0:00:06 Max Havey:こんにちは。Security Visionaries の最新版へようこそ。Security Visionaries は、サイバー データと技術インフラストラクチャの世界を特集したポッドキャストで、世界中のさまざまな分野の専門家が集まっています。司会のマックス・ヘイヴィーです。今日は人間中心のサイバーセキュリティとリスクの世界を掘り下げていきます。本日のゲストは、リスクの再構築に関する本を執筆した Mimecast の CISO、Beth Miller Field 氏です。ベスさん、今日はご参加いただきまして本当にありがとうございました。
0:00:30 ベス・ミラー:今日は来てくれて本当にありがとう、マックス。感謝します。
0:00:34 マックス・ヘイヴィー:その通りです。では早速ですが、この用語に馴染みのない方のために、サイバーセキュリティに対する人間中心のアプローチとは何か、またそれはどのようなものなのかを説明していただけますか?
0:00:46 Beth Miller:はい、その通りです。 ですから、人間中心について語るときには、まず定義から始めなければならないと思います。 私にとってリスクとは、定義上、人間的なものです。これはシステム障害ではなく、コンプライアンスのギャップでもありません。必ずしも適切なツールを持たずに、不確実な状況を実際に乗り越える人です。では、古くからある質問ですが、失敗をどうやって止めればいいのでしょうか? それらは、プレッシャーと絶え間ない変化の中で人々が本当に成功できるようにどう支援するかという新しい質問に置き換えられます。 つまり、ユーザーや従業員を、制御すべき変数として見るのではなく、装備が必要な個々のナビゲーターとして見るという変化が生まれます。ですから、その視点を変えると、他のすべてもそれに従います。そして、それを裏付けるものとして、侵害の 95% は人為的ミスによるものですが、実際には、インシデントの 80% は従業員のわずか 8% によって引き起こされていることが分かっています。つまり、人間中心のセキュリティはソフトである、あるいはそれほど重要ではないと考えられている一方で、実際にはスマートなセキュリティであるというギャップが存在します。
0:01:53 Max Havey:なぜ恐怖心がこうしたトレーニングの多くを駆り立て、人々を駆り立て、人々がセキュリティに取り組む方法を駆り立てているのでしょうか?なぜ恐怖がこれらすべての原動力となるのでしょうか?
0:02:03 ベス・ミラー:恐怖は効果的です。つまり、注目を集め、従順さを生み出し、測定可能であると感じさせます。そのため、業界では、セキュリティ担当者はそれをデフォルトとしていますが、神経科学では、脅威への反応が意思決定を低下させ、恐怖が羞恥心を生み出すことは非常に明確です。そして、恥を知ると、人は失敗を報告するのではなく、それを隠すようになります。 つまり、私たちは実際には認知度の向上には最適化しましたが、行動の変化には最適化していません。これらは同じものではありません。つまり、恐怖は注目を集めますが、判断力を養うことはできません。そして、人々がトラブルに巻き込まれることを恐れると、物事がうまくいかないときに何も言わなくなります。これは私たちが必要としているものとは正反対です。私たちは火災安全と呼んでいる火災訓練を実施してきました。
0:02:49 Max Havey:人々は、自分が間違っていることを認めることよりも、自分が間違っていると言って問題を解決することの方が怖い、という考え方です。サイバーセキュリティとリスクについてこのように考えるというのは、非常に興味深いアプローチです。
0:03:00 Beth Miller:この制御というアイデアを中心に構築されたものがたくさんあります。システムがあり、データがあり、アイデンティティがありますが、実際にこれを覆っているのは人間ですよね?つまり人間にはアイデンティティがあるのです。データとやり取りするためにシステムにアクセスするんですよね?人間は実はこの連鎖の始まりと終わりのつながりなのです。そして、このプロセスの一部に彼らを関与させることは、システム、データ保護、および ID 管理全体にわたるより優れたリスク管理を確保するための鍵となります。
0:03:33 Max Havey:人間中心のアプローチについてお話すると、状況は変化しています。それは、社内の人々がセキュリティに取り組む際の考え方を変えるようなものです。失敗を恐れるという恐怖心から離れ、「失敗しても構わないが、その失敗から学んで前進する方が良い」という考え方に変わりました。 そして、それはすべての船を上昇させます。
