Amazon の CSO である Steve Schmidt、AWS の CISO である Chris Betz、AWS の VP, Security Assurance である Sara Duffer による、現代のセキュリティのベストプラクティスの進化に関するインサイトに満ちたパネルディスカッションをお聞きください。新興テクノロジーがリスクの状況をどのように変えているのか、新しいコンプライアンス規制に備える方法、あらゆるレベルで組織を安全に保つための適切なガバナンス戦略を実施する方法についてご覧ください。(2025 年 1 月)
Sara Duffer:
それでは、早速始めさせていただきます。お二人はそれぞれ、Amazon と AWS でセキュリティを担当されています。どのような仕組みを使ってお互いに連携を保っているのか、少し教えていただけますか?
Steve Schmidt:
はい。まず最初に押さえておくべきことのひとつは、すべてのビジネスが同じではないということです。これは、ここにいる皆さんにとっては明らかなことだと思います。しかし、Amazon のような大規模な組織を運営していると、同じ会社の中でも事業運営の違いが大きいことに驚かされることがあります。極端にリスクを許容しない組織もあれば、状況によってはかなり思い切った挑戦をすることをいとわない組織もあります。それは主に、彼らが関わっているビジネス、彼らが扱っているデータなどによって異なります。そして、セキュリティの観点から従業員がどのように行動しているかをベースラインで調査することができる、共通のメトリックを会社全体で持つ必要があることがわかりました。そして各組織に対しては、各組織が抱えるリスクや、お客様から託されたデータや自分たちが保有する情報の管理に関して、どのように対応したいかといった点に合わせた、ビジネス固有またはカスタマイズされたレポートを提供しています。
共通のレポートこそが、私たちが統一された視点を得るうえで最も重要なものです。それはつまり、会社の CEO である Andy Jassy から、現場のメンバーに至るまで、私たちが誰と話すときでも共通の言語で会話ができるようにするためなんです。これによって、組織のある部門が他の部門と比べてどのような状況にあるのかをすばやく把握できます。そして何より重要なのは、私たちが必要な視点で物事を見られていない部分を指摘してくれるということです。なぜなら、私たちは、組織のある一部では改善のための機会が見つかっている一方で、別の部分ではそれが見つかっていないということを学んだからです。正直なところ、当社のリーダーたちは皆、競争力があります。だから、彼らを仲間と比較してリストアップする共通のレポートを使うと、私たちが本当に興味を持っている行動を促すことができます。それによって、人々が正しい方向に集中するようになるのです。
Chris Betz:
自分を不寛容だとは言いたくありませんが、AWS ではリスクを受け入れられません。だからこそ、私たちは実際にビジネス特有の指標に多くの時間をかけている組織の一つです。AWS 社内でも、これらの同じアプローチがうまくいく傾向があり、組織間の競争力とその利点を活用することが非常に強力であることがわかりました。そして、ビジネスと非常に緊密に連携し、AWS が他の場所と同じリスク耐性を持っていないことを理解することが重要です。私たちが何に関心を持っているかを理解し、それらのビジネス指標がビジネスとしっかり結びつき、ビジネスレビューのプロセスにきちんと反映されるようにすること。
Sara Duffer:
それで、Steve、あなたは CEO の Andy Jassy と話したとおっしゃいましたね。CEO や取締役会に対して、どのようにセキュリティ関連の最新情報を伝えていますか?
