現代のCISOの使命を定義する マレーネ・アリソン

Marene Allison:サイバーでは、すべてが6か月ごとに変化し、新しいレンズがあり、まったく新しいテクノロジーのセットが登場します。 そして、CISOとして、セキュリティ環境ほど急速に変化しないIT環境という新しい脅威を取り上げ、それをもう一度ラップして、何が機能するかを検討する必要があります。 私たちはこれらすべての新しいテクノロジーを手に入れたので、私たちは素晴らしい仕事をしていると思います。 私たちは、敵が私たちの後に来るであろうすべての異なる方法を見ることができます。 そして、それをどのように保護するかを見てください。

スピーカー2:こんにちは、NetskopeのCISOであるJason Clarkが主催するセキュリティビジョナリーへようこそ。 本日のゲスト、Johnson & Johnsonの最高情報セキュリティ責任者であるMarene Allisonからお話を伺いました。 17歳のとき、マレーネはウェストポイントの米陸軍士官学校で、国内外のすべての敵から国を守ることを誓いました。 今日、Mareneは、データを盗もうとする侵入者から会社を守るという別の誓いを支持しています。 進化するサイバーセキュリティの世界では、脅威はあらゆる場面で発生する可能性があります。 セキュリティリーダーとして、これらの脅威を経営幹部にとって実用的な情報に変換することは私たちの義務です。 また、有能なチームがあれば、常に会社を攻撃から守る準備が整います。 Mareneのインタビューに飛び込む前に、スポンサーからの簡単な言葉があります。

スピーカー3:セキュリティビジョナリーポッドキャストは、Netskopeのチームによって提供されています。 Netskopeは SASE リーダーであり、今日のビジネスのスピードで高速のデータ中心のクラウドスマートユーザーエクスペリエンスを提供するために必要なすべてのものを提供します。 詳しくは N-E-T-S-K-O-P-E.com をご覧ください。

スピーカー2:早速、Johnson & JohnsonのCISOであるMarene AllisonとホストのJason ClarkによるSecurity Visionariesのエピソード10をお楽しみください。

Jason Clark: Security Visionaries へようこそ。 私はあなたのホスト、ジェイソン・クラークです。 そして今日、私は素晴らしい同僚のマレーネ・アリソンが加わりました。 マレーネ、調子はどう?

マレーネ・アリソン:私は素晴らしいジェイソンをやっています、私を連れてきてくれてありがとう。 これは素晴らしいプログラムです。

ジェイソン・クラーク:ありがとうございます。 コミュニティがあなたについて本当に興味を持っていると思うことのいくつかを引き出すことに興奮しています。 あなたは本当に素晴らしい経歴を持っています。 正直なところ、私は実際にあなたの経歴に嫉妬しています。 ウェストポイントに行けばいいのに。 FBIに入らなければいいのにと思います。 そして、あなたはあなたのそのユニークな道を行きました。 私は軍隊に行きましたが、それは私の家族の多くがいたウェストポイントに行くこととは大きな違いです。 それで、あなたがウェストポイントを卒業した最初のクラスの女性であること、そしてそれが今日でもあなたにとって何を意味するかについて話すことから始めることができます。

マレーネ・アリソン:ええ、実際、私はウェストポイントに行きたくありませんでした。 空軍士官学校に行きたかった。 そして、おそらく私たちが私を後援し、私の人生の方向性を助けてくれたスポンサーという言葉を知る前でさえ、最初の人はマサチューセッツ州の下院議員であるマーガレット・ヘックラーでした。 彼女は私にウェストポイントへの彼女の主要な指名を与えました。 そして、私は目に見えない場所に行き、その場所を見たことがなく、4年後に少尉として任命されて、入って出て行きました。 そして、はい、それは人生を定義するものでした。 私はマサチューセッツ州出身なので、男性にできることは女性にはできないという発想や、70年代の世界観という先入観もあります。 私はそれが何であるかを知りませんでした。 そして、私はこの環境に足を踏み入れ、うまくいきました、明らかに私は卒業し、憲兵に任命されました、しかしそれは私が電気工学のために行ったところです。 もちろん、昔はコンピュータサイエンスもサイバーセキュリティの学位もありませんでした。 それで私は電気工学を取りました、そしてそれはウェストポイントで私の専攻になりました、そして確かにすべての違いを生みましたよね? それは巨大でした。 私は今日ウェストポイントウィメンの社長であり、6,000人以上の女性とウェストポイントの卒業生、そして達成されたすべてを代表しています。

