Iphone

米国サイバーセキュリティ機関のリーダー、ジェン・イースターリー氏がパートナーシップ、人材、テクノロジーの責任について語る

米国サイバーセキュリティ機関のリーダー、ジェン・イースターリー氏がパートナーシップ、人材、テクノロジーの責任について語る

トッド・ビショップ

2021年7月からサイバーセキュリティ・インフラセキュリティ庁を率いてきた元米軍・情報機関職員のジェン・イースタリー氏が、木曜日にアマゾンで講演した。(GeekWire Photo / Todd Bishop)

米国サイバーセキュリティ・インフラセキュリティ庁長官ジェン・イースタリー氏は、非難したり騒ぎ立てたりするためではなく、耳を傾け橋をかけるためにシアトルを訪れた。

米陸軍の退役軍人で、ブロンズスター勲章を2度受賞し、元国家安全保障局(NSA)の対テロ担当副長官を務めたイースターリー氏は木曜日、NSAは規制や諜報活動、法執行ではなく、パートナーシップに重点を置いており、サイバーセキュリティを「チームスポーツ」に例えていると説明した。

「サイバーセキュリティは解決すべき問題ではありません」と、イースターリー氏はアマゾン本社訪問中に述べた。「連邦政府、州政府、地方自治体、そして民間企業の同僚と協力し、国家に対するリスクを共同で低減することで、リスクを軽減できるのです。」

イースターリー氏は今週シアトルを訪問し、地域のさまざまな企業や機関と会談し、インフラや選挙のセキュリティなどの問題について話し合った。

アマゾンでの彼女の仕事は、サイバーセキュリティの人材不足、つまり企業、非営利団体、その他の組織がシステムを安全に保つ能力のある従業員を見つけるのを支援するために必要な労働者の不足に焦点を当てたものでした。

アマゾンの最高セキュリティ責任者であるスティーブ・シュミット氏は、会議の冒頭、同社の彼の部門では現在1,200人の欠員があると指摘し、問題の緊急性を強調した。

CISA長官ジェン・イースタリー氏(左)とAmazon最高セキュリティ責任者スティーブ・シュミット氏(右)は、太平洋岸北西部の大学やコミュニティカレッジの教員や管理者がサイバーセキュリティ人材の増強と多様化に向けたアイデアを共有するのを聞いている。(GeekWire Photo / Todd Bishop)

シュミット氏は、一般の人々を教育し、自社の従業員を再訓練するというアマゾンの取り組みについて説明し、「適切なスキル、適切な人材、適切なパイプラインを確保するために、継続的に取り組む必要がある」と述べた。

イースタリー氏は円卓会議で、幼稚園から高校までの児童にサイバーセキュリティへの関心と参加を促すことで長期的な人材不足を解消し、最終的にこの分野でのキャリアを選択する可能性を高めるためのアイデアを教育者、行政関係者、地方自治体関係者らが提案するのを聞き、メモを取っていた。

彼らのアイデアは、テクノロジー企業にカリキュラム開発への関与を深めてもらうといった実用的なものから、新しいサイバーセキュリティのスーパーヒーローを生み出す取り組みといった斬新で創造的なものまで多岐にわたりました。

イースタリー氏は、十分なサービスを受けていないコミュニティ、特に黒人コミュニティの人々が「サイバーセキュリティ」という言葉に過度に否定的なイメージを抱き、法執行機関を連想させるという調査結果を引用した。業界の中には、この分野の本質をより適切に反映するために「データケア」という表現を使い始めている人もいると指摘した。

昨日、数十人の教育者がアマゾンで CISA ディレクターのジェン・イースターリー氏と会談しました。

しかし、CISA(一般に「シス-ア」と発音される)は、米国政府の協調的脆弱性開示プロセスの責任機関として、攻撃者によく悪用されるソフトウェアおよびクラウド サービスの欠陥に関する独自の洞察も持っています。

シアトル滞在中にマイクロソフトも訪問したイースターリー氏は、GeekWireの質問に答え、テクノロジー企業に責任を負わせる必要性について語りました。彼女の発言の要点を編集したものを以下でご覧ください。

「ソフトウェアには無数の脆弱性がつきものだという文化的規範を私たちが受け入れてしまっているのは残念なことです。」

CISAディレクター ジェン・イースターリー

ソフトウェアの脆弱性:「技術チームのメンバーとよく話していることの一つは、設計段階から安全なテクノロジーを開発する必要性が高まっているということです。…ソフトウェアには無数の脆弱性がつきものだという文化的規範が、今や私たちの中に根付いてしまっているのは残念なことです。だからこそ、テクノロジー企業が、リスクを受け入れる準備ができていない人々にリスクを負わせないような製品を開発する責任を負えるよう、私たちは協力して取り組む必要があります。」

多要素認証をデフォルトで導入:「私はよく多要素認証を情報スーパーハイウェイのシートベルトに例えています。シートベルトとエアバッグのない車を買う人はいないでしょう。すべてのテクノロジー企業が、製品とソフトウェアにセキュリティが組み込まれるように開発・設計することが本当に重要です。そして、これは正しい方向への動きだと私は考えています。結局のところ、多要素認証を有効にするべきだと、私は何度も何度も言っていますし、実際にそうしています。しかし、多要素認証は、ユーザーが何も気にしなくても済むような仕組みであるべきです。」

テクノロジー企業の責任追及:「こうした事態が起こるには3つの段階があります。賢明な自己利益。これは正しい行動です。市場の力。競争圧力があるからです。そして規制です。」

影響力の行使:「私は決して規制の支持者ではありません。なぜなら、私たちはあくまでも自主的な機関だからです。私たちのモデルの魔法の一つは、テクノロジー企業との信頼関係とパートナーシップを築き、パズルのピースを組み立てていくことにあります。とはいえ、私は今後も自分のプラットフォームと発言力、そして米国政府におけるCISAという影響力を駆使し、テクノロジー企業に対し、製品にセキュリティを組み込むための責任をより一層果たすよう訴え続けていきます。」

重要インフラとしてのテクノロジー:「これはマイクロソフトやアマゾンだけの問題ではありません。ソフトウェアや製品を開発するすべての企業が、この認識を内面化する必要があります。なぜなら、正式に重要インフラと呼ばれているかどうかに関わらず、テクノロジーはすべての重要インフラの根幹を成すからです。ある意味では、テクノロジーはおそらく最も重要なインフラであり、国家安全保障、経済的繁栄、そして公衆衛生と安全におけるテクノロジーの役割について、責任を果たすことが極めて重要です。」