Netskope named a Leader in the 2024 Gartner® Magic Quadrant™ for Security Service Edge. Get the report

閉める
閉める
  • Netskopeが選ばれる理由 シェブロン

    ネットワークとセキュリティの連携方法を変える。

  • 導入企業 シェブロン

    Netskope は世界中で 3,000 を超える顧客にサービスを提供しており、その中にはフォーチュン 100 企業の 25 以上が含まれます

  • パートナー シェブロン

    私たちはセキュリティリーダーと提携して、クラウドへの旅を保護します。

Still Highest in Execution.
Still Furthest in Vision.

Learn why 2024 Gartner® Magic Quadrant™ named Netskope a Leader for Security Service Edge the third consecutive year.

レポートを読む
Netskope Named a Leader in the 2024 Gartner® Magic Quadrant™ for Security Service Edge graphic for menu
私たちは、お客様が何にでも備えることができるように支援します

お客様について
窓の外を見て微笑むメガネをかけた女性
Netskopeのパートナー中心の市場開拓戦略により、パートナーは企業のセキュリティを変革しながら、成長と収益性を最大化できます。

Netskope パートナーについて学ぶ
色々な若い専門家が集う笑顔のグループ
明日に向けたネットワーク

サポートするアプリケーションとユーザー向けに設計された、より高速で、より安全で、回復力のあるネットワークへの道を計画します。

ホワイトペーパーはこちら
明日に向けたネットワーク
Netskope One プラットフォームの紹介

Netskope One は、SASE とゼロトラスト変革を可能にする統合型セキュリティおよびネットワーキング サービスを提供するクラウドネイティブ プラットフォームです。

Netskope One について学ぶ
青い照明の抽象画
セキュアアクセスサービスエッジ(SASE)アーキテクチャの採用

Netskope NewEdgeは、世界最大かつ最高のパフォーマンスのセキュリティプライベートクラウドであり、比類のないサービスカバレッジ、パフォーマンス、および回復力を顧客に提供します。

NewEdgeの詳細
NewEdge
Netskope Cloud Exchange

Netskope Cloud Exchange (CE) は、セキュリティポスチャに対する投資を活用するための強力な統合ツールを提供します。

Cloud Exchangeについて学ぶ
Netskopeの動画
  • セキュリティサービスエッジ製品 シェブロン

    高度なクラウド対応の脅威から保護し、あらゆるベクトルにわたってデータを保護

  • Borderless SD-WAN シェブロン

    すべてのリモートユーザー、デバイス、サイト、クラウドへ安全で高性能なアクセスを提供

  • Secure Access Service Edge シェブロン

    Netskope One SASE は、クラウドネイティブで完全に統合された単一ベンダーの SASE ソリューションを提供します。

未来のプラットフォームはNetskopeです

インテリジェントセキュリティサービスエッジ(SSE)、クラウドアクセスセキュリティブローカー(CASB)、クラウドファイアウォール、セキュアウェブゲートウェイ(SWG)、およびZTNAのプライベートアクセスは、単一のソリューションにネイティブに組み込まれており、セキュアアクセスサービスエッジ(SASE)アーキテクチャへの道のりですべてのビジネスを支援します。

製品概要はこちら
Netskopeの動画
Next Gen SASE Branch はハイブリッドである:接続、保護、自動化

Netskope Next Gen SASE Branchは、コンテキストアウェアSASEファブリック、ゼロトラストハイブリッドセキュリティ、 SkopeAI-Powered Cloud Orchestrator を統合クラウド製品に統合し、ボーダレスエンタープライズ向けに完全に最新化されたブランチエクスペリエンスを実現します。

Next Gen SASE Branchの詳細はこちら
オープンスペースオフィスの様子
SASEアーキテクチャの設計 For Dummies

SASE設計について網羅した電子書籍を無償でダウンロード

電子書籍を入手する
最小の遅延と高い信頼性を備えた、市場をリードするクラウドセキュリティサービスに移行します。

NewEdgeの詳細
山腹のスイッチバックを通るライトアップされた高速道路
アプリケーションのアクセス制御、リアルタイムのユーザーコーチング、クラス最高のデータ保護により、生成型AIアプリケーションを安全に使用できるようにします。

生成AIの使用を保護する方法を学ぶ
ChatGPTと生成AIを安全に有効にする
SSEおよびSASE展開のためのゼロトラストソリューション

ゼロトラストについて学ぶ
大海原を走るボート
NetskopeがFedRAMPの高認証を達成

政府機関の変革を加速するには、Netskope GovCloud を選択してください。

Netskope GovCloud について学ぶ
Netskope GovCloud
  • リソース シェブロン

    クラウドへ安全に移行する上でNetskopeがどのように役立つかについての詳細は、以下をご覧ください。

  • ブログ シェブロン

    Netskope がセキュリティ サービス エッジ (SSE) を通じてセキュリティとネットワークの変革を実現する方法を学びます

  • イベント&ワークショップ シェブロン

    最新のセキュリティトレンドを先取りし、仲間とつながりましょう。

  • 定義されたセキュリティ シェブロン

    サイバーセキュリティ百科事典、知っておくべきすべてのこと

「セキュリティビジョナリー」ポッドキャスト

How to Use a Magic Quadrant and Other Industry Research
このエピソードでは、マックス・ヘイビー、スティーブ・ライリー、モナ・フォークナーが、マジック・クアドラントを作成する複雑なプロセスと、それが単なるチャート以上のものである理由を分析します。

ポッドキャストを再生する
マジック・クアドラントとその他の業界調査の活用方法ポッドキャスト
最新のブログ

Netskope がセキュリティ サービス エッジ (SSE) 機能を通じてゼロ トラストと SASE の導入をどのように実現できるかをご覧ください。

ブログを読む
日の出と曇り空
SASE Week 2023年:SASEの旅が今始まります!

