セキュリティは私たちの DNA

Clarke Rodgers:
AWS がお届けする Executive Insights ポッドキャストへようこそ。私は Director of Enterprise Strategy の Clarke Rodgers です。セキュリティリーダーとの一連の対話の案内役を務めます。

本日は、HAQM Web Services の CEO であるマット ガーマンを迎えます。HAQM のセキュリティ文化、私たちのセキュリティ投資に関する考え方、お客様が AWS クラウドを活用して自社の環境を保護する方法について詳しく伺います。ぜひお楽しみください。

HAQM Web Services の CEO であるマット ガーマン。本日はご来場いただきありがとうございます。

Matt Garman:
もちろんです。こちらこそ、お招きいただき、ありがとうございました。

Clarke Rodgers:
あなたは AWS の最初の製品マネージャーでしたね。当時のことを振り返って、あなたの仕事の一環としてセキュリティがどのように強化されたか教えていただけますか?

Matt Garman:
実は私の最初の仕事はビジネススクールでのインターンでした。2005 年に AWS が立ち上げられる前のことです。その初日から、アンディー ジャシーが私たちの頭に叩き込んだのが、セキュリティはプライオリティゼロ (最優先) という考えでした。それは、何があっても私たちが最初に考えなければならないことでした。AWS の初期のことを考えてみると、私たちは常にそれが何を意味するのかを考えていましたね。 セキュリティについてどのように考えるのか、 分離についてどのように考えるのか、ということを。 当時は特に、自分のデータを他人に預けることへの不安が強くありました。だからこそ、セキュリティを最優先に考えるという姿勢は正しかったと思いますし、お客様のワークロードの分離はもちろん、私たち自身のセキュリティ、そして、お客様のデータへのアクセスやお客様のデータの保護の考え方について非常に注力したことも正しかったと思います。したがって、セキュリティは初期の私たちにとって非常に大きな焦点でした。大きな投資領域でしたし、もちろん今日でもそれは変わりません。

そして、セキュリティの脅威が大きくなるにつれて、私たちは規模を拡大し続けています。私たちは、私たち自身のセキュリティやお客様のワークロードの保護などのクラウドのセキュリティだけでなく、責任共有モデルでお客様が独自のワークロードを保護できるようにツールを提供することについても、ますます考えるようになっています。したがって、私たちが行うあらゆることで、デベロッパーにはそのことを最初に考えてもらうようにしています。データセンターの担当者についても、物理的なセキュリティ、論理的なセキュリティ、ソフトウェアのセキュリティ、ソフトウェアとサービスのメンテナンス、サービスの運用の観点からそれを考えてもらうようにしています。これは、私たちが行うあらゆることの中心にあるのです。

Clarke Rodgers:
AWS でのキャリアを進める中で、そして特に今は CEO として、AWS 内のビジネスリーダーに対して、オペレーションと事業ラインのセキュリティについてどのような責任を負わせてきましたか?

Matt Garman:
一番大きなレバーは、やはり「文化」に焦点を当てることだと思っています。リーダーたちに「セキュリティは自分たちの責任である」と強く意識させ、考えてもらうことが重要です。AWS ではそれを支え、学んでもらう仕組みがいくつかあります。特に、他の企業から来た人々は、必ずしも私たちと同じ考え方ではなく、「最初にセキュリティありき」ではない場合がありますから。それらの人々は、セキュリティについて後で対応したり、セキュリティが他の誰かの問題である、あるいはセキュリティチームが対処してくれると考えたりしがちです。あなたはセキュリティチームに所属していますね。私たちはセキュリティについて、あなたに頼りきることはありません。誰もがセキュリティに責任を負っています。あなたは、私たちがベストプラクティスを構築し、セキュリティを強化するうえで協力してくれるすばらしいパートナーです。

