[レポート] re:Inforce 2024 AWS CISO Chris Betz ジャパンツアー特別公演 #AWSreInforce
こんにちは、菊池です。
引き続き、AWSのセキュリティカンファレンス、AWS re:Inforce 2024に参加中です。この記事では、ジャパンツアー参加者むけに開催された、AWS CISO Chris Betz氏による特別講演の様子をレポートします。
ジャパンツアーからのイベント参加者に向けたスペシャルコンテンツということで、とても有意義なものになりました。
レポート
ジャパンツアー参加者むけに事前に募集された質問に対し、Chris氏がお答えする形式で開催されました。モデレータは、AWS Japan プリンシパルコンプライアンススペシャリストの高野さんです。
まずは自己紹介から。AWSにジョインして9ヶ月ですが、以前にはApple、Capital One、Microsoft、国家安全保障局といった組織でセキュリティのリーダーシップを務めてきました。10年以上、AWSの顧客としてAWSに対して厳しい要求をしてきたが、この立場になって、お客様から厳しい要求をいただく立場になった。顧客の要求がわかる立場でサービスを提供している、と話しました。
質問1
質問:AWSのCISOになって1年が経とうとしているが、Amazon のセキュリティ文化についてどのような印象を持たれていますか?
回答:
AWSはセキュリティカルチャーを大切に考えていて、組織構造に直接紐づけられています。オーナーシップがAWSの文化として根付いています。まず、CEOから始まり、取締役、全ての社員一人一人がセキュリティは自分の責任であるという意識を持っている。CEOは毎週金曜日にミーティングを行い、サービスチーム、プロダクトチームがセキュリティに主眼を置いて話をします。セキュリティの意識がトップから開発者まで全てに浸透しています。全ての階層、サービスチーム、エンジニアチーム全てがセキュリティを確保しています。CEOと話すのは社員にとって年に1回程度ですが、そこで、どれだけオーナーシップを持ってセキュリティを高めてきたかを話します。セキュリティ文化を強化するために、知識と情報を提供し当事者意識を高めるガーディアンプログラムとういうものがあります。サービスエンジニアにセキュリティチャンピオンを置き、全ての製品開発ステップにセキュリティを埋め込んでいきます。これを実行するにはツールが必要です。このツールを提供するのが私のチームの役割です。うまくスケールするためにツールを提供します。そして、セキュアなプロダクトが早く、簡単に開発できるようにします。このイノベーションへの投資により、Inspectorなどを開発し、それをサービスとして顧客に提供してきました。
質問2
質問:Apple、Capital One、Microsoft、国家安全保障局といった企業でセキュリティに取り組まれた経験から、今のAWSに課題に思われたことはありますか?
回答:
どの組織も完璧ではありません。このセキュリティ文化、ツール、メカニズム、この3つを組み合わせて、サービスのレジリエンスを高めていきます。セキュリティ文化は強靭なものだが、改善が必要なものもあります。私たちは、非常に高いセキュリティ水準を要求しており、プロセスによっては時間がかかっているものもあります。セキュリティの進化のスピードはとても早いです。ガーディアンプログラムはとても良いものですが、全てのエンジニアに最新の知識をインストールするのは難しいです。そのスピードをいかに早めるのかが課題と認識しています。このような課題はあるが、スケーラビリティ、スピードを発揮するのはセキュリティの共通の課題だと思っています。これは、ある程度セキュリティに成功しているからこその課題だと思います。
質問3
質問:質問2の課題を受けて、CISOとして今後どのような取り組みを考えていますか?Amazonのセキュリティをどのように変革していきたいと考えていますか?
回答:
素晴らしい質問です。まずはスケール、そして教育です。専門家として深い知識を持たせることは重要なので、そこにさらに投資をします。また、皆様のアプリケーションのレビューに力を入れています。顧客のアプリケーションのレビューをするのは、エンジニアがディープダイブして診ていかなければいけません。これをもっと積極的に進めます。そして一貫した、スピードある対応に投資して行きたいです。Generative AIにさらに投資します。より使いやすいGenerative Aを構築し、活用する分野です。いくつかの例を挙げると、世界中に展開しているセキュリティオペレーションセンターでは、セキュリティハンドオフ実施しています。ここでは、読み解かねばいけない情報も非常に多いです。Generative AIでハンドオフの際のサマリを自動化することで、より簡単に、早く対応でき、迅速に問題を解決できます。
質問4
質問:多くの国内金融機関で、生成AIの導入が検討されています。活用が進むにつれ、次の注目はセキュリティ、リスク管理になると思います。AWSは生成AIにおけるセキュリティをどのように位置付け、また取り組んでいくのか、今後の計画があれば教えてください。
回答:
このトピックについてキーノートでも触れました。Generative AIには3つのサービスレイヤがあります。一番下層のレイヤでは、トレーニングにおけるデータ保護を提供します。2番目のレイヤは行使し、使用する部分です。解答の意図を明確に判断し、また、センシティブな情報がプロンプトに入らないようにします。3つ目はアプリケーションです。AIは単独で活用するものではなく、顧客が求めるものを実現することが必要です。ここでもやはりセキュリティが重要です。アプリケーションでのセキュリティが他のCISOが足を掬われるところだと思います。このような理由から、自分たちでGenerative AIを実行しています。ガードレールを整備して、顧客にセキュリティが高いサービスを提供できるようにします。また、ガイダンスを用意し活用できるようにしています。
質問5
質問:将来自分もCISOになりたいと思います。最初からCISOを目指されていたのでしょうか?どのようなきっかけでCISOになられたのか、将来CISOを目指す人へ、アドバイスをいただけますか。
回答:
ありません(笑)。私は問題解決がすきです。私はエンジニアとしてスタートし、今もエンジニアのマインドで活動しています。ラージエンタープライズのセキュリティの課題を見ると、困難を極める課題があります。これを解決するのが好きなんです。私のジャーニーとしては、新しい、興味深い課題を解決することが好きです。多くの問題をうまく解決し、そして新しい課題に対峙し、さらにうまく解決していくことだと思います。私たちが仕事をベストな方法で行ったとき、エンジニアはそれに気づいていないことが多いのです。セキュリティはエンジニアの普段の仕事の一つです。セキュリティがあるべき姿で機能するようにしていくことがベストジョブ。他の人にそれを理解されないことこそがベストジョブだと思います。
最後に
最後のメッセージとして、日本からの参加者に感謝を述べられて締めくくりました。
まとめ
普段直接コミュニケーションをする機会がないトップマネジメントから、生のメッセージをいただける貴重な機会でした。ジャパンツアーならではの企画で有意義な時間となりました。