Amazon ビジネス全体における適切な規模のセキュリティ

Clarke Rodgers:
Steve、本日はご参加いただき、本当にありがとうございます。

Steve Schmidt:
お招きいただき、ありがとうございます。お招きいただき、

Clarke Rodgers:
最後にお話ししたのは随分前ですね。実は昨晩考えてみたのですが、約 4 年前でした。

Steve Schmidt:
本当にすばらしいです。

Clarke Rodgers:
4 年前に何が起こっていたのかを考えてみると、パンデミックが続いていましたね。あなたと私はリモートインタビューを受けていて、あなたは別の役職に就いていましたよね? 当時、あなたは AWS の Chief Information Security Officer でした。そのインタビューからまもなく、アンディーが Amazon の CEO に就任しました。そして、彼が最初に行ったことの 1 つが、あなたを Chief Security Officer として登用することでした。彼があなたを CSO に登用した理由について少し教えていただけますか?

Steve Schmidt:
はい。アンディーが本当に大切にしていることの 1 つは、当社がお客様の情報をどのように保護しているかを理解することです。これは AWS において、ビジネスの基盤そのものであり、アンディーのこの価値観もその必要性からきています。セキュリティを適切に実現しなければ、AWS のようなビジネスは成り立ちません。

そして、アンディーが新しい役職に就いたとき、彼は同じ考え方を、Amazon が現在展開している非常に多様な事業にわたるすべてのお客様について適用したいと考えました。そして彼は、日々、そのことに目を光らせる人を置いておきたかったのです。そこでアンディーは私に、その役割を担うよう依頼しました。

Clarke Rodgers:
Chief Security Officer には、「Information」という単語が含まれていませんよね? つまり、あなたは CSO です。お客様とのインタビューにおいて、『「I」を落とす』ことについて何度か話題になりました。「Information」という単語を含まない「Chief Security Officer」であることがなぜ重要なのか、少し教えていただけますか?

Steve Schmidt:
はい。情報の保護は私たちの業界の真の通貨であり、CISO の仕事であると広く考えられている論理的な要素を確かに含むものです。しかし、敵対者はますます人間を利用して、論理的な観点からは入手することが困難な情報を狙っています。

業界ではこのような大きな変化が起きています。考えてみれば、昔はスパイ、つまり物理的なスパイがいて、社内に侵入して文書のコピーなどを入手していました。しかし、コンピュータシステムによりオンラインが実現したことで、新たなチャンスが生まれました。リモートで侵入してやろう、というわけです。企業がオンプレミスか否かを問わず、情報セキュリティを強化するにつれて、再びスパイが暗躍するようになっているのです。

そのため、お客様のデータとビジネスデータをどのように取り扱っているのか、そしてどのように保護しているのかを包括的に把握するには、物理的な資産と、情報アセット、つまり論理的なアセットの両方の保護を統合する必要があります。なぜなら、今や国家レベルの敵対者は、お客様が保有するデータへのアクセスの取得だけでなく、当社の事業の次の方向性に関する情報にも注目していることが多いからです。

衛星であれ、ロボット車両であれ、当社が次世代の非常に興味深い製品やサービスをどのように開発しているのか、という情報を狙っているのです。これらは世界中の国々にとって、そしてそれらが支える企業にとっても、非常に大きな価値を持っています。そのため、私たちはセキュリティプロフェッショナルとして、敵が誰なのか、そして、それらの敵からどのように身を守るのかについての全体像を把握する必要があります。

Clarke Rodgers:
なるほど。あなたは CSO に就任し、物理セキュリティの担当者を部下に持つようになりましたが、情報セキュリティのプロフェッショナルが話す言葉と、物理セキュリティの担当者が話す言葉は、それぞれ異なっているのではないでしょうか。どのように両者を統合して、両者が同じ言葉で話し、効果的に連携できるようにしているのですか?

