CSO Conversations:アメリカ東部担当リージョナルCSO、マット・イムラー(Matt Immler)
CSO Conversationsは、Oktaの最高セキュリティ責任者(CSO)であるデビッド・ブラッドベリー(David Bradbury)をサポートするリージョナルCSOへのインタビューブログシリーズです。OktaのリージョナルCSOは、OktaのSecurity Trust and Cultureチームに不可欠な存在であり、世界的なセキュリティのオピニオンリーダーとの信頼関係を構築し、強化しています。
サイバーセキュリティの分野でのキャリアを追求するようになったきっかけは何ですか?
私はもともとコンピュータサイエンスの学位を取得しており、大学を卒業してすぐに米国国防総省で働き始めました。その世界では、セキュリティがすべてのプロジェクトの最優先事項であり、当時私が実際にやっていたコーディングよりも、私にとってすぐに興味深いものになりました。
これまでの経験が、現在のサイバーセキュリティに対するアプローチにどのような影響を与えていますか?
政府機関に勤務していた間、私は攻撃側と防御側の両方のセキュリティチームで働いていました。両方の立場を経験したことで、攻撃者と防御者の両方の視点からユニークな見方ができるようになりました。これにより、特定の防御技術を検討する際に、攻撃側の役割を担った経験を活かして、制御を回避できるかどうか、また回避できる場合はどのように回避できるかを判断することができます。
現在、あるいは今後発生する可能性のある脅威で、特に興味を持っているものはありますか?
最新のプラットフォームは、ますます多くの機能を提供していますが、それに伴い、誤設定の可能性がほぼ無限にあるような、豊富な設定も提供されています。 私が過去に遭遇した多くのセキュリティ問題は、必ずしも実際のソフトウェアやプラットフォームが原因ではなく、その設定方法が原因でした。ユーザーに最大限の自由を提供しながら、適切なガードレールを設置するという、バランスを取る必要性を感じています。
あなたの地域に関連するサイバーセキュリティの傾向について、どのようなものが見られますか?
サイバーセキュリティに関する議論は、従来その分野の一部と考えられていたものから拡大しています。システム全体の回復力は、以前よりもセキュリティに関する議論の中で頻繁に話題に上るようになっています。セキュリティイベントに耐え、そこから回復し、適応する組織の能力に、より重点が置かれるようになっています。
Oktaのお客様にサイバーセキュリティに関する一言アドバイスをするとしたら、どのようなことをお伝えしますか?
公開されているベストプラクティスを必ず確認し、適用してください。 基本的なドキュメントは、作業を確実に遂行できるようにしますが、ベストプラクティスガイドは、推奨される方法で使用していることを保証します。Oktaの場合、ベストプラクティスを決定する際には、セキュリティアプローチを採用しています。 アイデンティティの状況は、毎年新しい機能が主流になることで急速に進化していますが、それらの変更には時間がかかり、採用までのギャップを埋めるために、多くの古いプロトコルや方式をサポートする必要があります。実装が機能しているからといって、それが最も安全な選択肢であるとは限りません。
これまでのキャリアの中で、サイバーセキュリティ業界で最も大きな変化は何だと感じますか?
私はバズワードが嫌いですが、この質問は私にその道を歩ませることになりそうです。これまで私はそれを避けてきましたが、私たちは皆その答えを知っています。それは「A」で始まり「I」で終わるものです。その新しい機能は十分に理解されておらず、未知の脅威をもたらし、既存の防御策の有効性を試すとともに、新たな緩和策の迅速な開発を促しています。今後登場するセキュリティイニシアティブの大部分は、AIについて日々新たに学んでいることや、AIが実現できる可能性について、大きな影響を受けることになるでしょう。また、少なくとも、いたるところで新たな脅威モデルとして不満の種となるでしょう。
あなたの視点から見て、今日の組織におけるサイバーセキュリティ意識向上の取り組みはどのような影響をもたらしているでしょうか?
サイバーセキュリティ意識向上の取り組みは、あらゆる組織において重要な機能ですが、四半期に1度の模擬フィッシングメールの送信や年1回の定期的なトレーニングといった単純なものではなく、より包括的なものへと進化させる必要性が以前から指摘されてきました。この分野で働いた経験のある人なら誰でも知っていることですが、同じ10%の従業員が毎回フィッシングメールをクリックする可能性があり、その割合が低い場合はラッキーだと言えます。賢い脅威の主体は質の高いフィッシングメールを作成するでしょうし、成功するにはたった1回のクリックで十分なのです。Oktaは、セキュリティ意識向上プログラムに多額の投資を行い、より頻繁に、より興味深く、より魅力的なものにするよう努めています。例えば、セキュリティに関する些細な懸念事項でも特定して報告すればインセンティブが得られるようにすることで、従業員がプログラムの一員であると感じ、ただ説教されているのではないと思えるようにしています。
どのようにしてOktaの企業価値を日々の業務に取り入れていますか?
個人的には、リージョナルCSOとしてOktaのお客様と多くの時間を過ごしていますが、特に「お客様を大切にする」という価値観を気に入っています。多くの企業はセキュリティに関して閉鎖的ですが、これはメリットがある場合もあります。なぜなら、準備が整う前に、手の内を明かしたり、潜在的な弱点を公にさらけ出すことは決して望ましくないからです。しかし、だからといってセキュリティをブラックボックスにしてよいというわけではありません。公開すべき情報がある場合には、大々的に、かつ、過剰なくらいに公開するのが最善です。脆弱性を緩和するための情報を、リリースノートのどこか奥深くに埋もれさせてしまうようでは意味がありません。セキュリティチームがリスクの特定や緩和策の提供に時間と労力を費やしている場合には、あらゆる努力を払って透明性を確保すべきです。
Oktane on the Roadは、ラスベガスに参加できなかった方々にOktaneをお届けするものです。これまでの経験についてお聞かせいただけますか?
「Oktane on the Road」は、当社のお客様にとって非常に価値のあるものだと言えます。コスト削減と予算の引き締めが現在では一般的になっており、多くの場合、真っ先に削られるのが出張費や会議費です。「Oktane on the Road」で交流したお客様は、出張費をかけずに、Oktaの最新情報や素晴らしい機能について話を聞いたり、Oktaの社員と交流したりできることを高く評価しています。
あなたにとって、リージョナルCSOの役割で最も素晴らしいと思う点はどのようなことですか?
お客様との関係構築です。私は、全米のお客様と定期的にコミュニケーションを取っています。私の役割では、お客様のセキュリティチームに関連する問題について、非常に透明性の高い会話を行うことができます。あらゆる業界のお客様とこのレベルの関わりを持つことで、各業界が直面している脅威や経験の違いを聞き、理解することができます。小売業やサービス業は、大手銀行や金融機関とは異なる懸念事項を抱えていますが、共通点を見出すことも多く、また、別の業界での経験やソリューションを参考にすることで、それまで考えられなかったような視点から会話を行うことができます。
マット・イムラーは最近、Oktane24の「Oktaの最前線から学んだ教訓」で取り上げられ、OktaのSecure Identity Commitment (OSIC)に関するライブニュースデスクセッションにも出演しました。また、マットは「アイデンティティが実現するセキュリティ成果」に関するFireside Chatにも参加しました。
今後もCSOとの対談が予定されています。このシリーズの次のインタビューにご期待ください。
