![[レポート]AWSのCISOと各社リーダーの語るイノベーションのためのセキュリティと最新情報 #AWSreInvent #SEC203](https://devio2024-media.developers.io/image/upload/v1737870961/user-gen-eyecatch/q2pq1jlbqxv89hpkyepj.png)
[レポート]AWSのCISOと各社リーダーの語るイノベーションのためのセキュリティと最新情報 #AWSreInvent #SEC203
2025.01.26こんにちは、臼田です。
みなさん、AWSセキュリティの推進してますか?(挨拶
今回はAWS re:Invent 2024で行われた「SEC203-INT | Security insights and innovation from AWS」のセッションレポートです。
ターゲットは主に経営層やセキュリティを含めた意思決定を行うリーダーで、AWSのCISOであるChris Betz氏がゲストを呼びながら主に下記3点について解説する内容です。
- 組織全体のイノベーションを促進しながらセキュリティを適用するための文化作りの方法
- 最新のAWSセキュリティ機能
- 生成AIのセキュリティと責任ある生成AI
セッション概要
SEC203-INT | Security insights and innovation from AWS
Get insights from AWS CISO Chris Betz on how you can capitalize on transformative security innovations from AWS to move fast and stay secure. Learn how AWS empowers organizations to confidently integrate and automate security into their products, services, and processes so security teams can focus their time on work that brings the highest value to the business. Hear how AWS applies its experience, knowledge, and best practices to remove the undifferentiated heavy lifting of security. Chris also shares how AWS is helping to make the internet more secure by scaling security innovation and investing in the security community.
Rodrigo Castillo, Chief Technology Officer, Commonwealth Bank of Australia
Jason Clinton, CISO, Anthropic
Chris Betz, Chief Information Security Officer, AWS
Becky Weiss, Vice President / Distinguished Engineer, Amazon Web ServicesSEC203-INT | AWS のセキュリティに関する洞察とイノベーション
AWS CISO の Chris Betz 氏から、AWS の革新的なセキュリティ イノベーションを活用して迅速に行動し、セキュリティを維持する方法についての洞察を得てください。AWS が組織にセキュリティを製品、サービス、プロセスに自信を持って統合および自動化し、セキュリティ チームがビジネスに最大の価値をもたらす作業に時間を集中できるようにする方法を学びます。AWS が経験、知識、ベスト プラクティスを適用して、セキュリティの差別化につながらない重労働をなくす方法をお聞きください。Chris 氏はまた、AWS がセキュリティ イノベーションを拡大し、セキュリティ コミュニティに投資することで、インターネットのセキュリティ強化にどのように貢献しているかについても説明します。
Rodrigo Castillo、オーストラリア連邦銀行、最高技術責任者
Jason Clinton、Anthropic、CISO
Chris Betz、AWS、最高情報セキュリティ責任者
Becky Weiss、Amazon Web Services、副社長 / 首席エンジニア
セッションコンテンツ
動画
資料
レポート
このセッションではAWSのCISOであるChris Betz氏がAWSのセキュリティに関する取り組みや最新情報を共有しながら、AWSを利用する各企業がどのようにセキュリティ対策に取り組みイノベーションを促進してビジネスを成功に導くかヒントを共有する内容です。
要点を絞ってレポートしますので、詳細は上記の動画と資料を確認してください。
まず初めにChris Betz氏はAWSではセキュリティがトッププライオリティであることを強調します。
これはAWSの多くのイベントで度々強調される内容です。AWSの各リーダーからエンジニアまで一貫してこのメッセージングをしおり、実際に具体的な内容が共有されます。
今回はその取組の一つとして、AWSが過去どのように組織全体のセキュリティを向上する取り組みを行い、失敗を経て現在のセキュリティ体制を築いてきたか共有されました。
AWSではガーディアンプログラムという仕組みがあり、開発チームより少人数なセキュリティチームがビジネスのブロッカーにならないように、セキュリティに取り組む文化を組織全体にインテグレートして開発チームがプロアクティブにセキュリティに責任を持ち取り組むことができる体制を作った例を紹介します。
このガーディアンプログラムにより5,000人の開発者がトレーニングを受講し、セキュリティレビューでの指摘事項が22%減少し、レビュープロセスが20%高速化した実績が紹介されています。
更に、この取り組みはAWS以外でも広がっており、今回はゲストのオーストラリア連邦銀行 最高技術責任者のRodrigo Castillo氏が類似の取り組みの結果について紹介しています。
同行ではSecurity Academyという取り組みで多数の開発者がこれを履修し成果を上げています。
この効果により開発の速度が向上し、開発者の満足度も高まりました。
続いてChris Betz氏に戻ってAWSの内部的なセキュリティの取り組みとして、ハードウェア作成からセキュアに実施している例を紹介し、利用者が安全にこれを利用できるか解説されます。
更にユーザーがセキュリティを強化して利用していくための新機能について、Becky Weiss氏にバトンタッチします。
Becky Weiss氏は下記7つの直近発表された新機能について解説しました。
Chris Betz氏に戻ったあと、生成AIの話題に移ります。安全な生成AI利用にはコンフィデンシャルコンピューティングが必要であり、Nitro Systemによりこれが実現できると紹介されます。
詳しくはA secure approach to generative AI with AWS | AWS Machine Learning Blogで紹介されています。
これを利用したモデルパートナーの事例としてAnthropic社CISOのJason Clinton氏が登壇します。
Jason Clinton氏は生成AI時代に直面しているサイバーセキュリティの問題についていくつか解説しています。まずDARPAが行ったAI Cyber Challengeでは、自動化されたAIによる脆弱性の発見が競技となったり、同様の技術に関する論文も増えている状況を共有しています。
これに伴いAnthropic社ではResponsible Scaling Policyを作成・公開し、責任あるAIの展開のためにAI安全性レベル(ASL)を定義して、安全基準を満たしながら開発していくとしています。
そして、コンフィデンシャルコンピューティングを利用しながら新しいモデルを開発していくアーキテクチャにも触れています。
最後に再びChris Betz氏に戻り、セキュリティレベルを上げていくための取り組み方についてまとめました。
まとめ
サイバーセキュリティの取り組みは簡単ではありませんが、より良いやり方の参考になる情報はこのセッションに詰まっています。
一朝一夕でできることではありませんが、文化作りに取り組んでより良い環境を目指しましょう!
![[2025年1月版]Amazon GuardDutyの各オプションの採用可否を考えてみた](https://images.ctfassets.net/ct0aopd36mqt/wp-thumbnail-f1f1e80330aaa8917410e012de277155/263838c1009bccfef2d8a98f11615f2d/amazon-guardduty)