Steve Schmidt:
はい。言葉の選択はそれほど重要ではありません。なぜなら、あなたが仰るとおり、それぞれに専門用語がありますから。最も重要なのは、これらの担当者の最終目標、その目標達成に向けた進捗状況の測定方法、そして、中でも最も重要なこととして、物理的な世界と論理的な世界の間のハンドオフポイント、つまりギャップの特定方法を理解することです。

このように考えてみてください。私が物理セキュリティの担当者である場合、人々が建物に侵入するのを防ぎ、敵対者が会社に雇われるのを阻止します。しかし、敵が建物内に侵入した場合、それは情報セキュリティの立場から見て、関心を持つべき事態なのでしょうか? ロビーに立っているだけの場合と、数多くのネットワークスイッチがあるクローゼットの中にいる場合とでは、まったく状況が異なります。したがって、何が起こっているのかを正確に把握するには、この 2 つを連携させる必要があるのです。

Clarke Rodgers:
この 2 つの橋渡しをするために、何かツールを開発する必要がありましたか?

Steve Schmidt:
はい。ツールとプロセスの両方を組み合わせました。ツールは常に進化し続けています。理論的な面では、常に改善し、データを収集、分析、利用する方法を見つけられるよう取り組んでいます。より興味深く、そしてより困難なのは、それらの方法を社内の各部署にどのように浸透させるか、および各部署が業務遂行に必要な情報にアクセスできるようにしながら、各部署がデータで圧倒されることなく、当社が収集した膨大な情報の中から重要な情報を見つけられるようにするにはどうすればよいのかを考えることです。

そして、ここでプロセスという要素が重要になります。これに関して大事なのは、多くの場合、機密である可能性のある情報や機密情報などを洗い出し、組織内のある部署から別の部署へと確実に引き継ぎが行われるようにすることです。そして、これを実現するには高度なスキルを持つ人材が必要です。「これはそれ自体では無害に見えるかもしれないが、私たちが目にした他の情報と組み合わせると、実に興味深いものになる」と理解できる人間が必要なのです。残念ながら、まだこのような理解が可能なシステムはありません。将来的には AI のトレーニングによって可能になるかもしれませんが、現時点ではまだ実現していません。

Clarke Rodgers:
非常に興味深いですね。あなたは AWS でセキュリティプログラムを立ち上げたので、AWS のセキュリティ、それに対する脅威、リスク選好など、AWS のあらゆる側面を熟知されています。CSO に就任されたことで、amazon.com、社内ではストアと呼んでいるもの、Whole Foods、Prime Video、MGM、Twitch など、さまざまな組織について学ぶことになりましたね。

まず、それぞれの事業のセキュリティプロファイルとリスクアペタイトをどのように把握し、どのようにそれらを統合したのでしょうか? いわゆる「single pane of glass」(1 枚のガラス) で、「Whole Foods のリスクプロファイルは適切だ」、「AWS のリスクプロファイルも AWS にとって適切だ」と言えるようにするために、どのように取り組んだのでしょうか?

Steve Schmidt:
まず、私の仕事で気に入っていることの 1 つは、事業の多様性です。周りからはよく次のように言われます。「あなたは 16 年間も今の仕事をしていますよね。セキュリティ業界では異例のことです。何故ですか? 」。この会社の仕事の多様性がその答えです。この仕事は学び続ける機会そのものであり、それが私にとって大きな魅力となっています。

私はそれほど若くはありません。人々は次のように言います。「いつまで働くのですか?」、 「引退するのですか?」など。 私は次のように答えます。「楽しんでいるんだ。引退なんてしたくないよ。本当に楽しい仕事だからね」。なぜなら、世界最大級のクラウドプロバイダーの構築から、宇宙への衛星の打ち上げ、食料品店の経営まで、幅広い業務に携わることができるからです。この仕事の多様性は、ビジネスの観点から見ると非常に大きな挑戦ですが、同時に、会社の規模を活かして運営コストを削減できるという、興味深い機会でもあります。

セキュリティ組織の運営について言えば、それらにはある程度のコストがかかります。しかし、Amazon のような大規模な企業全体でスケールできれば、単価を下げることができるのです。

