


サイバーセキュリティの再考:意識向上からエンパワーメントへ
このエピソードでは、ホストのラグー・ナンダクマラが、スタンフォード大学の学生でサイバーセキュリティの熱心な提唱者であるカイラ・グルに話を聞きます。カイラの旅は14歳の時に始まり、ビッツ・アンド・バイト・サイバーセキュリティ・エデュケーションを設立するに至りました。彼女は積極的なサイバー教育の重要性、政府や民間組織との連携から得た知見、サイバーセキュリティ防御におけるAIの役割について語っています。Kyla氏はまた、製品開発にセキュリティを組み込むことと、サイバーセキュリティ意識を高めるための草の根コミュニティの関与の重要性を強調しています。
トランスクリプト
00:00
それで、もう一度、セグメントのもう一つのエピソード。今回、カイラ・グルを迎えることができてとても興奮しています。彼女は最も素晴らしい経歴と素晴らしいストーリーを持っています。それで、前置きはこれくらいにして、すぐにそれに取り掛かりたいと思います。カイラ、ザ・セグメントへようこそ。
00:19
ありがとうございます。ありがとう、ラグー。そして、イルミオさん、お招きいただきありがとうございます。
00:23
このポッドキャストにお会いできて光栄です。つまり、通常、ゲストについて少しイントロを生成しますが、それを正しく行うことができるのはあなただけだと思います。では、あなたの経歴について教えてください。質問はそのままにしておきます。
00:42
ええ、すべてが始まった場所に連れ戻すことができます。それで、私はカイラです。今はスタンフォード大学の学生です。私はコンピューターサイエンスと国際関係学を学びました。そして今、私は修士課程の学生です。しかし、私が14歳の頃、サイバー業界での旅が本当に始まったのはその時でした。私は高校に入ろうとしていて、ちょうど1年生の始まりだったと思います。そして、サイバーセキュリティに興味を持ち始めていました。サイバー関連のサマーキャンプを何回かやりました。すごく興味があって、近所のサイバーサマーキャンプをグーグルで検索したんだ。一番近い場所を見つけて、そこに行きました。そして、そこからこの大きな旅が始まったのです。そして、サマーキャンプから戻ってきたとき、これらは私が学んだ教訓であり、サマーキャンプでの1週間の学習から切り離されたり、切り離されたりすべきではないことに気付きました。これは、人々がインターネットを利用する際に心に留めておくべき常識のようなものだと感じました。そして、私が思い浮かんだのはまさにその1つの考えでした。それから、この種のサイバー脅威、これらのサイバーリスクについて、自分の生活の中で実際に個人を教育し、インターネットに接続しているときに、学んだスキルを発揮できると感じさせるにはどうすればよいかを検討し始めました。そこで、自分の地域の既存のサイバー教育プログラムと、存在するNGO(非政府組織)を調べました。そして当時、私がオンラインで見たものの多くは非常に受け身的で、教育のためだけに個人を積極的に教育するものではありませんでした。また、近所のCIOやCISOと話をしたところ、彼らが行った取り組みの多くは事後対応であるとも言われました。その時、私は「オーケー、もしかしたら誰かがもう少し積極的なことをする時が来たのかもしれない」と思いました。そこで、どうすれば地域レベルでサイバー教育プログラムを立ち上げることができるかを検討し始めました。自転車に乗って地元の小学校に行き、子供が空いている時間帯に5~10分の授業を提供しました。そして、それが現在の非営利団体であるBitsnBytesサイバーセキュリティ教育という非営利団体に結実しました。嬉しいことに、サイバー教育に取り組み、サイバー教育をあらゆる人々がより身近に受けられるようにすることに専念している国際的な非営利団体です。手短に言うと、私はこれらの教育活動をかなり長い間率いてきて、もう8年近くになります。その過程で、GirlConカンファレンスという女性向けテックカンファレンスも立ち上げました。というのも、サイバープロフェッショナルの部屋に入ると、部屋にいる男女の間に耳障りな不均衡があることにどういうわけか気づいたからです。そして、ジェンダーの不均衡はかなり顕著でした。特に私がレベルを上げて、取締役会レベルや経営幹部レベルの会話のようなレベルになったので、特に部屋で顕著でした。私はこのような変化に非常に耳障りなことに気付きました。それで、そこから女性向けテックカンファレンスを始めました。というわけで、今日も開催されています。今年で7回目の年次イベントを開催したばかりで、コミュニティの中で成長を続けています。私自身も、リーダーとして、また学習者として成長し続けています。とてもエキサイティングな旅でした。
04:15
オーケー、ただ、そのすべてに畏敬の念を抱いてるんだ。ちょっと時間を取って、ちょっと理解させてください。話を戻したいのですが、あなたが今言ったことの多くをもう少し詳しく調べたいからです。しかし、14に戻りましょう。あなたはサイバーに興味を持つようになったとおっしゃっていました。私には幼い子供がいて、私と私たちの長男は14歳よりずっと若くありません。そして、彼はサイバーには特に興味がありません。いったい何があなたを夢中にさせたのか、何があなたを惹きつけたのか?
