防衛業界におけるグローバル規制への対応

0:00:01.5 ベイリー・ハーモン: こんにちは、Security Visionaries ポッドキャストの別のエピソードへようこそ。この番組では、セキュリティとネットワーキング分野のリーダーに、今日の変化する状況をそれぞれの組織で成功裏にナビゲートする方法について話します。私はホストのベイリー・ハーモンで、本日はロールス・ロイスのサイバー・ツーリング・エンタープライズ・セキュリティ・アーキテクトであるダン・ウィッティンガムさんにご参加いただいています。ダンは後でもう少し詳しくお話ししますが、ご存じない方のために説明すると、ロールス・ロイスは、空中、海上、陸上での安全が重要なアプリケーション向けの複雑な動力および推進ソリューションを開発および提供しています。本日は、ダンが私と一緒に、絶えず進化する多くのグローバルなコンプライアンス基準に関連して、彼が経験してきた業界のトレンドと観察についての彼の視点を共有します。だから、ようこそ、ダン、始めましょう。あなた自身とあなたのバックグランドについて少し教えてください。

0:00:56.1 ダン・ウィッティンガム: ええ、ベイリーに感謝します。ええ、だから私はダン・ウィッティンガムです。ロールス・ロイスで働き始めて12年になります。 そして、私が最初に受けるよくある質問の1つは、社用車を手に入れるかどうかですが、紹介ですでにそれをカバーしていますか?つまり、私たちがグローバルに事業を展開している防衛企業であるという事実は、防衛および民間航空宇宙、電力システム、陸と海のための大型ガスおよびディーゼルエンジンのようなものを製造します。だから、さっきも言ったように、私は12年前にロールスロイスから始めました。 そうですね、ITセキュリティ管理者として始めて、ITセキュリティスペシャリストになり、プロジェクトに携わったりしました。 その後、情報保証の役割に就き、データガバナンスなどについて調べました。そして、そこから一歩踏み出して、ソリューションアーキテクチャの世界に足を踏み入れました。そして最近、私はサイバーツールのエンタープライズアーキテクトとしての役割を担っています。

0:01:41.0 ベイリー・ハーモン: ワウ。セキュリティとアーキテクチャの分野では、さまざまな役割を担ってきました。このようなさまざまな役割をこなすとともに、長年にわたってさまざまな規制を乗り越え、管理しなければならないさまざまな規制が生まれてきたと確信しています。私自身は、例えば、コンプライアンスの頭字語が増えているように見えることを考えると、ちょっと頭痛がすると思います。正当な理由があって設置されていることは承知していますが、あなたのようなセキュリティチームにとっては、少し問題となっています。では、今、本当に混乱している世界のトップレギュレーションには、どのようなものがあるのでしょうか?

0:02:14.1 ダン・ウィッティンガム:ええ、頭痛を与えることについてのその声明に完全に同意します、それは間違いなく毎日異なります。ですから、防衛組織で働く私自身にとって、それは非常に挑戦的なことです。私が挑戦するというのは、私がグローバルな組織で働いており、さまざまな政府と協力しているため、さまざまな地域法があり、将来の仕事に入札できるように認定に向けて取り組んでいるということです。そしてもちろん、最終的な目標は、今後何年にもわたって持続可能なビジネスとして成長し続けることです。さて、私たちが注目し、現在取り組んでいる主要な規制に関するご質問に戻ります。 英国には、Cyber Essentials Plus、英国政府、NIST 2、ERSA、CMMCなどがあり、これはサイバーセキュリティ成熟度モデルの認証であり、これについては後で説明しますが、これには3つのレベルがあります。ただし、CMMC フレームワークについては、NIST 800-171 標準に基づいています。ですから、いずれにせよ、それは良いガイドラインのセットであり、彼らはそれを基にして構築しているだけです。そして、レベル1、レベル2、レベル3の3つのレベルがあります。そして、私たち自身については、レベル3、申し訳ありませんが、レベル2に向けて取り組んでいますが、これは、米国陸軍と米国国防軍と運用し、協力して活動しているため、情報の管理と特定に関するものです。

0:03:27.1 ベイリー・ハーモン: はい。CMMCといえば、先週はかなり重くて激しいワークショップに参加しましたよね?それについて少し教えてください。それが今の仕事にどのように影響し、また、これらのレギュレーションに取り組む中でチームの士気を高めるのに役立ったのでしょうか?

