リーマン・カーンによる「すべては人々から始まる」

Rehman Khan: それはデザイン、セキュリティデザインになると思います。先ほども申し上げたように、セキュリティ設計に重点を置き、セキュリティへのアプローチを単なるツールの羅列ではなく、一歩引いて組織全体、プロセスにセキュリティを組み込むように設計する必要があります。

プロデューサー: Netskope の CSO、Jason Clark が主催する Security Visionaries へようこそ。本日のゲストは、チャールズ・シュワブ社のセキュリティ戦略、研究、設計担当ディレクターのレーマン・カーン氏です。20年以上の警備経験を持つレーマン氏は、さまざまな人々と仕事をしてきました。このような経験を踏まえると、人材を倍増させるのが彼の最大の推奨事項の 1 つであるのには理由があります。セキュリティ リーダーが適切なチーム メンバーを選ぶと、大きな波及効果が生まれます。これらの決定の重要性が、セキュリティ分野でのキャリアの成否を左右します。だから賢明に選択してください。インタビューに入る前に、スポンサーからの短いメッセージをご紹介します。

広告: Security Visionaries ポッドキャストは Netskope のチームによって運営されています。Netskope は、今日のビジネスのスピードに合わせて、高速でデータ中心、クラウドスマートなユーザー エクスペリエンスを提供するために必要なすべてを提供する、大胆なリーダーです。詳細については、 Netskopeをご覧ください

プロデューサー: では、早速、チャールズ・シュワブ社のセキュリティ戦略、研究、設計担当ディレクターの Rehman Khan 氏とホストの Jason Clark 氏による Security Visionaries の第 8 話をお楽しみください。

Jason Clark: Security Visionaries へようこそ。ホストのジェイソン・クラークです。Netskope の CSO です。そして今日は、新しいゲスト、リーマン・カーンが参加します。 レーマンさん、あなた自身について少し教えてください。

レーマン・カーン: やあ、ジェイソン。はい、ここに来られて嬉しいです。私は基本的に、チャールズ・シュワブのセキュリティ戦略、研究、設計組織を率いています。そして、私はミズーリ州セントルイスに住んでおり、そこにほぼ 8 年間住んでいます。そして、その前はミネアポリスにいて、サイバーセキュリティの分野で約12～15年間働き、その間に他のこともやっていました。それが私です。

ジェイソン クラーク: そうですね、私があなたを知っている間、あなたは建築家で、数多くの大企業、グローバル企業の建築部門の責任者でした。あなたはこれまで所属してきた組織に大きな影響を与えてきました。でも、今気づいたのは、あなたの髪の毛が前回会ったときよりもずっと短くなっているということです。それはパンデミックの結果のようなもので、それから、今何インチ切ったのかさえわからないようなところから出てきたのですか。

レーマン・カーン： ええ、そうですね。ねえ、私たちはみんな、自分の小さな欲求や望みをいじくり回しているんだと思うよ。そうですね、たぶん2週間ほど前に6インチ痩せたと思います。新しい年に向けて大掃除をしようと思いました。 それはなくなり、新たなスタートを切ることになるかもしれないが、このパンデミックは間違いなく、髪を長く伸ばすチャンスを与えてくれたと言えるだろう。

Jason Clark: 家族や職場で、あなたに対して最も良い反応を示した人、あるいは最も悪い反応を示した人は、どのようにすべてを切り捨てましたか?

Rehman Khan: 彼らは私が提示した通りに私を受け入れたと思います。私にはいつも何かが起こっているようです。つまり、私はあごひげを生やしていて、数年後には突然あごひげが生やされるのです。だから、人々は私の外見の変化に、ある意味、 使う 関心を持っているのだと思います。 でも、正直に言うと、人々は概してとても好意的だったと思う。でも、ワシントン大学の学長の一人だったと思うが、彼らが私を見て「わあ、サバイバーショーに行ったの？」と言ったことが何度かあった。つまり、文字通り、彼らの反応は「どこにいたの？」という感じでした。そうですね、良い点も悪い点もあると思いますが、ほとんどの人は親切で、そのことを理解してくれました。

話者5: 深く掘り下げます。ダイビング。ダイビング。ダイビング。ダイブ。

ジェイソン・クラーク：つまり、6か国語を話せるということですね。それらがどのようなものか、そしてそれがあなたにとってどのように価値あるものであったかについて、少し教えてください。

