2025年の予測

0:00:00.0 マックス・ハヴィー: こんにちは、Security Visionaries の別のエディションへようこそ。 サイバー、データ、テクノロジーインフラストラクチャの世界に関するポッドキャストで、世界中のさまざまな分野の専門家が集まります。 私はホストのマックス・ハヴィーで、今日は来年の展望を振り返りながら、ゲストのキルステン・トッドさんと2025年の予測についてお話しします。 現在、Wondrosの社長を務めているKierstenは、キャリアの多くを公共部門で過ごしてきました。 その中には、Cybersecurity and Infrastructure Security Agencyの首席補佐官、CISA、国家サイバーセキュリティ強化に関する大統領委員会の事務局長などが含まれます。 そして、来年についての彼女の考えを聞くのがとても楽しみです。 それでは、Kierstenさん、どうもありがとうございました。

0:00:40.2 キルステン・トッド: マックスさん、どうもありがとうございました。 あなたと一緒にいられてうれしいです。

0:00:43.1 マックス・ハヴィー:そうですよ。そして、年末が近づくと、業界の多くが「予測シーズン」と呼んでいる時期に突入し、業界全体のオピニオンリーダーが来年の展望について意見を述べます。 そこで今日は、あなたの頭の中をピックアップして、あなたの頭に浮かぶいくつかの予測についてあなたの見解を聞きたいと思いました。 では、Kierstenさん、ここで最初の予想をしていただけますか?

0:01:00.3 キルステン・トッド: ですから、人工知能という重要な要素の一つがあると思います。 ここ数年、AIについて多くのことが語られてきましたが、これから見られるのは、バブルが少しはじけ、この種の急増、つまり、人々が何かについて最も知らないときに最も活動が活発になるという研究で語られる曲線があるということです。 そして、私たちはその頂点に到達したと思います。 しかし、これから目にするのは、人工知能がツールであり、実際にサイバーセキュリティを強化するためにどのように使用できるかについて、より焦点を絞った見方をすることになるでしょう。 コードのリファクタリングや脆弱性のスキャンを検討しているとき、人工知能がサイバーセキュリティと連携する真の機会がここにあります。

0:01:41.4 マックス・ハヴィー: そうですよ。 そして、それはちょっと無駄です。 サイバー関係者は、このバブルがはじけ始めることでどのような洞察を得ることができると思いますか?

0:01:48.3 キルステン・トッド:そうですね、それは私たちが人工知能の幅広さをどのように評価しているかを本当に理解しているということだと思います。テクノロジーは、ツールとして、機会として、そしてその課題を認識することが非常に重要だと思います。 ですから、私たちは確かに、非常に極端な方法でこれらのことに焦点を当てています。 人工知能に関しては、それが世界を征服し、人間を乗っ取り、そしてまた、この聖杯のイノベーションが世界を救うことになると私たちは見てきました。 そして、通常、現実は真ん中のどこかにあり、私たちは振り子をさまざまな方向に振っているようなものです。 ですから、私たちが焦点を当てている今、人工知能は、サイバーセキュリティを強化するためのツールとして、必ずしも人間が関与する必要はないが、人間が関与し続ける必要があるこれらの技術的な問題を強化するためのツールとして再び見られるようになると思います。

0:02:36.3 マックス・ハヴィー: 確かです。 ある程度、その中間点を見つけるようなものです。 それは、悲観的になりすぎたり、過度に楽観的になったりするのではなく、この時点での本当の価値を理解しているということです。

0:02:45.8 キルステン・トッド: ええ、その通りです。

0:02:46.2 マックス・ハヴィー: 同じトピックについて、その妥協点を見つけることに関するこの種の洞察は、セキュリティを前進させるのにどのように役立つと思いますか?

