より優れた CISO になる方法

AWS の CISO、Chris Betz との対談

成功するセキュリティリーダーシップについて

CISO として成功するにはどのような資質が必要なのでしょうか? 効果的なトップレベルのセキュリティリーダーシップをどのように定義すべきでしょうか? AWS の CISO として、本日のゲストはその独自の立場からこれらの質問に回答します。

会話の文字起こし

Chris Betz が、セキュリティの文化の確立から、多様性を考慮した採用、次世代の優れたセキュリティリーダーのメンタリングに至るまで、あらゆることについて自身の考えを語る様子をぜひご視聴ください。

AWS の Chief Information Security Officer である Chris Betz の紹介

Clarke Rodgers (00:07):
CISO として成功するにはどのような資質が必要ですか? AWS の CISO である本日のゲストは、この質問に対してすばらしい視点をお持ちです。AWS のエンタープライズ戦略担当ディレクターである Clarke Rodgers です。Executive Insights で、AWS セキュリティリーダーとの一連の対談のガイドを務めています。

AWS の CISO である Chris Betz をこの番組にお迎えできることを嬉しく思います。Chris が、セキュリティの文化の確立から、多様性を考慮した採用、次世代の優れたセキュリティリーダーのメンタリングに至るまで、あらゆることについて自身の考えを語る様子をぜひご視聴ください。どうぞお楽しみください。

Clarke Rodgers (00:38):
私は Chris さんのことをよく知っていますが、ご覧になっている皆さんのために、ご自身の背景について簡単にお話しいただけますか?

Chris Betz (00:44):
仰るとおり、以前からお互いのことはよく知っていますよね。私がセキュリティコミュニティを気に入っている点の 1 つは、小規模であるということです。誰でもどこかの時点で、これまで目にしてきた世界中の人々と交流することになるのです。では、自分のことをお話ししましょう。私の経歴は空軍から始まりました。空軍に数年間従事した後、連邦政府でサイバーセキュリティの仕事に何年も携わりました。

また、メディア企業である CBS などでセキュリティを担当したほか、Apple、Microsoft、以前は CenturyLink という名称だった Lumen などの企業でも多くの時間を過ごし、最近では Capital One でセキュリティを担当していました。多様な職種の人々と会ったり、あなたが仰るように、同じ人に何度も会ったりするのは私にとって興味深いこととなっています。

► 動画を見る: 空軍の退役軍人である CISO のデータ保護に関する視点

Clarke Rodgers (01:23):
今、AWS の CISO としてお客様と会ったり、お客様からのセキュリティに関する質問に答えたりしているとき、ご自身の中でどのような変化が見られますか? 例えば、「私もつい最近まであなたのような立場にいて、そのときはこのように考えていて、今の立場では、このように答える」というようなことはありますか?

Chris Betz (01:45):
過去 10 年間にわたって、私は AWS の重要なお客様である企業で、セキュリティの領域を担当してきました。それらの企業でセキュリティジャーニーやテクノロジージャーニーを進める際に、私は AWS と協力してやってきました。最近では、自らが顧客であった経験を踏まえて、お客様の会話や質問、課題を理解できるようになり、まったく異なった視点で会話をすることができるようになりました。

また、これらの会話で私が最もすばらしいと感じていることの 1 つは、お客様が見ているもの、世界で何が起こっているのかをどのように感じているかをしっかりと把握できるということ、そして実際にアイデアをやり取りできることです。「私にはこのように見えているので、このように問題を解決しようとしています」、「あなたにはそのように見えているのですか? そのようにして問題を解決しようとしているのですね」というようなことです。私たちが AWS の中だけでなく、お客様の中でも、相互に基準を高め続けることができるこの能力は非常に強力です。

Clarke Rodgers (02:51):
そして、「以前の立場では、その問題をこのように解決しました」と言えることで、より大きな信頼を得ることができますよね。それはすばらしいことです。

Chris Betz (02:58):
困難な問題を克服してきましたから。

Clarke Rodgers (02:59):
そのとおりです。CISO としては、セキュリティやビジネスに関する専門知識を備え、それらすべてを組み合わせて活用する必要がありますが、実際にはビジネスやお客様などにセキュリティを提供する必要がある大規模なチームを擁していますね。それを踏まえて、今日のセキュリティリーダーが直面している課題にはどのようなものがあるとお考えでしょうか?