Steve Schmidt:
CEO とのコミュニケーションについてですが、私の考えでは、Amazon には複数の CEO がいるので、CEO たちとのコミュニケーションであると考えるべきです。そしてそれは、各 CEO の組織の運営スタイルに合わせて調整されています。例えば、Chris は AWS の CEO と毎週ミーティングを行っていますが、これはセキュリティのリズムが非常に速いためです。私たちは脅威に迅速に対応しなければなりません。私たちを取り巻く環境の変化を理解しなければなりません。私たちは、周囲の世界の動きに応じて、適切に対応を調整できるようにならなければなりません。また、店舗事業の CEO である Doug Herrington とも仕事をしていますが、それは彼のビジネスに焦点を当てたもので、ローテーションの間隔は 1 ヶ月ごとのレビューなど、少し異なる傾向があります。
Andy Jassy 氏は、四半期ごとにセキュリティレビューに特化したミーティングに参加することにしています。そのため、四半期ごとに、一定期間にわたって一貫性のある共通の指標とレポートの両方を彼に提出しますが、レポートのセクションも常に変化しています。これを最近の動向と呼んでおり、私たちが運営している環境の中で、最も重要な変化に焦点を当てることにしています。ロシア人は今、中国に対してどのように物事を考えているのでしょうか? 彼らはどのようにして企業をターゲットにしているのですか? 人々が問題を引き起こすためにどのような新しい方法を使っているのか、そして私たちはそれにどのように対応しているのか、あるいはそれに備えているのでしょうか。
さて、取締役会のこともおっしゃいましたね。私たちの取締役会は比較的ユニークです。多くの取締役会は、セキュリティ組織の監視を監査委員会または一般的に金融機関のリスク委員会に置くことを選択しています。Amazon はセキュリティのためだけに特別な小委員会を設けることを選択したので、私たちの取締役会にはセキュリティだけに注力している 3 人のメンバーがいます。私たちは定期的に彼らとミーティングをしています。彼らは Amazon で何が起こっているかについての四半期報告書を受け取り、私たちのすべてのビジネスを調べます。取締役たちは、一度にいくつかの事業に集中したいと言っており、どの事業にするかは彼らが選択します。ダイヤルを回して、次はどのビジネスが出てくるかを言うようなものです。
繰り返しになりますが、一番下に最近の動向に関するセクションがあります。なぜなら、これもまた、私たちが今どこにいるのか、どこに向かっているのか、私たちの周りで何が変化しているのか、そしてどのように進化する必要があるのかという共通の関心事に関わるものだからです。そして私は、世界で何かが変化してから、その変化にどう対応しているかを取締役会が把握するまでのサイクルが非常に短いということが、お客様を適切に守るための体制を継続的に維持するうえで、とても重要だと考えています。
Sara Duffer:
Chris、何か付け加えることはありますか?
Chris Betz:
さらに 3 つの考え。まず、Andy や CEO たちとの会話だけでなく、AWS 内での会話についても感謝していることの 1 つは、このような会話を単独では行わないということです。それは CEO だけのごく少数のグループだけで行われているわけではありません。それは CEO と彼のリーダーシップチームとの会話です。なぜなら、何事も単独では行われないからです。つまり、ビジネス部門もその対話にきちんと関わっていること、そして私たちがその対話に向けて、また対話の一部として、ビジネスと深く関わりながら進めていくことが非常に重要なんです。2 つ目ですが、AWS には Amazon 取締役会と同様に取締役会があります。そのため、四半期ごとにセキュリティやリスクに関する関連トピックを深く掘り下げることができるメカニズムになっています。そのため、継続的に対話を行いながら、適切なガバナンスを整えていくことが可能になります。
