AWS におけるセキュリティおよびコンプライアンス運用を再考する

Clarke: (00:05)
Chad、今日はよろしくお願いします。

Chad: (00:07)
こちらこそよろしくお願いします。

Clarke: (00:09)
経歴と AWS に入社したきっかけについて少し教えてもらえますか?

Chad: (00:13)
もちろんです。AWS には約 11 年間在籍しており、入社した 2010 年からセキュリティとコンプライアンス業務に携わってきました。前職では EY に所属していました。そこでは、多くのセキュリティに関するコンサルティングや、多くのビジネス継続に関するコンサルティングに携わりました。その経歴は、現在の業務、すなわち、AWS のセキュリティコンプライアンスを遂行するのに大いに役立つものでした。

Clarke: (00:43)
AWS におけるセキュリティ保証の責任者として、あなたの主な責任にはどのようなものがありますか?

Chad: (00:50)
私たちの主な目標と使命は、規制対象の極めて機密性の高いデータをお客様がクラウドに移動できるようにすることであり、それに伴って多くのことに対応する必要があります。環境が安全であることを内部的に証明できる必要があります。また、AWS を監査し、サプライヤーである AWS が安全であることを確認する必要があります。そのため、私たちは、監査や認証、その他の直接的な監査業務を通じて、当社がバックグラウンドで行っていること、お客様には見えない物事が、安全で、当社が遵守しているさまざまな種類の規制と認証基準に準拠していることを証明します。

Clarke: (01:34)
社内チーム、社内コンプライアンスチームがあり、AWS のサービスが特定の水準を満たしているようにするということですね。おそらく、あなたは第三者である外部の監査人や規制当局とも連携していますよね?

Chad: (01:47)
そうです。そうです。そのため、私たちの仕事のほとんどは、AWS に対して監査を実施し、独自のデューデリジェンスを行っている外部の監査人、規制当局、規制当局の審査官、およびお客様との外部的な関わりに関連しています。

Clarke: (02:03)
セキュリティの世界では、広い視野で見ると、優秀なセキュリティ人材を見つけ、雇用し、訓練し、定着させることが非常に難しいのですが、セキュリティ保証やコンプライアンスの専門家でも同じことが言えるのでしょうね。

Chad: (02:18)
そうだろうと思います。はい。

Clarke: (02:20)
新入社員をどのように育てて、どのように引き留めているのか、またどのようにセキュリティ保証をだれでも働きたくなるような分野にしているのか、少しお話しいただけますか?

Chad: (02:33)
もちろんです。少し話を戻しますが、現在、本当に優秀な技術系セキュリティ人材を採用することが難しいのは、素晴らしい外部向けサービスと競合しているからだと思います。そして私たちは、デベロッパーやシステムデザイナーというような同じ人たちを雇おうとしています。競い合わなければならないのです。

Chad: (03:00)
そして、私たちの世界では、本当に良い仕事をしても何も起こらないことが多いですよね? 情報漏洩もなく、エスカレーションもない、ただ何も起こらないという感じです。でも、サービスの中で本当に良いことをすると、何かが起こります。製品をリリースし、ユーザーが歓喜し、収益が上がり、顧客との関係が深まります...そのため、私たちはそれに対して競い合っている感じです。けれども、私たち、つまりセキュリティの専門家には、企業にあるような、素晴らしい側面もあります。企業市民というわけではなく...本当に業界全体のセキュリティのために、良い貢献をしているというようなものです。

Chad: (03:49)
そして私たちが行っていることには、その要素があります。私たちは、社内のプロセスを外部化し、社内のサービスを外部化することで、すべての顧客層のセキュリティとコンプライアンスを向上させるお手伝いをしています。そのような面もあるのです。そして、それに本当に価値を見出している人たちは、私たちのチームで本当に活躍し、コンプライアンスに携わることを心から楽しんでいます。そうです。「監査役になりたい」と大学で考えるような人はいません。「コンプライアンスエンジニアになりたい」という人もいません。そういう人はまずいませんが、私たちのチームに入ってきた人たちが、私たちが何をしているか、どのようにお客様を助けているかのビジョンを理解したとき、それは特定のサービスを利用しているお客様だけではなく、すべての顧客層に対して非常に幅広い価値を提案することになります。これが、私たちが言わば開発したものです。

Chad: (04:40)
そのため、人を採用する際には、従来のコンプライアンスのバックグラウンドを持つ人は採用しないのですが、それはおそらく、サービスチームやデベロッパーに対する反感が根強いからかもしれません。私たちは、そのようなことは本当に望んでいません。そこから脱却したいのです。そのため、あまり人がいないのです...中には正しく行い、スケールすることに非常に情熱的な人たちがいるにはいますが、伝統的に、彼らはそれほど技術を持ち合わせていないかもしれません。そのため、私たちの組織との相性があまりよくありません。

