セキュリティファーストのリーダーシップ

Clarke Rodgers (00:10):
お客様の CEO のような立場の人々とのプライベートな会話では、どのようなことを尋ねられますか。 セキュリティ、プライバシー、コンプライアンス、そしてさまざまな規制の観点から CEO たちは何を話しているのでしょう。 その会話の内容を少し教えていただけますか。

アダム セリプスキー (00:28):
トピックは多くの CEO が強い関心を抱いているもので、多くの CEO に訴えかける重要なトピックです。そのうちの 1 つはもちろん、誰もが考えている生成 AI です。「生成 AI の世界におけるセキュリティについてどのように考えればよいのか」、「変化のスピードが速すぎる」、「どのようなアプリケーションやテクノロジーを利用すべきか」、そして「安全であることを確認する方法は何か、社内でも安全であることはどう考えればよいか」といった多くの質問が寄せられます。 回答の最初の部分は次のようになります。

どういうわけか、あらゆるサービスのエンタープライズセキュリティについて話した後で、「次は生成 AI について話しましょうか」というような場面をよく目にします。 また、最初の生成 AI チャットボットや消費者向けアシスタントの一部が、実際にセキュリティモデルなしでリリースされたことは、私にとって大きな驚きでした。そして、データはインターネット上に流出しました。また、モデル に対するあらゆる改善はモデルを使用する全員によって共有されることになります。そのため、非常に多くの CIO、CISO、CEO は、これらのアシスタントの一部を会社で使用することを長い期間にわたって禁止しました。

面白い話ではあります。これは、セキュリティ意識の高い CEO や CIO や CISO に向かって、「すばらしい新しいデータベースサービスを手に入れたよ。他に類を見ないもので、きっと気に入ると思うぜひ採り入れるべきだと思う。セキュリティモデルはないけれど、そのうち v2 がリリースされて安全になるから心配はいらない」と言うようなものです。 そんなことを言えば、ひどい目にあうのは目に見えています。

Clarke Rodgers (02:20):
なるほど。

アダム セリプスキー (02:21)
少なくともそうであってほしいと思います。そのようなことを言うのであれば当然の結果ですから。この分野の他の企業は、何らかの理由でセキュリティに対して異なるアプローチを取っていて、セキュリティの重要性が相対的に低いと考えているのではないかと思います。AWS は非常に予測可能なサービスを提供しています。基盤モデルを運用するためのマネージドサービスである Amazon Bedrock などの生成 AI サービスは、他の AWS サービスと同じように安全です。

これが生成 AI に関する最初の会話です。「会社にセキュリティの考え方を浸透させる方法」というのがその他のトピックの 1 つです。 それは文化に関係すると思います。また、今日話題に上った真のトップダウンのリーダーシップ、そしてそれが重要であるというシグナルをシニアリーダーが送ること、そして、極めて高い基準を設けるということにも関係しています。私は自分と同じような立場の人々によくアドバイスしていますが、最高の基準にこだわることよう伝えています。社内で働く人々は、セキュリティの基準がどれほど高いのかということと、最高の基準に満たないものは許容されないということを理解する必要があります。

Clarke Rodgers (03:30):
組織内でセキュリティリスクやコンプライアンスの問題にあまり関心を持っていない可能性がある CEO がより主体的にこれらの問題に取り組むようにするためには、どのようなアドバイスがありますか。

アダム セリプスキー (03:43)
最初にすべきことは、セキュリティがビジネスにとってどれほど重要であるか、そしてセキュリティがどのような点でビジネスにとって重要であるかを理解することだと思います。 「セキュリティはセキュリティだ。常に最優先事項で、誰もが常に心配するものだ」と言うのは簡単です。 既に述べたように、AWS についてはセキュリティは確かに最優先事項ですし、それは私たちが表明していることでもあります。また、セキュリティは AWS が運営するビジネスに密接に関係しており、お客様はミッションクリティカルなワークロードを実行する際に、その点について AWS に信頼を寄せています。しかし、他にもさまざまなビジネスがあり、それらのビジネスの各側面において、セキュリティに関して種々のリスクや機会が存在する可能性があります。

したがって、「自社のビジネスにおいて、セキュリティが本当に重要となるのはどのような側面か」と問いかけて判断する必要があります。 そして、そのことはどこに投資すべきかを判断するのに役立ちます。逆に、「農機具を製造しているのか、大規模なソーシャルメディアウェブサイトを運営しているのか、あるいはデータ分野でのスタートアップであるのかにかかわらず、ビジネスのあらゆる側面において、セキュリティのために巨額の資金を投資しなければならない」ということであれば、非常に気の遠くなる話になります。

Clarke Rodgers (04:44):
そうですね。

アダム セリプスキー (04:45)
そして、セキュリティの優先順位も異なってくると思います。あらゆる種類の企業にはセキュリティのニーズがあり、セキュリティは何らかの形で重要になるでしょう。しかし、そこからさらに一歩踏み込んで、真の優先事項が何であるかを理解することを強くお勧めします。そして、そうすることで、「まずはそこにさらに投資してから、次にどこに投資するかを決めよう」ということになるので、投資がずっと容易になります。 それが私の最初のアドバイスになるだろうと思います。

Clarke Rodgers (05:14):
では、セキュリティとコンプライアンスについて有意義な方法で CEO や取締役会などに報告しようとしている CISO へのアドバイスはどのようなものになりますか。

アダム セリプスキー (05:26)
私が AWS の CISO に伝えたアドバイスと要望についてお話ししましょう。
おそらく他の CISO にもご理解いただけるでしょう。それは、自分の仕事、アドバイス、カウンセリングにお客様の視点、お客様のフィルターを採り入れるということです。CISO の仕事は、高い安全性を確保しながら、ビジネス部門がお客様を喜ばせるために実行する必要があること、実行したいことを実行して、お客様に価値を提供できるようにすることです。

このような姿勢は大きな信頼につながると思います。なぜなら、これにより CISO は、単に承認を依頼する人物というだけでなく、ビジネスを推進し、可能にしてくれる貴重なビジネスパートナーとして認識されるようになるからです。

このことは関係性を完全に変えることになるでしょう。また、リソースの優先順位付けにも非常に役立つと思います。お客様の視点を通じてそのように考えることで、「私たちが X を実行すると、どのような点でお客様にリスクが生じるのか」、 あるいは「私たちが Y を実行すると、どのような点でお客様に優れた機会とセキュリティをもたらすことができるのか」 ということがわかります。

その結果、「アンドンコードを引く必要があります。これは実行できませんし、実行すべきでもありません。その前に何かを修正する必要があります」と言える CISO は非常に大きな信頼を得ることになると思います。 そのような事態はめったにありませんし、賢明な企業は、その警告を非常に真剣に受け止めるでしょう。

Clarke Rodgers (07:06)
すばらしいアドバイスですね。アダム、今日はお忙しい中、お時間を割いていただき、本当にありがとうございました。

アダム セリプスキー (07:10)
このような機会をいただくことができて光栄でした。ありがとうございました。