04:50
ええ、それは素晴らしい質問です。正直なところ、私の家族はこの夕食の会話だったと思います。父はカナダで詐欺捜査官をしていました。彼はサイバー専門家ではありませんが、職業や訓練を受けた経理士です。そのせいで、彼は金銭詐欺や金融犯罪などに精通しています。それで、彼はよくこういうことを話し始めて、ある日、彼の職業イベントの1つに私を連れて行ってくれました。そこで講演者が招かれ、その講演者は元金融犯罪者でした。彼は自分の働き方と、なぜ自分がやったことをしたのかについて話し合っていました。そして彼はある部屋の会計士たちに「オーケー、次回のためにデューディリジェンスのやり方と監査を行う方法」と伝えていました。そういう会話がきっかけで、最初は「このスペースって何?」ということに興味を持ちました。こうしたことから身を守ろうとしており、これらの人々を理解しているのは誰か?そして、サイバーに興味がなかった場合は、別の方向に進むこともできたと思います。しかし、それは私がGenCyberで行った最初のキャンプに関するものでした。その一部は、デジタルフォレンジックをやっている教授や、サイバー犯罪者の背後にある心理学を研究している教授など、非常にクールな部分を見せてくれたことだと思います。とてもクールな部分で、私には非常に学際的であるように思えました。この分野を理解するためにコンピューターサイエンスの専門家である必要も、この分野の専門家である必要もなかったように。そして、それがすべてのほんの少しだけのように思えたのがわくわくしました。そして、ええ、でもそれは人によって違うと思います。もしかしたら、スパイ映画のように、子供たちにもっと映画のように見てもらうことも役立つかもしれません。ああ、私が若い頃にしていたことの一つは、「アロー」という番組を見たことです。そして、『矢』には、スーパーヒーローを助けるハッカーの女性が登場します。彼女は地下の救世主のような存在で、ロジスティクスのようにちょっとしたことをやって救ってくれます。ここに行ったり、この男にタグを付けたりとか。それでフェリシティ・スモークを見たんだけど、メディアを通して自分が表現されるのを見たのはその時が初めてだったような気がした。その時、「オーケー、もしかしたらこれが私にできることかもしれない」って思ったんです。そして、これは本当に、本当にかっこいいでしょう。だから、それもその一部だと思う。
07:22
確かに、サイバーにはかっこいいというイメージがもっとたくさんあると思います。ある意味では、ある意味、スタートアップ文化が開発者になるのをクールにしているんですよね?30年前は間違いなくクールな職業ではありませんでした。しかし今では、誰もがなりたいと思っている、開発者になりたいと思っているようなものです。それは信じられないことです。それで、あなたは自分がどう落ち込んだかについて話し、CISO、つまり地元や地域社会のCIOに話しました。そして、彼らの反応は、サイバー教育に関するものが多かったです。サイバーについての話し方は、非常に受け身的です。そこで、何か悪いことが起きて、それに反応して、「ああ、今後はこれを避けよう」と言います。パスワードを例にとってみましょう。はい。ペットの名前をパスワードとして使わないでください。そうですね、行って変更してください。では、このようなサイバー教育への積極的なアプローチの中で、導入を始めたきっかけは何だったのでしょうか?
08:28
ええ、最初は、最初は超小さかったですよね?学校が同意したのは、明らかにこの最初の学校とのパートナーシップで、私がいくつかのことを提案したとき、学校が同意しなければならなかったのです。そこで、まず最初に紹介したのは、学生向けにアニメーション化された5分間の情報ビデオでした。それで、このビデオを作ったんですが、学校に通っていた学校で発表していたのは、とても古いアニメーションソフトみたいなものだったと思います。そして、そのプレゼンテーションに対するリアクションのようなものが、もっと多くのドミノのきっかけになったと思います。最初の反応と同じように、学生たちはとても熱心に交流していて、「どんなパスワードについて話しているの?」などの質問をしていました。「学校のメールアカウントを持っているので、メールパスワードは気にするべきか?」といった非常に批判的な質問です。セキュリティが自分たちの生活にどのように組み込まれるかについて考え始めていることが分かりました。その時、「もしかしたら、これは私のコミュニティの学生だけでなく、他の学校にも関係があるかもしれない」と思いました。なぜなら、私のコミュニティはかなり前向きで、Chromebook やデバイスのように、学生向けの 1 対 1 のデバイスがあったからです。そして、テクノロジーアクセシビリティのさまざまなコミュニティを想像してみました。サイバー教育をあまり行っていないと、サイバー教育がどのようなものか大まかに想像できないと思いました。そのため、当時は幼稚園から高校までの標準化、つまりサイバー教育のための標準カリキュラムはありませんでした。それがきっかけでした。それから私はウェブサイトを立ち上げ、より多くのリソースを投入し始めました。あれは本当に最初のドミノだったと思います。
10:11
そして、サイバー教育はとても重要だと思います。そして、企業の世界では、規模の大小を問わず、あらゆる組織がそうであるように、毎年何らかの形のセキュリティ意識向上トレーニングを実施しています。そしてそれは素晴らしいことです。子供の学校で見たことがあります。幼い頃から、オンラインは安全であることとオンラインは安全であることについて話されていました。しかし、私がいつも疑問に思っているのは、意識を高めることがとても大切だということです。しかし、その影響をどのように測定すればいいのでしょうか?そうですね、たとえば、強固なパスワードが必要だということは誰もが知っています。この場合は、パスフレーズへの移行、あるいはパスワードリストの導入など、現時点で大きな動きとなっていることについて話しました。しかし、意識向上の効果はどのように測定しているのでしょうか。そして、それが実際に影響を及ぼし、サイバーセキュリティを向上させていることをどうやって知ることができるのでしょうか?
