[レポート]基調講演 セキュリティの民主化に向けて今求められること～Building Securely by Everyone for Everyone～ – AWS Security Forum Japan 2023 #aws #awssecurity

こんにちは、臼田です。

みなさん、AWSのセキュリティ対策してますか？(挨拶

今回は2023年10月12日にオフラインで行われたAWS 国内最大のセキュリティイベントであるAWS Security Forum Japan 2023の下記セッションのレポートです。

セキュリティの民主化に向けて今求められること～Building Securely by Everyone for Everyone～

クラウドを活用して企業がどのようにセキュリティ企業文化醸成を成し遂げてきたか、何が成功の要因であったか、また、予測不可能な変化に企業が対応できるようにするため AWS などのクラウド技術をどのように活用するかをテーマとしています。

基調講演の前半では、AWSの最優先事項であるセキュリティに関連する全体的な取り組みとAWSサービスを様々な角度からご紹介していきます。中でも昨今話題のGenerative AIサービスであるAmazon Bedrockや、企業内で増え続けるデータの利活用・ガバナンス強化をおこなうAmazon DataZoneなど、今のトレンドに沿ったテクノロジーを活用し自社の対策につなげるヒントを提供します。基調講演の後半はパネルディスカッションを実施。業界で著名なセキュリティリーダーである CISO にご登壇いただき、企業におけるセキュリティの実践的なディスカッションから、「セキュリティを他人事にしない」ためのセキュリティ組織文化を作り上げる取り組みなどについての洞察を伺っていきます。

アマゾン ウェブサービス ジャパン合同会社 執行役員 技術統括本部長 巨勢 泰宏

パネリスト

PwC Japan グループ Chief Security and Trust Officer Chief Data Officer パートナー 外村 慶 氏

株式会社Preferred Networks セキュリティアーキテクト シニアアドバイザー NPO 日本ネットワークセキュリティ協会(JNSA)　副会長 CISO支援ワーキンググループ 高橋 正和 氏