0:03:56 ベス・ミラー:おそらく組織内の他のリスク管理分野と比べて人的リスク管理が異なっているのは、この多分野にわたるアプローチが本当に必要だという点だと思います。そこで、人的リスク管理プログラムを構築するときに、実際にそれに関係する 5 つのペルソナについて考えてみましょう。つまり、セキュリティ、IT、HR、法的セキュリティがあり、さらにマネージャーや従業員自身も存在します。したがって、基本的にはビジネス目標に沿った文化的変化を生み出していることになります。したがって、従業員をそのソリューションの一部にすることは、次のベクトルである人間の攻撃対象領域が、同様に測定および成熟できる方法で実際に管理されることを保証することに加えて、本当に良いビジネスです。
0:04:46 Max Havey:そうですね、最近のゲストとしてハッカーのジェニー・ラドクリフを迎え、ソーシャル エンジニアリングやそれに関連する事柄について話してもらいました。そして彼女の視点や、心理学的に人々を読む多くの人々から見ると、人間の攻撃対象領域は問題ではありません。多くの人々、特に私がこれまで話してきたセキュリティ業界関係者の間では、必ずしも人間の攻撃対象領域について話している人はあまりいないように感じます。それはとても興味深いと思います。
0:05:16 ベス・ミラー:これは、セキュリティが向かう先における次の進化です。もう一度強調しておきますが、90 年代は、環境内にあるすべてのデータについて理解を深める時期でした。2000 年代はシステムとオンプレミスからクラウドへの移行が中心でした。そして 2010 年初頭には、組織全体で人間や人間以外の秘密を追跡できる ID が登場しました。そして私たちは進化して 人間になり、それが結合組織であると認識しています なぜなら、私たちは人間とAIを認識する段階にいるからです。これは次の章で詳しく説明しますが、今はまさにこの段階です。 層間の結合組織を解くことはありません。マックス、何かおっしゃっていましたが、何を言うつもりでしたか?
0:06:03 マックス・ヘイヴィー:ええ、具体的にお聞きしようとしていたのは、人間側のリスクをこのように再考することを考えた場合、AI はそれをどう変えるのでしょうか?つまり、毎回、「AI はこれにどのような影響を与えているのか?」という質問をする必要があるように感じます。なぜなら、それは今現在に関係なく、いたるところで起こっていることだからです。 それで、あなたの考えを聞きたいのです。AI はこの会話の中でどのような位置を占めるのでしょうか?
0:06:28 ベス・ミラー:これについて考えるにはいくつかの方法があります。伝統的に、境界防御のユーザーを負債、つまり従業員を負債、そしてセキュリティを生産性に対する負担として語ってきました。しかし、AI によってコンプライアンス フレームワークの考え方は永久に時代遅れになります。AI が生成するすべてのシナリオに対してポリシーを記述することはできません。それは拡張できないからです。つまり、AI は人間の判断の必要性を増大させます。置き換えられるものではありません。人間は AI の出力を監視する必要があり、より少ないスキルではなく、より多くのスキルが求められます。 そこで、組織の 95% が AI を防御できることを知っていますが、AI による攻撃に対して十分な準備ができていないと認めているのは 55% だけです。 そのため、防御層は自動化しましたが、人間の層は基本的に 2005 年のエラー コンプライアンス トレーニングのままにしました。
0:07:24 Max Havey:つまり、AI に関する会話の多くは「人々はこれとどのようにやりとりするのだろう?」といったものになっているように感じます。そこが面白いところです。そして、人間レベルの判断力を強調することが、AI を機能させるための鍵だと私は考えています。重要なのは、必ずしも適切な問題を抱えているということではなく、その背後に、すべてを危険にさらすようなやり方で問題に取り組まない方法を理解している適切な人材がいることです。
0:07:47 ベス・ミラー:結局のところ、AI は脅威をより巧妙にしており、人間を愚かなままにして対応し続けることはできないと思います。したがって、彼らはこのプロセスの中で自分たちが影響を与えることができる部分を理解する必要があり、それは良いビジネスであるため組織に課せられた義務です。AI 時代は人間の要素を排除するものではなく、マックスさんが言ったように、むしろそれを増幅させるのです。したがって、あらゆる AI シナリオに対応するポリシーを作成できない場合は、対応方法を徹底的に考えることができる人材が必要です。
0:08:21 マックス・ヘイヴィー: 100%です。さて、それを念頭に置いて、セキュリティリーダーは、これらのより人間中心のアプローチについてどのように考えを再構築すべきでしょうか?特に物事は常に進化していますが、考え方を再構築するために、どのような方法を提案しますか?
