AWS Executive Insights / セキュリティ / ...
Distinguished Engineer の役割の定義
AWS の Deputy CISO、VP、Distinguished Engineer である Paul Vixie が AWS のセキュリティ文化について語る
AWS には独特の文化があることは周知のとおりですが、それは当社のセキュリティ組織にも当てはまります。AWS の Deputy CISO、VP、Distinguished Engineer である Paul Vixie とのこの対話では、AWS セキュリティ文化の特徴について語り合います。
このインタビューの一部は音声形式でもお聴きいただけます。お好みのプレーヤーのアイコンをクリックすると、ポッドキャストを再生できます。「AWS のリーダーとの対話」のポッドキャストをサブスクライブして、エピソードを聴き逃さないようにしましょう。
Director of AWS Enterprise Strategy である Clarke Rodgers が、Paul が AWS に入社した理由と、AWS でのこれまでの経験についてインタビューする様子をご覧ください。インターネットの進化の初期から既に大きな影響力を持っていた Paul の注目すべきキャリア、Paul がどのようにしてインターネットの殿堂入りを果たしたのか、そして AWS の Deputy CISO 兼 Distinguished Engineer としての現状についての詳しい話をお聴きください。
この対話が気に入ったら、AWS がクラウドイノベーションでインターネットをどのように保護しているのかについての Paul との対話もぜひご視聴ください。
Distinguished Engineer 兼 Deputy CISO として AWS に入社した Paul Vixie
Clarke Rodgers (00:11):
Paul、今日はこのような場にお越しいただき、ありがとうございます。
Paul Vixie (00:13):
このような機会をいただき、光栄です。
Clarke Rodgers (00:15):
まずはご経歴についてお伺いしたいと思います。あなたは、DNS の領域でインターネットの発明に貢献した、著名な革新者でありソートリーダーでもあります。そのことについて、ぜひお聞かせください。
Paul Vixie (00:30):
たしかに私は初期にある程度の貢献をしましたが、私は Al Gore ではありませんし、その発明者でもありません。DNS については、自分で解決しようとして始めました。私は 1980 年代後半にミニコンピュータの会社で働いていましたが、ソフトウェアはひどいもので、プロトコルもよく理解されていませんでした。だからそれは自己防衛だったのですが、それも落ち着いたので、状況を維持するために会社を始めました。その会社を辞めた私は、セキュリティの領域でスタートアップを起業しました。
そのような流れの中で、あるときに私はインターネットの殿堂入りを果たすとともに、日本の慶応義塾大学で博士号を取得しました。それは考えてみれば奇妙なことです。すべては 1980 年に高校を中退したことから始まったのですから。
Clarke Rodgers (01:18):
それは意外です。それについて、もう少し詳しくお聞かせください。どのようなきっかけで高校を中退し、その後にテクノロジーの領域に進んでいったのですか?
Paul Vixie (01:28):
当時の私は、ミニコンピュータの分野でパートタイムの簡単な仕事をしていました。そのような状況において、あるとき進路指導のカウンセラーから、「君は来年も Junior (4 年制高校では 3 年生、3 年制高校では 2 年生) だよ」と言われたのです。なぜなら、私はずっとコンピュータ室で過ごしていたからです。
Clarke Rodgers (01:43):
それは意外です。
Paul Vixie (01:44):
それを聞いた私は、状況が良くなることはないだろうから、退学すべきだと気づいたのです。その後、その年齢になれば誰でもそうするように、私は転職しました。とにかく、そのすべては、私がプログラミングに時間を費やしすぎた貧しい学生だったことが原因だったのです。
Clarke Rodgers (02:00):
最終的にはうまくいったのですね。
Paul Vixie (02:03):
私はすべての奇妙な決定に満足しています。
Clarke Rodgers (02:08):
では、AWS での役割についてお聞かせください。
AWS における Distinguished Engineer の役割はどのようなものなのでしょうか?
