ネットスコープは2024年Gartner®社のセキュリティ・サービス・エッジ(SSE)のマジック・クアドラントでリーダーの1社として評価されました。 レポートを読む

閉める
閉める
  • Netskopeが選ばれる理由 シェブロン

    ネットワークとセキュリティの連携方法を変える。

  • 導入企業 シェブロン

    Netskope は世界中で 3,000 を超える顧客にサービスを提供しており、その中にはフォーチュン 100 企業の 25 以上が含まれます

  • パートナー シェブロン

    私たちはセキュリティリーダーと提携して、クラウドへの旅を保護します。

実行能力とビジョンの完全性において
最上位の評価

ネットスコープが2024年Gartner®社のセキュリティ・サービス・エッジ(SSE)のマジック・クアドラントで3年連続リーダーの1社として評価された理由をご覧ください。

レポートを読む
Netskope、2024年ガートナー®マジッククアドラント™セキュリティサービスエッジ部門でリーダーに選出 メニューのグラフィック
私たちは、お客様が何にでも備えることができるように支援します

お客様について
窓の外を見て微笑むメガネをかけた女性
Netskopeのパートナー中心の市場開拓戦略により、パートナーは企業のセキュリティを変革しながら、成長と収益性を最大化できます。

Netskope パートナーについて学ぶ
色々な若い専門家が集う笑顔のグループ
明日に向けたネットワーク

サポートするアプリケーションとユーザー向けに設計された、より高速で、より安全で、回復力のあるネットワークへの道を計画します。

ホワイトペーパーはこちら
明日に向けたネットワーク
Netskope One プラットフォームの紹介

Netskope One は、SASE とゼロトラスト変革を可能にする統合型セキュリティおよびネットワーキング サービスを提供するクラウドネイティブ プラットフォームです。

Netskope One について学ぶ
青い照明の抽象画
セキュアアクセスサービスエッジ(SASE)アーキテクチャの採用

Netskope NewEdgeは、世界最大かつ最高のパフォーマンスのセキュリティプライベートクラウドであり、比類のないサービスカバレッジ、パフォーマンス、および回復力を顧客に提供します。

NewEdgeの詳細
NewEdge
Netskope Cloud Exchange

Netskope Cloud Exchange (CE) は、セキュリティポスチャに対する投資を活用するための強力な統合ツールを提供します。

Cloud Exchangeについて学ぶ
Netskopeの動画
  • セキュリティサービスエッジ製品 シェブロン

    高度なクラウド対応の脅威から保護し、あらゆるベクトルにわたってデータを保護

  • Borderless SD-WAN シェブロン

    すべてのリモートユーザー、デバイス、サイト、クラウドへ安全で高性能なアクセスを提供

  • Secure Access Service Edge シェブロン

    Netskope One SASE は、クラウドネイティブで完全に統合された単一ベンダーの SASE ソリューションを提供します。

未来のプラットフォームはNetskopeです

インテリジェントセキュリティサービスエッジ(SSE)、クラウドアクセスセキュリティブローカー(CASB)、クラウドファイアウォール、セキュアウェブゲートウェイ(SWG)、およびZTNAのプライベートアクセスは、単一のソリューションにネイティブに組み込まれており、セキュアアクセスサービスエッジ(SASE)アーキテクチャへの道のりですべてのビジネスを支援します。

製品概要はこちら
Netskopeの動画
Next Gen SASE Branch はハイブリッドである:接続、保護、自動化

Netskope Next Gen SASE Branchは、コンテキストアウェアSASEファブリック、ゼロトラストハイブリッドセキュリティ、 SkopeAI-Powered Cloud Orchestrator を統合クラウド製品に統合し、ボーダレスエンタープライズ向けに完全に最新化されたブランチエクスペリエンスを実現します。

Next Gen SASE Branchの詳細はこちら
オープンスペースオフィスの様子
SASEアーキテクチャの設計 For Dummies

SASE設計について網羅した電子書籍を無償でダウンロード

電子書籍を入手する
最小の遅延と高い信頼性を備えた、市場をリードするクラウドセキュリティサービスに移行します。

NewEdgeの詳細
山腹のスイッチバックを通るライトアップされた高速道路
アプリケーションのアクセス制御、リアルタイムのユーザーコーチング、クラス最高のデータ保護により、生成型AIアプリケーションを安全に使用できるようにします。

生成AIの使用を保護する方法を学ぶ
ChatGPTと生成AIを安全に有効にする
SSEおよびSASE展開のためのゼロトラストソリューション

ゼロトラストについて学ぶ
大海原を走るボート
NetskopeがFedRAMPの高認証を達成

政府機関の変革を加速するには、Netskope GovCloud を選択してください。

Netskope GovCloud について学ぶ
Netskope GovCloud
  • リソース シェブロン

    クラウドへ安全に移行する上でNetskopeがどのように役立つかについての詳細は、以下をご覧ください。

  • ブログ シェブロン

    Netskope がセキュリティ サービス エッジ (SSE) を通じてセキュリティとネットワークの変革を実現する方法を学びます

  • イベント&ワークショップ シェブロン

    最新のセキュリティトレンドを先取りし、仲間とつながりましょう。

  • 定義されたセキュリティ シェブロン

    サイバーセキュリティ百科事典、知っておくべきすべてのこと

「セキュリティビジョナリー」ポッドキャスト

ゼロトラストと国家安全保障の交差点
On the latest episode of Security Visionaries, co-hosts Max Havey and Emily Wearmouth sit down for a conversation with guest Chase Cunningham (AKA Dr. Zero Trust) about zero trust and national security.

