実証データをもとに構想された「ピープル セントリック セキュリティ(人間中心のセキュリティ)~ Proofpoint ライアン・カレンバー 来日インタビュー | ScanNetSecurity
2024.06.19(水)

実証データをもとに構想された「ピープル セントリック セキュリティ(人間中心のセキュリティ)~ Proofpoint ライアン・カレンバー 来日インタビュー

一見唐突にも思えたこの方向転換の原点となる事実を発見し、人間中心のセキュリティという新しいコンセプトを強く推進したのがライアンだったという。「ピープル セントリック セキュリティ」の概念はどのように生まれ、会社の新しい旗印となっていったのか。話を聞いた。

製品・サービス・業界動向 新製品・新サービス
米Proofpoint社 エグゼクティブ ヴァイス プレジデント ライアン・カレンバー 氏
米Proofpoint社 エグゼクティブ ヴァイス プレジデント ライアン・カレンバー 氏 全 1 枚 拡大写真

 これは言ってはいけない部類のことに属するのかもしれないが海外から来日した VIP の取材記事というのはイマイチなものが多い。

 たいていの場合、その会社のラボなり調査部門が明らかにした「驚きの新事実」や「見逃せない脅威動向」などが、あたかも託宣のごとく語られ、それに紐づいた製品が紹介され、メディアは恐れいってそれを記事にする。これがほとんど定型になっている。かくして「これを読みたいと思う人がいるのだろうか」という記事が量産されるのだが、悲しいのは書いている側もそう思っていることだ。やめてしまえそんな取材。

 本誌の分析によれば「そうなってしまう」理由が六つほどあるのだが、それは今日は書かない。おそらく一番の理由は「限られた日本滞在の期間の中で」「なるべく多くのメディアに対して」「最低限のクオリティをコントロールしつつ記事を掲載してもらう」となると、それは当然「君たち日本人が知らない恐るべき新たな脅威」といった大味な、しかも一般誌でも理解できるレベルに噛み砕いた内容にならざるを得ないし、そういうコンテンツをあらかじめ準備して、あたかも昭和のスキー場で出てきたカレーのように、記者に対して「はい、次」「はい、次」と手渡すような形にならざるを得ないからだろう。

 冒頭から爆発的に期待値を下げてしまったが、そんな来日 VIP 取材でも、ごく稀に偶然と幸運が重なることで、残念な定型から脱する取材が成立することがあり、今回の米 Proofpoint 社 ライアン・カレンバーの取材も、そんな数少ない例のひとつだったと思う。

 編集部ではカレーを配られないよう、事前に日本プルーフポイント株式会社に対して質問表を提出し取材に備えた。略歴から、仕事への思い、近年の最大の成果など、ごくごくオーソドックスな質問ばかりだったが、そもそも来日 VIP 取材では、こういう質問をできることすら珍しい。

 取材対象は米 Proofpoint 社 エグゼクティブ ヴァイス プレジデントのライアン・カレンバー、同社のサイバーセキュリティ戦略を担当している。

 Sendmail 社を買収し、事実上世界最大のメールセキュリティカンパニーとして活動していたプルーフポイントは、近年「ピープル セントリック セキュリティ(人間中心のセキュリティ)」というスローガンを掲げ、アウェアネストレーニングや内部脅威など、「人間の認知」や「人の脳ミソの脆弱性」「感情の生き物としての人間」と正面対峙する方向へ大きく舵を切った。

 一見唐突にも思えたこの方向転換の原点となる事実を発見し、人間中心のセキュリティという新しいコンセプトを強く推進したのがライアンだったという。

 「ピープル セントリック セキュリティ」の概念はどのように生まれ、会社の新しい旗印となっていったのか。話を聞いた。

--

●スタンフォードで発見したセキュリティへの道

―― ScanNetsecurity は、これまで 1,000 名を超える技術者やビジネスパーソンを取材してきましたが、多くの方に、セキュリティに興味を持つきっかけや原体験がありました。もしライアンさんにもそんなきっかけがあれば、聞かせていただけないでしょうか。

ライアン・カレンバー(以下同):私がセキュリティに関わるようになったのは 17 歳、スタンフォード大学の在学中からです。大学ではコンピュータサイエンスを学んでおり、認証技術やコードの脆弱性に関心をもって取り組んでいました。