Clarke Rodgers:
なるほど。

Steve Schmidt:
つまり、あらゆる事業が他の事業の規模から恩恵を受けるということです。したがって、食料品店が衛星事業と同じセキュリティを活用できる方法を見つけることが重要です。実際、これは多くの領域で可能なのです。例えば、脆弱性管理やコンピュータシステムに対するパッチの適用などは、衛星の構築と食料品店の運営で根本的に変わりません。

そのため、当社は単体の事業では到底実現できないレベルのセキュリティを実現し、あらゆる人々のために水準を高めることができます。そして、それがここでの私の仕事の一部なのです。すなわち、脆弱性管理、インシデント対応、一般的なセキュリティ組織を構成する他の要素などについて、会社全体で標準化された水準を確立するということです。

それから、それぞれの事業の固有の状況に応じて、どのようなカスタム要素を導入する必要があるのかを検討します。これにより、画一的な対策をあらゆる場面で適用しようとするようなことを避けることができます。そんなことをすれば、コストが急増してしまうからです。例えば、食料品店のビジネスであれば、1 店舗を失っても比較的小さな損失で済みますが、衛星を 1 基失うような場合はまったく逆で、大きな損失となります。

Clarke Rodgers:
なるほど。

Steve Schmidt:
ですから、個々の要素に合わせてセキュリティの状況を調整する必要があるのです。

Clarke Rodgers:
どのように...言い直しますね。各事業のセキュリティプログラムを運用する Chief Information Security Officer がいますよね。これらの Chief Information Security Officer にセキュリティ事業の運営責任をどのように負わせているのでしょうか?

Steve Schmidt:
Amazon が全社的に重視していることの 1 つに、シングルスレッドオーナーという考え方があります。これは、ある特定の要素にのみ注力する役割を担う人物を意味します。セキュリティにおいて、各事業に CISO を配置しているのは、2 つの理由からです。

1 つは、デバイスと Kuiper を担当する Amy Herzog であれ、AWS を担当する Chris Betz であれ、日々そのことに集中的に対応する人物を私が必要としているからです。しかし、同時に、私はそれらすべてに共通の指標を用いています。例えば、私は、全社を対象とする脆弱性管理に関する月次ビジネスレビューをチェックしています。そこでは、同じ数値、同じ手法、同じプレゼンテーション方法などが用いられています。

これにより、すべての事業で一貫した共通の視点を持つことができます。そして、それによって 2 つのことが可能になります。1 つ目は、当社が求める水準を満たしていることを確認すること、そして 2 つ目は、ビジネスの隅々まで、必要な可視性が確実に得られるようにすることです。なぜなら、よくある問題として、人々は「これは重要ではない。些細な部分だ」などと考えてしまうからです。

そして、そこから悪意のある人物が侵入し、当社全体が被害に遭うのです。したがって、あらゆるものを 10,000 フィートの高さから監視することで、会社のあらゆる部分で必要な対策を確実に講じることができるようにしています。

Clarke Rodgers:
そして、Amazon Security (AMSEC) のもとで、誰もが活用できる一元的なシステムを設けていますね。

Steve Schmidt:
当社のすべての事業にわたって、多くのことが基本的に同じです。特定の種類のデータの収集方法、そのデータの分析方法、そのレポート方法はその一例です。そのため、個々の事業ごとに同じことを何度も繰り返すのではなく、それらを 1 か所に集約することにしたのです。これにより、デベロッパーの時間などを節約できます。

大規模な運用を考えた場合、脆弱性管理の話に戻ると、収集エンジンにはオンコールのエンジニアが不可欠です。あなたもオンコール対応組織を運営したことがあるのでおわかりかと思いますが、休暇やその他諸々を考慮して、オンコールを 1 人確保するとしても、効果的に運用するには約 7 人必要です。

Clarke Rodgers:
当社は従業員に休暇を取ってもらいたいと考えていますからね。

Steve Schmidt:
そうです。これを複数の事業に一元的に展開することで、より効果的なツールを一元的に、より低コストで利用できるため、より効果的に運用できるようになるのです。

Clarke Rodgers:
これらの多様な事業全体のセキュリティの状況を Amazon の取締役会に報告するために、どのような方法を開発または実践していますか?

