CISSP（Certified Information Systems Security Professional ）の認定資格は、情報セキュリティ分野におけるゴールドスタンダードです。なぜなら、CISSPを取得することで、すべての扉が開くからです。その扉はさまざまなポジションやチャンスにつながっており、情報セキュリティのコミュニティをさらにダイナミックで多面的なものにしていくことができます。 ISC2はこれを受けて、セキュリティ専門家がCISSPを取得したことにより獲得した機会について探るために、一連のインタビューを実施しました。前回は青羽 真利氏より、CISSPの体験談をお話いただきました。今回は、Crypto.comのCISOであり、Forbes Technology Councilの公式メンバー兼寄稿者であるJason Lau氏にお話を伺います。Jason Lau氏は、香港浸會大学ビジネススクール（HKBU）の兼任教授兼産業諮問委員（サイバー通貨およびデータプライバシー担当）としても活躍されています。

現在はどのようなお仕事をされていますか。

現在はCrypto.comの情報セキュリティ最高責任者（CISO）の職で、会社のグローバル・サイバーセキュリティとデータプライバシー戦略を担当しています。同時にサイバーセキュリティに関する各種諮問委員会の委員、そして、アジア有数のビジネススクールで兼任教授も務めています。教育関係に携わって長いですが、最近は企業規模を問わずサイバーセキュリティやプライバシーの研修を行いながら産業界にも貢献しています。このような形で、地域のみならずグローバルな視点でエコシステムの改良に取り組んでおります。

貴社ではどのような問題の解決に取り組んでいらっしゃいますか。

Crypto.comは、暗号通貨の採用を世界的に促進することを使命とするフィンテック企業です。当社はこの使命を遂行するために、ユーザーフレンドリーなアプリケーションを使って暗号通貨を利用するための支援を行っています。その中でも私は、業界の日常的暗号通貨ユーザーに信頼感を抱いていただくための取り組みを行っています。この分野は今も日進月歩で進化を続けている成長産業ですが、暗号通貨に規制のない国や地域が多い現在、特に難しい分野でもあります。規制のない状況下では、多くの企業がサイバーセキュリティとデータプライバシーの必要性を忘れていたり、意識が欠けたりする場合が多くあります。私は、Crypto.comがこの分野のリーダーとなって指導的な役割を果たすことを目指しています。例えば、当社は ISO27001:2013、PCI:DSS 3.2.1 および ISO27701:2019 規格に認定された最初の暗号通貨企業です。これは、当社が全体プロセスの改善に常時取り組んでいることを示しています。

なぜサイバーセキュリティの世界に足を踏み入れたのか教えてください。

当時、サイバーセキュリティに関する私の興味を掘り下げてくれるような選択が存在しなかったので、企業システム管理や監視を扱う会社に就職しました。そして世界中を飛び回りながら、マネジメントコンサルタントとして重要なインフラセキュリティについて多くのCTOの方々と緊密に連携して働く機会がありました。当時、セキュリティの中心は物理的なサーバーシステムに関するものでしたが、時代とともに今日私たちが認識するようなデジタルセキュリティおよびサイバーセキュリティへと変化していきました。

サイバーセキュリティのキャリアをスタートされたときの状況はどのようなものでしたか。

先ほどお話した立場を通じて私はすぐ、この仕事（インシデント対応と検出、そして、ネットワーク環境内の異常な活動の監視）が企業の総合サイバーセキュリティ戦略の中核であることを理解しました。

面白いもので、当時はクラウドコンピューティングが普及する前でしたが、ネットワークの潜在的問題に対する防衛の最前線は、先手を打った監視と警告でした。これらの問題はたいがい、内部または外部の攻撃者による悪意ある活動が引き起こすものでした。

私の仕事は、五大陸にまたがるほとんどすべてのセクターを対象にしていたので、セキュリティに対するアプローチが、産業や文化によって大きく異なっていることを知る良い機会となりました。この体験は回り道というよりも、ITに関する私の関心が進化してきた過程と見ています。環境の変化に順応し、サイバーセキュリティについてより深くスキルアップする必要がありました。

最初のサイバーセキュリティの仕事はどのようなものでしたか。

私は大学の電気工学の学位をとる過程で初めて「ハッキング」を体験しました。その時はICチップを利用して、さまざまなことができるようにプログラムを組む必要があったのです。偶然にも、最初のプレイステーションが発売されたのと同時期でした。暇を見つけては、自分でプログラムした「ModChip」を使って、マシンのブートシーケンスをハッキングし、世界中のさまざまな場所からゲームを楽しめるように設計しました。

当時、私はModChipをいち早く使い、友達と一緒にフリーランサーとして他の人を手伝う仕事を始めていました。とてもスリリングで、夢中になった経験です！それがハッキングとリバースエンジニアリングの最初の経験でした。その後、これと似たアプローチがサイバーセキュリティの世界でも必要だということに気がつきました。