ポッドキャストを再生する
ゼロトラストと国家安全保障の交差点
最新のブログ

Netskope がセキュリティ サービス エッジ (SSE) 機能を通じてゼロ トラストと SASE の導入をどのように実現できるかをご覧ください。

ブログを読む
日の出と曇り空
SASE Week 2023年:SASEの旅が今始まります!

第4回 SASE Weekのリプレイセッション。

セッションの詳細
SASE Week 2023
SASEとは

クラウド優位の今日のビジネスモデルにおいて、ネットワークとセキュリティツールの今後の融合について学びます。

SASEについて学ぶ
  • 会社概要 シェブロン

    クラウド、データ、ネットワークセキュリティの課題に対して一歩先を行くサポートを提供

  • リーダーシップ シェブロン

    Netskopeの経営陣はお客様を成功に導くために全力を尽くしています。

  • カスタマーソリューション シェブロン

    お客様の成功のために、Netskopeはあらゆるステップを支援いたします。

  • トレーニングと認定 シェブロン

    Netskopeのトレーニングで、クラウドセキュリティのスキルを学ぶ

データセキュリティによる持続可能性のサポート

Netskope は、持続可能性における民間企業の役割についての認識を高めることを目的としたイニシアチブである「ビジョン2045」に参加できることを誇りに思っています。

詳しくはこちら
データセキュリティによる持続可能性のサポート
思想家、建築家、夢想家、革新者。 一緒に、私たちはお客様がデータと人々を保護するのを助けるために最先端のクラウドセキュリティソリューションを提供します。

当社のチーム紹介
雪山を登るハイカーのグループ
Netskopeの有能で経験豊富なプロフェッショナルサービスチームは、実装を成功させるための規範的なアプローチを提供します。

プロフェッショナルサービスについて学ぶ
Netskopeプロフェッショナルサービス
Netskopeトレーニングで、デジタルトランスフォーメーションの旅を保護し、クラウド、ウェブ、プライベートアプリケーションを最大限に活用してください。

トレーニングと認定資格について学ぶ
働く若い専門家のグループ
サムネイルを投稿

このエピソードでは、グラクソ・スミスクラインのSVP兼最高情報セキュリティ責任者であるMatthew McCormack氏へのインタビューを特集しています。 GSKは世界最大の製薬および消費者向けヘルスケア企業の1つであり、時価総額は1150億ドルを超えています。 マシューは、10万人の従業員と100を超える製造施設からなるGSKのグローバルネットワークのサイバーセキュリティとリスク管理を担当しています。

このエピソードでは、セキュリティが本質的に協調的な分野である理由、絶えず変化する業界の性質に追いつく方法、そして私たち全員が将来のサイバーリーダーのパイプラインの作成を支援する方法について説明します。

将来のサイバーリーダーのパイプラインの作成をどのように支援しますか...どうすれば何百万人もの人々をこの分野に参加させることができますか?
あなたが何かを見て、「なぜそのように見えるのか理解できないが、理由を理解して行くつもりだ」と言う人なら、あなたはこの分野に合っています。

—Matthew McCormack、グラクソ・スミスクラインのSVP兼最高情報セキュリティ責任者

 

タイムスタンプ

*(0:50) - マシューの最初のセキュリティの仕事
*(3:30) - GSKにおけるマシューの役割
*(5:20) - 変化するセキュリティ業界に Matthew が対応する方法
*(6:45) - 連邦安全保障から商業安全保障への移行はどのようなものでしたか
*(11:17) - 今日のセキュリティで最も急速に増大しているリスク
*(22:00) - フレームワークの現状を俯瞰
*(27:52) - セキュリティリーダーが人材ギャップに対してできること
*(33:10) - セキュリティにおけるマシューのお気に入りのドメイン
*(35:52) - セグメント: クイックヒット

 

以下プラットフォームからも聴くことができます:

グリーンプラス

本エピソードの出演者

マシュー・マコーマック
グラクソ・スミスクラインのSVP兼最高情報セキュリティ責任者

シェブロン

マシュー・マコーマック

Matthew McCormackは、世界最大の製薬および消費者向けヘルスケア企業の1つであるGlaxoSmithKlineのSVP兼最高情報セキュリティ責任者です。 彼は、10万人の従業員と100を超える製造施設からなるGSKのグローバルネットワークのサイバーセキュリティとリスク管理を担当しています。 業界で20年のベテランであり、以前はEMCのCISOおよびRSAのグローバルCTOを務めていました。 マシューは、連邦政府と米国海軍でのキャリアの後、民間部門に加わりました。 在職中は、国防情報局の最高情報セキュリティ責任者、内国歳入庁(IRS)のサイバーセキュリティ運用担当ディレクター、IRSのセキュリティエンジニアリングディレクターおよびチーフセキュリティアーキテクトを務めました。 マシューは米国海軍の暗号士官であり、イラクとアフガニスタンの両方の戦闘ベテランです。 レンセラー工科大学(RPI)でインダストリアルエンジニアリングの学士号と修士号を、ウェストフロリダ大学で金融のMBAを取得しています。 彼は現在、認定情報システムセキュリティプロフェッショナル(CISSP)、認定セキュアソフトウェアライフサイクルプロフェッショナル(CSSLP)、ITIL V3.0、およびCMMI認定を取得しています。

