戦略上の優位性としてのセキュリティの再構築

Clarke (00:05):
Merritt、本日はご参加いただきありがとうございます。

Merritt (00:08):
お招きいただきありがとうございます。

Clarke (00:09):
早速ですが、ご自身のバックグラウンドについて少し教えていただけますか。 どのようなきっかけで AWS に入社し、現在の役割ではどのような業務に携わっていますか。

Merritt (00:15):
わかりました。私は AWS に 4 年近く在籍しています。前職では米国政府で働いており、米国の国民のためにセキュリティ関連の業務に携わっていました。私はその 3 つの部局すべてで働いてきました。私たちは大きな問題に直面しているように感じたので、私はセキュリティに携わるようになりましたが、それらに対処するための強力な方法は持ち合わせていませんでした。法律の学位を取得した理由の 1 つは、それがここでの武器の 1 つになると考えたからです。また、これらの広く影響をもたらす問題は、ある時点でのある脅威や、ある不正行為者などを把握することよりも重要であると感じています。そのため、私はセキュリティの領域でも、どちらかと言えば泥臭い分野で働くことにしました。つまり、インフラストラクチャレイヤーですが、舞台裏で非常に重要な役割を果たしています。このような理由で、私は今ここで働いています。

Clarke (01:08):
素晴らしいお話をありがとうございました。それでは、CISO のオフィスと、より大きな AWS スキームにおけるその目的についてもう少し教えていただけますか。

Merritt (01:17):
わかりました。私は CISO のオフィスのプリンシパルです。AWS の CISO (最高情報セキュリティ責任者) のオフィスは、他の企業のオフィスとほとんど同じです。 私の上司である Steve Schmidt は、AWS が自らの組織をどのように保護するかという社内のセキュリティだけでなく、会社として提供するあらゆるセキュリティをどのように確実なものとするかということにも責任を負っています。これは、非常に興味深い一連の成果物です。なぜなら、ガードレールを設置して、従業員に生じる摩擦を最小限に抑えながら、自らが開発チームとなる方法について考えるようなものだからです。また、開発チームが極めて安全かつ簡単に物事を行えるようにしています。そのため、私は、お客様との対話において、自らの役割を通じて共感と信頼を感じることができます。なぜなら、私の仕事の約半分は AWS におけるセキュリティを改善することに費やし、残りの半分はお客様と話すことに費やしているからです。人前で話すこともありますが、多くの場合、それは CISO 同士の対話であったり、セキュリティグループとの話し合いであったり、企業の成熟度を高める方法を考え出すことであったりします。多くの場合、セキュリティは、企業がより広く、より速く、より成熟したペースで前進することを可能にする重要な要素の 1 つとなります。その半面、セキュリティが障害として認識されることが多いと私は感じています。そして、それはよくない兆候です。セキュリティチームが成長し、これはできないとは言わせないようにする必要があるだけでなく、特にクラウドでは最近、何かを開発し始めるとすぐに、自分の ID とアクセス許可、およびアーキテクチャの他の部分やインターネットの他の部分との関係で構築する方法が強調されているからです。構築するあらゆるものには固有のセキュリティ特性があります。つまり、対話にセキュリティを織り込む必要があり、その方法についてお客様と話し合う必要があるということです。

Clarke (03:23):
なるほど。お客様である CISO との対話では、ご自身の他の責任に波及する可能性はないでしょうか。なぜなら、CISO は「私は製品 X または Y をとても気に入っていますが、こんな機能があればよかったのに」と言うかもしれないからです。 それは、ご自身が責任を負っているセキュリティスタックに該当する事項です。そのような対話を通じて、どのようにしてセキュリティサービス製品チームにそのような要望を差し戻して、機能に実装するよう依頼するのでしょうか。