レーマン・カーン： そうです。本当に、私のバックグラウンドが成長するとしたら、私はクウェートで生まれました。 私はそこで育ち、その後アブダビに行きました。父はルフトハンザ航空で働いていたので、私たちが世界を旅することができたパターンがわかると思います。 そして、私はアブダビからミネアポリスに引っ越しました。それは大きな変化でした。しかし、あなたの質問に戻ると、実際のところ、アブダビは私が国際的な人々から学び、交流する機会を得た都市だと言えるでしょう。そして、ドイツ語も学びました。アラビア語はすでに存在し、ウルドゥー語も続いていました。そして、それが私に共鳴し、私のパレットを構築し続けたと思います。

ジェイソン・クラーク：そのことについては考えます。私も軍人の子供としてグローバルに育ちました。そして、私は、どうすれば同じような経験を子供たちに与えられるだろうか、と考えます。私は子供たちに、生涯ひとつの都市に留まることなく、世界市民として成長してほしいと思っています。私が決めたのは、2年後から毎年夏を違う国で過ごすことです。そうやって私は、できる限り彼らを世界市民に育てていくつもりです。

レーマン・カーン： そうです。いいえ、それは素晴らしいアイデアだと思います。つまり、パンデミックのおかげで、今後数年のうちに、私たちは自由に動員できるような機会を得られることを期待していると感じています。その理由の一部は、自宅にいながらにしてこれらの言語をすべて学ぶことができるだけでなく、サイバーセキュリティなどでも同様のことを行っているからです。しかし、その一部は相互作用に関するものです。そして、個人的な生活でも、人々と交流すると、本当に学ぶことができます。そして、旅行することで学ぶことがあると思います。あなたは子供たちに自信を植え付けます。それは素晴らしい計画だと思います。私自身もそうしたいと思っていますが、状況に対処しなければならない環境に行ってから始めることが重要だと思います

ジェイソン・クラーク: それは文化です。

レマン・カーン：そうだね。

ジェイソン クラーク: 2 種類の人間がいるような感じです。どこかに行って、「よし。ここに10のサイトがあります。「彼らに会いに行きたい」という人や、グーグルで検索すれば出てくる人、あるいは「文化に触れてみたい」という人などです。食べ物を取り組みたい。 人々に会いたいです。地元のバーに行きたいです。」それは、あなたが達成しようとしていることの本質とはまったく異なるものです。それで、私は通常、もう少し後でこの質問をするのですが、今は、セキュリティに携わるようになった上で、お気に入りのセキュリティ分野は何ですか?アーキテクチャを実行し、それを何度も繰り返し実行することで、CSO のようにすべてのセキュリティ ドメインを監視することになります。あなたのお気に入りのドメインは何ですか？

レーマン・カーン：ああ、それは難しい質問ですね。2つあげてもいいですか？

ジェイソン・クラーク: ええ。最初に、そして次に 2 番目を教えてください。

レマン・カーン：わかりました。言っておきます。アイデンティティとアクセス管理は私が育ち、学んだ分野であり、これからも進化し続けます。それが私の最初のものだと思います。これが基本であり、そのすぐ後にデータ セキュリティが続きます。あの二人はいつもそこにいた。うん。つまり、それらはある意味では連動していると思います。アプリケーション セキュリティの観点から見ることができます。でも、そうですね、それらは一種のドメインだと思います。

Jason Clark: 素晴らしいドメインですね。では、もしあなたに尋ねなければならないとしたら、あなたが最も嫌いなものは何ですか？

レーマン・カーン：これは上記のすべてに当てはまるかもしれませんが、いわばセキュリティ運用の一種と言えます。これは非常に重要な側面ですが、セキュリティ運用についても同様に感じています。その理由を説明できるかもしれません。

Jason Clark: それは別の種類のストレスです。手術が嫌いな理由を教えてください。

レーマン・カーン：そうですね、私はデザイナーです。私はずっとデザイナーでした。私は美学を追求しています。私は実際のデザインを求めています。そして、私たちが現在の状態で事業を運営しているのは、デザインに重点を置いていないからだと感じています。私たちはセキュリティを考慮してセキュリティ ソリューションやアプリケーションなどを設計しているわけではありません。そして、それには残留リスクと影響があります。それが今日のセキュリティ運用なのです。つまり、それが私がそれを避けている理由だと思います。なぜ私たちはそれについてそんなにストレスを感じなければならないのでしょうか?なぜ他の業務ドメインと同じように自動化できないのでしょうか。彼らは働いており、機能しており、製造しています。つまり、他のビジネス分野を取り上げた場合、