第4回 SASE Weekのリプレイセッション。

セッションの詳細
SASE Week 2023
セキュリティサービスエッジとは

SASEのセキュリティ面、ネットワークとクラウドでの保護の未来を探ります。

セキュリティサービスエッジの詳細
4方向ラウンドアバウト
  • 会社概要 シェブロン

    クラウド、データ、ネットワークセキュリティの課題に対して一歩先を行くサポートを提供

  • リーダーシップ シェブロン

    Netskopeの経営陣はお客様を成功に導くために全力を尽くしています。

  • カスタマーソリューション シェブロン

    お客様の成功のために、Netskopeはあらゆるステップを支援いたします。

  • トレーニングと認定 シェブロン

    Netskopeのトレーニングで、クラウドセキュリティのスキルを学ぶ

データセキュリティによる持続可能性のサポート

Netskope は、持続可能性における民間企業の役割についての認識を高めることを目的としたイニシアチブである「ビジョン2045」に参加できることを誇りに思っています。

詳しくはこちら
データセキュリティによる持続可能性のサポート
思想家、建築家、夢想家、革新者。 一緒に、私たちはお客様がデータと人々を保護するのを助けるために最先端のクラウドセキュリティソリューションを提供します。

当社のチーム紹介
雪山を登るハイカーのグループ
Netskopeの有能で経験豊富なプロフェッショナルサービスチームは、実装を成功させるための規範的なアプローチを提供します。

プロフェッショナルサービスについて学ぶ
Netskopeプロフェッショナルサービス
Netskopeトレーニングで、デジタルトランスフォーメーションの旅を保護し、クラウド、ウェブ、プライベートアプリケーションを最大限に活用してください。

トレーニングと認定資格について学ぶ
働く若い専門家のグループ
サムネイルを投稿

このエピソードでは、Netskopeの最高戦略、セキュリティ、マーケティング責任者であるジェイソンクラークへのインタビューを特集しています。 ジェイソンはセキュリティビジョナリーポッドキャストのシーズン1を主催し、セキュリティに30年近く費やし、ニューヨークタイムズ、オプティブ、エマソンなどの企業にサービスを提供してきました。

このエピソードでは、ジェイソンは Netskopeの最高デジタルおよび情報責任者であるマイクアンダーソンにバトンを渡します。 チームスポーツとしてのセキュリティ、人間のファイアウォールの作成、セキュリティの未来について説明します。

セキュリティは最初からすべてに組み込む必要があると思います。 それはおそらく多くの場所でまだ挑戦です。 しかし、本当に優れたセキュリティを実現する唯一の方法は、単純化することです。 セキュリティの敵は複雑さです。

—ジェイソン・クラーク、Netskopeの最高戦略、セキュリティ、マーケティング責任者
ジェイソン・クラーク

 

タイムスタンプ

*(05:03): チームスポーツとしてのセキュリティに対するジェイソンの見解
*(26:29): セキュリティに不可欠な人事の例
*(07:03): 予算がセキュリティに与える影響*(29:33): 2030 ゴーグル
*(12:39): 技術スタックを決定する上でセキュリティが果たす役割*(32:19): CIOとCISOが投資すべきこと
*(22:25): ヒューマンファイアウォールを有効にする方法*(35:25): クイックヒットの質問

 

以下プラットフォームからも聴くことができます:

グリーンプラス

本エピソードの出演者

ジェイソン・クラーク
Netskopeの最高戦略およびマーケティング責任者

シェブロン

ジェイソン・クラーク

ジェイソンは、成功した戦略的セキュリティプログラムの構築と実行の数十年の経験を Netskopeにもたらします。

以前は、Optivの最高セキュリティおよび戦略責任者を務め、CXOエグゼクティブがセキュリティ戦略を強化し、それらの戦略とビジネスとの連携を加速するのに役立つ包括的なソリューションスイートを開発しました。 Optivに入社する前は、Websenseで指導的役割を果たし、最高情報セキュリティ責任者(CISO)向けの重要なテクノロジーのプロバイダーへの会社の変革の原動力でした。 エマソンエレクトリックのCISOおよびインフラストラクチャ担当バイスプレジデントを務めていたクラークは、1,500の拠点で14万人の従業員を対象としたセキュリティプログラムを開発および実行し、成功裏に実行することにより、会社のリスクを大幅に軽減しました。 以前はニューヨークタイムズのCISOを務め、EverBank、BB&T、および米陸軍でセキュリティのリーダーシップと技術的役割を果たしてきました。

マイク・アンダーソン
最高デジタル情報責任者、Netskope

シェブロン

マイク・アンダーソン

マイク・アンダーソンは、Netskopeの最高デジタルおよび情報責任者を務めています。 過去25年間、営業、運用、事業開発、情報技術など、さまざまな分野で高性能チームを構築し、主導してきました。 フォーチュン500に名を連ねる世界的な企業であるSchneider Electricから Netskope に入社し、北米のSVP、CIO、デジタルリーダーを務めました。 2020年、Constellation Researchから、組織内でビジネス変革の取り組みを主導しているトップグローバルエグゼクティブを表彰するエリートリストであるビジネストランスフォーメーション150のメンバーに指名されました。 全米ダイバーシティ評議会はまた、2020年と2021年にダイバーシティとインクルージョンの分野でトップ50のCIOとして同氏を認めています。 Schneider Electricエレクトリックの前は、CROSSMARKのCIOを務め、40,000人の従業員サービスプロバイダーのビジネス機能を小売および消費財業界にデジタル変革しました。 また、マイクロソフトの合弁会社であるEnterprise Mobileでエグゼクティブリーダーシップの役割を果たし、現在はHoneywell、Insight、Software Spectrum、および1999年に共同設立したWebサービスのパイオニアであるInVergeの一部となっています。 マイクは、数多くのテクノロジーおよび業界の諮問委員会に所属し、メンタルヘルスと自殺予防に焦点を当てた非営利団体、および科学、技術、工学、数学の将来の労働力の開発に役立つ非営利団体と協力してボランティアをしています。

ジェイソン・クラーク

ジェイソンは、成功した戦略的セキュリティプログラムの構築と実行の数十年の経験を Netskopeにもたらします。

以前は、Optivの最高セキュリティおよび戦略責任者を務め、CXOエグゼクティブがセキュリティ戦略を強化し、それらの戦略とビジネスとの連携を加速するのに役立つ包括的なソリューションスイートを開発しました。 Optivに入社する前は、Websenseで指導的役割を果たし、最高情報セキュリティ責任者(CISO)向けの重要なテクノロジーのプロバイダーへの会社の変革の原動力でした。 エマソンエレクトリックのCISOおよびインフラストラクチャ担当バイスプレジデントを務めていたクラークは、1,500の拠点で14万人の従業員を対象としたセキュリティプログラムを開発および実行し、成功裏に実行することにより、会社のリスクを大幅に軽減しました。 以前はニューヨークタイムズのCISOを務め、EverBank、BB&T、および米陸軍でセキュリティのリーダーシップと技術的役割を果たしてきました。

