CIOとCISOの役割の融合

0:00:01.6 Max Havey:こんにちは。Security Visionaries の最新版へようこそ。Security Visionaries は、サイバー データと技術インフラストラクチャの世界を特集したポッドキャストで、世界中のさまざまな分野の専門家が集まります。 私はホストのマックス・ハヴィーで、今日はゲストのJadee Hanson(CISO At Vanta)とCISOの役割についてお話しします。 ジェイディー、ショーへようこそ。

0:00:21.2 ジェイディー・ハンソン:お招きいただきありがとうございます。

0:00:22.4 マックス・ヘイヴィー:では、まずはバックグランドさんの経歴について少しお話しいただけますか? あなたは長年にわたり、多くの企業で働き、さまざまなセキュリティリーダーの役割を果たしてきました。 ここで少しバックグランドを教えていただけますか？

0:00:31.8 ジェイディー・ハンソン: もちろん。 はい。 私はかなり若い頃にサイバーに夢中になりました。 実は、信じられないかもしれませんが、高校でサイバーワークを始めたのですが、高校のテクノロジーコーディネーターの下で働いていました。 私たちは学校のためにあらゆる種類の異なることをしました。 彼は、学区の費用を節約するためにコンピューターを組み立てさせましたが、それは私がテクノロジーの世界とサイバーの世界に足を踏み入れたようなものでした。 私はデロイトでペネトレーションテスト、セキュリティ監査の仕事からキャリアをスタートさせ、これをきっかけに最初の管理職に就きました。 その後、ターゲットコーポレーションに移り、そこでサイバーチームのすべての機能に参加することにしました。 もうあまり出張してスタートアップの仕事に就きたくないと決心したとき、Code 42に移りました。 Targetでは、Target Corpが買収したいくつかの企業について多くのデューデリジェンスを行ったため、スタートアップの世界に足を踏み入れました。

0:01:35.0 ジェイディー・ハンソン: 実は、私がTargetにいたときに、シリコンバレーを拠点とする小さなテクノロジー企業をいくつか買収しました。 そうやってスタートアップの世界に少し足を踏み入れ、スタートアップの世界の文化、その動きの速さ、Code 42への入社を決め、ConveryでCIO、CISOとして約8年間勤務した後、最近Vantaに移りました。 また、Vantaはセキュリティソフトウェア企業でもあり、セキュリティプログラムのガバナンス、リスク、コンプライアンスのセクションに対する人々の考え方を変える製品を構築しています。

0:02:18.6 マックス・ハヴィー: そうですよ。 過去の役職では、CIOとCISOの両方の役割についてお話しされていましたね。 テクノロジーとセキュリティの両方の側面で機能する二重の役割をナビゲートするのがどのようなものだったかについて少し教えていただけますか? これらはしばしば相反する力になることがあると思いますが、それがどのように機能したかを少し教えていただけますか?

0:02:34.7 Jadee Hanson:そうですね、リスナーの多くは、CIO が常に新しいテクノロジーへの投資を推進しているのに対し、CISO の役割は新しいテクノロジーのリスクを慎重に提起していることをご存知だと思います。 そこで、私の冗談は、両方の役割を兼任することで、毎日自分自身と内面的に議論することができましたが、CIOの役割と私が担ったCIOの役割は、実際には戦略的なビジネスリーダーの役割であるというものでした。 そして、私がCode 42でセキュリティチームを率いていたとき、上司は私をそう見ていたと思います。 そのため、コード42でCISOを務めていた間、私はCEOに直接報告し、戦略的なビジネス上の意思決定の多くに参加する機会がありました。 当時のリーダーは、私をサイバーリーダーの枠を超えて見てくれ、私が強いビジネスセンスを持っていることを認めてくれたので、最終的にCIOの役割を得ることができたと思います。 そして、CIO の役割と CISO の役割は、組織内の両方の最高経営責任者レベルの役割として、おそらく相違点よりも類似点の方が多いと私は考えています。 そしてその点では、どちらの役割も、組織にとって適切なテクノロジーの決定を下せるよう、強力なビジネス感覚とリスクを評価する強力な能力を持つことに重点を置く必要があります。

0:04:01.5 マックス・ハヴィー: ですから、以前の質問では少しリードしていたと思いますが、その両方の役割を引き受けるにあたり、テクノロジーチームが多くの時間パフォーマンスを最適化しようとする方法や、セキュリティが適切な管理を確実に行おうとしているような、対立する力に遭遇しましたか? この2つの役を同時にこなす中で、そのような問題にぶつかることはありましたか?