Jason Clark: 他人の悪いデザインのせいにはされたくないですよね。あなたは尻尾になりたくないでしょう。物事を修正し、正しく設計したいと考えています。

Rehman Khan: そうです。

Jason Clark: とても理にかなっています。わかった。基本的に、悪いデザインを見ると、運用面でイライラすることになります。

レーマン・カーン： そうです。うん。そして、何度も何度も目にすることになります。つまり、Log4j でそれを見ています。言ってみれば、それはある意味興味深い風景です。

ジェイソン・クラーク：あれは、多くの人の12月を傷つけたと思います。多くの人々の休暇に悪影響が出ました。少なくとも 45 日間話した人は皆、「ああ、何が起こっているの？」「ああ。Log4j。それが起こっていることだ。そのために私たちは慌てているんです。」あなたはいくつかの大学で教えていますが、私はいつもそれを称賛しています。それは次世代を助けるためです。その 1 つが私が MBA を取得したワシントン大学です。あなたのバックグランドやあなたが取り組んでいることにその大学名が載っているのを見て、とてもうれしく思いました。 それで、なぜそれをするのですか?次世代について、また彼らにサイバーセキュリティを教えることの重要性について、あなたの見解をお聞かせください。そして、彼らに何を教えるのですか？

レーマン・カーン： そうです。私はそれを本当に学習プロセスとして見ています。教えることによって、私は学んでいます。私が本当に重視しているのは、生徒と交流し、質問を受けることだと思います。そして、時には答えがわかるし、わからないこともあります。それは私が予想していなかったまったく違った質問です。つまり、それはある意味、自己達成的予言と呼べるものなのかもしれません。物事を先取りしようとしています。

レーマン・カーン：何を教えるのでしょうか？私が最初にこのプログラムについて相談を受けたとき、ワシントン大学にはアイデンティティとアクセス管理のコースがありませんでした。それで、ジョーと私は会って、そのことについて話し合いました。そこで私は言いました。「そうですね、私はアイデンティティとアクセス管理にかなりの時間を費やしてきましたが、サイバーセキュリティの証明書とプログラムに関しては、私たちが実際にはもっと時間を費やしていない分野だと思います。だから、それを使って何かをしましょう、ただしそれを理論的なものだけにしないようにしましょう。実際にラボを実装して、そのようなことに取り組んでみましょう。」そこで私はそのコースのカリキュラム全体を作成しました。そして、いくつかの授業を受けるうちに、アイデンティティとアクセス管理にはやるべきことがたくさんあることに気づき始めました。 他の分野と比べると相対的なものではありますが、すでに存在していたと言えるでしょう。それはもう

前からあるんだけど、ジェイソン・クラーク：古いけど、最も未成熟だよ。ちなみに、データセキュリティについても同じことが言えます。これらは両方とも古い業界、つまり古い領域であり、成熟度が最も低く、断片化が最も進んでいます。

レーマン・カーン： そうです。だから、私はそのことに驚き続けており、素晴らしいと思っています。つまり、変革を起こしてきたもう 1 つの点は、エンタープライズ ネットワーク セキュリティ コースです。私は実際に他の講師数名と共同で、観察モードで指導しました。そして、ゼロトラストネットワークやゼロトラストの概念については取り上げられていないことに気づきました。 私たちはまだ、従来のファイアウォールや、ほとんど時代遅れになったと感じられるような概念について話していました。そこで、私はそのコースを受講し、それを変革しました。そして今、私たちはゼロトラストネットワークに注力しています。 つまり、私は過去2年間それを教えてきたのです。 私はこのコースで本当に良い成績を収めました。

Jason Clark: ゼロトラスト コースはありますか、それともゼロトラスト ネットワークだけですか?

Rehman Khan: いい質問ですね。これをどのように実行したかというと、これはエンタープライズ ネットワーク セキュリティ コースの一部だったので、ネットワーク セキュリティの側面をコースに残しつつ、人物 ID とデバイス ID の概念も導入し、この情報が流れる基盤となるネットワークがあること、また、この人物が誰で、どのデバイスからアクセスしているかを知る必要があることを理解できるようにしました。 つまり、これはゼロ トラストですが、主にネットワークの側面に重点を置いています。私がコースで話し、学生たちと取り組んでいるコントロール プレーンとデータ プレーンは、実際には、このトラフィックがどこから発生しているかということに重点を置いています。それが良いトラフィックであるとどうやってわかるのでしょうか?