0:02:53.1 キルステン・トッド:そうですね、私たちが自分自身を理解し、教育すればするほど、人工知能の課題は、人々が知っていることに大きなばらつきがあることだと思います。それは一種の中央の正方形とみんなのビンゴカードになりました。 取締役会やCEO、経営幹部が、人工知能が以前から存在し、多くの企業がしばらく前から使用していたことを知っているのに、AIをどのように使用しているかについて話しているのを耳にしています。 ですから、私たちが今望んでいるのは、より流暢で、よりリテラシーを高め、人工知能とは何か、それをどのように使用できるか、そして、イノベーションのすべてのアプリケーションを実際に知らないときに常にイノベーションを統合する方法について適切な注意を払うことです。

0:03:36.9 マックス・ハヴィー: そうですよ。 ええ、それはその感覚だから、私は人々がジェネレーティブAIについてよく話す方法を知っています。 人生はしばしば道を見つけるようなものです。 人々は常にこれに取り組み、多くの組織の利益と不利益の両方を通じてこれを使用する方法を見つけます。 ですから、適切な注意を払うことが、最善の方法を見つけるための鍵となるように思えます。

0:03:54.2 キルステン・トッド: はい、その通りです、その通りです。 何事もそう考えるんだけど、それは常にガードレールとガイドだよ。 このテクノロジーによってどのように導かれるかはわかりますが、適切なガードレールが必要です。 そして、私たちが生きている間に、社会の主要な重要なインフラストラクチャや主要な要素を、常に人間の判断がループになければならないテクノロジーに引き渡す状況はなくなると思います。 そして、AIから構築されたツールに関しては、これは特に重要だと思います。

0:04:23.5 マックス・ハヴィー:確かです。これらすべての人間的要素、特にセキュリティに関連するものを無視するのではなく、人間的要素は常に心に留めておく必要があると思います。

0:04:31.0 キルステン・トッド: 右。 なぜなら、もう一つは、特にジェネレーティブAIは、あなたが共有したように、誰もが常にゴミの中のゴミについて話すということを理解すべきだと思います。 人工知能に何が入ろうともそうですが、もし何らかのバイアスデータを入れているとしたら、モデルがキックアウトするものは指数関数的にバイアスがかかることになります。 だから、それは... これは極端だと思われがちですが、人工知能に微妙に組み込んだものが正確でなければ、ジェネレーティブAIはそれをもっと極端な形で生み出すということを思い出させてくれる重要なポイントです。 ですから、人間だけが判断できることに注意を払わなければなりません。 トーン、テナー、文化的な問題、これらのAIモデルを構築する際の問題。

0:05:14.4 マックス・ハヴィー: そうですよ。 同様に、Netskopeのスタッフの1人であるEMEAのCISOであるNeil Thacker氏の予測を引き出すと、彼は、AI規制がさらに増加し、AIに対する可視性を高める組織が増えると、新しい役割、つまり最高AI責任者が台頭する可能性があるという考えを予測しました。 そして、AIについてお話しする中で、そのような予測が将来どのように印象づけるのか、お聞かせください。

0:05:37.3 キルステン・トッド:私たちはすでにそれを持っています。それが実際に次の予測であるかどうかはわかりません。 私たちがそうであったように、それは政府の大統領令の一部であり、これらのことに関しては政府がリーダーになることはめったにありません。 しかし、彼らは大統領令であり、人工知能は最高AI責任者とすべての連邦機関を特定しました。 ですから、産業界がすぐ後ろにつくと思います。 しかし、私たちが注意しなければならないのは、政府が実際に見てきたことですが、CISOや他の責任を持つ他の仕事をしている人が、突然、チーフAIオフィサーを自分の役割に加えることを望まないということです。 それは問題ないかもしれませんが、CISOやCIOが進化したのと同様に、それは多くの場合、隣接するスキルと専門知識を持つ別の一連の責任を持つ人が担う役割であり、その後、彼らはその役割が何であるか、そしてCISOまたはCIOが何であるかにはこの多様性があることを理解しなければなりませんでした。