freee株式会社 CISO 茂岩 祐樹 氏

モデレーター

アマゾン ウェブサービス ジャパン合同会社 Head of Security Sales, Amazon Web Services Japan 桐山 隼人

レポート

• イベント概要
  • AWSのセキュリティや事例を紹介
  • 1000名以上が登録
  • 17のセッションと14の展示がある
  • 多くのセキュリティに関連するパートナーが協賛している
  • パートナーソリューションとの連携でAWSのセキュリティが実現される
• セキュリティ対策はすべての企業で取り組む課題
• ここではAWSセキュリティの深化と進化について話す
• AWSは2006年開業
  • その頃から提供しているコアの技術がAmazon EC2
  • EC2が目指す世界観
    • 世界規模の拡張性
    • あらゆるワークロードで使える
  • こういった世界観のための取り組み
    • 高性能と低コストとセキュリティのトレードオフ
    • 中でもセキュリティはAWSでも最優先事項で妥協が許されない
  • この取り組みのために半導体開発のannapurnalabsを取り込んだ
  • シリコン開発ができる
  • その成果がNitro System
  • ネットワークやストレージの入出力を専用のハードウェアに置き換えられるようになった
  • Nitro Systemによりセキュリティも確保された
  • 暗号化処理などもハードウェアで肩代わりしてくれる
  • AWSによって高性能低コストセキュリティのトレードオフが減らされている
  • 両立できる
• AWSでは責任共有モデルを提唱している
  • AWSが確保するセキュリティとお客様が取り組むべきセキュリティを定義している
  • 利用するサービスによってどこまでお客様が実行するかは違う
  • サーバレスだとよりセキュリティをAWSにオフロードできる
  • ユーザー側の運用負荷も下がる
  • 抽象度が高いほうが有事の際の対応速度も高くすることが期待できる
• AWSはアーキテクチャのベストプラクティスとしてWell-Architectedを提供している
  • セキュリティ戦略の検討に役立てる事ができる
  • このフレームワークはAWSのソリューションアーキテクトが15年にわたり数多くのお客様を支援してきた集大成
• AWS上のワークロードやデータを保護する様々なセキュリティサービスがある
  • クラウド上でのセキュリティ対策はゲート型ではなくガードレール型がいい
  • 事前承認するのではなく、危険な逸脱を回避するセキュリティがいい
  • ガードレール型のセキュリティのためにAmazon GuardDutyとAWS Security Hubがよく利用される
  • Amazon GuardDutyはAWS上の様々なログから不正な行為を検出する
  • AWS Security HubはAWSリソースの設定ミスを特定する
  • 多くの企業がガードレール型のセキュリティ対策を実現できている
  • 午後のセッションでも聞いてほしい
• セキュリティデータ分析に残る課題
  • AWS外でもSaaSやオンプレミスのセキュリティデータの分析も必要になる
  • 多層防御やハイブリッドなどでセキュリティデータの集約管理が必要になる
  • Amazon Security Lakeによりセキュリティデータを集約できる
  • OCSFを採用していて、様々なパートナーソリューションからログを集約できる
  • AWSのアナリティクスや機械学習でデータを活用できるし、サードパーティツールでも分析できる
  • こういったセキュリティサービスを統合することで迅速なインシデントの検知とレスポンスが可能になる
  • これも午後のセッションで聞いてほしい
• 組織にとってデータは重要な資産
  • 近年ではデータが爆発的に増えている
  • 世界中のデータの90%は過去2年で生成されたものと言われている
  • データの管理は重要
  • AWSでは様々なデータ戦略の仕組みを持っている
  • 集約や機械学習による分析など
  • データをシームレスに連携できる仕組みがある
  • 結果、数十万ものデータレイクがAWS上で稼働している
  • 様々な企業のデータ戦略をサポートしている
  • 課題はコントロールとアクセスの両立
    • 組織内のデータ検索やタイムリーな権限管理などが必要になる
    • データを適切にコントロールすることで自由なデータ活用ができる
  • Amazon DataZoneを提供している
    • 様々なデータをカタログ化し、一元的な権限管理でアクセスできる
    • データの意味を表すビジネスメタデータなども定義できる
    • データの利用ルールを定義してビジネス観点でも公開できる
    • 利用者はポータルからアクセスを申請して利用できる
    • 利用者が発見購読し、セルフサービスとしてデータを民主化できる
• 企業に蓄積されたデータの活用は人工知能が活用できる
  • 生成系AIは人間と機械のインターフェースになる
  • 生成系AIはテキストプロンプトから人間に近い会話を元にテキストだけでなくあ画像なども生成する
  • 膨大なモデルが必要になる
  • 機械学習のモデルを利用していることは変わりないが、従来と規模が異なる
  • 従来はそれぞれの機械学習のモデルにラベル付けしていた
  • 生成系AIは基盤モデルを複数のタスクに適用する
  • 事前学習済みの基盤モデルをファインチューニングしてきた
    • これには時間かかった
  • 生成系AIではこれを素早くできる
  • 保有しているデータが精度を上げることができる
• Amazon Bedrockが利用開始している
  • 東京リージョンで利用できる
  • 基盤モデルをユーザーが作る必要なくすぐ利用できる
  • プライベートな環境でチューニングもできる
  • 実績のあるAWSのセキュリティ機能と連携してデータの保護を強化
  • つまり5つの価値がある
    • APIで使える
    • 厳選されたモデルが利用できる
    • プライベート
    • データ保護
    • 慣れ親しんだツールでアプリケーションをデプロイ
  • 基盤モデル
    • AI21labsは多言語対応
    • ANTHROPICやstability.ai、Meta AIもある
    • Amazon TITANもある
      • これは責任のあるAIに重きをおいている
      • 不適切な内容を除去する
• データプライバシー
  • お客様のデータを学習に利用されない
  • すべてのデータが暗号化され管理できる
• ユースケース
  • セールスレポートを要約したり
  • アパレルのデザインを作ったり
  • 業種を問わずに利用検討できる
• AIの拡大
  • 2025年までに2040億ドルの投資になる
  • 同時にAIを責任を持って利用しなければならない
  • もっともらしい間違った回答をする可能性を考慮しなければ行けない
  • リスクがあるから利用を控えるべきか？答えはNo
• 検索拡張生成(RAG)
  • 回答を企業のデータに限定して利用することでハルシネーション(誤った発言)を軽減する
  • 自社のナレッジベースを活用する
  • ユーザーのコンテンツアクセス権限に基づいてナレッジにアクセスすることができる
  • アストラゼネカではこの仕組みを利用している
• 開発業務の生成系AI利用
  • コード開発の自動化
  • Amazon CodeWhispererはコードの生成を自動化
  • コードスキャンによる脆弱性調査も可能
  • オープンソースを学習してフィルタリングし、ライセンス的にリスクのあるものがないか確認できる
  • 開発速度が57%向上
• まとめ
  • あらゆる領域でセキュリティやガバナンスが重要
  • 最新のビジネスを検討する人すべてがセキュリティを真剣に考えていく必要がある