 ある日私がとった授業は、合衆国 国防省 長官を務めたこともあるウィリアム・ペリー氏の授業でした。彼は現在 95 歳になりますが今も元気です。授業は、グローバルリスクに関するもので「核兵器」「生物化学兵器」「サイバーセキュリティ」の三つのテーマが設定されました。

 核兵器の授業では、国連の査察官を務めた人が講師に招かれました。生物化学兵器の授業では、ペリー氏の友人でもある陸軍大将(Four-star General)が招かれました。しかし、サイバーセキュリティの授業にはだれも専門家が来なかったんです。

 その当時、1990 年代のセキュリティは、政府関係以外では、事業やビジネスとしてまったく成立していない状態で、授業にはサイバーセキュリティの専門家も来ない。私は直感で「この領域は伸びる」と確信し、20 歳で大学を卒業してベンチャー企業に入ることにしました。

●コンサルからプロダクトへ転身

――コンピュータサイエンスを学んでいてセキュリティ業界に飛び込むというのは、当時でも一般的だったのでしょうか。

 もちろん暗号化技術など、専攻分野を極める道もあったのですが、先の授業での体験で、アメリカのような大国にサイバーセキュリティの専門家がいないという事実が衝撃だったのです。そういう人材は必ず必要になると思いました。

 そして実際にセキュリティに関わるようになると、たとえばセキュアなネットワークを構築しようとすると、解決できない部分があることがわかりました。バグや脆弱性の発見は 90 年代でもそれほど難しいものではなかったのですが、システムやネットワークを安全にするには、技術的対策のみでは不十分なのです。これも私がセキュリティに興味を深めていった理由です。

――卒業後のキャリアについてよろしければ教えてください。

 最初は Guardent という会社です。社員番号は 17 番でした。セキュリティコンサルティングや、マネージドサービスを提供するベンチャーで、メジャーな顧客にはアメリカのバイオテック企業、日本にも工場がある自動車メーカー、銀行、ニューヨークを拠点とする保険会社などがありました。

 Guardent は後にベリサインに買収され、そのとき EU拠点のリーダーというオファーを受け、数年間ロンドンやジュネーブで仕事をしました。その後、ArcSight や WachtDox を経て、現在の Proofpoint という経歴になります。

 最初の頃はコンサルティングやマネージドサービスといった、現場でセキュリティを実践する業務がメインでした。その後プロダクト系に移っていくのですが、それはプロダクトに関わった方が、より多くの人や企業のセキュリティに貢献できると考えたからです。コンサルティングはその一社が相手ですが、製品は、数千の会社や数万の人に影響を与えることができますからね。

●技術で対応できないサイバーセキュリティ

――現在、Proofpoint社では、どんな仕事をしているのでしょうか。入社以降の一番の大きな仕事はどんなものですか。

 冒頭でも述べたように、セキュリティを長くやっていると誰もが思うことですが、技術では解決できない問題に日々直面します。それは、人間が関わるからです。

 プログラミングは、さまざまなツールや開発環境を使うことでセキュアにすることが可能です。しかし、人間がコーディングしている以上、人間が原因となるミスや不具合はなくなりません。

 インシデント対応をしていれば、大半が人間の脆弱性を突いたフィッシングや攻撃メールが起点となっています。攻撃者は守りの堅いサーバーに侵入するより、ソーシャルエンジニアリングやフィッシングによってクレデンシャル情報を狙うのです。人間のほうがずっと攻撃しやすい。これからの対策は人間中心でなければダメだと考えます。

 私が Proofpoint で行った一番重要な仕事は「ピープル セントリック セキュリティ」という新しい概念を打ち立てた(invent)ことです。

 2017 年のことでした。あるオートバイ製造企業のデータを解析していたところ、特定の人だけが集中して攻撃されている事実を発見しました。それ以前から私は、フィッシングやアウェアネスなどの研究をしていたので「狙われやすい人」「だまされやすい人」の存在は認識していましたが、このデータは、それをありありと数字で実証するものでした。

 その会社で頻繁に攻撃を受けていたのは「経営者のアシスタントで中国を担当していたスタッフ」「サプライチェーンの管理者」そして「ブレーキの開発担当者」でした。二輪車のブレーキは、製造企業にとって競争力に直結する知的財産の宝庫です。

 このデータをエビデンスとして「攻撃者の視点から見てターゲットとなる人物」「Very Attacked Peoplerson(VAP)」という指標や「ピープル セントリック セキュリティ」という概念を生み出していきました。