Steve Schmidt:
まず、Amazon の取締役会は本当に興味深いですね。Amazon の取締役会ほど、全メンバーが技術的な見識を備えている取締役会はほとんどないでしょう。さらに、Amazon は数年前にセキュリティ小委員会を設置することを決定しました。そのため、例えばセキュリティ部門が監査委員会に報告する多くの企業とは異なり、Amazon の取締役会にはセキュリティのみを専門に扱うグループが存在します。

それはすばらしいことです。そしてそれは、その過程で私たちの活動が厳しく精査されることも意味します。そのため、私たちは報告メカニズムを構築する必要がありました。これは時間の経過とともに進化してきました。それには 2 つの理由があります。1 つは、私たちがより良いかたちで報告業務を行えるように改善しているからです。もう 1 つは、取締役会が時間が経過する中でより情報に精通するようになるからです。取締役会のメンバーは、より鋭い質問をし、事業のニッチな領域についてより具体的な詳細を知りたがるようになっています。私たちは一般的に、取締役会に報告する際には必ず、事業の具体的な部分について報告することが重要だと考えています。「特定の分野でセキュリティの水準を満たしているか?」ということです。

さらに、取締役会のメンバーは非常に関心のある事柄を持っており、「事業のこの特定の部分について教えてほしい」、あるいは「当社が取り組んでいるこの事業には多くのリスクがあると考えているので、概要を説明してほしい」など、さまざまな要望が出されます。そのため、私たちは、定型的な部分と、取締役会の関心に応じた部分の両方を報告しています。

また、報告の最後には「時事問題」という項目を設けることにしています。この項目では、ニュースで取り上げられたすべての情報を、当社にとって特に教訓となる点やポイントに絞り込み、取締役会に有益な情報として提示しています。「業界ではこのようなことが起こりました。当社はこのような理由で影響を受けませんでした。

この投資により、影響を受けずに済みました」というようなことを報告するのです。これは取締役会にとって非常に大きな価値があると考えています。第一に、取締役会は当社に問題がないことを理解してくれますし、第二に、将来の投資判断の材料にもなります。例えば、私たちが報告の中で、8 年前、あるいは 10 年前に多要素認証に投資したことにより、他のある大企業に侵入したこの特定の脅威アクターが、当社に影響を及ぼすことを防ぐことができたと言うことで、取締役会は、「なるほど。すばらしい。では、10 年経っても問題を回避し続けるために、今計画しておくべき他の投資は何だろうか」と聞いてくれるのです。

Clarke Rodgers:
当社の CISO のお客様の多くは、取締役会を重視しています。中には、取締役会に直接参加して話す機会があまりない人もいます。また、既におっしゃっていたように、当社の取締役会はセキュリティに精通しているという点で他に類を見ない存在です。意見を効果的に伝えたり、取締役会の言語で話したりすることについて、取締役会に報告する CISO や CSO にどのようにアドバイスしますか?

Steve Schmidt:
私たちのやり方を好ましく思う理由として、取締役会のメンバーから最もよく聞くのは、専門用語の使用を極力避けているということです。CISO の役職に就く人の多くは技術畑出身で、報告する際にはつい...

Clarke Rodgers:
技術的に細かくなってしまいますよね。

Steve Schmidt:
まさにそのとおりです。自らの考え方を反映してしまうのです。しかし、ここでは取締役会がお客様であることを忘れてはなりません。取締役会にプレゼンテーションを行う際には、取締役会の言葉で話し、その取締役会にとって理解しやすい文脈で説明する方法を見つける必要があります。

第一に、毎回報告方法を変えるのではなく、一貫した報告方法を確立することです。毎回変更すると、基本的には理解が難しくなりますから。第二に、毎回必ず伝えたい、本当に重要な 2 つか 3 つのメトリクスを明確にすることです。

メトリクスの海で取締役を溺れさせないでください。例えば、私たちは脆弱性管理について毎回報告しています。これは、当社が運用している、そしてあらゆる企業が運用しているであろう、最も重要かつ基本的なセキュリティコントロールです。そして、投資すべき項目を見極めるのに役立つ、最後に追加すべき他の興味深い項目は何かを検討します。そして、報告プロセスの構成要素を意図的に分離する必要があります。

Clarke Rodgers:
そして、ここに投資すれば、ここでリスクが軽減される、というようなことも含めるのですね?

