CSO Conversations: EMEA担当リージョナルCSO、スティーブン・マクダーミド(Stephen McDermid)
CSO Conversationsは、Oktaの最高セキュリティ責任者(CSO)であるデビッド・ブラッドベリー(David Bradbury)をサポートするリージョナルCSOへのインタビューブログシリーズです。OktaのリージョナルCSOは、OktaのSecurity Trust and Cultureチームに不可欠な存在であり、グローバルなセキュリティのソートリーダーシップと信頼できるアドバイザーとしての関係を構築し、強化しています。
サイバーセキュリティのキャリアを追求するようになったきっかけは何ですか?
IT部門の責任者として勤務していた当時、政府との契約要件を満たすために、ISO27001の取得が必要でした。私は以前からこの分野に関心を持っており、認証取得を支援しISOのアプローチを教育してくれる外部コンサルタントを紹介してもらいました。ISO27001の取得後、前年に当時働いていた企業を買収したはるかに規模の大きいティア1の親会社からPCI-DSSの取得を依頼されました。これにより、アプリケーション、インフラ、セキュリティの課題について、まったく新しい側面を理解することになりました。この依頼を受け入れ、認証を無事に取得したことを受け、最近空席となった情報セキュリティのポジションを私に提供するようビジネス部門に依頼し、これが私の最初の情報セキュリティの役割につながりました。
特に興味を持っている、新たなトレンドやテクノロジーはありますか?
AI、特にAIエージェントの台頭を避けることは不可能です。2025年末までには、何十億もの自律型AIエージェントが私たちの代わりに行動する世界が訪れるでしょう。サイバーセキュリティ業界が答えを見つけなければならない重要な問題があります。これらのボットは何をしているのか? どのような情報にアクセスできるのか? また、どのような条件やパラメータを設定し、制御すれば、ボットが共有できる情報、共有先、共有状況を管理できるのか?
興味深いのは、現在、これらの疑問はすべて宙に浮いた状態だということです。これらのボットには、基本的なサイバーセキュリティ意識向上トレーニングのメリットがありません。何かが「おかしい」と私たちに知らせる人間の第六感も持ち合わせていません。自分自身で考えることもできません。AIエージェントが、悪意のあるプロンプトを1つ受け取るだけで、機密情報や個人情報、財務情報を別のエージェントと誤って共有し、事態は急速に悪化する可能性があります。
これまでのクラウドコンピューティングの経験は、現在のサイバーセキュリティに対する考え方にどのような影響を与えていますか?
オンプレミスとクラウドテクノロジーのバックグラウンドは、サイバーセキュリティの分野では間違いなく役立ちます。脅威はテクノロジースタック全体にわたって広がっているため、これらの脅威がさまざまな要素にどのような影響を与えるかを理解することが重要です。しかし、クラウドコンピューティングがもたらす保護と利点を理解することも同様に重要であり、両面を理解できるようお客様を支援することが私の役割にとって極めて重要です。
現代のテクノロジー環境における従来のパスワードについて、最新の脅威を踏まえてどうお考えですか?
できるだけ早く従来のパスワードを廃止することが望ましいというのが私の意見であり、ほとんどの人が賛同すると思います。パスワードレス認証が万能だとは思いませんが、80%以上の侵害がパスワードの侵害から発生していることを考えると、変化が必要な時期に来ていることは確かです。テクノロジーの分野によっては、パスワードは今後も常に必要とされるでしょう。しかし、ガバナンスと可視性はここ数年で大幅に進歩しており、パスワードの管理をより厳重にしなければなりません。単に複雑なポリシーを定めるだけでなく、パスワードがどこで、いつ、どのように使用されるのか、使用中だけでなく使用後も管理する必要があります。
担当地域に関連するサイバーセキュリティのトレンドにはどのようなものがありますか?