しかし、文化の一環として、私たちがそれを構築する必要があるのです。エンジニアリングリーダーや製品リーダーが新たに加わる際には、確実にそのことを学ぶ必要があります。これらのリーダーは、セキュリティについての責任を、自社製品のために自分たちが負わなければならないものとして真剣に考える必要があります。そして、当社では、物事を見直し、セキュリティをどのように改善しているのか、製品が安全かどうかをリーダーに考えてもらうようにするメカニズムがいくつも用意されています。つまり、「ベルトにサスペンダー、さらに追加のベルト」があるということですね。そして、他にさらに改善できるところはないか、も考えてもらいます。 なぜなら、「常により良くしていく」ことが私たちの仕事であり、お客様に対するお約束ですから。 セキュリティを取り巻く状況はますます困難なものとなっています。悪意のある攻撃者たちはスキルを上げています。ですから、私たちも、より多くの防御層を備える必要があります。リーダーとともにそれを強化できるメカニズムを備える必要があるのです。そこでは、人々を罰するのではありません。罰を与えるのではなく、セキュリティの適切な水準を満たしていない製品はリリースしないことを理解してもらうことが重要です。

新しい製品のアイデアに、セキュリティのための隔離に関する適切なコンストラクトがないと考えれば、開発に着手しないこともあります。また、リリースするうえで適切な水準を満たしていないと私たちが判断したとき、あるいはある新しい製品オファリングの提案を読み、「この特定のアーキテクチャの考え方はうまくいかない」と感じたときには、製品はリリースされません。 それは強いメッセージとなり、多くの適切な行動を促すことになるでしょう。

Clarke Rodgers:
メカニズムについて言及がありました。昨シーズン、私は AWS の CISO にインタビューする機会がありました。そこで、毎週の CEO CISO 会議について説明していただきました。その会議のメリットについて少しお話しいただけますか?

Matt Garman:
はい。いくつかあります。1 つは、リーダーたちの認識を強化するのに役立つ絶好の機会だということです。そして、率直に申し上げて、私にとって、そして私たち全員にとって、学ぶ絶好の機会でもあります。私たちは毎週会議を開催してレビューを行っています。多くの場合...ほとんど毎回、問題を未然に防ぐためにさまざまなセキュリティ上の課題を取り上げています。それは、「これは放っておいたら問題になっていたかもしれない」、あるいは「緩和のための他のコントロールがなければ問題になっていたかもしれない」というような事例です。これは私たちにとって、見逃していたかもしれないボトルネックがどこにあるのか、なぜ何かが抜け落ちたのか、さまざまなチームで対処すべき新しい種類の懸念がどこにあるのかを理解するための非常に良い機会となります。そのため、私たちは毎週この会議を開催し、AWS 全体のすべてのチームにおける改善の機会を探して、より深く掘り下げ、対応できる領域を見つけるのです。

このメカニズムは強力だと思います。まず第一に、これは、本当に考え、深く掘り下げる方法をリーダーに教える絶好の機会となります。会議には多くのリーダーたちが電話や実地で参加していて、問題に取り組み、何が起きているのかを理解しようとしています。そしてよくあるのは、「A の方がいいのか、B の方がいいのか」というトレードオフの議論ですね。これらは、繊細な考慮のうえで意思決定する必要がある問題なのです。「ポートを閉じ忘れたのですね」というような話ではないのです。

そのような問題ではありません。それはより繊細な考慮が必要な問題です。「これは起こり得ますし、これも起こり得ます」というものです。 また、エッジケースについても検討します。そして、次のようなメカニズムもあります。すなわち、「よし、これでいいだろう。さて、今議論したこの問題を、似たような課題を抱えているかもしれない 50〜100 の他のチームにどのように伝え、認識してもらえばよいだろうか」ということを考えるのです。 そして、私たちはリーダーとして、次の週、その次の週、その次の週と状況を聞き、学びと理解を深め、未然に問題を防ぐべき他の領域がどこにありそうかを考えることができるのです。ですから、私たち全員にとって、それについてどう考えるかについての非常に強力なリマインダーであり、率直に申し上げて、私たちがどのように改善し続けるかについてお互いから学ぶ良い機会となっています。

Clarke Rodgers:
そしてこれは、セキュリティをビジネスの「リズム」とするのですね。

Matt Garman:
そうです。そして、もう 1 つの重要な点は…ミスをした人に怒鳴るというメカニズムを持つ人々もいますが、これは誤りだと思います。会議で取り上げられた問題について罰を与えないようにすることが本当に重要です。ある意味で、フラグを立てて発見し、私たち全員がそこから学んでいるのは良いことです。チームが「誰にも怒鳴られたくないから、誰にも知られたくないんです」と考えてその問題を隠そうとするような文化は望ましくないという意味でも、これは重要なことなのです。 したがって、人々がこれらの問題を表面化させ、より多くの組織がそこから学べるようにする文化を奨励すべきです。

