Amazon Web Services ブログ

セキュリティ最優先のマインドセットの醸成:AWS re:Invent 2023 から得られた 3 つの重要なテーマ

本ブログは 2024 年 1 月 17 日に公開されたBlog ”Building a security-first mindset: three key themes from AWS re:Invent 2023” を翻訳したものです。

AWS re:Invent 2023 が 2023 年 11 月 27 日から 12 月 1 日までネバダ州ラスベガスで開催され、世界中から 52,000 人が参加しました。

12 回目となる今回のカンファレンスでは、5 つの基調講演、17 のイノベーショントーク、そして 2,250 を超えるセッションとハンズオンラボを開催して、参加者には実践的な学習とネットワーキングの機会をご提供しました。

Amazon CSO Stephen Schmidt

Amazon CSO Stephen Schmidt

何十もの新サービスと新機能の発表、そして AWS の幹部、お客様、パートナーが共有する数え切れないほどのベストプラクティスにより、会場は熱気に包まれていました。私たちは現地ですべての革新的な取り組みと知見を体験しましたが、その要点をまとめるのは容易ではありません。このブログでは、注目を集めた 3 つの重要なセキュリティテーマに焦点を当てて説明します。

セキュリティ文化

サイバーセキュリティについて考えるとき、ビジネスを保護するための技術的なセキュリティ対策に注目するのは自然なことです。しかし、組織は技術ではなく人々で構成されています。自らを守る最良の方法は、効果的なリスク軽減、インシデントの検出と対応、そして継続的なコラボレーションを支える、積極的でレジリエントなサイバーセキュリティ文化を育むことです。

Sustainable security culture: Empower builders for success (持続可能なセキュリティ文化:ビルダー成功の促進)において、AWS Global Services Security Vice President の Hart Rossman 氏と AWS Global Services Security Organizational Excellence Leader の Sarah Currey 氏が、持続可能なセキュリティ文化を構築するための実践的な戦略を提示しました。

Rossman 氏は、セキュリティの課題について AWS と話し合う多くのお客様が、セキュリティをプロジェクト、プログラム、またはサイドプロジェクトとして管理しようとしていると指摘しました。セキュリティ態勢を強化するには、ビジネスにセキュリティを組み込む必要があると彼は述べました。

「セキュリティをプロジェクトやプログラムのように運用していては効果的になり得ないということを、早い段階で理解する必要があります。セキュリティは、経営上の必須事項、つまりビジネスの中核機能として運営しなければなりません。そうすることで、真の効果を発揮できるのです。」— Hart RossmanAWS Global Services Security Vice President

3 つの役立つベストプラクティスを紹介しましょう。

  1. 継続的に粘り強く取り組む。 セキュリティの課題を提起してくれた従業員に対して、定期的かつ明確に感謝の意を表しましょう。繰り返しのように感じるかもしれませんが、セキュリティイベントやエスカレーションを学習の機会として扱うことで、ポジティブな文化を醸成できます。こうしたポジティブな文化を築くことで、プラクティスを組織全体に広めていくことができるようになります。共感的なリーダーシップアプローチは、従業員がセキュリティを全員の責任として捉え、経験を共有し、協力者として感じることを促します。
  2. 経営陣に報告する。 定期的にビジネスに焦点を当てた会議で経営陣と関わりを持ちましょう。セキュリティ文化が顧客に与える影響に関連する業務指標を明確に提供し、データとビジネス成果を明確に結びつけ、質問する機会を設けることで、経営陣の支持を得ることができます。そして、持続可能で積極的なセキュリティ態勢を確立する取り組みを前進させることができます。
  3. 考え方の枠組みを持つ。 良好なセキュリティ文化を創造するための考え方の枠組みを持ちましょう。Rossman 氏は、AWS で観察したセキュリティ文化の 3 つの要素を強調する図(図1) を提示しました:学習者、管理者(スチュワード)、そして構築者(ビルダー)です。セキュリティ文化の良き管理者になりたいのであれば、常に学び、実験し、ベストプラクティスを伝える学習者であるべきです。管理者としての役割が成長するにつれて、セキュリティ文化の構築者となり、文化を新しい方向に進展させることができます。
図1: セキュリティ文化を構築するための考え方の枠組み例

図1: セキュリティ文化を構築するための考え方の枠組み例

包括性、共感、心理的安全性の原則に対する配慮と取り組みは、チームメンバーが自信を持って発言し、リスクを取り、アイデアや懸念を表現するのに役立ちます。これにより、課題提起を奨励する文化が促進され、従業員が燃え尽きてしまうことを減らし、チームが組織全体のセキュリティ向上に貢献できるようにします。

Shipping securely: How strong security can be your strategic advantage (安全なデリバリー:強力なセキュリティが戦略的優位性となる方法) において、AWS Enterprise Strategy Director の Clarke Rodgers 氏は、セキュリティを最優先するマインドセットを醸成する上でのセキュリティ文化の重要性を改めて強調しました。