Paul Vixie (02:13):
私には 2 つの役割、いや、おそらく 3 つの役割があります。私は Vice President 兼 Distinguished Engineer として採用されました。このグループはとても小規模で、非常に経験豊富な人々で構成されています。その役割は非常に自主的なものです。Vice President 兼 Distinguished Engineer になるには、トラブルを見つけ、その解決に向けて取り組むことが必要です。「Paul、どうしてもお願いしたいことがあるのですが」と言う人はほとんどいません。 特に設立から 25 年が経過した後に入社し、それまでの経緯も分かっていないにもかかわらず、この規模の会社でやりたいようにやれることは非常に光栄なことです。本当に喜ばしいことです。
さて、夏の間に、私は AWS の Deputy CISO に任命されるとともに、Office of the CISO を率いるよう命じられました。Office of the CISO は、経営幹部レベルのソリューションアーキテクトとして考えることができます。お客様との会話に経営幹部レベルの誰かが同席する場合、通常は CISO に同席してもらいたいと考えますよね。問題は、CISO は 1 人しかいませんが、同席してもらいたい場はたくさんあるということです。その問題に対処するために、私たちは CISO のバックアップバンドのようなものとして存在しており、その分野の第一人者である 6 人のメンバーがいます。私はこれらのメンバーと協力してきました。実際、私もその一員となってお客様とやり取りしてきました。だからこそ、私がそのチームのリーダーに抜擢されたのだと思います。
Clarke Rodgers (03:44):
AWS に大きく惹きつけられた要因はありますか?
Paul Vixie (03:47):
職務内容です。別の言葉で言うなら、もし私が入社して、いずれかの部門の VP になり、特定の職務を担当するように頼まれたら、「はい。私はそれを経験したことがありますし、それを実行したことがあります」と述べていたでしょう。 しかし、これは主に技術職であり、少なくとも Distinguished Engineer としての私の仕事は、基本的に経営幹部レベルの個人的な貢献者としてのものです。それが私にとって心躍るようなことであったのは、私以外の誰かが最後に私にオファーレターをくれた 1993 年以降、私の肩書きに「Engineer」という単語が含まれたことがなかったからです。私はスタートアップの単なる CEO であり、コーディングをする CEO ではありましたが、プロのエンジニアではありませんでした。私の会社のいずれでも、それは私の主な仕事ではなかったのです。
したがって、これらすべてのスタートアップがなかったとすれば私が行っていたであろう当初の仕事に戻ることができ、個人として貢献するエンジニアになれたことは、とても喜ばしいことでした。私は、それがまだ可能だとは思っていませんでした。そのため、AWS は私を説得しなければなりませんでした。しかし、AWS からそのポジションについての説明を聞いた後、その記憶は私の頭の片隅に居座り、「君はその立場に戻りたいんだね」と私に語りかけてきました。 いずれにしても、私はよくわかっていませんでした。私はインターネット業界やセキュリティ業界ではあまり有名人ではなく、ちょっとした暴れん坊として知られていたので、自分が雇用してもらえるとは思っていませんでした。私が採用する側だったら、この仕事には物議を醸しすぎる人物であると自分自身を評価していたでしょう。AWS はそうではないと考えたようですね。これまでのところ、AWS は正しかったと言えるでしょう。
Clarke Rodgers (05:22):
あなたが AWS で働き始めてからしばらく経ちました。AWS についての知識も深まってきたでしょう。特に AWS のセキュリティ文化についてどのような印象をお持ちですか?
AWS セキュリティ組織がほかと違うところはどのようなところですか?