ジェイソン・クラーク:うわー、それは信じられないほどです。 それで、サイバーへの移行とその道について少し教えていただけますか。

マレーネ・アリソン:まあ、私が言ったように。 私は少尉として憲兵に任命され、それから去りました。 私の人生で2番目のスポンサーは、A&P Foodsの取締役を務めていたサム・ウェッツェル将軍でした。 そして彼ともう一人の女性取締役は、A&Pの女性ウェストポイントの法執行機関の卒業生のセキュリティ責任者を探していましたが、それは私でした。 私はニューアークでFBI捜査官として働いていました。 そして、企業のセキュリティ、物理的なセキュリティに移行しました。 そして、約10年後にA&Pを辞めた後、私は電気通信を介してAに行きました。 そして、私はそこで6週間で物理的なセキュリティ、グローバルセキュリティの担当者でした。 彼らは私に言った、「ねえマレーネ、私たちのITセキュリティの責任者は去ります。 そして。。。ああ、ちなみに、私たちはワールドカップをやっていますが、プロダクションでボイスオーバーIPを使用したのは初めてです。 そして、セキュリティオペレーションセンターを運営する人が必要です。」 ねえ、私はあなたの女性です。 私はそこにいます。 私はそれをするつもりです。 そして、それがITを綴ることができないことから、2002年のワールドカップのために靴下を履くことへの私の移行でした。

Jason Clark: それで、あなたは今、2010年からそこにいるJ&JまたはJohnson & Johnson CISOにいます。 ですから、2010年の状況を考えると、一般的なセキュリティの状態と比較して、今日の業界です。 過去11年間のそれらの違いについてどのように話しますか?

Marene Allison: 2010年を見ると、私たちはクライアントサーバーでした。 人々は足の親指を始めたばかりでした。 ベゾスは5億4000万ドルのヨットではなく、ディンギングしか買う余裕がなく、アマゾンはお金を稼いでいませんでした。 つまり、私たちはクライアントサーバーであり、ネットワークは境界であり、今日のようにインターネットではなく、デジタルの世界にいるようにはなりませんでした。 私はMedco、Medcoという会社にいましたが、それはもう存在しません。 薬局のメリット。 私たちは、そのウェブサイトに6500万人のアメリカ人のデータを持っているクライアントのウェブサイトを持っていました。 そして2005年には、HIPAA、サーベンス・オクスリー法、PCIを同時に導入して、データのセキュリティを確保しました。 そして、それは私たちに一定のレベルを与えました。 私はこの用語を使用しますが、今日もクマの先を行くためにそれを使用していますよね? そして、あなたはクマより少し進んでいますが、あなたはあなたの後ろに誰かを望んでいましたが、あなたはスペースにあまりにも多くのお金を費やしていたので、あまり先にいたくありませんでした。 そして、それは大きな違いをもたらしましたが、それらのフレームワークのいくつかのためにITセキュリティの方法も変えました、それは素晴らしかったです。 そしてそこに[聞こえない00:07:03]とNISSが出てきて、ISO27001が出ました。 しかし、それらはすべて、CISOが技術を向上させるための単なるフレームワークでした。

ジェイソン・クラーク:過去11年間で多くの変化があったと思うので、それについてもう少し話します。 しかし、今でさえ、私たちが座って物事がどこに向かっているのかを考えるとき、変化の量はかなり重要であると思いますが、過去2年間をとっただけでも、それは誰にとっても挑戦的です。 しかし、私があなたの靴について考えるとき、あなたは最初のワクチンの1つを出し、それから唾を吐くことにも対処しています。 10年前の買収は、新しいリースラインを点灯したい、またはドロップシップの新しい機器の1つを送り、南アフリカ、ブラジル、ロシアに運ぶ必要があるため、テクノロジーの面ではるかに困難だったと思いますか、それは6か月のプロジェクトですハードウェアをそこに手に入れるだけで、今はクラウドの世界では物事を上げることができますはるかに高速です。 あなたはソフトウェアを提供することができますよね? それを実現できるようにするために。 過去10年間で、セキュリティの観点から買収を行うのがはるかに簡単になったと思いますか?