Rodgers 氏は、800 社以上のお客様との会議に基づいて、発展段階の 3 つの柱(図2) —認識段階(aware)、追加段階(bolted-on)、統合段階(embedded)—を強調しました。組織が受動的なセキュリティ態勢から能動的なセキュリティ重視のアプローチへと成熟するにつれて、セキュリティ文化が真のビジネスの推進力になると彼は指摘しました。

「組織が強力なセキュリティ文化を持ち、全員がセキュリティを自分の責任と考えるとき、より迅速に行動し、より迅速かつ安全な製品やサービスのリリースを実現できます。」— Clarke RodgersDirector of Enterprise Strategy at AWS
Figure 2: Shipping with a security-first mindset

図2: セキュリティを最優先した開発

人間中心の AI

CISO やセキュリティ関係者は、効果的なサイバーセキュリティを確立し、従業員の負担を軽減するために、ますます人間中心の視点へと転換しています。

Gartner によると、2027 年までに、大企業の CISO の 50% が、サイバーセキュリティ施策による煩わしさを最小限に抑え、セキュリティ対策の導入を最大化するために、人間中心のセキュリティ設計手法を採用するようになるとされています。

Amazon の CSO である Stephen Schmidt 氏が Move fast, stay secure: Strategies for the future of security (迅速に行動し、安全を確保する: セキュリティの未来に向けた戦略) で述べているように、技術を最優先することは根本的に間違っています。セキュリティは、脅威アクターにとっても、防御側にとっても、人的な課題です。絶え間なく変化する環境に対応し、私たちが支援するお客様のビジネスを安全にサポートするには、ソフトウェアでは解決できない常に変化する課題に焦点を当てる必要があります。

そのような重点を置き続けるには、セキュリティチームと開発チームに、業務の一部を自動化し効率的に拡張するために必要なツールを提供することが求められます。

「人間は最も限りがあり、最も価値のあるリソースです。人間はセキュリティのあらゆる層に影響を与えます。人間が最大限効果的に活動できるよう、私たちがツールとプロセスを提供することが重要です。」— Stephen SchmidtAmazon CSO

組織は、セキュリティのあらゆる層に適用するために人工知能(AI) を使用できますが、AI は熟練したエンジニアの役割を置き換えるものではありません。他のツールと連携して使用し、適切な人間によるレビューを行うことで、セキュリティコントロールをより効果的にすることができます。

Schmidt 氏は、ソフトウェア開発プロセスを加速させるための Amazon 社内での AI の活用や、新たに生成 AI を活用し、人間のスキルを補完する Amazon InspectorAmazon DetectiveAWS ConfigAmazon CodeWhisperer の機能を強調しました。これらは、より広範な知識を活用し、人々のセキュリティに関する意思決定を支援します。高度なツールと熟練したエンジニアを組み合わせるこのアプローチは非常に効果的です。なぜなら、AI 単独では難しい、効果的なセキュリティに必要な繊細な判断を人間が行える立場に置くからです。

How security teams can strengthen security using generative AI (セキュリティチームが生成 AI を活用してセキュリティを強化する方法)では、AWS のシニア セキュリティスペシャリスト ソリューションアーキテクトである Anna McAbee 氏と Marshall Jones 氏、そしてプリンシパルコンサルタントの Fritz Kunstler 氏が、内部のナレッジベースと信頼できる公開ソースに基づいて一般的なセキュリティの質問やユースケースに対応できる仮想セキュリティアシスタント (チャットボット) を紹介しています。

Figure 3: Generative AI-powered chatbot architecture

図3: 生成 AI を活用したチャットボットのアーキテクチャ

図3 に示されている生成 AI を活用したソリューション(Amazon KendraAmazon Security LakeAmazon Bedrock を使用した検索拡張生成 (RAG) を含む)は、定型的なタスクの自動化、セキュリティに関する意思決定の迅速化、新たなセキュリティ課題への注力を増やすことに役立ちます。

このコードは GitHub から入手できます。すぐに使えるコードのため、お客様の AWS アカウントでさまざまな大規模言語モデルとマルチモーダル言語モデル、設定、プロンプトを使って試してみることができます。

セキュアなコラボレーション

コラボレーションはサイバーセキュリティの成功に不可欠ですが、進化する脅威、柔軟な勤務形態、そして拡大するデータ保護とプライバシーの錯綜する規制により、安全で規制に準拠したメッセージングの維持が課題となっています。

推定で 30.9 億人のスマートフォンユーザーがコミュニケーションのためにメッセージングアプリを利用しており、この数字は 2025 年には 35.1 億人に増加すると予測されています。

一般利用者向けメッセージングアプリをビジネス関連のコミュニケーションに使用することは、組織にとってデータが適切に保護され保持されているかを確認することが難しくなります。これは、特に特別な記録保持要件がある業界において、リスクの増大につながる可能性があります。