Steve Schmidt:
はい。これは現在のリスク軽減と将来を見据えたリスク軽減の両方を組み合わせたものです。そして、将来を見据えた対応は、セキュリティプロフェッショナルとしての私たちの仕事の中で最も難しい部分かもしれません。前例がありませんからね。多くの人がそれを見て、「それは本当に必要ですか?」、

「今すぐ実行する必要がありますか?」、 「それほど大規模に実行する必要があるのでしょうか?」、 「もう少し小規模に実行できませんか?」とたずねます。 これらは私たち全員で議論すべきことであり、時間をかけて取締役会でナレッジベースのようなものを構築していく必要があります。そして、「これらは現実世界での悪用事例です。これくらいの時間で当社にも影響が生じるでしょう。そのため、今すぐ、2～3 年のうちになど、ある時期に行動を起こさなければなりません」と言う必要があります。

Clarke Rodgers:
よくわかりました。Amazon は、イノベーション、Working Backwards、お客様の声に耳を傾ける、などで知られています。セキュリティリーダーであるあなたには、あなたに報告する CISO の意見にもよるのかもしれませんが、どのツールを購入し、どのツールを自社で構築するかについて、多くの選択肢がありますね。多くの場合、スケールについて考慮する必要があります。

つまり、市販のソフトウェアが Amazon のスケールに対応できるかどうか、自社で構築する必要があるのかを検討する必要があります。昨年、私たちは、MadPot、Mithra、Sonaris などのツールについて公に議論してきました。CSO として、これらのツール、そしておそらくまだ議論していない他の多くのツールの背後にエンジニアリングリソースを割り当てる資金を確保するために、どのように提案すればよいでしょうか?「これは投資に見合う価値があり、これらのツールからはこのような価値を得ることができます」と説得するにはどうすればよいでしょうか?

Steve Schmidt:
はい。まず、購入するツールと自社で構築するツールを区別しましょう。これは重要な出発点だと思います。私たちは、コモディティ化しているツールは購入します。例えば、エンドポイント検出機能は、自社で構築するのではなく、購入しています。なぜですか? 当社が使用している Mac、Windows、Linux のノートパソコンは、他の多くの人が使用しているものと同じだからです。

インストールされているソフトウェアは多少異なるかもしれませんが、それが当社のビジネスの差別化要因になるわけではありません。一方、MadPot などの非常に大規模なシステムを構築できるのは当社だけです。当社は構築できるが、他社は構築できないものに、当社は投資する傾向があります。

当社の投資プロセスは、当社が行う他の多くのことと似ています。プロトタイプを作成し、試用して、何がうまくいくかを確認します。最初からうまくいくとは限りません。そのため、再構築したり、少し変更したりするなどする必要があります。現在、MadPot は驚異的な成功を収めていますが、一夜にして生まれたわけではありません。長年にわたる投資の成果なのです。それは、「このアイデアは本当にいいな。何か面白いものが生まれるか試してみよう」と言ったあるエンジニアから始まりました。

そして、極めて適時の脅威インテリジェンスデータを取得し、それを抽出および処理して、すべてのお客様がアクセスできるセキュリティツールにフィードすることを可能にするこのエンジンが生まれたのです。私は、これが最も重要な部分だと考えています。例えば、多くのお客様から「生の脅威インテリジェンスフィードが欲しい」という声が寄せられます。

しかし、実際にはそうではありません。そのようなお客様が本当に必要としているのは、現在の業務のコンテキストで関連性のある情報なのです。それ以外の情報は単なるノイズで、現在その量は膨大であるため、当社のような規模の企業でない限り、すべてを理解しようとするのは無意味です。

そのため、当社の多くのお客様は、脅威インテリジェンスのようなものをマネージドサービスの一部として利用することに非常に満足しています。また、これにより、膨大なデータの山をふるいにかけるために時間を費やす必要がなくなりますし、複数の顧客にわたってコンテキストが適用されていないためにそのコンテキストが欠けてしまうという事態も避けられます。