そして 3 つ目の考えは、複数の異なる取締役会を見てきましたが、私が関わった取締役会はどれも信じられないほど異なっています。その多くは、人の側面や個々の性格によって動かされている部分が大きいと思いますし、一部はビジネスの性質によるものです。ですので、CISO やテクノロジーリーダーとして取締役会との関わりにおいて、私が重要だと感じていることの一つは、取締役会が他の分野でどのように運営されているかを理解することです。企業は自社についてどのように考え、自社のことをどのように語っているのでしょうか? どの言語を使うべきですか? セキュリティについて単独で話しても役に立たないため、コンテキストはどうなっているのでしょうか。ビジネスのコンテキストにおけるセキュリティこそが、非常に重要なのです。そして第 3 に、対象者を理解することです。取締役会のメンバーによってスキルは大きく異なります。彼ら全員と話すことができなければなりません。
そのため、セキュリティに関する会話に参加している技術リーダーであれ、CISO 自身であれ、対象者、取締役会の性質、ビジネスが自分自身についてどのように考えているか、セキュリティやテクノロジーがそこにどう関わっているのかを理解することで、会話を成功させることができます。
Steve Schmidt:
Chris が今そこで言ったことを強調したいです。新しいリーダーが、取締役会のような企業の最高幹部や上級幹部と話をするときに見られる最大の間違いは、技術的な問題、特にセキュリティ分野に焦点を当てすぎていることです。取締役のメンバーである顧客に自分の考えを伝える上で、それは致命的な障害になり得ます。Chris が言ったように、私たちはビジネスのコンテキストで話す必要があります。これが CVSS スコア 9.86 の重大な脆弱性であるかどうかは問題ではありません。そのようなことは気にしません。これは、攻撃者が当社のお客様に属するこの種の情報にアクセスする機会であり、このような結果をもたらし、今後 60 日以内に発生する可能性が十分にあります。「これは怖いことだ」というのではなく、取締会のメンバーが具体的に理解できるようにします。 コンテキスト化が非常に重要だと思います。
Sara Duffer:
お二人とも定期的にお客様とお話をされていますね。お客様から現在寄せられているセキュリティの課題や問題は何ですか? そして、その分野のお客様を支援するために AWS は何をしているのでしょうか?
Steve Schmidt:
まず第 1 に挙げられるのは、AI です。もちろん、多くの人が関心を持っているのは、「どうすれば AI を安全に使えるのか?」 「責任を持って AI を活用するにはどうしたらいいのか?」という点です。 情報を取得して、必要なときにそのデータに適切にアクセスでき、必要でないときにアクセスできないようにするにはどうすればよいでしょうか。 お客様と話をするとき、私が最初に尋ねることは、「生成 AI を使用しているアプリケーションは、会社全体でどれくらいありますか? 今、正確に把握していますか? 定期的にそれを測定できていますか?」 たいていの人はこう答えます。「ああ、先月か前の四半期くらいに数えましたよ。」どうなると思いますか? 「開発者たちは、それよりもずっと速く動いています。」私たちは社内にプロセスを構築せざるを得ませんでした。それによって、開発者が会社のノートパソコンや、社内で保有している本番環境のアセットから生成 AI エンジンを呼び出すたびに、確認できるようになっています。
そしてこれによって、私たちはその状況を把握でき、それをアプリケーションセキュリティチームに提供することで、その特定のサービスで何が起きているのかを理解してもらえるようになります。私たちが最初にそのカウントを行い、少し前にそれを始めたとき、私たちは Andy に報告し、こう言いました。「はい、現在社内で稼働中または開発中の生成 AI アプリケーションは 1,000 以上あります」 するとショックを受けたような表情を浮かべ「えっ、 冗談でしょ?」 でも私たちは「本当です」と答えました。しかも、その数は信じられないスピードで増え続けています。これは素晴らしいことです。というのも、それだけ私たちの開発者たちが前向きに AI 活用に取り組んでいるということですから。ただし同時に、それは私たちのセキュリティチームや運用チームが大急ぎで対応し続けなければならないということも意味します。開発者たちが適切で妥当な方法で物事を行っているかを、常に追跡し、見守る必要があります。しかし、すべては「可視性」から始まり、可視性エンジンを一番下に作ることから始まりました。
Chris Betz:
