CSO Conversations：日本担当リージョナルCSO、板倉景子

CSO Conversationsは、Oktaの最高セキュリティ責任者（CSO）であるデビッド・ブラッドベリー（David Bradbury）をサポートするリージョナルCSOへのインタビューブログシリーズです。OktaのリージョナルCSOは、OktaのSecurity Trust and Cultureチームに不可欠な存在であり、グローバルなセキュリティのソートリーダーシップと信頼できるアドバイザーとしての関係を構築し、強化しています。

Oktaでサイバーセキュリティのキャリアを追求しようと思った動機は何ですか？

ログインは脅威シナリオの最初のきっかけであり、アイデンティティはその人自身を表すものでもあります。ある調査において、セキュリティインシデントの80%以上がアイデンティティ認証に関連しているという結果もあります。Oktaは日本でも多くのお客様に利用されており、Oktaを守ることで多くのお客様のビジネスを守ることに貢献できることがOktaでキャリアを追求する最大のやりがいです。

これまでの経験が、現在のサイバーセキュリティに対するアプローチにどのように影響していますか？

これまで、製品ベンダーだけでなく、ユーザー企業でのセキュリティ責任者、パートナー企業でのコンサルタント、システムインテグレーターでのエンジニアなど、さまざまな立場でセキュリティ/アイデンティティに関わってきました。攻撃者は、緊急時の復旧プロセスや経営陣向けの例外プロセスなど、通常のプロセスとは異なる隙を突いて攻撃を仕掛けてくることがあります。さまざまな立場での実務経験が、どの業務プロセスが脆弱で、どのような対策が取れるか現実的に考えることに役立っています。

特に注目している既存または新たな脅威はありますか？

フィッシング攻撃について、引き続き懸念しています。先ほども資格情報に関するインシデントの多さに言及しましたが、資格情報を盗む手段として、今でも多く利用されているのがメールやSMSを使ったフィッシングです。また、AI技術の発展により、より人間が見抜くことが難しくなっています。パスワードレス認証やDMARCなどのシステムベースの対策に加え、ユーザー教育や業務プロセスの見直しなど、幅広い対策が必要です。

また最近だと、「MirrorFaceによるサイバー攻撃」など地政学的リスクに起因するサイバー攻撃にも更なる注意を払っています。

今年は、大阪関西万博2025が開催され、このような国際的なイベントはサイバー攻撃の標的となるリスクが高まるため、これに関連した脅威についても警戒しています。

サイバーセキュリティ意識が今日の組織に与える影響について、ご意見をお聞かせください。

いくらシステムで防御しても、人間自身が脆弱であればそれはリスクになります。もちろん教育や訓練も重要ですが、セキュリティ意識を評価する仕組みも重要です。また、セキュリティは往々にして「ビジネスのスピードを落とす」という懸念から蔑ろにされがちです。経営陣自らがセキュリティを重視し、企業文化として浸透させることが必要です。

フィッシングやソーシャルエンジニアリングの手口が巧妙化する中、少しでも疑わしいと思ったら報告できる心理的安全性のある関係性作りも重要になるでしょう。

サイバーセキュリティにおける自動化されたインテリジェンスやAIについてはどうお考えですか？

AI技術の民主化により、攻撃を行うコストが下がっています。高度なディープフェイクなど、人間が偽物かどうかを目視で判断することはますます難しくなっています。防御側もAI技術を活用し、多層防御を施しながら、攻撃をタイムリーかつ自動的に検知・修復できる仕組みが必要だと考えています。

担当地域に関連するサイバーセキュリティのトレンドにはどのようなものがありますか？

日本には独特な組織構造や働き方、根底にある考え方があり、それによって日本特有の課題や対応が生じています。

例えば、日本の伝統的な雇用システムは「メンバーシップ型」と呼ばれ、特定の専門性を磨くというよりは、終身雇用を前提に多様な業務を担うことが期待されます。つまり、会社そのものにコミットするのです。このため、セキュリティの専門性はSIerなどの外部リソースに大きく依存しているケースも多いです。

しかし、昨今のセキュリティの重要性の高まりを踏まえ、外部のセキュリティ専門家を正社員として雇用するようなケースも増えてきました。 加えて、グローバルな事業拡大や経営統合により、多くの企業がサプライチェーン全体のセキュリティ確保や企業グループ全体でのガバナンスの実現、さらには日本国内だけでなく海外のメンバーとも連携しながらどのような体制や仕組みで対応していくのかという共通の課題に直面しています。

また、近年、日本特有の話題として、マイナンバーカードを利用した本人確認が一般化しつつあり、議論が高まっています。

これまでのキャリアの中で、サイバーセキュリティ業界で最も大きな変化は何だとお考えですか？

ゼロトラスト概念の登場です。暗黙の信頼関係を重視するのも日本的な特徴だと思います。働き方の多様化やビジネスのグローバル化、そして実際に被害が報道されることもあり、攻撃されることを前提としたセキュリティ対策が徐々に浸透し、今では多くの市民権を得ていると思います。 内部犯行に対する対策はまだまだ検討しきれていない企業が多いですが、対策を打つことで社員を守ることにもつながるので、力を入れていきたいと考えています。

どのようにして、Oktaの企業価値を日々の業務に取り入れていますか？

Oktaの企業価値の一つに「お客様を愛する」というものがあります。日本では、Oktaの製品はパートナー経由で提供されているので、お客様にはエンドユーザーとパートナーの両方が含まれていることを意識して活動しています。

Oktaのセキュリティチームで唯一の日本人として責任を担いながら、さまざまな顧客のCISOの方などと信頼関係を築き、コミュニケーションを取れることにやりがいを感じています。日本のお客様が抱える問題を正しく理解し、それをグローバルなセキュリティチームの活動に反映させることが、私の最大の使命です。

Oktane 2024では数多くのエキサイティングな発表がありましたが、最も期待しているものは何でしょうか？

IPSIE（Interoperability Profiling for Secure Identity in the Enterprise）です。業界水準の向上は、Okta Secure Identity Commitment（OSIC）の柱のひとつでもあります。さまざまなテクノロジー企業とともに標準を推進することで、Oktaだけでなく業界全体がより安全な社会になっていければと思います。

Oktaのお客様にサイバーセキュリティに関する一言アドバイスをいただけますか？

追加のコストや労力をあまり必要とせずに利用できる、より安全性の高いオプションを活用しないのはもったいないと感じます。たとえば、すでにOktaをお使いなのであれば、Okta FastPassの活用やOkta Classic EngineからOkta Identity Engine（OIE）への移行など、セキュリティを強化できるオプションを最大限に活用いただきたいです。

板倉は最近、ScanNetSecurityのインタビューを受け、日本のリージョナルCSO として Oktaに入社した理由と、使命を果たすための心構えについて語りました。また、EnterpriseZineのプロフィール記事で、アイデンティティ管理におけるこれまでのキャリアと、日本におけるその将来像について語りました。また、2024 Fido Alliance Seoul Public SeminarとAuthenticate 2024 Conferenceでも講演者として洞察を共有しました。

今後もCSO Conversationsは続きます。インタビューシリーズの次回をお楽しみに。