Nadya Bartol: Better cybersecurity starts with honesty and accountability | TED
36,308 views ・ 2021-06-01
下の英語字幕をダブルクリックすると動画を再生できます。
00:00
Transcriber:
0
0
7000
翻訳: Kaori Nozaki
校正: Misaki Sato
今日は 恥ずかしい話題についてお話しします
多くの人が経験していて
気まずいことです
00:13
Today, I'm going to talk about
a shameful topic.
1
13063
3667
でも 話さなければ何も変わりません
それは ハッキングされた経験です
00:17
This has happened to many of us,
and it's embarrassing,
2
17463
4034
偽のリンクをクリックして ウイルスを
ダウンロードしてしまったことはないですか
00:21
but if we don't talk about it,
nothing will ever change.
3
21530
3367
また 個人情報を
盗まれたことがある人もいるでしょう
00:24
It's about being hacked.
4
24930
2067
さらには 私たちソフトウェア開発者が
00:27
Some of us have clicked on a phishing link
and downloaded a computer virus.
5
27630
4600
セキュリティ上のバグを含む
安全でないコードを書いたかもしれません
気づかないうちにです
00:32
Some of us have had our identities stolen.
6
32263
2434
00:34
And those of us
who are software developers
7
34730
2000
私は サイバーセキュリティの専門家として
実に多くの企業でサイバーセキュリティの
向上に取り組んできました
00:36
might have written insecure code
with security bugs in it
8
36763
3367
00:40
without realizing it.
9
40163
1400
サイバーセキュリティの専門家は企業に対して
アドバイスを行っています
00:42
As a cybersecurity expert,
10
42530
1700
00:44
I have worked with countless companies
on improving their cybersecurity.
11
44263
4334
優れたサイバーセキュリティの実践
監視ツール
適切なユーザー行動についてです
00:49
Cybersecurity experts like me
have advised companies
12
49063
3400
しかし どんなツールでも解決できない
もっと大きな問題があると私は考えています
00:52
on good cybersecurity practices,
13
52497
2600
それは 私たちがミスを犯したときの
恥ずかしいという気持ちです
00:55
monitoring tools
14
55130
1133
00:56
and proper user behaviors.
15
56297
1700
00:58
But I actually see a much bigger problem
that no tool can fix:
16
58030
4733
人間はとかく 自分は有能で
技術に精通していると思い込みがちですが
こうしたミスを犯すと 自分自身にも企業にも
01:02
the shame associated with
the mistakes that we make.
17
62797
3300
大きな影響を及ぼします
01:06
We like to think of ourselves
as competent and tech savvy,
18
66563
3867
ささいな困りごとで済むこともあれば
修復に多くの時間を要する事態や
01:10
and when we make these mistakes
that can have a really bad impact
19
70463
3300
自分自身や雇用主に多大な損失を
もたらす事態に至ることもあります
01:13
on us and our companies --
20
73797
1400
01:15
anything from a simple annoyance,
21
75230
1867
企業がサイバーセキュリティに
何十億ドルも費やしているにもかかわらず
01:17
to taking a lot of time to fix,
22
77130
2167
01:19
to costing us and our employers
a lot of money.
23
79330
3633
私のような実務家は
同じ問題を何度も目にしています
01:23
Despite billions of dollars
that companies spend on cybersecurity,
24
83630
4467
いくつか例を挙げてみましょう
2015年に
ウクライナの電力会社がハッキングされ
01:28
practitioners like me see the same
problems over and over again.
25
88130
4500
22万5000件の顧客で停電が発生しました
01:32
Let me give you some examples.
26
92663
1800
送電事業が完全に復旧するまでに
数カ月を要した事件の元凶は
01:35
The 2015 hack of Ukrainian utilities
27
95330
3033
フィッシングリンクでした
01:38
that disconnected power
for 225,000 customers
28
98397
3766
実は 顧客は22万5000件でしたが
もっと多くの人に影響を及ぼしています
01:42
and took months to restore
back to full operations
29
102197
3666
01:45
started with a phishing link.
30
105897
2100
顧客には集合住宅 工業施設など
大規模なものもあり
ショッピングモールなども
01:48
By the way, 225,000 customers
is a lot more 225,000 people.
31
108030
5567
施設全体で1件だからです
2017年に起きたEquifax社の事件で
01:53
Customers can be anything
from an apartment building
32
113630
2700
流出した個人情報のデータ量は
01:56
to an industrial facility
33
116363
1400
1億4000万人分でした
01:57
to a shopping mall.