Jason Clark: 生徒から受けた質問の中で、最も難しかった質問は何ですか?

Rehman Khan: 一番難しいのは、現在の環境をゼロ トラストの考え方と実装にどのように移行するかということだと思います。それを実際にどうやるのでしょうか?これは難しい問題です。なぜなら、ゼロ トラストはまだそこまで到達していないと感じるからです。やらなければならない仕事がまだたくさんあります。たとえば、このデバイスが正当であること、このデバイスへのアクセスが許可されていることを実際に証明するには、環境内のすべてのデバイス、すべての構成を知る必要があるという概念があります。 さて、実際に信頼できる形でその情報を持ち、データ品質に問題がない組織はどれくらいあるでしょうか?組織ごとに異なるため、常に説明するのは難しいのです。 それが私にとって難しいことだと思います。

ジェイソン・クラーク：警備の仕事は非常に厳しいです。非常に複雑なため、CEO 以外では最も難しい仕事ではないにしても、C レベルの仕事の中で最も難しい仕事の 1 つであると多くの人が書いています。しかし、それを見ると、あなたは個人的にどうやってついていくのですか?非常に大規模な企業のすべての技術、すべてのアーキテクチャの責任者として、どのようにしてすべてに対応していますか?

レーマン・カーン：素晴らしい質問だと思います。そしてそれは闘いなのです。私にとっては、そう思います...先ほど言ったように、私は特にいくつかの分野に重点を置いています。そして、同業者との交流を通じて、最新情報を把握できるようにすることが目的です。私は当然たくさん読むので、いつもいろいろな記事を読んでいます。

Jason Clark: お気に入りはありますか?

レマン・カーン：そうでもないですね。ただ、あると思うのですが...伝統的な [Bruce Dyer 00:17:04] とそれらのタイプの-

Jason Clark: ええ、ええ。Dark Reading、CSO Online、そして-

Rehman Khan: そうです。

ジェイソン・クラーク: 驚くべき新しいものはありません...ウォール・ストリート・ジャーナルや新しいヨーク・タイムズ版のサイバーセキュリティ関連のものはありません。

レーマン・カーン： いや、そうではない。実際にはさまざまな情報源から情報を収集しているのです。私が生徒向けに行っている授業の一つに、サイバーセキュリティの観点からその日のニュースについて話すというものがあります。そして、私は正直になります。つまり、そこは私がほぼ毎日通っている場所であり、そこで情報を収集し、そして彼らは理由について、なぜ物事がそのように起こっているのか、そしてリスクを管理するために何ができるのかについて真剣に話し合います。それ以外では、主に人工知能に関する本を読んでいます。Gartners などの某レポート類を読んでみます。 でも、それはちょっと[聞き取れない 00:18:18]ですね。

ジェイソン・クラーク：わかりました。つまり、あなたは人工知能とおっしゃったわけですね。それについて話しましょう。あなたはそれについて読んでおり、明らかにそれがあなたの興味の対象であることは明らかです。サイバーセキュリティの観点から、それがあなたにどのような影響を与えたのか詳しく教えてください。

レマン・カーン氏：おっしゃるとおり、私たちの環境はますます複雑化し、サイバーセキュリティを強化する方法を見つけなければならないと思います。そして、現在のモデルでは、生成される情報の量に合わせて拡張することができません。そして、セキュリティ組織で私たちが作り出しているかもしれない燃え尽き症候群は、適切な問題に集中しているセキュリティ専門家たちにあると私は考えています。彼らは推論に取り組んでいるのか、それとも反応に取り組んでいるのか?ですから、人工知能が活躍できるのは、セキュリティやサイバーセキュリティといった狭い領域に着目し、特定の狭いタスクに注目して、実際に自動化を開始し、それらの狭いタスクに関する意思決定を行うことができるようになると思います。 たとえば、起こっている出来事を分類する方法があります。一日中これらのイベントを監視するアナリストを配置する必要があるでしょうか?なぜマシンラーニングを使って、実際にイベントをカタログ化し、あるレベルの意図を実際に使用し、それを結果と照合し、実際に結果を見て、これがマシンラーニングを使用した意図であるかどうかを確認することができないのでしょうか。

Rehman Khan: ですから、マシンラーニングはその観点から私たちを助けてくれると思います。特定の決定ポイントをフィルタリングして評価できる、焦点を絞った人工知能アルゴリズムに作業負荷の一部を移行し始めることができるのです。

ジェイソン・クラーク：あなたはたくさんの人を見てきましたが、建築家として一番優秀なのは誰ですか？ベンダーの面では、それを本当にうまくやっているのはどのベンダーですか?