パネルディスカッション

• タイトル: セキュリティの民主化に向けて今求められること～Building Securely by Everyone for Everyone～
• モデレーターはAWSの桐山さん
• パネリスト
  • PwC外村さん
    • 3 line defenseの話
    • 立場は2線
  • Preferred Networks高橋さん
    • セキュリティを名人芸として扱わずに合理的な工学的なセキュリティがいいのでは
    • 現場が分からなかったのでPreferred Networksに入った
  • freee茂岩さん
    • DeNAの創業期から参画
    • ケータイがスマートフォンに変わっていく過程でセキュリティの道を歩み始めた
    • CISOの立場としてやっているのは事業をスピーディかつ安全に運営すること
• セキュリティの民主化ってどんなこと？
  • 技術へのアクセスが一般化されている
  • 知識の共有がされている
  • 組織全体の意識
• セキュリティの「ジブンゴト」化と言い換えてみる
• 会場に来ている人で肩書にセキュリティという単語がはいっている人は3割くらい
  • 逆に言うとそうじゃない人も多いので民主化されているのでは
• Q1. セキュリティの民主化時代に組織のセキュリティリーダーが考えることとは？
  • 外村さん
    • 3 line modelの話から
    • ガードレールをしっかり作っていくところから始める
    • そうすると1線が噛み合わないところがでてくる
    • セキュリティリスクも様変わりしているから
    • こうあってほしいという姿が変わってきている
    • 2線の役割は1線がこうあってほしいなという形にならないといけなくて、その1つがガードレール
    • これはセキュリティだけではなくITガバナンスでも同じでは
    • 1線と2線の最適な形を作っていく必要がある
    • コンサルもやっていて、1線と2線の自分がいる
    • 相反する時がある
    • 自分の中で行ったり来たりして落とし込む
    • 2線はやれというだけではなくてジブンゴトにする必要がある
  • 高橋さん
    • ChatGPTに聞いたら今回のイベントがでてきた
    • 自分で考える
    • セキュリティ委員会が専門家ばかりで構成されているかもしれない
    • 監査としては問題ないけどオペレーションには問題が出る
    • ステークホルダーと一緒に考えないといけない
    • 齟齬の少ない対策・指示・対応を考えていく
    • 違う分野の専門家たちが集まって取り組むことが民主化の第一歩では
  • 茂岩さん
    • セキュリティの民主化をセキュリティ組織がやっていたことを現場に移譲することを考える
    • 組織が大きくなってセキュリティの人数を倍増するかというと違う
    • そのために民主化をしていく必要がある
    • 専門家の知識をそのまま渡してもうまくワークしない
    • 部門ごとに人材もバックグラウンドも違う
    • 多様な事業部に合わせたコミュニケーションが必要
    • 順番付けするなら重要度の高い部門からアプローチをしていく
    • 例えばセールス部門では顧客情報を持っている
      • 情報漏洩が問題があるのはみんなわかっているが、自分たちの業務とセキュアにすることを結びつけるのはセキュリティ部門からアプローチする
      • 業務手順書をセキュリティ部門がみて、この手順をこうすればもっとセキュアになるとか提案する
      • 手順書に従っていれば自然にセキュリティが向上するようにしている
  • 桐山さん
    • 1社で取り組むのは大変では？
  • 高橋さん
    • おそらくこの取り組みは大変になる
    • 業界団体だと専門家視点で動いている事が多い
    • ただユーザー企業に移っている人もいるので最近はそういったワーキンググループもある
  • 桐山さん
    • AWSの立場として、最近脅威情報としてMadPotを提供している
    • 例えば予めDDoSを防いだり、悪意のあるC2ホストを報告したりしている
    • 専門家でなくてもセキュアな環境を利用できる