私がよく話すもうひとつのテーマは、セキュリティを確保しつつ、コスト効率も意識したいと考える人たちにとって、AWS にはどのような機能がすでに用意されているのかということです。 人々は、解決策がすでに存在したり、物事がすでに起こっている場所に時間とエネルギーを注ごうとはしません。この話題についてよく議論になるのは、アーキテクチャや制御の部分です。つまり、人々が適切に設計されているかを確認し、大規模にシンプルで使いやすい制御をどう実装するかを検討します。そのため、どうすればお客様のために、シンプルでスケーラブルなセキュリティを提供できるかというのが、社内で頻繁に交わされる議論のひとつになっています。この話が行き着くもうひとつのテーマとして、最近特に多く議論されているのが脅威インテリジェンスです。企業によって、またクラウドプロバイダーによっても、「脅威インテリジェンス」の扱い方は異なります。
私たちのアプローチは、脅威インテリジェンスをシステムの運用にシームレスに組み込むことです。私たちは、このことについて実は最近かなりの時間をかけて話し合ってきました。というのも、これまではあまり話題にする必要がなかったのですが、お客様にとって何を期待すべきかを知ってもらうことがとても重要だからです。私たちは一連の脅威インテリジェンス提供元や、ハニーポット、センサーなどを保有しており、それらが毎日データを収集しています。ハニーポットだけでも、1 日あたり 1 億件を超えるインタラクションがあります。そして、これらの技術、このデータは、Sonaris のようなシステムからの他のセンサーデータと組み合わされ、私たちが行動することを可能にします。このアクションは、お客様が気付かないうちに実行されます。
悪意のあるアドレスを特定すれば、さまざまな攻撃から身を守ることができます。そして、そのトラフィックはシステムに到達することさえありません。たとえば、昨年は S3 バケットを列挙する試みを 240 億件以上、EC2 で脆弱なサービスを検出する試みを 2 兆 6000 億件以上拒否しました。また、自動的に提供できない場合や、その程度の忠実性がない場合は、GuardDuty などのツールに直接組み込むことができます。だから私がセキュリティ担当者と話しているのは、すでに組み込まれているテクノロジーをどう活用するかということです。そこには、シームレスに組み込まれている部分と、セキュリティチームが運用するための追加情報を提供している部分の両方が含まれます。
Steve Schmidt:
脅威インテリジェンスについてあなたが述べたポイントを裏付ける、非常に興味深いデータがあります。そして、脅威インテリジェンスは信じられないほど脆弱なものです。ほとんどの人が気づいていないのは、私たちがインターネット上で見たところによると、インターネット上の IP アドレス空間の約 23 %が、わずか 3 分ほどで入れ替わっているということです。つまり、もしあなたの脅威インテリジェンスのフィードが 1 週間前や 1 ヶ月前のものだったとしたら、それはもう完全に古いということです。それから「脅威インテリジェンスの情報を手に入れたらすぐに行動することの必要性」について語っているポイントがいくつかあります。ハニーポットをインターネットに公開すると、攻撃者がハニーポットを発見するのにかかる時間は 90 秒未満、攻撃者がハニーポットを悪用しようとするまでにかかる時間は 3 分未満です。これは、開発者が次のように言っている状況です。「ああ、このバケットをインターネットに公開するだけだから大丈夫。誰もそこにあることは知らないし」 実際の問題が起こるまでに、あなたに残されている時間はたった 3 分です。そのため、堅牢な脅威インテリジェンスフィードを通じて、何が起きているのかを把握し、すぐに対応できるようにします。そしてさらに重要なのは、それに対処するのに人間の介入を必要としないことです。自動化によってそれが実行されることを確認してください。
Chris Betz:
その通りですね。
Sara Duffer:
ここで私がとても大切に思っているトピックに話を移します。それは、絶えず変化する規制や標準認証などの世界において、そうしたコンプライアンスやその変化に常に対応し続けることが、非常に難しいという課題です。Chris、AWS が大規模なスケールでコンプライアンスについてどのように考えているのか、少し話してもらえますか?