ジェイソン・クラーク
Netskopeの最高戦略およびマーケティング責任者

シェブロン

ジェイソン・クラーク

ジェイソンは、成功した戦略的セキュリティプログラムの構築と実行の数十年の経験を Netskopeにもたらします。

以前は、Optivの最高セキュリティおよび戦略責任者を務め、CXOエグゼクティブがセキュリティ戦略を強化し、それらの戦略とビジネスとの連携を加速するのに役立つ包括的なソリューションスイートを開発しました。 Optivに入社する前は、Websenseで指導的役割を果たし、最高情報セキュリティ責任者(CISO)向けの重要なテクノロジーのプロバイダーへの会社の変革の原動力でした。 エマソンエレクトリックのCISOおよびインフラストラクチャ担当バイスプレジデントを務めていたクラークは、1,500の拠点で14万人の従業員を対象としたセキュリティプログラムを開発および実行し、成功裏に実行することにより、会社のリスクを大幅に軽減しました。 以前はニューヨークタイムズのCISOを務め、EverBank、BB&T、および米陸軍でセキュリティのリーダーシップと技術的役割を果たしてきました。

マシュー・マコーマック

Matthew McCormackは、世界最大の製薬および消費者向けヘルスケア企業の1つであるGlaxoSmithKlineのSVP兼最高情報セキュリティ責任者です。 彼は、10万人の従業員と100を超える製造施設からなるGSKのグローバルネットワークのサイバーセキュリティとリスク管理を担当しています。 業界で20年のベテランであり、以前はEMCのCISOおよびRSAのグローバルCTOを務めていました。 マシューは、連邦政府と米国海軍でのキャリアの後、民間部門に加わりました。 在職中は、国防情報局の最高情報セキュリティ責任者、内国歳入庁(IRS)のサイバーセキュリティ運用担当ディレクター、IRSのセキュリティエンジニアリングディレクターおよびチーフセキュリティアーキテクトを務めました。 マシューは米国海軍の暗号士官であり、イラクとアフガニスタンの両方の戦闘ベテランです。 レンセラー工科大学(RPI)でインダストリアルエンジニアリングの学士号と修士号を、ウェストフロリダ大学で金融のMBAを取得しています。 彼は現在、認定情報システムセキュリティプロフェッショナル(CISSP)、認定セキュアソフトウェアライフサイクルプロフェッショナル(CSSLP)、ITIL V3.0、およびCMMI認定を取得しています。

ジェイソン・クラーク

ジェイソンは、成功した戦略的セキュリティプログラムの構築と実行の数十年の経験を Netskopeにもたらします。

以前は、Optivの最高セキュリティおよび戦略責任者を務め、CXOエグゼクティブがセキュリティ戦略を強化し、それらの戦略とビジネスとの連携を加速するのに役立つ包括的なソリューションスイートを開発しました。 Optivに入社する前は、Websenseで指導的役割を果たし、最高情報セキュリティ責任者(CISO)向けの重要なテクノロジーのプロバイダーへの会社の変革の原動力でした。 エマソンエレクトリックのCISOおよびインフラストラクチャ担当バイスプレジデントを務めていたクラークは、1,500の拠点で14万人の従業員を対象としたセキュリティプログラムを開発および実行し、成功裏に実行することにより、会社のリスクを大幅に軽減しました。 以前はニューヨークタイムズのCISOを務め、EverBank、BB&T、および米陸軍でセキュリティのリーダーシップと技術的役割を果たしてきました。

エピソードのトランスクリプト

トランスクリプトをオープン

マシュー・マコーマック:将来のサイバーリーダーのパイプラインだけでなく、そのピラミッドの作成をどのように支援しますか? さらに何百万人もの人々をこの分野に参加させ、これを行うためにコムサイエンスやエンジニアである必要はないことを彼らに納得させるにはどうすればよいですか? あなたがしなければならないのは好奇心旺盛ですよね? 私が欲しいのは、何かを見て「まあ、それは面白い」と言う人が欲しいです。 それは意味がありません。」 「理由を理解させてください」、それは良い警備員になる人です。 あなたが何かを見て、「なぜそのように見えるのか理解できないが、理由を理解しに行くつもりだ」と言う人なら、あなたはこの分野に合っています。

ナレーター: こんにちは、NetskopeのCISOであるジェイソンクラークが主催するセキュリティビジョナリーへようこそ。 本日のゲスト、GSKのシニアバイスプレジデント兼最高情報セキュリティ責任者であるマシューマコーマックからお話を伺いました。 悪者が善人を上回っている世界ではどうなりますか? あなたが現代のCISOなら、この考えはあなたを夜更かしさせます。 サイバー犯罪者は驚異的な速度で増加しており、CISOは彼らが一歩先を行くのに役立つチームを構築するために競争しています。 戦いの重要な部分は次世代のセキュリティリーダーを育成することですが、業界として、私たちはどのようにして明日のサイバーセキュリティ部隊の仲間入りをするのでしょうか? 幸いなことに、それは今日のゲストが私たちが理解するのを手伝ってくれるものです。 そこで、マシューズのゲームプランに飛び込む前に、スポンサーから簡単に説明します。

