AWS Security Profiles: 梅谷 晃宏、Office of the CISO Japan Lead

東京で開催されるイベント Solution Days を後に控え、当イベントに登壇予定の AWS 社員へインタビューを行いました。経歴や現在取り組んでいる事項についてご紹介いたします。

(※取材当時の記事となります。本年度の Solution Days は終了いたしました。原文はAWS Security Profiles: Akihiro Umegai, Japan Lead, Office of the CISO)

AWS での勤続年数と、役割について教えてください。

AWS に入社して 6 年半になります。私は、Mark Ryland が率いるチーム Office of the CISO(OCISO) の日本の代表を務めていますが、AWS 全体統括している最高情報セキュリティ責任者(CISO)の Steve Schmidt をサポートする役割を担っています。お客様向けの AWS Securityサービスに関連した支援を提供し、社内のセキュリティタスクの一部も担当しています。

OCISO の日本代表としてのあなたの役割と、米国におけるその役割との違いはどのようなものでしょうか?

米国企業が日本でビジネスを展開する場合、言葉と文化の壁に直面することが多いと思います。おそらく 9 割以上の日本企業は英語を日常的には使用していないでしょう。そのため米国企業にとって日本のお客様とコミュニケーションする際には通訳を入れるなど工夫が必要となり、一般的に意思疎通が少し難しいと感じる場面が多いと思います。また、外国人にとっては非常に独特と思えるような伝統的な商習慣や文化的な背景が日本にはあります。特に日本人は絆や信頼の構築という点を非常に重視していると思います。こうした言語の壁と文化の違いが日本でビジネスを行う上で、最も重要な点になると思います。

しかし、そういったちょっとしたハードルがあったとしても、それを克服してチャレンジするに足るビジネス上の非常に大きいポテンシャルが日本の市場にはあると言えます。私は、日本と米国の AWS 本社間のいわばショック・アブゾーバー、またはスタビライザーとして機能しているとよく話をしています。AWS の米国チームの方向性や要点を解釈し、それを日本の市場に適応、順応させていくことが、日本のお客様との適切なコミュニケーションとして重要です。 こうしたいった点は大きな違いと言えるかと思います。

あなたの仕事で最も困難なことはどのようなことですか?

日本は米国の市場の動向をある程度追従する傾向があると思います。たとえば、CISOに関する認識などもそうです。日本でも同様に、最高情報セキュリティ責任者(CISO)、つまり自社のために包括的なセキュリティ問題について決定を下す人々が必要という意識は高まっていると思います。ただし、CISO の概念は日本市場に浸透しはじめたばかりで CISO が企業の経営幹部レベルにおいて重要な職責であるとは、あまり認められていないと感じます。Steve Schdmit をはじめとした OCISO チームは、お客様のセキュリティ体制をさらに強固なものにしていくために、より深くお客様の CISO やセキュリティリーダーを総合的に継続して支援していく必要があると感じています。

また、従来、日本企業は IT プロセスやシステムそのものの構築をサポートする日本のシステムインテグレーターを活用して、IT に関するコア業務の多くを外注してきた歴史があります。お客様は、多くの場合、セキュリティ運用に関する決断やコンプライアンスの要求事柄の解釈等についても、重要な決定を下す際にそうしたシステムインテグレーター等のパートナー企業と連携するケースが多いと思います。日本の習慣やビジネスを熟知しているこのような日本のパートナー企業と協業していくことは非常に重要だと考えています。私が日本市場における重要なガイドラインについて、セキュリティとコンプライアンスのリファレンス文書を作成するとき、常にその市場における特定の分野に詳しい ３社から ６社から成るパートナーグループを構成し協業することにしています。このパートナーグループ内のメンバーでオープンに協調、協力することにより、「実用的で顧客中心のソリューション」を作り出すことができると信じています。また、このようなパートナーシップは、市場全体からの反響も大きい傾向があります。「あの日本の大規模なシステムインテグレーターが、米国のクラウドベンダーである AWS と提携している！？」といった反応が典型的なものです。パートナー企業とのこうした強固で、より良い関係を構築し、さらに関係性を発展させていくことは私の仕事の非常に重要な点でもあり、困難な部分であるともいえます。ざっくりとですが、30～40 パーセントの時間をお客様との直接のコミュニケーションに費やし、60～70 パーセントの時間をパートナーとのやりとりに費やしているかもしれません。

クラウドに関して、グローバル市場と日本市場の大きな違いは何でしょうか?