Chad: (05:21)
けれども、そのような技術のある人たちを手に入れることができたなら...うまくやるために 2 つの Amazon のリーダーシッププリンシパルが必要になってくるでしょう。その 1 つが、「Learn and Be Curious」です。好奇心を持ってデベロッパーのワークフローに入り込み、どんなツールを使っているのかを理解しようとすることが必要です。先ほども言ったように、仕事のやり方を理解することです。そして、それがきちんとできるようになるには、技術的な好奇心が必要なのです。

Chad: (05:54)
そして、彼らに必要な 2 つ目のリーダーシッププリンシパルは、「Invent and Simplify」です。なぜなら、私たちが物事を行う際、誰もやったことがないようなコンプライアンスを実現する方法を発明しているからです。同僚、他のフォーラムや会議などで人に聞いても、私たちが対処しなければならないような規模で対処している人はいないので、よくわかります。そのため、デベロッパー向けに物事、ツールやサービスを独自に考案する必要があります。この 2 つが、私たちが本当に必要としていたリーダーシッププリンシパルだと思います。

Chad: (06:29)
そして人を採用する際は、あちこちから採用しています。私の優秀な人材に、電気技師がいました。彼は大学に進み、電気工学の学位を取得した後、電気工学の別の分野も専攻していましたが、私たちがやっていることに非常に興味を持ち、価値提案を目にして、チームにやって来ました。彼は本当に最高の人材の一人でした。私たちにとっては、そういう人材が好ましいのです。

Chad: (06:57)
私たちは、学歴や社風に少し多様性があるほうがいいと考えています。その点、私たちのチームは非常に多様で、バックグラウンドや考え方、出身地、場所など、すべてがまったく異なっています。そして、私たちは既成概念にとらわれない発想ができるので、本当に組織のためになるのです。スケールする方法を考えることができます。チームを巻き込めば巻き込むほど、業界をリードするようなことをしたり、さまざまな活動やさまざまなプロセスで前例のない速度でスケールしたりする側面に打ち込むようになり、そのことに熱を上げるようになります。私たちが皆そうであるように。そうしているのは、私たちは道を切り開き、この領域で本当にソートリーダーシップを発揮しているためです。

Chad: (07:45)
そして、もうひとつ嬉しいのは、これが私たちの多くのお客様にも当てはまるということです。私たちがやっていることは、他の人が思っている以上に、お客様のためになることが多いんです。私たちが本当に力を入れているのは、こうしたプロセスやツール、イネーブラーを開発することにとどまらず、他のサービスを通じて外部に広げ、学んだ教訓をお客様が活かすことができるようにもしています。

Clarke: (08:14)
Chad、この 1 年半から 2 年、パンデミックによって、人々は自宅やコーヒーショップなどからオンラインで仕事をしなければならず、誰にとっても困難な状況が続きました。このリモートワークはあなたのチームとその日常業務にどのような影響を与え、チームがさまざまな開発チームをサポートするために提供する機能やサービスにどのような影響を与えたと考えますか?

Chad: (08:35)
従来の監査には、データセンターを訪問するなど、意味がない部分がありました。監査人がデータセンターを訪れたいと思うのは、主に「あれをやりました」というチェックボックスにチェックを入れられるから、というのが多々ありました。実際には他のものから必要な情報を得ることができるのに、それを行ったというチェックボックスにチェックを入れるために、直接会うことを望んでいたのです。データセンターのウォークスルーと同様に、私たちのデータセンターは非常に計装化されており、カメラの映像を含め、必要な証拠をリモートで収集することができます。データセンターに行く必要などあるでしょうか? 実際にデータセンターに行っても、実のところ何の役にも立たないのです。

Chad: (09:12)
パンデミック以前は、実際には必要のない業務に携わることが多く、特に世界中にあるデータセンターへの出張など、多大な時間がかかっていました。また、シンガポールでデータセンターのウォークスルーをコーディネートする必要があるときには、グループ全体、監査役、そして私たちの時間を丸々 1 週間使ってしまうことになります。

Chad: (09:40)
そしてパンデミックに見舞われ、そういうことができなくなりました。最初は、データセンターには行かなくても大丈夫ですと監査役に言わせるのは本当に大変でした。でも私たちは監査役ととことん話し合い、私たちがいかに計装化してきたか知っているでしょうと説き進めました。 では、通常であれば直接会って行う手続きをすべてリモートで、バーチャル読書室や文書のレビュー、ビデオ会議での面接などにより行う方法を紹介したいと思います。また、サンプリングについては、その場にいなくても、確認したいことが書かれているシステム表をダウンロードすることができます。システム表をこのように安全な方法で提供し、どのようにダウンロードしたかという権限のつながりを示すことができます。

Chad: (10:31)
全員がそうしなければならなくなり、その結果すべての監査がより効率的になりました。監査のスピードアップが実現できたのです。より早く、より効率的に仕上げることができただけでなく、通常は移動を伴い順を追って行わなければならなかったところを、さまざまなことを並行して行うことができるようになりました。そのため、監査そのものにも利点があったのです。