広告ロール:セキュリティビジョナリーポッドキャストは、Netskopeのチームによって提供されています。 Netskopeは、今日のビジネスのスピードで高速でデータ中心のクラウドスマートユーザーエクスペリエンスを提供するために必要なすべてのものを提供する生意気なリーダーです。 詳しくは Netskope.comをご覧ください。

ナレーター: 前置きは早速、GSKのシニアバイスプレジデント兼最高情報セキュリティ責任者であるマシューマコーミックとホストのジェイソンクラークによるエピソード4「セキュリティビジョナリー」をお楽しみください。

ジェイソン・クラーク: セキュリティの先見の明のある人へようこそ。 私はあなたのホストです ジェイソン・クラーク、NetskopeのCMO兼最高戦略責任者兼最高セキュリティ責任者。 今日は、友人であり特別ゲストでもあるマット・マコーマックが参加します。 マット、お元気ですか?

マシュー・マコーマック:いいですね。 ジェイソン、お元気ですか?

ジェイソン・クラーク:私はとても素晴らしいです。 ここであなたと一緒にこのポッドキャストシリーズを始めるのは本当に良いことです。 あなたは私たちの2番目のゲストです。 私は2週間前にエミリー・ヒースと一緒にいましたが、それは本当に、本当にうまくいきました。 それで、私たちが始めたとき、あなたの最初の仕事の不安は何でしたか?

マシュー・マコーマック:それで、私の最初の仕事の不安は、実際には皮肉なことに、海軍でしたよね? 私が大学3年生の大学でROTCだったとき、彼らは私が海軍に入隊する前に私に身体検査を行い、私が赤緑色の色覚異常であると私に言いました。 そして、あなたがボートに精通しているなら、赤と緑は海で重要な色です。 船がどちらの方向に向かっているかがわかります。 それで、彼らは基本的に私が飛行機を飛ばしたり船を運転したりすることはできないと私に言ったので、彼らは私を暗号学者に変え、90年代に暗号学は初期のネットワークセキュリティに変わりました。 海軍のせいで、そして私が色覚異常だったので、本当にこれに巻き込まれました。

ジェイソン・クラーク:それは興味深い話ですよね? 私の心は、色覚異常のためではなく、軍隊に加わったときと似ていたと思いますよね? しかし、私はパイロットになりたいと思って飛行機を操縦していました、そして私が飛んでいる間、私の周りのパイロットはプロの航空会社のパイロットでした、私は海軍を去りました、そして彼らは言いました、「聞いてください、あなたはプロの航空会社のパイロットになりたくない。 基本的にはバスを運転しているだけです。 別のキャリアを選んでください。」 そして、私は「ああ、すごい、大丈夫。 あなたは私の夢を打ち砕いただけです。」

マシュー・マコーマック:それは良いアドバイスです。

ジェイソン・クラーク:それは素晴らしいアドバイスであり、私はセキュリティに捨てました。 そうでした。 私はアナリストでしたよね? それで私の人生は変わりました。

マシュー・マコーマック:世界は変わりましたよね? 今、人々はもともとセキュリティに取り組んでいますよね? セキュリティの独創主義者、私たち全員が何年も前にそれに入った場所。

ジェイソン・クラーク:良かったです。 マット、私は言わなければならないと思います、私たちはおそらく15年お互いを知っていますよね? 私たちはこの業界の基盤になるのを助けたと思いますよね? 私たちは一緒にゼロからこのことを始めました。 見るのはかなりクールでした。

マシュー・マコーマック: 私は実際に私の最初のCISOの役割を知っています、私は国防情報局の組織で最初のCISOでした。 以前はありませんでした。 私たちが文字通りそれらの最初の組織のいくつかを作成しているという考えは、ほぼ20年前に聞こえるのと同じくらい怖いですが、そうです。 私たちの最初のやり取りを覚えています、あなたは当時WebsenseとBlue Coatsにいました、そして私はIRSにいました、そしてそれから誰もが彼らの最初のウェブプロキシとウェブフィルタリングをしていました。 20 +年前、ネットワークセキュリティは単なるパケットフィルタリングファイアウォールでしたよね? そして、それだけでした。 そして、VPNとすべてのWebコンテンツフィルタリングが登場し、今日ここにいます。

ジェイソン・クラーク:正直なところ、私たちはそれを理解していましたよね? 私たちはただ発明しなければならなかったので、「さて、これがうまくいくかどうか見てみましょう」と言いましたよね? これは、今日でも私たちがやらなければならない多くの方法に貢献していると思いますよね? GSKでのあなたの役割について少し教えてください。

マシュー・マコーマック: 最高情報セキュリティ責任者として、私はCISOの伝統的な役割をすべて持っていますよね? サイバーセキュリティネットワーク防御であろうとなかろうと、私はGRC機能、つまりグローバルに規制された医薬品であったガバナンス、リスク、コンプライアンスも持っています。 かなりの量の規制があります。 そして、あなたがグローバルであるときに興味深い部分の1つは、それが米国の規制だけではないということですよね? これは、製造および販売するすべての企業またはすべての国の規制です。 そして、私たちはかなりの数の国にいます。 では、ガバナンス、リスク、コンプライアンスを見ると、その重要性はそうですか? 米国のテクノロジー企業での以前の役割とは対照的に、実際には限られた数の国についてのみ一般的に懸念しています。