サイバーセキュリティの資格を取得しようとしたきっかけを教えてください。

サイバーセキュリティのキャリアを始めた当初、私は他の人と差をつけたいと考えており、この資格がこの分野で最もホットな資格だったのです。

CISSP取得を決めた理由を教えてください。

CISSPは単なる資格ではなく、それ以上の価値があります。この資格は、自分がこの分野に情熱をもって取り組んでいること、そしてサイバーセキュリティ問題をより広く理解していることを仲間や同業者に証明してくれるのです。 あなたを後押ししたものは何ですか。

情報漏えいは常に発生しており（現在も！）、そのような状況を見て、この分野のスキルをさらに磨かなければいけないと思うようになりました。

CISSPを取得するまで、どれくらいの期間がかかりましたか。

合計で2〜3ヶ月かかりました。でも経験によるので人によって異なると思います。概念を理解する上で、単に本を読むというより、実体験に基づく実務的な知識が物を言うことは確かです。

試験はどのように準備しましたか。

2〜3年の実務経験を積んだタイミングで、CISSP資格の取得を考えました。当時も、資格や評価対象となる主要知識について詳しく知ることが出来るISC2公式セミナーがありました。

どのような教材を使いましたか。

私は、ISC2の公式テキストおよび確認問題を解いて勉強しました。

CISSPについて最も驚いたことは何ですか。

最初は試験時間が6時間もあるということに驚きました。今ではCAT(Computer Adaptive Testing)に変更され、試験時間が短くなりましたが、私が受験した当時は、試験が6時間もあり、精神的にも肉体的にもクタクタになりました。(※)今思えば、コンピューターやデジタル世界は眠らないだけでなく、セキュリティ問題は時を選ばずいつでも起こり得るという事実がその背景にあったのだと思います。つまり、CISSP試験は持久力を試すものでもあるのです。一日働いて疲れている時に突然呼び出され、警戒体制を整え、発生したセキュリティ問題に対処する、という現実の状況に適応できるという確認の意味を含んでいるのだと思います。

CISSPの取得後、最初にどのような変化に気づきましたか。

最初に気づいたのは、求人のコンタクトが増えたことです。その段階で私は、CISSP資格とISC2の信頼性がこの業界で十分認知されていることがよく分かりました。

CISSPを取得して個人的にどのようなメリットがあったとお考えですか。

キャリア初期の段階において、CISSPはサイバーセキュリティを広く理解するために役立つ重要なステップだと思います。その上で、SDLC、アプリケーション開発、侵入テスト、規制遵守などの他の分野にも深く踏み込むことができるようになります。CISSPは今でも世界中で情報セキュリティに関する「ゴールドスタンダード」と見なされており、サイバーセキュリティの根本的知識を理解している証となるものです。業界の名だたる専門家たちと強力なネットワークを構築できる上に、業界のカンファレンスに出席してさまざまなサイバーセキュリティ問題に同業他社がどのように対処しているかを学ぶことができ、キャリアの初期段階から大きなメリットを受けることができました。ISC2コミュニティや各Chapterでは魅力あるプレゼンテーションやワークショップを頻繁に開催しており、自分のスキルを磨いたり、世界規模のウェビナーに参加したり、さまざまなオンライン研修資料などを入手したりできます。

あなたが今の仕事に就いた経緯を教えてください。

サイバーセキュリティの黎明期から参加し始め、それ以来20年以上この分野に携わってきたおかげで私は、サイバーセキュリティのさまざまな局面に立ち会うことができました。また、数々の会社で働き、複数のフォーチュン200企業に対して経営コンサルタントを長年務めてきたので、フィンテックやブロックチェーンという急成長の分野に関心を抱くようになりました。そして、暗号通貨企業に対する攻撃が頻発する昨今の状況下、Crypto.comに貢献できるチームを組む機会が得られました。ここに至るまでに並々ならぬ道のりを乗り越えてきました。この分野に対する絶え間ないコミットメントと献身が必要だったと感じます。

一番誇りに思っている業績や貢献について教えてください。

私は数々の業界表彰を受賞してきましたが、これは全て、暗号通貨分野で特許を取得したチームプレイの業績と言えるでしょう。この業界が急速に進化している状況下、従来のクラウドプロバイダーは、ビットコイン、イーサリアムなど我々が使っている暗号通貨トークンを取り扱う重要プロセスを、日常的に安全に実行するために必要なレベルでサポートできていませんでした。我々のチームはさまざまなやり方で貢献し、そのすべてが特許取得につながったのです。個人的には、サイバーセキュリティ分野での業績や貢献が認められてフォーブステクノロジー協議会に招待されたことも、私の誇りであるところです。

キャリアにおいて直面した最大の課題は何ですか。

「過信」です。世界中を飛び回り、複数の大企業にコンサルティングを行った結果により共通して言えることは、自分たちがハッキングされた経験がないことを過信し、サイバーセキュリティに対して経営リソースを使うことに消極的である会社が未だに多いことです。経営トップや役員会は、サイバーセキュリティのリスクは経営リスクに等しく、色々な形でビジネスに悪影響を与えるということを理解する必要があります。経営トップや役員会の意識を変えることは簡単ではありませんが、デジタルトランスフォーメーション(DX)への潮流が加速するにつれ、サイバーセキュリティおよびデータプライバシーは、あらゆる会社や組織の事業戦略の柱となる必要があります。