11:09
影響を測定することは困難です。おそらくNGOや非営利団体が扱う最も難しい質問は、自分が教育していることが実際には起こっていないとどうしてわかるのかということです。なぜなら、成功の究極の尺度は、サイバー犯罪の減少、つまりサイバー脅威の減少だからです。これは産業界の人々にとっても、測定するのが非常に難しいことです。ですから私が言いたいのは、それを軽減するいくつかの方法は、即時に測定を行うことです。たとえば、短期的な測定では、プログラムの直後にアンケートを送信します。このアンケートには、「セッション終了後、より安全だと感じますか?」など、即時の多くの情報が反映されます。このようなコンテンツ、即時の反応をもっと見たいと思っています。それから、セッションを通して彼らが実際に何を学んだのか、といったような質問を彼らに投げかけています。私たちは時々、彼らが内容を理解しているかどうか、そして彼らがそれに気づいているかどうかを確認するために、複数の選択肢をします。そして、学生を複数回見たり、翌年、翌年に学生に会ったりする、長期的なプログラミングも行っています。また、縦断的研究のように、これらのプログラムのおかげでサイバーに参入する可能性が高くなると感じているかどうかもわかります。そして、その部分は、質的・量的な尺度によるものです。彼らと話したり、彼らの1年がどうだったか、BitsnBytesが彼らにどのような影響を与えたかについて話したりするようなものです。そして、それらの調査を通じて定量的にも。つまり、一般的には、NGO全体に与える影響は大きいと言えるでしょう。そしてBitsnBytesにとって重要なのは、学生が共有する物語やストーリーです。そして、その多くが本当にパワフルでした。例えば、私たちが主催するカンファレンスを基に、私たちが主催するイベントでシャドーイングの機会を得ることができた学生たちです。また、自分の姉妹が似たような詐欺やデータ漏えいのような状況を経験したことを共有する学生もいて、セッション中に何が起こったのかをようやく理解しました。アンケートのように、そういう話みたいなことも共有してくれますよね。そして、それらは読むのが本当に面白いです。なぜなら、実際に何かを結びつけているような気分にさせてくれるからです。そして、実際の、究極的な影響やビジョンは、5~10年後に業界に参入したときには、セキュリティ志向の高いプロフェッショナルであるということだと思います。
13:53
ええ、絶対に。そうだね。そして、その特定のセグメントの冒頭でおっしゃったように、これらのプログラムの影響を測定することは難しいと思います。出席率やプログラムへの関与度を測定することはできますが、これらはすべて重要な指標ですが、サイバーセキュリティクラスターの結果が改善されたかどうかを実際に測定することは非常に困難です。そして、データを見たり、成功したサイバー攻撃の数を見たりできます。そして、その数、あるいはそれだけの数のサイバー攻撃が試みられました。その数はどんどん増えています。そうだろ?間違いなく下降傾向にはなっていません。そして、最初の攻撃ベクトルは何か、最初の侵入の波は何だったのかを見てみると、ほとんどの場合、フィッシングソーシャルエンジニアリング攻撃、フィッシングメールのようなものです。前のマネージャーの机に貼ってあったステッカーには、「人間の愚かさにはパッチがない」と書かれていたのを覚えています。ちょっと考えてみると、サイバーセキュリティについて考えるとき、私たちが常に行っていることは、本質的に、人間が最終的に行うことを軽減する統制を構築することです。そうだよね?彼らが意図しているからではなく、しばしば無知から。たとえば、あなたのようなプログラムがもたらすすべての認識を私がどのように知っているかというと、ある種の人間の愚かさについて冗談を言っているようなレベルを上げることが重要です。でも、どんな影響が見られましたか?
15:41
ええ、素晴らしい質問です。つまり、セキュリティでは非常に一般的な考え方だと思います。実際、特に設計分野では、いつユーザーを責めるか、いつ設計者を非難するかについて、論文や研究が行われてきたと思います。そして、不安というのは、私たちが最善を尽くしているという考え方があると思います。すべてエンドユーザー次第で、開発後は手に負えなくなります。そして、リンクをクリックしてこれらすべてのことをしているのは彼らです。しかし、結局のところ、開発者でさえ人間であるかのようです。そして、これらの脅威や攻撃の中には、見てみると非常に現実的になりつつあり、とても感情的に感じられるものもあります。そして、それが彼らの要点ですよね?彼らはあなたを感情的に刺激させようとしてるんだ。普通はしないようなことをするようにね。そして、人間として、私たちは皆その傾向を持っています。そして、特にこの世代では、私たちはすでにそのことに精通していると思います。私たちはこれらの脅威に囲まれて育ち、不気味なInstagram DMERについて知っています。それは今のところ私たちの手の甲のようなものです。ただ、そのような状況に名前を付けるだけの問題です。そして、これは実際には国家安全保障の問題であるかのように教えるのです。あなたと同じように、あなたも実は私たちの安全保障の輪の一部なのです。一番大きいのはエンパワーメントの部分だと思います。というよりは、気づきというのは本当に簡単だと思います。というのも、彼らはほとんどすでに気づいているからです。もっと大切なのは、「これがあなたの質問に答える方法だ」ということを彼らに知ってもらうことです。彼らの多くは、答えが必要な質問をたくさん抱えています。例えば、このプライバシーポリシーは一日の終わりに本当に意味があるのか、といったものです。それとも、Snapchatは私のデータをどう扱っているのでしょうか?例えば、ホストしているのはデバイス上にあるのか、サーバー上にあるのか、といった具合です。開発者でさえ複雑な質問があって、ダブルシンク、もう一度考え直して答えたくなるようなものです。ですから、エンパワーメントが本当に重要だと言っても言い過ぎだと思います。気づかないほどです。そして、学生や子供たちが知っていることにいつも驚かされるので、セキュリティについて話すときには、私の仕事がとても楽になります。なぜなら、彼らはすでに多くの質問から会話を始めていることが多いからです。