Rehman Khan: ベンダーの面では?分からないと言うでしょう。わからない。...できるベンダーに出会ったことはありません。確かにそういう側面はあると思います。舞台裏では特定のアルゴリズムが働いています。しかし、公然と、少なくとも完全に [inaudible 00:20:57]

しているベンダーは見当たりません。 Jason Clark: わかりました。少しでも、「そうだ、彼らは正しい方向に進んでいる」と思える人がいましたか。彼らがやっていることは興味深い。」スタートアップか大企業かは関係ありません。

レーマン・カーン： そうです。CrowdStrike のような企業や、明らかに Palo Alto のような企業もあると思います。そういうことが少し起こっています。多くの研究が行われていると思います。しかし、必ずしも製品化されたバージョンがあるわけではありません...ディープウォッチがあります。挑戦している企業はありますが、まだ必ずしも勝者が現れるとは思えません。

ジェイソン・クラーク：わかりました。つまり、あなたにはインスピレーションがないのです。この時点で、あなたはインスピレーションを失っています。テクノロジーの面では、何に興奮していますか?

Rehman Khan: 複雑さや難しい問題ですね。つまり、問題を解決するのが好きなんです。

ジェイソン・クラーク： わかりました。そこで、クラウドを見てみましょう。クラウド セキュリティについて考えると、セキュリティの状況はどのように変化していると言えますか?たとえば、あなたの組織でクラウドが導入されていますが、CSO にとって、あらゆるセキュリティの実行と機能の方法はどのように変化していますか?

Rehman Khan: ええ。 パブリック クラウドは、実は私たちにとっては救いの手となるようなものだと私は思っています。なぜなら、これには 2 つの側面、2 つの視点があるからです。1 つは、パブリック クラウドによって、私たちが常に望んでいた規模が得られることです。その規模を活用してセキュリティ サービスを立ち上げることができます。ちなみに、これらのセキュリティ サービスは、ベンダーや調達業者から購入する製品である必要はありません。弊社独自のセキュリティ製品にすることも可能です。しかし今では、このインフラストラクチャと機能を立ち上げる必要はありません。実際にパブリック クラウドを活用してセキュリティ機能を強化することができます。そして、人工知能に注力し、検出と予防の観点から独自の世界を構築している組織にとって、データ サイエンスの側面の一部がよりスケーラブルになるのはそこだと私は考えています。

Rehman Khan: パブリック クラウドの 2 つ目の側面として、直接質問にお答えするのが難しいのは、やはり、パブリック クラウドの経験を持つセキュリティ プロフェッショナルが不足している、あるいは不足しているということだと思います。したがって、課題は、ソリューションを開発したり、移行中のクラウド ソリューションやアプリケーションを評価したりする人材が必要になることです。したがって、熟練した人材を確保できる必要があります。アーキテクチャの論理レイヤーにあたる考え方を理解できる必要があります。私たちはもはや物理デバイスやファイアウォール、アプライアンスを扱っていません。私たちはソフトウェアを扱っています。私たちはコードを扱っています。そして、これまで主にリスク評価タイプのアプローチ、つまりリスクを評価する一種の事後対応型アプローチに重点を置いてきた組織、セキュリティ組織を、市販のセキュリティ製品を実際に活用して実装する方法は何でしょうか。したがって、それをピボットできる必要があります。

Rehman Khan: 私の経験から言うと、そのために必要なのはコーディングをしっかり理解している人材で構成されたチームです。彼らは分散システムプログラミングをよく理解しています。そして、そのチームをセキュリティ組織にまとめます。そして、それは本当に大きな意味を持つと思います。他にも配信のメカニズムはいくつかあります。たとえば、[inaudible 00:25:17] 自動化を作成することもできます。ポリシーなどをコードとして作成できます。これらすべての側面は、一種の副産物です。しかし、私の考えでは、必要なのは人々です。適切なチームから始める必要があると思います。

Jason Clark: クラウドはセキュリティの救世主のようなものだとおっしゃったのが気に入りました。私も 100% 同意します。実際、これは完璧なリセットだと私は言います。まるでリブートのようです。これは、これまで経験したことのない影響力を得る新たな機会です。 クラウドは、正しく使えば私たちにとって非常に有益です。

