AWS CISO サークルプログラムについて知る
AWS Worldwide Security Specialistsr の Senior Manager、Danielle Ruderman との対談
優れたリーダーは、セキュリティが単独で実現できるものではなく、共同で追求する必要があるものだと認識しています。このインタビューでは、AWS CISO サークルプログラムのリーダーである Danielle Ruderman から、知識を共有してサポートするグローバルコミュニティをセキュリティリーダーが構築するための支援を AWS がどのように提供しているかについてお話を伺います。
CISO サークルイベントは、世界各地のセキュリティリーダーが集まって、セキュリティ環境全体で話題になっているトピック、課題、そして新たな脅威について話し合うためのスペースを提供します。Danielle Ruderman と AWS Enterprise Strategy の Director、Clarke Rodgers が参加したこのインタビューを見て、そのプログラム自体、およびお近くの CISO サークルに参加する方法に関する詳しい情報を手に入れましょう。
CISO のために貴重なコミュニティを開発
Clarke Rodgers (00:10):
Danielle、本日はご参加いただきありがとうございました。
Danielle Ruderman (00:11):
お招きいただき、ありがとうございました。
Clarke Rodgers (00:13):
よろしければ、経歴と AWS に入社したきっかけについて、少し教えていただけますか?
Danielle Ruderman (00:17):
もちろんです。経歴というと、実際には私はコンピュータープログラマーとして IT 業界に入り、その後、プログラムとプロジェクト管理の分野に移りました。その後しばらくして、いくつかのセキュリティクライアントと仕事をするようになりました。それから約 3 年半後、今在職している Worldwide Security Specialist 組織で、顧客対応の仕事に携わっています。
CISO サークルと呼ばれるプログラムを作成しました。世界中のお客様が集う機会があり、そこでは自分たちにとって重要なトピックについて話し合うだけではなく、AWS セキュリティのリーダーと会うこともできました。
これは、CISO の懸念事項と、どのトピックが CISO の強い共感を呼んだかに関する理解を深める機会だけでなく、対話を促し、オープンな共有を促進できるイベントを創出する方法を編み出す機会も提供してくれました。
Clarke Rodgers (01:00):
お客様が他のお客様と会ったり、セキュリティについて話したりするのを確実に促進するために、どんなことをしましたか?
Danielle Ruderman (01:07):
私たちが気づいたことの 1 つは、お客様が集まって、互いに学んだり会ったりする機会があったということです。感染が拡大していた時期は、AWS と当社のお客様がよりよく交流したり、リソースや情報を共有したりする方法を模索していた時期だと思います。
それを可能にしたのは、全員に NDA を設け、チャタムハウスルールに従ったことです。CISO のグループを集めるとき、全員がオープンであることを心から望んでいます。会話するための安全なスペースを確保するには、これらのものを整えておく必要があります。
CISO サークルの
ユニークな特徴:
- 事前に署名された NDA
- チャタムハウスルールを適用
- 率直な会話を推奨
- AWS セキュリティリーダーが主催
- メンバーがディスカッショントピックを選択
Clarke Rodgers (01:34):
それで、うまくいきましたか?
Danielle Ruderman (01:35):
確実にうまくいきました。チャタムハウスルールの原則によると、非公開のディスカッションで得た情報を、出所を明示せずに使用できます。この原則によって、誰もが自由に情報を共有し、率直に発言でき、そしてその情報を取得して、必要に応じて使用できるようになります。その自由さは、セキュリティ業界にとって非常に重要なことだと思います。
Clarke Rodgers (01:55):
最近、人気のあるセキュリティトピックがいくつかあります。その中に、ゼロトラスト、生成系 AI とセキュリティがあります。これらのトピックは CISO サークルで取り上げられたことはありますか?
チャタムハウスルール
参加者はこの集まりで収集した情報を自由に使用できますが、説明者の身元や所属、他の参加者の身元や所属などの情報を公開することはできません。
CISO サークルでの一般的なディスカッショントピックはどんなものですか?
Danielle Ruderman (02:06):
こちらの CISO において、ゼロトラストは特に持続的に注目される分野であることがわかりました。取締役会や同業経営幹部から多くの質問を受けています。これは業界のトレンドであるため、ゼロトラストに関するセッションやパネルディスカッションを積極的に取り込んでいました。ゼロトラストの課題の解決策について、説明してもらえませんか?
