AWS がお客様のセキュリティ、リスク、コンプライアンスの目標達成を支援する方法

Clarke (00:58):
あなたの経歴、AWS に入社した経緯、現在の役割について教えてください。

Hart (01:05):
わかりました。AWS に入社する前は、防衛産業のインテリジェンススペースで多くのシステム統合作業を行っていました。私はこの仕事が本当に好きでした。ミッションに夢中になり、米国政府と世界中の政府やそれらの政府の活動、さらに一部の規制対象産業をサポートすることに喜びを感じていました。しかし、私の頭の中には常にトップのセキュリティ会社のリストが存在していました。私は、キャリア初期において、主に消費者中心の仕事に携わっていました。つまり、ウイルス対策、デスクトップのパーソナルファイアウォールなどです。しかし、時間が経つにつれて、それは世界を動かすインフラストラクチャを提供する企業のリストに変化しました。つまり、Amazon や他の大規模なインフラストラクチャプロバイダーなどです。そして、私がキャリアを歩む中で、次にどうすべきかを模索していました。私は、セキュリティの領域にイノベーションを起こしている組織で働きたいと心から考えていました。つまり、非常に重要な少数のお客様だけでなく、世界全体に違いをもたらす組織です。そのため、私は AWS に入社し、それを実現することにしたのです。

Clarke (02:02):
現在、AWS ではどのような役割を担っていますか?

Hart (02:39):
最近、私はセキュリティおよびインフラストラクチャの領域におけるグローバルな専門業務および専門サービスのディレクターを務めていますが、これは少しわかりにくいですね。つまり、私の仕事は、お客様が、当社とともに、最も影響を受けやすいワークロードをクラウドで稼働するための自信と技術的能力を構築するのをサポートすることです。

Clarke (02:58):
わかりました。ところで、あなたのグループがお客様に提供する、またはお客様が利用できるようにするさまざまな専門サービスを検討している場合、提供しようとしているサービスが、実際にお客様が希望している、または必要としていることを確認するために従う特定のメカニズムはありますか?

Hart: (03:14)
非常に具体的な例を示します。数年前、何社かのお客様が、支払いカードシステムをクラウドに移行することを検討していました。お客様が本当に必要としていたのは、クラウドと支払いカードシステムの最新のオペレーションに関する専門知識と PCI 標準の理解の両方を備えたチームでした。そのため、そのお話をいただいたとき、PCI に関する能力を備えたパートナーを関与させようと考えました。それは本当にうまくいきました。お客様が AWS やパートナーと協力することで、最良の結果を得られることがよくあります。

また、AWS から得る専門知識やガイダンスは信頼できるものの、PCI などのパートナー自身が一定の要件を満たしていてほしいとお客様が望んでいる旨も伺いました。そのため、最終的には 6 ページのナラティブを作成して、目的から遡って考えてチームを構築し、このチームは最終的に完全所有子会社である AWS セキュリティアシュアランスサービスとなりました。これは PCI QSA 企業です。現在では、同社は信頼できる評価者でもあります。

Clarke (05:17):
素晴らしいです。ということは、お客様からの依頼がなければ、サービス X を提供する社内プロセスはないということでしょうか?

Hart (05:27):
ありません。私が AWS で働き始めてから現時点で 9 年と少しが経過しましたが、実際、私がこれまで経験した会話の中で、それはしばしば否定的に受け止められます。比喩的に言えばこういうことです。あなたが会議で何かを言い、そして誰かが「Hart、それは本当にインサイトに満ちていますね」と言うとしましょう。私たちはその視点が提示されたことに感謝します。しかしあなたのお客様はどのような意見をお持ちでしょうか? お客様は私の専門知識を軽視しているわけではありませんが、お客様がソリューションについて何度も検討するのをサポートする際に、私たちが深く耳を傾けることで、お客様に適切なソリューションを提供できることを、お客様、私、そして組織は認識しているのです。その後に、私たちは専門知識のレンズを通してそれをフィルタリングします。そして、固有の Amazon のソリューションを特定して、それをお客様に伝えるのです。

Clarke (06:09):
そうすると、組織内のあらゆる業務において、お客様の要求を満たすために常に新しいコンサルタントを雇わなければならないのではないかと想像します。次の素晴らしい AWS セキュリティコンサルタントを雇用する上で、あなたは何を求めますか? 深く幅広いセキュリティの専門知識ですか? 問題を修正したいというビルダーの考え方ですか? Proserve を雇用する際に、実際にどのような経歴と才能を求めていますか?