0:04:19.9 ジェイディー・ハンソン:ええ、それはトレードオフだと思います。100% のトレードオフです。コスト便益分析やリスク結果分析などから各テクノロジーの決定を理解して評価し、本当に最善の決定を下すには、両方の役割を担うことが重要です。レポートは私に直接送られます。 これは、Code 42のギャップを埋めるのに役立ったと思いますし、Vantaでも、ITチームが私の直属の部下であり、現在、中小企業の多くのCISOが導入しているモデルであり、確かに非常にうまく機能していると思います。 CISO の役割を正しく果たしているのであれば、最終的には組織の成功を推進するビジネス イニシアチブを特定しようとしていることになりますが、これは CIO の役割自体とそれほど変わりません。 また、CISO機能とCIO機能を連携させて、合意されたビジネス目標、つまりあなたの下で働くチームに取り組むことができれば、共通の成果に取り組むために協力して素晴らしい仕事をすると思います。

0:05:27.8 マックス・ハヴィー: そうですよ。 同様に、二重の役割を担う中であなたが思いついた戦略で、組織内のギャップを埋めようとしている他の CISO にお勧めできるものは何ですか? それについて、どのような戦略やアドバイスを彼らに提供しますか?

0:05:40.3 ジェイディー・ハンソン:はい。私がチーム内で推進した最も影響力のある戦略の1つは、統合プロセスの概念だと思います。 このように、セキュリティとITの参加を必要とするさまざまな望ましい結果があり、結果を提供するための共同プロセスのようなものを開発することで、チームが本当に団結することがわかります。 前にも言ったように、各チームが最終的な結果や最終的な成功にコミットできるように、共通の目標を見つけるという点では、よく似ています。 簡単な例は、ゼロデイパッチ適用プロセスのようなものです。 セキュリティには、パッチが適用されて完了することに既得権益があることは確かですが、それを実現するためにはITに頼る必要があることは間違いありません。 そして、両当事者が関与し、最終的な結果に責任を持つフレームワークとプロセスのようなものを実装することで、チームがより緊密に連携することがわかります。

0:06:38.8 マックス・ハヴィー: そうですよ。 その平等な説明責任は、クロスファンクショナルという言葉でもあると思います。 そして昨シーズンのテーマは、チームスポーツとしての安全保障のアイデアでした。 そして、そのような方法でそれをまとめ、それらの共通の目標に向かって考えることは、チームスポーツとしての安全保障とインフラについて考える素晴らしい方法だと思います。

マックス・ハヴィー: 必ず。 これは、部門横断的な考え方と部門横断的な作業、同時に独立して作業し、それらを統合する方法を見つけることで、可能な限り最善の方法でこれを行い、可能な限り最高の結果を得ることができます。

0:06:55.0 ジェイディー・ハンソン: ええ、もちろんです。 私たちは主に権限なしで影響力を行使しており、全員にセキュリティの責任を負わせようとしています。私は何度も Vanta 組織に「セキュリティは全員の責任であり、全員の参加が本当に必要です」と言っています。

0:07:14.1 Max Havey:あなたも長年の CIO 経験をお持ちですが、それが CISO としての役割に取り組む方法にどのように影響していますか?

0:07:21.0 Jadee Hanson:そうですね、もう一度、CISO の役割の概念に戻りますが、CISO の役割は組織内の戦略的リーダーの役割であり、私たちはビジネスにとって最善のもの、そして最高のビジネス成果を求めています。 そして、それはCIOの役割と何ら変わりはありません。 CIO の役割について考えるとき、以前の私の仕事は、組織にとって適切なテクノロジーをすべて選択し、適切なトレードオフの選択をすべて確実に行い、財務上の責任を確実に果たすことでした。 現在のCISOの役割は、その一部としてITの要素を持っていますが、セキュリティの観点からは、適切なビジネス成果が得られるように適切な場所に影響を与えたいという意味で、非常によく似ています。 私は、イベントによる付随的な影響がないように、適切なセキュリティプラクティスを適用していることを確認したいと考えています。 ですから、それほど変わらないと思います。 組織内の経営幹部レベルの役職の多くは専門分野を持っていると思いますが、結局のところ、ビジネスに良い影響を与えるための戦略的な意思決定が重要なのです。

0:08:34.8 マックス・ハヴィー: そうですよ。 CISOであろうとCIOであろうと、役割に関係なく、これらの意思決定を支援する方法を見つけている限り、セキュリティ、テクノロジー、またはその両方の融合について話しているかどうかにかかわらず、ビジネスレベルの意思決定を行い、ビジネス全体を可能にするのに役立ちます。

0:08:50.5 ジェイディー・ハンソン: ええ、もちろんです。

0:08:53.8 マックス・ハヴィー: あなたが言い続けている言葉ですが、私はここでダブルクリックしたいと思います。 これらの異なるチーム間で影響力を生み出し、部門横断的に働くというアイデアについてお話しいただきますが、テクノロジーチームやセキュリティチームのニーズをよりよく理解し、なぜそれが真剣に受け止めるべき重要なことなのかを理解してもらうために、その影響力を生み出すには、どのような方法がありますか?