マレーネ・アリソン:一般的に、買収や売却の時期はずっと簡単です。 覚えているなら、サーバーをセットアップするのに10年前にどれくらい時間がかかりましたか? そして、それをすべて構成し、全員を通過させます。 それは数ヶ月、数日でした。 確かに数時間ではありませんでしたよね? クラウドベンダーは実際に私たちが変化を助けてくれました、たとえあなたがそれを内部でやっていても、私たちが実行可能になるのであれば、ITのビジネス価値、私たちは物事のやり方を変えなければならず、自動化されなければならなかったので、彼らは助けてくれましたよね? そしてねえ、私が数分でクラウドベンダーからサーバーを手に入れることができ、それを内部で行うのに3か月かかる場合、どこに行くつもりですか? そして、起こったことは、クラウドへの変更だけです。 そして確かに、ピボットしてすべてを取得し、クラウド環境に移動できることは、それがどれほど高速であっても、内部で実行している場合、クライアントサーバーに配置するよりもはるかに簡単になります。

ジェイソン・クラーク:それで、歴史におけるあなたの驚くべき経歴について考えてみてください。 サイバーに特化したあなたの最大の学習経験の1つは何でしたか?

マレーネ・アリソン:私にとって本当に決定的な瞬間は、2016年6月のnotPetyaだったと思います。 CISOとして、ああ、私はそれに対して防御できると思います。 より大きなモード、より大きなファイアウォール。 私はこれを行うことができ、私は大丈夫です。 私はより多くの検出を取得し、保護は良いでしょう。 良いでしょう。 notPetyaが発生したとき、サイバーレジリエンスが必要であることに気づきました。 サイバーレジリエンスがなければ、新しい脅威環境で生き残ることはできません。 そして、当時、「マレーネ、私はパンチアウトしている、私はいなくなった。 私はサイバーを去ります。 私はベンチャーキャピタルに戻るつもりです。 私は他のことをするつもりです」なぜなら、CISOは、企業がサイバーに関する企業の考え方のどこに行く必要があるかを理解する必要があるからです。 そして、回復力はCISOの領域の中心に完全にあるわけではありません。 それは本当に会社ですよね? そして、ランサムウェアの台頭を再び見ました。 私が知っているCISOはバックアップとリストアを行っている人はほとんどいませんでしたが、バックアップとリストアの構成方法、および可用性の高さに関するものがすべてになりました。 また、ランサムウェアがどのように侵入し、環境や敵対者に対して伝播するか、効率のために行ったこと、自動化と二重冗長性、自動バックアップもランサムウェアイベントのアキレス腱になる可能性があります。 ですから、私にとっては、notPetyaイベントは「さて、今私たちは何をしますか? そして、どのように前進しますか?」 ITセキュリティではなく、情報セキュリティ、リスク管理、サイバーレジリエンスの向上でした。

ジェイソン・クラーク:あなたはそこでいくつかの本当に重要なポイントにぶつかりました、それは私が引き出したいです、それは...私たちは始めます、最初のものはCISOの仕事です、それは1つのために非常に複雑で難しい仕事です、それのストレスレベルだけが起こるでしょう。 家族での休暇や家族のクリスマス、親友の結婚式を見逃すようなイベントがありますよね? それは誰にでも起こります。 ですから、これらのストレスの多い瞬間とそれをどのように管理しているかのバランスが取れており、ビジネスの摩擦を生み出さないようにしていますが、ある程度の摩擦が必要なので、CISOの仕事がストレスの多い理由についてあなたの意見を話すことができます。 私が知っているほとんどのCISOは、CISOの仕事を3回行った後、「さて、もう1回あるか、小さな会社に行く必要があるか、他の何かに飛び乗る必要があると思います。 しかし、私は二度とこれほど一生懸命行くことはできません」と言っていますよね? それはどういう意味だと思いますか?

