[レポート] 『What “security is our top priority” means to AWS』 #reInforce

[レポート] 『What “security is our top priority” means to AWS』 #reInforce

AWS re:Inforce 2022のリーダシップセッション『What “security is our top priority” means to AWS』のレポートです。セキュリティはみんなで取り組もう。
Clock Icon2022.07.27

この記事は公開されてから1年以上経過しています。情報が古い可能性がありますので、ご注意ください。

こんにちは、AWS事業本部@福岡オフィスのべこみん(@beco_minn)です。

この記事では、EDT 2022/07/26〜2022/07/27 に行われた AWS re:Inforce のライブセッション 『What “security is our top priority” means to AWS』をレポートします。

セッション自体は英語でしたが、日本語での同時通訳があったのでそれを聞きながらメモを取りました。内容が抜け落ちていたり、誤った認識をしている箇所があるかもしれませんがご了承ください。

セッション概要

Join this session to hear from AWS leaders about their approaches to designing, building, and operating AWS services and facilities to meet the confidentiality expectations of customers. Learn how AWS secures data, even from trusted operators and services, dive deep into AWS security telemetry, and learn how the AWS operational culture translates into data security and confidentiality for customers.

登壇者

  • Eric Brandwine VP & Distinguished Engineer, AWS
  • Mark Ryland Director, Office of the CISO, AWS
  • Colm MacCárthaigh VP & Distinguished Engineer, EC2 Networking, AWS
  • (司会進行)Jenny Brinkley Director, Security, Amazon

レポート

セッションはJenny vs 3人の対談形式で行われていました。Jennyの投げかけた質問に対しての3人の回答を以下にまとめてみました。

オープニングトーク

  • Colm: AWSの中にいても追いきれないぐらい様々なサービスアップデートが発生している。このre:Inforceみたいなイベントでキャッチアップが出来ている。

セキュリティ組織はどういった形をするべきか?

  • Mark: セキュリティはお客様も含めたステークホルダー全員で取り組んでいくのが大事。
  • (〜S3バケットの話になり〜)
  • Mark: S3バケットについてはたくさん変更点があるので、お客様には是非キャッチアップしてほしい。

セキュリティトラッキング(セキュリティの追求)はどう考えているか?

  • Eric: セキュリティの取り組みに勝ち負けは無い。パートナーシップを組み、みんなで取り組むのが大事。セキュリティは料理の味付けのように後から一時的にするものではなく、最初から考慮すべきもの。仕事の場だけでなくプライベートなところでもみんなにセキュリティの大事さを発信するとみんなが聞いてくれる。Shared-Win。
  • Eric: また、発生したインシデントを深く追求せず(エスカレートせず)に一時的に対処するのは良くない。

あなたにとって(サービスにおける)Top Priorityとは?

  • Colm: TOP4は、セキュリティ、(2つ目は聞き取れませんでした。耐久性?)、アベイラビリティ、レイテンシー、の順で大事だと周囲からも聞く。デザインレビューなどの中でもセキュリティが一番大事。プロジェクト開始の1日目からセキュリティチームに動いてもらう。ただ、お客様は(セキュリティを)必要としていない。
  • Eric: AWSが提供しているセキュリティ教育などのプログラムはボランティアで行っている。最近セキュリティガーディアンのチームメンバーが減ってきた。
  • Mark: チームメンバーが減ってきたのはAWSのカルチャーがお客様に浸透したという証拠。

エスカレーションの文化について

  • Erick: 自分(Erick)の一番好きな言葉を周りのメンバーに聞くと「エスカレーション」と返ってくる。エスカレーションとは、『仕事を投げる』ということではなく、『よりハイレベルに対応する』ということ。より上の権限を持つ人を巻き込み、情報を共有する。継続的に正しくエスカレーションするという文化がAWSにはある。
  • Colm: サービスは長く続けば続くほど変わっていく。情報を常に共有してセキュリティを常に考える。何かお客様からの要望があればエスカレーションする。そうすることで周りを巻き込める。

セキュリティをTop Priorityに据えていることについてどう思う?