0:08:38 ベス・ミラー:リスクの定義も本当にリセットする必要があると私は思います。 辞書で引くと、悲観的な意味合いが強くなりますが、実際の語源はイタリア語で、詳しく調べてみると「敢えてする」という意味になります。そしていつの間にか、私たちは何か悪いことが起きるのを避ける代わりに、敢えてその能力を失ってしまったのです。そして、彼らは本当にこんな格言を持っていました。それはナビゲーションに関することなので、すぐに思い出しますが、基本的に何も冒険しなければ何も得られません。
0:09:10 マックス・ヘイヴィー:ええ、その通りです。
0:09:11 ベス・ミラー:私たちは、それが結局はコンプライアンスとセキュリティに行き着いたとよく考えていて、当然ながら私たちの基準に従って定義を書き換えました。したがって、私たちはその言葉の意味を根本的に再定義し、ナビゲーション信号を検討することから始める必要があります。つまり、単なる警告灯ではないのです。私が書いた本では、この FOLD フレームワークについて説明しています。これは、現在どのようなリスク マインドセットを持っているかを把握するというアイデアです。どのように自分自身を状況に合わせて調整しますか?そして、何がそれを動かしているのかをどのようにして知り、慎重に決定するのでしょうか。たとえば、「クリックしないでください」ではなく、「フィッシング攻撃なのでクリックしないでください」です。プレッシャーをかける戦術を認識する方法と、急かされていると感じたときにどうすればよいかを説明します。つまり、生徒に「これをしなさい、これをしてはいけない」という単なるルールではなく、精神的なモードを与えているのです。 二者択一。つまり、ルールは人々に何をしてはいけないかを伝え、リフレーミングは人々にどう考えるかを教えるのです。つまり、ここで私が繰り返し言いたいのは、リスクは敵ではないということです。つまり、リスクは悪いものではなく、検討されていないリスクなのです。まさにそこが問題なのです。
0:10:18 マックス・ヘイヴィー:その通りです。そして、それが多くの人々のリスクに対する考え方に真の考え方の変化をもたらしています。そして、リスクとは悪いことをしないようにすることではなく、あえて悪いことをすることであるという考え方が気に入っています。そしてまた、それに対する考え方が変わると思います。そしてそれについて考えるとワクワクします。私たちは以前、この番組で、セキュリティをチームスポーツ、つまり全員が全力で取り組むようなものと考えることについてよく話しました。そして、これらは、人々に毎日「リンクをクリックしないで、クリックしないで」と伝えることができるのと同じように、連動していると思います。そして、それは常に起こり得ることだと疑いはありません。ですから、人々にこれらのことを実際に実践するために必要な戦術をすべて与えることが重要だと思います。
0:11:05 ベス・ミラー:まあ、マックス、あなたは私を罠にかけましたね。あなたは知らなかったでしょうが、感謝しています。そこで私は実際に本の中で、TEAAMという頭字語を使っています。 ですから、私が潮流について言及したとき、つまり多くのセキュリティについて言及したとき、正直に言えば、私たち人間は皆、自分のやり方に固執する傾向があります。これは性格についての議論ではなく、単に好みの問題です。私はチョコレートアイスクリームの方が好きです。なぜ?わからない。それは好みの問題です。したがって、リスクについて考え、おそらく 5 つの主要な好みがある場合、私は頭字語を使用します。頭字語はTEAAMです。したがって、決定が非常に重大で行き詰まったと感じたときはいつでも、チームに相談してください。そして、チームは T 転送 E、A を活用、A 受け入れ 2 回避、そして M 軽減を実行します。そのため、多くのセキュリティ専門家は、リスクは軽減、リスク管理は軽減という考え方を固持しますが、実際には他に 4 つの流れを利用できます。したがって、自分の好みがどこにあるのか、チームの好みがどこにあるのか、そして組織の好みがどこにあるのかを意識することは、個人間、そして組織内の個人間で会話をするのに非常に役立ち、「私たちは実際に利用できるすべてのリソースを最大限に活用していますか?」と言うことができます。 軽減から移転への考え方を変えると、何が得られるのでしょうか。