Chad: (10:56)
さらに、コントロールステートメントやコントロールプロセスの検証を行うために、何が本当に必要なのかを改めて考えることができました。パンデミックにより、私たちは多くの点で、一歩下がって見ることができるようになったというよりも、一歩下がることを余儀なくされ、監査人も一歩下がって、自分たちの環境でどのように保証を得るかを考え直すきっかけになりました。

Chad: (11:26)
私たちは、時間をかけてより多くのツールを作ってきました。データセンターのウォークスルーなど、さまざまな方法で見せることができます。ここで、バーチャルデータセンターのウォークスルーツアーを取り上げます。Digital Audit Symposium の話をしましたが、これは全員が部屋に集まって講義をするのではなく、動画などを使ってバーチャルに行うもので、自分の好きな時間帯にオンデマンドで行うことができ、サービスチームのリーダーや GM に何度も足を運ばせ、基本的に同じ情報をお客様に提供しなくてもよくなりました。そのため、その他の監査や業務、教育イベントなどをより効率的に行うことができるようになりました。

Clarke: (12:17)
つまり、サービスとしての監査のようなものでしょうか?

Chad: (12:21)
サービスとしての監査、あるいは重要な事柄に焦点を絞った監査とも言えます。そして 20 年間やってきた伝統的なものが、本当に必要かと疑うきっかけになりました。 必要でないものもありました。そして、正しいことを行い、正しい手順を踏んで、正しいコントロールを評価することができるようになったのです。

Clarke: (12:44)
素晴らしいことですね。では少し視点を変えて、お客様の視点に立ってみましょう。私がお客様であるとして、セキュリティ保証プログラムを立ち上げることになったとします。明らかに初めから AWS のレベルや規模で行うつもりはありませんが、お客様は社内のセキュリティ保証プログラムのサポートをどのように得ることができるでしょうか。 開発チームの話もありましたね。それは、どのお客様にも見られる「標準的な業務」ではありません。大手の中には、そのように考え始めているところもありますが、お客様が上層部に「これは重要で、こういう投資をすべきです」と根回しするのはどうすればいいのでしょう。

Chad: (13:24)
そうですね、それはいい質問ですね。お客様によりけりだと思います。ほとんどのお客様は業務に固有の状況があり、そのためセキュリティとコンプライアンスの価値提案が異なってきます。

Chad: (13:38)
そして一般的には、セキュリティは明らかに重要であり、多くの側面でコンプライアンスが絶対に不可欠です。そのため、プログラムを構築する必要があるのです。誰もがセキュリティプログラムを必要としています。セキュリティコンプライアンスであれ、リーガルコンプライアンスであれ、何であれ、ビジネスを継続するためには法令を遵守する必要がありますよね。

Chad: (14:05)
けれども、恐らく一番は...まず最初に来るのは、セキュリティおよびコンプライアンスプログラムの価値をリーダーシップに売り込むという活動で、これはビジネス上の判断ですよね。 必ずしも、ある人が義務として、あるいは仕事として、セキュリティが重要であることについて経営陣全員を説得しに行く必要はないのです。セキュリティに真剣に取り組むというのは、CEO レベルの決定であるべきです。

Chad: (14:46)
では、その決定をし、価値を理解し、投資したいと思ったら、どうすればいいのでしょうか? 先ほど少し、デベロッパーの実際のプロセスを理解することについて触れましたが、それが、一番注力しなければならないことかもしれません。ほとんどの人は、まず、どんなコントロールフレームワークがあるのか、というところから始めます。 そして、遵守すべきコントロールは何か、まずそのコントロールを文書化し、ビジネスに向かい、こういうことをする必要がある、こういう目標を達成する必要がある、と伝えます。

Chad: (15:25)
そうではなく、どんなビジネスであれ、自分のビジネスがどのように機能しているのかを深く掘り下げることにしたらどうでしょうか。私たちの場合は、デベロッパーの集まりですね。 彼らがどのように働き、どのように仕事をこなし、どのようなツールを使っているか、そういったことが非常に重要です。なぜなら、新しいものを導入する前に、それを深く理解しなければならないからです。仕事の進め方からして、新しいものを導入する必要がないことも多々あります。あるいは、コントロールフレームワークがどのように機能するかを解釈する作業をすることもあるでしょう。どのようなビジネスであっても、この活動は、実際に行っていることやそれを行う方法と、必要なことや組織への適用に必要な解釈とを結びつけるものであり、最も重要な活動なのです。

Chad: (16:24)
そして、コンプライアンスチーム、セキュリティチーム、そしてビジネスの間で、真の意味で素晴らしいパートナーシップを築くために、おそらく最初にすべきことは、このことでしょう。この点について、間違った理解をしていることがよくあります。そしてそれが、最初だけでなく、現在も続く私たちの成功のカギだと思っています。私たちが現在も成功しているのは、AWS のデベロッパーがソフトウェアを設計、開発、デプロイ、保守する方法を熟知しているからであり、他のすべてはそれを中心に肉づけられているようなものなのです。

Clarke: (16:59)
Chad、今日はお話しいただき、ありがとうございました。

Chad: (17:01)
参加できてとてもよかったです。ありがとう、Clarke。