Merritt (03:51):
ご存知のように、サービスチームは常に新しい機能を構築、実装、デプロイしています。そのため、これらのチームが決定したことや、サービスや製品に投資できた内容に遅れずについていくことは、実際には難しいことではありません。より重要なのは、私たちが問題をどのように解決しているかということであり、正しい方法で問題を解決していない場合、それは明らかに私たちの側で持ち帰って対処すべき事項だと考えています。しかし、私が取り組んでいることの多くは、お客様が本当に求めていること、お客様が次の成熟段階に到達するのをサポートする方法、お客様がより良い状態になるように導く方法を見出すことです。そして、もう 1 つは、それを実行する方法です。 お客様が私との対話で本当に期待している価値の大部分は、「あなたのチームはこれをどのように調整しますか」ということだと思います。 私はゼロサムゲームを信じていませんが、真の共感を持つことには価値があると考えています。 

Clarke (04:51):
よくわかりました。お客様から「AWS はどのように X を行いますか」と尋ねられる場合についてお聞きします。 このような質問において、 セキュリティの観点から、X にはどのような内容が含まれることが多いですか。

Merritt (05:07):
明らかに最も多いのはイノベーションの側面です。「貴社の開発チームはどのようにイノベーションを起こしていますか。また、貴社のセキュリティチームは、衝突することなく、開発チームとの関係をどのように築いていますか」などです。 そして、それは私たちが行っていることの中でも、本当に注目に値する側面だと思います。私たちは急速なイノベーションのペースを積極的に追求しています。賛否両論あるかもしれませんが、それは時には私たちが非常に速いペースでリリースしていることを意味します。あるいは、人々が新しいものの意味を理解するのに苦労しているということを意味することもあるでしょう。しかし、結局のところ、私たちが行っていることは、これらのメカニズムのいくつかの性質上、ツー・ピザ・チームのように、セキュリティに関して共鳴し合うということです。 つまり、ツー・ピザ・チームは、ビジネス上の意思決定として迅速に行動するために、意図的にサイロ化されていることを暗示するものです。そのツー・ピザ・チームで、セキュリティに関するビジネス上の意思決定を行う必要があります。そのため、コンポーネントが内部でどのように機能するかを知っているのは、ほんの一握りの人だけです。これには、私たちの業務遂行方法におけるセキュリティ要素が含まれています。私たちが話しているのは、提供する製品にセキュリティを組み込む方法です。したがって、セキュリティチームが改革の責務を負ってやって来るというようなことではありません。むしろ、「セキュリティが商品の一部としてごく自然に組み込まれるような企業にどのように変えられたのでしょうか」ということなのです。

Clarke (06:38):
それは完全に理にかなっています。私がお客様と話す際に、よく尋ねられることがあります。きっと同じようなことを経験したことがあるでしょう。「私は DevSecOps の価値を理解しています。エンジニアリングと運用上のセキュリティ、そしてセキュリティの他のあらゆる要素にリソースを投入することの価値も理解しています。しかし、AWS のように、世界トップクラスのセキュリティ組織を構築するにはどうすればよいのでしょうか。」