0:09:11.0 ジェイディー・ハンソン: ええ、その多くは同様のアプローチに関係していると思います。 Vanta での私たちの仕事のやり方について考えると、私たちは親しみやすく、パートナーであり、協力し合うという原則に非常に重点を置いています。決して「ノー」という部門ではなく、「問題を抱えて私たちのところに来て、組織にとって最善の結果が得られるように手伝いましょう」という部門です。 組織全体でそのようなアプローチを採用することで、最終的に適切な影響が得られると考えています。 繰り返しになりますが、私たちは本当に権威なしに影響力を持っているという事実に戻ります。 私たちはあらゆる組織で決定を下せるわけではありません。 したがって、私たちの最も重要な仕事は、組織に適切な影響力を与え、必要な適切な教育の側面を教育し、時間をかけて理由を説明することです。 誰もが私たちが見ているものを外部の風景から見ているわけではありません。 ですから、時間をかけて理解してもらうことで、外部からの脅威は、あなたの行動に影響を与える可能性があるのです。 そして、私たちが入ってきて、このようにしなければならないと言うのではなく、その一環として本当に教育しているのです。

0:10:28.7 マックス・ハヴィー: CISOが取締役会でより普及し、より普及し、社内の上級管理職のように話すという考えについて話すとき、この教育の部分は特に重要であるように思われます。 技術に詳しくない人や、セキュリティやテクノロジーに関する知識がない人に影響を与え、教育して理解を深めることが、このすべてにおいて鍵となると思います。

0:10:48.6 Jadee Hanson:ええ、その通りです。 私たちの仕事は、私たちが知っている概念を、より高いレベルのビジネス言語に変えて、彼らにとって同じようなインパクトを与えることです。 これはあなたの最終的な目標にどのように影響しますか?

0:11:05.3 マックス・ハヴィーそうですよ。そして、もう少し大きな視点で考えると、CISOやCIOの役割について話すときに、コンバージェンスという概念がよく話題になります。 この種の役割の将来を見据えて、どのようなビジョンを持っていますか、また、テクノロジー面に関連して、今後数年間でCISOの役割にどのような変化が待ち受けていると思いますか?

0:11:27.3 ジェイディー・ハンソンCIOの役割とCISOの役割の収束という点では、まずそれについてお話ししましょう。多くの中小企業では、CISOの役割が責任を負うことになると思います。 ですから、CIOという側面はなく、複合的な役割であると言えるでしょう。 大企業では、依然として両者は大部分が分離したままだと思いますが、今後数年間の CISO の役割の将来に関しては、これら 2 つの組織が非常に密接に連携し、より平等に見られるようになると思います。 CISO の役割はまだ比較的新しい C レベルの役割であることを覚えておくことが重要だと思います。 ですから、物事が前進するにつれて、常に変化していくと思います。 そうは言っても、今後数年間で私たちに起こると予想される主な変化は 2 つあり、1 つ目は組織内での戦略的重要性の増大または責任の増大です。

0:12:33.5 ジェイディー・ハンソン: CISO は、組織内の単なる技術リーダーというだけでなく、リーダーシップ チーム全体にとってプラスのビジネス成果をもたらす共通の利益を持つ、企業の戦略的リーダーの 1 人として見られるようになってきています。 これは、これまで見てきたものとは大きく異なると思います。 CISOは、ビジネス戦略の形成において不可欠な役割を果たし始めており、リスクなどの適切なバランスと、会社の成長に伴う回復力のバランスを取り始めています。 企業レベルでは、この戦略的重要性の高まりは、SECとSECが大企業の上場企業にCISOの行動の責任を負わせ、CISOが株主の要件に対する重要な開示に責任を負わされるようになったことのあらゆる側面によって大きく推進されていることがわかります。 これは確かにCISOの役割を高め、そのCISOにとってはるかに広く、より影響力のある役割につながります。

