効果的な言葉:ヴァージン・マネーのCISOニール・ロビンソンが語る、権力者へのセキュリティに関する発言
数週間前、セキュリティ業界に衝撃的なニュースが飛び込んできた。
Anthropic社の最先端AIモデル「Claude Mythos」は、32段階の攻撃手順を自律的に組み合わせることができることを実証した。これは、これまでエリート攻撃選手が何日もかけて練習する必要があった、高度で多方向への横方向の動きだ。
数時間後には、CISOのWhatsAppグループは炎上状態になった。そして数日のうちに、これまでサイバーセキュリティについて一度も踏み込んだ質問をしたことのなかった取締役会メンバーや経営幹部たちが、突然CISO(最高情報セキュリティ責任者)に電話をかけ始めた。
私が知っている多くのセキュリティリーダーにとって、あの瞬間は、自分の能力が認められたという実感と同時に、大きなプレッシャーでもあった。
先日配信されたポッドキャスト番組「The Segment 」で、Virgin MoneyのCISOであるニール・ロビンソン氏と、この力学について掘り下げて議論する機会がありました。彼はヴァージン航空で5200万ポンドを投じたセキュリティ強化プロジェクトに着手してから3年が経ち、セキュリティに関する議論を組織的な行動へと実際に結びつけるためには何が必要なのかについて深く考えてきた。
セキュリティに関する知識:聴衆の言葉で話すこと
会話の冒頭で、ニールはCISOの役割を、多くの点で「チーフ・ストーリーテラー」のようなものだと表現した。そして――ニールは正直者なので――彼はすぐに自分の主張に反論した。
「それは真実でもあり、同時に嘘でもある」と彼は言った。
彼が言いたかったのは、ストーリーテリングというレッテルは、宣伝文句やパッケージングのように聞こえてしまう可能性があるということだ。しかし、真のスキルとは、変化の激しい高度な技術的リスクを、顧客、COO、あるいは出荷よりもパッチ適用を優先するよう求められているエンジニアなど、相手が誰であろうと、実際に共感できる言葉に翻訳することである。
例えば:
- 顧客との会話では、スマートフォンのソフトウェアを最新の状態に保つことについて話し合うこともあるでしょう。
- COOの場合、問題となるのはリスクにさらされている事業サービスです。
- エンジニアリングチームがより迅速な出荷を迫られる中で、彼らが責任を負うデータの所有者である人々を保護するという倫理的な義務が重要になってくる。
セキュリティに関する現実は同じだが、全く異なる3つの視点からの対話を通して描かれている。
利用者を第一に考えるという原則は、多くのセキュリティプログラムが見落としている点である。セキュリティチームは、CVEスコア、MTTR、 攻撃対象領域指標といった技術的な枠組みに頼りがちですが、セキュリティ情報に基づいて行動する必要のある人々は、顧客への影響、事業継続性、競争圧力といった観点から物事を考えています。
この2つの言語間のギャップこそが、セキュリティプログラムの勢いを失わせる要因となる。
ニュースサイクルがセキュリティに関する会話の完璧なきっかけとなるとき
今回の会話のきっかけとなったAIに関するニュースは、外部の出来事がCISO(最高情報セキュリティ責任者)の内部コミュニケーションの力学をどのように変化させるかを示す、実に有益な事例研究と言える。
ニールは、その発表がこれほど注目を集めたのは、発表者が誰だったかという点も一因だと鋭く指摘した。
メディア露出度の高い著名なAI企業であるAnthropicは、普段はサイバーセキュリティを綿密に追跡していない経営幹部や取締役にも響くようなニュースイベントを作り出した。
セキュリティリーダーたちが長年、機械並みのスピードで運用することや脅威の状況変化のスピードについて議論しようとしてきたのだが、突然、耳を傾ける聴衆が現れた。