コンテキストが重要なのです。コモディティ化とカスタムビルドという最初の議論に立ち返れば、まさにその点で、当社だけが持つ一元的な可視性が真のメリットをもたらしてくれるのです。

Clarke Rodgers:
これが適切な言葉かはわかりませんが、社内向けプレゼンでは、「これは AWS/Amazon 全体のセキュリティ強化に役立つし、お客様にも恩恵があります」と伝えるのでしょうね。「したがって、これは成功につながります」と。

Steve Schmidt:
はい。Amazon の言葉で言えば、お客様を第一に考え、「これはすべてのお客様のセキュリティ強化に役立ちます」ということです。同時に、私たちのビジネスにも役立ちます。なぜなら、私たちのビジネスのほとんどは Amazon/AWS のお客様だからです。つまり、あらゆる面で恩恵があるということです。

Clarke Rodgers:
これは素晴らしい仕組みです。少し話題を変えましょう。昨年は生成 AI の 年でした。私がお話ししたお客様の大半は、「ビジネスで使用している」ツールとして、生成 AI のセキュリティ確保に重点を置いていました。それらはサードパーティーのツールかもしれませんし、お客様は Amazon Bedrock を利用しているかもしれません。いずれにしても、ツールのセキュリティを確保する必要があります。Amazon 内部におけるセキュリティツールとしての生成 AI、あるいはセキュリティツールチェーンの一部としての生成 AI について、あなたの目にはどのように映っていますか? あるいは、これらの生成 AI は実際にどのように使用されているでしょうか?

Steve Schmidt:
これまでに目にしてきた生成 AI の最も効果的な活用方法は、アプリケーションセキュリティプロセス自体における活用です。AWS ではご存知のとおり、リリースされるあらゆる機能アプリケーションなどは、リリース前にセキュリティレビューを受けています。他の企業はこれまで、そのような贅沢を許されていませんでした。なぜなら、それを行うには莫大なコストがかかるからです。特に、文字どおり何千人ものセキュリティエンジニアを専任で配置しなければならないことを考えるとなおさらです。

Amazon で AppSec 業務のみを担当しているセキュリティエンジニアと同程度の数のセキュリティエンジニアを擁している企業は、ほとんどありません。生成 AI は、この領域で大きな力を発揮します。まだ実験段階にあることは確かですが、非常に大きな可能性を秘めています。

私たちは、時間が経過していく中で、アプリケーションセキュリティの領域における人的ワークロードが 60～70% 削減されると考えています。これは、AWS のような、常にあらゆることを評価することに投資してきた環境において、より迅速かつ低コストで、より一貫性のある作業を実行できることを意味します。また、これまで評価されたことがなく、より深く検討できる領域では、より広範にカバーできるようになることを意味します。つまり、これはいわば二重にメリットをもたらしてくれるのです。

Clarke Rodgers:
つまり、生成 AI を使用して節約した人的時間を、他のサイバーセキュリティの課題に充てるということですね。

Steve Schmidt:
はい。実際には、既存のサービスをより深く検討し、より多くのアプリケーションを幅広く検証することに注力することになります。もう 1 つ指摘しておきたいのは、生成 AI がこれらの課題の多くを完全に解決するわけではないということです。生成 AI は、いわば「簡単に解決できる」課題の多くに対応し、エンジニアが人間にしかできない真に興味深い問題に注力できるようにします。

生成 AI はすべての問題を解決できると思われがちですが、まだそうではありません。セキュリティの領域でそれが可能だと主張する人は、おそらく何が起こっているのかを本当には理解していないと思います。少なくとも現時点では、セキュリティの領域では常に人間による監視が必要です。そしてさらに重要なのは、生成 AI が正しい判断を下したかどうかについて、人間の判断が必要だということです。

Clarke Rodgers:
人間が必要だということに関連しておたずねします。Amazon や AWS で優秀なセキュリティ担当者と評価されて雇用されるのはどのような人でしょうか?