34
117797
1433
01:59
The 2017 data breach of Equifax
35
119263
3100
最終的にEquifax社は14億ドル規模の
損害を受けた可能性があります
02:02
that exposed personally
identifiable information
36
122363
2834
02:05
of 140 million people
37
125230
2433
この事件の原因は 同社の
顧客向け苦情受付ポータルに存在する―
02:07
and may ultimately cost Equifax something
on the order of 1.4 billion dollars:
38
127663
6334
よく知られた脆弱性が
悪用されたことでした
基本的に大事なのは
テクノロジーとイノベーションです
02:14
that was caused by an exploitation
of a well-known vulnerability
39
134030
3500
02:17
in the company's customer
consumer complaint portal.
40
137563
2934
イノベーションは良いものです
日々の生活を改善してくれます
現在 私たちが乗っている車は実質的に
「車輪の付いたコンピューター」です
02:21
Fundamentally, this is about
technology and innovation.
41
141563
4100
02:25
Innovation is good;
it makes our lives better.
42
145697
3000
渋滞を避けられる経路や
整備のタイミングを教えてくれますし
02:28
Most of the modern cars we drive today
are fundamentally computers on wheels.
43
148697
6033
その他 今どきの便利な機能が
いろいろ搭載されています
02:34
They tell us where to go to avoid traffic,
when to take them in for maintenance
44
154763
4834
また インターネット常時接続の
医療機器を使う人が増えています
ペースメーカーやグルコースモニター
インスリンポンプなどです
02:39
and then give us all kinds of
modern-day conveniences.
45
159630
3200
こうした機器のおかげで
その利用者は 生活の質が維持され
02:42
Many people use connected
medical devices like pacemakers
46
162863
3434
時には寿命が延びる場合もあります
しかし 相互接続が可能なために
ハッキングの可能性が常に伴います
02:46
and glucose monitors with insulin pumps.
47
166330
2300
02:49
These devices make
these people's lives better
48
169197
2533
02:51
and sometimes even extend their lives.
49
171763
2534
元米国副大統領のディック・チェイニーは
心臓移植を受ける前に
02:54
But anything that can be interconnected
can be hacked when it's connected.
50
174297
5533
ペースメーカーのWi-Fi接続を
解除したことをご存じですか?
その理由をここで考えてください
03:00
Did you know that the former
US Vice President Dick Cheney
51
180230
3067
デジタルで相互接続された世界では
サイバーリスクは至るところに存在します
03:03
kept his pacemaker disconnected from Wi-Fi
before he received a heart transplant?
52
183330
4500
03:07
I will let you figure out why.
53
187863
2134
ところで私たち専門家が
長年論じている概念があります
03:10
In a digitally interconnected world,
cyber risks are literally everywhere.
54
190830
5033
定義の難しい
「サイバーセキュリティ文化」です
サイバーセキュリティ文化とは
その組織の全員が
03:16
For years, my colleagues and I
have been talking about
55
196230
2800
サイバーセキュリティを自分の仕事だと考え
03:19
this elusive notion
of cybersecurity culture.
56
199063
2467
何を行い 何をすべきでないかを理解し
正しい行動をとることです
03:22
Cybersecurity culture is when
everybody in the organization
57
202030
3367
この文化を深く理解している企業の例を
挙げることは 残念ながらできません
03:25
believes that cybersecurity is their job,
58
205430
2733
仮に私がそんなことをしたら
その企業は
03:28
knows what to do and what not to do
59
208197
1900
03:30
and does the right thing.
60
210097
1333
野心的な攻撃者の
格好の餌食になるからです
03:32
Unfortunately, I can't tell you
which companies do this well,
61
212063
3500
しかし 私にできることは
サイバーセキュリティを
03:35
because by doing so, I would put
a juicy target on their backs
62
215597
3500
謎めいたもののように扱わず
率直に話すことです
03:39
for ambitious attackers.
63
219097
1933
組織の中に謎や秘密があってはなりません
03:41
But what I can do is make
cybersecurity less mysterious,
64
221030
4267
03:45
bring it out into the open
and talk about it.
65
225297
2900
うまく機能しているときには
誰も気づかないものが世の中には存在します
03:48
There should be no mystery or secrecy
within an organization.
66
228763
4600
なくなったときに初めて
その存在に気づくのです
トイレットペーパーのようなものです
03:54
When something is invisible
and it's working,
67
234197
3800
新型コロナウイルス感染症の
パンデミックが始まったとき
03:58
we don't know that it's there
until it's not there.
68
238030
3467
今まであったものの大切さを
皆が痛感しました
04:01
Kind of like toilet paper.