「アントロピック社の発表について話している取締役や幹部は大勢いる」とニール氏は述べた。「機械並みのスピードで対応できる能力は、少なくとも過去1年間、サイバーセキュリティ分野で私たちが注目してきたテーマです。」この発表は、まさにその議論を促進するのに役立つと思います。
セキュリティ責任者にとって、ここから得られる教訓は、ニュースの波に乗ることではなく、外部の出来事が定期的に発生し、経営幹部レベルでの真剣なセキュリティに関する議論への意欲が急激に高まる時期が訪れることを認識することである。セキュリティ体制、リスクプロファイル、投資優先順位について、明確で平易な言葉で説明できる準備を整えているCISOこそが、そうした機会が訪れた際に真の進歩を遂げることができるのだ。
ニールは、勝利主義的な表現にならないよう細心の注意を払った。はい、それは注目度が高まる瞬間です。しかし、それは同時に、非常に異なる出発点と異なるペースでこのテーマに関わってくる利害関係者を引き込むことにもなる。
「これまで業界の外にいて、現状の変化を監視したり観察したりしてこなかった人々と、真剣に向き合わなければならない」と彼は述べた。「そして、人々が様々な場所から様々な時期にここに来ていることを尊重しなければなりません。」
相手が自分の理想とする姿ではなく、相手の現状を受け入れるような忍耐力は、CISOが身につけておくべき実践的なスキルである。
インフラ整備と顧客成果を結びつける
大規模なセキュリティプログラムにおける根強い課題の一つは、 インフラレベルで行われている技術的な作業と、組織が実際に重視する顧客成果との間に、大きな隔たりがあることである。
ネットワーク機器のパッチ適用、VLANのセグメンテーション、エンドポイントエージェントのアップデート――これらはどれも、顧客が安全に支払いを行えるかどうか、あるいはデータが保護されていると信頼できるかどうかとは直接関係がないように感じられる。
ニールはヴァージン・マネー社内でそのギャップを埋める方法について慎重に検討しており、彼のアプローチは単純明快だ。すべては顧客へと繋がっている。
「私たちの仕事は、銀行の顧客の安全を守り、顧客のデータを守り、顧客の決済を安全に保つことです」と彼は私に語った。「我々が行うすべてのことは、その目的のためにある。」
声に出して言うと、それは当たり前のことのように聞こえる。しかし、 脆弱性管理からアプリケーションセキュリティ、ネットワーク制御まで、あらゆる業務を担う150人規模のセキュリティチーム全体で、その方針を一貫して維持するには、意図的な努力が必要となる。
最も重要なのは、退屈な事柄がなぜ重要なのかを明確に説明できるリーダーが必要だということだ。旧型オペレーティングシステムにパッチを適用することが、顧客の貯蓄を守る理由。ネットワークセグメンテーションプロジェクトがランサムウェア攻撃の被害範囲を制限する理由。コンプライアンス管理に費やす時間が、顧客の信頼を揺るがすような規制上の問題を防ぐのに役立つ理由。
これは、エンドユーザーには見えない作業が多く、顧客に直接的な成果をもたらすものではないゼロトラストプログラムにおいて特に重要です。
マイクロセグメンテーションポリシーを構築したり、 最小権限アクセスを強制したりするチームは、ニュースの見出しを飾ることはない。インフラストラクチャの整備と組織の中核的な使命との関連性を繰り返し明確にすることは、セキュリティリーダーがプログラムの資金確保と優先順位付けを維持する方法の一つである。
パッチ適用問題:なぜ人間の判断が依然として重要なのか
私たちは会話のかなりの部分を、一見ありふれたことのように思えるかもしれないが、実際にはあらゆるセキュリティプログラムにとって最も重要なストレステストの一つであるパッチ管理について費やした。
大企業においてパッチ適用が非常に難しい理由は、パッチを適用するかどうかの判断が、ほとんどの場合、単純明快ではないからである。そのプロセスは大体次のような流れになります。
- 資産上で何が実行されているかを把握する必要があります。
- 誰が所有しているのかを知る必要があります。