1 つの例としてですが、金融の領域では、日本の規制機関は規制要件に関して非常に厳密で厳格と言えると思います。日本の主な規制機関は、銀行業免許の発行を統制している金融庁 (FSA) です。日本市場で銀行の免許を取得するのは非常にチャレンジングであると言えるでしょう。しかし、EU の金融規制当局は、主要なシステムにクラウド環境をメインに活用している、いわゆる「チャレンジャーバンク」への銀行業免許を発行しはじめています。こうした「クラウドベース」の銀行は、従来のオンプレミス型メインフレームベースの銀行システムと比べて、銀行のサービス開始までのシステムコストが非常に低いことが特徴です。これは、日本の規制機関とお客様にとって、注目に値するユースケースです。このような新しいクラウドベースのシステムでは、通常、銀行の主要な業務を提供するためにすでに構成されている「既製の銀行システムミドルウェア」を採用している例がほとんどです。お客様はミドルウェアを購入して AWS 環境上に実装し、短期間で銀行業務に必要なサービス提供を開始可能です。また、米国の銀行の Capital One はもう 1 つの興味深いユースケースです。Capital One は、すべてのワークロードをオンプレミス環境から AWS に移行するという「全環境 AWS 移行」のアプローチをとった金融機関の典型的な事例です。ここで Capital One のケーススタディを読むことができます。

日本の規制当局や金融機関についていろいろお話しましたが、日本の規制機関または銀行が特別遅れている、ということを強調したいわけではありませんし、そう思ってもいません。日本では規則の順守に関して非常に厳格であり、お客様の信頼確保を命題としている状況があります。日本の規制当局や金融機関は、慎重かつ正確に新技術の採用を取り扱っており、そういった海外の新しい動向や新技術に関して情報を取り入れることに非常に興味を持っています。実際、日本の規制機関やあるいはその関連する組織 (FSA(金融庁)、BOJ (日本銀行)、FISC (金融情報システムセンター) 等) は、日本の金融業を強化するために、グローバルなケーススタディと新技術のユースケースから優れた実践を学ぶことに大変熱心であると思っています。私は、それらの機関と共有するために、諸外国における興味深く有用なユースケースを常に探しています。

クラウドのセキュリティおよびコンプライアンスに関する最も一般的な誤解はどのようなことですか?

一部のお客様は、データセンターを訪問するための明確な目的や目標がないにも関わらず、物理的なデータセンターの監査を実施する必要があると考えています。物理的なデータセンターの監査についてお客様から質問があると、AWS の第三者監査レポート (SOC 2 レポートなど) を活用して説明したり、AWS データセンターのデジタルツアーを参照していただくことで、AWS のデータセンターの運用方法等を理解してもらうように勧めています。しかし、物理的なデータセンターに存在するリスクは、全体として考慮しなければならないリスク管理におけるある一部分でしかなく、他のさらに重要な統制を強調する必要があると思います。例えば、不正アクセスをどのように検出して捕えていくか、様々なソースからの詳細ログをどのように処理するか、新しいクラウドベースのセキュリティ機能を利用してマニュアルオペレーションによる運用リスクを軽減し、セキュリティ運用を自動化をする、等といった項目です。ただし、先ほどの監査レポートに関する私の業務上の課題は、監査レポートの日本語翻訳です。英語を話すネイティブでさえ、英語の監査レポートを読み込むには、かなり詳細なセキュリティ用語や記述を理解する必要があるため、一般的にはハードルが高いと思います。日本のお客様が英語の SOC 2 レポートを解釈することはそれ以上に困難と言えるかもしれません。良い翻訳のレポートがあれば AWS もこれらの概念をお客様に説明しやすくなるでしょう。

また、もう 1 つの一般的な誤解は、クラウド環境でのシステム監査の実施方法です。既存の監査のほとんどは、サンプルベースで実施されていると思われます。しかし、紙やデジタル等の多様なフォーマットが混在するログや証跡にすべて目を通すことはできません。たとえば、監査人は紙ベースの記録で 10 ページ目をチェックして 30 ページ目まで同様の項目はスキップする、といった形で、サンプリングによる監査を実施するでしょう。しかし、そういったスキップされたログには、「未チェック」の項目があり、こうした手法には潜在的なリスクがあるかもしれません。しかし、クラウドシステムでは、詳細なログをデジタルで処理可能な状態ですべて収集できます。ほとんどの AWS のサービス機能では多くの詳細なログが作成され、Amazon GuardDuty 等のクラウドネイティブの監査に活用可能なサービスや、機械学習によって、あるいはサードパーティのログ統合ツールを使用して、ログを処理して監査に活かすことが可能です。結果として、さらに詳細で漏れのない、正確な監査を実現できる可能性が高いのですが、この事実を見逃している方が多いと感じます。また、「コンプライアンスに特化した監査人」が知っていることと、技術に特化したセキュリティエンジニアが知っていることにはギャップがあることが多いでしょう。コンプライアンスの専門家は、テクノロジーについて常に深く理解しているとは限りません。彼らが、クラウドベースのシステムから適切にログを収集するテクニカルな方法を知っている場合はあまり多くないかもしれません。しかし、逆にセキュリティエンジニアはそうしたクラウド環境における技術的な詳細を知っていることが多いでしょう。これらのそれぞれ異なった専門家同士を結びつけ、真に全体のシステムリスクを軽減するための効率的な監査を実行する方法を模索していく必要があると思います。

あなたの仕事で最も好きなのはどのようなことですか?