Rehman Khan: あなたは明らかに Netskope にいますから、それを見ていますよね?クラウドの使い方、組織がどのように拡張できるかがわかります。 企業にとって、これはチャンスであり、既存のアプリケーションを実際に導入し、設計し、再設計して、パブリック クラウドの拡張性を活用しつつもセキュリティを確保できる、一度きりのチャンスだと思います。これは一度きりの機会だと思います。正しく行わなければ、結局同じ状況に陥ってしまうと思うからです。今は、コードが増えるだけで、その周りに構造がない可能性があります。だから、そういうふうに考えないといけないと思います。

Jason Clark: では、これまでのキャリアを振り返ってみて、これまでで最も良い決断の一つは何ですか、またその理由は何ですか?

Rehman Khan: ええ、何度かありますが、まず最初に申し上げたいのは、実は大学時代に電気工学の分野でキャリアをスタートさせたということです。 そして、電気工学のコースを受講しているうちに、製図ソフトウェアやその他いろいろなソフトウェアがあることに気づき始めました。 これを見て、私はこう言いました。「そうだな、なぜ私はコンピューターサイエンスに集中していないのだろう?これをどこに持っていきたいのか？」そして、それは私が下した最良の決断だったと言えるでしょう。私は電気工学から転向しました。私は実際、半分まで到達していましたが、コンピューターにずっと興味があったので、コンピューターサイエンスに転向しました。

レーマン・カーン：そして、この話を皆さんにシェアしなければならない興味深いことがあります。私は実際に組み込みプログラミングのキャリアを開始しました。 つまり、私は基本的にミネアポリスで働いていたのです。私は医療デバイスの会社で働いていました。 私たちは、基本的にインスリンや鎮痛剤を投与する輸液ポンプの事業を営んでいました。そして、私はそこで輸液ポンプ用のインターフェースを書くことからキャリアをスタートしました。 つまり、基本的には患者のポンプを制御モードにして、医師がそのポンプにダイヤルを合わせ、症状に基づいて再プログラムすることになります。それで、[聞き取れない 00:28:16]

Jason Clark: それらの 1 つには何行のコードがありますか?

レーマン・カーン：ああ、覚えてないよ。つまり、それは何百行ものコードであり、当時はすべてシリアル通信であり、それを実際に接続プロセスに渡していました。とにかく、私はその組み込みシステムの世界に足を踏み入れました。 実際、私はプロトコルを書かなければなりませんでした。なぜなら、この接続が安全で信頼できるものであることを確認する必要があったからです。患者が痛みを感じていて、接続が切断され、ポンプを再プログラムできない状況は避けたかったからです。それで、私はそこから始めて、また、そうしながらソフトウェアを見ていくうちに、ソフトウェアの力に気づき始め、「わあ、これはすごい」と思いました。 つまり、ここは...」だから、それが一種の変曲点だったと思います。そこで私は学位を取得し、コンピューターサイエンスに転向し、そのまま進み続けました。そして、そこからの切り替え、2 番目のポイントは、申し訳ありませんが、そこからビジネス アプリケーションへの切り替えです。それは2番目のようなものでした。

Jason Clark: それはどこで起こったのですか?

Rehman Khan: それは私が組み込みシステム部門を離れたときに起こりました。実は、カールソン・カンパニーズに行ってたんです。そして、私はそこでアプリケーション開発者としての仕事をやめ、そこでアプリケーションの開発に時間を費やし、その後チャンスを見出し始めました。 主に J2EE アプリケーションに焦点を当て、セキュリティの観点から機会を探りました。 つまり、もっと安全にコードを書く必要があるのです。ユーザーアクセスについて考える必要があります。証明書管理がどのように機能するかについて考える必要があります。つまり、これらすべての側面が現実になり始めています。 そうですね、そういうわけで、私の...

Jason Clark: 早送りして、5年後、10年後を考えてみましょう。

話し手6: 未来。あなたの未来。

発言者7: 未来。未来。未来。

ジェイソン・クラーク：今、人々が投資しておけばよかったと思うものは何でしょうか?アーキテクチャ、戦略、テクノロジーの観点から、何に投資すべきでしょうか?あなたの組織、あるいはどの組織でも、今後起こるであろう最も重要な変化は何だと思いますか？

