セキュリティの役割

Clarke Rodgers (00:07):
今回のゲストは AWS の Chief Information Security Officer の Chris Betz です。今日はご参加いただきありがとうございます。

Chris Betz (00:11):
よろしくお願いします。お招きいただき、光栄に思います。

Clarke Rodgers (00:13):
まず、AWS CISO として、Capital One から AWS に移籍したきっかけはどのようなものでしたか。 エグゼクティブとしての豊富な経験があれば、どの企業からも歓迎されたと思いますが、AWS を選んだ理由は何ですか。

Chris Betz (00:25):
Capital One で何年か過ごした中で気づいたのは、私たちの事業が AWS のセキュリティに大きく依存しているということでした。ご存知のように、Capital One はすべてをクラウドに移行し、データセンターを閉鎖しました。Capital One での経験で AWS とのセキュリティ業務の連携をきっかけに、私たちが提供するテクノロジーが、多くの企業の信頼やセキュリティにとってどれほど重要であるかを実感しました。

率直に言って、AWS に頼り AWS を信頼していた立場から、世界中の多くの企業と多くの人々がセキュリティの面で信頼する AWS のシステムの一員になるのは、信じられないほどエキサイティングです。先ほど、「どの企業からも歓迎されたと思う」と言っていただきましたが、 考え方を変えれは、AWS のセキュリティチームの一員になることができるというのは、セキュリティキャリアにおいて絶対的な頂点ではないでしょうか。

Clarke Rodgers (01:31):
すばらしいと思います。AWS の顧客だった頃は明確ではなかったけれど、AWS で働くようになり注意するようになったようなことはありますか。 現在は、AWS という壁の中でセキュリティの責任者を務めていらっしゃいますが、ご自身にとって何か変わったことはありますか。 また、従業員になり、どのようなことを学びましたか。

Chris Betz (01:49):
会話に耳を傾けるというのが 1 つです。これまで、セキュリティがジョブゼロと位置づけられる AWS の最優先事項であるという話を何度も耳にしました。毎週開催されるセキュリティミーティングに関する話も聞いたことがあります。私の前任者が最も頻繁に口にした話に、AWS の CEO が毎週 AWS のリーダー全員と膝を突き合せて、注力すべき主要なセキュリティ事項、つまり改善が必要な分野について話し合っているというものがありました。

このような話を聴くことはありましたが、実際に話をするということは、また別物です。ビジネスパートナーやテクノロジーパートナーから「私たちの動きは十分に迅速か」と問われるのです。 さらに、「私たちは水準を十分に引き上げているのか。 脅威の先手を打っているのか。 攻撃者をどこで発見できるか」という質問が続きます。 そして、パートナーの方々には、セキュリティを前進させるという点で私たちのチームと同じレベルでのリーダーとして機能してもらいます。それは楽しい経験であり、いくぶんユニークでもあります。

Clarke Rodgers (02:55):
すばらしいと思います。そして、もちろん、ご自身もセキュリティ文化を吸収していらっしゃる最中と思います。CEO と CISO のミーティングのメカニズムについて話していただきましたが、それは社内のいたるところに浸透していますね。

Chris Betz (03:05):
そうですね。私はセキュリティに携わっているので、すべての会話は、ある程度セキュリティに関するものになりますが、セキュリティのトピック以外のミーティングに参加するのもすばらしい体験です。シニアリーダーとして、私が AWS を高く評価していることは、セキュリティに特化していないミーティングでもセキュリティが話題に上ることです。そうした会話に参加して、他の人たちにセキュリティについて質問してもらい、「どうすればもっとうまくやれるのか」を考えてもらうことができるのです。 仰ったように、社内に浸透しているその文化は非常に重要です。

Clarke Rodgers (03:36):
そのとおりです。それでは、少し話を変えて、セキュリティプログラムの実行について伺わせてください。セキュリティプログラムの有効性を実証するために使用する主要な指標や測定値にはどのようなものがありますか。 AWS だけでなく、以前の経験も踏まえて教えていただけますか。

Chris Betz (03:56):
良い質問ですね。そのような質問では、皆さんは私が具体的な指標や測定値などにに踏み込むことを期待されているようです。セキュリティでの事象を説明するのに役立つ指標や測定値は確かに多く存在します。しかし、私が本当に重要な指標と思うのは、ビジネス組織とテクノロジー組織がプログラムの達成を可能にする要因としてセキュリティをどのようにとらえているか、そしてセキュリティプログラムにおいてビジネスとテクノロジープロバイダーに簡単な方法でセキュリティを提供することがどのようにとらえられているかという点です。

この 2 つを組み合わせた場合、ビジネスプロバイダーとテクノロジープロバイダーは、セキュリティがイネーブラーであり、不可欠な要素であるように感じるようになり、セキュリティチームは、自身の役割がリスクを排除することやリスクの責任を負うことではなく、企業が安全な方法でビジネス目標を実現できるようにすることだと考えるようになります。これは組織を大きく変化させます。私にとって、セキュリティをビジネスオペレーションの効果的な部分にするという点において、このようなシナジー、態度、アプローチが企業の成功における最も重要な指標です。

► ポッドキャストを聴く: CISO と CSO: 今日のセキュリティリーダーをより適切に定義する役割はどちらか?

