セキュリティリーダーシップにおける CEO の役割

Clarke Rodgers (00:05):
セキュリティリーダーシップはトップから始めなければなりません。経営幹部が座ってビジネス戦略について話し合うとき、セキュリティは議論の対象であるだけでなく、全員の最優先事項でなければなりません。

AWS のエンタープライズ戦略担当ディレクターである Clarke Rodgers です。Executive Insights で、AWS セキュリティリーダーとの一連の対談のガイドを務めています。

今日のゲストは紹介するまでもありません。AWS の CEO、アダム セリプスキーです。AWS でセキュリティ文化が最初に確立された経緯、CEO と CISO の間のコミュニケーションの様子、アダム セリプスキーがセキュリティイニシアチブを上層からどのようにサポートしているかについて説明しています。ぜひお聞きください。お聞きいただきありがとうございます。

Clarke Rodgers (00:46):
Amazon Web Services の CEO、アダム セリプスキーです。本日はご来場いただきありがとうございます。

アダム セリプスキー (00:50):
ご一緒できて光栄です。

Clarke Rodgers (00:51):
それでは、少し歴史をさかのぼってみましょう。2005 年です。あなたはジェフ ベゾスの承認を得て、「AWS」という小さな実験を進めることができました。 ごく初期の、お客様とのセキュリティに関する会話にはどのようにアプローチしましたか。 その頃、「クラウドとは何か」、「分散コンピューティングとは何か」と聞いてくるお客様がたくさんいたことは認識できます。 当時はどのようなセキュリティに関する会話が行われていたのでしょうか。そもそもセキュリティに関する会話がなかった場合もあると思いますが。

アダム セリプスキー (01:22)
当時は非常に新しい概念であり、確かに多くの人にとって、ワークロードを渡して「遠隔」で実行させることは直感的に理解できることではありませんでした。 もちろん、クラウド (雲) と呼ばれるのはそのためです。「どこか外」にあるのです。ですから、多くの教育が必要だったことは無理もないのですが、いくつかの基本を説明すると、人々は理解し始めました。その中で最も大きいのは、AWS がなかったために Amazon は自前でこれらすべてをうまくやらなければならなかったという点でした。

Clarke Rodgers (01:49):
確かに。

アダム セリプスキー (01:50)
そのため、Amazon は、拡張性、可用性、費用対効果が高く、さらにもちろん運用上非常に可用性が高くセキュアなインフラストラクチャを運営することを非常に得意とする必要があったのです。率直に言って、当時 Amazon のようなスケールで運用していた会社は少数でした。そのような Amazon 内の専門知識を活用し、AWS を設立したのです。大きな前提の 1 つは、価値を生みづらい重労働が多くあったということです。私たちはそれをインフラストラクチャの「がらくた」と呼ぶこともありました。ほとんどの企業はそのようなインフラストラクチャに長けている必要はないはずです。

自動車販売や映画のストリーミングや創薬などの企業が、なぜ巨大なインフラストラクチャの運営に習熟し、それを常に利用可能かつセキュアな状態に保ち、低コストで運用し、進歩し、イノベーティブにならなければならないのでしょうか。 言うまでもなく、それが AWS のビジネスになったのです。

Clarke Rodgers (02:50):
なるほど。

アダム セリプスキー (02:51)
ですから、私たちがこうした業務を得意とするようになったのは理にかなっているわけです。そこで、その主要な要素の 1 つとして、セキュリティに対する当社のアプローチを説明したいと思います。AWS ではまさに 0 番目の仕事なのです。

これは、何よりも重要なことなので、積極的に発言するようにしています。実際、この点は最初から非常に明確にしていました。かつて私たちは、AWS が消滅する可能性のある状況はほとんどないと言っていましたが、間違ったセキュリティが引き起こした問題は、特に初期の頃、会社の消滅を招きかねない数少ない問題のひとつでした。そして、そのことを真剣に受け止めました。

Clarke Rodgers (03:44):
では、SQS、S3、EC2 などの新しいサービスを開発する製品チームで、そのことが特定の行動を促したのでしょうか。