今後のキャリアにおける目標を教えてください。

私の目標は、規模の大小を問わず、さまざまな企業でのサイバーセキュリティとデータプライバシーに関する意識をより高めるべく、エコシステムの形成に貢献することです。私自身のキャリアを通じて同時に進めてきましたが、もっと力を入れる余地があると思います。また、サイバーセキュリティの課題は日々変化しつつあります。そのため、セキュリティ意識教育には、今後の私のキャリアでも常に従事していくことになるでしょう。

自分のスキルを今後も確実に向上させるためにどうすればいいでしょうか。

簡単です。自分より賢い人間を雇い続ける、あるいは、自分の周りに置き続ける、ということです。サイバーセキュリティは、まるきり異なる背景をもち、興味深い経験をしてきたたくさんの人間が集まってくる、ユニークな業界です。私が立ち上げたチームには7カ国以上のメンバーで構成され、こうした多様性を受け入れ、育ててきました。全員がCISSP、またはそれ以上の資格をもっていますが、同じ問題でも全く違う見方をしています。これは、私自身が成長し続けるだけではなく、チーム全体として成長することに大きく貢献しています。さらに、知識と経験を共有するという強固な文化を育成する効果にもつながるのです。

現在のサイバーセキュリティの最大の課題は何だとお考えですか。

世界的にサイバーセキュリティ人材は確実に不足しています。そして、技術の採用やデジタルトランスフォーメーションのスピードに人材供給が追いついておらず、このギャップを埋めるために多くの企業が苦慮しています。また、お話したように、サイバーセキュリティリスクに関する業界全体の過信も、克服すべき大きな課題です。さらに今後数年の間に機械学習や人工知能(AI)が進歩して、AIを利用したマルウェアのような新しい脅威も登場すると思います。この流れは実に恐ろしいことになるでしょう。

それに対処できる解決策は何でしょう。

サイバーセキュリティの人間的側面に対処するには、ユーザー意識の研修が必要です。サイバーセキュリティの総合的戦略としては、単なるツールの採用・不採用の次元を超える必要があり、サイバーセキュリティに関する経営トップの認識をより高める必要があります。企業としては、人材に投資するとともに、新しい技術に追随していく必要がありますが、新しい技術は新しいリスクを持ち込むことにもつながります。AI利用の脅威に関して企業はさらに、独自のサイバーセキュリティ戦略に投資したり、ネットワーク環境の不具合を早期発見するための、例えばユーザーとエンティティの行動分析 (User and Entity Behavior Analytics: UEBA)といったツールを採用したりする必要があるでしょう。

サイバーセキュリティの世界で、あなたは誰から刺激を受けていますか。

私は父から一番刺激を受けてきました。5人兄弟の末っ子だった私は、皆が学校に行っている間、父を見つめ、追いかけ、学ぶように育っていました。父は私にとって、何でもできる人、そしていつも「何かを直す」方法を知っている人でした。 父は工学、伝統医学、機械、水耕栽培、電子工学、数学、農業、料理など、さまざまなことに興味を持っていました。 ここで学んだことは、1つの分野に閉じこもらない、ということです。さまざまな分野から多くのことを学び、課題解決のためにさまざまな角度からアプローチできるような成長型の発想法を持つべきで、これはサイバーセキュリティについてもあてはまります。会社の保護システムを構築するには、型にはまった思考法からはみ出し、時にはハッカーの身になって考えてみるということが往々にして必要です。

サイバーセキュリティの道に進みたいと考えている人が知るべきことは何でしょうか。

繰り返しますが、成長型の発想法を持つことです。サイバーセキュリティのキャリアは非常に流動的です。技術が目まぐるしいスピードで変化するにつれ、ビジネスリスクもますます広く深くなってきます。そのため、身の回りの技術革新に追随する必要があります。例えば新型コロナウィルスの感染拡大環境下で、医療という古くからある業界は、個人を容易に特定できる機密情報や健康に関する保護情報を多く扱っているため、遠隔医療によるデータのアクセス・管理への対応が急務となっています。サイバーセキュリティの実務者は、事業の運用から自宅勤務の従業員がもたらすリスクまで、このような諸問題の影響を考慮に入れる必要があるでしょう。広く知っていただきたいのは、サイバーセキュリティというキャリアは非常に挑戦的であると同時に、組織のシステム保護を支援するために、たくさんの興味深いプロジェクトに携われたり、最新技術に触れる機会も多かったりするため、やりがいのある仕事だということです。

CISSPの詳細については、 Ultimate ガイドをダウンロードするか、ホワイトペーパーThe Definitive Guide to Cybersecurity and Business Prosperityをご覧ください。

※CISSP英語版試験のみCAT(Computer Adaptive Testing)が採用されており、試験時間は3時間となります。日本語を選択している場合、試験時間は6時間となります。

原文記事：https://blog.isc2.org/isc2_blog/2021/05/cissps-from-around-the-globe-an-interview-with-jason-lau.html