69
241530
2333
それらが突然消え失せたからです
04:04
When the COVID-19 pandemic began,
70
244663
2734
サイバーセキュリティもそれと同じで
うまくいっているときは
存在が認識されず 誰も気に留めません
04:07
what has been there all of a sudden
became super important
71
247430
3167
ところが うまくいかなくなると
04:10
because we couldn't find it anywhere.
72
250597
1800
本当にひどい状況になります
04:12
Cybersecurity is just like that:
73
252830
2167
トイレットペーパーは分かりやすい例ですね
04:15
when it's working, we don't know,
and we don't care.
74
255030
3067
サイバーセキュリティは謎めいていて複雑です
04:18
But when it's not working,
75
258130
1533
04:19
it can be really, really bad.
76
259697
2600
「心理的安全性」という概念から
始まるものだと私は考えています
04:22
Toilet paper is pretty straightforward.
77
262797
2766
この概念を広めたのは
組織行動学の科学者である―
04:25
Cybersecurity is mysterious and complex.
78
265563
3034
04:28
And I actually think it starts
with the notion of psychological safety.
79
268630
3867
エイミー・エドモンドソンです
エイミーは 病院など
ミスが命取りになりかねない状況での
04:33
This notion was popularized
by an organizational behavior scientist,
80
273297
3900
医療チームの行動を研究しました
04:37
Amy Edmondson.
81
277230
1733
その結果 看護師は医師に
04:38
Amy studied behavior of medical teams
in high-stakes situations like hospitals,
82
278963
5167
提案をしにくいことがわかったのです
権威に対して疑問を呈することを
恐れているからです
04:44
where mistakes could be fatal.
83
284163
1734
04:45
And she found out
that nurses were not comfortable
84
285930
2700
エイミーは 医療チームの改善を支援しました
患者の治療に関する提案を
看護師から医師に対して
04:48
bringing up suggestions to the doctors
85
288630
2267
04:50
because of the fear
of questioning authority.
86
290897
2233
気軽にできるようにしました
叱られたり なじられたりする
心配をしなくて済むようにです
04:53
Amy helped improve medical teams
87
293797
2600
そのためには 医師はまず耳を傾けて
04:56
to make nurses more comfortable
bringing up suggestions to the doctors
88
296430
3700
受け入れる必要がありました
05:00
for patient treatment
89
300130
1200
05:01
without the fear of being
scolded or demeaned.
90
301330
3067
心理的安全性とは
誰もが安心して発言したり
05:04
For that to happen, doctors needed
to listen and be receptive --
91
304397
3566
指摘したりできる状態のことです
05:07
without judging.
92
307997
1200
サイバーセキュリティも
同様であってほしいと思います
05:10
Psychological safety is when everybody
is comfortable speaking up
93
310363
4134
つまりサイバーセキュリティの実務者が
安心して提案できる流れを作ってほしいのです
05:14
and pointing things out.
94
314530
1700
上級管理職や
ソフトウェア開発者に提案をした際に
05:17
I want cybersecurity to be the same.
95
317097
2733
頭ごなしに否定しないでほしいのです
05:19
And I want cybersecurity practitioners
to be comfortable bringing suggestions up
96
319863
4034
「脅威や過ちの話ばかりする―
05:23
to senior executives
or software developers,
97
323930
2867
へそ曲がり」と言わずにです
これができない状況は
05:26
without being dismissed as those people
who continue to talk about
98
326830
3900
デジタル製品開発の責任を負う
担当者には本当につらいのです
05:30
horrors and errors,
99
330763
1334
05:32
and say no.
100
332130
1267
ものづくりに対する各人の誇りと
喜びの根本に関わることだからです
05:33
Not doing so is really hard
101
333963
3100
05:37
for the individuals who are responsible
for the creation of digital products
102
337097
4100
以前 あるソフトウェア開発会社の幹部に
05:41
because fundamentally, it's about
their pride and joy in their creations.
103
341230
4800
セキュリティ強化の必要性を
訴えたことがあるのですが
そのとき彼はこう言ったのです
「我々が開発しているコードは
安全でないとでも?」と
05:46
I once tried talking to a senior
software development executive
104
346597
3433
彼としては
我が子が否定されたように感じたのです
05:50
about the need to do better security.
105
350063
2034
では 「やってはいけないこと」に
注目する代わりに
05:52
You know what he said?
106
352097
1233
05:53
"Are you telling me
we're developing insecure code?"
107
353363
2534
05:56
In other words, what he heard
was, "Your baby is ugly."
108
356263
3434
「やるべきこと」に注目したらどうでしょう?
例えば より良いソフトウェアの開発と
06:00
What if instead of focusing on
what not to do,
109
360330
4400
顧客情報の保護を両立させるには
どうすればよいか?
