[レポート] re:Inforce 2025 Japan Access Tour特別公演: AWS CISO Amy Herzog との交流会 #AWSreInforce

あしざわです。

米国東海岸で開催されているAWS re:Inforce 2025 に現地参加しています。

今回の記事では re:Inforce 2025 のJapan Access Tour特別公演の1つ、「AWS CISO Amy Herzog との特別交流会」についてレポートします。

re:Inforce のJapan Tourでは例年、CISOとの交流会が企画されています。

• [AWS re:Inforce] ジャパンツアー特別公演 AWS CISO CJ Moses Ask me anything レポート #AWSreInforce | DevelopersIO
• [レポート] re:Inforce 2024 AWS CISO Chris Betz ジャパンツアー特別公演 #AWSreInforce | DevelopersIO

今回の交流会もとても有意義なものとなりました。

3行まとめ（キーポイント）

• 現場経験豊富なAmyの実践的なアドバイスで、経営層からエンジニアまで役立つ内容
• セキュリティ文化の構築、開発チームとの協調、予算確保など組織運営の重要ポイントを解説
• ミッションクリティカルシステムのAWS移行やDDoS・ランサム対策など具体的な課題への対処法を紹介

セッションの内容

今回も例年と同様、Japan Tour参加者向けに事前に募集された質問に対し、CISOのAmy Herzog氏が回答していく形式で開催されました。モデレーターはAWS Japan パブリックセクターのディレクター 瀧澤さんです。

自己紹介

まず最初に、Amyの自己紹介から始まりました。Amyは、Amazon入社2年目でAWS CISOに就任されたばかり。以前はAmazonの広告、デバイス、プライムビデオなどの事業部でセキュリティリーダーシップを担ってこられました。Alexa+、Ringなどの消費者向けプロダクトやProject Kuiperのセキュリティをリードされた経験をお持ちです。

Q1.「AWS CISOになってまだ2週間ですが、どんな印象をお持ちですか？」

Amyはこう語りました。

「以前からAmazonで初代AWS CISO Steve Schmidtと協業していた経験があるので、AWSのセキュリティチームとの連携の深さは知っていました。でも実際にAWS CISOとして働いてみて、特に印象的なのはAWSの開発スピードの速さですね。常に新しい製品・サービスを出し続ける姿勢が、他の事業部とは明らかに違います。

完璧ではありませんが、チーム間の協業体制の深さが本当に顕著で、それをみんなが肌で感じているのが重要だと思います。」

Q2.「Amazonのセキュリティ文化を、他の組織はどうやって取り入れられますか？」

Amyは実体験をもとにこう語りました。

「文化を変えるのは本当に時間がかかります。でも、明確なステップを踏めば必ずできます。私が推奨するのはこんなアプローチです：

• セキュリティ業務の成果について、チーム内で継続的に話し合うこと
• チームが必要に応じて変更・調整できる柔軟性を持つこと
• 個人の改善だけでなく、みんなでゴール達成のために協力すること
• 同僚との絆を感じながら仕事を進めること

セキュリティリーダーに一番求められるのは、事業部門のメンバーと一緒にお客様から信頼を得て、それを組織全体で推進していくことです。コラボレーションこそが、セキュリティにおいて最も重要なんです。」

Q3.「セキュリティレビューで開発チームと対立してしまいます。どう解決すればいいでしょうか？」

この質問に対して、Amyは3つの具体的なポイントを示しました。

まず、プロセスと期待の一貫性を保つこと
「1st Partyレビューから3rd Partyレビューまで、一貫性のあるプロセスを作ってください。開発の人たちが行き詰まった時に、気軽に『ちょっと相談したいんですが』と言える環境を作ることが本当に大切です。」

次に、支援システムの構築
「困った時にすぐ支援できるシステムを作りましょう。『ボタンを押したらブロックされる』んじゃなくて、『ボタンを押したら助けてもらえる』というアプローチが重要です。」

