生成 AI はセキュリティ運用をどのように変えるか?

Clarke Rodgers：
適切なグローバルセキュリティ運用をスケールするのは、決して簡単なことではありません。ビジネスニーズに合わせて適応しながら、お客様の信頼を優先する、ある程度のコミットメントとオーナーシップの文化が必要です。

こんにちは。私は AWS の Director of Enterprise Strategy である Clarke Rodgers です。Executive Insights で、AWS セキュリティリーダーとの一連の対話のガイドを務めています。

このエピソードでは、Director of AWS Response and Resiliency である Tom Avant の話を聞きます。ビジネスの回復力を高く維持するために、セキュリティ運用を構築、維持、進化させる鍵について話し合います。ぜひお楽しみください。

Clarke Rodgers：
Tom、本日はご参加いただき、ありがとうございます。

Tom Avant：
お招きいただき、ありがとうございます。本当に光栄です。感謝しています。

Clarke Rodgers：
まずは、ご経歴について少しお聞かせください。軍隊にいた時期があったことは知っていますが、AWS に入社しようと思ったのはなぜですか?

Tom Avant：
軍隊では当初、言語関係の任務に就きました。私はインテリジェンスアナリストとして働き、モントレーのアメリカ国防総省語学学校ではさまざまな文化に触れるすばらしい機会を得ることができました。世界について多くのことを学びました。それは、後にグローバル組織やグローバルチームを運営する上で大いに役立つものでした。

そして、インテリジェンスの業界についてですが...テレビや映画で多く題材にされており、放映されているとおりの世界だと考えられがちですが、実際に身を置いてみると、まったく違うということに気づきます。しかし、私にとっては、データ、処理、方法論について多くを学び、自分の考え方や物事の見方を体系的なものとすることができるすばらしい場所でした。私は NSA で数年間働き、インテリジェンスの観点からさまざまな業務に従事しました。

そして最終的に、インテリジェンス活動を行う指揮統制官である Air Battle Manager として士官になり、大統領のサポートを行い、世界中で人道的任務を遂行し、重要な決定を下して、大規模なグローバルレベルのインシデント対応という名目でさまざまなことを行っていました。

Clarke Rodgers：
なるほど。

Tom Avant：
AWS は自然な流れでした。私は生涯ずっとセキュリティに携わってきました。以前、私は 19 歳のときからセキュリティクリアランスを持っているという冗談を言ったことがあります。確固とした価値観のある組織に入社してみたところ、Amazon はリーダーシップの原則のおかげで魅力的でした。AWS で何が行われているのかを理解し、詳しく見てみると、「なんと、世界のこれほど多くのことが、私たちの活動のおかげで動いているとは」と驚きます。 私もその一部に携わっているのです。

Clarke Rodgers：
AWS での現在の役割について少し聞かせてください。現在の役割と責任はどのようなものですか?

Tom Avant：
私は主に AWS Security Operations Center を運営しており、AWS の事業継続性も担当しています。この 2 つはまったく異なるものですが、どちらもビジネスにとって極めて重要です。AWS Security Operations Center は、ビジネス全体の第 1 層の物理的および論理的なインシデント対応に責任を負っています。つまり、データセンターから S3 バケットまで、私たちは最前線で検出結果をモニタリングし、それらの検出結果をトリアージするか、または自分たちで解決できない場合は、解決できる他の担当者にルーティングします。

入室用の ID がどうなっているのか疑問に思っている方のために説明すると、私たちはそのオペレーティングシステムを実行し、それとさまざまな統合を行って、従業員が毎日必要なスペースに出入りできるようにしています。また、従業員が許可されていないスペースに入らないようにもしています。

Clarke Rodgers：
なるほど。

Tom Avant：
おわかりいただけたでしょうか。 つまり、アクセスコントロールは非常に重要なのです。ビジネス継続性は、当社のすべての運用とサービスの回復力です。私たちは検証して、「当社は冗長なシステムを備えており、これらのシステムを信頼しています」と述べます。 そして、お客様に「これはうまく機能しますよ」と伝えます。 当社がそのように述べるのが、単にかっこよく聞こえるからではないことをお客様に確実に知ってもらいたいのです。当社がそう述べているのは、それがテスト済みであり、裏で懸命に働いている人たちが、運用リスクのレビューから COE、さまざまな ISO 要件まで、あらゆる事項を何度も繰り返しテストし、使用して、当社のサービスが本当に回復力があることを確認しているからです。

Clarke Rodgers：
レッドチーミングなどの領域は担当範囲に含まれていますか?