マイク・アンダーソン

マイク・アンダーソンは、Netskopeの最高デジタルおよび情報責任者を務めています。 過去25年間、営業、運用、事業開発、情報技術など、さまざまな分野で高性能チームを構築し、主導してきました。 フォーチュン500に名を連ねる世界的な企業であるSchneider Electricから Netskope に入社し、北米のSVP、CIO、デジタルリーダーを務めました。 2020年、Constellation Researchから、組織内でビジネス変革の取り組みを主導しているトップグローバルエグゼクティブを表彰するエリートリストであるビジネストランスフォーメーション150のメンバーに指名されました。 全米ダイバーシティ評議会はまた、2020年と2021年にダイバーシティとインクルージョンの分野でトップ50のCIOとして同氏を認めています。 Schneider Electricエレクトリックの前は、CROSSMARKのCIOを務め、40,000人の従業員サービスプロバイダーのビジネス機能を小売および消費財業界にデジタル変革しました。 また、マイクロソフトの合弁会社であるEnterprise Mobileでエグゼクティブリーダーシップの役割を果たし、現在はHoneywell、Insight、Software Spectrum、および1999年に共同設立したWebサービスのパイオニアであるInVergeの一部となっています。 マイクは、数多くのテクノロジーおよび業界の諮問委員会に所属し、メンタルヘルスと自殺予防に焦点を当てた非営利団体、および科学、技術、工学、数学の将来の労働力の開発に役立つ非営利団体と協力してボランティアをしています。

エピソードのトランスクリプト

トランスクリプトをオープン

Jason Clark: I think that one, security needs to be built into everything from the beginning. That's the only way to have really good security, and it's to simplify. The enemy of security is complexity, right? I always probably see the aspects of quality and security, that the difference of the cost of building it in right to begin with versus the cost of coming and being reactive, and trying to remediate is significant, so I think security should be in the beginning of that conversation.

Speaker 2: Hello, and welcome to season two of Security Visionaries, hosted by Mike Anderson, CIO at Netskope. You just heard from today's guest, Jason Clark, Chief Strategy, Security, and Marketing Officer at Netskope. Our new host, Mike Anderson, is the chief digital and information officer at Netskope. This season, Mike sits down with industry leaders who are tackling security as a team sport, and empowering their employees to become better digital citizens. This episode features an interview with Jason Clark, Season One Host and Chief Strategy, Security, and Marketing Officer at Netskope. As Jason passes the baton to Mike, they discuss who is responsible for security, the human firewall, and what the future holds. Before we dive into Jason's interview, here's a brief word from our sponsor.

Speaker 3: The Security Visionaries podcast is powered by the team at Netskope. At Netskope, we are redefining cloud, data, and network security with a platform that provides optimized access and zero trust security for people, devices, and data anywhere they go. To learn more about how Netskope helps customers be ready for anything on their SASE journey, visit N-E-T-S-K-O-P-E.com.

Speaker 2: Without further ado, please enjoy episode 11 of Security Visionaries with Jason Clark, Chief Strategy, Security, and Marketing Officer at Netskope, and your host, Mike Anderson.

Mike Anderson: Welcome to season two of the Security Visionaries podcast. I'm Mike Anderson. I'm going to be your host for season two. I'm our chief digital officer and CIO here at Netskope, and this is kind of a passing the baton episode. We have Jason Clark, who's our chief strategy, security, and marketing officer who's joining us, who was our host of season one. Jason, welcome, and maybe help explain, because that's a lot of stuff for one person to be responsible for. Maybe you can talk a little bit about how do those things fit together.

Jason Clark: I get that question a lot. I started as a security person since I was 17. All my life, I've done nothing but security. And then, kind of after you build security, and I ran infrastructure and networking as well for large companies, and then you kind of... You build it over and over again, and I got my MBA, and I realized I love the strategic side of it, so I joined as a chief strategy officer for a large organization, but also kept the security team, because I knew that. And it was a security company, so I ran strategy thinking about how to build products and where to take the go-to-market strategy at the same time as... I feel like it's on the security side, my job is to wake up every day and know the problem. Know the pain of the community and of the buyer. So that helps me inform strategy, by getting the 3:00 in the morning wake-up calls. But then, then I grew and added marketing into what I do, because it aligns so well with strategy. The best CMOs out there really are driving the strategy, because it's now driving where we're going from a product direction and services direction at the same time as how do we message, and market, and build trust with that community, right? And with those buyers. Again, wrapping down to, well how better to do that than to live it and feel the pain every day, right? So actually to me, all three of those functions go together perfectly, mainly because we're a cybersecurity company.

Mike Anderson: That makes sense. I just assumed it was when you say, "Hey, I think we should do this" about something, people say, "Why don't you do it?" And then all of a sudden, you take on more things. You always have to be careful also once you say, "Hey, I think we should really be doing this instead of that." Then all of a sudden, you become the person doing that.

Jason Clark: Yep. I've learned to say less in those meetings, and definitely try to say no more, right? To some of that. I do remember being in a board meeting, where the chairman and the CEO was complaining about something. This was two companies ago. And I raised my hand. I said, "Well, this is how you solve it. Guys, we're spinning around in circles. Just do this, this, and this," and they looked over at me, and they said, "Guess what. It's yours now, Jason," and it was a PNL. They said, "You're now the GM of that business." And I sat there, and the guy who was the GM was also sitting in the room. It was really awkward, so at that point, I said, "Okay, I need to stop doing that."

Mike Anderson: That was passing the baton in the same room, but he was surprised, but he or she was surprised as well, in that way.

Jason Clark: Exactly.

Mike Anderson: One of the things I know we've talked about a lot. I joined obviously a little over a year ago, from Schneider Electric, and you've had a long, storied career as a security leader, strategy leader with some rocket ship type companies as well in your past. One of the things I know we've talked about a lot is this concept of a team sport. Security is a team sport, and thinking about it not just in context of just the CIO/CISO partnership, but thinking more broadly across the organization, across the IT leaders, across the people using the applications. What is your take on that whole concept of security being a team sport?