0:06:30.2 キルステン・トッド:私たちはそれをより主流化していると思います。しかし、大手企業のポジションデスクリプションや、そのCIOや CISO が何をしたかを見ると、確かに共通点はあるものの、企業によって大きな違いがあることがわかると思います。 このような役割は進化していくでしょう。 私の推測では、CISOやCIOが最高AI責任者の仕事を引き受けるのを目にするでしょう。 研究開発の責任者が、デスクリプションなどの役職に就くかもしれません。 重要なのは、何が期待されているのかを明確にすることだと思います。 AIのチェックボックスの演習に巻き込まれないように注意する必要があると思います。 「ああ、あの警官がいる」という感じです。 それはどういう意味ですか。 さまざまな重点分野がありますが、その重要な要素は、企業がこの役割を通じて、人工知能を使用して何を達成しようとしているのかということです。

0:07:17.4 マックス・ハヴィー: そうですよ。 結果を第一に考え、この種のテクノロジーを使用して何を見たいのか、そしてどのように保護しようとしているのか、またはテクノロジーから保護しようとしているのかを考えます。

0:07:25.6 キルステン・トッド:うん。はい。

0:07:26.5 マックス・ハヴィー:たいへん良い。さて、バトンを戻すために、本当に強力な公共部門/政府バックグランドの出身者として、2025年を見据えたセキュリティと公共部門について何か予測はありますか?

0:07:36.0 キルステン・トッド:そうですね、中国が国家のアクターとして、より注目を浴びる侵入を目にする可能性が高いと思います。今年は亜麻台風、ボルト台風、ソルト台風など、台風のファミリーを見てきました。 そして、より大きな影響ではないにしても、同様の影響を与える何かが、潜在的には異なる方法で明らかになると思いますが、中国が重要なインフラストラクチャネットワークにどのように位置しているかが明らかになると思います。 そして、鍵となるのは、それに対応するための準備がどれだけできているかということです。 私たちはそれを重要インフラのパートナーとどのように共有しているのでしょうか、そしてそれは、中国が台湾に対して戦略的な行動を取ると予測されている今から2027年までのこの期間に、私たちが自分自身を守る方法、有限であるとわかっているこの脅威への対処方法を変えるのでしょうか? ですから、この種のイベントが明らかにされ、公開されるという認識だけでなく、国として何をすべきかを考えていると思います。

0:08:32.8 マックス・ハヴィー: 確かです。 具体的には、このような事件を再び検出することは、連邦政府のセキュリティにとって本当に何を意味するのでしょうか?

0:08:38.8 キルステン・トッド: さて、潜在的に見ることができるのは、これが規制の触媒を生み出すかどうかだと思いますか? 昨年と2年の間に、重要インフラの規制、セクターの見方、セクターやセクターリスク管理機関の保護について、多くの議論が交わされています。 すべてのインフラストラクチャで重要なインフラストラクチャを規制することについて、常にこの懸念がありました。コラボレーションがあり、また、そのような多様性があります。 これらの攻撃が重要インフラで引き続き発生しているとしたら、予想されることのハードルが上がるのではないでしょうか? 連邦政府の組織が産業界と協力し、重要インフラを保護することをどう考えているのでしょうか? それは、再び、これらの議論の一部に触媒を作り出すことができると思いますし、願わくば、彼らの役割を明確にするのに役立つさらなる行動を生み出すだけでなく、重要なことに、セキュリティと安全性を改善し、向上させることができると思います。

0:09:28.7 マックス・ハヴィー: 必ず。 そして、それはグローバルなCISOや米国外の人々にとっても何を意味するのでしょうか? この種の事件は、彼らに何の道しるべや合図を送っているのでしょうか?