アダム セリプスキー (03:54):
可能な限り最善かつ最大のセキュリティを確保する方法は、明確に定義されたオーナーシップモデルを持つことです。 マトリックスと呼んでもいいと思います。そのため、当社は大規模で高度な専門性を備えた、トップクラス、ワールドクラスのセキュリティチームを擁しています。何千人もの人々がセキュリティ業務に専念しています。たいていの企業はそうではありません。ほとんどの企業にとって、そうすることは経済的に意味がないからです。

そのため、中央集権化された当社の AWS セキュリティチームは、多くの技術的機能を構築し、監査、助言、戦略の推進を支援する多くの専門家を擁しています。同時に、EC2、S3、DynamoDB、Connect、Amazon Bedrock など、当社のサービスチームはすべて、自チームのセキュリティに関する責任を完全に負っています。セキュリティチームに任せるわけではないのです。

つまり、当社のサービスの 1 つで問題が発生した場合には、そのサービス GM が全面的に対応し、全責任を負い、包括的に活動を推進します。もちろん、セキュリティチームとは全面的に協力します。セキュリティをサービスチームの文化に組み込むことで初めて、実際にセキュリティをサービスに組み込むことができると思っています。極めて重要なことです。私たちはセキュリティを初めからサービスに組み込んでいます。事後に導入するのではありません。もちろん、常にセキュリティを改善していますが、サービスの開発を始めた瞬間から、あらゆるサービスで行うすべてのことに、エンタープライズグレードの堅牢なセキュリティを根本的に組み込んでいます。

Clarke Rodgers (05:43):
サービスオーナーは構築しているサービスに最も近い立場にあるので、非常に理にかなっています。そのため、直面している特定のリスクなどがわかるわけですね。

アダム セリプスキー (05:52)
どんなセキュリティの問題も、中央のセキュリティチームが引き起こすわけではありません。自分のチームが意図せず引き起こすものです。ですから、何よりもまず、自分のチームが問題を見つけて修正するべきです。そして私たちは、堅実なアプローチとセキュリティチームの非常に強固な能力を兼ね備えています。

Clarke Rodgers (06:09):
そのとおりですね。設立から 17 年半が経ちましたが、セキュリティはどのように変化しましたか。リスクとコンプライアンスも含めた話です。お客様とのやり取りの中で、それらはどのように進化してきましたか。

アダム セリプスキー (06:26)
セキュリティに関する会話は、「セキュアにすることは本当に可能なのか」から始まったと思います。 もちろん、私たちはそれを実現しました。すぐにその段階は超えてしまいましたが、大きな影響があったのは、非常に高い能力を有していて自前で機能を構築できる Netflix がそうしないことを選んだと発表したときだと思います。彼らがデータセンター事業から実質的に撤退し、すべてのインフラストラクチャを AWS に置く、つまり、暗黙的にすべてのセキュリティ、すべての可用性を任せると発表したとき、多くの人が本当に注目したと思います。このことで、話題の方向性が変化しました。

米国政府の諜報機関の著名なメンバーを含む多くの政府機関が、AWS は政府機関のデータセンターよりも優れたセキュリティを提供すると公に述べました。繰り返しになりますが、大企業、銀行、製薬会社などを含む多くの人々がそれに注目しました。このような大口のお客様が「これは素晴らしいセキュリティモデルです。これらの機能については AWS を信頼するつもりです」と語るようになったのです。 その他の多くの企業が注目したと思います。

Clarke Rodgers (07:35):
昨年、このシリーズのシーズン 2 で、AWS の CISO にインタビューする機会に恵まれました。セキュリティメカニズム、大規模な組織で機能すること、うまく機能しないことについて伺いました。彼が言及した最も効果的なメカニズムの 1 つは、AWS で毎週開催される CEO/CISO 会議でした。言うまでもなく、これが組織の他のメンバーの方向性を定めているのだと彼は言っていました。これにより、CEO はセキュリティ分野で起こっていることを継続的に把握できます。また、CISO は CEO にとって重要なことを常に把握できます。

そこで伺いたいのですが、この会議についての見解を聞かせていただけますか。セキュリティの専門家ではなく、ビジネスリーダーとしての見解です。この会議はあなたにとってどのように機能していますか。