Merritt (07:05):
そうですね。この質問は、さまざまな形をとります。 例えば、「これまでに当社でインシデント対応計画を実行したことがあるかどうかわかりません」かもしれませんし、「当社にインシデント対応計画があるかどうかわかりません」かもしれません。 繰り返しになりますが、この多くは、アセットのライフサイクルを通じたコントロールに関係していると思います。私はインフラストラクチャと言いたかったのですが、それはその過程で構築するものですからね。 保護、検出、修復のコントロールです。そして、ここで私たちが常に立ち戻る要素の 1 つがオートメーションであることは明らかです。例えば、私たちのチームである AWS セキュリティチームでは、スクリプト化できる場合は、修復をスクリプト化するまで、トラブルチケットをクローズしません。したがって、オートメーションなどは、観測可能な方法で実装するまではリップサービスのように聞こえます。しかし、究極的に私たちが現在求めているのは、オペレーションをスケールする方法です。そして、これらの保護、検出、および修復のコントロールにより、24 時間稼働の監視フロアは、すべてのオートメーションを子守する人のようなものです。そのため、次世代のセキュリティオペレーションセンターを採用することで、多くの自由が得られます。誤解しないでほしいのですが、これは丘の上の都市のようなものであることはわかっています。しかし、さまざまな方法がありますので、どこからでもよいので始めましょう。恩恵を受けることができるでしょう。私たちは、大きな問題や小さな問題を解決することを通じて、セキュリティチームを構築しました。では、どこかから始めればよいのでしょうか。 オートメーションに精通している人を雇ったり、異なる考え方を持ち、さまざまなコードやオートメーションで問題を解決する多様なセキュリティチームを雇ったりして、リーダーシップの賛同を得て目的地にたどり着くのです。これは、このプロセスにとって非常に重要です。企業、あるいは事業体への投資だからです。公共部門もほぼ同じように運営されています。つまり、セキュリティプロセスに投資がなされているということです。繰り返しになりますが、これは特定の方法と行動で実装する必要があります。人々は私のところにやってきて、「世界トップクラスのセキュリティチームを構築するにはどうすればよいですか」と尋ねます。 または「イノベーションの文化を構築するにはどうすればよいですか」と尋ねられることもあります。 それは、自分が繰り返し行うことの結果なのです。私たちが関係したり、いくつかのきっかけを与えたりできるものもあります。例えば、その DevSecOps では、チームにセキュリティエンジニアを一定の割合で配置しています。現在は 8 人に 1 人の割合ですが、変動することもあるでしょう。私たちは、それが適切な数字かどうかを評価しています。起こるべきではなかった事象、または計画どおりに進まないことが起こるたびに、エラーの原因を突き止めます。ちなみに、VP はエラーの原因に関するミーティングに参加する必要があります。ジュニアエンジニアを参加させて、矢面に立ってもらうことはありません。個人がその矢面に立たされるようにするためではなく、組織のためにこの種の説明責任のエコシステムが存在すること、時間の経過に合わせて学習の弧が大きくなるようにすることは、私たちが目指すところなのです。それは偶然の産物ではありません。それらの仕組みを組み込む必要があるのです。

Clarke (10:22):
その秘訣は、自分が求めている行動を強化する仕組みを開発することなのでしょうね。

Merritt (10:28):
まさにそのとおりです。例えば、Amazon で行っているように、従業員の許可を非常にオープンにすることを選択する場合を考えてみましょう。繰り返しになりますが、これもビジネス上の意図的な決定です。その後、状況がどのように進むかについて非常にきめ細かいログとモニタリングを行う必要があるでしょう。あるいは、少なくともそのような仕組みを持つことを選択することになります。そして、しきい値を設定し、スケジュールに従った誰からも非難されないエスカレーションの仕組みを設けます。また、リーダーシップに投資する必要もあります。セキュリティの理由でリーダーシップが電話に応答する事態も想定しておく必要があるからです。幹部のだれもが自分はセキュリティを重視している言うでしょうが、実際にセキュリティに対応する必要があることを把握し、セキュリティに関して呼び出しを受ける場合があることを理解するのは、重要です。また、これは、セキュリティチームがビジネス自体に織り込まれた役割を持つことも意味します。

Clarke (11:26):
よくわかりました。ところで、少し前に投資について言及されましたね。 多くのお客様の CISO やお客様の幹部が当社にやってきて、「当社では、自社の能力に一定の投資を行う必要があります」と仰います。 セキュリティの観点から、AWS は、何年にもわたって、最小限のセキュリティベースラインの 5 つの中核的な概念について非常に明確にしてきました。すなわち、ID、検出コントロール、インフラストラクチャセキュリティ、データ保護、およびインシデント対応です。そこで、お客様の CISO から、「当社の予算と人員は限られていますが、これら 5 つのことすべてを行う必要があります。どこから投資を開始すればよいでしょうか。これら 5 つの中で、最も投資効果が高いのはどこですか」と尋ねられたら、どのように回答しますか。

