マッケンジー・ブラウンがあなたを助けてくれる最初のサイバー攻撃が、偽物であることを願います。そうでなければ、あなたは既にハッキング被害に遭ってから、彼女とOptiv Securityの同僚に電話することになるでしょう。インシデント対応コンサルタントとして、ブラウンはクライアントがハッカーによる侵入に備え、あるいはそこから回復できるよう支援しています。また、非営利団体Ms. GreyHatの創設者として、サイバーセキュリティを学び実践する少女や女性向けにトレーニングとネットワーキングを提供しています。私たちは彼女に、情報セキュリティに関する彼女の仕事と、セキュリティに関する最良のアドバイスについて話を聞きました。

居住地：アイダホ州ボイジー
現在の仕事： Optiv Securityのインシデント対応コンサルタント
現在のパソコン： MacBook Pro、Surface Book Pro、趣味のハッキング用Pi 3
現在のモバイル端末： iPhone（Apple中毒者）
仕事のやり方を一言で表すと：ひっくり返す。コイン投げのように。まさに「ひっくり返す」ですね。焦燥感に駆られるか、集中力やオートパイロット状態になるか、どちらかですね。

まず最初に、あなたの経歴と現在の地位に至るまでの経緯について少し教えてください。

子供の頃は、オードリー・ヘプバーンやジュリア・ロバーツのような有名な映画スターになると思っていました。しかし、大学1年生で演劇を専攻した後、現実はあまりにも非現実的だと気づきました。正直なところ、「アイダホの小さな子供が大都会に引っ越す」なんて、そもそも陳腐な話です。その後、進むべき道がありませんでした。私はもともと几帳面な性格なので、ITサポートの派遣の仕事に就いた時はまさに天国でした。新しいことを学び、機材や書類を整理することができました。まるで自分だけのディズニーランドにいるかのようでした。

しかし、この環境に飛び込んで初めて、テクノロジーインフラがビジネスオペレーションの基盤であることを真に理解することができました。IRS（内国歳入庁）の情報セキュリティ監査に参加しないかと打診されたのです。連邦機関の手続き、評価、セキュリティ管理策を網羅した百科事典とも言えるNIST 800-53が机に放り投げられ、そこからすべてが始まりました。情報セキュリティ分野でのキャリアにとって幸先の良いスタートとなり、その後も多くの独学、資格取得、そして貴重な影響力を得ることができました。今でも情報セキュリティ界のジュリア・ロバーツになれるかもしれませんね。

最近の一日の仕事について教えてください。 

ホテルで目を覚まし、クライアントの資料を確認しました。その後、6時間かけてクライアントの社内情報管理チームにインタビューを行い、プレイブック開発プロジェクトのデータをレビューしました。その後、クライアントチームと連携し、プレイブックに記載されているタスクをリアルタイムのシナリオで実行しました。これにより、組織がサイバー攻撃を受けた場合に備えて準備を整えることができました。

出張していない時は自宅で仕事をしています。うちの猫たちは、井戸端会議があまり得意ではありません。Optivでの日々は、自宅でも現場でも、いつも新鮮で、信じられないほど才能豊かな同僚たちに囲まれています。講演やプロジェクトのために、できるだけ地元にどっぷり浸かるようにしています。毎日が退屈な日のない仕事に恵まれ、サイバーセキュリティに携わる女性と少女のために私が設立した非営利団体「Ms. GreyHat」での活動を、社員が励まし、支えてくれていることに感謝しています。

Optiv での典型的な作業プロセスは何ですか?

私たちは、机上演習（基本的には「侵害」シミュレーション）を実施し、戦略的および技術的な対応の両面から、クライアントの実際のサイバー脅威への対応手順、技術能力、およびコミュニケーション計画を評価します。これにより、インシデント管理チームはクライアントの対応能力の現状を評価し、ギャップを埋めてインシデント対応プログラムを改善するための具体的な手順を提示することができます。

あなたにとってなくてはならないアプリ、ガジェット、ツールは何ですか?

おそらくiPadでしょう。飛行機に乗る時間がかなり長いので、おせっかいな隣の人に肩越しに見られながら仕事をするのは大変です。なので、AmazonプライムやNetflixをガンガン観るのにiPadは必須の機内持ち込み手荷物です。

もちろん、普通のソーシャルネットワーキングのフィードや、Pinterestというブラックホールもそうです。きっとほとんどの人と同じように、私もテクノロジーに対して愛憎入り混じった感情を抱いています。機能が生活をより速く便利にしてくれる一方で、それが生活の質を阻害することもあるという事実に、本当に驚きます。もしブッダが「そういうアプリがある」とでも言ってくれていたら、私たちはもっとバランスの取れた考え方ができるようになるでしょう。

あなたのワークスペースの設定はどのようなものですか?

私の仕事場は、時折の猫の毛やコーヒーの染みさえなければ、常に清潔でなければなりません。机の上には勉強用の本やインスピレーションを得るためのものが山積みです。ノートパソコンと25インチモニターを複数のウィンドウに開き、Spotifyを大音量で聴いています。前面にはエイダ・ラブレースが描かれたキャンドルがあり、その横にはRaspberry Pi 3とPineapple Nanoが置いてあります。汚い水槽は、いつまでたってもきれいにならないようです。頭上には「行儀の良い女性は歴史を作ることは滅多にない」と書かれたボードがあります。とはいえ、私は常に動き回っているので、MacBookがあればどんな場所でも仕事場として使えます。

あなたが頻繁に与えるセキュリティに関するアドバイスは何ですか?