Chris Betz:
この話は本当によく取り上げられますよね。
Sara Duffer:
そうですね、よく話します。
Chris Betz:
まずコンプライアンスを大規模に行う方法に関して、信じられないほど強力だと思うことの 1 つは、セキュアな基盤から始めるということです。セキュリティをセキュアバイデザインの観点で捉え、セキュリティが開発プロセスに組み込まれているようにすることで、規制やコンプライアンスについて考える前の段階で、非常に良い出発点が提供されます。最善を尽くせば、そのセキュリティ作業の意図的な副産物としてコンプライアンスが実現します。そして正直なところ、ほとんどの規制機関もそれを望んでいます。
彼らがコンプライアンスを遵守する理由は、あなたが安全であることを確認するためです。したがって、コンプライアンスを意図的に実証し、証明することを目的として、セキュリティに重点を置いたセキュリティプログラムを設計することが非常に重要です。3 つ目は、セキュリティプロセスの一部として常に設計段階からコンプライアンスを組み込むだけでは十分ではなく、それを実証して示すことができる必要があるということです。そのため、データをまとめて可視化し、他の人が理解しやすいようにすることが非常に重要です。それにはエンジニアリングも関わっています。価値のある投資だと思いますが、私よりもこの世界にいる時間が長いので、あなたの視点にも興味があります。
Sara Duffer:
さて、最近お客様からよく聞くのは、主に責任ある AI プログラムについてと、それをいかに迅速に実運用に落とし込むかという点です。つまり、このような非常に急速な進化のために、コンプライアンスの概念から移行できるかどうかが話し合われているのです。コンプライアンスの概念は、非常に時点的で、非常に二元的で、EU AI 法などのルールや規制を遵守しているかどうかに重点が置かれています。そして、そのプログラムを迅速に発展させ、アシュアランス (保証) のマインドセットへと移行していくこと、アシュアランスによって私たちが示すことができたコンプライアンスの品質、信頼性、有効性に対して、一定の信頼感を提供できます。では、どうすればそれができるのでしょうか。
そして、多くの場合、これは通常、技術標準によって活用されます。例えば、ISO 42001 などでは、組織が運用していること、デプロイと開発の両方を行っていること、責任ある AI プラクティスを使用していること、そしてガバナンスの観点からそれらすべてをラップしていることを、エンドカスタマーに説明できるようにします。では、組織が本当にあなたの期待どおりのことを実行していることをどうやって確認すればよいでしょうか。また、責任ある AI に関してあなたが行っていることを経営幹部や取締役会にどのように報告するのでしょうか。そして最も重要なのは、これらすべてを、ビルダーたちの立場に寄り添いながら、イノベーションを遅らせることのない方法で行うことです。だから、その高い基準をクリアすると同時に、それを迅速に行うことができるのです。
Sara Duffer:
少し話題を変えて、Steve、あなたに話を聞きます。私たちがセキュリティについて話すとき、私たちは目の前にある新しいテクノロジーや進化する世界に触れることがよくあります。しかし、結局のところ、脅威アクターは脅威アクターであり、人間です。サイバーセキュリティに関連する人間の側面について、あなたがどのように考えているのか、もう少し詳しくお聞きしたいです。
Steve Schmidt:
