope URL で利用可能になります。

スティーブ・ウェーバー[00:36:05] シャムラさん、最後に今日の視聴者に伝えたいことはありますか？

Shamla Naidoo [00:36:08] あなたの掲示板が何を読んでいるか読んでみてください。 それで、この本を読んで、会議室で彼らの前に立ったときにどのような質問を予想すべきかを知っておいてください。

スティーブ・ウェーバー[00:36:16] 今日はこのポッドキャストに出演していただき、本当にありがとうございました。しかし、この本を書いてくださって、さらに感謝しています。多くの監督にとって素晴らしいリソースになると思います。この本が広く読まれ、配布され、最も大切に読んで使う人たちに楽しんでもらえることを願っています。

プロデューサー[00:36:32] Security Visionaries をお聞きいただきありがとうございました。ぜひ、この番組を評価してレビューし、楽しんでくれそうな人と共有してください。隔週で公開されるエピソードにご期待ください。次回もぜひご覧ください。