マシュー・マコーマックとの将来のサイバーリーダーのパイプラインの作成

マシュー・マコーマック:将来のサイバーリーダーのパイプラインだけでなく、そのピラミッドの作成をどのように支援しますか? さらに何百万人もの人々をこの分野に参加させ、これを行うためにコムサイエンスやエンジニアである必要はないことを彼らに納得させるにはどうすればよいですか? あなたがしなければならないのは好奇心旺盛ですよね? 私が欲しいのは、何かを見て「まあ、それは面白い」と言う人が欲しいです。 それは意味がありません。」 「理由を理解させてください」、それは良い警備員になる人です。 あなたが何かを見て、「なぜそのように見えるのか理解できないが、理由を理解しに行くつもりだ」と言う人なら、あなたはこの分野に合っています。

ナレーター: こんにちは、NetskopeのCISOであるジェイソンクラークが主催するセキュリティビジョナリーへようこそ。 本日のゲスト、GSKのシニアバイスプレジデント兼最高情報セキュリティ責任者であるマシューマコーマックからお話を伺いました。 悪者が善人を上回っている世界ではどうなりますか? あなたが現代のCISOなら、この考えはあなたを夜更かしさせます。 サイバー犯罪者は驚異的な速度で増加しており、CISOは彼らが一歩先を行くのに役立つチームを構築するために競争しています。 戦いの重要な部分は次世代のセキュリティリーダーを育成することですが、業界として、私たちはどのようにして明日のサイバーセキュリティ部隊の仲間入りをするのでしょうか? 幸いなことに、それは今日のゲストが私たちが理解するのを手伝ってくれるものです。 そこで、マシューズのゲームプランに飛び込む前に、スポンサーから簡単に説明します。

広告ロール:セキュリティビジョナリーポッドキャストは、Netskopeのチームによって提供されています。 Netskopeは、今日のビジネスのスピードで高速でデータ中心のクラウドスマートユーザーエクスペリエンスを提供するために必要なすべてのものを提供する生意気なリーダーです。 詳しくは Netskope.comをご覧ください。

ナレーター: 前置きは早速、GSKのシニアバイスプレジデント兼最高情報セキュリティ責任者であるマシューマコーミックとホストのジェイソンクラークによるエピソード4「セキュリティビジョナリー」をお楽しみください。

ジェイソン・クラーク: セキュリティの先見の明のある人へようこそ。 私はあなたのホストです ジェイソン・クラーク、NetskopeのCMO兼最高戦略責任者兼最高セキュリティ責任者。 今日は、友人であり特別ゲストでもあるマット・マコーマックが参加します。 マット、お元気ですか?

マシュー・マコーマック:いいですね。 ジェイソン、お元気ですか?

ジェイソン・クラーク:私はとても素晴らしいです。 ここであなたと一緒にこのポッドキャストシリーズを始めるのは本当に良いことです。 あなたは私たちの2番目のゲストです。 私は2週間前にエミリー・ヒースと一緒にいましたが、それは本当に、本当にうまくいきました。 それで、私たちが始めたとき、あなたの最初の仕事の不安は何でしたか?

マシュー・マコーマック:それで、私の最初の仕事の不安は、実際には皮肉なことに、海軍でしたよね? 私が大学3年生の大学でROTCだったとき、彼らは私が海軍に入隊する前に私に身体検査を行い、私が赤緑色の色覚異常であると私に言いました。 そして、あなたがボートに精通しているなら、赤と緑は海で重要な色です。 船がどちらの方向に向かっているかがわかります。 それで、彼らは基本的に私が飛行機を飛ばしたり船を運転したりすることはできないと私に言ったので、彼らは私を暗号学者に変え、90年代に暗号学は初期のネットワークセキュリティに変わりました。 海軍のせいで、そして私が色覚異常だったので、本当にこれに巻き込まれました。

ジェイソン・クラーク:それは興味深い話ですよね? 私の心は、色覚異常のためではなく、軍隊に加わったときと似ていたと思いますよね? しかし、私はパイロットになりたいと思って飛行機を操縦していました、そして私が飛んでいる間、私の周りのパイロットはプロの航空会社のパイロットでした、私は海軍を去りました、そして彼らは言いました、「聞いてください、あなたはプロの航空会社のパイロットになりたくない。 基本的にはバスを運転しているだけです。 別のキャリアを選んでください。」 そして、私は「ああ、すごい、大丈夫。 あなたは私の夢を打ち砕いただけです。」

マシュー・マコーマック:それは良いアドバイスです。

ジェイソン・クラーク:それは素晴らしいアドバイスであり、私はセキュリティに捨てました。 そうでした。 私はアナリストでしたよね? それで私の人生は変わりました。

マシュー・マコーマック:世界は変わりましたよね? 今、人々はもともとセキュリティに取り組んでいますよね? セキュリティの独創主義者、私たち全員が何年も前にそれに入った場所。

ジェイソン・クラーク:良かったです。 マット、私は言わなければならないと思います、私たちはおそらく15年お互いを知っていますよね? 私たちはこの業界の基盤になるのを助けたと思いますよね? 私たちは一緒にゼロからこのことを始めました。 見るのはかなりクールでした。

マシュー・マコーマック: 私は実際に私の最初のCISOの役割を知っています、私は国防情報局の組織で最初のCISOでした。 以前はありませんでした。 私たちが文字通りそれらの最初の組織のいくつかを作成しているという考えは、ほぼ20年前に聞こえるのと同じくらい怖いですが、そうです。 私たちの最初のやり取りを覚えています、あなたは当時WebsenseとBlue Coatsにいました、そして私はIRSにいました、そしてそれから誰もが彼らの最初のウェブプロキシとウェブフィルタリングをしていました。 20 +年前、ネットワークセキュリティは単なるパケットフィルタリングファイアウォールでしたよね? そして、それだけでした。 そして、VPNとすべてのWebコンテンツフィルタリングが登場し、今日ここにいます。

ジェイソン・クラーク:正直なところ、私たちはそれを理解していましたよね? 私たちはただ発明しなければならなかったので、「さて、これがうまくいくかどうか見てみましょう」と言いましたよね? これは、今日でも私たちがやらなければならない多くの方法に貢献していると思いますよね? GSKでのあなたの役割について少し教えてください。

