Jack Koziol、Infosec 創業者兼CEO – サイバーセキュリティインタビュー

Jack Koziol、Infosecの創業者兼CEO。同社は、賞を受賞したセキュリティおよびプライバシー教育を通じて、組織とその従業員をセキュリティ脅威から強化することに特化しています。サイバーセキュリティは全員の責務であると認識し、ITおよびセキュリティ専門家向けのスキル開発と認定トレーニングを提供すると同時に、意識向上トレーニングとフィッシングシミュレーションを通じて全従業員のセキュリティ適性を構築しています。セキュリティ意識向上コンピュータベーストレーニング分野でGartner Peer Insights Customers’ Choiceに選出され、またTraining Industryの「Top 20 IT Training Company」、そしてInfo Security Products GuideのGlobal Excellence AwardsにおいてSecurity Training & Education Program Gold Winnerを受賞しています。 あなたは2003年にHarris Bankでサイバーセキュリティの仕事を始められましたが、どのような業務内容で、それ以来業界はどのように変化しましたか？ 2003年、私はその銀行で働く唯一のサイバーセキュリティ専門家でした。親会社のBMOには他の部門横断的な役割はありましたが、当時フルタイムでサイバーセキュリティに専念していた従業員は私だけでした。テクノロジーの変化、そしてそれに伴うリスクは、私がHarris Bankにいた時代以来、業界に劇的な影響を与えてきました。金融サービス業界を標的とするサイバーセキュリティ脅威に対応するため、サイバーセキュリティ予算とチーム規模は少なくとも10倍に増加しています。15年前に私一人に割り当てられていた仕事は、今では100人以上のサイバーセキュリティ専門家からなるチームによって管理されている可能性があります。 銀行で働きながら、倫理的ハッキングに関する最初期の書籍の一つである「The Shellcoder’s Handbook」を出版されました。この本を執筆していた当時、どのような考えをお持ちでしたか？ 私がこの本を書いた当時、エクスプロイト関連の情報共有の主要な場はBUGTRAQというメーリングリストでした。『The Shellcoder’s Handbook』は、このやや難解な情報を、より広い読者層に分かりやすい形で共有することで、よりアクセスしやすいものにしました。当時、多くの人々がエクスプロイト作成について学びたい、学ぶ必要がありました。私は自分の経験に基づく実践的な例を使って、他の人々にソフトウェアエクスプロイトの書き方を教えられると確信していました。利己的には、銀行での仕事から抜け出し、自分のキャリアを別の方向に進めたいとも思っていました。 Infosec設立の経緯について教えてください。 すべては私が『The Shellcoder’s Handbook』を出版した後に始まりました。その人気により、倫理的ハッキングとソフトウェアの脆弱性に対する必要な関心と認識が高まり、本で取り上げたソフトウェアエクスプロイトに関するブートキャンプを教えてほしいという多くの要請につながりました。私は有給休暇を使って数回コースを教えましたが、結局PTOを使い果たしてしまったので、銀行での本職を辞め、その後数年間、世界中を旅して企業で働く人々にハッキングの方法を教えました。とても楽しかったです。 その間、ソフトウェア業界は爆発的に成長しました。新しいツールやプラットフォームがより多くのセキュリティリスクをもたらし、サイバーセキュリティトレーニングの必要性はさらに大きくなりました。そして、サイバー犯罪者が標的をソフトウェアからソフトウェアユーザーへと拡大するにつれて、役割ベースでスケーラブルなサイバーセキュリティ教育への需要が急騰しました。 その時点で、InfosecはSaaS（サービスとしてのソフトウェア）を通じて教育サービスを拡大し、世界最大のサイバーセキュリティ教育プラットフォーム、Infosec SkillsとInfosec IQを開発しました。両プラットフォームは、企業全体に役割に即した実践的なトレーニングを提供し、従業員がサイバー犯罪を出し抜くための知識、スキル、自信を身につけることを可能にします。今日、フォーチュン500企業の70%以上が自社のセキュリティ人材とチームを育成するためにInfosec Skillsを利用しており、世界中の500万人以上の学習者がInfosec IQのセキュリティ意識向上トレーニングとフィッシングトレーニングを通じてよりサイバー回復力（レジリエンス）を高めています。 Infosecが提供する人気のあるサイバーセキュリティ認定資格やコースについて、いくつかご紹介ください。 Infosecは、経理部門からSOCチームまで、組織全体に向けた役割ベースのサイバーセキュリティ教育を提供しています。