Jason Clark: I love the phrase. It's a good mantra. I think security's always been a little bit of a team sport. I mean, to get it done, you've needed everybody. But I would say that it's not been executed well, right? So it hasn't been high-performing teams. They haven't thought about it like a team sport. It's more like, "Hey, you have a responsibility." But in the end, the security teams end up getting held accountable without everybody else necessarily being accountable, right? So I'd say it wasn't exactly fairly set up to have high-performing teams. Now, going forward, to me, it all starts with the relationship with the executives, right? And making sure that you have that support, that alignment, throughout the entire organization, and definitely most important relationship is the CIO. That CIO needs to feel very comfortable with their head of security. Whether they report to them or not, they have to be the best and strongest team. And where I see things in the past gone wrong, as an example, and I see this today, where you have a CIO who doesn't necessarily let the CISO go talk to the CFO or talk to the CEO without them. A part of being a team sport is just kind of leaving egos at the door, right? You've got to enable your other leaders to have and build those one-on-one relationships as well. I think the other part is there's the other peers, but then you have the executives and IT, right? So networking, and infrastructure, and applications are the most important relationships inside of IT for that security team. They need to designate champions inside those teams who are part of that, and who feel like they're also part of security. And I think trust and transparency is one of the most important things in this kind of team sport.

Mike Anderson: No, I couldn't agree more. If you think about, a lot of security teams originally were born out of the infrastructure team. You had network security and firewalls, and the security team got kind of carved out of that. I would love your take on if you think about budgets, how much does budget go into that team sport concept? You know, who owns the budget, and who owns the decision... A lot of times, decisions follow who owns the budget. What's your take on that from... How are budgets transitioning from that team sport standpoint? How does it influence those relationships?

Jason Clark: And that budget's kind of like... It's the leverage point, right? The person who has the budget, for the most part, has a significant amount of the power. I would say if you think about all kind of... Let's just take the network security bucket, which is the biggest spend in all of security, that has been heavily controlled by the infrastructure and the networking team. Let's say it was 90-10, 90% kind of control there, you've probably seen it more 70% controlled by the networking team still, and 30% by the security team. But what I see more and more is the security team reaching in and saying, "Hey, look. I'm going to set the requirements in the name of security. Yes, you're spending the money, but you have to match my requirements." So you see a lot more teams are working together. When they don't, I do see the security team in some of the bigger companies reach out and just start saying, "Well then, if we're not going to play nice together..." They end up having a little bit more power at the board level, to just reach over and grab it. So I do see that happening at a... And I did a CISO dinner two nights ago, and 1/3 of the CISOs in the room said that they have recently taken over networking and infrastructure because of that, as an example. Because they had friction, and they couldn't decide on some of the technology decisions or the direction they wanted to go, but also, over time, the network... It's really just providing access and you need to make sure it's secure, right? And that's the job of security too. And when you live in a hybrid world that we live in right now, half your users are off the network half the time. Some massive percent of your apps are probably in the cloud or moving to the cloud. What is the network anymore? I think IT leaders are asking themselves that same question. I think you start to see that convergence happen.

Mike Anderson: Ray Wang once, I saw a presentation. He talked about the I in CIO having different meanings around innovation, investment. I wonder if the I in CISO is going to be infrastructure as another dimension in the future, chief infrastructure security officer. Maybe that's the new title.

Jason Clark: That could be right. I mean, I wish, actually, kind of we centered on... It's all about the data, right? And I know we say information, but kind of the word data really resonates more with the business. We want secure access to data. Get the data to fingertips, right? Make it valuable, and secure it. So I kind of wish it was like something with data in the title. I think further to that, Mike, as we think about kind of the naming of stuff, I think the title matters a lot as what the rest of the leaders in the organization think about this, right? The head of security. Use the example of kind of the chief people officer, the head of legal, the CMO, the CFO. All of them have different perspectives, in every company, on the security team. So the team sport aspect, title matters.

Mike Anderson: Yeah, absolutely, and you know, it's interesting. You mentioned board. I feel like board is getting into that team sport conversation as well, because obviously, they've got risk, personally, based on the security posture of the organization they're in, so they're definitely part of that team sport, which I think to your point, kind of elevates the CISO to be very important in that board-level conversation. One of our friends and one of our customers had said... The CIO said, "When the CISO sneezes, I feel it." That one's stuck in my head as a pretty interesting comment, when you think about the team sport and how you have to be partnered at the hip on everything you do.

Jason Clark: On the board front, there's actually a movement, though, of a number of CISOs at big companies, where there's discussions around having... They have a comp committee and an audit committee. Having a security and resilience committee, just focused on this topic, which would be interesting.

Mike Anderson: You're in a unique position inside Netskope, because you have security not just for internal, but also product security. And it's interesting, because when I talk to a lot of CIOs that are thinking about a CISO role, they're always like, "Where should the CISO live? Because it owns not just the internal security controls, but also what we build into our products." How does that kind of play into that whole team sport concept? Because there's a lot of people, CIOs and security leaders, that work in companies that build products that get sold to end customers, where security in the product is also important. What is your thoughts on that one?

Jason Clark: I think that's a lot to do with the company, right? Because does the CIO own building products for the business, or are they more supporting the back office infrastructure and the main systems like ERP? So you see some companies where they have a CTO and a CIO, and the CTO is building new, or you see the divisions have their own CTOs, and they're just getting the support from the CIO. I think that all really depends on what's the organization design for technology, and how really important is innovation, and who are they giving that task to. And then, I think the security team that needs to fit into that, depending, right? With the CIO owns all of it, then it just fits naturally with that CIO, but if you have a CTO and a CIO, which I see in a lot of companies, then all of a sudden, having the CISO report into the CIO, who isn't the CIO that owns the building of the new, I don't think that works well. Especially if it's a cybersecurity company. At that point, I would tell every CEO of a cybersecurity company, the head of security should report into the CEO. The CEO should be that close.

Mike Anderson: Yeah, that makes a lot of sense to me. The two questions I get the most from people is... One is, "Where should the CISO report?" Is one, but the one I get more often than not now is, "How do we know we're doing enough?" Which is probably a conversation for a different episode, but you know, this is going to be a super exciting season on Security Visionaries season two, as we talk about security as a team sport, you know, with all the different great guests we're going to have this year. I want to pivot now, and as we think about tech stacks, and we think about the tech stack from security, what role should security play when it comes to determining the tech stack that the CIO and the IT leaders are implementing? You touched on it a little bit, but I'd love for you to dig in more and tell me kind of what is your perspective on how should security play a role in the tech stack decisions that are made, and how far should that go?