「セキュリティが自分にとって何を意味するのか、もう一度考えてみましょう。」 私がこの言葉を使うのは、どんな聴衆にも共感できるほど広範であり、今日のサイバー環境を取り巻く不確実性と複雑さを取り除くのにも役立つからです。 課題の優先順位付けを考えている技術的な経験が豊富なクライアントであれ、ひらめきによる気づきを求めている経営幹部レベルの最高情報責任者 (CIO) や最高情報セキュリティ責任者 (CISO) であれ、この言葉を使うことで専門家は一歩引いて、セキュリティをより広範な企業目標の一部として捉えることができます。 私たちの業界は流行語や話題の新しいツールで溢れており、企業や意思決定者は雑音に圧倒されています。 Optiv チームと私は、シンプルさを追求し、セキュリティを内側からアプローチするか、脅威や脆弱性に対応して常に行動するのではなく、セキュリティ戦略を積極的に活用することを重視します。

あなたが物事を成し遂げるのを手伝ってくれる人たちは誰ですか？また、あなたは彼らにどのように頼っていますか？

私の仕事上のパートナーであるカーティス・フェヒナー。彼は、企業におけるインシデント対応という芸術を習得する手助けをしてくれただけでなく、その過程で見つかる「死骸」を掘り起こす楽しみも教えてくれました。演習であれリアルタイムであれ、危機的状況においてクライアントを導き、ハッカーの手口を理解させられるのは、この上なく魅力的です。カーティスの助けがあれば、私は非常に高いレベルと経験を持つ情報セキュリティ専門家に対し、あなたの組織の最も弱い部分、攻撃者の侵入経路、彼らの狙い、そして私がどのようにそれを阻止するかを指摘する準備が整いました。

やらなければならないことをどうやって把握していますか?

OneNoteのノートブックには、プロジェクトやプライベートの予定をすべてリストアップしています。そして、その週の重要なToDoリストは別のホワイトボードにまとめ、その月の黒板には旅行、ライブ、予定、そしてリフレッシュに必要な日を細かく書き込んでいます。私はリスト作りに夢中です。

どのようにエネルギーを充電したり休憩したりしますか?

リフレッシュが苦手なんです。ジムでのトレーニングと昼寝でリラックスするんです。今は、電源を切ってどこかに出かけるのが本当のリフレッシュです。冬はスノーボードをしたり、夏は休みを取って登山に行ったりしています。

残念ながら、充電のスケジュールを立てるのは難しいですね。でも、電源を切って自分だけの時間を作ることは大切だと思います。

あなたの好きな副業は何ですか？

Ms. GreyHat Organization。私たちは、女性をエンパワーメントし、学生を教育し、サイバーセキュリティのあらゆる分野における専門家を育成しています。常に革新を続けるデジタル世界におけるリスクとメリットを理解することは、誰にとっても不可欠です。私たちは、サイバーセキュリティをよりレジリエントで、より不安のない形で解釈できるよう導くとともに、テクノロジー分野におけるジェンダーギャップとダイバーシティギャップの解消を目指しています。そのために、トレーニングコースの提供、ワークショップの開催、カンファレンスでの講演などを行っています。

今、何を読んでいますか？または、何をお勧めしますか？

ライアン・ラッセル著『Steal the Network: How to Own the Box』。テーブルトーク・エンゲージメントのための現実的なシナリオ構築に苦労していました。つまり、ハッカー的な思考ができていなかったのです。クライアント向けのシナリオ開発では、相手に深く突き刺さるような、強烈なインパクトを与えることを心がけています。その秘訣は、悪意あるマインドセットです。私はセキュリティ実務家のように、プロセス重視で具体的な制御方法に重点を置きながら考えていました。しかし、実際のセキュリティインシデントはそうではありません。汚く、予測不可能で、時には標的を定めたものではなく、ランダムな動機から発生することもあります。この本は、そのような敵の視点に目を向ける上で非常に役立ちました。

他に誰にこれらの質問に答えてもらいたいですか?

経営幹部レベルの女性たち。彼女たちに会う機会は滅多になく、ましてや彼女たちの経験や意欲、そして持ち前の情熱について聞く機会などほとんどありません。私はそういう経験談を読むのが好きです。共感し、刺激を受けたいからです。

今までに受けた最高のアドバイスは何ですか?

いつも母の「チャンネルを変えなさい」という声が聞こえてきます。自分の頭の中で考え込んで、問題を過剰に分析したり、どうすることもできないことを繰り返し考えたりしている時は、チャンネルを変えましょう。それを書き出すだけでも心が温まります。辛い時期や辛い話し合いを通して、私たちは自分自身について最も多くを学びます。しかし、もしそれがもはや自分の役に立たなかったり、自分の行動に良い影響を与えていないなら、くよくよ考えるのはやめましょう。

まだ解決しようとしている問題は何ですか?

自信です。人生の様々な場面で不安を抱えるのはごく普通のこと、よくあることだと分かっていますが、私自身、それが時に自分の足を引っ張っているように感じます。私の原動力の多くは、周りの人たちと同じように、あるいはあらゆる面で追いつきたいという思いにあります。ついつい、あまりにも多くのプロジェクトに「イエス」と言ってしまったり、他人の非現実的な期待に応えようとしすぎてしまうことがあります。毎日、自分がまさにいるべき場所にいるのだと自分に言い聞かせなければなりません。「ノー」と言って、自分でコントロールできないことや満たせないことを受け入れても大丈夫だと。自分の進歩と能力に忍耐強くあることを自分に言い聞かせなければなりません。そして何よりも、自信と謙虚さの健全なバランスを保つために、自分を他の人と違い、価値あるものにしているものを認識することが大切だと。