Hart (06:39):
いくつかありますが、その核となるのは、技術的な適性と文化的な適合性です。文化的な適合性とは、私たちのリーダーシッププリンシプルに合致しており、それらを熟考して自分のものとし、事業の推進に伴って私たちがリーダーシッププリンシプルについてさらに学ぶのをサポートする能力です。また、技術的な適性も確認します。つまり、何に興味を抱いているのかということです。 そして、私が本当に求めているのは、特定の領域における専門知識と、補完的な領域でも業務を遂行できることを示す能力です。
 
アイデンティティのエキスパートであれば、それを暗号化に適用できることも実証したかを問います。 あるいは、法医学や他の自然領域に適用できるかを問います。 なぜなら、ここでは、その分野における絶対的なエキスパートを求めているからです。これらのエキスパートの専門知識は途方もなく深いものです。しかしその深さには幅広さが必要なのです。なぜなら、その専門知識は問題解決のために必要とされるからです。それは日々の業務とは少し異なるものです。そのため、私たちは、俊敏性、柔軟性、先を見通す能力、型にはまらない方法で専門知識を適用する能力を求めています。

また、私たちはビルダーを求めています。そして私たちは、EA からデリバリーコンサルタントまでのすべての人々、そしてマネージャー全員が、プラットフォームについて技術的に熟練することを求めます。私たちはお客様をサポートするためにここにいるのです。また、CAT 画像を S3 にアップロードしたことがない場合、または EC2 インスタンスを起動したり、Lambda でコードをデプロイしたことがない場合は、それらのサービスで問題を解決する方法や次のビジネスを構築する方法について、お客様からの信頼を得て話をすることはできません。そのため、テクノロジーと本気になって向き合い、信頼できるソリューションを構築する能力は、私たちにとって非常に重要なのです。

Clarke (11:55):
あなたは、お客様の多くの最高経営幹部と会い、もちろん世界中にコンサルタントを配置して、お客様の問題を解決し、さまざまな機能の構築を支援していますね。AWS ProServe を通じて予約されているセキュリティサービスに関して、最近お客様がサポートを必要としている事項について特定の傾向はありますか?

Hart (12:16):
私たちがいつも言っていることは、そしてこれはビジネスの最初に立ち返ることでもありますが、お客様は安全でないインフラストラクチャを購入したくないということです。そしてもちろん、AWS では、非常に安全な一連のサービスを提供しています。お客様は、特定のビジネスニーズに合わせてそれらを実装するための最良の方法を知りたいと考えています。例えば、最近ではコンテナに関するニーズが大幅に増加しています。誰もがコンテナ化を行っています。新しく実装したり、コンテナを使用して移行をスピードアップして円滑化したりしています。コンテナセキュリティモデルを正しく取得する方法について、上級経営陣から多くの関心が寄せられています。自社のコンテナやコンテナセキュリティに適した脆弱性の管理やスキャンといった運用セキュリティをどのように実現すればよいのかということです。もう 1 つの領域はインシデント対応です。残念ながら、ニュースでは、ランサムウェアや他の種類の攻撃に関する多くの問題が報じられています。

繰り返しになりますが、お客様は、これらの不正行為から最良の保護を得るために AWS で使用できる機能を理解したいと考えています。そして、対応するためのサービスをクラウドで効果的に機能させるための最善の方法を知りたいとも考えています。なぜなら、これらのサービスがお客様にとって新しいものかもしれないからです。オンプレミスでは極めて優れているかもしれませんが、現在使用している一連の環境は異なるものです。そのため、対応には多くの関心が寄せられています。他の分野としては、セキュリティエンジニアリングを挙げることができます。多くのお客様から次のようなお声をいただいています。「Amazon のように構築したいのです。当社は貴社のサービスに満足しています。貴社は非常に良い仕事をしており、優れたかたちで API を公開しています。当社は、API を貴社のように強化したいと考えています。当社は、貴社が行うのと同じ DevOps タイプのソフトウェア開発ライフサイクルを持ちたいのです」。そのため、私たちは最近、セキュリティに極めて強い重点を置いたカスタマーエンジニアリング機能を実際に開発しました。そして、私たちはそれについてもお客様と協力しています。