0:12:31 Max Havey: 100% そして、リスク選好の概念全体を再構築することになります。この言葉をよく耳にする気がしますが、実際のところ、どのくらい
0:12:37 Beth Miller:お腹空いてますか?正確には分かりません。
0:12:39 Max Havey:まさにそうです。
0:12:40 Beth Miller:あなたは私と比べてどのくらいアイスクリームを食べられるか、分かりません。そうですね、
0:12:43 マックス・ヘイヴィー:その通りです。
0:12:44 ベス・ミラー:定量化するのは難しいですね。そうです。
0:12:46 Max Havey:そうですね、これをさまざまなチャネルとして捉えると、たとえば、緩和策が最初に頭に浮かぶものですが、それをとらえることができる他のさまざまな場所があります。それは非常に興味深いです。そして私はそのように考えるのが好きです。そしてそれは二元論的ではありません。リスクに関する、より広範な二元論的な考え方から離れつつあります。
0:13:08 Beth Miller:はい、ありがとうございます。問題の一つは、これはあなたが事前に提起した質問なので、あなたがその点に触れることは分かっていますが、ここでは少し触れておきますが、言語は非常に重要ですよね?なぜなら、優れたセキュリティ文化を持っていると正確に主張する組織があるかもしれませんが、実際には、組織内の各部門にも独自の文化がある可能性があるからです。では、それぞれの文化において、主要な言語は何でしょうか?頭字語とは何ですか?優先順位は何ですか?したがって、セキュリティ専門家としては、外出してセキュリティ境界を越えるたびに、「何を持ち帰れるか、何を共有できるか」を考えるような興奮した観光客のような人でなければなりません。そういう類のもの。私の父は軍人だったので、たくさん旅行しながら育ちましたが、別の言語を習得したり、情報を伝達しやすくするジェスチャーをしたりできることは、常に重要でした。
0:14:10 Max Havey:この会話で興味深いのは、サイバーセキュリティとセキュリティとリスクに関する社会学的な議論のように感じられることです。気がつくと、ああそうだ、一緒に仕事をしている経営学の学生によってサイバーセキュリティのサブカルチャーがいろいろあるんだな、と思っていた。そして、それはとても興味深いことだと思いますし、旅行というアイデアについて話すと、誰もが異なるアプローチを持っているということを思い出させます。これは、サイバーセキュリティの学際的な側面と言えます。私が話した多くのセキュリティリーダーは、サイバーセキュリティの分野でそのように考えるよう訓練すれば誰でもできるという考えを持っていますが、他の角度を取り入れ、それらのさまざまなスキルをどのように適用できるかを理解することで、本当に優れたアナリストやサイバーセキュリティチームの一員になれると考えています。
0:14:57 ベス・ミラー:ええ、ちょうどセキュリティ部門の同僚と話していたのですが、彼は素晴らしい人なんです。彼の名前は Matt Huber です。彼は、セキュリティは「ノー」の部門であるという古い考え方について語ります。そして彼は、実際にはそれが「どのように」という部門であるということを強調しました。だから彼は、説明しに行こうとして、何をしたいのか教えてくれれば、どうやってそれをやるか一緒に考えよう、と言ったのです。そして私は改めて、それはスチュワードのような精神を持っていると考えます。ナビゲーターとしての側面があり、まさに旅をしているような感覚を醸し出します。一緒にやりましょう。そして、人間のリスク管理に関するマントラは、私たちが一緒に拡大できる可能性について考えることだと私は思います。
0:15:38 Max Havey:これを少しズームアウトして見てみましょう。あなた自身は CISO として、こうした戦略を CISO としての業務にどのように応用してきましたか?この取り組みで何か成果はありましたか?それについて少し教えていただけますか?