Steve Schmidt:
セキュリティ担当者の採用において私たちが最も重視するのは、そしてほとんどの人も同じように考えると思いますが、ある種の技術的な見識、というよりも、好奇心だと思います。

Clarke Rodgers:
詳しく教えてください。

Steve Schmidt:
つまり、問題を見て「なるほど、そういうことか」と言う人ではないということです。求めているのは、「それはなぜ起こったのだろう?」、 「そもそもなぜそのような状況になったのか?」、 「なぜもっと早く発見できなかったのか?」、 「そもそもなぜビルダーがミスを犯せる余地があったのだろう?」と言う人です。 当社が本当に求めているのは、物事を深く掘り下げ続ける人なのです。

あなたは私たちが用いている Correction of Error (COE) をよくご存知だと思いますが、その根底に何があるかと言えば、 「5 つのなぜ」ですよね。それと同じように、問題の根本原因を突き止めることが重要なのです。問題の表面的な対処では不十分です。

Clarke Rodgers:
好奇心こそが王様ですね。

Steve Schmidt:
そのとおりです。なるほど。

Clarke Rodgers:
もしあなたに水晶玉を渡したとすると...

Steve Schmidt:
水晶玉ですか。

Clarke Rodgers:
驚かせてしまいましたね。これは質問なのですが、あなたがその水晶玉を覗き込んで見える今後 1 年ほどの未来では、CSO や CISO は何に注力しているでしょうか?

Steve Schmidt:
ほとんどの企業は生成 AI に注力する必要があると思います。なぜなら、それらの企業のビジネスにおいて、生成 AI サービスが驚異的なペースで利用されているからです。そして 2 つのことを行う必要があるでしょう。1 つ目は、生成 AI がどの領域で利用されているのかを把握することです。Amazon は幸運な立場にあり、すべてのビルダーが生成 AI をどの領域で利用しているのかを把握することを可能にする一元的な可視性を備えています。

ほとんどの企業はこのような可視性を備えていないため、これに対処する必要があります。2 つ目は、生成 AI に関して、RAG をどのように実行しているのか、およびそのプロセス全体を通して認可と認証を適切に強制しているかを把握することです。これは決して簡単なことではありません。これは、ソフトウェアの世界では未だに完全に解明されていないものです。

そして、これは、プロンプトを入力したユーザーが、今いる場所から、今使用している機器を使用して、その時点においてアクセスを許可されているデータのみを、そのプロンプトに対する結果として返すという形で生成 AI を活用できるようにするために非常に重要なことです。ほとんどの人は、この問題についてまだ考えもしていません。

しかし実際には、Amazon の社内システムを見てみると、あなたがノートパソコンで社内システムを使用している間、私たちはあなたに関する多くのことを測定しています。「文字どおり、あなたのノートパソコンは私たちが想定している状態にあるのか?」、 「パッチは適用済みか?」などです。

「パッチを適用しない場合は隔離されます」という小さな通知がポップアップ表示されたことは、誰にでもあるでしょう。また、「あなたは世界のどこにいるのか?」、 「あなたの仕事は何か?」、 そして、私たちが確認していることをほとんどの人が気づいていないようなこと、例えば、「今日は何曜日か?」、 「普段アクセスする時間帯か? それとも普段とは違う場所からアクセスしているのか?」 というようなことも確認しています。

Clarke Rodgers:
「これは Clarke にとって普通のことだろうか?」というようなことですね。

Steve Schmidt:
そうです。「これは Clarke にとって普通のことだろうか?」、「Clarke のような仕事をしている人にとって普通のことか?」というようなことです。 これらのコントロールは、ほとんどの企業で存在していません。だからこそ、ガードレールの導入が非常に重要なのです。それを実現するために利用するシステムはどのようなものでもかまいませんが、ガードレールだけは整備しておく必要があります。

そして、これらのガードレールは、人々を取り巻く脅威の状況の変化や生成 AI の科学の進歩に合わせて、また、企業が生成 AI システムに入力しているデータの適切な利用について明確化するにつれて、常に進化させていく必要があります。

Clarke Rodgers:
すばらしいアドバイスですね。あなたの予測が現実のものとなるか、楽しみに待ちたいと思います。Steve、あなたは Amazon 全体の Chief Security Officer ですね。控えめに言っても、非常にストレスの多い仕事です。ご自身の精神状態を健康に保ち、ストレスを発散させるだけでなく、世の中の動向を把握し、常に意識を集中したり、意識を切り替えたりするために、どのようなことをしていますか? そして、あなたの部下であるリーダーたちが同じように自らを管理できているのかを、どのように確認しているのでしょうか?