Rehman Khan: いくつかあると思います。 そういう人たちを感じます。本当に適切なチームメンバーを選び、今その決定を下すことが、利益を生むと思います。私たち全員がその分野で苦労していて、才能が足りないのだと思います。そして、才能に投資できる必要があります。ですから、振り返ってみると、私の意見としては、私たちは人材やサイバーセキュリティ分野にさらに投資すべきだったのではないかと思います。そこにはまだまだ多くのチャンスがあると思います。人々は振り返って、「コンピューターサイエンスのバックグランドを持つ人材をもっと探すべきだった、あるいは彼らにバックグランドを取得させるべきだった」と言うでしょう。

レマン・カーン: 2 番目に申し上げたいのは、デザイン、セキュリティ設計になると思います。先ほど申し上げたように、セキュリティ設計に重点を置き、セキュリティへのアプローチ方法として、単にツールを大量に使用するだけではなく、一歩引いて組織全体、プロセスにセキュリティを組み込むように設計する必要があります。これらは、組織が過去を振り返ったときに、機会を逃していたと感じたいくつかの点だと思います。そして、それが今、才能ある人材の獲得競争が盛んに行われている理由だと思います。すべてのテクノロジー組織は、サイバーセキュリティの価値を認識しているため、サイバーセキュリティ分野に人材を増やす傾向にあります。

Jason Clark: 最後のセグメントは、少し個人的な話になります。

話者8: 早く、早く、早く。

発言者9: どうぞ。早く動かないと。

話者10: 早く行きたいです。

Jason Clark: セキュリティのあらゆる分野に精通していますね。あなたは、フォーチュン誌に名を連ねる数百の大手企業のアーキテクチャ責任者を務めてきました。いつCSOになりたいですか？CISOになりたいと思ったことはありますか？それとも、仕事内容を見て「いや、違う」と言いますか。

Rehman Khan: 先ほどお話しした通りだと思いますよ。我々はそれが戦略的な役割であると言っていると思いますが、それがまだそこまで到達しているかどうかはわかりません。これは依然として、「とにかく資産を守り、迅速に行動しましょう」という運用上の性格を持つ役割であると考えられていると思います。そうですね、いつかそれを追求する時が来るかもしれません。しかし、私にとっては、やるべき仕事が山ほどあるんだ、ジェイソン。設計の観点から、また実際には適切なセキュリティ ソリューションを設計する上で、まだやるべき作業が非常に多く残っているため、そこが自分の貢献すべきところだと感じています。そして、私はそこにおいて組織に影響を与えたいと思っています。

ジェイソン・クラーク：大好きです。君もいつかその仕事を引き受けることになるだろう、私はそう確信している。今後10年で話しましょう。あなたも参加すると思いますよ。では、セキュリティをやっていなければ、セキュリティが存在しなかったら何をしていたでしょうか?

Rehman Khan: どこかで料理長になると思います。

ジェイソン・クラーク：大好きです。どんな種類の食べ物ですか？

レーマン・カーン：そうですね、ほとんどはインド・パキスタン料理です。それが私のバックグランドです。 しかし、私は融合するのが大好きです。私はフュージョンが大好きです。それで。

ジェイソン・クラーク：それで、あなたはそれを何を融合しますか？では、インド・パキスタン料理を取り上げるとしたら、何と融合させますか？

レーマン・カーン：では、例を挙げましょう。アメリカ人はステーキが大好きです。私がステーキを準備する方法は、もちろん自慢しますが、私の娘たちは私が作ったステーキが大好きです。彼らはそれが世界最高だと考えています。でもパキスタンのスパイスを使っています。 私には、外には出せない特定の擦り傷がある。すべて私が独自に調合したスパイスです。そして、アメリカンステーキをパキスタン風にアレンジして作れるようになりたいんです。

ジェイソン・クラーク： そうです。うん。大好きです。それはすごいですね。いつか一緒に遊ぶことになりそうだね。

レマン・カーン：そうだね。

ジェイソン・クラーク： ええ、この混乱の中で。では、履歴書に記載されていないスキル、あるいはその両方、スキルと趣味とは何でしょうか?では、ほとんどの人が知らない趣味やスキルに重点を置きたいですか?人々が料理しているものは何ですか？

レーマン・カーン：そうですね、料理もその一つです。しかし、趣味である料理は私にとって精神的なものでもあります。いろいろな意味で、それは実際に私をリラックスさせるのに本当に役立っています。実際、それはちょっといいですね。私は音楽をリミックスすると言っていましたが、それはハウスミュージックのようなものでした。 それが大好きです。私は音楽全般が好きですが、そうですね、どこかで音楽をリミックスするのは、本当に...

