AWS でセキュリティ文化を構築する
セキュリティエンジニアリング担当バイスプレジデント兼最高情報セキュリティ責任者 (CISO) の Steve Schmidt と、AWS の AWS セキュリティ担当シニアマネージャーの Jenny Brinkley との対話。
ここでは、セキュリティに焦点を当て、特にビジネス内で前向きなセキュリティ文化を発展させることにスポットライトを当てます。また、セキュリティ組織の中にいなくても、積極的なセキュリティ文化を取り入れて維持するための AWS での取り組みや方法についてもご紹介します。
私たちは、前代未聞の規模で運営されているセキュリティ組織を構築および運営しているだけでなく、セキュリティの世界では非常に珍しい文化を構築および運営してもいます。そして、それについて私は誇りを持っており、組織に適切な文化を根付かせています」
ポジティブなセキュリティ文化を構築する上で目標設定が果たす役割
私たちは、段階的な発展に信を置いています。何年もかかるビッグバンプログラムを手がけるようとするのではなく、チームで非常に短い間隔で重要なことを達成するようにしています。私たちは、プログレッシブで測定可能であり、さらに重要なことに、数か月などの比較的短い期間で達成可能な段階的なものを目指しています。
プログレッシブとは、サービスチームとお客様が達成したい目標に向かって進歩し続けることを意味します。この考え方が重要な理由は 2 つあります。1 つは、これがビジネスを発展させ、お客様へサービスを提供し始める方法だからです。2 つ目は、これがサービスチームがサービスや製品を立ち上げる能力を妨げるものと見られず、サービスチームにこちらともっと意思疎通を行うことを促す方法だからです。
これは、セキュリティチーム自身が何をしたいかということではなく、お客様のチームや社内のチームがそれぞれの目標や成果に向かって前進するのを常にサポートすることです」
お客様の心に響くには、問題を特定することです
エスカレーションという言葉の定義から始めましょう。エスカレーションは、適切な人が適切な時点で問題を認識できるようにするプロセスであり、AWS の効率化の基礎になるものです。エスカレーションとは、誰かが何かを見て「これでいいのか」と問うことを言います。 そして、それを放置するのではなく、適切な人に知ってもらうようにします。
エスカレーションは、私たちの企業価値の 1 つを体現するものです。実際、リーダーが深く掘り下げ、所有者がビジネスの運営方法の詳細に深く踏み込むことになります。すべての詳細をつかまなければ、何が起こっているのか、そしてビジネスを効果的に運営する方法について適切な決定を下すことはできません。
旧セキュリティの世界では、問題が特定されたときに「Shoot the messenger (悪い知らせを伝えた人を非難する)」というフレーズを用いていました。これは、人々が物事を前に進めることを思いとどまらせてしまいます。リーダーとしての私の仕事は、物事を特定し、注意喚起してくれた人たちに感謝することです。伝えてくれた人に報いてから修正します。
「ゼロトラスト」とは何か、またそれは物事をどのように改善するか?
私たちにとってゼロトラストとは、ネットワークの境界線を第一の防御ポイントとして頼らないことを意味します。セキュリティの境界線を可能な限り小さなコンポーネント、理想的には個々のデータ要素にまで押し下げることができます (そこまで到達可能な場合)。裏を返せば、権限を持ったユーザーがどこにいても、個々のデータ要素にアクセスできるようになるということです。例えば、VPN を使用する必要はなくなりましたが、携帯電話にエージェントが搭載されていて、認証および認可システムに携帯電話がパッチ適用できる状態にあることを知らせることができるような状況です。
そして、その信頼を、「この人は適切か」を見極める能力に優れた再現性のあるハードウェアコンポーネントで支えます。 そのため、私たちにとってゼロトラストとは、個々の人の仕事、居場所、デバイスへのアクセスに使用しているもの、時間帯、曜日、世界のどこにいるかなどに基づいて、個々のデータコンポーネントへのアクセスを許可または拒否することができる一連のコントロールを構築することをいいます。また、正しく実行された場合、情報をより適切に細かくコントロールできます。
ポジティブな文化を創造するためのお客様や従業員への質問
- 今行ったやり取りに満足していますか?
- 妥当な期間内に問題を解決しましたか?
- 仕事をより効果的かつ簡単に行うためのツールを受け取りましたか?
このような質問を自分自身やお客さまに投げかけ、自分たちが内外でどのように評価されているかを自覚するようにしています。
お客様や従業員の「なぜ」を忘れない
今日、皆さんに一番学んでいただきたいのは、ビジネスはポジティブなものでなければならないということです。どうすれば人々の生活をより良くすることができるか? どうすれば彼らの仕事をより効果的かつ効率的にすることができるか? そして、ビッグバンを待つのではなく、毎日目標に向かって段階的に進むようにするにはどうしたらいいでしょうか?
したがって、セキュリティ組織に所属していない人は、バーチャルコーヒータイムを設け、ビジネス目標を理解し、より効果的にコミュニケーションする方法を見つけることをお勧めします。AWS セキュリティの詳細については、AWS セキュリティブログをご覧ください。BP では、何をしていてもクラス最高になるよう努めています。トレーディングの現場で長く働いていると、市場の変化に合わせてよりマージンを重視した方向に物事が進む中で、それを実現するためには、デジタル技術を活用して自動化し、できる限り効率的で無駄のない効果的な行動を心がける他ないことに気づきます。
正しいやり方を示すツール、ルール、指示を与えて、人々が正しいことを簡単に行えるようにすると、自身はセキュリティのプロとしてより幸せになり、お客様もより簡単に仕事をこなせるようになって幸せになることでしょう。
この話を共有する
お勧めの記事
次の一歩を踏み出す
オンデマンドで視聴する
この独占的な国際的ネットワークを通じて、同業者からインサイトを得て、デジタルトランスフォーメーションジャーニーを後押しする新しい方法を発見してください。