もちろん、最近、アンケートやディスカッションでセキュリティや人工知能への関心が高まっていることは目にしているので、そのトピックにも目を向けています。他にも、興味深いものとして「AWS は新たな脅威の状況で何を考えているのか? お客様が環境を保護する方法について実行可能な決定を下せるように、何を共有できるのか?」があります。
最も率直なディスカッションの 1 つは、ランサムウェア、Log4j およびお客様が経験したインシデントの影響に関するものです。また、CISO にビジネスに及ぼす影響、経営幹部がこれらの問題にどのように対処したか、取締役会がどのように対応したかについて安心して話し合う場所も提供しています。つまり、非公開の場所で実際起こったことについて話し合って、お互いにアドバイスを出します。皆が逆境に遭遇することがあります。そして、ピアコミュニティからのサポートがあると知ることは非常に重要です。
2023 年に最もリクエストが多かったトピック:
- セキュリティにおける AI
- プロアクティブセキュリティ
- 脅威インテリジェンスレポート
- ゼロトラスト
- データプライバシー/デジタル主権
Clarke Rodgers (03:11):
すばらしいです。それでは、トピックスについて説明しませんか? CISO サークル向けのトピックはどのように決定していますか?
Danielle Ruderman (03:18):
私たちが実施するすべてのイベントには、2 つの要素があります。書面アンケートを用意しているので、実際には CISO に回答して、必要に応じて追加してもらうトピックを列しています。なお、これをすべてのディスカッションの一部にして、トピックに関するオープンなディスカッションでこの集まりを締めくくっています。これは、CISO が関心を持っているトピックと、関心を持っている理由を深く掘り下げて理解する機会を提供するとともに、私たちが考えていなかったようなことも教えてくれるので、非常に役に立っています。
つまり、お客様がお互いから学ぶことのできる環境を生み出そうとしているのです。これは AWS がお客様から学ぶ機会でもあるので、きわめて真剣に取り組んでいます。当社のサービス、ビジネスの進め方、AWS に関するあらゆる事柄に関するフィードバックを受けたときは、常にそれらを当社のリーダーシップに伝えています。繰り返しになりますが、チャタムハウスルールのもとで、フィードバックがどこから来たのかを特定することはありませんが、改善すべきの大まかな課題を把握しています。そうすれば、このフィードバックを踏まえて、AWS というサービスをすべてのお客様にとってより良いものにすることができます。それがこのプログラムの真の目標です。
そのデータを獲得すれば、プログラム全体でどのトピックがお客様の共感を呼んでいるかをグローバルに確認できるだけでなく、さまざまな業種や地域でどのトピックが共感を呼んでいるかをよりよく理解することもできます。そして、それらの情報に基づいて、1 つのトピックをめぐってバーチャルイベントのスケジュールを立てます。そうするのは、人々がオンラインで 1 時間または 90 分以上画面を見つめたくないのはわかっているからです。
対面式の CISO サークルイベントで期待できること
Danielle Ruderman (04:41):
対面式のイベントでは、規模を拡大する機会があるので、半日から丸 1 日のコンテンツまで作成することができます。お客様の共感を呼び起こすトピックに目を向け、その中からいくつかを選択できます。私たちがしていることは、1 つのトピックについて最低 1 時間話し合う時間を確保することです。
そのため、通常は、ディスカッションが始まるとき、特定のトピックに関する AWS の専門家を招き、そこでステージを設定して、参加者とのオープンなディスカッションに用いられます。この形式では、非常に活発で積極的なディスカッションが行われました。もう 1 つ非常に人気があるのは、パネルディスカッションを行うことです。AWS とお客様リーダーが混在するパネルディスカッションを行うこともあります。
Clarke Rodgers (05:19):
ああ、すごいですね。
Danielle Ruderman (05:20):
または、特定のトピックについてお客様全体を対象にするパネルディスカッションを行うこともあります。これもまた、同僚が CISO に直接意見を出したり、異議を唱えたり、質問を提出したりして、非常にオープンな対話を促すのに役立ちます。
Clarke Rodgers (05:30):
これらの CISO サークルはどのように分けられますか? 金融サービスやリテールなどの分野におけるすべての CISO が一緒になったり、それともリージョンごとに混同したりするのでしょうか?
2023 年に対面式の
CISO サークルが行われた地域:
Danielle Ruderman (05:20):
実際に、当社は上記のすべてを行います。そして、時間が経つにつれて、さまざまな業種に特化するようになりました。その例として、実はエネルギー部門でいくつかの CISO サークルを開催しました。当社は自動車業界、金融サービスなどの分野に傾いているので、今後そのようなイベントがさらに増えると思います。
業界の分野はそれぞれですが、問題の多くは非常に似ています。それは、このような混合コホートグループで成功を収められた理由の 1 つです。ただし、一部の業界では状況は違います。先ほど紹介したエネルギー部門を例としましょう。最近、エネルギーに関する CISO サークルをいくつか開催しましたが、予想通り、重要なインフラストラクチャーにかかわるトピックが出てきます。そのため、AWS には、これらの課題の一部をどのように解決しているかを説明できる説明者と、それらの特定の問題に真摯に取り組む他の専門家がいることを確保するのは非常に役に立ちました。つまり、ランサムウェアとアイデンティティなどに関する懸念のような一般的なテーマはどの業界でも同じですが、当社が対処できる業界の中には、このような非常に特殊なニュアンスもあります。
さまざまな業界が互いに学び合ったり、同じことをしている人と話をしようとしたりするのは素晴らしいことですので、そのような組み合わせは素敵だと思います。そして、さまざまな業界の間、そして規模が異なるお客様の間に、数多くの交流も見られました。誰にとっても、何か新しいことや予想外のことを学ぶ絶好の機会です。
Clarke Rodgers (06:54):
セキュリティ組織の他の部门、例えばセキュリティエンジニアやセキュリティ開発者のために何をしましたか?
