[レポート]リーダーシップセッション『お客様から学べること: AWSセキュリティのイノベーションを加速する』 #reinvent

セキュリティはみんなで作るもの。みんなで責任を負うもの。セキュリティファーストな文化を醸成しよう。
2022.12.02

こんにちは、AWS事業本部@福岡オフィスのべこみん(@beco_minn)です。

この記事では、AWS re:Invent 2022 のリーダーシップセッション 『What we can learn from customers: Accelerating innovation at AWS Security』をレポートします。

このセッションはAWSでCISO(Chief Information Security Officer)を務めるMoses氏のセッションです。

オンデマンド動画はこちら↓

セッション概要

In this leadership session, CJ Moses, CISO at AWS, showcases part of the peculiar AWS culture of innovation—the working backwards process—and how new security products, services, and features are built with the customer in mind. AWS Security continuously innovates based directly on customer feedback so that organizations can accelerate their pace of innovation while integrating powerful security architecture into the heart of their business and operations. Hear from CJ how organizations use the latest AWS security innovations to ship securely, ship faster, and maximize the value of their teams.

和訳: このセッションでは、AWSのCISOであるCJ Mosesが、AWSのイノベーション文化の一部であるワーキングバックワードプロセスと、新しいセキュリティ製品、サービス、機能がどのように顧客を念頭に置いて構築されているかを紹介する。AWSセキュリティは、お客様からのフィードバックに直接基づいて継続的に革新を行っており、企業は強力なセキュリティアーキテクチャをビジネスとオペレーションの中心に統合しながら、革新のペースを加速させることができます。CJは、最新のAWSセキュリティ・イノベーションをどのように活用し、安全で迅速な出荷を実現し、チームの価値を最大限に高めているのか、その事例をご紹介します。

登壇者

  • CJ Moses : Vice President & Chief Information Security Officer at AWS
  • Deneen DeFiore : Vice President & Chief Information Security Officer at United Airlines

ざっくりまとめ

  • 昔の話
    • Moses氏はAWSの前はFBIにいた
    • AWSに入った当初(2007年)は5つほどのサービスしか無かった
  • 現在の話
    • 今のAWSには200以上のサービスが存在する
    • AWSは現在進行形でお客様がセキュアにサービス開発を進められるように努力している
    • お客様が使うネットワークの数や脅威の数など、様々なものが15年前に比べてかなり増加した
  • 責任共有モデルの話
    • カーレーシングの世界に例えて説明
  • 2022年にお客様から学んだ6つのこと
    • 従業員に学習させること
    • セキュリティファーストな文化
    • 優秀な人材を雇うこと
    • シフトレフトと自動化
    • 動的な働き方
    • 「はい、そして…(yes,and…)」と言う組織作り
  • United航空のCISOことDeneen DeFiore氏との対談

レポート

聞き取れなかった部分も多くありますが、セッションのスライド画像を踏まえつつ箇条書きで書いていきます。

序章

  • Moses氏の靴の話
    • 派手な靴を履いているが、これはシンボル

後の対談でもDeFiore氏の靴も褒めていたしMoses氏は靴が好きなのかな

  • カーレースのセキュリティは大切
    • セキュリティは意識しつつも競争にも勝つ必要がある

昔の話

  • 昔の話
    • AWSの前にはFBIにいた。テロ対策とかやってた。新しいものに常に対面。
    • 金曜日になるとたくさんデータが来ていた。
    • オンプレだと機材を調達したり慣れるまで大変だった。
    • それがAWSだとelasticなのでかなり楽になった。
    • FBIでは情報を集めてオーガナイズ。必要なところ(関係省庁)に送る。
    • 彼らにそのまま使ってもらえるようにデータを整形したりもした
    • 少しずつ改善していった
    • 「クラウドを使うなんて」と思われていたこともあった
    • 昔は5つほどしかサービスが無かったが、今は200以上のサービスがある

現在の話と責任共有モデル

  • 現在の話
    • AWSは現在進行形でセキュアにサービスを開発し続けている
    • AWSは10億ものネットワークを管理している

  • 責任共有モデルの話
    • レースカーに例えた話
    • 運転者、エンジニア
    • お客様がドライバー
    • アクセスやコントロールはお客様
    • AWSも通知や監視などをサポート

  • 脅威はどんどん増えている
    • ちゃんと対策すれば問題ない

  • 例えばDDoS
    • 件数が35%上がった
    • 脆弱性をもつインスタンス数は256%上がった
    • 10万件以上のDDoSを防いだ
    • なるべくお客様にDDoS検知結果を通知
  • お客様もやることがある

  • DDoS対策には次の2つ
    • AWS Shield
    • AWS WAF

  • AWSは半年で2200万以上のマルウェアサンプルを検知
    • GuardDutyで強化しよう
    • 機械学習

  • マルウェアによってお客様のデータが破壊される
    • クレデンシャル漏洩対策には次の2つ
    • IAM
    • Security Hub

  • セキュリティ対策は多層防御というアプローチがベスト
    • ゼロトラスト
    • 一部がやられても他のところで防御可能

2022年にお客様から学んだ6つのこと

1.すべての従業員にセキュリティ学習をさせること

2.セキュリティファーストな文化

  • コードの一行を書く前にセキュリティを意識する。それを無意識に行えるように。
  • セキュリティはみんなの責任

3.優秀な人材を雇うこと

4.シフトレフトと自動化

  • セキュリティプレビューを製品開発工程の1番最初に持ってくるなどのシフトレフトが大事

5.動的な働き方

  • リモート勤務でも現場勤務でも変わらずに自動化されたセキュリティが大事

6.「はい、そして…(yes,and…)」と言える組織作り

  • セキュリティは大事
  • 「はい、でも…(yes,but…)」とは言わないこと

これから、2023年はどうなるか

  • コロナ禍が明け、人の動きが増えてくると悪いことが増えてくる可能性がある
    • テクノロジーと一緒に人間も進化する
    • 脅威もどんどん加速してくる