06:04
we focused on what to do?
110
364763
2267
あるいは緊急時にも組織が活動を維持するには
どうしたらよいか?
06:07
Like, how do we develop better software
111
367063
3567
06:10
and protect our customer
information at the same time?
112
370663
3534
危機的状況や攻撃を受けた場合にです
また サイバーセキュリティにおいて
望ましい行動をとった人々に報酬を与えて
06:14
Or how do we make sure
that our organization is able to operate
113
374230
4433
そんな行動を奨励してはどうでしょう?
06:18
in crisis, under attack
or in an emergency?
114
378697
2766
例えばセキュリティインシデントの報告
06:21
And what if we reward good things that
people do in cybersecurity in some way
115
381863
4067
フィッシングメールの可能性の報告
開発中のソフトウェアのセキュリティバグの
06:25
and encourage them to do so,
116
385963
1600
06:27
like reporting security incidents,
117
387597
2166
発見と修正などです
06:29
reporting potential phishing emails,
118
389797
2566
さらに そうした優れたセキュリティ活動を
業績評価に結び付けて重視するように
06:32
or finding and fixing
software security bugs
119
392363
3500
方針を変えたらどうでしょうか
06:35
in the software that they develop?
120
395897
1866
こんなふうに
サイバーセキュリティに関して
06:37
And what if we tied these good security
actions to performance evaluations
121
397797
3800
適切な行動を周知することを
皆さんにお勧めします
06:41
to make it really matter?
122
401630
1633
ニュースレター、ブログ、
ウェブサイト、マイクロサイトを通じてです
06:43
I would love for us to communicate
these good cybersecurity things
123
403763
4267
組織内のコミュニケーションのために
普段使っている手段を活用します
06:48
and encourage them in some sort of
company-wide communications
124
408063
2934
例えば社内で 2週間の開発期間中に
最も多くのセキュリティバグを発見して
06:51
like newsletters, blogs,
websites, microsites --
125
411030
2700
06:53
whatever we use to communicate
to our organization.
126
413763
3267
修正した数を競うイベントを開催すると
発表したらどうなるでしょう
06:57
What if a company announced a competition
for who finds the most security bugs
127
417063
5467
さらには四半期を通して
バグ修正数を競い
その勝者を仮想の社員総会で発表し
07:02
and fixes them in a two-week
development sprint
128
422530
3267
勝者や成績上位者に
魅力的な報酬を与えてはどうでしょう
07:05
and then announces the winner
of the competition for the quarter
129
425830
3333
例えば1週間の休暇やボーナスなどです
07:09
at a large company virtual town hall,
130
429197
2766
他の人たちは
そんな称賛や表彰の様子を見て
07:11
and then rewards these people,
these winners, with something meaningful,
131
431963
4234
同じことをしたいと思うでしょう
エネルギー業界には
07:16
like a week's vacation or a bonus.
132
436230
2167
非常に強い「保安」の文化があります
07:18
Others will see
the celebration and recognition,
133
438763
2834
人々はこの文化を大切にし
誇りに思っており
07:21
and they'll want to do the same.
134
441630
1933
この文化を集団で強化しています
07:23
In the energy industry,
135
443563
1400
07:24
there is a really strong
culture of safety.
136
444997
2833
けが人が出ないようにするためです
07:27
People care about this culture,
are proud of it,
137
447830
2967
この安全意識の高い文化を
維持する方法のひとつとして
07:30
and there is a collective
reinforcement of this culture
138
450797
3466
安全上の事故がなかった日数を数え
目に見える形で示しています
07:34
to make sure that nobody gets hurt.
139
454297
1933
07:36
One of the ways they exhibit and keep
this safety conscious culture going
140
456230
4533
このカウントがゼロにならないように
誰もが懸命に努力するのです
07:40
is by counting and visibly displaying days
since the last safety incident.
141
460797
6233
ゼロだと 負傷者が発生したことを
意味するからです
サイバーセキュリティも安全と同じです
07:47
And then everybody works really hard
not to have that count go back to zero
142
467663
4367
次のことを皆で同意できればいいと思います
最後にサイバーセキュリティ事故が
発生してからの日数のカウントを
07:52
because that means
that somebody did get hurt.
143
472063
2500
07:54
Cybersecurity is the same as safety.
144
474597
3133
永遠に継続し
それをゼロに戻すことがないように
必死に努力するのです
07:57
What if we all agree
145
477763
1634
07:59
to keep that count of days
since the last cybersecurity incident
146
479430
3267
一方で 絶対にやってはならないことが
いくつかあるので
その禁止事項を組織全体に
はっきり伝える必要があります
08:02
going on forever
147
482730
1333
08:04
and then work really hard
not to have it reset to zero?