Clarke Rodgers (05:21):
先ほど、セキュリティがメインのトピックでないミーティングに参加されていると仰いましたが、そこに参加するということで「セキュリティは重要事項であり、セキュリティ担当者が参加すべきである」ということを示されているのかと思います。

Chris Betz (05:32):
そうですね。課題のある程度の部分として挙げられるのは、私たちの世代はセキュリティがテクノロジーから発生した世界で育ちましたが、最近では、セキュリティリーダーには、ビジネスリーダーとしてビジネスに寄り添い、会話に参加し、ビジネスにとってリスクが何を意味するのか、ビジネスにとってどのようなリスクがあるのか、そしてセキュリティを確保し、ビジネスの成功を管理しながら他のリスクを管理するにはどうすればよいのかを理解することが求められているという点です。このことは、多くのセキュリティリーダーにとってますます重要になっていると思います。

Clarke Rodgers (06:07):
その点を踏まえて次の質問に移りたいと思います。ご自身も同様の経験をされていると思いますが、私自身、リスクを取締役会に最も効果的に報告する方法を知りたいと考えているお客様の声を聞く機会が少なくありません。取締役会にサイバーリスクを報告する際の方法や考え方について、何かヒントやガイダンスはありますか。

Chris Betz (06:30):
非常に良い質問ですが、正直なところ、すべての企業に適用できるような普遍的な方法はありません。その理由は、リスクについては、ビジネスのコンテキストで話すことが重要だからです。取締役会に報告するときは、取締役会のメンバーがどのようなリーダーで、何を専門としているのかを理解することが非常に重要です。

AWS の取締役会には、ビジネスのさまざまな側面だけでなく、テクノロジーの多くの側面に非常に深い知識を持つメンバーが揃っています。そのため、小売などの特定の業種のエキスパートだけがメンバーである取締役会の場合とは大きく異なります。その場合は、異なるアプローチや別の知識が必要になります。

ビジネスリーダーとしての CISO についての話に戻りますが、最も重要なことは、ビジネスのコンテキストにおけるセキュリティを理解することです。

Clarke Rodgers (07:32):
そのような形で報告するのですね。

Chris Betz (07:33):
セキュリティがビジネスにどのように影響するかという観点から報告します。私たちはセキュリティリーダーとして多く業務に携わっていますが、私はそれを主に 4 つの分野に分けて考えています。ビジネスにおける私たちの仕事は、ビジネスにとって「良い」とされるのは何かという基準を確立することです。まず、リスク許容度はどれくらいかと把握すること。 次に、何を達成したいのかを明確にすること。 そして、真実と透明性の元となることがセキュリティリーダーとしての私たちの仕事です。「これが今日のパフォーマンスです」と示す必要があります。 そして、そこからメトリクスに関する会話が始まります。

Clarke Rodgers (08:08):
私たちはお客様からの信頼を獲得していますが、ビジネスパートナーの信頼も得る必要があります。

Chris Betz (08:11):
私たちが獲得しなければならないのはビジネスの信頼です。これが 3 つ目のポイントです。これはさらに重要なことですが、透明性の元になるだけではだめです。問題を指摘するだけでは不十分です。セキュリティリーダーである私たちは、企業がセキュリティリスクを効果的かつ効率的に軽減する方法を提供するソリューションプロバイダーである必要があります。そのようなソリューションを提供し、その方法を考えることが私たちの仕事です。

「問題を指摘するだけでは不十分です。セキュリティリーダーである私たちは、企業がセキュリティリスクを効果的かつ効率的に軽減する方法を提供するソリューションプロバイダーである必要があります」

そして最後となる 4 つ目のポイントは、アカウンタビリティのソースとなること、セキュリティを確保すること、取締役会に対して透明性を維持すること、設定した基準をどのように達成しているかについてビジネスのアカウンタビリティを負うことも私たちの仕事であるということです。私たちにはさまざまな役割がありますが、この分野で最も成功していると思えるビジネス、つまりセキュリティリーダーは、「達成すべき目標を設定して、それにどれだけ近づいたか」ということに留まらず、本当に思慮深い方法でビジネスがそこに到達できるようにすることに重点を置いています。

Clarke Rodgers (09:13):
今日は貴重な話をありがとうございました。

Chris Betz (09:15):
すばらしい時間でした。お招きいただき、ありがとうございました。