※ここから少し今回のAWS re:Inventやその前後で発表されたアップデート紹介が続きます。

  • Security Lakeの話
    • すべてを一元化して管理可能
    • 横断的にすべての出来事を一箇所で管理
    • オープンサイバーセキュリティ

  • AIをよりよく使う。自動化
    • どんどんデータが増大化していく
    • 機密情報を暗号化

  • Macieの自動検索の話
    • インタラクティブなデータマップが追加

  • XKS for KMSの話

  • アプリケーションはより早くシームレスに
    • ただし、セキュリティも大事に。非常に大事。
    • 一番上に大事なのはセキュア。
    • ただし、お客様に必要なものを犠牲にする必要はない。

  • Verified Permissionsの話
    • 何百万というポリシーも適用可能

  • 認証のマルチモーダル
    • Multiple MFA for AWS IAMの話
    • AWS re:Invent会場では無料でMFA Keyを配布中

※ここから↓が2023年の具体的な話だと思います。

  • 量子コンピューティングに対応できるセキュリティ
    • 難しいがAWSは対応していく
    • 暗号化の話
    • post-quantum key
    • post-quantum algorithmに弱点があってもAWSはやっていく
    • AWSはお客様のために最前線を走る

ユナイテッド航空CISOとの対談

対談のため、Moses氏の発言には(M)を、Defiore氏の発言には(D)を頭につけます。

  • ユナイテッド航空のセキュリティ担当者(CISO)が登場
    • Deneen DeFiore氏

  • (D)システムを作るときはレジリエンスの高さを考慮

  • (M)Q. セキュリティの自動化をどう使っているか?

    • (D)A. GuardDutyは脅威の検知などに使っている
    • (D)それ以外にもユナイテッド内でマルウェアの勉強などに使っている
    • (D)今はセキュリティシフト中
      • (D)今までは開発者が好き勝手やってきた
      • (D)セキュリティコントロールアプリなどを使っている
  • (M)Q. セキュリティ文化についてはどのようアプローチを取っているか?
    • (D)A. もともと航空業界自体がセキュリティファースト
    • (D)その文化の上にサイバーセキュリティがある感じ
    • (D)ごく普通のミーティングでも常にセキュリティを意識している
    • (D)また、各従業員に使えるセキュリティ情報を提供している
      • (D)サイバーセキュリティトレーニングを行なっている
      • (D)フライトアテンダントが電話を取るといった日常的なことにも細かいチェックリストを用意
      • (D)ワンタイムパスワードを使ったり
      • (D)そのワンタイムパスワードアプリの脆弱性もしっかり確認
      • (D)そういう細かいところが文化を醸成していると思っている
  • (M)AWSはセキュリティトレーニングプログラムを社内外に公開している


AWSはたくさんトレーニングプログラムを公開してますが、これのことを言ってるのかな?と思いました。


  • (M)バイデン大統領任命のPresident’s National Infrastructure Advisory Council(国家インフラ諮問委員会)に入ったが、あなたの優先事項は何か
    • (D)航空会社ではないエネルギー系の会社などに共通点があればセキュリティのノウハウを共有したい
    • (D)オペレーションなど基礎的なところをしっかりする
    • (D)従業員の能力自体を伸ばす
    • (D)ランサムウェアの数は増えた。それに対してセキュリティシフト。
    • (D)サイバー攻撃があってもレジリエンスがないとダメ
      • (D)結局最後にはビジネスを成功させる必要がある。回復力が無いといけない。
    • (D)セキュリティエンジニアは「No」とは言わない。「yes,and...」と言う
      • (D)新しい飛行機など"進歩"を妨げたくない
      • (D)デジタルトラストの概念
      • (D)サイバーセキュリティは業界全体で集合的に考えなきゃいけない

おまけ:セッション内で紹介されたアップデート

セッション内で紹介されていたいくつかのアップデートについて知りたい方は以下のブログをご参照ください。

[速報]AWSのセキュリティログをオープンフォーマットで集約して分析のアクセスを提供するAmazon Security Lakeが発表されました #reinvent

[アップデート]Amazon Macieが機密データの入ったS3バケットを自動で検出してくれるようになりました #reinvent

[アップデート]AWS外部のキーストアでAWS KMSの暗号化キーが管理出来るようになりました! #reinvent

[新サービス] Amazon Verified Permissionsがプレビューリリースされました #reinvent

AWSルートアカウントユーザーに2つ目のMFAデバイスを割り当ててみた

まとめ

AWS re:Invent2022やその前後で発表されたセキュリティ系アップデートを含んだ、AWS re:Invent 2022セキュリティ総まとめのようなリーダーセッションでした。

大事な話が多く、セッションの内容すべてをこの記事に書ききれてはいません。是非オンデマンド動画をご視聴ください。

セッションのテーマとして一番Moses氏が話したかったところは 「2022年に顧客から学んだ6つのこと」なのかなと思います。やはり社内のセキュリティを強化するということは、セキュリティを常に意識するような文化を醸成することが大事なんですね。

また、2023年以降のAWSの動きという話も面白かったです。特にpost-quantum key/algorithmについては今年のre:Inforceでも話されていました。来年のre:Inforce、re:Inventがとても楽しみですね。

そのre:Inforceのセッションもオンデマンド動画として配信されていたので貼っておきます。ご興味のある方はご覧ください。

以上、べこみんでした。