マシュー・マコーマック: 最高情報セキュリティ責任者として、私はCISOの伝統的な役割をすべて持っていますよね? サイバーセキュリティネットワーク防御であろうとなかろうと、私はGRC機能、つまりグローバルに規制された医薬品であったガバナンス、リスク、コンプライアンスも持っています。 かなりの量の規制があります。 そして、あなたがグローバルであるときに興味深い部分の1つは、それが米国の規制だけではないということですよね? これは、製造および販売するすべての企業またはすべての国の規制です。 そして、私たちはかなりの数の国にいます。 では、ガバナンス、リスク、コンプライアンスを見ると、その重要性はそうですか? 米国のテクノロジー企業での以前の役割とは対照的に、実際には限られた数の国についてのみ一般的に懸念しています。

マシュー・マコーマック:ほぼすべての国で製造および販売している医薬品と一緒にいると、これらすべての異なるコンプライアンスルールを認識し、注意を払う必要がありますよね? 実際、さまざまな国が市民のプライバシーにアプローチする方法と、データがどのように保持および維持されているかを確認できるため、非常に目を見張るものがあります。 そして、多種多様なものがありますよね? 私はアメリカ人として、私たちは一般的に市民のプライバシーを他の多くの国がそうしている最下位に扱っていると言います。 多くの国は、市民データを非常に保護しています。 ですから、数年前にこの役割を始めたのは非常に目を見張るものでした。

ジェイソン・クラーク:どうやってそれに追いつくのですか? それはたくさんありますよね? それは多くの変化です。 それは私にはこれまで以上に速く変化しているように見えます。 では、どのようにしてその上にとどまるのでしょうか?

マシュー・マコーマック: ええと、私にとっては、それを行う方法を知っていて、それをうまく行う方法を知っているだけでなく、グローバルな人々のチームが必要です。 このグローバルプログラムを管理できる1つの場所に座っている人々のチームを持つつもりはありません。 GRCを見ると、個々の人がいます。 その国では、私のチームに唯一の人が何人かいますよね? そして彼らの仕事は、地方自治体との関係を維持し、すべての変化に遅れないようにすることですが、中国の国家安全法、中国のプライバシー法を見ると、多くの重要なことがありますが、インドでは法律の変更について多くのプライバシーの議論が行われています。

マシュー・マコーマック:ですから、これらの大きな国のいくつかを見ると、プライバシー法の変更は世界的に私たちに影響を与える可能性がありますよね? これらの法律の一部に準拠するには、企業レベルの変更が必要になる場合があります。

ジェイソン・クラーク:あなたがDIAにいたとき、あなたと私は政府からこの移行を行い、企業のCISOになることについてたくさん話していました。 その移行があなたにとってどのように行われたか、何が違うのか、そして今その変化を起こしている人へのアドバイスについて少し話してください。 なぜなら、私が見たことのある人が間違いなくいて、彼らは少し一生懸命にやって来て、それは私に合わないからです。 それはあなたにとってどのようなものでしたか、そしてあなたは他の人に何をお勧めしますか?

マシュー・マコーマック:ルーターはルーターであり、人は人ですよね? これらは、連邦政府であることと商業的であることに根本的に違いはありません。 私はいくつかの違いを言います、そして私は誰もこれらのどれにもショックを受けるとは思わない、スピード、そうですか? あなたが物事を成し遂げることができるスピード。 政府にもう少し柔軟性を持たせるためにいくつかの変更があったことは知っていますが、実際には、政府の予算編成と調達プロセスは必ずしも物事を迅速に行うことを中心に構築されていませんでしたよね? それは基本的にかなり不公平に物事を行うことを中心に構築されており、必ずしもスピードで行われることを中心に構築されているわけではありません。

マシュー・マコーマック: ですから、私にとって大きな変化の1つであり、私にとって、商業的になったのは2012年でしたが、必要なものを購入して調達する能力だけでなく、一般的に、常にではありませんが、採用できる速度も同様ですよね? 才能を特定し、その才能を非常に迅速に商業的につかむ能力は大きな違いでした。 さて、反対に、一般的に、従業員と従業員が取る行動のいくつかを扱うとき、そしてCISOとして、私たちは常に従業員に何をさせ、何をさせないかに注意を払う必要があります。

マシュー・マコーマック: 連邦空間、政府空間内の態度、人々は指揮統制型の態度でより快適でした。 ですから、Xはできないと言うと、コンピューターでは、人々は一般的に「さて、Xはできません」と言いましたよね? 一方、商業的には、それは交渉のようなものですよね? 特にグローバル企業に所属している場合は、ヨーロッパに組合、労働者委員会があります。 あなたは人々が物事をすることを許可するさまざまな国内法を持つでしょう。 法律により企業の最小限の個人的使用を許可している特定の国がありますが、連邦政府には含まれていませんでした。 「連邦政府のコンピューターを使用して個人的な仕事をすることはできません」と言うことができます。 ブーム、物語の終わり、それは終わりました。

マシュー・マコーマック:しかし、これらの国のいくつかが実際にそれを継続することを許可する法律を持っている場合、私たちはそれを管理しなければなりません。 ですから、個人的な観点から、何をしなければならないか、何をすることができないかについての規則と要件のいくつかは、それがそれを指摘するので、連邦側では少し簡単だったかもしれませんが、勅令によってこれらの決定を下すことは少し簡単でした。

ジェイソン・クラーク:あなたにとっては、多くの類似点があるようですよね? そして、私にはいくつかの明確な違いがあります。 とても広いようですよね? 陸軍以外では、私は連邦空間で働いたことがないからです。

マシュー・マコーマック:そして、連邦空間はすべて同じではありませんよね? だから私は軍隊でした。 私はインテリジェンスを行い、IRSで何年も過ごしたので、本質的に経済的です。 そして、連邦空間内のこれらの異なる領域の間には、幅広い違いがあります。 すべてがユビキタスなわけではありません。 すべてがまったく同じに見えるわけではありませんが、「連邦政府から商業に移行する人にどのようなアドバイスがありますか?」という質問の1つを言います。 彼らが周りに持っていた快適さのレベルのいくつかは、あなたが決定を下すCISOとして、誰もがそれをしに行きます。 あなたが商業空間に移っているとき、すべてが交渉ではないか、交渉であることを理解していますよね?