0:09:37.2 キルステン・トッド:ご存知のように、サイバーセキュリティは地理的な境界をあまり尊重していないと思います。ですから、私たちが抱いている懸念は、志を同じくする経済パートナーや西側の同盟国によって確実に共有されています。 そして、国務省がネイト・フィケット大使が局と協力して行った、新興技術に関する取り組みや、サイバーセキュリティにおける外交を実際に検討し、規制の正常化と調和を生み出すだけでなく、私たちが協力し、よりグローバルに、そして国際的に協力する機会を提供するという反応も得られることを願っています。 これは常に、私たちがもっとうまくやれると思っていることです。

0:10:14.7 マックス・ハヴィー: 確かに、これは必ずしも新しいことではありませんが、これらの事件が発生するにつれて、ますます注目を集めています。 それは、世界中の人々にとってますますニュースの釘のようになってきています。

0:10:23.9 キルステン・トッド: そうですね、中国と私たちのインフラの事前配置は、非常に具体的に台湾に関連していると思いますが、それは新しいことであり、だからこそ、この情報を共有することの重要性、意識、監視者、CISO、CEOがソルトタイフーンの後に細心の注意を払っていることを確認するために、この国内でのこの情報の機密解除がさらに前向きになっていると思います。 その時、中国が通信会社のネットワーク上にあり、通信会社、特に盗聴に関するデータを法執行機関と共有していたシステムが侵害されたことを理解しました。 私は、サイバーワークを一緒に行ったことのある何人かのCEOや上級管理職から、これは私にとって何を意味するのかと尋ねられました。 そして、これにどう対応すべきかいまだに問題を抱えている著名な企業を見ると、それはまだ課題だと思います。 うまくいけば、これらの企業側でより多くの協力的な関与があり、業界や政府との継続的な協力とその協力が増加することを願っています。

0:11:25.5 マックス・ハヴィー: そうですよ。 コラボレーションは、多くのセキュリティ関連において有効な言葉です。 このシリーズの以前のテーマは、チームスポーツとしての安全保障でした。 そして、これは誰もがどこかの時点で対処していることであり、出現する新しい脅威に対してどのように保護するのが最善かを誰もが考えようとしているという考えは、非常に重要だと思います。

0:11:45.1 キルステン・トッド: はい、もちろんです。

0:11:46.4 マックス・ハヴィー: ぜひ見てみたいのですが、今、あなたの脳に熱い予言はありますか?

0:11:51.8 キルステン・トッド: それは予測であると同時に、願望でもあると思います。 予言として言うと、それを具現化して実現できるかもしれないと思っています。 しかし、重要インフラの見分け方や重要インフラとは何かは、脅威環境などの問題によって進化し続けていると思います。 しかし、クラウド、クラウドの問題、それが何であるか、そこに何を置くか、私にとっては、クラウドを重要なインフラストラクチャとして特定する必要があります。 そして、この分野に長く携わってきた私は、企業を重要なインフラとして特定することが実際には機会とは見なされず、一般的に規制を受けることを意味し、機会よりも制約が課せられることを意味し、ほとんどペナルティと見なされていた時期があったと思います。

0:12:34.9 キルステン・トッド: 私は、連邦政府側で多くの取り組みが進行中であることを知っています。これは、重要インフラとして特定されることで、連邦政府とより緊密に、より直接的に関与する機会が得られるということです。 また、これらのサービスの提供方法を管理するのにも役立つと思います。 確かに、クラウドサービスプロバイダーは、このスペースに遍在する場所であれば、そのツールをどのように管理するか、そして、それが国としてだけでなく、私たちの運営方法の多くにどれほど関連しているかを考えると、ベースラインレベルのセキュリティを確保する方法を考え抜く必要があります。 しかし、世界として。

0:13:10.7 マックス・ハヴィー: そうですよ。 つまり、このような変化は、今日の組織がクラウド内で運用する際にクラウドについて考える方法にどのような影響を与えるのでしょうか?

0:13:19.9 キルステン・トッド: それは、彼らを組織に引き込むことが何を意味するのかを理解するために、より意図的な努力が必要であることを意味するのかもしれないと思います。 これは、ああ、これが私の運営方法だ、という技術のように見られていると思いますが、一部の企業では、持っている必要がないのはいいことだとさえ見られるかもしれません。 もし、それがどこにでもあり、サプライチェーン全体に大きな影響を与え、タッチポイントを持つものと見なすと、それをどのように選択するかだけでなく、クラウドサービスプロバイダーと関わる際に問う質問についても、より思慮深くなると思います。