Jason Clark: I think that one, security needs to be built into everything from the beginning, right? You build security in. That's still probably a challenge a lot of places, but that's the only way to have really good security, and it's to simplify. The enemy of security is complexity, right? I always probably see the aspects of quality and security, that the difference of the cost of building it in right to begin with versus the cost of coming and being reactive, and trying to remediate is significant, so I think security should be in the beginning of that conversation. I think that security is in a unique spot, because think about what other IT leader other than the CIO spends as much time with the board, and regulators, right? Their job is to really understand the entire aspect of the business on every angle, whereas the infrastructure teams aren't... They're not tasked the same, right? And the app teams are kind of, a lot of times, spending time on their specific apps, and not necessarily the SaaS apps, as an example, which might be half the apps and that the business is operating on. Whereas security and CIO, and I would say enterprise architecture, all three of those, they should be doing it together. I feel like the CISO and head of enterprise architecture should be the right- and left-hand leaders to the CIO, and the three of them look at the whole picture together, and make that decision. Security has a lot of roles in it. It just really depends on the strength of the CISO. You know, really strong, business-led, business leader CISOs are very much in that conversation from the beginning, before they even decide to build something. "Hey, we're going to enter this new market," right? "We're looking at doing this acquisition. We're going to enter and do business in China," right? Or, "We're going to build this new innovation." The strong security leaders are in those conversations with the CIO, with the CTO, but then you still have a significant amount of kind of IT, or let's say infrastructure born and never really left infrastructure security people, that they're not getting invited to those conversations because they have less value to add. They're not going to talk about how, as you enter that market, how to maximize the acquisition of customers, the retention of customers in that space, and how to create trust in the market and function.

Mike Anderson: You made a point earlier where you talked about understanding the business, right? I think the first thing you have to do is definitely be a student of the business you're in. That's the key thing of any business leader. I've always told my teams, "You can't change what you don't first take time to understand," so a lot of times, people come in with their playbook saying, "I did this at this other company, so I'm going to do the same thing here, and it's going to work." And a lot of times, you have to take time to understand, which is why when you go through any MBA program, they say your first 90 days on any new job is you take time to understand the business you're in, and learn, and ask a lot of questions, and don't try to form a lot of decisions. You may have some opinions that are forming, but make sure you ask a lot of questions and get perspectives from different angles. One of the comments that comes up a lot too is around this whole zero-day exploit. You talked about application teams. Today, as I build apps for cloud, I'm going and I'm pulling data or pulling applications from git repositories. I'm pulling out data or applications from public cloud, which is a lot of open source technology. And then what's happening today is people are concerned if there's a zero-day exploit like Log4J, how do I go identify all the places I'm using these bits of code within my applications that I'm building, right? So as I think about tech stack, what are some thoughts you have on... What can security leaders, and IT leaders, and app leaders do around making sure that they can identify that? If you think about this whole software bill of materials, right? That's been a new topic as well. How does all that come together when you think about from a tech stack standpoint and zero-day exploits?

Jason Clark: This is a big one, because it's really about doing asset management really, really well, right? And that gets a lot harder in a world where you have probably 100X more providers in a cloud world than you ever had, or you don't own that infrastructure, right? And you don't even know what other tools that they're using, so you have third-party, fourth-party, fifth-party, sixth-party technologies that are all playing a part in this. I think that just... Third-party risk just got almost impossible in today's environment, so that is something I think the industry needs to solve, number one. So you can talk about it for your own products, or stuff sitting in your data center, but as soon as you start expanding out to everything SaaS, or platform as a service, I think that just change. Now, security can do a lot. In Netskope, we spend a lot of time on this topic with our customers, and even internally ourselves, understanding just all the apps, and then having some type of app at the station to know what the nth-party applications are, and whether those do good security or not. A simple example, where let's say our HR team decides that they want to use an app that's got 28 employees sitting in Atlanta with an app hosted in AWS, but they don't have a single security person on the team. But they're not compromised, right? But how much data do we want to give this organization? We should be in the middle of that conversation as a security and technology organization, with that business unit. I think a lot of people look at that as shadow IT, but that's really business IT, and we want to enable it, but enable it safely. So that's the third-party part of the conversation, but then I think it translates all the way down to when I say asset management, I think it's people. All your users, what do they have access to? And you can't just look at Active Directory anymore and know, right? Because you've got all the business IT SaaS apps, that might have two-factor authentication, but those business admins in the marketing department or in the HR department are the ones defining the access, and it's not consistent. So we need to be in a world where we can know every user, everything they're using, all the access to the data they have, how their behavior has changed and how that's different from their peers, correlated to how risky is that app. We should have a real time risk dashboard by user, by app, and by data. That doesn't exist today. I mean, you have to do it manually using technologies, right? We play a role in that, but there isn't like this one uber way to solve, I'd say, the asset management problem. So I kind of took it a level above more zero days.

Mike Anderson: You know, when I think about tech stacks, if I look at the market we're in today, a lot of people would say we're already in a recession or we're heading towards a recession, right? We were talking around the business value, right? It's the reducing risk. It's reducing cost. It's improving my organizational agility. You know, when we think about that, obviously that cost becomes front and center. So does risk, right? When we're in a tough environment, whether we look at COVID, the bad actors try to take advantage of those environments. And at the same time, there's a lot more pressure and sensitivity on cost. It's interesting. When I talk to a lot of leaders, there's these acquisition of a lot of tools, right? Best-of-breed everything, and I always say, it's kind of like Baskin-Robbins, right? You wake up one day and you've got 31 flavors of ice cream in your tech stack. So now it's kind of like how do I get... Maybe it's not best-of-breed, but it's best-of-suite. What are your thoughts on that, and how will that play into some of the security decision-making going forward? As CISOs, and CIOs for that matter, are looking at investments in their security stack, how is the economic climate going to impact some of that decision-making when they think about the number of vendors they work with and where consolidation may occur?