Paul Vixie (05:32):
私は自分が立ち上げたさまざまなスタートアップで、AWS のような企業に対して営業活動を行ってきました。コーポレートガバナンスはどこでもほぼ同じですが、AWS ではセキュリティチームの歴史がとても長く、セキュリティはジョブゼロであるという正当な主張がなされています。そして、これは単なる主張にとどまりません。それは、組織全体、運営計画全体、予算の優先順位全体にわたって反映されているのです。
別の言葉で言い直しましょう。もちろん、他の企業がお客様のために存在するのと同じように、当社もお客様にサービスを提供するためにここに存在しています。違いは、当社ではお客様を不安にさせるようなサービスは提供しないということです。当社は決して、セキュリティをないがしろにすることはありません。それが AWS の特徴です。
Clarke Rodgers (06:20):
例えばこの Distinguished Engineer の役割でサービスチームと深く連携しているときに、どのようなやり取りが行われているのか、少し教えていただけますか? 機能リリースやセキュリティ修正について議論する際にもめることはありませんか? それとも単に「いや、セキュリティ修正は必要だ」と述べるだけでしょうか? 議論はどのようなものなのでしょうか?
Paul Vixie (06:42):
「アプリケーションのセキュリティテストのいくつかの結果などを理由にこのリリースを阻止したら、後れを取ることになりますよ。私たちは機会を逃すことになりますし、もう逃し始めています」というような苦情はありません。 そのような事態は生じません。そのような事態が起こることは、意図的かつ明示的に許されていないのです。ときどき実際に起こるのは、それが「すべき」であっても、「絶対にやらなければならない」わけではないという事態です。このような場合には、私や AWS Security を代表する他の誰かが、「これは問題を引き起こすだろうし、後から直すとすればさらに多額の費用を要することになる」と言うことになるでしょう。 AWS のサービスチームにはそのレベルの自律性があります。
これらのチームは何が重要かを決定することができますが、セキュリティ上の問題がある場合、そのことについて私たちが話した内容が記録に残ることを認識しています。これらのチームは説明をしなければなりません。ですから、ときには対立もあります。なぜなら、誰にでも上司がいて、あることを期日までに終えなければならないと言われれば、私たちは細心の注意を払って、それに向かって取り組まなければならないのですから。私たちは取り組みを止めたいわけではありません。私たちは、一緒に働いている人々の第一の目標が自らの指標を満たすことであり、私たちは第二の主要な目標であることを理解しています。
Clarke Rodgers (08:09):
それでは、別の仕事についてお聞きします。Office of the CISO を率いておられるわけですから、お客様とお会いする機会が多く、世界中のお客様と対面またはリモートでやり取りされていることと思います。あなたが AWS で参加した活動の 1 つに AWS CISO Circles がありますね。AWS CISO Circles と、それに関するご経験について少しお聞かせください。
AWS CISO Circle プログラムについてどのようにお考えでしょうか?
Paul Vixie (08:30):
私が最初に CISO Circles を知ったのは、マドリードでのことだったと思いますが、「Paul、CISO Circles に参加してもらえませんか?」と言われたときでした。 それを聞いた私は、「それは何ですか? 何をすればいいのですか?」とたずねなければなりませんでした。 その時点では、私が AWS で働き始めてまだ 1 年しか経っていませんでした。当社のアイデンティティや歴史について、私よりも多くの専門知識を備えた人が集まる場なのかもしれないと思いました。実際に参加してみると、特定の業界の多くの CISO が集まっており、とてもすばらしい場であることがわかりました。すべての内容は秘密保持契約のようなもので保護されます。あなたが述べたことを、その場にいる他の人々が他の場所で話すことはないため、自由に発言できます。
Clarke Rodgers (09:20):
チャタムハウスルールですね。
Paul Vixie (09:21):
そのとおりです。そして、これらの参加者は競合他社であることもあります。参加者は、同じ業界に属しており、あるいは同じ地域に所在する可能性のある企業の CISO であり、通常はアイデアや経験を共有することはありません。しかし、これらの参加者は当社を訪れてくれました。そして、私たちもその場に参加してさまざまなテクノロジーに関する議論をモデレートしたり、プレゼンテーションを用いながら議論を促進したりしました。それから議論や討論、そして最終的には、参加者同士で議論を交わすことを促しました。
これはすばらしいことでした。なぜなら、競合他社の経験から学ぶことは、中規模から大規模の企業ができなければならないことの 1 つであるからです。また、どちらがより安全かを競うべきではありません。私たちが同じ業界にいて、あなたがセキュリティ侵害に直面した場合、それは私たち両方に影響があることであり、おそらく次は私の番だからです。ですから...
