編集部からのお知らせ
解説集:台頭するロボット市場のいま
解説集:データ活用で考えるデータの選び方
海外コメンタリー

Twitterの元CISOに聞く--真に求められるITセキュリティ人材確保やチーム構築のカギ

Bill Detwiler (Special to ZDNet.com) 翻訳校正: 編集部

2019-11-05 06:30

 企業にとって、強力なセキュリティチームを構築することは容易ではない。サイバーセキュリティ業界に入りたい人にとっても、参入ポイントの見極めが難しい。この2つの問題について、両方の経験を持つAltitude Networksの共同創業者兼最高経営責任者(CEO)のMichael Coates氏に話を聞いた。Coates氏は、Twitterの元最高情報セキュリティ責任者(CISO)だ。

 Coates氏がITセキュリティの世界に足を踏み入れたのは、レッドチーム演習がきっかけだ。彼の任務は、ソーシャルエンジニアリングや物理的な侵入テスト、あらゆるハッキング技術を駆使して、クライアント企業や金融機関のネットワークやアプリケーションに入り込むことだった。「こうしたことが実際、毎週のように行われていることを知り、本当に興奮した」とCoates氏は言う。「任務が終わると最高情報責任者(CIO)や最高技術責任者(CTO)と会い、発見した事実を説明する」。その後、Coates氏はOpen Web Application Security Project(OWASP)に参加し、理事も務めた。Mozillaでセキュリティ保証担当ディレクターを務めた経歴も持つ。2015年にはTwitterのCISOに就任した。以下は、インタビューの内容をまとめたものだ。

ITセキュリティ業界でキャリアを築く−−レッドチームからCISOへ

Bill(筆者):ITセキュリティ業界に入ったきっかけは?

Michael Coates氏:セキュリティ業界はカオスだ。15年以上、この世界でやってこれたのは、とても幸運だった。セキュリティ関係者の多くがそうだと思うが、私も好奇心からこの世界に入った。あれこれ工夫して何かを作ることが好きだったから、コンピューターやソフトウェアの中身やものごとが起きる仕組みを知りたかった。セキュリティ業界でキャリアを築くという選択肢を知ったときは、とても魅力を感じた。最初の仕事はレッドチームだ。刺激的だったよ。毎週のように銀行や企業に呼ばれ、ソーシャルエンジニアリングや物理的な侵入テスト、ネットワークやアプリケーションのハッキングを通じて、その会社に入り込むことを命じられるんだ。

 こうしたことが実際、毎週のように行われていることを知り、本当に興奮した。任務が終わるとCIOやCTOと会い、発見した事実を説明する。抵抗にあうことは珍しくない。興味深いことに、決まってこう言われるんだ。「いいや、そんなことは不可能だ」とね。でも、こちらは実際に侵入したのだから、「では説明しましょう。ご覧ください」と言うほかない。セキュリティ業界への入り方としては、かなり変わっていたかもしれない。

 それから現在までの間に、さまざまな仕事を経験した。特にアプリケーションセキュリティには何年も取り組み、OWASPの活動にもどっぷり浸かった。OWASPでは理事も務めたが、西海岸に引っ越してMozillaに参加し、セキュリティプログラムを立ち上げた。Mozillaでは、後にセキュリティ責任者に就任し、すばらしいチームと一緒に、何億人ものFirefoxブラウザーユーザーの保護に取り組んだ。かなり大変な仕事だった。

ZDNet Japan 記事を毎朝メールでまとめ読み(登録無料)

Special PR

特集

CIO

セキュリティ

スペシャル

NEWSLETTERS

エンタープライズ・コンピューティングの最前線を配信

ZDNet Japanは、CIOとITマネージャーを対象に、ビジネス課題の解決とITを活用した新たな価値創造を支援します。
ITビジネス全般については、CNET Japanをご覧ください。

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]