Matthew McCormack: セキュリティの観点から何かしなければならないことがあれば、座って、プライバシー担当者、雇用弁護士、人事部、これらのさまざまな分野で確認する必要があります。 あなたがそれをするように言ったからといって、あなたは物事を成し遂げることができませんよね? そして、それがあなたが賢い人ではなく、人々があなたを信じていないという意味ではなく、それがプロセスであることを意味することを理解してください。 連邦政府では、「私がそう言ったので」、私たちはより多くのことをすることができました。 そして、あなたが商業空間に出てくるとき、人々はあなたが彼らに言うことを盲目的に受け入れません。

Jason Clark: ここで少し移行しますが、サイバーセキュリティで最も急速に増大しているリスク、つまり、CISOやほとんどのセキュリティチームや幹部が気付いていないことに人々が気付いていないリスクは、最も急速に高まっているリスクは何だと思いますか? みんなに忍び寄っているのは何ですか?

マシュー・マコーマック:多くの人が、いくつかのもののために今気づいていると思いますが、全範囲と影響を理解していないのは第三者です。 そして第三者、第三者には複数の部分があります。 企業が成長するにつれて、彼らはすべての従業員から離れ、明らかに、請負業者やサードパーティからの非常に重いサポートに移行し、あなただけでなくソフトウェアも支援する機関を提供しました。 そして、ランサムウェアの増加は、非常に多くの異なる企業やいくつかの非常に大規模な企業に影響を与えており、特にサービスプロバイダー、つまりタスクを完了するのを助けるためにあなたの会社に組織を提供している誰かであり、伝統的に、それらのサービスプロバイダーの1つがランサムウェアに見舞われたときに、悪い従業員と同様に、それらの機関に何らかの方法であなたの会社へのアクセスを許可する場合、 本当にステップ1は、ネットワークにアクセスしているその会社のすべての従業員のすべてのアクセスを殺し、会社がランサムウェアの結果が何であるかを判断するまで、すべてのリモートアクセスを殺すことです。

Matthew McCormack: そして、会社がランサムウェアに見舞われたために、突然1,500人が月曜日に出勤できなくなったときの影響を実感します。 そして、あなたはそのサービスプロバイダーに対する依存の深さを認識しています。 そして、その2番目の部分はソフトウェアですよね? 誰もがSolarWindsがマスコミにこれらすべてのものを持っていることを知っています。 すでに侵害されたシステムを実際に購入して独自のネットワークに展開しているという考えは、これらの企業がソースコードを提供してくれるわけではないので、デューデリジェンスのソースコード分析を行うことができますよね? 彼らはそれをするつもりはありません。

Matthew McCormack: そのため、私たちはこれらのベンダーの製品セキュリティの内部機能に本当に依存しています。 ですから、私がサードパーティと言うとき、サービスプロバイダーと団体の周りのサードパーティ、そして侵害されたソフトウェアの周りのサードパーティ。 あなたはただその依存関係に気づきます。 GSKでは、明らかに製薬会社であり、医薬品やワクチンなどの製造を専門としています。 IT管理ソフトウェアがSolarWindsのようにどのような影響を与える可能性があるかは考えていませんよね? あなたはソーラーウィンズを持ち込みます。 SolarWindsがハッキングされる。 あなたはそれを引き裂かなければなりません、そしてそれから突然、それは会社全体を閉鎖することができます。

マシュー・マコーマック: そして、これらすべてのサードパーティの影響と、このようなことが起こったときに何をするかについての対応計画をどのように策定しようとしているかを本当に理解しています。

ジェイソン・クラーク:あなたはちょうどヒットしたと思います、おそらく、私は同意します、最大です。 最大の2つは実際にはサードパーティのリスクだと思いますが、SaaSのおかげで最も急速に成長していると思いますよね? それは、ビジネスがITの有無にかかわらず並んでいるだけのものです。 そして、ほとんどの組織で実際にITがなければ、彼らはただ行くだけですよね? 人事、マーケティングなど、そしてデータの成長もそうですよね? データ、あなたはMCですよね? また、今後4年間でデータは57ゼタバイトから107ゼタバイトに3倍になります。 ストレージ会社の在庫は見られませんが、3倍が屋根を通り抜けていますよね? それはすべてクラウドまたはモバイルに移行しているからです。 間違いなくこの2つだと思いますが、カウントで最速の速度でサードパーティのリスクをダブルクリックすると、間違いなく SaaSですよね? ほとんどの企業は1000社以上を持っています。 組織がそれに関与するために何をしているのを見ていますか、CISOはビジネスをやり遂げ、それを可能にするのを支援しますが、歴史的に、私たちは常に「ねえ、いや、私たちは1つのCRMを持っています。 他に何もしないでください」?

Matthew McCormack: サービスとしてのドットドットは、「ITを回る」というコードになることがありますよね? そして時々、見てください、あなたがプロセスを経るとき、それは一般的により長くかかり、それは一般的により高価であるので、人々が時々これをする理由を理解します、しかしそれには理由がありますよね? 特に規制の厳しい業界では、遵守していることを確認する必要があります。 特に消費者への直接販売で大きな傾向が見られますよね? ジェイソン、あなたに直接販売できるようにしたい人は、表面的には素晴らしいように聞こえ、外に出て、「ねえ、私はあなたのためにポータルをスピンアップします、そしてあなたはあなたの製品をジェイソンに直接売ることができます」と言うベンダーを見つけることができます。 「わかりました、素晴らしいです、そしてそうです、それが売り上げを伸ばすでしょう、 しかし、PCIレターはありますか? コンプライアンスは設定されていますか?クレジットカードを保管していますか? 私たちは個人データを保存していますか?」 これらの異なるもののいくつか。

マシュー・マコーマック:ですから、私たちがしなければならないのは、積極的に行動し、手を差し伸べることです。 これらの機能のいくつかが社内で見つかったら、必ずしも昔だけでなく、ハンマーを取り出して粉砕し、シャットダウンしますが、「さて、あなたは何を知っていますか? 消費者への直接送信の要件があり、そのポータルをすでに構築している場合は、それを合法的にできるかどうかを考えてみましょう。 直接販売ポータルのPCI部分をすべて完了してから、社内の他の人々があなたが構築したばかりのものを使用し、外に出て独自のポータルを構築しないようにしましょう。」