マシュー・マコーマック:ほぼすべての国で製造および販売している医薬品と一緒にいると、これらすべての異なるコンプライアンスルールを認識し、注意を払う必要がありますよね? 実際、さまざまな国が市民のプライバシーにアプローチする方法と、データがどのように保持および維持されているかを確認できるため、非常に目を見張るものがあります。 そして、多種多様なものがありますよね? 私はアメリカ人として、私たちは一般的に市民のプライバシーを他の多くの国がそうしている最下位に扱っていると言います。 多くの国は、市民データを非常に保護しています。 ですから、数年前にこの役割を始めたのは非常に目を見張るものでした。

ジェイソン・クラーク:どうやってそれに追いつくのですか? それはたくさんありますよね? それは多くの変化です。 それは私にはこれまで以上に速く変化しているように見えます。 では、どのようにしてその上にとどまるのでしょうか?

マシュー・マコーマック: ええと、私にとっては、それを行う方法を知っていて、それをうまく行う方法を知っているだけでなく、グローバルな人々のチームが必要です。 このグローバルプログラムを管理できる1つの場所に座っている人々のチームを持つつもりはありません。 GRCを見ると、個々の人がいます。 その国では、私のチームに唯一の人が何人かいますよね? そして彼らの仕事は、地方自治体との関係を維持し、すべての変化に遅れないようにすることですが、中国の国家安全法、中国のプライバシー法を見ると、多くの重要なことがありますが、インドでは法律の変更について多くのプライバシーの議論が行われています。

マシュー・マコーマック:ですから、これらの大きな国のいくつかを見ると、プライバシー法の変更は世界的に私たちに影響を与える可能性がありますよね? これらの法律の一部に準拠するには、企業レベルの変更が必要になる場合があります。

ジェイソン・クラーク:あなたがDIAにいたとき、あなたと私は政府からこの移行を行い、企業のCISOになることについてたくさん話していました。 その移行があなたにとってどのように行われたか、何が違うのか、そして今その変化を起こしている人へのアドバイスについて少し話してください。 なぜなら、私が見たことのある人が間違いなくいて、彼らは少し一生懸命にやって来て、それは私に合わないからです。 それはあなたにとってどのようなものでしたか、そしてあなたは他の人に何をお勧めしますか?

マシュー・マコーマック:ルーターはルーターであり、人は人ですよね? これらは、連邦政府であることと商業的であることに根本的に違いはありません。 私はいくつかの違いを言います、そして私は誰もこれらのどれにもショックを受けるとは思わない、スピード、そうですか? あなたが物事を成し遂げることができるスピード。 政府にもう少し柔軟性を持たせるためにいくつかの変更があったことは知っていますが、実際には、政府の予算編成と調達プロセスは必ずしも物事を迅速に行うことを中心に構築されていませんでしたよね? それは基本的にかなり不公平に物事を行うことを中心に構築されており、必ずしもスピードで行われることを中心に構築されているわけではありません。

マシュー・マコーマック: ですから、私にとって大きな変化の1つであり、私にとって、商業的になったのは2012年でしたが、必要なものを購入して調達する能力だけでなく、一般的に、常にではありませんが、採用できる速度も同様ですよね? 才能を特定し、その才能を非常に迅速に商業的につかむ能力は大きな違いでした。 さて、反対に、一般的に、従業員と従業員が取る行動のいくつかを扱うとき、そしてCISOとして、私たちは常に従業員に何をさせ、何をさせないかに注意を払う必要があります。

マシュー・マコーマック: 連邦空間、政府空間内の態度、人々は指揮統制型の態度でより快適でした。 ですから、Xはできないと言うと、コンピューターでは、人々は一般的に「さて、Xはできません」と言いましたよね? 一方、商業的には、それは交渉のようなものですよね? 特にグローバル企業に所属している場合は、ヨーロッパに組合、労働者委員会があります。 あなたは人々が物事をすることを許可するさまざまな国内法を持つでしょう。 法律により企業の最小限の個人的使用を許可している特定の国がありますが、連邦政府には含まれていませんでした。 「連邦政府のコンピューターを使用して個人的な仕事をすることはできません」と言うことができます。 ブーム、物語の終わり、それは終わりました。

マシュー・マコーマック:しかし、これらの国のいくつかが実際にそれを継続することを許可する法律を持っている場合、私たちはそれを管理しなければなりません。 ですから、個人的な観点から、何をしなければならないか、何をすることができないかについての規則と要件のいくつかは、それがそれを指摘するので、連邦側では少し簡単だったかもしれませんが、勅令によってこれらの決定を下すことは少し簡単でした。

ジェイソン・クラーク:あなたにとっては、多くの類似点があるようですよね? そして、私にはいくつかの明確な違いがあります。 とても広いようですよね? 陸軍以外では、私は連邦空間で働いたことがないからです。

マシュー・マコーマック:そして、連邦空間はすべて同じではありませんよね? だから私は軍隊でした。 私はインテリジェンスを行い、IRSで何年も過ごしたので、本質的に経済的です。 そして、連邦空間内のこれらの異なる領域の間には、幅広い違いがあります。 すべてがユビキタスなわけではありません。 すべてがまったく同じに見えるわけではありませんが、「連邦政府から商業に移行する人にどのようなアドバイスがありますか?」という質問の1つを言います。 彼らが周りに持っていた快適さのレベルのいくつかは、あなたが決定を下すCISOとして、誰もがそれをしに行きます。 あなたが商業空間に移っているとき、すべてが交渉ではないか、交渉であることを理解していますよね?