よくわかりました。つまり、ニュース速報、コンピュータセキュリティ、情報セキュリティ、サイバーセキュリティ、呼び方は何でもいいですが、これは技術的な問題ではありません。それは人々の問題です。昔 FBI で防諜活動に従事していた時に学んだことの一つはスパイを追うことは確かに仕事であり、それは興味深いことですが、スパイがそこにいるのには理由があるということです。彼らは何かに動機づけられています。伝統的にスパイの世界では、それはお金、イデオロギー、強制、またはエゴでした。同じことがサイバーセキュリティの世界にも当てはまります。人々はお金に興味があります。それがあなたのランサムウェアアクターです。イデオロギー。情報収集や戦場の準備をしているのは、従来の国家主体です。影響力というのはこの分野では新しいものですが、人々に特定の考え方をさせ、意見を変えさせ、世界で何かを起こさせるということです。またはエゴです。これがスクリプトキティで、世の中で一番大きくて悪いハッカーになりたいと本気で思っていて、その一環として DDoS 攻撃を起こしています。
そして、なぜ私たちは彼らがこれらを行っている理由や動機を知ることに関心があるのでしょうか? それは、彼らがどんなツールを使ってくるのか、どんな能力を持っているのか、どこを狙ってくるのか、リスクや露出に対する許容度を理解するのに役立つからです。たとえば、「もし見つかって FBI がドアを叩いてきたら、それは大問題なのか?」それとも、彼らが現在ベラルーシの地下室などに座っているから、大した問題ではないのでしょうか? 私たちがディフェンダーとして何をしなければならないのか、そしてそれらの人々がアクセスするのを防ぐのに役立つシステムをどのように構築するのかを理解するには、このようなスペクトラムに取り組む必要があります。
興味深いのは、同じ考え方を自社の従業員にも適用する必要があるということです。私たちの従業員は皆善意を持っています。彼らは正しいことをしたい、助けたいなどと思っています。しかし、現実を直視しましょう。彼らも人間です。だから時々彼らはお金のトラブルに巻き込まれます。時には、物事が進む方向が気に入らないこともあります。時には悪い日もあります。その結果、私たちディフェンダーは、彼らが何をしているのか、なぜそれをしているのか、そして彼らがやってはいけないことをしていないことをどうやって確認するのかを理解する準備ができている必要があります。
しかし、サイバーセキュリティと企業内の人々にとって本当に重要な要素の多くは、企業の文化です。「企業のセキュリティ文化は、その企業が成功するか、失敗するかを左右します。私たちは皆、セキュリティ文化が不十分な場合に何が起こるのかを、ニュースで見聞きしてきました。最終的には国家アクターが組織に繰り返し侵入し、自分たちの利益のために組織に害を与えることになります。なぜですか? それは、企業の人々が正しいことについて評価されておらず、正しいことを行うよう動機づけられていなかったからです。
彼らはあなたのデータや情報を保護することにモチベーションを持っていませんでした。彼らは何か他のことを目標としていました。そこで、企業文化の構築、つまり、私の会社の人として、開発者としてのあなたにとって最も重要なことは、第一に、自分自身が物理的に安全であること、そして第二にお客様のデータを保護することです。そうすることで、日中に何かを考えているときに、いつでも良い判断を下すことができるからです。「私は左に行くべきですか? 私は右に行くべきですか? 私は一つのことをすべきですか? 私は別のことをすべきですか? 本当にわからないので、助けを求めた方がいいですか? この分野の専門家を探しに行かせてください。」
そして私が思うに、正しい企業文化をつくることのインセンティブは、将来的なコストを抑えられるという点にあります。なぜなら、ビジネスの最終顧客のために正しいセキュリティを確保することとは対照的に、誰かが利益目標やマージン目標、納期の達成を優先して急いだ結果、問題を引き起こしたとしても、そうした「後始末」をしなくて済むからです。
Sara Duffer:
そして、それはセキュリティ保証の世界で働く私自身の生活も楽にしてくれます。いい結果です。Chris さん、文化に関して言えば、AWS ではセキュリティが最優先事項だとよく話しています。私たちが実際にそれをどのように行っているかについて少し話してください。どうやってその文化を築いていくのですか?