 人間はとても複雑です。システムのようにパッチを当てることはできませんから、対応は多層的なアプローチが必要です。ピープル セントリック セキュリティとは、そういったシステムの特性、技術的対策でカバーしきれない、人間に関わる部分を考えて対策することです。

――「人間が大事」というのは抽象的なものではなくデータに基づく実証ということですね。

●人間中心視点で高まる効果

――メールセキュリティの会社としての実績、市場評価があったなかで、「ピープル セントリック(人間中心)」を打ち出していくにあたって、社内や顧客、市場からの抵抗はありませんでしたか。

 メールは「ランサムウェア」「フィッシング」「標的型攻撃」「なりすまし」など、主だった脅威の最初の入り口であることが多いのです。それらのほとんどが、メール受信者の人間の脆弱性を悪用して攻撃を展開しますので、一時的な誤解は別として、むしろ既存の対策を補完し、効果を高めるものとして歓迎されていきました。

 実際に、たとえば組織からのデータの入りと出だけを注目していた従来型の DLPソリューションよりも、そのデータを送受信する人間にも着目して対策を行う Proofpoint の DLPソリューションの方が有意に効果が高く、市場シェアも現在の 2 位からいずれ遠くなく 1 位になれると思っています。また、これは DLP だけに限ったものではありません。

――今日はありがとうございました。

 こちらこそ。ありがとうございました。

--

[取材メモ]
人の脆弱性という、セキュリティのカテゴリの中でもとりわけ厄介な領域に、頼まれてもいないのに、わざわざ踏み込んだ「ピープル セントリック セキュリティ」というコンセプトは、編集部にとっても以前から興味深いものだった。物好きな人もいるものだという感慨である。今回はそれを提唱した当事者に会うことができた。やはりこのコンセプトは、電通博報堂ADK的「マーケティング屋」や、うさんくさい「コーポレートアイデンティティ業者」ではなく、ライアン・カレンバーのようなセキュリティの繊細さを知る経験豊かな秀才が、数字を伴う検証・実証に基づいて作りあげたものだと知ることができた。正直なところもう一時間インタビューしたかった。

《インタビュー・文:中尾真二/構成:編集部 高橋潤哉》

関連記事

この記事の写真

/

特集

PageTop

アクセスランキング

  1. グリコの基幹システム障害、一部商品出荷を 6 / 25 以降再開

    グリコの基幹システム障害、一部商品出荷を 6 / 25 以降再開

  2. 約 30 名の学生がフィッシング被害に ~ 明治薬科大学教員の M365 アカウントに不正アクセス

    約 30 名の学生がフィッシング被害に ~ 明治薬科大学教員の M365 アカウントに不正アクセス

  3. イセトーにランサムウェア攻撃、阿波銀行・藤沢市・茅ヶ崎市にも影響

    イセトーにランサムウェア攻撃、阿波銀行・藤沢市・茅ヶ崎市にも影響

  4. 役に立たないメール訓練 もうやめません? by Googleセキュリティ担当者

    役に立たないメール訓練 もうやめません? by Googleセキュリティ担当者

  5. オイレス工業にランサムウェア攻撃、生産活動に影響なし 出荷通常通り

    オイレス工業にランサムウェア攻撃、生産活動に影響なし 出荷通常通り

  6. 「プレミアムバンダイ」会員情報漏えいの可能性、委託先従業員が私物ハードディスクを使用

    「プレミアムバンダイ」会員情報漏えいの可能性、委託先従業員が私物ハードディスクを使用

  7. 米政府、病院 IT システムの自動パッチ適用ツールに 80 億円投入

    米政府、病院 IT システムの自動パッチ適用ツールに 80 億円投入

  8. KADOKAWA グループ複数サイトで障害、サイバー攻撃の可能性

    KADOKAWA グループ複数サイトで障害、サイバー攻撃の可能性

  9. ニデックインスツルメンツにランサムウェア攻撃、複数のサーバ内ファイルが暗号化被害

    ニデックインスツルメンツにランサムウェア攻撃、複数のサーバ内ファイルが暗号化被害

  10. セキュリティ企業の セキュリティ企業による セキュリティ企業のための投資ファンド ~ GSX 青柳史郎が語る「日本サイバーセキュリティファンド」設立趣旨

    セキュリティ企業の セキュリティ企業による セキュリティ企業のための投資ファンド ~ GSX 青柳史郎が語る「日本サイバーセキュリティファンド」設立趣旨PR

ランキングをもっと見る