0:03:42.7 ダン・ウィッティンガム: 課題はたくさんありますが、いくつかの例を挙げると、私たちはコンプライアンス要件を満たそうとしていると言えます。つまり、既存のソリューションがあるのです。私たちはすでに米国とインディアナポリスで大きな存在感を示していますが、既存のソリューションがあるため、運営方法と機能について再評価する必要があります。また、一方の政府でうまくいくことが、もう一方の政府ではうまくいかないかもしれません。そして、それが私たちが見つけていることです。ですから、要件の観点から実際に何を満たす必要があるのかというバランスと理解が重要であり、先ほど述べたように、CMMCレベル2です。そして、妥協点は何ですか。システムを分離する必要があります。私たちは特別なサポートを提供しています。さらにコストがかかります。場合によっては、新しい製品やソリューションが登場し、さらなる投資が必要になることもあります。 そして、ITリーダーや投資委員会と話し合う必要があります。ですから、そうですね、それは絶妙なバランスであり、非常に挑戦的です。そして、私が言うように、頭痛の例えに戻ると、電話を置いて何か他のことに進むのがうれしい週があります。しかし、これは明らかに運用コストに影響を及ぼし、彼のITエグゼクティブはそれ以上の財務上の利益を得たいと考えています。明らかに、将来の成長を確保するためにはIT投資が必要です。

0:05:00.5 ベイリー・ハーモン: ええ、常にバランスが大切です。そして、あなたが妥協と言うのが大好きです、なぜなら、私自身の人生で妥協することは本当に難しいことであり、プロの世界ではさらに難しいことを私は知っています。ですから、あなたが話しているような技術的な才能をたくさん持つ必要がありますが、ビジネスが何を必要としているかについての共感力や戦略的な考え方も必要です。その点では、内部にいる立場から、あなたのようにグローバルなコンプライアンスの旅をしている別のセキュリティリーダーにアドバイスをするとしたら、どのようなアドバイスをしますか?

0:05:30.0 ダン・ウィッティンガム:私はそれを一つにまとめるのが非常に難しいと感じていますが、私のキャリアや、今日CMMCについてお話ししたような仕事のプログラムで役立った3つのポイントを提供することができます。ですから、まず私が言いたいのは、知識は力であるということです。自分が何を目指して取り組んでいるのか、何に取り組んでいるのかを本当に理解する必要があります。そこで、NIST 800-171を挙げて読みました。 あなたの解釈と他の誰かの解釈は、何マイルも離れているかもしれないので、あなたはそれの解釈を理解する必要があります。ですから、自分が何に取り組んでいるのか、何を目指しているのか、そして実際に取り組んでいるプロジェクトがどの程度の規模なのか、その範囲を理解してください。そして2つ目は、それがこれにつながるということです。私は言わなければなりません、事実を自分自身に備えてください。そして、自分自身で理解し、同僚と話し、同僚と話し、これについてどう思うかと話すことで得られる自信です。これは正しいですか?あるいは、アイデアをぶつけ合うだけかもしれません。繰り返しになりますが、部屋に入ることができるとき、または評価者や他の仲間と一緒に歩いているときに、自分が言っていることが実際に事実であり、正しいという自信を持つことで自分自身を構築するだけです。

0:06:33.2 ダン・ウィッティンガム: そして3つ目は、組織内の適切な人々、志を同じくする人々、しかし正直になれる人々に囲まれることです。多くの人々と多くの組織が、CMMCレベル2または全体の認定プロセスを経ています。だから、失敗することもあるでしょう。 ですから、志を同じくする企業と話をして、これにどのようにアプローチしたか、そして少し感覚的に確認するために、ここで海を借りようとしているのか、それとも別のアプローチを取るべきなのか、いくつかのアイデアを提示することができれば、それは正しい選択です。それは、実際には私たちは皆、私たちが最初に考えていたよりもはるかに進んでいるか、はるかに進んでいるかもしれないという安心感を与えてくれると思います。そして、周りの人々にサポートしてもらうだけでも、間違いなく役に立ちます。しかし、知識は力であるという点を分解し、先ほど述べた3つのポイントにもう少し踏み込んでみてください。だから、フレームワークを読むように言いました。では、要件をどのように解釈すればよいのでしょうか。そして、彼らの文書には、彼らが完全に理解していない部分があります。そして、それはあなたが周りにある0.2に頼る必要があるところです、事実を自分自身に装備し、また適切な人々に囲まれるために0.3。