Tom Avant：
いいえ。それは別の部門が担当しています。私たちが行っているのは、TTX や演習のようなもので、そこでは本格的な演習を行い、ビジネスのさまざまな領域の従業員に参加してもらいます。基本的には、「では、調子が悪い日にはどうなるでしょうか? どのように対応しますか? どのように反応しますか? どのように正しいことが行われるようにしますか?」ということを確認するためのシミュレーションです。 決して完璧にはいきません。私たちは多くのことを学びます。私たちはそれを組み込み、実行記録に記録し、チームと共有して、それを繰り返します。

Clarke Rodgers：
SOC の運用は、ビジネスの観点から見ると大きな投資です。私たちが行っている業務の種類に基づいて、費用をどのように正当化していますか? そもそも、正当化する必要があるのでしょうか? なぜこのようなことをお聞きするかというと、お客様と会話する際、「SOC を導入したいが、スタッフやツールなど、費用がかかりすぎる」という声を聞くことがあるからです。 実際に SOC が必要であること (あるいは、サブスクライブすることにした場合は SOC サービス) を、論理立てて経営陣に説明するにはどうすればよいですか?

Tom Avant：
これは複雑な質問です。答えはいくつかあります。最初の質問ですが、「すばらしい私たちがそう言っているので導入しましょう」と言えば、正当化できるでしょう。それは冗談として、実際は KPI とデータを通じて正当化します。また、リーダーシップとの QBR も行っています。私たちは常に「ビジネスとお客様に価値を提供したり、もたらしたりしているか」を評価するための機械的な方法を検討しています。

Clarke Rodgers：
どのようなメトリクスを用いていますか?

Tom Avant：
ビジネスに価値をもたらしていることを確認するために、ビジネスのさまざまな領域できわめて多くの項目に目を光らせています。アクセスコントロールシステムについては、システムの稼働時間とシステムのダウンタイムについて話し合うようにしています。 また、適用および調整したさまざまな設定について、導入した変更からどの程度の正味のメリットがもたらされているのかを確認します。

検出については、検出や解決にかかる平均時間を確認します。さまざまな種類の検出を確認し、それらの領域でビジネスにもたらされる価値を確認します。事業継続性についても、私たちが提供している種々のサービスに関するさまざまなメトリクスを確認しています。その範囲は広く、ISO 認定を受けたサービスや、テストを実施済みであることが確認できたサービスが含まれます。

さて、もう 1 つの質問の答えですが、これは私が倹約家として育ったからかもしれませんが、同時に、最初の原則である「人を通じたスケールは最終手段」であるということを本当に信じているということです。 誰かがやってきて、「あなたにぴったりのアイデアがあるんです。 これは SOC にとってすばらしい仕事だと思いますよ」と言います。

なぜ人々はそう言うのでしょうか? なぜなら、私たちは 24 時間年中無休で稼働しているからです。そして、多くの人が自分たちの業務を SOC に任せようとして、そのように言うのです。それを聞いた私は、「では、 これがビジネスにもたらす正味のメリットについて話しましょう」と言います。 これがビジネスにとって正味のメリットをもたらすから私たちに協力してほしいと頼んでいるのであれば、もちろん協力します。自分がその仕事をしたくなくて、それを他の人がやるべきだと思うから私たちに頼んでいるのであれば、「OP1 に戻り、この状況にオートメーションを採り入れて解決する方法を考えるべきかもしれません」と言うでしょう。

Clarke Rodgers：
なるほど。

Tom Avant：
私は今でもチームに、私たちの仕事は自分たちの仕事をなくすことだと常に言っています。私たちの仕事は、オートメーションを使用する方法、またはいつの日か「当社にはなぜ SOC がないんだろう?」と従業員が疑問に思い、 それを聞いた私が「昔々、当社には SOC があったのです。 そして、その SOC は、さまざまな方法を検討し、『これを実行する必要はありません』、『これは自動化できます』、『これは改善できます』、『これは上流にプッシュして、SOC が不要な状態にすることができるでしょう』と伝えてきたのです」と言うことができるほどに検出件数を減らす方法を継続的に探すことです。 これが私の目標です。そこに到達できるかどうかはわかりませんが、間違いなく目指し続けるべき目標です。

Clarke Rodgers：
実は、それについて質問があります。将来を占うとすれば、将来の SOC はどのようなものになると思いますか? 別の言葉で言うとすれば、もし今、白紙の状態であれば、今日どのように SOC の機能を構築しますか?

Tom Avant：
私は機能に注目すると思います。それが本当に重要なことですから。あるいは、SOC から得られる機能とは何か、 SOC を持たないこと、または SOC をアウトソーシングすることで失われる能力とは何かに目を向けるでしょう。 アウトソーシングと異なり、社内 SOC では会社の利益を優先できるため、余裕があるのであれば、社内 SOC を設けた方がよいでしょう。

Clarke Rodgers：
また、社内に設けることで、外部の関係者にはない、自社のビジネスに関する知識も得られますね。

Tom Avant：
そのとおりですね。相談先がわかりやすいです。社内 SOC の方が好ましいもう 1 つの理由は機能です。 機能の話に戻りましょう。ビジネスのために具体的に何を実現しようとしているのかに焦点を合わせてください。戦略計画会議などの他の会議に参加していれば、常に微調整できると思います。そのため、決定事項が伝達されるのに伴って、「これが私たちの新しい北極星です。ここで方向転換しました」と理解できます。 アウトソーシングしている場合は、同じペースで理解することはできません。