Merritt (12:09):
かなりの数の CISO から、「1 つのワークロードから始めるべきでしょうか。あるいは、100 のワークロードから始めるべきでしょうか」 と尋ねられます。 それに対する答えは、どこかから始めて、それを有意義なものにする、ということだと思います。任意の数のワークロードから始めてかまいませんが、見えないところで行われないようにする必要があります。言わば、セキュリティの顕微鏡下にあるものとしてそれらを実行する必要があります。私がこのように主張するのは、プラットフォームの観点から、企業または事業体のビジネス差別化要因となるセキュリティに関する知見が継承されていくと信じているからです。少し補足しましょう。ばかげているように聞こえるかもしれませんが、クラウドとはどのようなものなのかを思い出してみましょう。 20 年前、人々がこれらの 5 つの段階を実行するために行っていたのは、机の下にある不正なサーバーを確認することだけでした。私たちは、もはやそのようなことを行っていません。少なくともクラウドを利用している場合は行いません。そして、それがセキュリティに関する知見の継承であることを当社が知っている理由の 1 つは、AWS がスタックの最下層の責任を負っているからです。クラウドの規模で、クラウドを活用してセキュリティを実現することは緊急の課題であるにもかかわらず、多くのお客様が取り組んでいないことの 1 つです。予算が限られているからこそ、クラウドの規模を活用できるこの状態に到達すべきなのです。そうは言っても、私が 1 つ選ぶとしたら、ID は本当に難しいと思います。私が話を聞いたお客様の中で、「現在利用している ID プロバイダーは最高です。何も問題はありません」という人は未だかつていません。

Clarke (13:40):
つまり、予算が限られている場合には ID に投資すべきということでしょうか。

Merritt (13:45):
予算が限られているのであれば、ビジネス部門との間でその部門の目標について話し合ってから、セキュリティがビジネスの差別化要因である理由について話し合うべきだと思います。私が話しているのは、生み出す製品のセキュリティについてだけではなく、製品の一部としてのセキュリティについてです。小売業者でも、石油ガス会社でも...自動車、製薬、メディア、エンターテイメント、M&A であっても、今日人々が関心を持っていることの中には、当然のことながら、事業遂行におけるセキュリティが含まれています。セキュリティ製品を提供する人だけの話ではありませんし、「人事のデータは社内だけで処理していますよね」というだけではありません。 製品の本質的な部分としてセキュリティをどのように提供するかが重要なのです。そして、それをごまかす方法はないと思います。それは、実際の企業を構築する方法と、達成しようとしている目標を踏まえて行う必要があります。そして、ご質問に対する回答としては、予算を立てる際には、そのことを考慮に入れる必要があるということです。また、セキュリティをもはやコストセンターとみなすべきではないと思います。私は、そのような考え方に心底うんざりしています。セキュリティは、実際にはビジネスイネーブラーであり、ビジネスの原動力です。安全でなければ誰も何もしたくありませんし、安全でなければ誰も何も購入したくありません。そして、企業や政府が安全でない場合、誰もその組織に関わりたくはないのです。率直に言って、セキュリティがなければ、すべてが役に立たないのです。そして、それはプロセスなので、その目標は動き続けます。私たちはベストを尽くしますが、お客様も努力する必要があります。

Clarke (15:24):
セキュリティがビジネスイネーブラーであるということについて、CISO の組織をコストセンターとみなす組織では、CISO はどのように立ち振る舞い、そのメッセージを組織の取締役会や他の意思決定者にどのように伝えればよいのでしょうか。

Merritt (15:42):
これにはいくつかの要素があります。 1 つは、企業が成長することを選択したときに生じる一般的な変化です。私は、一般的に企業が変化のコストに固執しすぎていると考えています。また、現状維持のコストを検討していません。この時点では、現状維持にかかるコスト、つまり変化しないままでいること、可能であるとわかっているのに実行しないことによるコストを知るべきです。率直に言って、そのためにはある程度の強引さや肯定的なエネルギーが必要であることは理解していますが、これによって利益が生み出されるまでにほとんど時間はかかりません。また、組織が企業として真に成長できる方法の 1 つにもなります。そして、究極的には、それを遅らせるものはすべて時間の無駄だと考えています。そのため、ご質問にお答えすると、これをコストセンターとして認識している人々は時代遅れだと思います。 