人材の多様性をセキュリティ組織にもたらす

Chris Betz (03:21):
それは主に才能に集約されると思います。ご指摘のとおり、私たちがセキュリティ分野で解決しようとしている問題は非常に多面的であるため、セキュリティ分野で成功を収めるには、適切な人材がいるということが絶対に不可欠です。私は、周りに多くの人がいることが大好きです。実際、私がこれまでに在籍したすべてのトップパフォーマンス企業では、さまざまなことを教えてくれたり、インスピレーションを与えてくれたり、疑問を呈してくれたりする人たちが周りにいることを大変好ましく思っていました。

なぜなら、セキュリティは私たちが常に学び続けなければならない分野だからです。したがって、常にその水準を引き上げる人材が必要なのです。このような人々と働いているときには、信じられないほどインスピレーションが湧いてきます。このような人々は、ビジネスをより効果的にしたり、人々にとってセキュリティを確保することが自然なことであるようにしたりするために、これまで想像もできなかった方法で問題を解決する方法を見つけてきました。それは非常に重要なことです。そして、適切な文化が確立されていれば、このような人々は喜んで、「これについて正しい方法で考えていますか?」とあなたに疑問を呈します。そして、そのように疑問を呈することは、全員の成長、あなたの成長、組織の成長を助けるとともに、あなたが正しい方向に向かうのを助けてくれるのです。

► 動画を見る: セキュリティの人間的側面: セキュリティチームを管理するためのアドバイス

まったく同じ経歴を持ち、同じ方法で問題に取り組む人々は、あなたに教えてくれたり、疑問を呈したり、インスピレーションを与えたりはしてくれません。したがって、セキュリティの分野で私たちが抱え続けている大きな課題の 1 つは、私たちが理想とするすばらしい組織になるのを助けてくれる幅広い視点、幅広い文化、幅広い経験、アプローチの多様性、考え方の多様性をどのように獲得するかということだと思います。私はそれに多くの時間を費やし、適切な人材と適切な組み合わせを確保することに取り組んでいます。それがなければ、残りの問題を解決することはできないからです。

Clarke Rodgers (05:10):
そしておそらく、伝統的な考え方に縛られない、「それがセキュリティ担当者というものだ」というように考えない視点は、私たちの敵は確かに多様であるため、セキュリティの特定の側面に役立つかもしれません。

Chris Betz (05:23):
そのとおりです。また、AWS がグローバル企業であることを認識することが重要です。敵はグローバルです。私たちはグローバルな人材を活用する必要があります。私たちはあらゆる種類の異なるバックグラウンドを持つ人々を活用し、関与してもらう必要があります。私が知っているセキュリティ分野で最も賢い人の中には、驚くほど多様な経歴の人もいます。この人たちも何年もかけてセキュリティの知識を磨いてきました。しかし、適切な視点の組み合わせをどのように取り入れるかが、極めて重要です。

ゼロトラストでセキュリティの実現における抵抗を最小限に抑える

Clarke Rodgers (05:51):
過去数年間を振り返りながら、今後のことを考える中で、セキュリティの観点から最も期待していることは何ですか? また、これはプログラム、プロセス、テクノロジーなどが考えられますが、それに基づいてどのような点に重点的に取り組んでいますか?

Chris Betz (06:08):
ゼロトラストがこれまでに歩んできた道のり、すなわち、ゼロトラストソリューションとして宣伝された一連の製品から、一連の標準、そして実際に組み込まれた一連のテクノロジーに至るまでについて考え、ここ数年で一部のユーザーエクスペリエンスがどのように変化したかを見てみると、最近においても Amazon.com や他の多くの企業が導入しているパスキーテクノロジーは、テクノロジーにアクセスしたり、本当に考え抜いた方法で実現したりする能力など、シームレスなユーザーエクスペリエンスの考え方を根本的に変えました。

Clarke Rodgers (06:50):
そして、セキュリティを簡単に実現するための方法もですね?

Chris Betz (06:52):
そのとおりです。したがって、複雑な VPN から、何が起こっているかをシームレスかつ詳細に分析することに移行する中で、その領域において私たちが成し遂げてきた進歩は、信じられないほど強力だと思います。

AWS がお客様向けに新しい機能を構築するために生成 AI の基盤にどのように取り組んでいるか

生成 AI については、さまざまな話題が飛び交っています。AI は新しい分野ではありません。何十年もかけて取り組んできましたが、ここ 1～2 年の機械学習/AI 分野の変化のスピードは信じられないほどです。これにより、セキュリティを考える上で非常に優れた機能が数多くもたらされます。人と話しているときによく挙げる例に次のものがあります。以前はデータの一部を分析して「ここにセキュリティリスクはないか」を確認し、大規模なスプレッドシートを作成して検索し、これまで実践的に用いていた方法でデータを操作するという方法は、時間効率は高かったかもしれませんが、これを実現するためのコードを記述するのに時間がかかっっていました。