How the U.S. Army uses AWS Wickr to deliver lifesaving telemedicine (米国陸軍が AWS Wickr を使用して救命遠隔医療を提供する方法)において、米国陸軍遠隔医療先端技術研究センター (TATRC) のシニアディレクター Matt Quinn 氏、Deloitte のシニアマネージャー Laura Baker 氏、AWS Wickr のプロダクト責任者 Arvind Muthukrishnan 氏が講演を行いました。彼らは、TATRC の National Emergency Tele-Critical Care Network (NETCCN) が、AWS Wickr および AWS Private 5G とどのように統合されたかを説明しました。AWS Wickr は HIPAA 対応の安全なメッセージングおよびコラボレーションサービスであり、AWS Private 5G はプライベートセルラーネットワークの展開とスケーリングのためのマネージドサービスです。

セッション中、Quinn 氏、Baker 氏、Muthukrishnan 氏は、TATRC が厳しい環境下でリアルタイムの患者ケアを行うために、現場と遠隔地の医療チーム間の安全な連携を可能にする、リソースの少ない環境でも利用可能な、クラウドベースの遠隔医療ソリューションをどのように実現したかを説明しました。Wickr を使用することで、現場の医療従事者は、医療専門家とのエンドツーエンドで暗号化されたビデオ通話、メッセージング、ファイル共有を通じて、自身の訓練レベルを超える怪我の治療を行うことができました(図4)。また、組織の要件に従って通信記録を安全に保持することができました。

「Wickr を軍事緊急遠隔重症治療プラットフォーム (METTC-P) に組み込むことで、エンドツーエンドの暗号化通信によるセキュリティとプライバシーを提供するだけでなく、戦闘救護員やその他の最前線の医療従事者が世界中の医療専門家から即座に助言を得る能力を与えます。これらの機能は、長期化する治療と、多領域作戦 (MDO) 戦場における多数の負傷者の治療という同時に直面する課題に対処するために必要となるでしょう。」— Matt QuinnTATRC Senior Director
Figure 4: Telemedicine workflows using AWS Wickr

図4: AWS Wickr を使用した遠隔医療ワークフロー

別のチョーク・トークセッション Bolstering Incident Response with AWS Wickr and Amazon EventBridge (AWS Wickr と Amazon EventBridge を活用したインシデント対応の強化) では、AWS Wickr のシニアソリューションアーキテクトである Wes Wood 氏と Charles Chowdhury-Hanscombe 氏が、Wickr を Amazon EventBridge および Amazon GuardDuty と統合する方法をデモンストレーションしました。この統合により、AWS リソースを Wickr ボットに接続する統合ワークフロー(図5) が実現し、インシデント対応能力を強化することができます。このアプローチを使用することで、ネットワークが侵害されている可能性がある場合でも、セキュアな通信チャネルを通じて適切な関係者に重大な検出結果を迅速に警告することが可能になります。

Figure 5: AWS Wickr integration for incident response communications

図5: インシデントレスポンスのコミュニケーションのための AWS Wickr 統合

セキュリティは私たちの最優先事項

AWS re:Invent 2023 では、ゼロトラストによるアダプティブアクセスコントロール、AWS サイバー保険パートナー、Amazon の CTO であるワーナー・ヴォゲルス博士の人気のキーノート、そして Expo フロアで紹介されたセキュリティパートナーシップなど、さまざまなトピックについてさらに多くのハイライトがありました。多岐にわたる内容でしたが、1 つ明確なことがあります。それは、AWS が技術面とビジネス面の両方の成果を実質的に改善できるよう、セキュリティ最優先のマインドセットの醸成を支援するために懸命に取り組んでいるということです。

オンデマンドのカンファレンスセッションを視聴するには、YouTube の AWS re:Invent 2023 セキュリティ、アイデンティティ、コンプライアンスのプレイリストをご覧ください。

AWS セキュリティに関するニュースをもっと知りたいですか?X でフォローしてください。

Clarke Rodgers

Clarke Rodgers

Clarke は AWS のエンタープライズセキュリティ担当ディレクターです。セキュリティ業界で 25 年以上の経験を持ち、エンタープライズのセキュリティ、リスク、コンプライアンスに焦点を当てた幹部と協力して、セキュリティ態勢を強化し、クラウドのセキュリティ機能を理解するための支援を行っています。AWS に入社する前は、多国籍保険会社の北米事業の CISO を務めていました。

Anne Grahn

Anne Grahn

Anne は、シカゴを拠点とする AWS のシニアワールドワイドセキュリティ GTM スペシャリストです。セキュリティ業界で 13 年以上の経験を持ち、サイバーセキュリティリスクを効果的に伝えることに焦点を当てています。公認情報システムセキュリティ専門家( CISSP )の資格を保持しています。

本ブログは Security Solutions Architect の 中島 章博 が翻訳しました。