マシュー・マコーマック:ですから、過去には、おそらく「いいえ、これは違反しています。 私たちは消費者に直接、何とか、何とか、何とか、何とか」と言わざるを得ませんが、今は「ほら、あなたがそれをやっているなら、統計的にそれをやっている、またはやりたいと思っている人が社内にいるので、これをどのように行うかを考えてみましょう」と言わなければなりません。 そして、私はあなたに言います、良い例であり、私は誰も接続していませんが、ここ米国でCOVIDが襲ったとき、子供がいる場合、突然、彼らはズームに飛びつきました、そしてズーム、GSK内で、ズームは承認されたコラボレーションツールの1つではありませんでした。 そして、セキュリティデューデリジェンスを受けていないときに、デバイスでその特定のツールの使用を開始できるようにするという大きなプレッシャーがありました。 ライセンスとプライバシー契約はありませんでしたが、これらすべてと、フリーウェアツールを環境に展開することに対する私たちの側からの多くの反発がありましたが、それでも、子供たちの学校を手伝い、Zoomに非常に慣れ、理解していたので、多くの人がそれに慣れていました。

マシュー・マコーマック: そして時々、セキュリティの観点からは理にかなっているかもしれませんが、何かにノーと言うことは知っていますが、セキュリティは灰色です。 もう白黒ではありません。 セキュリティ、あなたは灰色に住む必要があります。 そのため、多くの人が望むほど迅速に展開できるとは限りませんでしたが、最終的には、承認されたコラボレーションツールに追加して、ある程度のサポートを提供することができました。

ジェイソン・クラーク:それは良い例です。 それに対して、私は驚かされます、私は一日にほとんど多くの会社ですよね? 間違いなく週に5人のCISOであり、明らかに多くの人々が私のセキュリティプログラムに売り込み、ベンダーの話を聞こうとしていますが、Zoomボット、つまり「ねえ」と言って、会話全体を翻訳しているボットを除いて、何人の人がいますか? 電話をホストしている人々、時には大企業に言うたびに、「ねえ、私がその会社を調べたばかりで、彼らはたった18人の従業員であり、セキュリティの肩書きを持つ人が一人もいないことに気づいていますか、そして彼らの会社、そして私たちはこの会話全体がクラウドに座っていることを信頼していますか? それはおそらく妥協案ですよね?」

ジェイソン・クラーク:そして、人々は「ああ、いや、私はそれについて考えていなかった」のようです。 そして時々それはセキュリティチームであり、私は「さて、これは、これは面白いですよね?

Matthew McCormack: そして、特に、使用を許可することへの最初のプッシュがたくさんあったとき、そのアプリをデバイスに展開できるようにし、「ほら、私たちはここでジャークになるためにジャークしているだけではありませんよね? 理由もなくノーと言っているだけではありません。 理由を説明する必要がありましたよね? その会話は、別の会社の商用サーバーに保持されます。 患者データや医療機器などについて話し合っている場合、プライバシーは期待できません。 そのデータは、プライバシー契約を結んでいないため、誰にでも収集、マイニング、販売される可能性があります。」

マシュー・マコーマック: 私たちは、セキュリティの範囲内で、時には理由を説明するより良い仕事をしなければなりません。 人々はテクノロジーについて賢くなり、「まあ、セキュリティ担当者はそれが悪いと言ったので、私たちはそれをするつもりはありません」と盲目的に受け入れるだけではありません。 彼らはこれを望んでいます。 家族と子供だけですよね? 私の子供たちが大きくなるにつれて、私は彼らにもう少し理由を説明し始める必要があります。 「いや、それはできない」というだけではありません。 「XYZだからそれはできない」とか、「ほら、運転を始めるときは、始める必要があります...これが、向こうでは見えないし、ブラインドカーブがあるので、その角をゆっくりと回らなければならない理由です。」 同じことですよね?

マシュー・マコーマック:人々がテクノロジーに慣れていて、この環境では使用できないと言われると、その理由を知りたがります。 そして、それは正当な質問だと思いますよね? それは、私たちがセキュリティの専門家として何をしているのかを知っているかどうかを彼らが疑問視しているという意味ではありません。 それは単に彼らが持っている知識のレベルがあることを意味し、そのために彼らはいくつかの質問を持っています。 ですから、私たちはその最高説明者であるというセキュリティ面からより良い仕事をする必要があります。

ジェイソン・クラーク:ええと、そこには2つの部分があります、それは本当に重要です。 ですから、これを私がダブルクリックしたい本当のリスクに変換しているものがあります。 そして、私たちが来る2番目のものは、あなたが公表された声明を出しました、それは結局すべてのCISOがセールスマンであるということでした、それは真実です。 そして、私は周りの両方のリスクが変化する、それは速く起こっていることを打つことを望んでいます。 実際、私たちはこの逆さまのセキュリティの世界にいると言っていますが、そこでは私たちが保護していたものはすべて公開されており、セキュリティ制御はそれらのユーザーとそれらのデータをどこに行っても追跡する必要があり、古いものを保護する必要がありますよね?

Jason Clark: つまり、新しいものを有効にし、古いものを保護するようなものですが、この新しいモデルでは、過去について話したことの1つはフレームワークですが、フレームワークは本当にそこにあり、この新しい世界でのリスクが何であるかを真に理解するために最新のものですか、たとえば、より多くの脅威モデリングを行い、各段階ごとのリスクと私のコントロールが何であるかを実際に考え、それをリアルタイムに移行しますか? その考え方において、私たちは業界としてどのように感じていますか、そしてどのような提案がありますか?

マシュー・マコーマック:フレームワークはそこにありますか? はい。 それらは私たちが必要とするほど最新ですか? いいえ。右。 私たちは皆、何年もの間、善のフレームワークに非常に依存してきたと思います。 冒頭でおっしゃったように、世の中がサービスとしてのドット・ドットなどになってきているので、それらのフレームワークはそれに追いつくのに苦労していますよね? しかし、それは彼らがまだ良い基礎ではないという意味ではありません。 しかし、私たちにとって、あなたがどれだけうまくやっているかを評価する能力と、あなたが実際に取締役会に対して行っているコミットメントを果たしているのであれば、ある種のフレームワークが必要だと思いますよね?