0:07:43.9 ダン・ウィッティンガム:例えば、申し訳ありませんが、これは、会議に足を踏み入れて何かを言われ、目を覆うウールに入るのは嫌です。それは誰にとっても良くありません。その会議での目的が何であるかを理解し、明確にすることで、間違っている場合に人々を引き上げることができます。そして、0.2に戻って、事実を自分自身に装備してください。私は読む、読む、読むと言いました。 残念ながら、これを回避する方法はありません。あなたはただ読む、読む、読む、そしてそれを理解する必要があります。 そして、もし誰かがこれを聴いてオーディオブックにできるのであれば、この市場にはニッチな市場があると確信しています。面白く読んでいないので、結構つまらないです。しかし、真面目な話、前に述べたように、資料を知り、それを前面から裏まで理解する必要があります。そして3つ目は、先ほどまとめたように、自分を適切な人々に囲まれることです。

0:08:43.5 ダン・ウィッティンガム: そして、自分のキャリアの中で、自分を信じてくれて、新しいレベルに到達するように背中を押してくれるマネージャーや同僚に恵まれ、また、自分のやっていることに停滞させないという幸運に恵まれてきたので、当たり前だと思っていることがあります。ですから、電話会議の冒頭で、過去12年間にロールス・ロイスで果たしたタイトルと役割について触れました。それは、周りの人々が、自分が雇用されていることを提供するだけでなく、キャリアの目標やすべてを追いかけるように私を後押ししてくれているからです。ですから、キャリアにそのような贅沢がない人もいると思いますが、適切なサポートを持つ人々と周囲のシステムを持つことが成功の鍵だと思います。

0:09:28.1 ベイリー・ハーモン: メンターシップの観点については、私も全く同感です。サポートシステムがあれば、あるいは会社に在籍している限り、目標をサポートし、ビジネスをサポートするだけでなく、失敗してすぐに失敗し、学び、再び立ち直り、新しいことを試す力を与える家族のようなものを持つことができれば、それは大きな違いを生むと思います。 それについては、おそらく全体のセグメントをやることができるでしょう。また、自分を力づけてくれたリーダーがいたことを強く感じています。だから、私はそれを聞くのが大好きです。しかし、自分が何をしているのか、進捗状況、世界中で取り組んでいるすべてのコンプライアンス基準について、経営幹部レベルに伝えようとすると、自分の役割を担う人々が行うべき、あるいは現在、経営幹部とどのような重要な会話をしていると思うか、それは難しいことです。

0:10:16.6 ダン・ウィッティンガム: 私が言うように、ロールス・ロイスのような規模の多くの組織も同じことを経験しています。ですから、組織がセキュリティソリューションを提供するためにこれらの大手テクノロジー企業に投資しているとき、私たちは小銭や数千ドル、あるいは文字通り数十万ドルの話をしているわけではありません。そして私にとって、会話は製品の価値に関するものです。では、その投資収益率はどのくらいですか?それはお金に見合う価値があるのでしょうか?ですから、建築家として、これはあなたのパンとバターです。これは、ベンダーと話し、製品を前面から隅まで理解し、基本的にすべてを洗い流すために雇用されていることです。すべての機能とすべてを備えています。私は個人的なメモだけなので、一部のベンダーへのアプローチに変化が見られ、必ずしも次の販売についてではありません。それは文字通り、あなたがこの投資を持っていること、そして私たちがどのように製品を最大限に活用するために私たち自身を助けることができるかに焦点を当てていますか?そして、Netskopeなどと話し、調査を行い、ロードマップが何であるかを理解しています。

0:11:15.7 ダン・ウィッティンガム:そして、私自身や他のアーキテクトにとっては、AIに取り組んでいるのは、ビジネスのパイプラインに何が来るか、投資や何か新しいものの地平線スキャンです。申し訳ありませんが、AIについて言及せずにポッドキャストを進めることはできませんでした。ですから、それは今のところ終わりですが、その点では、文字通り、そこに何があるのかを理解し、自分自身をそこに出して関係を築く必要があります。どんなビジネスでも関係性が重要だと思いますが、これには顧客とベンダーの関係が間違いなく役立ちます。