0:13:49.7 マックス・ハヴィー: 確かです。 ある程度、日常業務やビジネスの継続性を維持するためには、インターネットと同じくらい重要だと感じています。 彼らは、一部の人にとっては、インターネットは必須のリソースではなく、持つ必要とは見なされていなかった同様のスペースを占めています。

0:14:02.8 キルステン・トッド: そうですね。

0:14:03.5 マックス・ハヴィー: そして、クラウドは、以前はこれがあれば便利でしたが、今では絶対にこれが必要というようなものに移行しています。

0:14:09.3 キルステン・トッド: ええ、その通りです。 その通り。

0:14:11.9 マックス・ハヴィー: さて、それと同じように、この種の再分類からどのような結果が期待できるのでしょうか?

0:14:17.3 キルステン・トッド: 私たちは、セキュリティと安全性の向上、テクノロジーの進歩に関する政府との協力の強化、そしてセキュリティと安全性をイノベーションに取って代わらないようにすることを望んでいると思います。私は、それらが相互に排他的である必要はないと考えています。 テクノロジー業界では、そのように捉えられることがよくありますが、クラウドサービスプロバイダーである企業だけでなく、サービスを提供する企業やそのエコシステムに関わるサプライチェーンにとって重要なレベルで、思慮深く慎重に前進し、重要なレベルのセキュリティと安全性を確保できると考えています。

0:14:50.3 マックス・ハヴィー: 確かです。 それは、私たち全員がよりハイブリッドな世界に移行するにつれて、世界がずっと小さくなったという考えです。 今や、誰もがクラウド内で運用しています。 それはあなたのおばあちゃんのように今知っていることです。

0:15:00.6 キルステン・トッド:はい。

0:15:00.7 マックス・ハヴィー: そして、それは、あなたや私がおそらく私たち全員が触れたと認識しているような方法で、しかし、街角の普通の人と同じように、それが目の前に投げられるまで気づかなかったかもしれない方法で、すべてに触れます。

0:15:10.7 キルステン・トッド: ええ、ええ、その通りです。

0:15:12.4 マックス・ハヴィー: そのため、クラウドへの攻撃、つまりクラウドで見られるような脅威は、それをより壊滅的なものにする可能性があります。

0:15:20.2 キルステン・トッド: はい。 そうですね、これを見ると、システムがクラウドとどのように相互依存しているかがわかります。 つまり、クラウド内のクラウドに起こることは、実際に広範囲にわたる影響を与える企業に対して起こることです。

0:15:33.8 マックス・ハヴィー: また、最近、世界で見たような、相互依存的な展開を目の当たりにしたような例で、共有したいと思うものはありますか?

0:15:41.4 キルステン・トッド: そうですね、最初の例は、何かが影響を与える可能性があることを示していたので、みんなを少し揺さぶったと思います。それは、Capital Oneに影響を与えたAWSの侵害があったときでした。Capital Oneには脆弱性があり、Amazonのせいではないと判断されました。 詳細は覚えていませんが、これらのことはつながっていて、もし一つの企業に何かが起こったら、それは本当にサプライチェーンの議論になるという、初めての一般の認識でした。 これらのことを新しい言葉で言えば、クラウドエコシステムですが、実際には常にサプライチェーンに関するものです。 それは、サプライチェーンにある企業の影響が、生産方法だけでなく、運営方法にも影響を与えることができるかということです。 安全性、セキュリティ、その脆弱性。

0:16:26.0 マックス・ハヴィー: そうですよ。 では、Kierstenさん、セキュリティの専門家として抱いている抱負と、2025年にセキュリティの専門家としてどのような目標に向かって抱いているのか、教えていただけますか?