0:15:53 Beth Miller:まず、私の役割はフィールド CISO です。社内対応よりもお客様対応の方がずっと多いのですが、Leslie Nielsen 氏と彼のチーム、そして彼らが社内で行っている仕事に敬意を払っているので、その点を明確にしておきたいと思います。ですから、私の役割は、彼らが行っていることを顧客に伝え、顧客が行っていることを製品に反映させることで、組織的な観点と製品の観点から整合性を保ち、私たちが謳っているサービスと製品を確実に提供できるようにすることです。しかし、私はこれを具体的にどのように私のチームに適用したのでしょうか?なぜなら、私は Mimecast に入社する前に、さまざまな役割を担ってきたからです。停止からコンプライアンスの測定への大きな転換が重要だと考えます。ですから、もちろん NIST は非常に重要です。はい、監査能力は必要ですが、これは言語に関する会話だと思います。したがって、この監査会話をコンプライアンスと必ずしも一緒に行うのではなく、言語といっしょに行うことが非常に重要です。そうです、脅威や失敗、間違いが何回発生したかを数えます。明らかに、それらは取締役会にまで届く概要の中に現れます。しかし、本当にあなたが探しているのは、何回ナビゲーションを手伝ったり、装備したり、流れを変えたりしたかという移行です。では、あなたの文化ではどのような比率になっていますか? また、それをどうしたいですか?では、それを置き換えるとしたら、誰が責任を負うのでしょうか?繰り返しになりますが、これは、イベント発生時の状況、組織にとってマイナスとなる要素、具体的に不足しているナビゲーション ツールなど、複数の専門分野にまたがる機能です。では、システムの増加、ID 制御の増加、アクセス制御の増加、保護すべきデータの削減以外に、どのようなリソースが必要でしょうか。しかし、指標をクリック率からレポート率に変更します。つまり、何かを見て何かを言うというのは簡単な説明ですが、何を測定したかによって組織に何を重視しているかが伝わります。監査を開始する場合、チームに課題を与え、これまで確実に記録しておくようにしてきた 1 つの質問は、組織内の誰かがセキュリティ エラーを起こした場合、次に何が起こるかということです。 その答えはあなたの文化について知る必要のあるすべてを教えてくれるでしょう。
0:18:18 マックス・ヘイヴィー:その通りです。そうですね、今何が起きているかということがしばしばあるように感じますが、これらすべてを軽減し、すべてを改善した後に次に何が起こるかは必ずしもわかりません。これを変えるために私たちは実際に何をするつもりでしょうか?ここで何を学び、それをどのように応用するのでしょうか。
0:18:33 ベス・ミラー: 100% 私のチームの最初の本能は「誰が悪いのか考えよう」ではなく「一緒に解決しよう」ということであってほしいですよね?ですから、自分が今いる流れに名前を付けると、その流れに流されることがなくなります。こうすることで、立ち止まって、他にどのような選択肢があったのかを真剣に検討することができ、次回はもっとうまくやれるようになります。
0:18:55 Max Havey:こうした人間中心のアプローチがサイバーセキュリティ コミュニティ全体にとって広く有益であると考える理由は何ですか?これは大きな考え方の転換です。では、なぜこのようなことがこの業界にとって有益なのでしょうか?
0:19:08 ベス・ミラー:ここで大胆な発言をしますが、燃え尽き症候群は危機的なレベルにあります。つまり、恐怖に基づく文化は自らの国民を食い尽くすのです。私たちの敵は既に人間心理学の博士号を持っているので、私たちは意識向上キャンペーンで操作と戦っていますが、これは単なるミスマッチです。人間の本性に合ったセキュリティと、それに対抗するトレーニングには、常に更新されるセキュリティ変革が必要です。私は、それがどのようにアーキテクチャに保持戦略でもあると言いました。そのため、ナビゲーターを育成していると実感できるセキュリティ専門家は、長く勤めることができ、燃え尽きることも少なくなります。
0:19:50 Max Havey:これによって、優れたセキュリティ文化が生まれます。私たちが話しているのは、優れたセキュリティ衛生ですが、それは恐怖を優先したり、人々を疲弊させたりするのではなく、自分の事業部門内で実際にセキュリティの良き管理者になれるスキルを与える、優れたセキュリティ文化のことです。それがセキュリティ チームに所属する人物であるか、あるいは必ずしもセキュリティ チームに所属しているわけではないが、マーケティング チームやクリエイティブ チームなどでセキュリティに重点を置いている人物であるかは関係ありません。これらすべてについて、以前のゲストの一人がアンバサダー プログラムという概念について話し、それが組織内で新しいアイデアやイノベーションを植え付ける手段になると話していたと思います。そして、それは、何をしているのかを知っていて、あなたが話しているような種類の質問に答えることができる人々によって主導されています。