0:11:49.0 ベイリー・ハーモン:ええ、全く同感です。この関係は、ミッションクリティカルなものです。

0:11:53.2 ダン・ウィッティンガム: ええ、もちろんです。次に、ソリューションはビジネス要件を満たし、コンプライアンスの要件を満たすかどうかです。私たちはCMMCについて多くのことを話しています。つまり、第三者認定について話しているのです。では、問題は、そうなのかということです。あなたは、実際のビジネスが何を望んでいるのか、実際の要件は何かを理解するために、すべての足取りと基礎作業を行いました。全体像は?短期的および長期的なビジネス目標は何ですか?そして、ビジネスの願望が何であるかを本当に理解する必要があります。ですから、ベンダーがクラウドに移行することを望んでいないソリューションを提供する意味はありませんが、ビジネスは来年などにクラウドに移行したいと考えています。

0:12:31.8 ベイリー・ハーモン: 食料品店に行ってリンゴを買いたいと思ったら、販売員が近づいてきて、「ああ、オレンジが売ってるよ」と言うようなものです。それは同じことではありません。あなたが探しているものを与えてくれる人が必要です。また、ご自身と自分のプログラムの擁護者となり、ビジネスが本当に必要としているものに適切なソリューションをマッピングし、特定の役割の専門家として、ビジネスに戻って「これが私たちが価値を推進している方法だ」と言えるようにするという話も気に入りました。そして、先ほど述べたように、リーダーシップチームにコミュニケーションを取り戻すことができます。その部屋にいるとき、何かヒントや、自分が行っている素晴らしい仕事をすべて、しかし消化しやすい方法で成功裏に示すことができた話は何ですか?だって、たくさんあるから。

0:13:18.3 ダン・ウィッティンガム:はい、たくさんあります。そして、それに対する私の答えは、シンプルに保つことです。だから私はあなたのために話があります。それで、2年前に見習いのオープンデーに行ったのですが、そこで講演を依頼されたのですが、それが初めてのことでした。だから緊張が高かったけど、すごかったです。本当に楽しかったです。それは本当に私を再び連れ出し、自分の快適ゾーンから抜け出し、その領域に私を押し込みました。だから、これと少し似た話を始めます。 私は、ITセキュリティにおける私のキャリアについて打ち明けました。そして、それは良かったです。すごく良かった。部屋にいた人々はとても受け入れてくれました。彼らはかなりの数の質問を持っていますが、必ずしも私が尋ねられていた質問ではありませんでした。それは私が座って他のスピーカーと他のスピーカーの一人を聞いていたときでした、私はその人の名前を思い出せません。しかし、その数時間のセッションで、観察するだけで非常に多くのことを学びました。そして、それが私たちが提示した方法です。要点を押さえ、明瞭さを提供し、グラフィックは千の言葉を描きましたが、本当にシンプルでした。その日の後、私は、リーダーシップに報告する必要があった解決策やシナリオをどのように伝えるかを改善することに着手しました。

0:14:24.1 ダン・ウィッティンガム: そこで、仲間と話をして、演技ショーのような、ちょっと変な感じがするけど、これを提示するために来たというちょっとしたシナリオを設定したんだけど、フィードバックをもらえないか? それは奇妙に聞こえるかもしれませんが、生産的であると同時に、ツイートをしたり、これを言わなかったり、これを追加したりしない領域を批判する手順を踏むだけでも、本当に有益でした。また、面と向かって話す場合、手などはどこに置きますか?ですから、再び本題に戻りますが、特にこのビジネスでは、ITセキュリティ、すべてが非常に速いペースで進むため、不快に感じるのは良いことです。ですから、すべてを把握し、それを実現することは非常に困難です。しかし、学ぶことを止めないでください。

0:15:11.9 ベイリー・ハーモン: 学ぶことを止めないでください。そして、フットボールのフィールドにいて、iPadを目の前にして、テープを見返して、どのようにプレゼンテーションをするか、これをどうするか、ストーリーをどう伝えるかを考えているようなものです。そして、それは後ろで取り組んでいる小さな戦術のように思えますが、全体像を提示することになると、その着地方法に本当に違いが生じます。そして、私はただ、学ぶことを止めないということを十分に強調することはできません。その点が気に入っています。ロールス・ロイスでは、明らかに膨大なビジネス需要を抱えていますが、私たちが話しているこれらの要件の中には、かなり曖昧なものもあります。そのため、要件に焦点を当てるだけでなく、全体的なデータ保護戦略についても考える必要があります。これらのさまざまな側面のバランスについて、あなたが置かれている立場について、より多くの規制当局に理解してもらいたいことは何ですか?