Matthew McCormack: セキュリティの観点から何かしなければならないことがあれば、座って、プライバシー担当者、雇用弁護士、人事部、これらのさまざまな分野で確認する必要があります。 あなたがそれをするように言ったからといって、あなたは物事を成し遂げることができませんよね? そして、それがあなたが賢い人ではなく、人々があなたを信じていないという意味ではなく、それがプロセスであることを意味することを理解してください。 連邦政府では、「私がそう言ったので」、私たちはより多くのことをすることができました。 そして、あなたが商業空間に出てくるとき、人々はあなたが彼らに言うことを盲目的に受け入れません。

Jason Clark: ここで少し移行しますが、サイバーセキュリティで最も急速に増大しているリスク、つまり、CISOやほとんどのセキュリティチームや幹部が気付いていないことに人々が気付いていないリスクは、最も急速に高まっているリスクは何だと思いますか? みんなに忍び寄っているのは何ですか?

マシュー・マコーマック:多くの人が、いくつかのもののために今気づいていると思いますが、全範囲と影響を理解していないのは第三者です。 そして第三者、第三者には複数の部分があります。 企業が成長するにつれて、彼らはすべての従業員から離れ、明らかに、請負業者やサードパーティからの非常に重いサポートに移行し、あなただけでなくソフトウェアも支援する機関を提供しました。 そして、ランサムウェアの増加は、非常に多くの異なる企業やいくつかの非常に大規模な企業に影響を与えており、特にサービスプロバイダー、つまりタスクを完了するのを助けるためにあなたの会社に組織を提供している誰かであり、伝統的に、それらのサービスプロバイダーの1つがランサムウェアに見舞われたときに、悪い従業員と同様に、それらの機関に何らかの方法であなたの会社へのアクセスを許可する場合、 本当にステップ1は、ネットワークにアクセスしているその会社のすべての従業員のすべてのアクセスを殺し、会社がランサムウェアの結果が何であるかを判断するまで、すべてのリモートアクセスを殺すことです。

Matthew McCormack: そして、会社がランサムウェアに見舞われたために、突然1,500人が月曜日に出勤できなくなったときの影響を実感します。 そして、あなたはそのサービスプロバイダーに対する依存の深さを認識しています。 そして、その2番目の部分はソフトウェアですよね? 誰もがSolarWindsがマスコミにこれらすべてのものを持っていることを知っています。 すでに侵害されたシステムを実際に購入して独自のネットワークに展開しているという考えは、これらの企業がソースコードを提供してくれるわけではないので、デューデリジェンスのソースコード分析を行うことができますよね? 彼らはそれをするつもりはありません。

Matthew McCormack: そのため、私たちはこれらのベンダーの製品セキュリティの内部機能に本当に依存しています。 ですから、私がサードパーティと言うとき、サービスプロバイダーと団体の周りのサードパーティ、そして侵害されたソフトウェアの周りのサードパーティ。 あなたはただその依存関係に気づきます。 GSKでは、明らかに製薬会社であり、医薬品やワクチンなどの製造を専門としています。 IT管理ソフトウェアがSolarWindsのようにどのような影響を与える可能性があるかは考えていませんよね? あなたはソーラーウィンズを持ち込みます。 SolarWindsがハッキングされる。 あなたはそれを引き裂かなければなりません、そしてそれから突然、それは会社全体を閉鎖することができます。

マシュー・マコーマック: そして、これらすべてのサードパーティの影響と、このようなことが起こったときに何をするかについての対応計画をどのように策定しようとしているかを本当に理解しています。

ジェイソン・クラーク:あなたはちょうどヒットしたと思います、おそらく、私は同意します、最大です。 最大の2つは実際にはサードパーティのリスクだと思いますが、SaaSのおかげで最も急速に成長していると思いますよね? それは、ビジネスがITの有無にかかわらず並んでいるだけのものです。 そして、ほとんどの組織で実際にITがなければ、彼らはただ行くだけですよね? 人事、マーケティングなど、そしてデータの成長もそうですよね? データ、あなたはMCですよね? また、今後4年間でデータは57ゼタバイトから107ゼタバイトに3倍になります。 ストレージ会社の在庫は見られませんが、3倍が屋根を通り抜けていますよね? それはすべてクラウドまたはモバイルに移行しているからです。 間違いなくこの2つだと思いますが、カウントで最速の速度でサードパーティのリスクをダブルクリックすると、間違いなく SaaSですよね? ほとんどの企業は1000社以上を持っています。 組織がそれに関与するために何をしているのを見ていますか、CISOはビジネスをやり遂げ、それを可能にするのを支援しますが、歴史的に、私たちは常に「ねえ、いや、私たちは1つのCRMを持っています。 他に何もしないでください」?