Clarke Rodgers (10:24):
情報やベストプラクティスを共有するのですね。
Paul Vixie (10:26):
そのとおりです。私たちは一面では競争しながらも、他面では協力する必要があるのです。そして、参加者たちは最終的には知り合いになり、企業秘密などを危険にさらすことなく、どれほどの信頼を築くことができるかを理解しました。AWS CISO Circles の目的は、イベント後もお互いに連絡を取り合ってもらうことです。そしてもちろん、それは必然的に、誰かが「その日、クラウドでいくつかの API を使用したのですが、ひどい経験をしたんですよ」と述べ、また別の誰かが「それは当社ではうまくいきましたよ」と述べて、当社についてお互いに不平を言い合うこともあるでしょう。そのような状況になれば、私たちはそれも受け入れなければなりませんね。
競合他社の経験から学ぶことは、中規模から大規模の企業ができなければならないことの 1 つです。私たちは一面では競争しながらも、他面では協力する必要があるのです”
何が問題なのかを把握しなければ、お客様へのサービスを改善することはできませんからね。したがって、それは私たちにとって、ビジネスインテリジェンスの巨大な情報源であることがわかりました。「これがあればいいのに…」という声を聞いたり、ときには「それはもうありますよ」と言ったりすることもあります。 当社は非常に大きな会社であり、多くのイノベーションを起こしています。そして、どのお客様も追いつけないような速度で新機能や新テクノロジーを生み出しています。それが私の仕事ですが、それについていくのは私でも大変です。
したがって、当社は、お客様の問題や業界の問題が何であるか、お客様が何をどのように行っているか、お客様の課題が何であるかを知ることができるお客様との接点を持つ必要があるのです。当社にはそれに取り組んでいる人たちがいますが、お客様の方では、こういった人たちと定期的に会うべきだと認識していないようなのです。CISO Circle が状況の改善に役立ち、それが徐々に口コミで広がって、ひとつの運動になることを願っています。
Clarke Rodgers (11:59):
すばらしいお話でした。Paul、今日は貴重なお話をお聞かせいただき、ありがとうございました。
Paul Vixie (12:02):
すばらしい時間でした。このような機会をいただき、感謝します。
リーダーについて
Paul Vixie 博士
AWS、Deputy CISO、VP、Distinguished Engineer
Paul Vixie は、5 社のスタートアップの創業者兼 CEO としての 29 年間のキャリアにおいて、DNS、スパム対策、インターネットエクスチェンジ、インターネット通信とホスティング、インターネットセキュリティの分野に取り組んだ後、AWS Security の一員となり、現在は VP 兼 Distinguished Engineer として業務を遂行しています。Paul は 2011 年に慶応義塾大学でコンピュータサイエンスの博士号を取得し、2014 年にはインターネットの殿堂入りを果たしました。Cron などのオープンソースソフトウェアの作者としても知られています。
Clarke Rodgers
AWS Enterprise Strategy、Director
Clarke は、セキュリティの詳しい専門知識を持つ Director of AWS Enterprise Strategy として、クラウドがセキュリティをどのように変えることができるかを経営幹部が探求するのをサポートし、適切なエンタープライズソリューションを見つけるために情熱を込めて尽力しています。Clarke は 2016 年に AWS に入社しましたが、彼はチームの一員になる前から AWS セキュリティの利点に関する経験をしてきました。多国籍生命再保険プロバイダーの CISO として、戦略部門を AWS へ全面的に移行する過程を監督しました。