Infosecはベンダー中立であるため、CISSP、Security+、Certified Ethical Hacker (CEH)などの需要の高い認定資格に向けた準備を行うブートキャンプが最も人気の一部であることは、おそらく驚くことではありません。Infosecのユニークな点は、試験準備の方法にあります。没入型の講義とサイバーレンジでの実践的なラボを組み合わせ、学生が実践を通じて学び、すぐに仕事に応用できる貴重なスキルを身につけられるようにしています。Infosec Skills サイバーレンジはプラットフォーム内で最も人気のある学習体験の一つであり、今年私たちが重点的に投資している分野です。 セキュリティ意識向上とトレーニングの側面では、新しくリリースされたChoose Your Own Adventure® セキュリティ意識向上ゲームが、クライアントが従業員にセキュリティ意識向上トレーニングを提供する方法を完全に変えました。私たちはChoose Your Own Adventure®ブランドを手掛けるチームと提携し、人気のゲームブックシリーズの興奮と謎解きを、世界中のセキュリティ意識向上トレーニングプログラムに取り入れました。このゲームは、学習者自身がインタラクティブなストーリーラインを通じて自分のセキュリティ意識向上トレーニングプログラムを主導し、トレーニングを楽しみながら批判的思考と意思決定を促します。 従業員のサイバーセキュリティ脅威に対する意識を高めることは、どのくらい重要ですか？ 従業員のサイバーセキュリティ脅威に対する意識を高めることは、企業のデータセキュリティとコンプライアンスを超えたメリットをもたらします。組織が高額で、しばしば深刻な損害をもたらすセキュリティインシデントを回避するのに役立つという明らかな利点に加えて、サイバーセキュリティ教育プログラムは従業員を職場でも家庭でも保護します。フィッシング攻撃を回避する方法やIoTデバイスを保護する方法を知ることは、従業員を壊滅的な個人的損失や家族に対する脅威から守ることができます。オンラインで安全を確保する方法を理解することは、もはや仕事上のスキルではなく、ライフスキルです。私たちは、クライアントがそのビジネス、顧客、スタッフをサイバー脅威と悪意のある行為者から保護するお手伝いができることを大変誇りに思っています。 従業員がエクスプロイトやハッカーの被害に遭う最も一般的な方法は何ですか？ ほとんどのサイバーセキュリティ研究者は、データ侵害の大部分は人的ミスに起因すると同意見です。最新のIBM X-Force Threat Intelligence Index調査は、ランサムウェア、データ窃盗、サーバーアクセスが2020年の3大攻撃タイプであり、スキャン・アンド・エクスプロイト、フィッシング、認証情報窃盗が上位3つの初期攻撃ベクトルであると報告しています。フィッシングは非常に深刻で一般的なセキュリティ脅威であり、したがってメディアで広く取り上げられています。現実には、多くの侵害はフィッシングとマルウェアから始まりますが、ハッカーが機密情報やシステムにアクセスする程度は、多くの場合、組織のITインフラストラクチャと全体的なセキュリティ態勢を反映しています。最近のSolarWinds事件は、より強力なパスワードポリシーやより効果的なセキュリティ意識向上プログラムのような単純な対策で重大な侵害を防げたかもしれない多くの事例の一つに過ぎません。 要するに：組織のあらゆるレベルでのサイバーセキュリティ知識のギャップは、組織にとってセキュリティリスクをもたらし、従業員のセキュリティ意識向上と教育によって軽減されるべきです。 サイバーセキュリティは常に進化していますが、雇用主と従業員は潜在的なサイバー脅威についてどのくらいの頻度で再学習する必要がありますか？ セキュリティ専門家として、私たちの学習に終わりはありません。サイバー犯罪に先んじるために、テクノロジーの必要性、そしてそれがもたらす可能性のある新しい脆弱性と共に進化することは私たちの責任です。私たちは、サイバーセキュリティ専門家には週に少なくとも1〜3時間の専念学習を、非技術系スタッフには月次の意識向上トレーニングとフィッシングシミュレーションを推奨しています。 成人学習の専門家は、頻繁な従業員トレーニングの重要性を強調するためによくエビングハウスの忘却曲線を引用します。この理論は基本的に、新しい知識を強化するための間隔を空けた反復がなければ、従業員は新しい情報の90%を1ヶ月以内に忘れてしまうと述べています。 サイバーレンジを通じた実践的な技術トレーニングや、Choose Your Own Adventure® セキュリティ意識向上ゲームを通じたゲーミフィケーションされたセキュリティ意識向上は、私たちがクライアントが実践を通じて学び、知識の定着を最大化するのを支援する方法のほんの数例です。このような継続的な学習プログラムは、安全な習慣を促し、職場にセキュリティ文化を構築するのに役立ちます。 素晴らしいインタビューをありがとうございました。さらに詳しく知りたい読者は、Infosecを訪れてください。