Matthew McCormack: 私たちはICF、内部統制フレームワークを手に入れました、そしてほとんどの人として、私たちはベースラインとしてNISTを使用しますが、それからカスタマイズし、それを行う理由があります。 内部監査機能を見ると、フレームワークをフレームワークと一致させて、問題が特定された場合に自分のフレームワークにマッピングされるようにする必要があります。 そして、プライバシー組織、セキュリティコンプライアンスだけでなく、私たち、HIPAA、サーベンス・オクスリー法、その他すべての国のコンプライアンス基準とGDPRを担当する人々、これらの異なるコンプライアンスチームのいくつかを見ているなら、そうですか? 世の中には非常に多くのコンプライアンスとフレームワークがあります。

マシュー・マコーマック:完璧なフレームワークを絶えず作ろうとするブラックホールに落ちる可能性があります。 そして、私たちにとって、NISTが私たちのフレームワークであり、私たちのユニークな業界のために少量のカスタマイズを行い、そこに線を引くことを決定したと思います。 130か国にいると、常に新しいフレームワークや新しい基準があり、そのような新しいものは決して追いつくことができないため、永遠に更新されると思いますか? 私たちは毎年フレームワークを見直し、変更を加えようとしていますが、フレームワークは素晴らしいと思います、フレームワークは重要です。 脅威モデリングも非常に重要であり、通過しようとしています...

マシュー・マコーマック: 130の工場がある場合、130の工場すべてが同じレベルの重要度にあるわけではありません。 たぶん、あなたの最も売れ行きが良く、最高の収益を生み出す製品を作るかもしれません。 たぶん別のものはあなたがその製品を入れる必要がある段ボールを包装しているだけです。 どちらも重要ですが、どちらが最も重要ですか? 他の人から段ボールをもらえますか? 恐らく。 他の誰かがあなたのためにその特定の薬を作ることができますか? 可能性は低いです。 したがって、脅威モデリングを実行する必要があり、製造施設だけでなく、データストアやデータリポジトリについても、常にその状態にありますよね? どこで複製を許可しますか? 誰がそれらを所有していますか? 彼らはクラウドにいますか? 彼らはクラウドにいませんか?

Matthew McCormack: 何かをクラウドに入れて、ある種の SaaS モデルにすることは経済的に理にかなっているのかもしれません。 ただし、そのデータを環境外に持ち出してクラウドに配置するリスクは、経済性を上回ります。 私たちは常に脅威モデリングとリスクリターンの状態にありますよね? 私たちにとって、それを行うリスクは見返りの価値があり、私はあなたに言います、それが理由です、そしてそれはトピックです、どんな良いセキュリティ組織の中でもあります、誰もが扱うものですが、雇用から、常にあなたのセキュリティ組織のためにコンピュータサイエンスの人々を探しに行くとは限りませんよね? このタイプの脅威モデリングを行っている場合は、会計士になったほうがよいでしょう。 あなたは自分自身をお金を理解する誰かに見つけたほうがいいです。

Matthew McCormack: そして、保険証券、サイバー保険契約を見ているとき、コンピュータサイエンスの人々はあなたの保険リスクレベルを評価するのに最適な人々ではありません。 したがって、セキュリティ組織を見るとき、脅威モデリングを行うときは、その方法を知っている人が社内にいることを盲目的に受け入れるだけではありません。 あなたは本当にブティックの専門家を持つつもりです、そして私たちはそれを手伝ってくれる本当に賢い人々のカップルを持っているか、外に出てそれを手に入れることができて幸運です。 なぜなら、その脅威モデリングの一部を専門家ではない人々と一緒に行おうとすると、その年の優先順位がかなり混乱するからです。

ジェイソン・クラーク:正直なところ、私たちは売り上げを伸ばしましたよね? 私たちは「ああ、まあ、あなたはセールスマンになる必要があります」と言いましたよね? ええと、コンピュータサイエンス専攻も必ずしもあなたの最高のセールスマンになるとは限らないと思いますよね? ですから、あなたのドメインとあなたが成長しようとしているものに応じて、私たちが持っている才能のギャップを育むのに役立つと思います。 私が言いたいのは、実際に子供たちを高校から卒業させることに大成功を収めたということです。 セキュリティアドバイザーアライアンスでは、高校や中学校に行き、「これはサイバーだ」と教えています。 そして、彼らは皆、「ああ、それはロケット科学のようだと思いました。 そんなに簡単だとは知りませんでした。 地下室で電気をつけずにドアの下にピザを滑らせる男でなければならないことに気づいていませんでした」そうですか?

ジェイソン・クラーク:そして、ほとんどの場合、キャプチャー・ザ・フラッグイベントで女の子のグループが男たちを倒しているのを見るでしょう。 そして、彼らは「ああ、すごい、これが私にとっての選択肢であることすら知りませんでしたよね? 私はこれが得意です。」 そして、私は高校を卒業して募集してきましたが、それはもっと好きではありません...大学はすぐにすべての人に適しているわけではありませんよね? 私は最初は大学に行く代わりに陸軍に入りました。 実際、私は25歳になるまで学位を取得しませんでした。 そして、私が学位を取得した唯一の理由は、「ねえ、私たちはあなたをCISOにしたいのですが、あなたが学位を持っていない限りできません」と言われたからです。 では、あなたが行く場所についてどう思いますか、そしてあなたは高校から子供たちをまったく連れ出してきましたか、そしてまた一般的に、他のセキュリティおよびITリーダーがこの才能のギャップのためにできることについてどう思いますか?

マシュー・マコーマック:100%正しい。 そうです、私は高校でそれを話します、そしてそれは私の心を吹き飛ばします。 私は実際に...私の孫娘である彼女の高校にはサイバーセキュリティプログラムがあり、実際にはコーディングが必要なプログラムを行っていたため、私は彼女にインタビューを行いましたが、その後、いくつかの製品をプルダウンしてそれらを見てリスクを評価する必要があります。 そして、彼らが高校3年生のときにそれをやっていたことに私は心を打たれました。 私は本当に驚いたが、「神に感謝する」とも思った。 なぜなら、あなたのポイントでは、金額、あなたが話す人は誰でも、それが3、5、または7であるかどうかですよね? サイバースペースにある100万人、300万人、500万人、700万人のギャップは、これらの人々が分野に入る前に大学を卒業するのを待つことができると期待するのはクレイジーですよね?