0:13:40.2 ジェイディー・ハンソン:今後数年間でCISOの役割に見られる2つ目の変化は、ピアセキュリティの役割から、テクノロジー戦略やリスクの役割へとシフトすることだと思います。つまり、CIOのコンバージェンスと、チーフ・リスク・オフィサーのコンバージェンスのようなものです。 そのため、多くの場合、今日の CISO は CIO や最高リスク管理責任者と同じ責任を多く担っています。これについては以前にもお話ししましたが、組織内で重要なテクノロジーの決定を下す責任の多くは、最終的に CISO の研究室に委ねられることになります。 そして、今日の CISO の役割は、セキュリティとテクノロジーだけにとどまらず、組織に同様のソリューションが導入される際にセキュリティを評価する立場にまで及んでいます。

0:14:32.9 マックス・ハヴィー: そして、CISOがSECへの提出や開示など、より多くのことについて説明責任を負っている場合、フロントエンドでその可視性を確保します。 どのような技術がリスクを冒しているのか、このリスクを排除するためにどのような実践ができるのか、そのようなことをフロントエンドに据え、実際にそれを知ったときではなく、そのようなビジョンを持つことができると思います。 これは、セキュリティとテクノロジーを同時に向上させるための重要な戦略だと思います。この番組に携わってきた長年にわたり、多くのセキュリティ リーダーから、積極的なアプローチを取ることが、優れた CISO になるための鍵の 1 つであり、組織として優れたセキュリティ戦略を持つための鍵の 1 つであると聞いています。

0:15:11.1 ジェイディー・ハンソン: はい、100%です。 早期に関与することができる限り、セキュリティの変更を早期に行うことのコストや、開発サイクルと同様に、製品の出荷後に製品に変更を実装しようとする場合のコストについて、多くの研究があります。 そして、確かに、早い段階から関与し、適切な人々に影響を与えて正しい決定を下すことができれば、事後的にではなく、コストが非常に低くなります。

0:15:38.0 マックス・ハヴィー: そうですよ。 最後になりますが、セキュリティ業界で CISO や CIO の役職に就いてきたあなたにとって、最も興味深いことは何ですか? このような役割が収束し、テクノロジーとセキュリティをめぐって責任がまとまっているのを見るのは、どのような点に興奮しますか?

0:15:53.6 ジェイディー・ハンソン: CISOの観点から見ると、私たちは何年もの間、私たちに注目してくださいと飛び跳ねてきましたが、最近では、CISOの役割に多くの脚光を浴び、スポットライトを浴びていると思います。 そして、多くの場合、それは良いことだと私は思います。 確かに、政府機関が私たちの空間を本当に深く理解していることを確認するために、私たちはもっとやるべきことがあります。 しかし、そうは言っても、役割と、私たちが何をしているのか、どのように運営しているのかを可視化することは、本当に本当に重要だと思います。 そして、それは私を興奮させます。 また、業界では、テクノロジーに関する決定が CISO の役割の一部になっていくことがますます増えているように思います。 ですから、CIOがテクノロジーに関する意思決定を行い、CISOとパートナーシップを組むことで、CISOがさまざまなテクノロジーチームを率い、CISOの役割で意思決定が行われることが、非常に重要だと思います。 その点で、CISOはただ持ちこたえて追いつこうとしているだけでなく、意思決定プロセスの一部になっていると思うので、本当にエキサイティングです。

0:17:12.8 マックス・ハヴィー: 間違いなく、もはや追いつくことができず、ようやくスポットライトを浴び、輝く時間、そして集団を率いる時間を得ることができた。

0:17:18.0 ジェイディー・ハンソン: そうですよ。

0:17:18.9 マックス・ハヴィーそうですよ。さて、ジェイディー、今日はお時間を割いていただき、本当にありがとうございます。 これは、CIOとCISOの役割の二分法のようなものと、それらがどのように収束するかを掘り下げた素晴らしい会話でした。 お時間を割いていただき、本当にありがとうございました。 本当に感謝しています。

0:17:30.2 ジェイディー・ハンソン: ええ、もちろんです。 お招きいただき、本当にありがとうございます。

0:17:32.7 マックス・ハヴィー:そうですよ。そして、あなたはSecurity Visionariesポッドキャストを聞いています。 司会は私、Max Havey です。このエピソードをお楽しみいただけましたら、ぜひご友人と共有し、お気に入りのポッドキャスト プラットフォームで Security Visionaries を購読してください。 そこでは、過去のエピソードを聴くことができ、隔週で公開される新しいエピソードにも注目できます。新しいエピソードは、私または共同ホストの素晴らしいエミリー・ウェアマウスがホストを務めます。 それでは、次のエピソードでお会いしましょう。