マレーネ・アリソン:私を除いて、ジェイソン。 私を除いて、そうですか?

ジェイソン・クラーク:フロリダに住んでいると思いますよね? 多分それはあなたがもう少しリラックスするのを助けます。

マレーネ・アリソン:CISOにはいくつかのタイプがあると思います。 真のITセキュリティミッションに取り組んでいるCISOがいますが、それはITの保護に関するものです。 そして、本当に経営幹部であるCISOがいます。 ITセキュリティは、彼らが行うことのほんの一部です。 そして、彼らにはサイバーリスクがあります。 彼らは、サーベンス・オクスリー法のIT管理などを検討しています。 そして、あなたは常に翻訳しているので、それははるかに異なる役割です。 何が起こっているのかについて私が知っていることと、それを上級管理職に翻訳しようとすることは、それは素晴らしい芸術です。 それは絶対に私たちがしなければならない芸術です。 そして、政府サービス、技術的洞察力、ビジネス洞察力のいずれかを備えた非常に才能のある人々のチームを持ち、それをまとめることは、主にセキュリティエンジニアである組織だけを持つよりも非常に重要です。 そして、ゲームは変わりましたよね? それは...私たちは皆、今取締役会に行き、サイバーリスクと運用指標について話し、あなたが話していた個人がCISOがどこから来ているのかを本当に理解していますか? そして、ゲームは変化し、理にかなった方法でそれを明確に表現できるようになったと思います。 私は17歳のときにウェストポイントで手を挙げ、国内外のすべての敵から国を守りました。 そして、私は数年後でさえあなたに言うことができます、そして私はあなたに何年後かあなたに言いません。 私はまだ手を挙げて、「私たちのデータを盗んだり改ざんしたりしようとするすべての侵入者から会社を守ります」と言うことができました。

ジェイソン・クラーク:それが私たちの使命の素晴らしいところです。 私たちは本当に始まったばかりです。 問題はますます難しくなっており、セキュリティとして成長し続けるつもりですが、これについては少しお話ししたいと思います。 私はあなたの答えが完璧だったと思います... ストレスは、技術的にはある方法で引き伸ばされているが、ビジネスリスクと回復力の観点からも別の方法で引き伸ばされているということだと思います。 そして、誰もがそれらの両方を同時に管理できるわけではありません。 そして、それは人々が潜在的に倒れるところですよね? または、ビジネスを支援する周りの組織、多分彼らはそれを支持していない上司を持っていますよね? あなたが座って月に一度取締役会と過ごすことを支持していないCIOを持つことができ、彼らは取締役会と会いました。 あなたはそれがいつも起こるのを見ます、またはあなたは誰かにあなたに言わせます...そして、私はこの方法を何度も見てきました、「ねえ、私はあなたにこのリスクを承認する必要があります」。 そして、ええ、そうです、私はそれをすることができません、それは大きなリスクです。 さて、署名してみませんか? そして、彼らは「まあ、いや、それはあなたの仕事です」のようです。 そして、「署名しないなら、ドアを出て行くと、署名してくれる人が見つかるかもしれません」と言われますよね? あなたもそのようなストレスを抱えてしまいます。

Marene Allison: J&Jではなく、以前の会社では、個人がコールセンターに二重の冗長性を持っていなかったことが実際に発生しました。 そして、私はそれをリスクの事業継続性として提起しました。 そして、そのビジネスユニットの社長は承認する必要があり、彼女はそれをしたくありませんでした。 それで私は言った、「わかりました、あなたがそれを承認することを拒否したメモをここに書くつもりです、それは大丈夫ですか?」 うん。 大丈夫です。 そして1年半後、洪水でコールセンターへの1つのデータリンクが奪われ、私たちは両方ともCEOのオフィスに連れて行かれ、質問をしました。 そして私は、「まあ、ここは、必要であると報告されたにもかかわらず、サインオフが必要なかった場所です」と言いました。 そして、私はオフィスを出なければなりませんでした。