Matthew McCormack: サービスとしてのドットドットは、「ITを回る」というコードになることがありますよね? そして時々、見てください、あなたがプロセスを経るとき、それは一般的により長くかかり、それは一般的により高価であるので、人々が時々これをする理由を理解します、しかしそれには理由がありますよね? 特に規制の厳しい業界では、遵守していることを確認する必要があります。 特に消費者への直接販売で大きな傾向が見られますよね? ジェイソン、あなたに直接販売できるようにしたい人は、表面的には素晴らしいように聞こえ、外に出て、「ねえ、私はあなたのためにポータルをスピンアップします、そしてあなたはあなたの製品をジェイソンに直接売ることができます」と言うベンダーを見つけることができます。 「わかりました、素晴らしいです、そしてそうです、それが売り上げを伸ばすでしょう、 しかし、PCIレターはありますか? コンプライアンスは設定されていますか?クレジットカードを保管していますか? 私たちは個人データを保存していますか?」 これらの異なるもののいくつか。

マシュー・マコーマック:ですから、私たちがしなければならないのは、積極的に行動し、手を差し伸べることです。 これらの機能のいくつかが社内で見つかったら、必ずしも昔だけでなく、ハンマーを取り出して粉砕し、シャットダウンしますが、「さて、あなたは何を知っていますか? 消費者への直接送信の要件があり、そのポータルをすでに構築している場合は、それを合法的にできるかどうかを考えてみましょう。 直接販売ポータルのPCI部分をすべて完了してから、社内の他の人々があなたが構築したばかりのものを使用し、外に出て独自のポータルを構築しないようにしましょう。」

マシュー・マコーマック:ですから、過去には、おそらく「いいえ、これは違反しています。 私たちは消費者に直接、何とか、何とか、何とか、何とか」と言わざるを得ませんが、今は「ほら、あなたがそれをやっているなら、統計的にそれをやっている、またはやりたいと思っている人が社内にいるので、これをどのように行うかを考えてみましょう」と言わなければなりません。 そして、私はあなたに言います、良い例であり、私は誰も接続していませんが、ここ米国でCOVIDが襲ったとき、子供がいる場合、突然、彼らはズームに飛びつきました、そしてズーム、GSK内で、ズームは承認されたコラボレーションツールの1つではありませんでした。 そして、セキュリティデューデリジェンスを受けていないときに、デバイスでその特定のツールの使用を開始できるようにするという大きなプレッシャーがありました。 ライセンスとプライバシー契約はありませんでしたが、これらすべてと、フリーウェアツールを環境に展開することに対する私たちの側からの多くの反発がありましたが、それでも、子供たちの学校を手伝い、Zoomに非常に慣れ、理解していたので、多くの人がそれに慣れていました。

マシュー・マコーマック: そして時々、セキュリティの観点からは理にかなっているかもしれませんが、何かにノーと言うことは知っていますが、セキュリティは灰色です。 もう白黒ではありません。 セキュリティ、あなたは灰色に住む必要があります。 そのため、多くの人が望むほど迅速に展開できるとは限りませんでしたが、最終的には、承認されたコラボレーションツールに追加して、ある程度のサポートを提供することができました。

ジェイソン・クラーク:それは良い例です。 それに対して、私は驚かされます、私は一日にほとんど多くの会社ですよね? 間違いなく週に5人のCISOであり、明らかに多くの人々が私のセキュリティプログラムに売り込み、ベンダーの話を聞こうとしていますが、Zoomボット、つまり「ねえ」と言って、会話全体を翻訳しているボットを除いて、何人の人がいますか? 電話をホストしている人々、時には大企業に言うたびに、「ねえ、私がその会社を調べたばかりで、彼らはたった18人の従業員であり、セキュリティの肩書きを持つ人が一人もいないことに気づいていますか、そして彼らの会社、そして私たちはこの会話全体がクラウドに座っていることを信頼していますか? それはおそらく妥協案ですよね?」

ジェイソン・クラーク:そして、人々は「ああ、いや、私はそれについて考えていなかった」のようです。 そして時々それはセキュリティチームであり、私は「さて、これは、これは面白いですよね?

Matthew McCormack: そして、特に、使用を許可することへの最初のプッシュがたくさんあったとき、そのアプリをデバイスに展開できるようにし、「ほら、私たちはここでジャークになるためにジャークしているだけではありませんよね? 理由もなくノーと言っているだけではありません。 理由を説明する必要がありましたよね? その会話は、別の会社の商用サーバーに保持されます。 患者データや医療機器などについて話し合っている場合、プライバシーは期待できません。 そのデータは、プライバシー契約を結んでいないため、誰にでも収集、マイニング、販売される可能性があります。」

マシュー・マコーマック: 私たちは、セキュリティの範囲内で、時には理由を説明するより良い仕事をしなければなりません。 人々はテクノロジーについて賢くなり、「まあ、セキュリティ担当者はそれが悪いと言ったので、私たちはそれをするつもりはありません」と盲目的に受け入れるだけではありません。 彼らはこれを望んでいます。 家族と子供だけですよね? 私の子供たちが大きくなるにつれて、私は彼らにもう少し理由を説明し始める必要があります。 「いや、それはできない」というだけではありません。 「XYZだからそれはできない」とか、「ほら、運転を始めるときは、始める必要があります...これが、向こうでは見えないし、ブラインドカーブがあるので、その角をゆっくりと回らなければならない理由です。」 同じことですよね?