18:03
それはすごい。そこで、人的要素とサイバーセキュリティについてもう少し詳しく説明したいと思います。というのも、組織が採用している戦略の観点から、組織内のサイバー分野で見られる傾向の1つだからです。ゼロトラストを中心としたものですね。そして、具体的には、ゼロトラストとは、信頼を完全に取り除くという意味ではありません。もしそうなら、ネットワークからすべてを切り離して完了したほうがいいからです。そうだね。つまり、自由に利用できる暗黙の信頼を取り除くことですが、人間側では、私たちが日常的に行っていることの多くは暗黙の信頼に依存しています。そうだね。それに、話したことがあるんですけど、ゼロトラストという言葉を聞くだけで気分が悪くなる特定の地域では特にデリケートです。なぜそんなことがあり得るのでしょう?そうだね?ユーザーとしての私を信用していないということだ。そして、あなたは私のやっていることを信用していない。ゼロトラストについて特に話し合ったことがないかもしれませんが、周りの教育プログラムでは、そのような暗黙の信頼とオンラインでの活動とのバランスをどのように取っていますか?しかし、だからといって、個人を信頼する能力を損なうわけではありません。
19:25
ええ、そのためにゼロトラストは扱いにくい気がします。それは、他人を完全に信用してはいけない、信用すべきではない、オンラインでは自分を信用してはいけないという考えを伝えたくないからです。それはどちらかというと力を与えないメモです。偽情報や情報戦争という観点から私が普段教えているのは、信頼するが検証という良いスタンスだと思います。検証はとてつもなく大切なことみたいです。また、用語を「はい、ゼロトラスト」のように変えるだけでも非常に重要だと思いますが、足場になってしまいます。これらの中には、多くのことがそうであるように、私たちがすぐに信頼できないのには理由があります。そして、私たちがすぐに信頼したときのケーススタディがこれだけあります。そして、より大きな教訓の中でそれを足場にして、ゼロトラストとしてブランド化するようなものです。たとえば、ゼロトラストは筋の通った声明だと思います。何もないだけじゃなくて、全く信頼できない。それは信頼ですが、一般的に検証はその背後にある考え方です。ゼロトラストとだけ言っているのは、「大丈夫、地上から始めなければならない」と感じさせるからです。しかし、教育面では、今いる場所で学生と出会い、ケーススタディやこのような事例を持ち込むというのが、ゼロトラストの意味だと思います。なぜなら、当時は、認証やユーザーへの特権付与といった意味で、ゼロトラストのような現実世界でのユースケースを見たことがなかったかもしれないからです。そこで、よりリアルに感じられるような例を挙げてみましょう。それは間違いなくその緩和策の1つです。
21:12
ええ、あなたがそこで言ったこと、地上から始めて、足場を作るようなものが本当に好きですよね?それはまた、あなたがそれをとても現実的なものにしているのです。見知らぬ人に会っているとだけ言っておきますよね?相手が誰であるかなどを検証するまでは、必ずしも高いレベルの信頼を関連付けるわけではないように、交際はしません。そして、複数の要因。もし、友達を通じてつながったことがあるなら、ある程度は問題ありません。ある程度の初期検証が行われ、ワンランク上のレベルに引き上げられます。たとえば、LinkedInでつながったばかりでも、正式な紹介や検証が行われていない人としましょう。ある意味、オッケー、私の方が少し下がっているような感じです。そして、これはテクノロジーやシステムの扱い方にも同じ原則を適用していると思います。ええ、同じ常識的なアプローチです。なぜなら、最終的に、十分な検証が確立され、「オーケー、この人やこのテクノロジーはある程度信頼できる」と言うようになるからです。そして、ええ、その常識に基づいた考え方は絶対に正しいと思います。
22:22
ええ、絶対に。私はそれが大好きだ。すべてのものをデジタルで、物理的にミラーリングすることは、常に教育に役立つと思います。なぜなら、人々は一般的に、出かける前に車をロックしなければならない、寝る前にドアをロックしなければならない、などと理解しているからです。これらは私たちにとって非常に重要な要素であり、私たちが大切にしている価値観のようなものです。しかし、それをサイバーに置き換えるだけでも、「ああ、これはデジタルでも同じだ」という教育の重要な部分です。例えば、誰かがあなたの物理的な位置情報や GPS 座標にアクセスできたら、脅威モデルについて考える上で、そのような考え方を持つべきだと想像してみてください。
23:01
それは素晴らしいことです。脅威モデリングについては後ほど説明します。しかし、その例えが本当に重要だと思うのは、自分の貴重なものや、保護したい物理オブジェクトに対して、あなたはとても、とても警戒心が強いということですよね?ドアに鍵をかけると、貴重品を金庫に入れたり、金庫室などの鍵のかかった箱に入れたりしますよね?それで。しかし、私たちがオンラインでやり取りする方法について言えば、私たちが求めているのは、使いやすさ、アクセスのしやすさ、そしてオンラインで電子的だからといって何かをすばやく実行できることのようなものです。生産的になるための行動の障壁は、突然、減らす必要があるように思えます。繰り返しになりますが、物理的な物体に対して行うのと同じレベルの検査とケアを行う必要があると思います。
23:52