ジェイソン・クラーク:大好きです。 はい。

マレーネ・アリソン:ええ。 説明責任とITは神秘的ですよね、ジェイソン? 誰が何をしているのかがわかります。 しかし、IT側では、私にとってITの世界は退屈だと思いますよね? サイバーでは、すべてが6か月ごとに変化し、新しいレンズがあり、まったく新しいテクノロジーのセットが登場します。 そして、CISOとして、セキュリティ環境ほど急速に変化しないIT環境という新しい脅威を取り上げ、それをもう一度ラップして、何が機能するかを検討する必要があります。 私たちはこれらすべての新しいテクノロジーを手に入れたので、私たちは素晴らしい仕事をしていると思います。 私たちは、敵が私たちの後に来るであろうすべての異なる方法を見ることができます。 そして、それをどのように保護するかを見てください。

ジェイソン・クラーク:テクノロジーの中で、常にプッシュして革新している敵がいる唯一の場所だと思いますよね? テクノロジーには、あなたが...それは直接の敵を持っていますよね? それは絶えずあなたの後に来ています。 そして、あなたはそれをあなたがビジネスが動いているという事実と組み合わせます、そしてあなたは同時にビジネスでスピードで動いている必要があります。 つまり、これら2つの巨大な力が、実際には反対方向にあなたを押し付けているということですよね?

マレーネ・アリソン:そうです。 また、規制環境もあり、中国のサイバーセキュリティ法と中国のデータローカリゼーションを扱う人は誰でも、ロシアのローカリゼーションと同じです。 私たちは常に異なる方法で環境をラップする必要があるため、私たち全員がITセキュリティだけであれば、ビジネスはおそらく私たちが望むほどの摩擦なしに、現在の環境で運用を続けることができます。

ジェイソン・クラーク:それで、あなたの時間の何パーセントがやっているのか...それをITセキュリティのオタクな年の一部と呼びましょう、規制当局に対して、G&A、財務、法務、人事の側面からのビジネスに対して?

マレーネ・アリソン:おそらく10〜15%がオタクなものだと言えます。 そして正直に言うと、私のチームはおそらくそれが10から15%までさらに離れていることを望むでしょう。 それから。。。

ジェイソン・クラーク:まあ、それも楽しいです。

マレーネ・アリソン:ええ。 楽しいです。 本当に楽しいですよね? そして、私はいつも「さて、私たちは今何をするつもりですか?」を見るのが好きです。 右。 ですから、彼らは私が確信しているそれらの挑戦を愛しています。 あなたが彼らにインタビューするならば、彼らは私が確信している何か違うことを言うでしょう。 そのビジネス部分はおそらく20、25%です。 それで、私たちは何ですか? 35, 40%. そして、ITコントロールが何であるかに対処することは、それがどの規制であるか、それがプライバシー規制であるかどうかにかかわらず、サーベンス・オクスリー法がHIPAAを見逃したことは、文字通り評価、監査、またはサードパーティの規制当局からビジネスの他の領域と協力する必要があるためです。 良いとはどのようなものですか?

ジェイソン・クラーク:その50%は面白くないように聞こえます。

マレーネ・アリソン:興味深いですね。 私はさっき。。。 監査人の何人かがサイバースペースに参入しました。 また、評価を行うためにどのようなフレームワークを使用していますか? そして、それはコーチを演じる機会だからです。 私はIT監査人が大好きですよね? 私が見ているのは、いつか私の部門で働く人、またはいつかサイバーで働く人だからです。 そして、それらのIT監査人を見て、それから挑戦し、質問し、そして尋ねてください、なぜ私たちはこれを見ているのですか? それは私にコーチングの機会を提供し、私はコーチングが大好きです。

ジェイソン・クラーク:サイバーで一番好きなドメインは何ですか?