マシュー・マコーマック:需要が多すぎます。 そしてまた、私が言ったように、その規律に応じて、私はあなたと一緒です。 あなたは基本的にその大学の学位を必要としません。 私は地元のコミュニティカレッジで何年も教えていましたが、彼らは数年前のサイバーセキュリティの準学士号を持っていましたが、彼らは文字通りこれらの人々に使い方を教えていました。 彼らは彼らにそれらの使い方を教えていました。 そして、私がその時点でまだ政府にいたとき、私は文字通り彼らをあなたの靴下に入れることができるので、それらの人々を左右に雇っていました。

マシュー・マコーマック: ですから、サイバーセキュリティには非常に多くの部分があるという考えだと思いますが、あなたが私たちにあなたに操作してほしいと言っているわけではありませんが、それは医学のようになりましたよね? 同じように、すべての医師が医師であるとは限りませんよね? 関節が得意な医師もいれば、皮膚科が得意な医師もいます。 あなたには、さまざまなことが得意なこれらすべての異なる専門家がいます。 セキュリティはそれになっていますよね? ペンテスターがいて、トレーニングスペシャリストがいます。 あなたが私たちのような規模の会社にいるなら、これらの数百万ドルのプロジェクトを管理できるプログラムマネージャーとプロジェクトマネージャーが必要です。

マシュー・マコーマック:300〜400人のチームを見ると、背景や色の縞模様が異なり、最高のセキュリティ担当者の何人かは心理学の人々だと思います。 また、大学で話すと、「心理学や社会学を勉強しているけど、サイバーセキュリティにとても興味がある」という人が日常的にいます。 「サイバーセキュリティの大部分はユーザーが行うことであるため、素晴らしいことです。」 そして、ユーザーに影響を与える方法を理解している人々は、ユーザーにフィッシングをクリックしないようにしようとしているとき、「馬鹿にしないでこのリンクをクリックしてください」というメールを送信することはできません。 そして、すべての異なるタイプがあります。

ジェイソン・クラーク:心理学の学位を取得したCISOを何人か知っていますよね? いくつかの本当に優れたCISOと彼らは実際に心理学者として始まり、その後移行しました。 彼らはそれについてあまり話しませんが、それが彼らの成功の秘訣の1つです。 ある意味、違うことがすべてだと思いますよね? ユニークであること。 他のみんながやった幹線道路をたどるだけではありません。 他の誰も持っていないものをテーブルに持ち込むことができますか?

マシュー・マコーマック: そして、それは実際には私のペットのおしっこの一人です、そして明らかに、私は大学の学長ではなく、学長のふりをしません。 私のペットのおしゃべりの1つは、サイバーセキュリティプログラムをエンジニアまたはコムサイエンススクールに導入している大学です。 それは100%間違った場所ですよね? サイバーセキュリティはコンピュータサイエンスの分野ではなく、エンジニアリングの分野でもありません。 はい、私はエンジニアです。 はい、私はそのように育ちました。 そして、それは私がCISOになった方法に影響を与えましたか? ええ、絶対に、私にはエンジニアではない100人の仲間がいますよね? それはビジネスですよね? サイバーセキュリティはビジネスリスクの規律です。 そして、ビジネススクールを見ると、「ねえ、あなたはリスクのクラス、保険のクラス、金融のクラス、クラスと心理学、クラスと組織行動のクラスを持つことになります」と私がMBAを取得したとき、ビジネススクールで受けたクラスは、工学部で受けたクラスよりも、私が日常的に行うことに無限に関連しています。 ですから、大学がコンピュータサイエンスやセキュリティプログラムをコムサイエンスやエンジニアリングスクールに設置しているのを見ると、私は死にます。 100%間違った場所。

ジェイソン・クラーク:同意します。 私にとってMBAは、自分の組織、自分自身、自分の機能に対する見方に大きな影響を与えました。 正直なところ、学士号を取得することは私にとって重要ではありませんでしたよね? 私が好きなチェックボックスを手に入れたこと以外は、私の人生は本当に変わりませんでしたが、MBAを取得することで私の考え方が変わりました。 それは重要でした。 さかのぼると、キャリアをシフトダウンしてマネージャーレベルの仕事をしなければならない場合、何らかの理由でどのドメインになりたいか、さまざまな機能について何かおっしゃいましたか? そのレベルで運用したいセキュリティのお気に入りのドメインは何ですか?

マシュー・マコーマック:トレーニングですよね? 私にとって、それは絶対に最も重要な分野の1つだと思うからですよね? 100%、それはまだユーザーの90%だからですよね? それは個人が何を暴露しますか? 私たちは誰かが何かをするのを防ぐためのツールに何百万、何百万も費やし、それから私は私の予算の割合を見ます、それはトレーニングであり、それはごくわずかですが、それはまさにその通りです。 また、セキュリティトレーニング業界には、よりインタラクティブで最新のものを手に入れようとする傾向があり、見出しから引き裂かれています。 それはまだ本当に難しいです。 しかし、サイバーセキュリティの分野でまだ残っている分野の1つであり、異なる次世代の考え方に対してまだオープンなのはトレーニングですよね? それがあなたが人々と対話する方法だからです。

ジェイソン・クラーク:それはその場です。 そして、あなたはそれを測定することができます。 変化の違いを測定できますよね? 私はその答えが大好きです、マット、私はあなたにたくさんのインタビューをしていると言うので、私はいつもこの質問をします。 ご存知のように、私はキャリアの中で50人以上のCISOを採用してきましたよね? 私は過去に30人働いていて、ここ Netskopeで10人を獲得しましたが、CISOに代わってCIOの面接もたくさん行っていますよね? 3人のCIOから、友情の観点から、現在異なる企業にいる面接プロセスに参加するように求められています。 ですから、私はこの時点で何百人ものCISOにインタビューし、毎回この質問をしました、あなたはトレーニングに答えた最初のCISOです。

マシュー・マコーマック: おそらく私がひどいコーダーだからです。 それがおそらく理由です。 あなたは私にあなたのために何かをコーディングすることを決して望まないでしょう。

ジェイソン・クラーク:それは一般的に[聞こえない00:37:07]か、「ああ、私はビジネスの近くにいたい」かのどちらかであり、最も一般的には、「私は建築家になりたい」です。 私は技術で遊びたい」、または私はSOCが大好きです。 私は戦いを戦うのが大好きですよね?」 しかし、たまに「IRが大好き」と言う人がいて、「ああ、何か問題があります。 あなたの人生があります。 あなたは休暇を取らず、毎週金曜日の夜に働くことでクールです。 かっこいいですね」 それは本当にユニークなことです、マット。 それは重要だと思うし、聞いている人は誰でもそう思う。 それは実際に考えるべきことです。 あなたはトレーニングでそんなに多くのことをすることができます。 そこには多くの機会があり、特に技術の発明について考えています。 そして、私はあなたと私が実際にこの分野で何かをしたいと思っている会社を指導していることを知っています。 ですから、それについて話すのにもう少し時間を費やす必要があります。

ジェイソン・クラーク:それでは、もう少しここで、あなたにいくつかの簡単な質問がありますよね? キャリアで何か違うことができるとしたら、または最後のCISOの役割に戻るとしたら、何が違うでしょうか?