Jason Clark: There's a couple of parts to that. One, the unfortunate or the hard thing about security is that you have an active adversary, who is constantly trying to break in, right? So they're innovating, and then you've got this very fast-growing attack surface of cloud, cloud apps, mobile devices, people working from home, and APIs, which I think APIs are probably even the fastest-growing attack surface, that people aren't doing a whole lot to protect right now. And so you just say, "Okay, I've got this really fast-growing attack surface, and I've got this innovating bad guy. That's what's resulted in this proliferation of a lot of security technologies." Now, their good news is, on certain parts, certain elements, the platforms are there. They're one complete platform. I think SASE and Security Service Edge is a perfect example of where you're keeping up with the bad guy through feeds, right? And as long as you follow your data and you follow your user, and you're basically just taking legacy stuff on the perimeter and moving your new network security into the cloud, and making it data smart. So the innovation is that all of a sudden, what used to have to happen with 10 boxes, and not even efficiently, you're now moving that to the cloud and making it one brain. So the way, I think, you get ahead is you can... The platform has to think as one brain of your data security, and then that nervous system is the traffic that goes through it. Once you do that, you can all of a sudden get ahead of the bad guy, and you can start to reduce that attack surface again. The issue is, where you can't get access to the traffic, such as stuff that's just sitting in a cloud environment, where you're worried about that infrastructure, and it's not the traffic. Now how do you insert yourself on every single type of use case or attack surface, right? So there isn't a platform that can solve that yet, but SASE will help the secure access part of it, which is significant.

Mike Anderson: So I want to switch gears a little bit and go back to a comment you made earlier, about people, right? When we think about the team sport and teaming up on security, one of the things is our people, like what role our people play in that whole security as a team sport. I was really excited this last year when I was in our St. Louis office, and I was handed my human firewall t-shirt, because I thought that was super cool. I'm part of the team, you know? So what are your thoughts around how do we enable our people through security, and what role do our people across our organization play on teaming up, and getting ahead of the bad actors, and being part of the solution?

Jason Clark: That's the most important element. It's the people. That's where most of the accidents happen, right? It's a misconfiguration of something, or it's an accidentally sending out, right? Most stuff's not malicious, but also, it is people involved in insider threat. That is also malicious, right? So it's the people element that has the most amount of opportunity to solve. Any program, and any technology that's engaging with the user in the conversation, right? So kind of moving from an on-off, yes-no, where kind of security has always got this bad rap of being the office of no. You know, there's many security leaders I'll talk about, they walk down the hall and other people in the other parts of the organization will turn around, because they don't want to run into the head of security, right? Versus really being known as just being this very collaborative person. A lot of times, people will say, "We need to reduce risk and we need to reduce friction." Actually, friction's an okay thing. You want to be able to pump the brakes. It's just let's not slam on the brakes, right? For every little thing. A couple examples that we do is one, we have champions and warriors kind of out in the business, especially on the engineering team as an example, and where there's MBOs aligned to helping make sure that we have good, quality code, that people are getting bonused on 100% of the stuff that they write goes through the security pipeline review process, right? Versus skipping it. So people get incentivized for that kind of stuff. People get incentivized in the company for catching bad guys, even though it's not defined as their job, but because this is back to the team sport, we're creating a culture where daily, we get something, "Hey, I got this weird text message that acts like it's from our CEO. Asked me to send a gift card," and we get these notifications and alerts all coming through the SOC. Every month, we have awards for that. Taking that further, the other aspect is our technology. We want to build it into the Netskope technology, right? That obviously, we're a massive consumer of. It's one of the most important pillars of our own security program, but for our customers, one of their favorite things, especially the CIOs we talk to, is where a popup comes up and says, "Hey look, I know you're trying to upload this thing, but can you type the one business sentence reason why? Just tell us why, and we'll let you go." 98% of people back out. So that's just a fun way to engage. Or just-in-time train them, saying, "Hey, look. You're sharing this file outside the company, and you've assigned and said it never goes away. I'm allowing this person to have access forever," and it makes a suggestion that says, "Well, why don't you just maybe give them access for 48 hours and start with that, versus forever?" Just little nudges and training to people, kind of have a system that engages with them, where you're not just saying no. You're saying, "I'll let you go. Just tell me why." And then you find people self-select out. That's, to me, how you start to create this culture, and that's a human firewall, where you're allowing them to make the decision. You're empowering them.

Mike Anderson: You know, so Jason, one of the things we've talked about a lot is we want to create better digital citizens, not just within Netskope, but within our customers as well. Because at the end of the day, what we really want is our people to not click on the links they shouldn't click on, not buy applications without working through IT and security, right? Really, we want to create better digital citizens. As we think about that, I want to pivot a little bit. You made a comment at the very beginning of our conversation, around HR. And it's interesting. I'd sat down with Marilyn, our chief people officer, but she was talking about… She came from a customer, you know? She came from Anaplan. They were a customer of ours, and she talked about how she partnered with the CIO on rolling out Netskope, because obviously we sit between users and all the applications and things they access. We have all internet traffic running through us. What are some ways you feel like... and maybe some examples of where you've worked with HR leaders in the past, as you've rolled out security programs, or even some CISOs you've worked with? What are some examples of where HR's played a pivotal role in the security program at large?

Jason Clark: I think that it's one of the most important relationships that a security team can have. From the beginning of security, HR has probably generally been a pretty close partner. Sometimes in the beginning, it was for the wrong reasons. It was, "I want to know about this employee's behavior," right? And they'd become a user of your web security gateway because they'd want to make sure employees are not doing bad things, they're doing their work, right? But that relationship has been built over time, starting there. Then it kind of merged into the, "Let's have a process around background checks, and making sure that people should have access, and what they should have access to, and how much do we trust them?" Now, as we kind of think about just the new world, of people working from everywhere, and this hybrid environment, and we talk about security from a culture standpoint, HR is... And this is where I see people having the strongest conversations. It is around culture. It is around how do we create a security culture? And the chief people officer generally is the custodian of that, right? The CEO sets the tone. The leadership team sets the tone. But HR are the real custodian, and they're also a good balance of like how far should we allow them to make a decision, or how far should we put the brakes on things and control? What's the process that we do when somebody isn't being a good digital citizen, kind of as you said, right? How do we manage that, and coach the security team on the most appropriate way not to necessarily go slap somebody's hand, right? But to maybe go work with leadership and give them coaching like, "Hey, next time, this is kind of how we should do this," you know? But what happens if they just say, "No. I'm just going to keep doing what I'm doing"? They need that guidance from HR, from a cultural standpoint, on what's the best way to kind of approach that. And I think again, just making HR part of the education process for security awareness, and as you start thinking about privacy, right? Again, you start bringing in legal, and I mentioned the CMO earlier. I mean, the security team has a hard job to do of marketing their program, internally, and inspiring people to want to be part of it, that marketing can help. So I'd say when I think about the top partners, other than the IT organization, it is the chief people officer and the chief marketing officer.