はい。そして、それはユーザーだけの問題ではないと思います。インターネットは、利便性とセキュリティの間に、このようなトレードオフ、つまり一見トレードオフがあるように設計されていると思います。ええ。それに、ユーザーの判断だけではダメな場合もあります。そして、私たちは設計者として、ユーザーに安全性を選択するように動機づけることを非常に困難にしています。私が今目にしているのは、セキュリティを組み込んだり、製品にセキュリティを組み込んだり、セキュリティを組み込んだりする動きが気に入っているということだと思います。つまり、ユーザーはセキュリティについて考える必要すらなく、セキュリティはオンとオフを切り替えたり、狂ったようにロックアップ設定のように切り替えたり、デフォルトでセキュアなだけのロックアップ設定のように切り替えたりできるものです。たとえば、Appleのロックダウンモードを見たことがあるかどうかはわかりませんが、Appleの製品は明らかに設計上安全ですが、リスクの高い個人向けには追加のセキュリティレイヤーがあります。つまり、ドアをロックしたり車をロックしたりするときの物理的なセキュリティに関しては、ユーザーが最終的にその決定を下す必要がないという点で、このような設計こそが本当に重要なのです。このような費用便益分析を行う場合、特別な予防策を講じても何も失うことはないというように、私たちの頭の中では計算が理にかなっています。そういうふうにインターネット上にデバイスを作るべきだと思います。ユーザーが使っているデバイスは、セキュリティを何も置き去りにする必要はないものとして考えています。
25:26
そうですね、そしてそれは第二の天性です。車の例えに戻ると、車から離れるとき、「実は、わざわざ車をロックすることはできない」とは言いません。ボタンをもう1回フリックするからです。そうだろ?ええ、ただやってください、あなたは無意識のうちにそれをします。ただ、皆さんがセキュリティ・バイ・デザインについて話し、製品開発ライフサイクルにセキュリティを組み込むことについて話していただければと思います。そうですね。そして、これは面白い進化だと思います。というのも、歴史的に考えると、セキュリティの機能とセキュリティが果たしてきた役割についてですが、これもまた、大幅に簡略化したようなものだからです。セキュリティは、非常に長い間、そして今日でも大部分を占めてきましたが、承認機能の役割を果たしています。つまり、セキュリティチームに来て「何かできることはある?」という感じです。そして、彼らは「はい」か「いいえ」と言います。そして、建設中のものが何であれ、最後までたどり着いたら、「祝福してもらえますか?」と言いたくなることがよくあります。そうだね?それが常に課題だと思うのなら、セキュリティが「ノー」と言ったとしましょう。そして、「ああ、それが本当に生産性を妨げているのか?」と言うと、話に戻りますか?または、セキュリティが「まあ、いや」と言う。そして、ここにすべてのリスクがあります。そして、あなたは「まあ、大丈夫、まあ、リスクを受け入れるだけだよね?」と言います。私は生産的になる必要があるのに、あなたが何かを出すのは安全ではないからです。しかし、ずっと早い段階からセキュリティをプロセスに組み込むことについておっしゃっていたことは、ほぼ最初は「セキュリティと保証の機能を作る」と言えると思います。つまり、設計と構築のプロセス全体にすでにセキュリティを組み込んでいるので、何かをデプロイすると、それが安全であることがわかるということです。つまり、同じパターンでデプロイし直せば、安全になることはわかっているようなものです。なぜなら、安全なことしかできないのは自分だけだからです。それこそが、私たちが推し進める必要のある、より大きな文化的変化だと思います。
27:26
ええ、いいえ、私はそれが大好きです。ある教授が、この文脈でいつも覚えている言葉です。「セキュリティは常に配管の一部と考えられているが、セキュリティは実際には問題の一部であり、最初の問題記述の一部として考えなければならない」と言っていました。つまり、どうすればこれを実現できるかだけでなく、安全に行うにはどうすればよいかということです。また、ユーザーの安全と安心を保つにはどうすればよいでしょうか。ですから、グッド・デザイン・プラクティスとグッド・デザイン・バリューについて考えるとき、それは顧客が企業に説明責任を負わせるものになると思います。こうしたことは、Apple製品の仕事や暮らしや息吹にも表れていると思いますが、今ではさまざまなデザインソリューションからも見られると思います。特に二要素アプリのように、アプリを開くだけだと考える必要もなく、二要素処理を非常に簡単に行えるようになっていて、すでに検証されています。このような設計変更は、セキュリティと安全性の両方を兼ね備えていると私は考えています。しかし、うまくデザインされていて、とても便利で、使いやすく、見た目も美しいです。それが次世代のデザインとセキュリティだと思います。そして、デザインを教える学校が、安全と安心のためのデザインの授業をもっと増やしてほしいと心から願っています。私が言いたいのは、私の学校のCSプログラムでも、必要なスキルを身につけるためには、自分で道を築き、私が教室でどの程度正確にこのことを学べるかを考える必要があるということです。アクセシビリティのためのデザインやゲームデザインのためのデザインなど、他の授業もいろいろありますが、安全と安心のためのデザインはまさに次世代だと思います。
29:14
もちろん、25年経っても、コンピュータサイエンスのコースはセキュリティを教え続けていますが、コースのあらゆる側面にセキュリティをまだ完全に組み込んでいないことも知っておくとよいでしょう。そして、それはまさに独立した、独立した学問です。
29:33
ええ、これについてはいつまでも続けられるよ。だから私はいつも、この事実を変えるために政策立案者になりたいと思わせてくれます。しかし、国内でトップ14のコンピューターサイエンスプログラムのうち、開発者がセキュリティクラスを受講する必要があるのはそのうちの1つだけだというおかしな統計があります。私を含めた他の学校では、セキュリティは必須の授業ではありません。もっと学びたいなら受講できます。しかし、多くの場合、まったく受講していなくても卒業できます。
30:09