0:16:00.5 ダン・ウィッティンガム: ええ、このグローバルなコンプライアンス業務に生きてきた私は、この18ヶ月間、規制当局がもっと理解を示してくれたらいいのにと思います。例えば、彼らが実際に何を求めているのかという具体的なケースでは、環境や制御がどのように適用されるかという文脈にかかっているため、実際には実現可能ではありません。ですから、丸い穴に四角い釘を刺すような、明らかに過度に厳しいわけではありません。ですから、2つ目のポイントは専門用語です。ですから、フレームワークを通して読んでみると、私は自分自身がかなり資格が不足していると感じています。 ただ読んでいるだけです。文字通り弁護士や高度な学位を持つ人でないと、その方法を理解し、それが実際に何を意味するのかというよくある言葉に解釈しなければならないようなものです。 だから、イギリスのミッドランド訛りで書けと言っているわけではありませんが、彼らが実際に何を尋ねているのかを100%明確にしていない、さまざまな解釈を招くテキストの後ろに隠れているように感じます。そして、先ほど述べたように、誰が読むかによって、彼らは異なる解釈を得るかもしれないからです。そして、それが実際に何を意味するのかというグレーゾーンに入るところだと思います。なぜなら、ある企業は、「私たちはこのように解釈し、このように解釈した」と言うかもしれません。

0:17:14.5 ダン・ウィッティンガム: そして、私たちのような防衛組織にとって、私たちのリスクは非常に高いです。ですから、私たちは反対の方向に進み、ええ、はい、追加のファイアウォールを設置しました、またはそれが何であれ、と言います。この旅を続ける中で、規制当局が現実の世界に出て行くのは良いことだと思います。私は誰かを怒らせるためにここにいるわけではありませんが、それは私の個人的な経験から、実際に外に出て、それを私たちのような企業と話す機会として利用し、私たちはこれらのコンプライアンスプロセスを経ているからです。 個人的には、ビジネスや統治機関、そしてビジネスに自信を与え、その結果、ビジネスに自信を与え、私たちがこれを経験しているように恐れることはありません。なぜなら、明らかに失敗や実際の認定を受けることへの恐れがあるだけでなく、ビジネスを失うことにもなるからです。ですから、この問題は微量ではありません。コンプライアンス違反のせいで本当に大きいと思います。しかし、ただビジネスを助け、それについて安心させてください。さて、それは素晴らしいことではありませんが、これは道筋であり、これがあなたがする必要があることを修正するためのあなたの計画です。明らかに、すべての人にとっての最終状態は、安全に運用し、成功することです。

0:18:19.8 ベイリー・ハーモン: 必ず。イギリスのミッドランド訛りで書くとおっしゃっていたと思いますが、それはオーディオブックの話に戻ります。すべてをまとめることができます。先ほど、興味深い点を指摘されましたが、それについては触れ直したいと思います。AIについてお話しいただき、コンプライアンスの必要性とGenAIのようなツールによるイノベーションのバランスをどのように取っているのかを考えさせられました。

0:18:43.3 ダン・ウィッティンガム: はい。だからAIは難しいです。明らかにそれは流行語であり、ここにある、今だ、誰もがそれを使いたいと思っています。 だから、プレッシャーがかかっているのです。私はそれを例えて、私たちがそれに慣れ親しみ、それが実際に何であるかを理解するまで、私たちをシャットダウンし、ドアをロックし、ゲートを閉めることです。 明らかに、企業がこれに従事し、利用したいと考えているのは、メリットがあるからです。 脅威アクターの視点から見ると、明らかに良いメリットと悪いメリットがあります。私たちの立場からすると、それはすべてデータの周りにあり、そこにリスクがあり、データがどこに行くかについてはハイエンドのリスクがあります。ですから、質問に戻ると、それは「はい、手に入れることができる」というほど単純なものではないため、難しい問題です。はいどうぞ。ブーツをいっぱいにします。私たちはこれに本当に注意を払い、それが実際に何であり、データがどこに向かっているのかを理解する必要があります。

0:19:37.9 ベイリー・ハーモン: はい。つまり、それで終わりです。それが何であるか、そしてデータがどこに行くのかを理解することで、他のポイントに戻るために成功裏に安全に運用できるようになります。というわけで、その日の質問は以上で終わりだったと思います。ダンさん、ご参加いただき、ご自分の視点やストーリーをお聞かせいただき、誠にありがとうございます。お招きいただき、誠にありがとうございます。あなたは Security Visionaries ポッドキャストを聞いています。私はあなたのホスト、ベイリー・ハーモンです。このエピソードが気に入ったら、先に進んで友達と共有し、購読して、他のエピソードを見逃さないようにしてください。また今度。