Clarke (16:53):
そうですね。何かをしないリスクが、企業が注目している他のリスクと同じくらい危険であるという点は、すばらしいご指摘だと思います。

Merritt (17:01):
私にしてみれば、多くの場合、何かをしないリスクは、他のリスクと同じではなく、よりコストがかかるリスクであると思います。取締役会と話しているとき、これは考えるべき事項の 1 つです。人々がセキュリティの指標について話すとき、それらをゲーム感覚でとらえていることが多いことに私は気付きました。これらの人々がしているのは、「先週、ドアは 100 回ノックされましたが、今週はわずか 70 回です」というようなことなのです。 それはドアのノックのようなもので、取るに足らないことです。そして、明らかにこれらの数字は人為的なものです。これらは私が作り上げたものですから。いずれにしても、要点は、セキュリティの指標が、時間の経過に伴って改善しているかどうかを真に示す必要があるということです。そうでない場合、それらは間違った指標です。本当に取り組んでいるのは何か、ということが問題なのです。 自らが主体的に取り組むべき事柄です。

Clarke (17:50):
最近、ランサムウェアが大きな話題になっています。そして、それはお客様にとって大きな懸念事項です。ご自身もこの分野の専門知識をお持ちですね。ランサムウェアの発生に備えるために必要なことについて、お客様のセキュリティ組織にどのようにアドバイスしますか。

Merritt (18:07):
そうですね。確かに、ランサムウェアは新しいものではありませんが、最近ニュースで大きく取り上げられていますね。ランサムウェアは、遅くても 1989 年まで遡ります。当時、健康に関する会議があり、悪意のある人物が「aids」(エイズ) というラベルが貼られたディスクドライブを配っていました。ラベルは会議の内容に合わせたのでしょう。そのディスクをディスクドライブに挿入すると、ファイルが暗号化され、89 USD の小切手をパナマの私書箱宛てに郵送するよう要求されるため、「エイズランサムウェア」として知られるようになりました。そのため、ランサムウェア自体は概念的には新しいものではありませんが、現実世界では目新しく見えます。暗号通貨が台頭していることに加えて、人々がネットワークに侵入したという事実を収益化できるようになったことが拍車をかけているのでしょう。

Clarke (18:58):
ランサムウェアはサービスに似ているところがありますね。

Merritt (19:01):
はい。そして、そのコモディティ化は間違いなく要因となっています。また、率直に言って、データのプライバシー体制が整備されたため、企業が違反したことが知れ渡ると大きな損失を被ることになります。データを完全にロックする形式のランサムウェアと、データを xFill する形式のランサムウェアがありました。また、バックアップを持っていたとしても、データにアクセスできたと脅迫されることもあります。そして、そのような事実自体が侵害と見なされる可能性があります。特に、規制対象のデータを取り扱っている場合はその可能性が高いです。このような背景で、ランサムウェアに対する懸念が高まっているのでしょう。しかし、ご質問に答えると、ランサムウェアに対する特効薬はないと思います。ランサムウェアから身を守るには、体制を整える必要があります。あらゆる点に注意します。人々がドアから侵入する可能性を最小限に抑えるところまで注意を払う必要があります。ID とパッチ適用、最小特権とセグメンテーションなどです。また、それらのイミュータブルなバックアップを備えておく必要もあります。AWS Backup や CloudEndure などを利用して、最新のバックアップポイントインタイムを保持し、バックアップの復元機能を備えておきます。 

Clarke (20:23):
注目のトピックに関連して、お客様の間で注目されているもう 1 つのトピックは、ゼロトラストの概念です。ご自身にとってゼロトラストとは何を意味し、それをお客様にどのように説明しますか。また、実際にお客様がゼロトラストを実現する必要がある場合、AWS はお客様がゼロトラストを達成するのをどのようにサポートできるのでしょうか。