Clarke Rodgers: 
そして、人ではなく、問題にフォーカスするということですね。

Matt Garman:
そうです。そうです。

Clarke Rodgers:
その会議のもう 1 つの効果は、それが組織内に広まるということです。CEO がセキュリティに関するあらゆることを学ぶために、少なくとも週に 1 時間は時間を取っているということが広まります。このことは組織全体における全体的なセキュリティ文化の強化に役立ち、その重要性を強化してくれると考えています。

Matt Garman:
そうですね。おそらくそのとおりだと思います。

Clarke Rodgers:
今後 3～5 年間における AWS の取り組みについて考えるとき、セキュリティや、広くはコンプライアンス、規制の問題などは、計画にどのように組み込まれますか?

Matt Garman:
先ほども申し上げたように、セキュリティの重要性が低下している兆しや、悪意のある攻撃者のスキルが低下している兆しは、市場のどこにも見られません。したがって、セキュリティは、私たちが引き続き投資し、今後も投資していくものです。なぜなら、セキュリティは、率直に申し上げて、AWS が行っていること、特にできることを、他のすべての企業から差別化する要素の 1 つであると考えているからです。また、率直に申し上げて、他のクラウドプロバイダーと比較しても、セキュリティは AWS にとって差別化要因です。そして、私たちはそれを維持したいと考えています。

今後数年間で、強力なセキュリティをどのように実現するのかについて考えなければならない領域がさらに増えると考えています。AI について言えば、考えるべき攻撃ベクトルやエスケープベクトル、そしてセキュリティを実現する方法について、検討すべきことはたくさんあります。私は AI が、企業にとっては多くの価値を生み出す非常に強力なツール、機能、テクノロジーであると楽観的に見ていますが、おそらく悪意のある攻撃者にとっても同様に強力でしょう。そのような中で、セキュリティの問題を見つけて対処するうえでも有用だと考えています。したがって、AI は、当社のオファリングや基盤となるセキュリティを継続的に改善する方法を見つけるために活用できるものになると思います。しかし、AI は、保護しなければならない領域を増やすものでもあると思います。

そのため、AI は、私たちが努力を 2 倍、あるいは 3 倍にしなければならない領域になるでしょうし、私たちは既にそうした努力をしています。今後 3～5 年程度で、これは確実に重点的に考えるべき領域になるでしょう。そして、もう 1 つ重要なことがあります。この分野は急速に進化しているので、人々は「とりあえずやり過ごして、セキュリティは後で対応しよう」と言いたくなることがあります。

しかし、私にとっては、それは受け入れられるトレードオフではありません。適切な分離境界はどこか、製品やサービスなどをリリースするのに適切な時期はいつかなどを考えるとき、セキュリティは...私にとってはいかなる妥協も許されない分野ですが、妥協したいという誘惑はおそらくあると思います。したがって、私たちはチームを教育し続けなければなりません。また、他の市場プレイヤーも、迅速に進めるために妥協したくなることもあるでしょう。しかし長期的には、それは誤った選択になると思います。

Clarke Rodgers:
なるほど。セキュリティの後付けがうまくいった試しはないように思います。

Matt Garman:
そうですね。現在市場にあるいくつかの証拠は、クラウドプロバイダーにとっても、エンドユーザーにとっても、そのように進めると非常にコストがかかることを示していますね。

Clarke Rodgers:
なるほど。少し話題を変えて、お客様について伺います。あなたは、多くのお客様の CEO とお会いになりますが、セキュリティに関して、お客様が何をすべきか、そして、AWS がどのようにお客様の役に立っているのかについて、お客様はどのように仰っていますか?