マレーネ・アリソン:私のものは何ですか...法医学。 コンピュータフォレンジック。 ええ、私のかわいそうな靴下、私の靴下を運営している人々、そしてその側のシニアディレクターは、私が半分のハートビートでジャンプできることを知っています。 私は百万の質問をします、なぜ私たちはこれをしているのですか? 私たちはそれをすべきですか? そして、それをテクノロジーに結び付けます, 3年前に起こったランダムなイベントを覚えています. そして、彼らはそれを愛しています。 彼らはそれをとても愛しています。

ジェイソン・クラーク:私は彼らがそうすると確信しています。 だがしかし。。。それでは、戻ってきましょう... 私たちはイノベーションに取り組み始めましたが、ここで最後の数分で触れたいと思います。 ですから、多くの変化が起こっています。 技術的に最もイノベーションが必要だと思う分野はどこですか? サイバーセキュリティを見ると、それはクラウドのセキュリティだけである可能性があります。 それはデータセキュリティかもしれません。 それはSIMSかもしれません。 これは、SASEと SSE に収束する境界である可能性がありますが、APIセキュリティ、上記のすべてです。 好奇心旺盛なのは、イノベーションが必要な場所についてのあなたの見解だけです。 100人の素晴らしいCTOや起業家と話していて、「これを構築してください。 これらは私たちが必要としているものです。」 あなたは何と言いますか?

Marene Allison: アプリケーションのS形式、つまりアプリケーション内のすべてのコード行を管理しなければならないことは、持続可能ではありません。 これらのアプリケーションをコンテナ化し、現在の脆弱な状態から抜け出すことができるCTOとテクノロジーが必要です。 私は新しい人ではありませんでした...たとえば、アプリケーションセキュリティの部分は大きいですが、Log4jはアプリケーション内にあり、サーバー内にあり、どこにでもあるため、Log4jまでは重要です。 そしてねえ、あなたがパッチを当てることができるとき、私はそれが大好きです。 しかし、コードの多くは、それが何をしているのか、どこにあるのかのためにパッチを適用できません。 したがって、ある種のコンテナ化が必要になります。 もう一つはデータですよね? 物理的なものがあります。 そして今日でも、私はアプリケーション自体を呼んでいますが、それは物理的な包含空間またはサーバー、またはクラウドまたはネットワークです。 これらはすべて物理的なものであり、保護するために専門知識を得ることができます。 しかし、データ、データはどこにでも行きます。 それはどこにでも浸透するでしょう。 5G、センサーから出てくるデータ、指の指輪が時計に話しかけ、医師に物を送るでしょう。 私に減量プログラムを売ろうとしている人にそれを送らないでくださいよね? これらすべてが非常に重要になるでしょう。 そして、私たちは準備ができていますか? データがどこに行くのか知っていますか? 私たちは、データがどこにあるか、またはそれが続くパイプによってデータを管理しようとし続けています。 データ自体をどのように管理しますか?

ジェイソン・クラーク:どこでも。 そして、セキュリティ制御は本質的にどのようにデータに従いますか? 私がセキュリティニルヴァーナと呼ぶもの、それが私たちに必要なものです。 そして面白いのは、セキュリティに関する会話の90%がデータについて語っていないことです。 彼らは、脅威と脆弱性、可能性、監査、コンプライアンスなどについて話します。 そして現実には、最終的には、大戦略のセキュリティはデータを保護することです。 しかし、そこには確かに回復力がありますよね? 稼働時間はありますが、ほとんどはデータです。 あなたは見つけません...ほとんどの会話は、実際にはその周りのほとんどの技術です...

マレーネ・アリソン:そうです。 その通り。 それはコンテナです。 それが移動するコンテナです。 それはそれが座っているコンテナです。 しかし、私たちはそれについて話しません。 そして、私たちはそれをどうする必要がありますか? そして、それは入ります... ゼロトラストとアクセスに関する私のお気に入りのトピックの1つと、誰がデータに触れたか。 そして、それらのすべては非常に、非常に重要になるからです。 そして、テクノロジーは私たちをどこに連れて行き、将来のためにどのように保護するのでしょうか?