Chris Betz:
文化が非常に重要だと思う理由の 1 つは、それが長期的な投資につながるだけでなく、私が知っているすべての企業がサイバーセキュリティに関するトレーニング、ツールの提供、機能の提供に取り組んでいることだと思います。そして、大きな差別化要因の 1 つは文化です。セキュリティは常に変化しているからです。さっきの話ですが、、最近、どれだけ頻繁に AI の話題になるか数えきれないくらいですよね。 AI は常に変化しています。そして、その適応能力。手を挙げて「ここが矛盾しています」とか 「もっと良いセキュリティの方法がある」と言う能力です。 これについて考えてみましょう。これをもっとうまくできるでしょうか? プロセスやツールに盲目的に従うのではなく、実際に質問してみてください。
「これらのプロセスとツールには何かが欠けていると思います。リスクや問題があると思います。どうやってその話を持ち出せばいいでしょうか?」 それらは非常に重要です。そして、あなたが言ったように、文化は時間をかけて素晴らしい形で実を結びます。その文化を築くには、時間とエネルギーを計画的に使う必要があります。それはトップから始まります。まず、組織の運営方法に文化を合わせることから始めます。その一部は、私たちがどんな存在であるかを自分たちに言い聞かせることです。「すべてはセキュリティから始まる」と Matt が言うように、それは外向けだけでなく、内部でも重要です。
さらに、それは人々の時間の使い方です。Steve と私は、CEO が主催する毎週のミーティングについて話しました。繰り返しになりますが、それが組織の仕組みの一部であることを確認することは、非常に重要です。組織の文化にセキュリティを組み込んだら、セキュリティはすべての人の仕事であることを強調することが重要です。各人には特定の役割があります。手を挙げて、こう言う機会です。「何か違うことをしなければなりません。何かを見落としている気がします。混乱しています。よく分かりません。」と言う機会です。 セキュリティ、誰もがセキュリティが自分の仕事であり、その仕事を可能な限り簡単にすることがセキュリティリーダーとしての私たちの仕事であることを理解する必要があります。なぜなら、人々があらゆる段階でセキュリティに集中して時間を費やしていると、組織に摩擦が生じるからです。セキュリティをすべての人々の仕事とするのと密接に関連しているのは、人々がセキュリティを簡単に、自然に行うことができるようにするためのセキュリティ作業です。つまり、セキュリティを会社全体に分散させる必要があります。セキュリティへの取り組みが組織全体で確実に行われるように、トレーニング、知識、能力が適切に策定されていることを確認する必要があります。
そして最後に、私たちは積極的に投資する必要があります。セキュリティを向上させるイノベーションに積極的に投資する必要があります。セキュリティを確保しやすくするイノベーションには、積極的に投資する必要があります。そうしなければ、過去に囚われてしまい、組織として決して前に進めなくなるからです。これを行う方法の 1 つが、セキュリティガーディアンプログラムのようなものを使用する方法です。このプログラムでは、私たちは従業員に依存しており、サービスチームやエンジニアリングチーム内でセキュリティに関する深い問題について彼らを訓練しています。これにより、開発プロセスの非常に早い段階で、継続的にセキュリティについて考え、正しい知識を持つようにすることができます。そして、それは物事を非常に、スケーラブルにするのに役立ちます。ですから、皆さんがチームでできることが 1 つあります。それは、セキュリティガーディアンプログラムを作成することができるか、また、社内にセキュリティの文化をどのように作成するかを深く検討することです。
Sara Duffer:
はい。それでは、部屋にいるビジネスリーダーが自社のセキュリティおよびコンプライアンスプログラムに持ち帰れる 3 つの質問は何でしょうか。
Chris Betz:
私がいつも聞きたいことを 1 つあげます。私たちテクノロジーリーダーには、ビルダーツールや開発者ツール組織と呼ばれるものを持っている人がどれだけいるかはわかりません。セキュリティリーダーとして、これらの組織は組織全体の中で最も好きな組織です。まだお持ちでない場合は、これらのチームが開発者の作業を楽にするツールを構築します。そこには大きなレバレッジがあります。企業が優秀な人材を投入するのを見たいという場所があるとすれば、それはビルダーツール組織です。1 つの組織ですべての開発プロセスを大いに改善できるからです。セキュリティの観点から見ると、そこにレバレッジがあります。なぜなら、自分のセキュリティの知識やスキルをそういったツールに組み込むことで、大きなスケーラビリティを実現し、セキュリティを自然な動作として組み込むことができるからです。
そこで、もし私が皆さんだったら、セキュリティリーダーとビルダーツールリーダーに、彼らの関係はどのようなものか、どの程度うまく連携しているか、求めているセキュリティ成果のすべてがビルダーツールの機能にどの程度うまく組み込まれているかを尋ねることにします。
Sara Duffer:
Steve?