Matt Garman:
なるほど。まずは明かなものについてお答えすると、お客様は乗っ取り攻撃などについて心配していますね。その点について、当社がお客様を引き続きサポートするためにできることはたくさんあると思います。しかし、お客様がより大きく心配するようになっていることの 1 つは、お客様が所有する最大級のアセットであり、IP の最も重要な部分でもあるのがデータであるという気づきからきています。そのため、データが漏えいしないよう、どのように保護すべきかを考えています。 これは少し異なる角度からのセキュリティですが、AI や分析、膨大なデータについて考える際には重要です。アクセスするのが社内外のいずれの人であっても、データを適切に保護できるようにするにはどうすればよいかということです。そして、その一部は、自社のお客様のデータです。個人を特定できる情報です。業務の中核となる、自社の専有企業データである可能性もあります。

そして、これはますます人々が心配する非常に重要な領域になっていると思います。そのデータが漏えいしたり、自社の専有データではなくなったりすると、自社の価値の大部分が失われるかもしれませんからね。したがって、これは人々が引き続き考え続ける興味深い領域だと思います。もう 1 つの重要な視点として、「データをどこに保存すべきか」、「データ主権をどのように考えるか」、「暗号化をどのように考えるか」、「暗号化キーを誰が所有するか」といったことです。これらの点について、当社はお客様をサポートしています。そして、多くの...そのいくつかはシステムの運用をはるかに困難なものにする可能性がありますが、そうであっても取り組む価値があることが多いです。したがって、これは 1 か 0 の決定ではない、別のレベルの意思決定だと思います。これは、明らかに正解があるような意思決定ではありません。

私たちの役割は、それらのバランスを取る方法を理解できるようサポートすることです。例えば、データ主権に関する懸念がある場合、すなわち、法規制の強化により、「データを国外に出してはいけない」というような制約がある中で、グローバルにビジネスを展開するにはどうすればよいのかを考える必要があります。 それを考えると、これはセキュリティに近いものかもしれませんが、一種のセキュリティコントロールと言えるでしょう。

Clarke Rodgers:
なるほど。データを保護することについてですが、実際にクラウドに移行することで、そもそもデータ保護が容易になりますよね。また、これは、生成 AI などの、人々が活用する必要がある最も基本的な要件の 1 つでもあります。データがクラウドになければ、世の中にあるこれらの優れた生成 AI ツールの多くを使用することはできません。

Matt Garman:
これは非常に興味深い領域です。この点について、18 年前を振り返ってみると、誰もが非常に心配したのを思い出します。人々は、「クラウドをどう信頼すればよのか? どうすれば、より...クラウドは安全なのか? マルチテナント環境を利用しているが、不安がある」などと言っていました。 しかし今では、大多数のお客様が考えを変え、クラウドにある方が安全であると認識していると思います。私たちはより多くの機能を備えています。その領域にセキュリティを構築するために数十億 USD を費やしています。そのようなことはデータセンターでは行われません。

Clarke Rodgers:
そのとおりです。

Matt Garman:
そして、これは大きな変化です。そのため、多くのお客様が移行とモダナイゼーションを行い、望んでいる姿をクラウドで実現するには、まだ多くのことに取り組まなければならないでしょう。実際、ほとんどのお客様にとって、データがオンプレミスにあると、安全性は低くなりますよね? ハッカーや他の攻撃などに対してより脆弱です。また、生成 AI、データと分析、コンピューティングとストレージの新機能など、私たちが展開しているサービスにおける非常に優れた新しいクールなテクノロジーの多くを活用できません。オンプレミスにデータを保持しているお客様は、レガシー、インフラストラクチャ、テクノロジーに固執しているようなものです。

Clarke Rodgers:
その観点から、お客様との間で、これらの移行とモダナイゼーションに関する会話は増えていますか?

Matt Garman:
なるほど。これはビジネスの成長にとって大きな追い風です。そして、ますます多くのお客様がこれに気づき、取り組みをより速く進めたいと考えていると思います。このことは、メインフレームや VMware などのレガシーデータストアの一部をモダナイズし、クラウドへの移行を迅速化するのに役立つ Q 変換などに当社が投資している理由の 1 つとなっています。

Clarke Rodgers:
そして、セキュリティも重要ですね。

Matt Garman:
セキュリティは大きな要素です。クラウドに移行し、クラウドの世界に入ることは、セキュリティの強化に役立ちます。Windows から脱却することも、より現代的なアーキテクチャに移行することもそうです。これらは、今日では明らかになっているリスクを回避するための重要な動きです。それらのリスクが人々をより迅速な移行に駆り立てているのだと思います。

Clarke Rodgers:
セキュリティチームにどのような質問をすべきかについて、あなたが関わっているお客様の CEO に対するアドバイスはありますか?