0:20:35 ベス・ミラー:そうですね。最後に、おそらく 2 つの異なる考えを述べて終わりたいと思います。あなたは「良い」と言いましたが、私も「良い」という点には同意します。しかし、私が代わりに言いたいのは「回復力」という言葉です。したがって、私たちが現在どこにいて、どこを目指しているかを話し合うとき、コンプライアンスを依然として評価基準としているのであれば、コンプライアンスが最低ラインだと考えています。そして、回復力には限界がある、そうでしょう?あるいは、天井すらないのに、それがあなたが目指すものなのです。つまり、私たちは天井に向かって上昇することに焦点を当てるべきときに、底辺を称賛してきたのです。そして、あなたが言ったように、人々を疲弊させるセキュリティ文化が生まれます。それは誰にとっても安全ではありません。そして今、私たちはこれまで以上に安全であることが本当に必要です。
0:21:13 Max Havey:人々の妨げとなって摩擦を増やすのではなく、人々を支援する優れたセキュリティ戦略以上に、実際に人々を支援するものはありません。前にも言ったと思いますが、結果としてみんなを高めている上昇潮流のはずです。
0:21:29 ベス・ミラー:同意です。
0:21:31 Max Havey:さて、Beth、質問はこれで終わりにしますが、このような人間中心のアプローチに関して、すべてのセキュリティリーダーが心に留めておくべきヒントを 1 つ教えてください。
0:21:41 Beth Miller:ええ、前にも言ったと思いますが、特に最後に言う価値があると思うのでもう一度言います。皆さんに伝えておきたいのは、セキュリティ プログラムの感情的なエクスペリエンスを監査することは、コントロールを監査するほぼ前に行う必要があるということです。では、組織内の誰かに尋ねると、失敗が起こった場合、次に何が起こるのでしょうか? その答えは、ナビゲーター精神、アンバサダー精神を生み出すために組織内で何を優先する必要があるかをすべて教えてくれるのではないでしょうか。あるいはチームアプローチ。最も速く実行できる単一の変更には、コストはかかりません。したがって、失敗を隠すよりも、失敗を報告する方が安全です。 そして、人々が安心して報道を行える環境を作ることこそが、おそらく私が強調したい唯一のことだろう。しかし結局のところ、最初に戻って考えてみると、リスクは人間が持つものだと私は思います。私たちは生まれながらにしてリスクを取る能力を持っていますが、リスクを回避する方法は実は学ぶものです。したがって、組織は、そのナビゲーションをどのように教えるかについて考え始める必要があります。それは、すべての従業員に利益をもたらすからというだけでなく、最終的には良いビジネス上の決定となるからです。
0:22:56 マックス・ヘイヴィー:その通りです。ここで最後にすべきことは、チームを引き連れてリスクの海を勇敢に航海するという行動への呼びかけであるように思われます。私たちにとって、ここへ来るには素晴らしい方法だと思います。
0:23:07 ベス・ミラー:マックス、今日はお時間を割いていただき本当に感謝しています。本当に嬉しかったです。そうですね、
0:23:11 Max Havey:まったくその通りです。ベスさん、来てくれて本当にありがとう。本当に楽しかったです。リスナーの皆さんも私と同じようにこの会話を楽しんでいただければ幸いです。
0:23:19 ベス・ミラー:ありがとうございます。私もです。
0:23:21 Max Havey:これで、Security Visionaries ポッドキャストをお聴きいただきありがとうございました。ホストの Max Havey です。今日のエピソードが気に入ったら、ぜひ友人と共有し、Apple、Spotify、YouTube など、お好きなポッドキャスト プラットフォームでセキュリティのビジョナリーをフォローしてください。そこには過去のエピソードのカタログが見つかります。ついでに、フォローやレビューをお願いします。少しでも役に立ちます。私か、私の共同司会者であるエミリー、ウェア・マウス、ベイリー・ポップが司会を務める、隔週で配信されるエピソードに注目してください。それでは、次回のエピソードでお会いしましょう。
){kind=icon}