148
484097
3200
分かりやすく
できれば楽しい方法でです
08:08
And then certain things are a no-no,
149
488097
2033
例えばゲーム化やシミュレーションなど
08:10
and we need to clearly communicate
to our organizations what they are
150
490163
3434
誰でもすぐに覚えられる方法が望ましいです
08:13
in an easily digestible
and maybe even fun way,
151
493630
2867
もし誰かが禁止事項を破ってしまったら
08:16
like gamification or simulations,
152
496530
2667
その結果 発生したことの影響は
組織全体に及ぶのです
例えば 従業員の誰かが
AmazonやeBayで備品を購入したり
08:19
to make sure that people
can remember this.
153
499230
2467
08:21
And if somebody does something
they're not supposed to do,
154
501730
2833
個人用のDropboxを
会社の業務に使用したりすると
08:24
they should face some sort
of consequences.
155
504597
2133
08:26
So, for example, if an employee buys
equipment on Amazon or eBay
156
506763
4734
その会社全体が
何らかの影響を受けるでしょう
こういう場合の処分は
幹部社員も一般社員と
08:31
or uses personal Dropbox
for their company business,
157
511530
3400
同じにするべきです
そうしないと 人々は
発生した事故の怖さが実感できず
08:34
then they should face
some sort of consequences.
158
514963
2467
以前の行動に戻ってしまうからです
08:37
And when this happens, executives
should get the same treatment
159
517463
3134
過ちを犯したときに
告白するのは悪くありません
08:40
as regular employees,
160
520630
1667
ただしルール違反を告白した
十代の若者の扱いと同じで
08:42
because if they don't,
then people won't believe that it's real
161
522297
3000
08:45
and will go back to their old behaviors.
162
525330
1933
話したことが評価されたとしても
08:47
It's OK to talk about mistakes,
163
527297
2500
何らかの処分は当然受けるでしょう
08:49
but just like a teenager who violates
the rules tells us about it,
164
529830
4033
サイバーセキュリティは
旅と同じで過程が大切です
08:53
we appreciate that they told us about it,
165
533897
2066
結果という目的地よりもです
08:55
but there should still be
some sort of consequences.
166
535997
2433
そして この取り組みを
継続しなければなりません
私は サイバーセキュリティに携わる人々を
09:00
Cybersecurity is a journey.
167
540263
2134
ヒーローとして称えたいと思っています
09:02
It's not a destination,
168
542430
1500
考えてみれば 彼らは消防士であり
09:03
and we need to keep working on it.
169
543930
1933
緊急治療室の医師や看護師であり
09:06
I would love for us to celebrate
cybersecurity people
170
546297
3133
法執行機関であり リスク管理者であり
ビジネス戦略家でもあります
09:09
like the heroes that they are.
171
549430
1933
09:11
If we think about it,
they are firefighters,
172
551363
2967
全てを同じ人格に兼ね備えています
そして 私たちが享受している
モダンな生活を守ってくれています
09:14
emergency room doctors and nurses,
173
554330
1833
09:16
law enforcement, risk executives
and business strategists
174
556197
3766
彼らは 私たちの個人情報 発明 知的財産
09:19
all in the same persona.
175
559963
1900
09:21
And they help us protect our modern life
that we like so much.
176
561897
3800
電力網や医療機器
さらにコネクテッドカーなど
実に多くのものを守っています
09:25
They protect our identities,
our inventions, our intellectual property,
177
565697
4333
私は このチームに加わりたいと思います
皆さんも この世界を
一緒に維持していきませんか
09:30
our electric grid, medical devices,
178
570063
2400
09:32
connected cars and myriad other things.
179
572497
3500
そして 失敗から学ぶための安全な環境を作り
09:35
And I'd like to be on that team.
180
575997
1600
より良いものを作っていくことを
約束しましょう
09:38
So let's agree that this thing
is with us to stay,
181
578097
4266
ありがとうございました
09:42
let's create a safe environment
to learn from our mistakes,
182
582363
3600
09:45
and let's commit to making things better.
183
585963
2367
09:48
Thank you.
184
588363
1267
New videos
Original video on YouTube.com
このウェブサイトについて
このサイトでは英語学習に役立つYouTube動画を紹介します。世界中の一流講師による英語レッスンを見ることができます。各ビデオのページに表示される英語字幕をダブルクリックすると、そこからビデオを再生することができます。字幕はビデオの再生と同期してスクロールします。ご意見・ご要望がございましたら、こちらのお問い合わせフォームよりご連絡ください。