Clarke (17:19):
お客様は、開始する際に Proserve を使うかもしれません。最初のランディングゾーンがどのようなものであるかを識別するのに役立てるためにパートナーを関与させるかもしれません。そしてもちろん、当社には Control Tower や、最近では他の方法があります。どのような種類のサービスやドキュメントを提供していますか? この質問は 2 つの部分で構成されています。1 つはお客様として、「正しい方法で、AWS のベストプラクティスに沿って」設定が行われているのかということをどうやって知ることができるのか。そしてもう 1 つ。ランサムウェアのイベントや、類似のイベントなど、何かを見逃したり、問題が発生したりする可能性がありますよね。Proserve はそのような点でもサポートしてくれるのでしょうか?

Hart (18:04):
Clarke、よくぞ聞いてくれました。その質問の両方の部分について、いくつか述べたいと思います。質問の最初の部分について、私は常に、お客様が当社の上位のサービスの一つ、つまり検査ツールに非常に精通していることを確認したいと考えています。Well-Architected に慣れている必要があるということです。そこには優れた一連のガイダンスが用意されています。Trusted Advisor に慣れている必要があり、Security Hub や GuardDuty に慣れている必要があります。これらは、現段階を理解するのに役立つサービスです。それらの基本事項を実装しており、それらが想定どおりに動作しているかどうかです。そして、ある種のより広範な教育と計画の観点から、APG、 AWS 規範ガイダンスなどのサービスを確認することができます。これは、Amazon やパートナーから物事の進め方ついて学んだベストプラクティスや教訓の驚異的な宝の山です。
 
最近では、セキュリティリファレンスアーキテクチャをリリースしました。これは、言葉とコードの両方で記載された、非常に規範的なガイダンスです。そのため、さまざまなユースケースとアーキテクチャの原則について説明するテキストが含まれています。セキュリティリファレンスアーキテクチャを開発するときに私にとって重要だったのは、それが概念的なものではないということでした。これは、セキュリティの観点から、アカウント全体で AWS のサービスがどのように機能するかを示す実際の建築図面のようなものです。つまり、漠然とした机上の空論や、丹念でありながら説得力のない説明に終始するのではなく、セキュリティの物理が書面に記載されており、実際の実装を補完するものとなっています。そのため、セキュリティリファレンスアーキテクチャガイダンスのすべてのユースケースには、真のリファレンス実装で実装する方法を示すソースコードが付属しています。そして、それは私たちが時間をかけて構築しようとしているものです。

私たちは、さまざまな視点を追加しようとしています。お客様からは既に驚異的なフィードバックが寄せられています。お客様はそれを好んで使用しているかということだけでなく、あるユースケースについてはどうなのか、 当社のこのユースケースはどうなのか、といった内容のフィードバックもあります。 そのため、私たちはそれらのフィードバックについてもイテレーションを実行することを検討しています。次に、インシデント対応のご質問についてです。最近 Reinforced で、お客様のインシデント対応チームの能力について話す機会がありました。その基盤は Proserve です。そして、これは私たちにとって 2 つのことを行う機会となります。まず、最も重要なことは、お客様が先を見据えて計画を立てるのをサポートすることです。これにより、インシデントの発生を防ぐことができます。何かが起こった場合にも対応が可能です。また、セキュリティイベントが発生し、 AWS 内で高次のサポートやエスカレーションされたサポートが必要な場合、私の組織には、サポートシステムを通じて、お客様のインシデントに対応するチームがあります。

これらのチームは、お客様が危機から脱することができるようにサポートします。そのために、インシデントの解決に際して、多くの実践的なサポートと多くのガイダンスを提供します。ほとんどの場合、お客様はインシデントへの対応とインシデント管理の実行に十分に慣れています。お客様にとっての問題は、新しさであることが多いと思います。お客様はこれまでにクラウドでインシデント対応を行ったことがないかもしれません。あるいは攻撃が新しいのかもしれません。そのため、お客様が本当に探しているのは、組織外のエキスパートなのです。その目的は、別の視点を得たり、適切に議論したりすることにあります。そして、対話のためでもあるでしょう。