新しい概念やサービスを活用した革新です。例えば、金融情報システムセンター (FISC) は、日本の金融機関に対して安全対策基準を作成して公開しています。５、６ 年前、私が規制機関またはそうした金融規制対象のお客様を訪問した際に受けた質問は以下のようなものでした。「クラウドって何ですか? オンプレミスとどう違うのですか? 」、「規則ではクラウドについて何も触れていないですよね？」、「現在のガイドラインの下でクラウドをどのように利用できるのかわかりませんが、どうするのが良いのですか？」。当時お客様は、クラウド環境に移行した場合に規制機関からどのような反応があるかわからなかったのだと思います。しかし、過去 5 年か 6 年の間に、私は、米国やグローバル市場で何が起きているか、どのような大規模な顧客が規制対象のワークロードに対して AWS の使用を開始したかなどの事例や、セキュリティの実践と関連するナレッジを規制当局側やお客様に継続して共有してきました。今ではクラウドはセキュリティコンプライアンスを達成するための一つの効率的な最適解であることを、お客様にご理解いただけていると思います。お客様がクラウドのセキュリティ統制について考えるために使用できる事例などのマーケット情報と関連するテクニカルな情報を共有していくことが、規制側と規制対象のお客様の認識を少しずつ変え、その結果としてAWSの提唱するセキュリティやコンプライアンスに関してご理解いただけたのかとも思います。また、この 2 年間の間は、私は FISC のいくつかの検討会等で専門委員として活動させていただく機会を得ました。皆さんがが新しいテクノロジや概念に関して認識を変える手助けをすることは非常にエキサイティングなことです。

AWS Solution Days の参加者が何を得ることを望みますか?

クラウドのセキュリティとコンプライアンスの分野でお客様が さらに1 歩先に進むために、AWS がどのように貢献できるかを共有することです。AWS は、AWS Security Hub と AWS Control Tower という 2 つの主なセキュリティサービスを発表しました。日本のお客様が、セキュリティを向上させ続けるためにこれらのサービスをどのように使用できるかということを理解して頂くのも目標です。さらに、日本政府は最近、クラウドを採用する際の方針についての検討を改めて開始しています。日本政府のお客様は、クラウドが米国政府内でどのように活用されているか、大変興味を持っていると思います。AWS Solution Days のもう一つの大きな目標は、米国の政府システムでクラウドに関して何が起きているかを共有することです。そのことは、民間の人々にとっても、高度なセキュリティシステムが AWS 環境でどのように実現されるかを学ぶという観点で同様に興味深いはずです。

東京に初めて来る旅行者がやるべきこと、または経験するべきことは何ですか?

日本に来たら、新しい食べ物にチャレンジすることをお勧めします。寿司が好きな場合は特にそうですね。日本のお寿司屋さんは新鮮で非常に質の良い魚を提供していますので、見たことも聞いたこともないな？と思っても、メニューから何か新しいものをチャレンジして注文してみてください。魚介類の味覚について、いままでの認識を覆すような、新しい発見があるかもしれません。

また、外国の方は日本が独自の文化を保持しながら、同時に非常に西洋化した国であることを知って驚くことがあります。マクドナルド、スターバックスなど、米国発のサービスが日本にはたくさんあることがわかるでしょう。実際、アメリカの文化は日本でたくさん見ることができますが、それらはすべて日本の言葉と文化によって“改造”されているので、新しい興味深い経験になると思います。

あなたは DJ ですよね？: 最近リリースされたお勧めのアルバムは何ですか?

私は、テクノやアメリカのヘビーメタルなど、クラブミュージックがとても好きです。DJ というより曲を作ったり、ときどきエレキギターを演奏したりしています。お勧めですが、、、そうですね、最近の曲ではないのですが、私をヘビーメタル好きのギター小僧から、シンセサイザーマニアへと大きく変え、人生に非常に影響を及ぼした古い曲を挙げさせてください。 「Orbital 」というテクノユニットの 1992 年のアルバム「Diversions」に「Impact USA」という曲があります。ずっと私のお気に入りで大変素晴らしい曲です。美しいメロディと独特の空気感は、こうした音楽が特に好きではない人でも引き付けるような普遍的な魅力があると思います（激マスト！という感じです）。