Steve Schmidt:
先ほども言ったことの繰り返しになりますが、皆さんのチームに「私たちは今、どこで生成 AI アプリケーションを構築しているのか?」と尋ねてみてください。 そしてチームにこう尋ねてください「明日どこで生成 AI アプリケーションが開発されているかを把握するために、どんな仕組みを用意していますか? そして、新しいアプリケーションが開発されたときに、それを私たちが把握するまでにどれくらいのタイムラグがありますか?」 そして、多くの場合、答えは「スクランブル、スクランブル、スクランブル」です。早く、データを探してください。これが答えです。」 すばらしいです。次の日になりました。はい。
そのため、それを定期的に実行し、最新の状態を維持し、インフラストラクチャの責任ある運用者および管理者であることを確認し、お客様に代わって収集したデータの責任ある所有者でいることができるようにするための方法、メカニズム、ツールが必要です。
2 つ目は、どのようなガードレールを備えているのか、そして、生成 AI を中心とした世界の変化に応じて、それらのガードレールを更新するメカニズムはあるのかということです。 私たちがここのステージに座っている間に、生成 AI の世界は信じられないほど進歩しました。何か新しいことが起こっています。誰か賢い人が考えだした基盤モデルに問題を引き起こす新しい方法があるので、それに対処できるようにしなければなりません。では、生成 AI アプリケーションを取り巻くガードレールに影響を与えることができる迅速なイテレーション方法にはどのようなものがあるのでしょうか。
Sara Duffer:
あなたはズルをしたと思います。それは 2 だったと思います。私も少しズルをします。そして私が言いたいのはまさにチームが実際にどのようにコンプライアンスを確保しているのかを問いかけることだということです。つまり、さまざまな基準や法律などに準拠しているかどうかをどのようにして判断できるかということだけではなく、時間をかけて継続的な保証を得る方法を実際に理解することで、ビルダーのコストを実際に判断できるということです。
ですから、2 つの核心的な質問があると思います。それは、社内の慣行や法律などにどのように準拠しているかということです。そして、ビルダーへのコストはどのくらいかということです。これは非常に重要です。なぜなら、非常に迅速にイノベーションを起こし、ビルダーにどのくらいのコストがかかっているかを監視しながら、コンプライアンスを維持したいからです。
最後の質問ですが、定期的にお客様と話をする中で、お客様がセキュリティ体制をすぐに承認するための最善のアドバイスは何ですか?
Chris Betz:
社内およびお客様のために、パスキーを実装する方法を見つけましょう。パスワードの使用をやめることは、従業員にとってもお客様にとっても状況を一変させるものです。そのテクノロジーを活用してください。これは大きな飛躍です。今すぐ実装してください。
Steve Schmidt:
そして、安全性が大幅に向上するだけでなく、ユーザーエクスペリエンスも向上します。とてもスムーズです。そこで、技術者にこのことに集中してもらい、なぜ彼らが今それをしていないのかを調べてください。
2 つ 目はパスキーほどワクワクするものではなくて、セキュリティの野菜です。脆弱性の管理あなたのものにパッチを当ててください。それはあなたがそこにいる人々に対して持っている唯一の最高の防御策です。
Chris Betz:
または、パッチを当社に依頼してください。
Steve Schmidt:
そのとおりです。
Chris Betz:
Lambda やその他のものを使用してください。
Steve Schmidt:
そうですね。
Sara Duffer:
さて、本日はご参加いただきありがとうございました。またお時間をいただきありがとうございました。