こんにちは、菊池です。
引き続き、AWSのセキュリティカンファレンス、AWS re:Inforce 2023に参加中です。この記事では、ジャパンツアー参加者むけに開催された、AWS CISO CJ Moses氏による特別講演の様子をレポートします。
ジャパンツアーからのイベント参加者に向けたスペシャルコンテンツということで、とても有意義なものになりました。
レポート
ジャパンツアー参加者むけに事前に募集された質問に対し、CJ氏がお答えする形式で開催されました。モデレータは、AWS Japan ソリューションアーキテクトの大村さんです。
CJ Moses氏は前日のキーノートにも登壇したAWSのCISOで、 AWSのセキュリティ全体の統括とセキュリティサービスのリードを行っています。
Q1
質問
AWSセキュリティサービスの今後の展望(ロードマップ)と、特に力を入れていくサービス、注目すべきサービスを教えてください。 また、生成AIを活用したセキュリティサービス提供は検討していますか?
回答
AWSのアプローチは何年も前から、「顧客から始まり、顧客に終わる」ということで、AWSの全てのお客様が自動的にその恩恵を受けられるようにと考えています。昨日のキーノートでもお話ししましたが、Nitro SystemやFirecrackerによるイノベーション、GuardDuty、Inspector、Security Lakeといったサービスを提供してきました。我々は、共有責任モデルにおける顧客の責任範囲について支援したいと考えています。顧客からよく聞く課題はセキュリティの可視性を高め、分析することです。そういった課題に答えるサービスがSecurity LakeやSecurity Hubです。今後もAWSだけではなく、AWSと統合するパートナー・製品と一緒になって提供していきます。
生成AIの活用については以前から取り組んでいて、GuardDutyなどがそれにあたります。また、昨日発表した、CodeGuru Secruriyで開発者のセキュリティ向上に寄与します。
Q2
質問
セキュリティは最優先事項と理解していますが、コストになりがちなセキュリティ予算をAWSではどう確保されていますか? 日本企業のセキュリティ担当は予算確保や経営層への説明に苦労しています。CISOであるCJの立場からどういう説明をされると納得されますか?
回答
予算というのは全ての事業にとって課題であり、それはAmazonも一緒です。異なるアプローチをしているのは、各事業部のリーダーがそれぞれセキュリティに責任を負っているということです。これには、一夜にして実現できない文化の醸成が必要であり、全ての人が理解できるように啓蒙してきました。大切なのは、ネガティブなアプローチを避け、よりよいソリューション、ビジネスを産むための生産的な議論をすることです。コアな事業からセキュリティに対する文化の基盤ができたことで、共有の理解が生まれました。各事業のリーダーが自部門のセキュリティに責任を持つ、これが文化です。利益、損失の両方の面で責任を持ちます。セキュリティに対しては、中央集権のアプローチではなく全ての事業部を支援するというアプローチをとります。これを支援するガーディアンズというメンバーが各事業部にいて、主要なエンジニアをスペシャリストに育成することを支援します。チームで協力し、設計から実装、テストまで一貫してセキュリティリスクを低減します。より良い文化を作るために、セキュリティを足枷にしない、より強靭なビジネスのための基盤と捉えます。
大村さんからの補足:
AWSでは責任はそれぞれで持つというカルチャーを作っています。中央集権ではなく、ガーディアンズというプログラムあり、例えば、OSSの公開時にガーディアンへのチェックを依頼したりします。ガーディアンを増やすのがCISOの役目です。
Q3
質問
セキュリティを担当する経営層、ジュニアエンジニアの育成に課題があるのですが、AWSではどのようなセキュリティ担当育成プログラムがありますか?
回答
セキュリティの文化をどのように維持していくかという、とてもいい質問です。先ほどの質問でもありましたが、ガーディアンのプログラムの中で育成します。社内のコミュニティも活発で、お互いに指導し合っているいます。これがキャリア開発の面でも体系的な育成の環境と言えるでしょう。AWSはセルフサービスの文化で、社内で数100の学習のためのコースがあり、一般的なものから、Amazon独自のものまで提供されています。また、外部研修プログラムもあり、常に新しいアイディア、視点を取り入れています。
Q4
質問
AWSはセキュリティ、そしてセキュリティ・カルチャーを大切にしている会社だと理解しましたが、セキュリティ・カルチャーはどのように作り上げることができるのでしょうか?
回答
これまでの回答でも触れているものを掘り下げていきましょう。事業におけるセキュリティの意義を理解することが重要であり、ただ闇雲にセキュリティ対策をやればいいというものではありません。リスクを特定し、理解し、事業における許容度の範囲内で活動することが必要です。そのためには「Yes, But」または「Yes, and」からはじめます。これによってものの見方が変わり始めました。対立したときに、なぜそうしなければいけないのかを主張するのではなく、適切にどう取り組んだらいいのか、事業部にとってどう進めていくのがいいのか、という会話を育むことです。深い協力体制を作ることです。ガーディアンのおかげで知識、文化が深まりました。カルチャー作りに近道はありません。ただ文書化して終わりではありません。カルチャーは全てのやり取りの結果です。そのために、「Yes, But」「Yes, and」を意図的にやっていきます。そのリスクがある、それをどうすのがいいのかというサジェストを繰り返すことです。
Q5
質問
AIの発展に伴い、悪意あるAIによる高度な攻撃増加が予測されますが、AWSのセキュリティサービス利用者が考慮すべきことはありますか?
回答
セキュリティにおいて、AI/機械学習のポジティブな恩恵を多く見ているが、同時にネガティブな側面もあります。基礎に忠実に、弾力的なシステム、深層的な防御が大事です。AI/機械学習のポジティブな利点は迅速な処理と分析です。異常に対して迅速、大規模に対応できます。顧客はGuardDutyなどのサービスでそのメリットを享受しています。AWSの技術が功を奏していると言えるでしょう。GuardDutyではCloud Trailを分析して、手動の分析では困難な活用をしています。Amazon Inspectorは機械学習で検査をしています。エンジニアの作業は困難な速度で実現しています。AWSでは以前から多くのAI/機械学習を活用した事例があります。どのようなものでも利点と欠点があり、どこに適しているか理解して活用することが重要です。
さいごに
ガーディアンズというプログラムやAWSのセキュリティに対する文化、そしてそれをどう作ってきたのか、ここでしか聞けない、貴重なお話を伺うことができました。 企画・準備して頂いた、ジャパンツアーの皆さん、ありがとうございました。
2