ジェイソン・クラーク:私が話をするほとんどの人はゼロトラストを見て、間違いなくせいぜいベンダーを見ています。 彼らはそれをバイナリと見なし、信頼はバイナリです。 したがって、アクセス権があるか、アクセス権がないかのどちらかです。 私は、「いいえ、あなたは私の家に入ることを許可されていないか、私の家を許可されていないだけではありません。 あなたが。。。 私はあなたを私の家に入れるかもしれませんが、悪い行動が見られたらすぐに、さもないと私はあなたを私の金庫から解放しません。」 そして、私たちはアクセスの平準化があることについて考える必要があります。 そして、それは常に多くのリスク要因に基づいて評価されます。 そして、それは私たちが到達する必要がある場所であり、少しあるところであり、私たちはもっと信頼することができますよね? あなたが人々に一瞬疑いの利益を少し与えることができる場合があります、もし彼らが...たとえば、1つの文を入力するとしましょう。 このデータが必要な理由を 1 文入力します。 そして、99%の人が「いいえ、気にしないでください。 私は後退します。」 1%が理由を入力します。 現在ログに記録されています。 そして、それは1つのレコードでしたよね? 「いいえ。 そして、セキュリティチームにリクエストを提出してください」と言いましょう。 ですから、ゼロトラストを自動化して組み込むことができるエンゲージメントレベルは非常に異なると思います。

マレーネ・アリソン:しかし、あなたは何を知っていますか? また、「では、データをどこに置くのか」と尋ねる必要があります。 右。 そして、あなたは世界を想像できますか。 これは私がどこで考え出すのが好きなところです、「ああ、あなたのプットはあなたはそれを何にダウンロードするつもりですか? SharePoint、データベース、そしてあなたはそれが何であるかを知っていました。」 そして、データはそれがそこに行かなかった場合を知っていました、それはあなたに言った、「ねえ、開発者はそれを間違った場所に置いたでしょう? 私を見つけに来てください。 お母さん、私を連れて来てください」でしょ? その世界を想像できますか。 私たちはそこに着きます。 ある時点でそのように見えるデータがありますが、しばらく時間がかかります。 しかし、それはセキュリティ業界に役立ちます。 暗号化を見てください。 暗号化は...それはゼロトラストです。 私があなたに鍵を与えない限り、私はあなたを信頼しません。 しかし、私があなたに鍵を与えるならば、あなたはすべてにアクセスできますよね? そして-

ジェイソン・クラーク:ええ。 だから、それはオンかオフかですよね? それが問題です。

マレーネ・アリソン:ええ。 今では彼らは奇妙な場所に鍵を置いているので、それは素晴らしいモデルではありませんよね?

ジェイソン・クラーク:うーん(肯定的)。 その通り。 バイナリのオンまたはオフを完了します。

マレーネ・アリソン:オン、オフ。 右。

ジェイソン・クラーク:それでおしまい。

マレーネ・アリソン:そして、あなたは正しいです。 そしてそれはちょうど依存時間にあるかもしれません。 これは、ユーザー行動分析やコンテキストアクセスのようなものですよね? そして、私たちはこれをたくさん見ました、ああ、あなたの2要素認証。 J&Jネットワーク上にいて、アクセスがあり、J&JにシングルサインオンしていてVPNを使用している場合は、これにアクセスできます。 しかし、ネットワークから外れて入ってきた場合は、さらに2つの要素を実行する必要がありますよね? そして、それは単なる文脈ですよね? または、特定の場所にいる場合、またはIPアドレスにいない場合...すべてのスターバックスサロンが安全または安全ではないと見なされる場所を想像できますか。

Jason Clark: そして、データセンターからすべてを移動し、クラウド、SaaS、またはデバイスのいずれかにあるこの世界は、これを可能にすると思います。 それは私たちにこの種のものを持たなければならないように促します...私が言いたいのは、セキュリティの完璧なリセットです。 それは私たちが行って言うことを可能にします、「さて、すべてがすべてに話しかけます。 今ではすべてがAPIです。 そして、このようなことをもっと良い方法で自動化しましょう。」 ですから、ここ数年でセキュリティを再構築しており、やるべきことはまだたくさんありますが、それを始めたように感じます。

マレーネ・アリソン:ええ。 そして、サードパーティのリスクと彼らがサプライチェーンのリスクについて話したので、想像してみてください。 彼らはこれらのリスクについて話しました。 データが正しく処理されていない場合に、データに電話をかける機能があるかどうか想像できますか?