マイク・アンダーソン:人生で唯一変わらないのは変化ですが、最も難しいのは変化ですよね? 人々を変化に適応させるにはどうすればよいでしょうか? そして、私たちが置くとき...攻撃対象領域のような言葉は、経理の人や組織の最前線にいる人にとっては何の意味もありませんが、セキュリティの観点から考えるとすべてを意味します。 ですから、このハイブリッドな働き方全体で攻撃対象領域が爆発的に増加したことを人々が理解するのを助けると思いますよね? ですから、私たちは相互作用の方法を変える必要があります、そしてそれはそうでなければなりません...セキュリティは文化に組み込まれている必要があります。 仰るとおりです。 そこにマーケティングを行い、変更管理を中心にマーケティングを行うことは素晴らしいアイデアです。 多くの人がそれを採用していないのであれば、それは間違いなくすべきことだと思います。 ここで別のトピックにピボットしたいと思いますよね? Security Visionariesポッドキャストのシーズン1を行ったとき、セキュリティトランスフォーメーション、プレイブック、市場はどこに向かっているのかについて話しました。 将来を見据えた会話が多かったので、今は2030年に早送りしたいと思いますよね? 物事がどのように進化するかを考えると... ご存知のように、ゼロトラストは今日の大きなトピックです。 それは将来どのように影響しますか? ゼロトラストは、2030年も私たちが話しているトピックですか?

ジェイソン・クラーク:私の最初の考えは、それがより良い名前だったらいいのにということです。 それは閉じ込められており、規制に組み込まれています、そしてつまり、それは大きなものになりつつあります。 名前はよくありませんが、コンセプトは完璧です。 誰もが完全な概念をよく理解しているとは思わないので、これが最も重要な部分なので、少し説明します。 すべてをゼロトラストするわけではありません。 その反対は完全な信頼であり、人々はこれがバイナリであるように、世界をオンオフと考えています。 あなたが私の家に来たとしても、それは私があなたが家の中でやりたいことを何でもすることを信頼しているという意味ではありませんよね? 私はまだ「いいえ、あなたは私の居間に来ることができます」についてのコントロールを持っていますよね? あなたは突然私の冷蔵庫からあなたが望むすべてを取るだけではありません。 コントロールがあり、それは私があなたにどれだけのアクセス権を与えるかです? だから私はあなたがゼロトラストを持っていると思います、そこで私はゼロトラストです...たぶん私はあなたのデバイスをまったく信頼していませんが、それでも私はあなたを人として信頼するかもしれませんよね? ユーザーとして、または私はそのアプリを完全に信頼していないかもしれません。 したがって、あなたはそれに行くことができません。 しかし、信頼のレベルがあり、私はそれを0から5のスケールのように見ています、5つは完全で絶対的な信頼です、なぜならあなたは6つの異なるエージェントを持っていて、あなたは隣に座っているからです...私は医者の例えを使います。 あなたは医療機器で死にかけている患者の隣に座っていて、その場でリアルタイムにアクセスする必要があります、そのデータで必要なことは何でもできます、その医者は通りを渡って競合する病院に行き、医者はiPadで、それでも患者にアクセスする必要がありますが、ダウンロードできません、 だからそれは表示です、患者情報だけをオンラインで編集します。 そして、その医者は家にいます、そして今同じこと、同じシナリオですが、そのデバイスと医師の家のネットワークが危険にさらされていることがわかっています。 悪者がいるので、ゼロトラストに行きますが、この善良なデジタル市民と関わり、「これは緊急事態ですか? はいの場合、リスクを受け入れます。 この患者を助けるためにこのデータを見る必要がありますよね? ですから、それがオンオフではなく、本当にすべてのアーキテクチャ、すべてのアプリケーションに組み込む必要があり、ゼロトラストがないことを人々が理解している限り、それは素晴らしいコンセプトです。 それは私たちが注意する必要があるもう一つのことです。 それは本当に建築です。

マイク・アンダーソン:ゼロトラストを初めて聞いたとき、ゼロベースの予算について考えました。 私たちは常に予算を持っています。 私たちはそれらをゼロから構築するだけです。 ゼロからのスタートですが、理解したことや文脈に基づいて積み上げて適応していくので、そこはいいところだと思います。 多くの場合、私たちは未来について話しています。 ここ数年、多くの人が言うのを聞いてきましたが、特にパンデミックの間は、いつも「私の水晶玉が壊れています。 本当に未来が見えません。 私は物事を予測することはできません。」 2030年に向けて、ITリーダーやセキュリティリーダー、CISO、CIOと話をして、明日の成功に向けてより良い準備をするために、今日もっと投資できたらよかったと思うことは何ですか? それは何でしょうか?

