こんにちは、菊池です。
この記事は、AWS re:Inforce 2023 ジャパンツアー特別公演で開催された、AWS Global Security, Vice President, Hart Rossman 氏によるセッションのレポートです。
レポート
冒頭、AWS re:Inforceで伝えたメッセージの振り返りがありました。セキュリティはAWSで最優先事項であり、それに基づき多くのサービスを提供してきたこと、AWSでは継続的にセキュリティのケイパビリティをあげることに注力し、AI/機械学習の活用も行なっているとのことです。また、Zero Trustのケイパビリティ向上も重要視している点であると話されました。
そして、AWSのようにセキュリティをカルチャーとして構築するために必要な、リーダーシップ、オペレーション、AppSecの3つについて解説されました。
リーダーシップ
まずは、セキュリティについてのリーダーシップが大事であると話します。AWSでは毎週、CISOのCJ、CEOのアダム、そしてシニアリーダーたちがセキュリティのミーティングをしているということです。これはただの上司への報告ではなく、社内でセキュリティがどのように考えらているかを学び、正しい方向に進むために重要な場となっているそうです。世界のお客様をみても多くの場合、CEOとセキュリティについて話すは多くても月、四半期に1度程度で、これに対して、毎週セキュリティに関するミーティングを持ったらどう変化するかを考えてほしいと。
オペレーション
続いて、セキュリティをプロジェクトやプログラムではなく、オペレーションとみなすことが必要だと話します。プロジェクト、プログラムは始まりと終わりがあるのに対し、セキュリティは継続的なものであるという理解が必要ということです。オペレーションと同じく、常に心がける必要があります。なので、彼のチームにセキュリティの「プロジェクト」はなく、オペレーションとして継続的に行なっているということでした。
AppSec
AppSeccが意味するものとして、ブルーベリーマフィンを例に、セキュリティは何かの上にアドオンされるものではなく、中に埋め込まれるべきものということを話されました。AWSはセキュリティを常に中に組み込まれたものにするよう取り組んでいいる。それがAppSecガーディアンプログラムです。ガーディアンは一般の開発者であり、12時間くらいのトレーニングをうけ、「チャンピオン」になるメンバーです。AWSには数千人のAppSecガーディアンがいて、毎週のオペレーションの中でセキュリティを根付かせつ役割を担うと言います。
リーダーシップ、オペレーション、AppSecガーディアンこれがAWSの取り組みであるとメッセージされました。
さいごに
今回のre:Inforceを通して、セキュリティをカルチャーと捉え、構築するというメッセージが印象的でした。貴重な機会を企画いただいた、ジャパンツアーの皆さん、ありがとうございました。
2