マシュー・マコーマック:人々がテクノロジーに慣れていて、この環境では使用できないと言われると、その理由を知りたがります。 そして、それは正当な質問だと思いますよね? それは、私たちがセキュリティの専門家として何をしているのかを知っているかどうかを彼らが疑問視しているという意味ではありません。 それは単に彼らが持っている知識のレベルがあることを意味し、そのために彼らはいくつかの質問を持っています。 ですから、私たちはその最高説明者であるというセキュリティ面からより良い仕事をする必要があります。

ジェイソン・クラーク:ええと、そこには2つの部分があります、それは本当に重要です。 ですから、これを私がダブルクリックしたい本当のリスクに変換しているものがあります。 そして、私たちが来る2番目のものは、あなたが公表された声明を出しました、それは結局すべてのCISOがセールスマンであるということでした、それは真実です。 そして、私は周りの両方のリスクが変化する、それは速く起こっていることを打つことを望んでいます。 実際、私たちはこの逆さまのセキュリティの世界にいると言っていますが、そこでは私たちが保護していたものはすべて公開されており、セキュリティ制御はそれらのユーザーとそれらのデータをどこに行っても追跡する必要があり、古いものを保護する必要がありますよね?

Jason Clark: つまり、新しいものを有効にし、古いものを保護するようなものですが、この新しいモデルでは、過去について話したことの1つはフレームワークですが、フレームワークは本当にそこにあり、この新しい世界でのリスクが何であるかを真に理解するために最新のものですか、たとえば、より多くの脅威モデリングを行い、各段階ごとのリスクと私のコントロールが何であるかを実際に考え、それをリアルタイムに移行しますか? その考え方において、私たちは業界としてどのように感じていますか、そしてどのような提案がありますか?

マシュー・マコーマック:フレームワークはそこにありますか? はい。 それらは私たちが必要とするほど最新ですか? いいえ。右。 私たちは皆、何年もの間、善のフレームワークに非常に依存してきたと思います。 冒頭でおっしゃったように、世の中がサービスとしてのドット・ドットなどになってきているので、それらのフレームワークはそれに追いつくのに苦労していますよね? しかし、それは彼らがまだ良い基礎ではないという意味ではありません。 しかし、私たちにとって、あなたがどれだけうまくやっているかを評価する能力と、あなたが実際に取締役会に対して行っているコミットメントを果たしているのであれば、ある種のフレームワークが必要だと思いますよね?

Matthew McCormack: 私たちはICF、内部統制フレームワークを手に入れました、そしてほとんどの人として、私たちはベースラインとしてNISTを使用しますが、それからカスタマイズし、それを行う理由があります。 内部監査機能を見ると、フレームワークをフレームワークと一致させて、問題が特定された場合に自分のフレームワークにマッピングされるようにする必要があります。 そして、プライバシー組織、セキュリティコンプライアンスだけでなく、私たち、HIPAA、サーベンス・オクスリー法、その他すべての国のコンプライアンス基準とGDPRを担当する人々、これらの異なるコンプライアンスチームのいくつかを見ているなら、そうですか? 世の中には非常に多くのコンプライアンスとフレームワークがあります。

マシュー・マコーマック:完璧なフレームワークを絶えず作ろうとするブラックホールに落ちる可能性があります。 そして、私たちにとって、NISTが私たちのフレームワークであり、私たちのユニークな業界のために少量のカスタマイズを行い、そこに線を引くことを決定したと思います。 130か国にいると、常に新しいフレームワークや新しい基準があり、そのような新しいものは決して追いつくことができないため、永遠に更新されると思いますか? 私たちは毎年フレームワークを見直し、変更を加えようとしていますが、フレームワークは素晴らしいと思います、フレームワークは重要です。 脅威モデリングも非常に重要であり、通過しようとしています...

マシュー・マコーマック: 130の工場がある場合、130の工場すべてが同じレベルの重要度にあるわけではありません。 たぶん、あなたの最も売れ行きが良く、最高の収益を生み出す製品を作るかもしれません。 たぶん別のものはあなたがその製品を入れる必要がある段ボールを包装しているだけです。 どちらも重要ですが、どちらが最も重要ですか? 他の人から段ボールをもらえますか? 恐らく。 他の誰かがあなたのためにその特定の薬を作ることができますか? 可能性は低いです。 したがって、脅威モデリングを実行する必要があり、製造施設だけでなく、データストアやデータリポジトリについても、常にその状態にありますよね? どこで複製を許可しますか? 誰がそれらを所有していますか? 彼らはクラウドにいますか? 彼らはクラウドにいませんか?

Matthew McCormack: 何かをクラウドに入れて、ある種の SaaS モデルにすることは経済的に理にかなっているのかもしれません。 ただし、そのデータを環境外に持ち出してクラウドに配置するリスクは、経済性を上回ります。 私たちは常に脅威モデリングとリスクリターンの状態にありますよね? 私たちにとって、それを行うリスクは見返りの価値があり、私はあなたに言います、それが理由です、そしてそれはトピックです、どんな良いセキュリティ組織の中でもあります、誰もが扱うものですが、雇用から、常にあなたのセキュリティ組織のためにコンピュータサイエンスの人々を探しに行くとは限りませんよね? このタイプの脅威モデリングを行っている場合は、会計士になったほうがよいでしょう。 あなたは自分自身をお金を理解する誰かに見つけたほうがいいです。

Matthew McCormack: そして、保険証券、サイバー保険契約を見ているとき、コンピュータサイエンスの人々はあなたの保険リスクレベルを評価するのに最適な人々ではありません。 したがって、セキュリティ組織を見るとき、脅威モデリングを行うときは、その方法を知っている人が社内にいることを盲目的に受け入れるだけではありません。 あなたは本当にブティックの