- どのアプリケーションがそれに依存しているか、そしてそれらがアップデートに対してテスト済みかどうかを知る必要があります。
- 変更期間が必要です。
- 承認者が必要です。
- パッチを本番環境に展開する前に、そのパッチが実際にあなたの環境で機能することを示す証拠が必要です。
これらの各段階には、複数のチームにまたがる判断が伴い、どれか一つでも間違えると、深刻な結果を招く可能性がある。
ニールは、そうした手続き的な作業の多くが自動化される、エージェント型AIの未来像を描写した。AIエージェントは、構成管理データベースを横断的に探索し、資産所有者を関連付け、関連するコンテキストを人間の承認者に提示し、CVEの開示から修復までの時間を劇的に短縮できるようになる。
彼は、特にクラウド環境向けに、まさにこうしたワークフローのプロトタイプを開発しているスタートアップ企業を目の当たりにしてきた。
しかし、私たちがまだそこに到達していない理由は、統治にあると彼は明確に述べた。自律型AIエージェントを重要な業務ワークフローに導入するには、ほとんどの組織がまだ構築していないレベルのID管理、監視、および説明責任のインフラストラクチャが必要となる。
「AIモデルが自律的に動作することを許可することについては、当然ながら非常に慎重な姿勢をとっています」と彼は述べた。「安全柵は必要だし、そういったインフラの多くは厳しく規制され、遵守されている。」
セキュリティ責任者にとってのコミュニケーション上の課題は、実はより広範な課題と同じである。AIエージェントのガバナンスインフラへの投資がセキュリティ上の優先事項である理由を、取締役会や予算委員会にどのように説明すればよいでしょうか?その見返りは抽象的で、コストは現実的なものです。
そうしなかった場合に何が起こるかを語るのです。つまり、本来人間以外の存在を考慮するように設計されていないセキュリティアーキテクチャにおいて、監査証跡を残さずに動作する、過剰なアクセス権限を持つ自律型エージェントが利用されることになる。
良質で誠実なストーリーテリング:最高のセキュリティリーダーが常に知っていたこと
ニールが言ったこと全てに共通するテーマがあり、それが大規模なセキュリティプログラムの成否を左右する核心を突いていると思う。
技術が制約要因となることはほとんどない。重要なのは、セキュリティを担当する人々が、複雑な組織全体で行動を実際に変えるために、十分な明確さ、一貫性、そして適切な言葉遣いで適切な対象者にコミュニケーションできるかどうかだ。
それはつまり、最高執行責任者(COO)に対し、「重要なビジネスサービス」が運用リスクの観点から具体的に何を意味するのかを説明するということだ。しかしそれは同時に、不確実性について正直であることを意味する。
ニールは、最新のAI機能に関してまだ分かっていないこと、例えば、これらのモデルを犯罪規模で展開した場合の経済性、発生するノイズの量、あるいはオープンソースの同等のものがどれくらいの速さで同等の性能に達するかなどについて、率直に語った。
優れたセキュリティに関するストーリーテリングは、リスクの範囲を伝え、未知の要素を認識し、コントロール可能な事柄に行動を集中させるものです。
「最終的に私たちがたどり着くのは、AIモデルが自ら安全なコードを展開する、より良い世界だと考えています」とニールは述べた。「私の予想が当たっているといいんだけど。」
将来に対する率直な不確実性を認めつつも、その方向性については楽観的な見方を持ち、今何をすべきかを明確に意識している、こうした組み合わせこそが、組織を動かす原動力となる物語なのだ。
これは、最高のセキュリティリーダーたちが常に実践してきたことであり、今日ではこれまで以上に価値のあるものとなっている。
The Segment: A Zero Trust Leadership Podcastの全エピソードを聴くにはApple Podcast (アップルポッドキャスト),スポティファイ、 または当社のウェブサイト.
%20(4).webp)
.webp)
