企業にとって、強力なセキュリティチームを構築することは容易ではない。サイバーセキュリティ業界に入りたい人にとっても、参入ポイントの見極めが難しい。この2つの問題について、両方の経験を持つAltitude Networksの共同創業者兼最高経営責任者(CEO)のMichael Coates氏に話を聞いた。Coates氏は、Twitterの元最高情報セキュリティ責任者(CISO)だ。
Coates氏がITセキュリティの世界に足を踏み入れたのは、レッドチーム演習がきっかけだ。彼の任務は、ソーシャルエンジニアリングや物理的な侵入テスト、あらゆるハッキング技術を駆使して、クライアント企業や金融機関のネットワークやアプリケーションに入り込むことだった。「こうしたことが実際、毎週のように行われていることを知り、本当に興奮した」とCoates氏は言う。「任務が終わると最高情報責任者(CIO)や最高技術責任者(CTO)と会い、発見した事実を説明する」。その後、Coates氏はOpen Web Application Security Project(OWASP)に参加し、理事も務めた。Mozillaでセキュリティ保証担当ディレクターを務めた経歴も持つ。2015年にはTwitterのCISOに就任した。以下は、インタビューの内容をまとめたものだ。
ITセキュリティ業界でキャリアを築く−−レッドチームからCISOへ
Bill(筆者):ITセキュリティ業界に入ったきっかけは?
Michael Coates氏:セキュリティ業界はカオスだ。15年以上、この世界でやってこれたのは、とても幸運だった。セキュリティ関係者の多くがそうだと思うが、私も好奇心からこの世界に入った。あれこれ工夫して何かを作ることが好きだったから、コンピューターやソフトウェアの中身やものごとが起きる仕組みを知りたかった。セキュリティ業界でキャリアを築くという選択肢を知ったときは、とても魅力を感じた。最初の仕事はレッドチームだ。刺激的だったよ。毎週のように銀行や企業に呼ばれ、ソーシャルエンジニアリングや物理的な侵入テスト、ネットワークやアプリケーションのハッキングを通じて、その会社に入り込むことを命じられるんだ。
こうしたことが実際、毎週のように行われていることを知り、本当に興奮した。任務が終わるとCIOやCTOと会い、発見した事実を説明する。抵抗にあうことは珍しくない。興味深いことに、決まってこう言われるんだ。「いいや、そんなことは不可能だ」とね。でも、こちらは実際に侵入したのだから、「では説明しましょう。ご覧ください」と言うほかない。セキュリティ業界への入り方としては、かなり変わっていたかもしれない。
それから現在までの間に、さまざまな仕事を経験した。特にアプリケーションセキュリティには何年も取り組み、OWASPの活動にもどっぷり浸かった。OWASPでは理事も務めたが、西海岸に引っ越してMozillaに参加し、セキュリティプログラムを立ち上げた。Mozillaでは、後にセキュリティ責任者に就任し、すばらしいチームと一緒に、何億人ものFirefoxブラウザーユーザーの保護に取り組んだ。かなり大変な仕事だった。