Matt Garman:
たくさんあります。まず、クラウドプロバイダーを選ぶ際に、そのセキュリティの歴史と実績を考慮する必要があります。 また、移行先のサービスが適切なセキュリティの水準を満たしているのかを確認する必要もあります。 そして、重要なのは、すべての新しい製品やオファリングが、顧客のセキュリティについて考えるという基礎から始まるようにする文化です。お客様の観点からも、どのように文化を構築しているかは重要です。

共有モデルであるため、これは私たちが協力する上で非常に重要な部分です。また、当社は、すべての大手のお客様と連携して、これらのお客様が適切なアーキテクチャを備え、適切にセットアップされているようにするとともに、ルートアカウントとアカウント許可、IAM 許可、データの暗号化やアカウントキーの保護についてどのように考えているのか、などについて検討してもらっています。そして、お客様もそれを行うことが求められます。したがって、CEO には、私たちが話したのと同様のプロセス、すなわち、週次のセキュリティレビューを行うことをお勧めします。ベストプラクティスを推進するのです。AWS におけるセキュリティには確実に信頼できる部分があり、それは当社の責任です。

Matt Garman:
心配する必要はありません。心配する必要のない部分はたくさんあります。データセンターのセキュリティについて心配する必要はありません。これらのことについては何も。ハイパーバイザーのセキュリティについて心配する必要もありません。これらのすべての部分は当社が担当しています。しかし、アプリケーションの領域では、企業が心配しなければならないことがたくさんあります。そのためには、CISO が毎週チェックし、アプリケーションセキュリティの水準を高めることができると考えられる部分に焦点を当てる、同様のメカニズムを持つことが同様に重要なのです。もちろん、私たちもそのパートナーとしてぜひサポートしたいと考えています。

Clarke Rodgers:
なるほど。

Clarke Rodgers:
リスクを経営陣に報告する方法について、お客様の CISO にどのようにアドバイスしますか? つまり、セキュリティの観点から、どのような枠組みでリスクを説明されると、あなたは理解しやすいですか?

Matt Garman:
なるほど。まず第一に、最も重要なことは、迅速なエスカレーションと透明性だと思います。企業に実際のリスクがある場合、悪いニュースをそのままにしておくことは決して正しいことではありません。当社の CISO である Chris は、私が知る必要のある問題があれば、すぐに知らせてくれます。2 時間後では遅すぎます。できるだけ早く知る必要があるのです。そうすれば、すべての適切な人を動かすことができるからです。そのため、特に緊急のセキュリティの問題がある場合は、スピードが非常に重要だということを強調しておきたいと思います。迅速に行動することは本当に重要です。人々を部屋に集めて、アンドンコードを引き、すべてを中断してその状況に対処します。お客様へのメッセージングであれ、取るべき行動であれ、他の何であれ、それが非常に重要であり、その点で対応スピードが非常に重要なのです。

もう 1 つは...重要ではあるが必ずしも緊急ではない問題については、人をやり玉にあげたり、その人を責めたりせず、その問題に真剣に取り組み、その問題に全力を尽くす文化を築くことが重要だと思います...

Clarke Rodgers:
そこに戻るわけですね。

Matt Garman:
小さなことかもしれませんが、これによって、チームの透明性が高まり、問題が隠蔽されることが少なくなり、あるいは問題が表面化されることが多くなるのです。透明性を高く維持し、うまくいかなかったことから学べなければ、会社もビジネスも改善されません。セキュリティは難しいです。毎日新しいことが起きています。ですから、これは難しい分野であり、急速に変化する分野なのです。学ぶ必要がありますし、学ぶ意欲も必要です。そのため、すべてが完璧になることはありません。そこから学び、改善し、緩和策を講じたり、チーム全体をより良くしたりする方法を見つけるよう努力する必要があります。しかし、高い透明性を促進しなければ、それを実現することはできません。したがって、皆さんには、これらの 2 つのことを考えていただきたいと思います。

Clarke Rodgers:
すばらしいアドバイスですね。マット、ご参加いただき、本当にありがとうございました。

Matt Garman:
はい、もちろんです。こちらこそ、お招きいただき、ありがとうございました。

今すぐ聴く

今すぐ聴く

今すぐ聴く