ええ、それはサイバー業界で20年近く働いてきた人の下です。そして、どの業界でもテクノロジーに参入したいと考えている卒業生の数を考えているが、本質的にはテクノロジーの分野に進み、素晴らしい製品を開発したいと考えている卒業生の数を考えているだけだ。彼らが必ずしもサイバー分野で確固たる経歴を持っているわけではないという事実は、専門家であるということではなく、気づきなどが、彼らの役割にとって重要になる重要なスキルのように思えます。それはかなり怖いことです。というのも、繰り返しになりますが、私たちが開発しているものが何なのか、そしてセキュリティグラウンディングがどれだけ使われていないのかということにさかのぼるからです。そして、組織がそれを補うために多大な努力を払っていることはわかっています。しかし、それは、皆さんと同じように、サイバー教育の課題に、学校のような若い年齢で取り組んでいるように感じます。これは、高等教育ではかなり簡単に対処でき、必要不可欠なことです。私たちが言いたいのは、誰もがコーディングを学ぶことができる必要があるということです。なぜなら、コーディングは彼らがこれから行うどんな仕事にも不可欠だからです。それでは、安全にコーディングできるようにしておきましょう。
31:29
ええ、それは教育制度の大きな変化になると思います。そして、それが起こることを心から願っています。そして、それこそが適切なツールだと思いますよ。たとえば、開発者にツールを提供する方法に取り組んでいるスタートアップ企業や新興企業はかなり多いと思います。そうすることで、セキュリティを本当に理解しやすくします。特に、知らないドキュメントではそうです。ですから、適切なツールと適切な教育基盤があれば、ただ興味を持って、このことについて知りたいと思えば、開発者が常にセキュリティ担当者がやって来て、「それはできない、ごめんなさい」という固定観念や見方を持たない開発者が最初に言っていたことに戻ると思います。好きになれなかったみたいに成長できないみたいに一般的には、特にこの AI 革命全体では、セキュリティ要員を連れてきたり、セキュリティ志向になったりすると、開発速度が速くないなどのセキュリティ志向になったら、イノベーションはそれほど速く進まないだろうというのが人々の感覚です。しかし、その固定観念を打ち破ることで、同じくらい迅速に、しかも安全性を念頭に置いて開発できると思います。そして、その例はたくさんあります。それが本当に重要な部分です。
32:50
ええ、絶対に。そして、その一部は明らかに考え方を変えていると思います。そして、これはサイバーセキュリティ業界で非常に古くからあることですが、自分自身をパートナーにすることにつながっています。そうですよね?自分なりに「イエス」か「ノー」の警察にならなきゃいけないなんて思わないでしかし、パートナーについてのほうがはるかに重要です。なぜなら、それがより多くのエンゲージメントと採用を促進するからです。しかし、セキュリティベンダーのように、エンドユーザーがアプリケーションを開発する側ができるだけ簡単に活用できるようにセキュリティ製品やセキュリティ技術を開発するベンダーにも責任があると思います。そうすれば、セキュリティを採用することが楽しくなるのです。つまり、あなたの主張はわかりますよね?私たちはユーザーエクスペリエンスにとてもこだわっています。消費者向け製品を設計していて、ユーザーエクスペリエンスが低い場合、これはとても重要ですよね?その製品はそれほど遠くには行きません。そうだね、殺されるだろうね。ですから、セキュリティ製品にも同じアプローチを取る必要があります。エンタープライズ製品でも、エンドユーザー向け製品でも構いませんが、セキュリティを喜んで採用しましょう。
34:10
ええ、そして採用するのも簡単です。私が時々苦労することの1つは、中小企業が来て、「ああ、私たちはセキュリティ製品を探しています」と言って、安全を確保したい、または何かを採用したいと思っているようなときにアドバイスすることだと思います。世の中には非常に多くのツールがあります。今となっては解析が難しいということですが、具体的には何をしているのか、具体的には何をしているのでしょうか?つまり、製品の機能、そして誰にサービスを提供したいのかに応じて、製品の伝達について大まかな理解を深める必要があると思います。それもまた重要なことです。なぜなら、今世の中には非常に多くの製品があるからです。
34:56
それでは、少し後で AI についてお話ししたいのですが、つまり、あなたは単なるサイバー教育者ではありませんよね?あなたは単に認知度を高めることに注力しているだけではありません。脅威ハンターでもあり、テクノロジーの雑草に深く入り込んでいます。それでは、そのことについて少し話しましょう。例えば、どんな感じですか、日常生活のそういう側面はどのようなものですか?
35:28
ええ、この教育分野への興味から生まれたと思います。それで、高校時代ずっと教育、教育、サイバー支援に携わっていました。大学に入ると、実際の脅威アクターが誰で、なぜ彼らが何をしているのかということに興味を持ち始めました。そして、彼らは自分たちのやっていることをどのように行っているのでしょうか?彼らの戦術やテクニックはどのようなものか?それで私は脅威インテリジェンスの世界に入り始めました。脅威インテリジェンスに関しては、MS-ISAC で 1 年間働いていました。その後、Appleに移り、そこでセキュリティ業務を行ったり、AIやMLを使った不正検知を行ったりしました。その後、政府機関に異動してCISAで働きました。CISAでは、国際的なサイバービルドのキャパシティビルディングと、パートナーやサプライチェーンパートナーのセキュリティ支援が中心でした。その後、Appleに戻り、市民社会のパートナーと共に製品セキュリティを担当し、ジャーナリスト、反体制派、人権擁護家を保護しました。そして、税務の話に戻って、政府に本当に興味を持つようになりました。この夏、私がSpaceXでやっていることでもある。政府の攻撃者や、政府による当社製品への攻撃への取り組みだ。そして、それは私が研究していることでもあります。ですから、教育面から積み上げられただけの情熱です。実際の被害者を見たり、このようなことを経験した人々を見たり、オンライン搾取の被害者とのセッションをたくさん行ったりしました。ですから、一般的に、攻撃の反対側にいる人々に触れることで、この分野についてよく知りたいという私の関心の多くが高まったと思います。そして、サイバー空間のうさぎの穴にどんどん深く入り込んでいったと思いますが、それ以外の方法はありませんでした。研究と教育の部分を一緒に行うのはとても楽しいことです。
37:36