• Q2. 組織のセキュリティリーダーとして何を成功(あるべき姿)と定義していますか？
  • 外村さん
    • セキュリティの立場はエンタープライズリスクマネジメントの一部
    • どれだけリスクを見れるか
    • セキュリティは経営責任だが、実際に話すと噛み合わないことがある
    • できるできないを一旦置くとリスクを表現する必要がある
    • 経営会議でどれだけのリスクを潰せているかと報告できるような形が必要では
    • アセスメントとかをやるときもリスクのアセスメントではなく対策のアセスメントでは
    • 相関はあるだろうが、その相関を適切に考えないといけない
  • 高橋さん
    • メタファー的な話
    • 金の卵を生むガチョウを短期的な利益のために殺す話
    • セキュリティも事業を殺しかねない
      • あれもだめこれもだめとやってしまう
    • セキュリティのあるべき姿は事業を継続させること
    • 主体が規範とかではなく自分たちのビジネスに変わっていける
  • 茂岩さん
    • セキュリティの成功より事業の成功がだいじ
    • セキュリティを始めて防御することを理解していくと、守ることは結構簡単になる
    • セキュリティを強めるだけなら頬っておいてもできるが、ビジネス的にどうできるようになるか
    • CISOとしては安全に緩める事が必要
    • リスクがあるから、適切に判断しないといけない
    • スピードと安全性の両立ができる
    • セキュリティのチームの価値を上げる
    • ずっと事業を行うことに寄り添う必要があり、セキュリティチームでも安定する必要がある
  • 桐山さん
    • AWSではよりセキュアにしていくために2024年中頃からAWSアカウントの特権ユーザーで他要素認証の仕様を必須とする
• Q3. セキュリティ組織文化を醸成するために必要な要素や具体的なアクションはありますか？
  • 外村さん
    • チームをリードして何が足りないかと考えると、リスク感度が足りない
    • 個々のものと、チームのもの両方ある
    • スキルは向上できるがリスク感度は向上が難しい
    • セキュリティはシステムづくりと違って進む方向が決まっているわけではない
    • 想像・想定していないものを「想像していませんでした」で追われないからリスク感度を高める必要がある
    • 例えばソフトウェアの例外申請
      • ビジネスニーズを確認して比較的許容する
      • 申請が多いのを見ていくと民主化の要素が垣間見える
      • リスクがどこかに潜んでいないかを考えられる
      • それをふっと思えることがリスク感度が高い
  • 高橋さん
    • CISOを経営陣に入れてコミュニケーションに入れる必要がある
    • とある大きな会社では役員会社のチャットグループに子会社を入れた
    • レポートを早く挙げないと役員に先に状態だけ伝わるためレポートを上げるようになった
  • 茂岩さん
    • 各組織にアウェアネスをつけてもらうために社内マーケティングが必要
    • その組織にどのような情報が刺さるかを考える必要がある
    • 例えば事業リーダーにセキュリティの情報を伝えるときに、最初は興味がなさそうな感じだったので、野球やスポーツに興味がありそうであればそういう絡め方をするなど
  • 桐山さん
    • AWS組織ではAWS Guardiansという取り組みをしている
    • いろんなチームの中でセキュリティを推進する人を任命し、セキュリティトレーニングを受けてもらう
    • 開発者と協力しながらセキュリティの判断を行う
    • Guardianがチームに居ると22.5%の脅威の減少効果があった
• セキュリティはNoと言うよりYes, and...と言う存在になる
  • そうですね、そしてこれもやるとより良いですね、と言い方をする

感想

響くキーワードがたくさんありました。リスク感度という言葉は僕が最近来にしていることだなーと思いました。組織としてこれを向上するのは大変だなーと思っています。

どうやってやったらいいですかねー。考え続けていきます。