ジェイソン・クラーク:まずは人から始めましょう。 つまり、私たちは皆... 人材のギャップがあり、その人材のギャップは大きくなっていると思います。 その多くは、マイクのように長い間これをやっている人たちが、おそらく時々彼らのやり方にとらわれているからであり、25年、私は本当に何か新しいことを学ぶ気がしません。 私はデータセンターのサーバーとネットワークインフラストラクチャで作業するのが好きです。 そして、それらが去るとき、私たちはどのように新しい人々を育てるために、またはそれらの人々を移行に育て、よりDevOpsの人になり、その道で彼らを助け、なぜそれが彼らの将来にとって重要なのかを示すために投資していますか。 私たちはセキュリティに大きな人材ギャップの問題を抱えており、誰もがそれについて話しているのを目にします。 サイバーセキュリティの学位を取得して大学を卒業し、サイバーセキュリティの仕事に就けない子供はたくさんいますが、それでも、私たちは何百万人もの人々、何百万ものオープンな仕事です。 私の街では、ここセントルイスには、現在3,000のオープンセキュリティロールがあると思います。 学位を取得したばかりで就職できない子供を6、7人知っていますが、それは誰もがすでに資格があり、すでに経験を積んだ人を欲しがっているからです。 ですから、ITのすべてのリーダーは、「あなたは何を知っていますか? 高校であろうと大学であろうと、学校を卒業してすぐに人を雇うつもりです」と、大学である必要はないことにも気づきますよね? 「そして、私たちは、私たちが本当に迅速に成長できる、適切な素質を持っている経験の浅い人々を雇うつもりです。」 それを誓うのは[聞こえない00:33:58]ような気がしますし、私にとって、それは大きなことであり、未来への投資だと思います。 それが人側です。 2つ目は、セキュリティの観点から、1つの頭脳が必要です。 セキュリティの頭脳は1つではありません。 私たちは一種の記憶を持っています、それはシムです。 それは事後です。 私たちが持っているのは、これらすべての異なるシステムがあるということです。 VPN用のソリューション、Webトラフィック用のソリューション、クラウド用のソリューション、および「ああ、ファイアウォールを通過するtelnet FTPトラフィックです」というソリューションがあります。 それはユーザーがアプリに行くだけですよね? ですから、「データ保護ソリューションの頭脳が1つ必要だ」というようなことに気づいていない人は、彼らにとって大きなゲームチェンジャーになると思います。 2030年までにそれをしていない多くの人々が...彼らははるかに遅れをとっており、それから多くの合併症を抱えることになります。

マイク・アンダーソン:あなたが人々について話しているとき、私はあなたのポイント、最初のポイントが大好きでした。 私はソフトスキルの採用を固く信じています。 人々が必要とするソフトスキルは何ですか、そして彼らが必要とするいくつかの基本的なスキルは何ですか? あなたが適切な空腹を得て、適切なソフトスキルを手に入れれば、その人に何でも教えることができますよね? そして、それは私たちが見落としがちなことだと思います。 現実には、それらの人々は彼らのやり方で設定されていません。 多くの場合、10年の経験を持つ人を獲得し、彼らは物事を行う1つの方法しか考えず、多くの場合、新鮮な粘土の人を取得して、今日必要なスキルセットで希望どおりに成形するよりも、誰かを別の考え方に変える方が困難です。 だから私はそれが...スキルアップは間違いなく重要なトピックです。 私はあなたにいくつかの急速な質問をするつもりです、そして私はあなたにこれらに対する答えを与えてほしいです、そしてそれから私たちは今日のセッションを締めくくるつもりです。 まず、これまでに受けた中で最高のリーダーシップアドバイスは何ですか?

ジェイソン・クラーク:私にとって最も大きな影響を与えたのは、あなたの仕事をラインに置くことを恐れないことです。 それは現実のM&A取引であり、私たちは非常に大きな組織を買収していましたが、彼らが私たちにこの組織を切り開くことを望んでいた方法は、私たちを重大なリスクにさらし、M&Aの責任者は基本的に「ねえ、私たちはこれをあなたのCEOに持っていきます。 彼はあなたがこの取引を遅らせていることに満足するつもりはありません。 それは私たちにたくさんのお金がかかるでしょう。」 そして、私は少し緊張しましたよね? そしてそれを上司に持って行ったところ、彼は「いいえ。 あなたがあなたの仕事をラインに置いていない限り、あなたはあなたの仕事をしていません。 恐れることはありません。」

マイク・アンダーソン:素晴らしいアドバイスです。 次に、あなたの最後の食事は何でしょうか?

ジェイソン・クラーク:私は地中海に座って、おそらく3つの異なるものを持っていたいです。 前菜はガスパチョスープ、そして素晴らしい、スパイシーで素晴らしいレッドソースパスタ、そして第三に、地中海からのある種の素晴らしいシーフードです。

マイク・アンダーソン:すごいですね。 あなたの好きな曲は何ですか、そしてそれはあなたについて私に何を教えてくれますか?

ジェイソン・クラーク:それは私が育ったもので、私の魂を養い、子供の頃に聞いたように聞こえます。 それはビートルズでしょう、または...私のお気に入りの曲は、おそらく、グレイトフルデッド、悪魔の友のようなものです。 それはあなたに何を伝えますか? わかりません。 私はおそらくもう少し年上の魂だと思います。 わかりません。

マイク・アンダーソン:さて、あなたが最後に読んだ本は何ですか、そして重要なことは何でしたか、またはその本について何が一番好きですか?

ジェイソン・クラーク:私が最後に読んだ本はグレイマンでした。 私は一種の軍事スリラーのようなものが好きです。

マイク・アンダーソン:わかりました、最後の質問です。 誰を最も尊敬していますか、そしてその理由は何ですか?

ジェイソン・クラーク:尊敬する人がたくさんいます。 一番尊敬する人がいるかどうかはわかりません。 おそらく歴史を通して、私たちの元の大統領のような人々がいるでしょう? またはベンジャミン・フランクリンなど。 しかし、私はあなたに誰かに話します、そしてこれは人々に少し物議を醸しています、しかし私はイーロンマスクの輝きを賞賛します。 そして、そこには人々が挑戦したり反対したりするかもしれないことがたくさんありますが、彼が一人の人間として行った革新、そしてそれが私たちの生活をどのように変え、私たちの生活を変えることに焦点を合わせ続けているか、一人の人がそれだけの革新をすることは... つまり、それはかなり素晴らしいです。

マイク・アンダーソン:ええ、彼は間違いなくいくつかの素晴らしいことをしました。 だからジェイソン、これは素晴らしかったです、そして私はシーズン2のホストになり、バトンを引き受けることにとても興奮しています、そして私はこのポッドキャストの基礎を築いてくれて本当に感謝しています。 去年はたくさんのリスナーがいたと思います。 うまくいけば、私はあなたが昨年したようにそれを正義にすることができます、そしてうまくいけば、私たちはあなたをシーズン2ですぐにショーに戻してくれるでしょう、それでどうもありがとうございました。

ジェイソン・クラーク:彼ら全員の話を聞くのを楽しみにしているので、楽しいものになりそうです。

Mike Anderson: 今日の Security Visionaries ポッドキャストのエピソードを Jason Clark と一緒にご覧いただきありがとうございます。 私はあなたにいくつかのポイントを残したいと思います。 今日のジェイソンとの会話から得た3つのポイントは、何よりもまず、セキュリティはチームスポーツであり、それはエグゼクティブから始まります。 CIOとその組織内だけでなく、