つまり、サイバーセキュリティの仕事をしてきた公的および私的組織は、ほとんど誰なのかということですね。そして、サイバー業界でキャリアを積んでいるほとんどの人は、30代になるまでサイバー関連のことをしたことがないと言っても過言ではありません。つまり、あなたは他の人たちよりもすでに15年ほど有利なスタートを切っているようなものです。それは公平ではない。でも興味深いのは国家主体のようなものだねさて、先ほどお話しした、サイバー攻撃の台頭について結びつけるとしましょう。そうだね。つまり、一方では、国家、国家主体の台頭、そして一般的な説明を見ると、攻撃者はますます巧妙になっているということです。
38:21
ええ、それは素晴らしい質問です。ペンテスト側もやったことがあると思います。興味深いです。なぜなら、そのような学習体験をするたびに、ペンテストの評価を受けていたように感じたり、最初から最後まで見たような気がするからです。私はいつも教育の記事に戻りますが、その理由の一つは、気づくたびに、使用された最初のベクトルが、約80%の確率で人間によるものだったからだと思います。つまり、攻撃者がAIにアクセスできるかどうかに関係なく、AIを介して何らかのメールを生成したり、AIが生成したボイスメールを生成したり、AIが生成した音声を生成して攻撃の初期ベクトルを実行したりすることが、攻撃者の仕事をより簡単にするからです。毎回、自分が教育の部分に戻っていることに気づきました。これが、14歳のときに教育を始めて以来、教育をやめていない大きな理由だと思います。そうですね、人工知能を使っても、私たちの徹底した防御、つまりセキュリティ体制が必ずしもそれほど変わっていないことを考えるべきだというのはあなたの言うとおりです。改善という点では変化していますが、これは猫とねずみのゲームであり、脅威アクターも改善しつつあります。ですから、私たちは適応していかなければなりません。ただ一回で完了するわけではありません。セキュリティは済ませたよ。もう終わりだ。そのことは考えないよ。それ以上です。脅威アクターが進化している今、これを修正できるでしょうか?先手を打つにはどうすればいいのでしょう。デザイナーとして、製品の設計を考えるときに考えるべき重要なことは、「もし私がこれを作ったら、私がこのように設計したら、攻撃者はどうやってそれを回避しようとするのだろう」ということだと思います。そして、彼らの次の動きは?
40:13
それは素晴らしいことだよね?これはまさに、製品構築における脅威中心のアプローチであるか、ゼロトラストについて話したときにお話ししたように、攻撃者が内部にいると仮定して、攻撃者が内部にいると仮定するようなものです。では、どのようにコントロールを構築しますか?セキュリティを構築して、攻撃者が実際にそれ以上進めないようにしましょう。そうだね。そして、絶対にそうだと思います。というのも、私がこれをAIを利用した攻撃者との関係として考えると、究極的には、AIモデルの燃料は何かという点です。それはデータであり、あなたの組織について、そしてあなたが持っているインフラストラクチャについての情報なのです。つまり、その数が少なければ少ないほど、自由に利用できるということですね。多ければ多いほど、攻撃者は対処する必要が少なくなります。つまり、先ほどお話ししたように、アタックサーフェスの縮小やアタックサーフェスの管理についてお話ししたように、飢えているようなものです。しかし、攻撃者が学習できる公開サーフェスはどのようなものか、学習サーフェスを管理するようなものでもあります。
41:24
ええ、ええ、完全に同意します。そしてこの1年間、大規模な言語モデルを使ってサイバー防御を行い、攻撃を受けた後に戦術やテクニックを抽出したり特定したりすることを検討してきました。そして、人工知能を活用し、生産性の高いツールにするために微調整することについて学んだことは、私たちのAIは確かに開発されているということですが、確かに微妙な違いがありますよね。たとえば、LMと対話してみると、それがかなり幻覚を起こしていることなどがはっきりとわかります。つまり、全員がこれに取り組んでいると思います。つまり、私たちと同じレベルのツールを使って操作しているという意味で、もっと速く構築してみようという感じです。防御ツールをもっと早く構築しましょう。これらの潜在的なリスクを、実際よりも早く回避しましょう。
42:24
では、AIがサイバーセキュリティ環境をどのように変革すると思いますか?例えば、AIを使って対処できる重要なことは何だと思いますか?
42:38
小さなサブタスクがたくさんあると思います。しかし、AIエンジニアやサイバープロフェッショナルの見方は、繰り返しますが、今いる場所でどうやってお互いに会えるかという考え方だと思います。そうだよね?AIがサイバープロフェッショナルの代わりになるわけではありません。しかし、アナリストや人間のアナリストがそれほど時間をかけていなければ、人間のアナリストの努力をより難しいタスクや人間が必要とするより難しいサブタスクに実際に投入できるような小さなサブタスクのようなものを見つけるにはどうすればよいかということです。そこで、私が重点を置いてきたのは、実際にベンチマークを作成できるような小さなサブタスクをどうやって見つけるかということだったと思います。そして2つ目は、LMモデルがタスクに役立つことがわかるように、これを実際に科学的かつ厳密にテストするにはどうすればよいかということです。それとも、あるタスクに適しているでしょうか?そして、それは大きなことですが、現在の学術研究の疑問は、そう、すべてのサイバーベンダーがAI搭載製品を持っていると主張するこれらすべてのツールが出てきているということだと思います。しかし同時に、調査結果を見ると、LLM ベンチマークのようなものは、「OK、人間がこのタスクを実行する方法だ」というようなものはあまりありません。これが LLM のパフォーマンスです。実際に並べて比較してみましょう。そして、それを何百回も大規模に行って、実際にこれが潜在的なツールになるかどうかを見てみましょう。つまり、科学的に厳密なエビデンスを提供するベンチマークを作成できるかということが、学術研究の次の段階だと思うのです。繰り返しになりますが、これは私たちが話しているサイバー業界であり、ハイステークス決定のようなものには証拠が必要ですよね?