Jason Clark: 大好きです。それも融合します。

レマン・カーン：そうだね。

ジェイソン・クラーク：音楽ではフュージョンをやっていると思いますよ。完全に。音楽をダウンロードしたり、あらゆる曲の MP3 をできるだけたくさんダウンロードしたりするのに 5 ～ 6 時間を費やしていた日々を覚えています。そうですね、それは良い答えです。では最後の質問ですが、あなたと同じ役割を担うことを志す人に対して、一番のアドバイスは何でしょうか?彼らに何をやるようにアドバイスしますか?

Rehman Khan: 私が言いたいのは、もしあなたが人材リーダーであるなら、周りの人々に力を与え、あなたの下に最高のチーム、一緒にまとめられる最高のチーム、信頼関係を築けるチームを作りたいと思うはずです。それが成功の尺度だと思います。そして、周りの人たちとそれを構築できれば、問題を解決するのはとても簡単になると思います。 ストレスを感じることすらできません。

ジェイソン・クラーク： そうです。そして、あらゆる種類の人々。結局のところ、人々こそが、あなたができる一番大切なことであると簡単に言えると思います。そして特に、建築をリードするあなたの役割においては、人々にインスピレーションを与えることが仕事です。それは彼らにやる気を与えるためです。なぜなら、あなたのチームは小規模ですが、組織内に技術系の従業員が何人いるかは分かりませんが、5,000人、10,000人はいるはずです。セキュリティのために、全員に何かをしてもらうよう動機付ける必要があります。そして、それを実際に達成するには、ポリシーを経由するわけではありません。 それは彼らにインスピレーションを与えることを通じてです。それは、彼らに関心を持ち、気にかけるように動機づけることです。つまり、あなたのチーム、つまりあなたの直属の部下も同じことをしなければならない、ということですね。 組織の他のメンバーにも関心を持ってもらうよう促さなければなりません。

レーマン・カーン： ええ、いいえ、リーダーとして、それは組織に大きな自信をもたらすのです。そして、何かを試させる「失敗」もできるようにしたいのです。 そして、それらをバックアップする必要があると思います。そしてそれはとても重要だと思います。建築家とエンジニアのチームを率いたい人は、彼らのスキルに頼らなければなりません。彼らの言うことを聞かなければなりません。

Jason Clark: 今日はこれで時間がございません。しかし、もし誰かがレーマン氏に遭遇し、連絡を取りたいと思ったら、LinkedIn で彼を見つけることができます。彼は素晴らしい人で、特にセキュリティ アーキテクチャやこれから起こる変化など、あらゆることについて話すのが大好きです。彼に出会ったら、ステーキにどんなスパイスをかけているのか聞いてみてください。絶対そうします。

Rehman Khan: ええ、それは秘密のレシピです。私の娘たちは信じられないほどそれを守っています。そして彼らはこう言うんです。「これはお父さんの秘密のレシピだよ。」そして私はこう言いました、「まあ、それはちょっとしたレシピです。全部やっているところですが…」

ジェイソン・クラーク: 彼らはレストランを開こうとしています。彼らはレストランを作りたいと思っています。

レマン・カーン：そうだね。

ジェイソン・クラーク：いや、本当に素晴らしかったです。今日はお時間をいただき、個人的な生活や好きなこと、サイバーセキュリティについてたくさんお話いただき、本当にありがとうございました。ですから、私たちがやりたいのは、この業界がより良くなるように支援することだけです。あなたが言ったように、それは...この会話では、50 回くらいおっしゃったと思いますが、すべては人々に関することであり、それが鍵であり、私たちがここでやろうとしていることは人々を助けることです。本当にありがとうございます。

レーマン・カーン： そうです。ありがとう。ジェイソンさん、この機会を与えていただき本当にありがとうございます。

ジェイソン・クラーク：素晴らしいですね。

広告: Security Visionaries ポッドキャストは Netskope のチームによって運営されています。デジタル変革の実現に最適なクラウド セキュリティ プラットフォームをお探しですか?Netskope Security Cloud は、あらゆるデバイスからあらゆるアプリケーションまで、ユーザーを安全かつ迅速にインターネットに直接接続できるように支援します。詳細については、 Netskopeをご覧ください。

プロデューサー：Security Visionaries をお聞きいただきありがとうございました。ぜひ、この番組を評価してレビューし、楽しんでくれそうな知り合いと共有してください。隔週で公開されるエピソードにご期待ください。次回もぜひご覧ください。