Clarke Rodgers (07:53):
そうですね。今よりもずっと時間がかかるものでした。

Chris Betz (07:54):
数時間が必要で、手動での分析にも 1 時間程度かかっていました。現在、CodeWhisperer や他のテクノロジーの登場により、そのモデルは覆されました。「このデータを分析して、これを見つけたい」という明確に理解できる問題を説明することで、システムに実行を依頼し、数秒で答えを取得し、実装、テスト、実行できるのです。手動のスプレッドシートを使用するよりもはるかに短時間で実行できます。そして、それは再現、テスト、検証のすべてが可能です。人的ミスを減らすことができます。これにより、大きなメリットが多く得られます。したがって、これは、AWS だけでなく、業界全体のセキュリティ運用の仕組みさえも変えることになると思います。そのため、ここには大きなチャンスがあると考えています。

その一方で、生成 AI で何ができるか、それについてどのようにセキュリティを実現し、どのように挑戦するかについて、私たち全員が学んでいる最中であり、私はこの点にも膨大な時間を費やしています。私たちは、AWS 内に適切な基盤が確立されており、適切な機能を構築していることを確実にするために、膨大な時間とエネルギーを費やしています。私たちが生成 AI ベースのソリューションを構築しているとき、まず、それらを実際に大量にテストする必要があります。

Clarke Rodgers (09:14):
大規模にですね。

Chris Betz (09:15):
はい。業界をリードする規模で行う必要があります。また、私たちが抱えている問題は、お客様が生成 AI を使用するときに抱えている問題と同じであるため、私たちはそれらの教訓をそれぞれ取り入れて、お客様に提供できる機能を生み出すこともできます。信じられないほど高速の学習サイクルがあり、私たちは毎日新しいことを学んでおり、それは楽しいことです。また、これは困難なことでもあります。なぜなら、攻撃者も毎日新しいことを学習しているからです。

Clarke Rodgers (09:41):
確かにそうですね。

Chris Betz (09:42):
この分野で迅速に取り組みを進めるには、非常に短いサイクルを継続する必要がありますが、そのことは私が AWS で働くのを好ましく感じている理由でもあります。ゆっくりと取り組むようなことはありません。そのようなことはまったくないのです。したがって、AWS のすばらしい力は、この分野で私たちが進むべき方向にぴったりと合っていると思います。

AWS CISO Circles を通じてセキュリティコミュニティを構築する

Clarke Rodgers (10:01):
すばらしいお話ですね。お客様は従来、セキュリティの実現やビジネス上の問題の解決などのために、テクノロジーのニーズを求めて当社のサービスを利用しています。お客様にとってはそこまで明白ではないかもしれませんが、明らかに私たちはテクノロジー企業であり、お客様にソフトウェアとサービスを提供していますが、同時にお客様がセキュリティプログラムを構築し、より効果的になるようサポートするために多くの時間を費やしています。よくご存知のとおり、当社の最も人気のあるプログラムの 1 つは、AWS CISO Circles です。このプログラムがどのように構成されていて、お客様がどのようなメリットを得られるのか、少しお話しいただけますか?

Chris Betz (10:38):
先ほどお話ししたように、セキュリティコミュニティが小規模であること、相互に学び合うことは非常に重要です。

「セキュリティの世界で最も好ましく考えていることの 1 つは、私たちの敵は競合他社ではないということです。私たちの敵は、お客様を攻撃している外部の不正行為者です。私たちはお客様にテクノロジーを安心して利用していただく必要があります。CISO Circles は、それを実現するのに役立つ優れた方法です」

チャタムハウスルールでは、会話の内容を誰にも帰することはありません。これにより、人々は真の会話をすることができます。私たちが相互に学び、疑問を呈し、質問することができるのです。「あなたはこの問題をどのように解決しているのですか?」、「最近、攻撃者はこのような攻撃を行っています。あなたもその問題に気づいていますか?」というようなことです。革新し、考え、最高のものから学ぶことができるのです。それが、CISO Circles で私たちが置かれる環境であると考えています。

したがって、共通点 (世界の地域、ビジネスやテクノロジーに関する共通点、同様の一連の問題など) を持つ人々を集めて、AWS 内外で私が知っている最も賢い人々と会話をすることができるのは、信じられないほど強力なことです。それが CISO Circles を活用する大きなメリットだと考えています。また、率直に、参加した集まりをとても楽しみましたし、来年はさらにいろんなことをしたいと思っています。

Clarke Rodgers (12:08):
なるほど。私が顧客だった頃、他の業界の CISO から多くのことを学んだことを覚えています。保険業界では独自のリスク許容度があり、独自の業務を行っていますが、驚くべきことに、私はメディア、小売、銀行の各業界から多くのことを学びました。それはすばらしい体験でした。

Chris Betz (12:16):
私もまったく同じことを感じてきたので、さまざまな人々が集まって会話をすることを楽しんでいます。

Clarke Rodgers (12:32):
今日は貴重な話をありがとうございました。

Chris Betz (12:34):
すばらしい時間でした。お招きいただき、ありがとうございました。