マシュー・マコーマック:正直なところ、後知恵は素晴らしいと思いますよね? 私は SaaS ことを期待していたと思います...こんなに早く来るとは思いませんでした。 サービスとしてのドットドットのインフラストラクチャを準備するために、もう少し時間があると思いました。 思ったより早く来ました。

ジェイソン・クラーク:それはよくあることですよね? 実際面白いのは、ご存知のように、Netskopeがそのスペースにあるということですよね? そして、私たちは人々のためにレポートを実行します。 私たちが入ってくると、人々は100 SaaS ほど持っていると思いますが、私たちが彼らに示すとき、彼らは1,000または2000を持っており、トラフィック数と SaaS トラフィックがWebトラフィックの半分以上であることを示します。 そして、あなたはただこれを手に入れます、「ああ、すごい」。 そして、次の文は「それは速く起こった」と言っていますよね? それはスポットです。 そのため、サードパーティのリスクが最も急速に成長しているリスクであるとおっしゃいました。 そして、それはあなたが言ったように、SolarWindsの例のように、SaaSまたは技術が組み込まれていることによって推進されていると思います。 それで、別のクイックヒットですよね? あなたにとって引退はどのように見えますか?

マシュー・マコーマック:私にはわかりません。 私はその近くにいるとは思わないよね? 私はあまりにも長い間政府にいました。 私は働き続けなければなりませんでした。 私にとって、CISOの日常業務以外の仕事を本当に楽しんでいることは、多くのCISOを指導し、大学で講義をし、高校に行くことです。 私はただのアドボカシーだと思います、そして私にとって、それは周りのアドボカシーではありません、「これがネットワークを保護する方法です。 これがあなたの子供のプレイステーションが危険にさらされている理由です。」 人々に規律に入ることを奨励することに関する擁護。 ねえ、ジェイソン、UMAを振り返ると、文字通り盲目ですが、愚かな盲目の運が、私たちが祝福されたと思うものに陥ったのですよね?

マシュー・マコーマック:97年に私がこれを始めたときに、サイバーセキュリティが現在の業界に変わるとあなたが私に言ったとしたら、私はあなたを信じなかったでしょう。 それは愚かな盲目的な運の単なる側面です。 しかし今、私たちは明らかにより多くのCISOを獲得する必要がありますよね? 何百万もの企業が存在するため、CISOは何百万も存在しません。 将来のサイバーリーダーのパイプラインだけでなく、そのピラミッドの作成をどのように支援しますか? さらに何百万人もの人々をこの分野に参加させ、これを行うためにコムサイエンスやエンジニアである必要はないことを彼らに納得させるにはどうすればよいですか? あなたがしなければならないのは好奇心旺盛ですよね?

マシュー・マコーマック:私が欲しいのは、何かを見て、「まあ、それは面白い。 それは意味がありません。 その理由を私に理解させてください。」 それは良い警備員を作る人です。 あなたが何かを見て、「なぜそのように見えるのか理解できないが、理由を理解して行くつもりだ」と言う人なら、あなたはこの分野に合っていますよね? では、どうすればより多くの人を参加させることができますか? 私が運用を終えたとき、週末に電話の電源を切ってそのようなことをする準備ができたとき、私は若い人たちに規律に入るように説得または教育するために多くの時間を費やすだろうと想像します。

ジェイソン・クラーク:大好きです。 実際、明らかに、あなたはすでに始めています、あなたは今それをしていますよね? あなたはただそれをもっとやるつもりです。 あなたはその空間と私たちがどのようにそれに陥ったかについて話したと思います。 正直なところ、2000年にセキュリティを離れることを考えましたよね? ILOVEYOUウイルスが発生するたびに、私は「私たちはすでにこれを解決した」と思っていました。 私は「AVです。 スパムフィルターがありますよね?」 私は文字通り少し退屈し始めていました、そして私は私のCCIEを手に入れ始めました。 私は書面に合格しました。 私は言った、「ああ、声は未来ですよね? ボイスオーバーIPは私のキャリアかもしれません。」 私は文字通り、セキュリティに行き止まりがあり、その後、全世界が変わるのではないかと心配していましたよね?

マシュー・マコーマック: さて、COVID後の今を見てください、企業が2か月の間にリモートから98%にリモートに移行するとき、そしてここで私たちは、それが聞こえるのと同じくらいクレイジーですが、私たちは2年間のCOVIDとリモート雇用を推進することになります。 それは明らかに世界を根本的に変えました。 オンラインコラボレーションツールを提供する企業の市場価値を見てください。 天井を通して。 では、オフィスに人がいないときはどうしますか? そして、それは「彼らの取引をどのように保護するか」だけではありません。 今、あなたは彼らの訓練に戻ります。 彼らがオフィスに来ていないとき、どのように彼らを訓練しますか? どうやって彼らにやらせますか...オフィスにいないときに外出するときにラップトップを提出するのはより複雑です。

マシュー・マコーマック: 突然、セキュリティが別のカーブを曲がり、業界はあなたのポイントにシフトしました。 ええ、私たちはそれを解決しました。 AVを手に入れました。 次は何ですか?」 神様、毎年、私たちの業界がシフトしなければ、そうですか? モバイルはそれをシフトしました。 クラウドはそれをシフトしました。 今、遠隔地の雇用はそれを変えました。 そして、2年後に別の変化があります。 それが私たちがセキュリティにとどまっている理由の1つだと思いますが、それは毎年何か違うものです。

ジェイソン・クラーク:最後の3つの質問ですが、それらはクイックヒットであり、15、20秒の答えですよね? 3つの質問。 それで、最初のものは、あなたの履歴書にない才能やスキルは何ですか?

マシュー・マコーマック:それは私の履歴書にはありません。 あなたは私が持っていることを意味しますが、私は履歴書を貼っていませんか?

ジェイソン・クラーク:あなたが持っているということは、趣味かもしれませんよね?