ジェイソン・クラーク:ええ。

マレーネ・アリソン:それらの会話が何であるか想像できますか...おそらく今から10年後、15年後ですが、CISOからCISOへの「ねえ、すみません。 私のデータは私に電話をかけました、そしてそれはあなたがそれを悪用していると言いました。」

ジェイソン・クラーク:うん。 それはあるべき場所ではありません。

マレーネ・アリソン:[クロストーク00:29:16]不正アクセスと私はそれについてあなたに話したいと思います。 またはそれはインターネットに行きました、それはそこに行くことになっていませんでした。

ジェイソン・クラーク:なぜ私が第三者としてあなたに提供した中国での私のデータ設定なのですか? はい。 それは家に電話をかけています。 はい。

マレーネ・アリソン:その通りです。 しかし、あなたはそれを想像できますか? ええ、そしてCISOが今日対処している問題のいくつか、データ損失、データ漏洩、データ保護、サードパーティのリスク。 彼らは今日とは異なる次元を持つでしょう。 そして、それが私たちの仕事の醍醐味ですよね?

ジェイソン・クラーク:インテリジェントデータのようなものですね。

マレーネ・アリソン:インテリジェントデータ。

ジェイソン・クラーク:それはそれが適切かつ安全に使用されているかどうかを知っています。 それで、あなたへの最後の質問は、個人的なレベルで、あなたがサイバーの外でやりたい趣味は何ですか?

マレーネ・アリソン:ええ。 私は北フロリダの農場で3頭の馬を飼っており、夫と私は有機ブルーベリーを商業的に育てています。

ジェイソン・クラーク:うわー。 その同じ農場で?

マレーネ・アリソン:同じ農場で。 200エーカー以上あるので、十分なスペースがあります。 そして、私たちは約50エーカーほどの有機ブルーベリーを持っています。

ジェイソン・クラーク:農場にどのくらいの時間を費やしますか...

マレーネ・アリソン: 農場を本館と考える人もいるかもしれません、なぜなら一度農場を手に入れたら、あなたがすることはほとんどないからです。 私は両方の場所から自宅で仕事をしており、月に一度ほどオフィスに行くためにジャージーに向かいます。

ジェイソン・クラーク:それは素晴らしいことです。 ええとありがとう。 これは素晴らしいセッションであり、リスナーは私たちが多くのトピックをカバーし、楽しかったこの会話をとても楽しんでいることを知っています。 だから、マレーネ、そしていつもあなたと話すのを楽しんでいます。 そして。。。

マレーネ・アリソン:ジェイソン、ここにいられて光栄です。 そして、私たちが会話できるときはいつでも、私にとって素晴らしい日です。 ありがとうございました。

スピーカー3:セキュリティビジョナリーポッドキャストは、Netskopeのチームによって提供されています。 デジタルトランスフォーメーションの旅を可能にする適切なクラウドセキュリティプラットフォームをお探しですか? この Netskope Security Cloud は、ユーザーを任意のデバイスから任意のアプリケーションに直接安全かつ迅速に接続するのに役立ちます。 詳しくは N-E-T-S-K-O-P-E.com をご覧ください。

スピーカー2:セキュリティビジョナリーを聞いていただきありがとうございます。 ショーを評価してレビューし、楽しむかもしれないあなたが知っている誰かと共有するために少し時間を取ってください。 隔週でリリースされるエピソードをお楽しみに、そして次のエピソードでお会いしましょう。