そして、セキュリティガーディアンの配置
「セキュリティに熱意を持つ専門家を開発チームの中に配置することをお勧めします。対立が起きそうになった時、その人がいることで『ちょっと待って、一緒に考えよう』となって、対立を避けられるんです。」

Q4.「ミッションクリティカルなシステムをAWSに移行したいのですが、社内の抵抗が強いんです...」

この切実な質問に、Amyは自身の経験を交えて段階的なアプローチを語りました。

まずは「なぜ？」を繰り返すこと
「これは本当によくある話で、私も何度も経験しました。まず社内でのパートナーに色々質問してください。どうして抵抗があるのか、根底にある理由を把握することが重要です。『なぜ？』を繰り返すことで、感覚的な抵抗なのか、具体的な懸念があるのかが見えてきます。」

成功事例を具体的に示す
「AWSは金融やヘルスケアなど、機密性の高い業界で数千のお客様を支えています。例えば、カナダの生命保険会社では資産管理システムの全APIをAWSに移行して、Amazon Q Developerを活用した結果、開発者の生産性が40%も向上したんです。こういう具体的な事例を示すことで信頼を築けます。」

個別対応の大切さ
「でも、会社や組織によって状況は全然違います。だからこそ、皆さんの独自の状況をアカウントチームにしっかり共有してください。最適な推奨事項を一緒に考えてくれるはずです。」

Q5.「DDoS攻撃やランサムウェアが心配です。どう対策すればいいでしょうか？」

日本でも大きな課題となっているこの質問に、Amyは実践的なアドバイスを語りました。

まず「回復力」が何より大切
「こういった攻撃は世界的な課題ですね。攻撃を阻止することも大切ですが、それ以上に回復力を持つことが重要です。これはWell-Architected Frameworkの中核となる考え方でもあります。『攻撃されることは前提として、いかに早く復旧できるか』を考えましょう。」

ランサムウェアには予防重視で
「ランサムウェアについては、とにかく予防にフォーカスしてください。深く防止していくことが大切で、AWSにも様々なリソースがあるので、ぜひ参考にしてください。」

DDoS対策ではAWSの強みを活用
「DDoS対策は、まさにAWSが力を発揮できる分野です。全てのアカウントがShieldで保護されていて、ネットワークをモニタリングして、攻撃が入ってくる前にブロックする仕組みが構築されています。疑いのある活動があれば、大規模にスケールして阻止できます。Well-Architected Frameworkを参考に、保護が入る前から回復力のあるアーキテクチャを作っておくことが重要ですね。」

Q6.「セキュリティの予算確保に苦労しています。何かいいアプローチはありますか？」

最後の質問は、多くの人が悩む予算の話。Amyの答えは、まさに経営陣の心を掴むものでした。

事業への貢献を具体的に語る
「これも本当に重要な課題ですね。文化の話にも繋がるのですが、経営陣はセキュリティについて深く考えています。でも、セキュリティのメトリクス達成の話だけでは、事業リーダーには説得力がないんです。事業の根幹にどう貢献するかを語ることが重要です。」

具体的な節約効果を示す
「例えば、MFAのロールアウトについて『予算がこれくらい、スタッフがこれくらい必要です』と数字だけ話しても、あまり響きません。でも『不正トランザクションがこれだけ減って、結果的にこれだけの損失を防げます』と具体的な節約効果を示すと、話は全然違ってきます。」

セキュリティの人であることを忘れる
「一番大切なのは、セキュリティの人であることを忘れて、経営者目線で話すことです。これが予算確保の一番のコツですね。」

最後に

ここまでre:Inforce 2025のJapan Access Tour特別公演「AWS CISO Amy Herzog との特別交流会」についてレポートしました。

Keynoteでは抽象的なテーマから現実的な課題への落とし込みが中心となっていますが、この特別講演ではAmyの個人的な経験をベースとした直接的な回答である印象を受けました。

Amyの言葉は地に足がついており、MitreやAmazonでの豊富な経験とフィードバックをもとに話していることが伺えるような納得感・信頼感がありました。

この記事が誰かの役に立てば幸いです。

以上です。