そして、ビジネスは非常に速く動いているため、下流のアクションの実行者たちが、戦略的意思決定者たちとつながっているようにし、迅速に方向転換できるようにする必要があります。これは、社内 SOC を設ける利点の 1 つです。私はこれらのすべてのことを検討します。すなわち、機能、先ほど述べた戦略的な北極星、求めている保護体制の種類、 そして、それらを持たない場合のリスクを考えるのです。

それについて、私は次のように考えます。つまり、リスクが顕在化した場合、私はお客様の目を見て「私は、このようなことが起こらないようにあらゆることをしました」と言えるだろうか、それとも、言い逃れをして誰かのせいにすることになるのだろうか、と考えるのです。

Clarke Rodgers：
すばらしいです。テクノロジーの進歩のスピード、そしてもちろん、現在使用されている生成 AI ツールを考えると、将来の SOC はどうなると思いますか? あなたが現在生成 AI ツールを使用しているか、使用や調査を計画しているのか、どのような状況にあるのかはわかりませんが、生成 AI ツールは SOC アナリストや他の役割にどのように役立つとお考えですか? また、攻撃者の活動を検知したり、攻撃者に対応したりするために、攻撃者側の視点から、攻撃者がそれをどのように使用する可能性があるとお考えでしょうか?

Tom Avant：
私たちは、一部のお客様のために自動対応機能を作成することを目的として生成 AI ツールを使用し始めています。また、「これらは一般的なワークフローであることは存じ上げています。これらは、当社が注目し、お客様も頻繁に確認しているメトリクスに基づくものです。データからわかることを、お客様が求めているソリューションへのより直接的なルーティングに組み込むにはこのようにすればよいでしょう。また、人間の判断を必要としないソリューションでは、そのチェーンから人間を完全に排除してはいかがでしょうか」と言えるように、自動化されたワークフローについても検討しています。 私たちは現在、このようなことに取り組んでいます。

Clarke Rodgers：
すばらしいです。敵の視点から見た場合はいかがでしょうか?

Tom Avant：
脅威側の視点から見ると、本当に興味深いです。非常に新しい分野だと言えるでしょう。インジェクションに関するさまざまな新しい話が聞こえてきます...人々はテクノロジーを試したいと考えています。必要なのは、あらゆるウェブサイトにアクセスしてダウンロードすることだけです。その半分ほどは、何をダウンロードしているのかさえ知らないのでしょう。誰にも火の中に飛び込んでほしくはないでしょう。まず火の状況を評価し、中に入るのに最も適した場所を探す必要があります。

これは、生成 AI について話すときも同じです。安全な場所はどこか、 組み込む前に、その使用法を検証するにはどうすればよいか、 これを拡散させる前に、バックグラウンドで実行して、「自分たちが今行っていることに満足している」と言えることを確認するためのさまざまなチェックにはどのようなものがあるか、を考えるのです。なぜなら、いったん侵入して拡散が始まってしまえば、「あぁ、何か間違ったようだ」などと考えている場合ではなくなるからです。そのときにはもうクリーンアップを実行していて、拡散がそれ以上広まらないように対応しているのです。それは決して楽しいことではありません。他の場面でその経験がある人にはおわかりでしょう。ですから、導入する前に、事前チェックを行うという観点から検討する必要があるのです。

そして、あまり一般的ではないかもしれませんが、それに関連するもう 1 つの脅威は規制だと思います。クラウドに導入するワークロードが増え、クラウドを利用するお客様が増える中で、私が考える最大のトレンドの 1 つはおそらくこれだと考えるようになっています。私たちはますます多くの異なる環境、異なる国に進出しています。ますます多くの場所で主権クラウドが登場し始めています。規制は実際に検討しなければならないものです。以前は後回しにされていましたが、今では多くの議論の最前線にあります。他のことを考える前に、採用してコンプライアンスを遵守し、それを伝達できるようにしつつ、運用してお客様のために最大の価値を維持できるようにするにはどうすればよいのかを考える必要があるのです。

Clarke Rodgers：
私も、これはきわめて大きなトレンドだと思っています。以前は、セキュリティバイデザインについて話し合っていました。 それはプロトタイプ段階やアイデア段階である場合さえセキュリティを組み込むのです。そして今、私たちは「さらにプライバシー、コンプライアンス、規制上の義務にも対応しなければ」というような段階にあります。

Tom Avant：
そのとおりですね。

Clarke Rodgers：
人々が開発の初期段階でそれに対応し、リリース時にはさまざまな要件を満たしているようにしているとのお話を伺うことができ、うれしく思います。

Tom Avant：
そのとおりですね。

Clarke Rodgers：
Tom、今日はすばらしい時間となりました。本当にありがとうございました。心から感謝します。

Tom Avant：
お招きいただき、ありがとうございます。私も大変感謝しています。