Merritt (20:42):
お答えしましょう。ゼロトラストは、セキュリティコントロールを検討する際に役立つ概念的なレンズになり得る と思います。ゼロトラストの意味を誰かに尋ねると、相手によっていろんな定義が返ってくるでしょう。私にとってゼロトラストとは、このマグカップがインターネットに接続されないという考え方ではなく、ネットワーク内の利用者に付与すべき信頼のレベルを、ネットワーク内の地位に基づいて、ゼロにすることも含めて、低下させるべきという考え方を意味します。基本的に、ソフトウェアであっても、人間であっても、従来の境界線の考え方に対する依存度を低減すべきです。しかしもちろん、ある境界線がなくなっても、新たな境界線が生じますよね。 クラウドでは、そして率直に言って AWS における私たちのアプローチでは、これを二者択一にすることはありません。その二者とは、VPN や VPC などの従来の境界中心のコントロールと、セキュリティグループ、Naples など、内部で動作するきめ細かい ID 中心のコントロールです。そうではなく、それらを相互に連携させ、増強して、相互に認識させるのです。例として、境界ときめ細かな許可の両方を備えた VPC エンドポイントポリシーを挙げることができます。これらは相互に認識し、増強し合っており、クラウドに固有のいくつかのツールを通じて推論することができます。これは、私たちが「コードとしてのインフラストラクチャ」を実践しているからです。「コードとしてのセキュリティ」も実行できます。例えば、アクセスアナライザーやインスペクターなどは、ネットワーク経由でパケットを送信することなく、ネットワークの到達可能性を実現できます。したがって、考え方としては、これらの種類の多層防御を統合する必要があるということなのですが、これは時代遅れに聞こえるかもしれません。「ドアと窓に鍵をかけましょう」というようなことですからね。 しかし、実際には、これらは異なる目的を果たしているのです。実際、それらは、セキュリティに関する理論的な根拠を説明する際に用いるのと同じロジックの一部でもあります。

Clarke (22:57):
Merritt、今日はお時間をいただきありがとうございました。締めくくりとして、何か伝えたいことはありますか。

Merritt (22:59):
いろんな人が私のところにやってきて、CISO に関係する深い技術的な質問を持ってきます。でも要は、これらの人が実際に知りたいのは、「変化をもたらす推進力と手段を組織に持たせるにはどうすればよいか」ということなのです。 その答えは、文字どおり、そして比喩的にも、投資つまりセキュリティを普及させるために事業体が行う投資なのです。したがって、私たちがセキュリティはジョブゼロであると言うとき、または私たちが使用する警句が何であっても、それはモットーにとどまるものではありません。すべての行動の背後にある文化にセキュリティ自体を組み込むことを意味しているのです。私たちがこれを実行するための方法の 1 つは、Steve Schmidt を CEO の直属とし、セキュリティが他のビジネス上の利益よりも劣るものとされたり、不公平に扱われたりしないようにすることです。これまでに示してきた優先順位付けのいくつかに沿って取り組みたいと考えている人々のために申し上げると、実行あるのみです。そして、成し遂げるには、まずは始めることです。そして、始めるには、自社のビジネスとそれらの目標との整合性を保ちます。そして、そこに到達するための他の方法の 1 つ、または組織がそこに近づくことを可能にする方法の 1 つは、世界トップクラスのチームを作ることです。現在は才能を見つけるのが非常に難しい時代だと思います。異なる考え方、異なる見方、異なるコーディングをする人を採用してほしいと考えています。なぜなら、それは業界にとって絶対に正しいことであり、エコシステム全体にとって正しいことだからです。セキュリティは、脆弱なコミュニティ、テクノロジーの利用方法、問題の解決方法、ビジネスや事業体の強化方法など、多くの物事と関連しています。ここではないとするなら、一体どこで実現できるのでしょうか。したがって、これを受けて、私たち全員が行動すべきだと考えています。包括的な職場を生み出し、より強力な組織を作り上げる必要があります。

Clarke (25:02):
Merritt、本日は貴重なお話をお聞かせいただき、本当にありがとうございました。