44:25
絶対に。昨夜、元同僚と話していました。私たちがこれについて話していたのは、彼が私たちが構築しているテクノロジーにAIを大いに活用しているスタートアップを構築している最中だからです。そして、私たちはAIがどのようなものかについて話していました。AIが本当に有用であることを私に納得させてください。そして、あなたのおっしゃったことをまとめると、私がやりたくないけれどやらなくてはいけない日常業務は何か、ということだと思います。そして、私がAIを使うことができて、そのタスクが何であるかをAIが理解して、私に代わってやってくれるなら、それは本当に役に立ちます。なぜなら、そうすれば、私が本当にやりたいことにあなたの言うところまで集中できるからです。できないのは、やらなければならないことに多くの時間を費やしているからだけど、やるのは嫌いなんだ。
45:24
絶対に、ええ、それは素晴らしい言い方だと思います。そして、公共部門の人々と話をすると、政府がAIの観点からどのような採用を目指しているのかという点についてお話しします。それは同じようなことです。そんな小さなことばかりで、彼らが見ているのはセクシーな問題じゃない。人事担当者を雇うことから、新入社員が好きな人をどのようにオンボーディングするか、あまり多くのリソースと人的労力を費やさずにオンボーディングする方法を見つけることまで、すべてが重要です。たとえば、これらのツールを実際に行っていることを改善し、業務を強化するにはどうすればよいか、といった具合です。そして、ええ、私の教授の一人が非常に興味深いことを言ったと思います。それは、自動化ではなく知能の拡張に関するものです。
46:13
はい、絶対に。そうだね。そして、その問題に当てはまるとき、あなたが解決しようとしているのはセクシーな問題ではありません。奴らが解決しようとしているのはクソ問題だそうだろ?そして、日常的に絶対に解決しなければならないもの以外は?はい、全く同感です。だからこそ、AIの時代、つまり革命は、過去100年間に見られたようなテクノロジーにおける他の飛躍と多くの類似点があると思いますよね?そうではありません。本質的に、こうした非常に手作業な作業の一部を可能にしたり、取り除いたりしているのです。それはすごいです。では、サイバーについて、ポリシーについて、AIに関する人的要素について、自分の水晶玉を詳しく調べるときについて考えてみましょう。将来についてどう思いますか?
47:09
100万ドルの質問。
47:12
10億ドルの質問!アイデアはわかりますよね?
47:17
くそー、スタートアップを作らなきゃ!でも、サイバー業界では色んなことだと思う。そこに。今、色んなことが起きているように感じて、ひとつだけ突き止めるのは難しいんだけど、私が思うに、まとめるなら、おっしゃるように、人間による分析と知能増強の境界線はどこに引けばいいのかという微妙なバランスでしょうか?そして、誰かがそれを理解したら、10億ドル規模のツールになると思います。インテリジェンスを強化して、私たちをより賢い防御者にするだけでなく、人間が最も得意とする異常検出を活用したり、機械が認識できないような少しおかしいものや奇妙なことを理解したりできるものを構築できますか。そして、その問題の説明を微調整することが、針を大きく押し出すことになると思います。
48:16
それで、あなたのスタートアップはいつ出ますか?
48:22
これはソフトローンチです。これはソフトローンチです。それに、その役のオーディションも受けてるんだ。
48:32
素晴らしい。そんな感じです。まとめとして、それを教育と意識向上に戻しましょう。そして、このポッドキャストを聞いているセキュリティ専門家はたくさんいるでしょうね。あなたが伝えているメッセージは何ですか。例えば、高校や大学を卒業したばかりの人たちとのつながりなど。しかし、ハイエンドの公共セクター、ハイエンドの民間セクターでそのような経験を積んだこともありますか?今日のサイバーセキュリティ専門家に、明日のサイバーセキュリティ専門家について知っておくべきことを教えてください。
49:20
ええ、いくつか考えます。一つは、すべては始まる、とても草の根的なことだということです。私が労働業界のサイバー専門家に送れるメッセージを一つ挙げるとしたら、それはすべてあなたのコミュニティに還元され、あなたが送るメッセージにあなたが与える影響についてです。ですから、私はいつも、地元の学校に出て自分のやっていることを話し、最初に話していたイメージを持ってくるように勧めています。サイバーは、このようなタイプの人物や必要な背景だけではないということです。サイバーはどこにでもあり、すべてです。昨日、ある友人と話していたんだけど、サイバーはあなたを選ぶ、という感じでした。つまり、コミュニティに出て自分のやっていることを共有すること。イルミオとか、知っての通り、イルミオとか、いろんな背景の人たちが色んな視点からこの問題を見ている人たちの作品を紹介するってこと。つまり、コミュニティに参加することが唯一の方法です。そして二つ目は、この世代が単にこれらの問題に無関心なだけではないことを知ることです。私たちは非常に意識が高く、知識が豊富で、答えを知りたいのです。難しい質問をするつもりです。ですから、準備を整えて、ワクワクして、サイバー教育の現状についてお互いに会わなければならないことを理解してください。
50:49
素晴らしい。カイラ、話せて楽しかったね。もっと長くできたらいいのに、でもあなたの時間が貴重だってことはわかってる。繰り返しになりますが、お時間をどうもありがとうございました。本当に感謝しています。素晴らしかったです。
51:02
ありがとう、ラグー。これはとても楽しかったです。ありがとうございます。