Steve Schmidt:
新人でも、会社に長く勤めている人でも、リーダー全員に私がまず意識して確認するのは、仕事から自分を切り離すために何をしているのかということです。 私たちの仕事は非常にストレスが多く、事実上、休む暇はまったくありません。

そのため、正式に責任を引き継ぐ手段を設けて、「よし、Clark、これから 6 日間は君の休暇だ。君から連絡をもらいたくない。オンラインになってほしくない」と伝えることが重要です。私の部下たちは非常に献身的です。「休暇中なんだからメールを送るのはやめてくれ」と、文字どおり、社員のコンピュータの電源を切ると脅さなければならないこともありました。

皆さんの献身的な姿勢には感謝していますが、問題は燃え尽きてしまうことです。これはマラソンであり、短距離走ではありません。ですから、そのような仕組みを構築することは非常に重要です。また、個人としての自分にとって価値あることができる何かを持つことが重要です。音楽をやる人もいれば、登山をする人、釣りに行く人もいます。私は個人的に、ボランティアの消防士兼救急救命士をしています。

Clarke Rodgers:
それは意外です。

Steve Schmidt:
私にとって、これは普段の仕事とは正反対のことです。私たちは人間ですから、人と交流するのが好きです。私はここであなたと直接話しています。ビデオ通話でないことは喜ばしいことです。すばらしいです。しかし、私の普段の仕事は、その個人的な活動とは 2 つの点で大きく異なります。

1 つは、普段の仕事のほとんどでは、成果が現れるまでに 3 年、5 年、10 年かかるということです。すぐに成果を目にすることはできないのです。2 つ目は、すべてがコンピュータで行われるうえに、少しは人間が関わりますが、その人たちを見ることも、その人たちに触れることもできないということです。翻って、私の人生の楽しい部分、つまり消防士や救急救命士としての活動では、自分の仕事をうまくこなすことができれば、手を差し伸べて触れることができる人の 1 日をより良いものにすることができます。そして、それは、私が人間として切望している即時のフィードバックをもたらしてくれるのです。また、私の個人的な活動は、純粋に論理的なものではなく、非常に肉体的なものです。

Clarke Rodgers:
ストレスの種類は違いますが、おそらくより健康的なストレスなのでしょうね。

Steve Schmidt:
そうですね。皮肉なことに、長年消防に関わっている人は、サイレンが鳴っているときには脈拍数が下がるという研究結果がいくつもあります。なぜなら、これらの人々にとってそれが幸せを感じる場面であり、楽しめる活動だからです。お互い正直になりましょう。サイレンを鳴らし、ライトを付けたトラックで道路を走るのが好きではない人がいるでしょうか? とても楽しいですよ。

Clarke Rodgers:
すばらしいです。想像できますね。その活動についてさらに詳しくお聞きしたいです。CSO としてのあなたは日々、非常に重要な決断に直面していると思います。あなたは上位の救急救命士や消防士ですか? それとも下位の救急救命士や消防士ですか? つまり、誰かが難しい決断を下し、あなたはただ自分の仕事に集中しているのでしょうか?

Steve Schmidt:
皮肉なことに、私は実はその組織内でアシスタントチーフを務めているのですが、他の分野での技術的な見識よりも、リーダーシップ能力が問われる立場です。それでも 38 年間、この仕事を続けています。

Clarke Rodgers:
すばらしいです。

Steve Schmidt:
なので、経験値は増えてきましたね。

Clarke Rodgers:
すばらしい。Steve、今日はご参加いただき、本当にありがとうございました。

Steve Schmidt:
心から感謝します。お招きいただき、光栄でした。

今すぐ聴く

今すぐ聴く

今すぐ聴く