0:16:40.7 キルステン・トッド: もちろん。ですから、私はこの分野で数十年以上働いてきましたが、私たちは常にテクノロジーとサイバーの抽象的な性質を見てきました。 それはテクノロジーの部分です。 そして最近では、過去5〜7年間で、サイバーセキュリティに関して、ループ内の人間にもっと焦点を当てるようになりました。 そして、人間の役割とは何でしょうか? 結局のところ、サイバーセキュリティはツールなのです。 それはインフラを保護しますが、人間は、私たちが個人としての説明責任と責任を持っているという安全保障で、私たちが国をどのように保護するかの基盤です。 それが私がWondrosでこの役割を引き受けた理由の1つであり、クリエイティブなコンテンツを引き付けて社会的影響を生み出し、人々の行動が良い方向に変化する人間の動きを生み出し、社会的なポリシーの問題に目を向けるだけでなく、テクノロジーにも目を向けることです。

0:17:32.2 キルステン・トッド: そして1ヶ月前、私たちはクレイグ・ニューマークの慈善団体と共同で「Take9」というキャンペーンを開始しましたが、これは、私たちが反応から思慮深い反応、行動へと移行するという切迫感の犠牲にならない瞬間に、私たち個人が犠牲者になるのをどうやって止めることができるかについてのものです。来年は、クレイグ・ニューマークのビジョンが何であるかを考えてみると、サイバー市民防衛者のコミュニティを巻き込むことで、業界や重要インフラに対して、私たち対彼らではなく、協力的な方法で、より多くのことを求めるコミュニティと文化を作り始めることができると思います。 ですから、来年は、活動家である個人が増え、活動家が増え、これらの企業にさらなるセキュリティを求め、より多くの安全性を求めるようになることです。 しかし、結局のところ、これらは上場企業であり、収益創出に基づく非公開企業です。 そして、最も強力な引き寄せは、個人や団体、組織が、自分たちのセキュリティと安全体制に基づいて、彼らが働く企業や組織について決定を下し始めると、セキュリティの文化、安全の文化、そして重要なことに、より安全で、安心で、回復力のある国を作るのに大いに役立つでしょう。

0:18:49.5 マックス・ハヴィー: そうですよ。 私はそれが大好きです。 これは、誰もが自分のサイバーセキュリティと、私たちを取り巻くすべての人のサイバーセキュリティに責任を持つという考え方であり、潮の満ち引きはすべての船を上昇させるようなものです。

0:18:57.6 キルステン・トッド: まさに、どんな出来事が起こっても、それは大規模かもしれないし、世界的なものかもしれないが、コミュニティに影響を与えるからです。 まず、CISAで行ったことの1つから始めて、この政権が非常に大きな成功を収めたと思うのは、地域オフィスの業務を本当に強化したことです。なぜなら、エネルギー会社や学区のイベントでは、サイバーセキュリティと物理的セキュリティの専門家である人々が現場にいて、迅速な対応を支援することが非常に重要だからです。 連邦政府は重要ですが、私たちはコミュニティと本当に協力して、迅速に対応し、できるだけ早く影響を管理する必要があります。

0:19:36.4 マックス・ハヴィー: たいへん良い。ええ、いや、私はそれが大好きです。 Kierstenさん、プロデューサーの皆さんが「そろ」と手を振っているのが見えますが、ここで締めくくる前に、何か付け加えたいことはありますか?

0:19:44.0 キルステン・トッド: いや、コラボレーションに感謝しています。 思いやりに感謝します。 議論の種類が増えてアイデアが出れば出るほど、さらなる行動を促すのに役立つと思います。 ですから、お話しする機会をいただき、ありがとうございます。

0:19:54.0 マックス・ハヴィー: そうですよ。本日はご参加いただき、誠にありがとうございます。 これはとても良い会話で、ここで言わなければならないすべてのクールなことについて他の人々がどう思うかを聞くのがとても楽しみです。 あなたはSecurity Visionariesのポッドキャストを聞いていて、私はあなたのホスト、Mak Haveyです。 このエピソードを楽しんだ場合は、友人と共有し、お気に入りのポッドキャストプラットフォームでSecurity Visionariesを購読してください。 そこでは、エピソードのバックカタログを聴き、私または私の共同ホストである素晴らしいエミリー・ウェアマスがホストを務める毎月ドロップする新しいエピソードに目を光らせておくことができます。 それでは、次のエピソードでお会いしましょう。

[音楽]