  • Mark: (ただ単にセキュリティ対応が大事と言っても)お客様が一人でやらなければならないと思い孤独を感じる。私たちが並走することが大事。しかし、お客様によってサービスは様々なので柔軟性は必要。
  • Erick: Markの言う通り選択肢があることは大事。お客様によってやりたいことは違う。AWSには責任共有モデルがある。例えばEC2よりLambdaのようなよりマネージドなサービスを使えばローレベルのことは気にしなくて良い。

どういう風に責任共有モデルを適用してる?

  • Colm: AWSが担保しているマネージドな部分は今まで培ってきたエキスパートの体験を提供出来るので素晴らしいもの。お客様が全部やる必要は無い。
  • Mark: EC2であってもローレベルのことはお客様がやらなくていい。AWSのサービスを使えばHyper-visorとか認証とかを丸投げ出来る。お客様から感謝されている。
  • Mark: 以前は手作業で(オンプレで)やっていたことが今は(AWSサービスを使えば)簡単に出来る。特にインフラはコードで書けるようになった。そういったことをクラウド上でお客様が出来る。

お客様にセキュリティについて何をストック(経験?)してもらいたい?

  • Erick: プロダクトは常に問題を孕んでいる。セキュリティ関連の問題はその他扱いされがち。
  • Colm: (ケルベロス)認証をやってもらいたい。昔お客様がシングルアカウントに関する問題を抱えていた。今は新しい選択肢がある。高いレベルのロギングをしてもらいたいし、これらの対応をリーズナブルにやってほしい。

クラウド内でのセキュリティの分離(isolation)についてどう思う?

  • Mark: よく「プライバシー」という言葉が使われるが、「プライバシー」という言葉は広義で使われている。例えばお客様から「AWS上に保存した機密情報をAWS側で見ていないか?」と聞かれるが、私たちは見ないし見たくない。"isolation"についてはちゃんと定義するべき。
  • Erick: Amazon MacieなんかはAPIを公開しているから、ML(機械学習)なんかを意識せずにAPIを利用するだけでいい。「Macieに機密情報を渡すのは怖い」というお客様もいる。今はネットワークがIPで統一されているように、IAMのロールやポリシーで制御できる?(すみません、最後の一文はかなり曖昧です。)
  • (〜log4jの話になり〜)
  • Colm: この前のlog4jのインシデントの話。エスカレーションをする余裕すら無かった。プロセスを壊さないように急いで対応した。社内のjavaエキスパートも巻き込んで対応した。
  • Erick: AWSにはjava専門のチームがいる。

最後に一言

  • Mark: (アカウントチームと組んで、)AWSは常にお客様をサポートしたいと思っている。このイベントも含めてコミュニティにはリスクがつきまとうが、みんなで協力していきたい。
  • Colm: お客様をサポートするためにAWSビルダーは存在する。
  • Erick: AWSのセキュリティチームには長年積み上げてきた価値がある。何よりセキュリティはスタートすることが大事。ビルダーにもっと任せてほしい。

まとめ

本セッションで伝えたかったんだろうなと自分が思ったことをまとめます。

  • セキュリティの取り組みはステークホルダー全員で取り組むことが大事。お客様一人で抱え込まずにAWSに任せる所は任せて欲しい。
  • 問題をエスカレーションすることは悪いことではない。むしろ周りを巻き込んでいけるので積極的にやるべき。
  • セキュリティの分離(isolation)についてはちゃんと定義して欲しい。(必要以上に怖がらないで欲しい?)

全体的に「セキュリティは最重要事項(Top Priority)であること」、「セキュリティにはみんなで取り組むこと」が強調されていた印象を受けました。

聞き漏らした所はかなりありましたが、共感出来る内容も多く興味深いセッションでした。

(こういうセッションを英語で聞き取れるようにリスニング力を鍛えたい。。)

以上、べこみんでした。

Share this article

facebook logohatena logotwitter logo

© Classmethod, Inc. All rights reserved.