マシュー・マコーマック:ええ、だから私は大好きです 私は構築するのが大好きですよね? 擁壁かどうか。 COVIDが発生したとき、私は子供たちのためにツリーハウスを建てましたが、電気と水も流すことができませんでしたが、それ以外はおそらく本質的に小さな家です。

ジェイソン・クラーク:それはかなりクールです。 さて、2つ目は、ネットワークとセキュリティに携わっていなかったら、やっていたことをしていなかったら、他にどのような業界にいますか?

マシュー・マコーマック: 実際、学校では、工場の設計とオペレーションズリサーチと統計を行うインダストリアルエンジニアリングでした。 それは構造化されていないものを取り、私たちのORを通してそれをクリーンアップしているので、それを愛しています。 プーフ、これはあなたのものです...私は工場に行って、機械を近代化し、すべてのものを動かす方法を見るのが大好きです。 それは私にとって魅力的でしたが、海軍は「プーフ、あなたはより良い暗号学者になるだろう」と言いました、そしてここに私はいます、しかし私は本当に工場の設計と統計を大いに楽しむか、または大いに楽しんでいました。

ジェイソン・クラーク:あなたはあなたがあなたの子供とどのように見分けることができるか知っているように聞こえますよね? あなたはそれらを見始めることができます、そしてあなたはすでに才能とスキルを見ることができます。 だから私には4歳の子供がいます、彼はビルダーですよね? 彼は、4つのレゴセットでこれらの巨大なレゴセットを自分で構築するのに夢中になっている唯一の人であり、それに焦点を合わせて庭で物事を構築します。

マシュー・マコーマック:私も同じ方法で手に入れました。 幼い頃に、両親が私に言ったのとまったく同じ特徴のいくつかを見ることができるのは面白いです。 そうです、それも面白いです。 私は13歳から知っていましたが、彼がエンジニアになることは若い頃から知っていました。 私は知っていました。

ジェイソン・クラーク:同じですよね? 機械的、実践的、ある種のエンジニアも。 私のもう一人は、科学者のようなものです。 彼は化学物質と物を混ぜ合わせたいと思っていますよね? そして最後の簡単な質問は、誰かがあなたを呼び出し、初めてCISOである場合のトップアドバイスです。

マシュー・マコーマック:そして、これは私があなたと同じように与えるアドバイスです、私は現在CISOの役割を担っている多くの人々を育てるのを助けたという事実に誇りを持っています。 ですから、私がいつも彼らに与える作品の1つは、「あなたは賢いのであなたの仕事をしている。 あなたが会議のためにその部屋に座っている人々は、彼らが賢いので彼らの仕事をしています。 あなたは部屋で最も賢い人ではありません。 部屋の他の人からアドバイスを受けてください。 そして、セキュリティは協調的な規律ですよね? CTOとCIO、CFO、ジェネラルカウンセル、およびこれらすべての異なる分野と協力する必要があります。

マシュー・マコーマック:それで、彼らの言語を話すことを学びましょうよね? 弁護士を話すことを学ぶ。 ビジネスケースを書くことを学ぶのは、イニシアチブに数百万ドルを要求する場合、CFOは彼のリターンが何であるかを知りたいと思うからです。 あなたが交流しようとしているすべての仲間は、彼らも本当に賢いので、彼らの仕事をしていることを理解してください。 ですから、あなたが多くの賢い人の一人であり、あなただけが賢い人ではないことを知ってそれに入ってください。」

ジェイソン・クラーク:大好きです。 それは良いアドバイスだと思います。 かつて、CISOとして26歳で初めての取締役会に足を踏み入れ、緊張しました。 私は震えていました。 そして、この会社の会長は、「息子よ、こっちに来てください」と言い、「聞いてください、あなたはここの専門家ですよね? 彼らは賢い人です、はい、しかし彼らはボードにいます、しかし彼らはあなたがサイバーを知っているようにサイバーを知りません。 あなたは専門家です。 自分のものを所有していますよね?」 それから彼は振り返って言った、「そして私はあなたのためにもう一つものを手に入れました。」 そして彼は「これがジョニーブルーの2つのショットです」と言いました。 そして彼は言った、「彼はあなたの友達になるでしょう。 私たちは戻ってくるつもりです。 15分で始まります。」 私は「わかりました、それはうまくいきました」と思っていました。 ちなみに、これまでの人生でそれを持ったことはありません。

マシュー・マコーマック:そして、私たちは皆、物語を持っていると思います。 そして、私が見つけたのは、私が新しいサイバーイニシアチブを提唱しようとしていたIRSと26,000人のビジネスユニットの責任者にいたときから、彼は「ねえ」と言いました。 「息子」、それは通常いくつかのアドバイスが続くでしょう? あなたが現在知らないことを教えてくれます。 だから私は間違いなくそれを聞いています。 誰かが始めるときはいつでも、それだけです。 私が年をとった今、それはそれほど起こりません。 しかし、誰かが「息子」で何かを導くときはいつでも、私は後に続くものが私が聞くべきものであることを知っていました。

ジェイソン・クラーク:その通りです。 子供の頃からずっとですよね? まあ、とにかく、私たちは時間がありませんが、マット、これはおかしくて素晴らしかったです。 本当にありがとう。 これは楽しかったです。 そこにいるすべての人にとって、たくさんの素晴らしい洞察があり、彼らはあなたをさらによく知るようになったと思います。 これをもう一度やりましょう、そして間違いなく戻ってきて、私たちが一緒に業界のためにできることについてもっと話しましょう。

マシュー・マコーマック:いいですね。 ありがとう、ジェイソン。 本当に感謝しています。 とても楽しかったです。

広告ロール:セキュリティビジョナリーポッドキャストは、Netskopeのチームによって提供されています。 デジタルトランスフォーメーションの旅を可能にする適切なクラウドセキュリティプラットフォームをお探しですか? この Netskope Security Cloud は、ユーザーを任意のデバイスから任意のアプリケーションに直接安全かつ迅速に接続するのに役立ちます。 詳しくは Netskope.comをご覧ください。

ナレーター: セキュリティ ビジョナリーのお話を伺い、ありがとうございます。 ショーを評価してレビューし、それを楽しむかもしれないあなたが知っている誰かと共有するために少し時間を取ってください。 隔週でリリースされるエピソードをお楽しみに、次のエピソードでお会いしましょう。