米国サイバーセキュリティ戦略と AWS の共通目標に対する取り組み

本ブログは 2023 年 6 月 7 日に公開されたBlog ”Our commitment to shared cybersecurity goals” を翻訳したものです。

米国政府は 2023 年 3 月に、国家サイバーセキュリティ戦略を発表しました。この戦略は、米国内外でよりレジリエントな未来を構築するために政府の意欲的なビジョンを概説しており、このビジョンの実現においてクラウドが果たす重要な役割が確認されています。

Amazon Web Services (AWS) は、サイバーセキュリティを向上させるために、お客様、パートナー、そして米国などの政府と幅広く取り組んでいます。この長年の取り組みは、米国の国家サイバーセキュリティ戦略の目標と一致しています。このブログでは、この戦略の概要を説明し、AWS がそのビジョンの実現にどのように貢献するかを説明します。

この戦略では、米国がサイバーセキュリティの役割、責任、リソースを割り当てる方法について、2 つの根本的な変化が示されています。第一に、この戦略は、サイバーセキュリティの責任を、リソースが限られた個人や組織から、最も対応能力が高く、適切な立場にある大手テクノロジープロバイダーへと移行することを求めています。AWSでは、これまでの実績と規模の大きさから、広範囲にわたる責任を負っていることを自覚しています。そのため、お客様、パートナー、そして世界全体のサイバーセキュリティ強化に全力を尽くしていきます。

第二に、この戦略は、レジリエントな未来への長期的な投資を優先するよう求めています。Amazon のオーナーシップの文化では、私たちは長期的な視点を持ち、短期的な結果のために長期的な価値を犠牲にすることはしません。15 年以上にわたり、AWS は世界中の何百万ものお客様にセキュリティ、アイデンティティ、およびコンプライアンスサービスを提供してきました。AWS は、複雑なグローバル規模の状況と活動的な脅威環境の中でクラウドを運営しており、セキュリティに対してダイナミックなアプローチが必要であることを認識しています。イノベーションと長期的な投資は、これまでも、そしてこれからも私たちのアプローチの核心であり続けます。AWS は、セキュリティとお客様に提供するサービスを開発し改善するために、継続的にイノベーションを重ねていきます。

AWS は、国家サイバーセキュリティ戦略の 5 つの柱それぞれに沿った形でサイバーセキュリティの効果を高めるよう取り組んでいます。

1. 重要インフラの保護 — お客様、パートナー、政府は、安全なクラウド基盤に移行し、その上に構築していることに確信を持てることが重要です。AWS は、現在利用可能な最も柔軟で安全なクラウドインフラストラクチャを持つように設計されており、データセンター、ネットワーク、カスタムハードウェア、安全なソフトウェアレイヤーは最もセキュリティを重視する組織の要件を満たすよう構築されており、全てのお客様はこの恩恵を受けています。AWS のクラウドインフラストラクチャは、セキュア・バイ・デザイン (企画・設計段階からセキュリティを重要な要素として組み込むアプローチ)、及び、セキュア・バイ・デフォルト (初期状態でもセキュア) です。また、AWS のインフラストラクチャとサービスは、米国政府やその他のお客様が設定する高いセキュリティ基準を満たしています。
2. 脅威アクターの阻止と無力化 — AWS では、セキュリティを最優先に考え、サービスと製品の悪用を防ぐための重要な対策を実施しています。AWS サービスの悪用を抑止、検出、軽減、防止するために講じている対策の例として、新規登録時の不正や身分詐称の調査、異常な動作を検出した際のサービスレベルの封じ込め戦略の採用、ランサムウェアからの重要システムや機密データの保護などがあります。また、Amazon は米国政府と協力してこれらの脅威に対処しており、共同サイバー防衛連携 (JCDC: Joint Cyber Defense Collaborative) の初期メンバーとして参加しています。さらに、Amazon は、米国外の脅威アクターによる米国内インフラの悪用に対処するため、米国大統領の国家安全保障通信諮問委員会と共同で調査をリードしています。
3. セキュリティとレジリエンスを推進する市場環境の育成 — AWS では、セキュリティが最優先事項です。お客様のフィードバックに基づいて継続的にイノベーションを重ね、お客様の組織が最高レベルのセキュリティアーキテクチャを組み込むことで、ITシステムだけでなく事業活動全体をセキュアな状態で行うことができ、イノベーションのペースを加速できるよう支援しています。具体例としては、AWS は Open Cybersecurity Schema Framework (OCSF) プロジェクトを共同設立し、セキュリティ製品間の相互運用性とデータの正規化を促進しています。また、オープンソースプロジェクトへの直接的な貢献と、Open Source Security Foundation (OpenSSF) を通じた様々なオープンソースセキュリティ改善プロジェクトへの1,000 万ドルの初期投資により、オープンソースソフトウェアの品質と安全性に貢献しています。
4. レジリエントな未来への投資 — サイバーセキュリティの課題に対処するためには、スキルトレーニング、人材育成、次世代技術の教育は不可欠です。そのため、私たちは人々がキャリアを成長させるために必要なスキルを習得しやすくするための大規模な投資を行っており、サイバーセキュリティもその一環です。Amazon は、米国内の 30 万人以上の自社従業員に無料の教育とスキルトレーニングの機会を提供するために、12 億ドル以上を投資し、新しい成長分野の仕事を確保できるよう支援しています。また、Amazon は世界中の 2,900 万人に無料のクラウドコンピューティングスキルトレーニングを提供するために数億ドルを投資しています。私たちは引き続き、米国サイバーセキュリティ・社会基盤安全保障庁 (CISA: Cybersecurity and Infrastructure Security Agency) や政府の他の機関と協力して、サイバーセキュリティの人材を育成していきます。
5. 共通目標達成のための国際連携の構築 — AWS は、サイバー防衛の強化やセキュリティリスクへの対処など、共通の目標を推進する革新的なソリューションを提供するため、世界中の政府と協力しています。例えば、米州機構 (OAS: Organization of American States) のような国際フォーラムを支援し、西半球全体でセキュリティの対応力を強化しています。私たちは、相互接続されたセクター間およびグローバルサプライチェーン全体でのセキュリティの一貫性と継続性を強化するために、政府に対して国際的に実績のあるリスクベースのサイバーセキュリティフレームワークやセキュリティ基準の検討を促しています。これらのセキュリティ基準やフレームワークの国内外での採用拡大は、経済成長を促進しながらサイバーリスクを軽減することにつながります。

AWS は、バイデン政権のサイバーセキュリティ目標を共有し、規制当局やお客様と協力してそれらを達成することを約束しています。米国において官民の協力が中心的な役割を果たしてきたことは、技術の所有者・運用者がサイバーセキュリティ対策における重要な役割を担うべきという認識に基づくものでした。米国政府が国家サイバーセキュリティ戦略の実行に向けて進む中、私たちは取り組みを加速して、米国政府、国際パートナー、業界の関係者を含むすべてのステークホルダーとの継続的な連携や対話を目指しています。協力関係を築くことで、最も困難なサイバーセキュリティの課題に取り組み、セキュリティ対策の成果を高め、より安全でレジリエントな未来を実現できると信じています。

このブログに関する質問がある場合は、AWS サポートにお問い合わせください。

AWS セキュリティに関するニュースをもっと知りたいですか？X でフォローしてください。