CISO サークルに参加するには、CISO になる必要がありますか?
Danielle Ruderman (07:02):
それは素晴らしい質問です。CISO たちはこのプログラムをとても楽しんで、実際に「わあ、私のチームにこのような体験をしてもらいたい」と言いました。そこで、非常によく似たフォーマットで作成された「セキュリティビルダーサークル」というシスタープログラムが誕生しました。繰り返しになりますが、私たちは NDA を設け、チャタムハウスルールに従い、これらのトピックについて互いに話し合う同じ機会を CISO の元にいるセキュリティリーダーに提供したいと考えています。
そのようなサークルには、技術やサービスの分野にもっと深く掘り下げようとします。これにより、セキュリティリーダーがサービスを実施し、課題を解決する方法、AWS に存在する難点、およびそれを改善する方法を理解する機会を得ることができました。繰り返しになりますが、これはお客様と学び合うもう 1 つの機会であり、私たちにとっては、お客様から学び、お客様の需要を満たせる機会でもあります。
Clarke Rodgers (07:49):
他のセキュリティまたはコンプライアンスの担当者には、今後予定されていることはありますか?
CISO サークルプログラムは今後、どのように進化すると思いますか?
Danielle Ruderman (07:54):
はい。このプログラムの成功を踏まえて、お客様をサポートする他の方法に目を向けています。やろうとしていることの 1 つは、リスクとコンプライアンススペースの拡大です。
そこで、特にガバナンス、リスク、コンプライアンスなどの分野に焦点を当てたサークルを開催する予定があります。そうすれば、内容領域専門家と経営幹部が再び集い、彼らにとって本当に重要な問題に焦点を当てることができます。他に注目しているのは新人リーダー、つまり意欲が高い CISO です。
CISO のチームには、「どうすればその役職に就くことができるのか?」と考えている副 CISO やその他の上級リーダーを設置しています。 彼らをサポートし、コホートとして集めるには、私たちにできることはまだたくさんあります。将来に役割を果たすために、彼らはどのように学んで準備しますか? セキュリティには非常に重要です。常に将来のリーダーを育てる必要があります。
それから、セキュリティに関するサークルにも女性の CISO、リーダーを目指す女性など、女性についてのディスカッションをしました。その目的は、このような環境でこれらのコホートを集めることです。
近くの CISO サークルに参加するにはどうすればいいですか?
Clarke Rodgers (08:47):
仮に私がお客様で、CISO サークルについてもっと知りたいと思っていますが、どうすればいいでしょうか?
Danielle Ruderman (08:54):
担当のアカウントマネージャーに連絡することをお勧めします。アカウントマネージャーは、地域内、または業界内にコホートがあるかどうかを調べて、いつ開催されるかに関するスケジュールを伝えることができます。近くにコホートがないという場合は、コホートを作成することについてお話ししたいと思います。
Danielle Ruderman
AWS Worldwide Security Specialists、Senior Manager
Danielle Ruderman は、AWS Worldwide Security Specialist 部門の Senior Manager であり、グローバルセキュリティスペシャリストのチームを率いています。Danielle は 2016 年から AWS に在籍しています。彼女の技術キャリアは 20 年以上にわたり、大企業、スタートアップと政府機関で活躍してきました。現在、Danielle は、セキュリティ管理を強化する組織文化の構築方法に関するディスカッションに夢中し、「正しいことを簡単にする」システムやメカニズムのデザインして、セキュリティをビジネスには不可欠な要素にします。
Clarke Rodgers
AWS Enterprise Strategy、Director
Clarke は、セキュリティの詳しい専門知識を持つ Director of AWS Enterprise Strategy として、クラウドがセキュリティをどのように変えることができるかを経営幹部が探求するのをサポートし、適切なエンタープライズソリューションを見つけるために情熱を込めて尽力しています。Clarke は 2016 年に AWS に入社しましたが、彼はチームの一員になる前から AWS セキュリティの利点に関する経験をしてきました。多国籍生命再保険プロバイダーの CISO として、戦略部門を AWS へ全面的に移行する過程を監督しました。
詳細情報をリクエスト
CISO サークルプログラムに関する詳細情報をご希望ですか? こちらのフォームに記入して、関心のある事柄についてお知らせください。AWS のチームがお客様に連絡して質問にお答えし、お客様の地域に最も近い CISO サークルグループをご紹介します。