アダム セリプスキー (08:20)
最高情報セキュリティ責任者の Chris Betz と共同で毎週開催するこの会議は、私たちの多くのセキュリティメカニズムの 1 つです。そして、おっしゃるように、文化的なシグナルを送っています。本当に毎週会議を行っています。最優先事項にしています。また、内容は信じられないほどシンプルです。過去 1 週間に表面化したセキュリティの問題のうち、上位 2 つ、3 つを見ていきます。

会議のとき、常に問題が 2 つ、3 つあります。ある会議が別の会議よりも「面白い」場合もありますが、会議をしないことはありません。常に、上位の問題を検討して、精査します。つまり、プレゼンテーションではありません。Amazon らしいやり方なのですが、セキュリティ問題の概要を書面でまとめた文書があります。会議の前に入念に精査され、完成されており、現在の状況とそのセキュリティの問題に関する正確な次のステップが記載されています。そして、適切なサービスチームのメンバー、セキュリティチームのメンバー、その他直接の関係者が会議に参加します。

これは間違いなく学びになります。和やかな雰囲気の場合もありますが、率直に言って厳しい雰囲気になることもあります。私たちは非常に真剣に取り組んでおり、改善が必要な問題、変化が必要な行動、希望する結果を得るために技術面の変更が必要なことを発見した場合に、この会議で非常にオープンに話し合うためです。それによって、私たちがセキュリティについて極めて真剣に取り組んでいるという文化的なシグナルも送っていることになると思います。したがって、当社の技術的な向上に役立っています。また、セキュリティは Amazon にとって 0 番目の仕事ということを強調するうえでも、企業文化的に重要だと思います。

Clarke Rodgers (10:13):
少し話題を変えましょう。部下のビジネスリーダーについてです。AWS 内で運営している特定のサービスやその他のビジネスのセキュリティについて、どのように説明責任を負わせているのですか。

アダム セリプスキー (10:24)
一般的に、彼らは自身で責任を負っています。これは、私たちがこの問題に関して築き上げてきた文化です。他の誰かが彼らに説明責任を負わせようとするよりも、はるかに良い答えです。つまり、私たちがセキュリティに関して築き上げてきた文化と、確立した明確なオーナーシップモデルにより、それが余計な追加作業ではなく、日常業務の一部になっていると思います。そして、毎週開催されるセキュリティ会議のようなメカニズムでは、その週に問題が発生したチームはもちろん出席します。それにより、説明責任を果たすことを促すさまざまな力が生まれると思います。そして、その方がずっと簡単で、ずっと良いです。

中央集権化されたセキュリティチームを置くことが重要です。彼らは、あらゆるセキュリティに関する真の専門家です。また、すべてのチームのベストプラクティスを見ることができます。彼らは、セキュリティに関して何か別の取り組みが必要と思われるチームがあれば、技術リーダーであれビジネスリーダーであれ、そのチームのリーダーと話し合います。ですから、こうした複数のメカニズムがすべて組み合わさることで、チームのオーナーシップが本当に高まると思います。

まれに、チームに問題が発生した場合には、そのチームが問題を理解し、自ら問題を解決することを私たちが期待していることがすぐに明らかになります。もちろん、手助けが必要なら誰からでも手助けを得るわけですが、責任はそのチームにあります。

米国政府の諜報機関の著名なメンバーを含む多くの政府機関が、AWS は政府機関のデータセンターよりも優れたセキュリティを提供すると公に述べました。繰り返しになりますが、大企業、銀行、製薬会社などを含む多くの人々がそれに注目しました。このような大口のお客様が「これは素晴らしいセキュリティモデルです。これらの機能については AWS を信頼するつもりです」と語るようになったのです。 その他の多くの企業が注目したと思います。

Clarke Rodgers (11:53):
ビジネスリーダーが、構築している製品の機能や損益だけでなく、セキュリティにも責任を持つことは、強調すべき非常に重要な点ですよね。 多くのお客様は、これらの責任を別々に扱っているために問題が発生することもあります。オーナーシップの経路が一元化されていることは素晴らしいことです。

アダム、今日はお忙しい中、時間を取っていただきありがとうございました。

アダム セリプスキー (12:16)
光栄です。ありがとうございました。