AIやそれがもたらすものに関する話題の向こう側を見るのは難しいですが、欧州連合(EU)では厳しい規制が敷かれており、EU AI法などの新しい規制がいくつも制定され、保護のレベルと複雑さがさらに高まっています。多くの人が、どのようにしてコンプライアンスを達成し、サプライヤーやパートナーがどのように支援できるかについて、たくさんの疑問を抱えています。こうした課題に対処するためのコンプライアンスの自動化やエンジニアリングのトレンドが拡大しており、規制やコンプライアンスの証明をより簡素化できれば、それに越したことはありません。
最近のインタビューで、Okta Secure Identity CommitmentとOktaの透明性について言及されていましたね。リージョナルCSOとしての役割において、透明性を確保することはどの程度重要ですか?
透明性は、当社のサイバーセキュリティ戦略とお客様との連携において重要な柱です。Oktaには素晴らしいセキュリティの専門家がいますが、最終的にはセキュリティは「人」の問題です。つまり、心がけの問題であり、特に危機的な状況においては、透明性を重視することが重要な差別化要因となります。
Oktaに強固なセキュリティ文化を根付かせるため、私たちは変更の理由、それがチームにどのような影響を与えるか、そして何よりも、それがお客様にどのような利益をもたらすかについて、多くの時間を費やして説明してきました。 社内全員が同じ認識を持つことは、お客様に一貫したメッセージとコミュニケーションを提供するために不可欠です。 これまで数百回にわたってお客様と話し合ってきましたが、お客様は私たちのオープンな姿勢と協力関係を認識し、評価し、感謝してくれました。
Oktaのお客様にサイバーセキュリティに関する一言アドバイスをするとしたら、どのような言葉になりますか?
アイデンティティは、アプリケーションの近代化からインフラストラクチャの移行、業務運用、スタッフのトレーニングに至るまで、あらゆるプロジェクトの一部です。これらのプロジェクトにおけるアイデンティティが戦略目標にどのように結びついているかを理解することが重要であり、さらに重要なのは、それら全体で何が起こっているのかをガバナンス、コントロール、可視化する方法です。アイデンティティ攻撃に対する信頼性を確保するには、IT変革のこうした見えにくい部分にしっかりと定期的に光を当てる必要があります。
友人や家族に実践してもらっている、健全なサイバーセキュリティの習慣にはどのようなものがありますか?
すべてのウェブサイトが、あなたの生年月日や住所、あるいは本名を知る必要があるという考え方は、私には常に違和感がありました。複数のウェブサイトに登録する際、偽名や架空の生年月日、住所を使用することは、私が常に推奨してきたことです。もちろん、銀行や政府関連のサイトのようなアプリケーションは例外ですが、ニュースレターの購読登録をするウェブサイトに、本物のデータは必要ありません。ですから、私は常に、共有する情報とその共有先についてよく考えるようアドバイスしてきました。特に、現在のように多くのアプリケーションやウェブサイトが無料である世界では、そのサービスの利用コストは個人データということになります。
サイバーセキュリティ業界では、来年、どのような重要な変化が起こると思われますか?
サイバーセキュリティ業界全体で、業界関係者間の協力体制を大幅に強化する意識改革が必要です。私たちは前例のない脅威に直面しており、これはAIエージェントがもたらす潜在的なリスクを考慮する前の話です。
クラウドアプリケーションとその相互通信に関するより多くの標準、ベストプラクティス、フレームワークに合意し、デフォルトで安全であるようにする必要があります。サイバーセキュリティベンダー1社だけでは、これを達成することはできません。 当社はすでに、OpenID FoundationのIPSIE(Interoperability Profiling for Secure Identity in the Enterprise)ワーキンググループで他の企業と協力し、SaaSソリューションとベンダー全体で安全なアイデンティティ管理の標準化を支援することで、この取り組みを開始しています。
スティーブン・マクダーミドは、Computer Weeklyのインタビューで、Oktaがどのようにセキュア・バイ・デザインのアプローチを推進しているか、Okta Secure Identity Commitmentと強固なセキュリティ文化の構築の重要性を強調しました。スティーブンは、ITProでも取り上げられ、DORA準拠に関するCSOの視点について語りました。
今後もCSOとの対談を予定しています。次回のインタビューをお楽しみに
