AI の時代において、サイバーセキュリティはあらゆる業界のビジネスリーダーにとって最上位の戦略的優先事項となりました。その結果、最高情報セキュリティ責任者 (CISO) の役割は、さらに重要かつ多面的になりました。AWS CISO の Chris Betz へのインタビューでは、CISO の役割がどのように進化しているかについての詳細をお届けします。
このインタビューの一部は音声形式でもお聴きいただけます。お好みのプレーヤーのアイコンをクリックすると、ポッドキャストを再生できます。「AWS のリーダーとの対話」のポッドキャストをサブスクライブして、エピソードを聴き逃さないようにしましょう。
これまでセキュリティ組織はイノベーションの妨げと見なされることがありましたが、Chris は信頼できるセキュリティメカニズムを介して、より大きなイノベーションを可能にするセキュリティ組織を提唱しています。AWS Enterprise Strategy の Director を務める Clarke Rodgers が Chris とのインタビューのホストを務めます。2 人の会話の詳細を以下に紹介します。Chris の関連動画「より優れた CISO になる方法: 成功するセキュリティリーダーシップに関する考察」もお見逃しなく。
CISO として AWS に参加した Chris Betz
Clarke Rodgers (00:07):
今回のゲストは AWS の Chief Information Security Officer の Chris Betz です。今日はご参加いただきありがとうございます。
Chris Betz (00:11):
よろしくお願いします。お招きいただき、光栄に思います。
Clarke Rodgers (00:13):
まず、AWS CISO として、Capital One から AWS に移籍したきっかけはどのようなものでしたか。 エグゼクティブとしての豊富な経験があれば、どの企業からも歓迎されたと思いますが、AWS を選んだ理由は何ですか。
Chris Betz (00:25):
Capital One で何年か過ごした中で気づいたのは、私たちの事業が AWS のセキュリティに大きく依存しているということでした。ご存知のように、Capital One はすべてをクラウドに移行し、データセンターを閉鎖しました。Capital One での経験で AWS とのセキュリティ業務の連携をきっかけに、私たちが提供するテクノロジーが、多くの企業の信頼やセキュリティにとってどれほど重要であるかを実感しました。
率直に言って、AWS に頼り AWS を信頼していた立場から、世界中の多くの企業と多くの人々がセキュリティの面で信頼する AWS のシステムの一員になるのは、信じられないほどエキサイティングです。先ほど、「どの企業からも歓迎されたと思う」と言っていただきましたが、 考え方を変えれは、AWS のセキュリティチームの一員になることができるというのは、セキュリティキャリアにおいて絶対的な頂点ではないでしょうか。
Clarke Rodgers (01:31):
すばらしいと思います。AWS の顧客だった頃は明確ではなかったけれど、AWS で働くようになり注意するようになったようなことはありますか。 現在は、AWS という壁の中でセキュリティの責任者を務めていらっしゃいますが、ご自身にとって何か変わったことはありますか。 また、従業員になり、どのようなことを学びましたか。
AWS のセキュリティ文化で特筆すべきこと
Chris Betz (01:49):
会話に耳を傾けるというのが 1 つです。これまで、セキュリティがジョブゼロと位置づけられる AWS の最優先事項であるという話を何度も耳にしました。毎週開催されるセキュリティミーティングに関する話も聞いたことがあります。私の前任者が最も頻繁に口にした話に、AWS の CEO が毎週 AWS のリーダー全員と膝を突き合せて、注力すべき主要なセキュリティ事項、つまり改善が必要な分野について話し合っているというものがありました。
このような話を聴くことはありましたが、実際に話をするということは、また別物です。ビジネスパートナーやテクノロジーパートナーから「私たちの動きは十分に迅速か」と問われるのです。 さらに、「私たちは水準を十分に引き上げているのか。 脅威の先手を打っているのか。 攻撃者をどこで発見できるか」という質問が続きます。 そして、パートナーの方々には、セキュリティを前進させるという点で私たちのチームと同じレベルでのリーダーとして機能してもらいます。それは楽しい経験であり、いくぶんユニークでもあります。
Clarke Rodgers (02:55):
すばらしいと思います。そして、もちろん、ご自身もセキュリティ文化を吸収していらっしゃる最中と思います。CEO と CISO のミーティングのメカニズムについて話していただきましたが、それは社内のいたるところに浸透していますね。
Chris Betz (03:05):
そうですね。私はセキュリティに携わっているので、すべての会話は、ある程度セキュリティに関するものになりますが、セキュリティのトピック以外のミーティングに参加するのもすばらしい体験です。シニアリーダーとして、私が AWS を高く評価していることは、セキュリティに特化していないミーティングでもセキュリティが話題に上ることです。そうした会話に参加して、他の人たちにセキュリティについて質問してもらい、「どうすればもっとうまくやれるのか」を考えてもらうことができるのです。 仰ったように、社内に浸透しているその文化は非常に重要です。
Clarke Rodgers (03:36):
そうですね、それでは、少し話を変えて、セキュリティプログラムの実行について伺わせてください。セキュリティプログラムの有効性を実証するために使用する主要な指標や測定値にはどのようなものがありますか。 AWS だけでなく、以前の経験も踏まえて教えていただけますか。
セキュリティプログラムの有効性を測定するための KPI
Chris Betz (03:56):
良い質問ですね。そのような質問では、皆さんは私が具体的な指標や測定値などにに踏み込むことを期待されているようです。セキュリティでの事象を説明するのに役立つ指標や測定値は確かに多く存在します。しかし、私が本当に重要な指標と思うのは、ビジネス組織とテクノロジー組織がプログラムの達成を可能にする要因としてセキュリティをどのようにとらえているか、そしてセキュリティプログラムにおいてビジネスとテクノロジープロバイダーに簡単な方法でセキュリティを提供することがどのようにとらえられているかという点です。
この 2 つを組み合わせた場合、ビジネスプロバイダーとテクノロジープロバイダーは、セキュリティは実現要因であり、不可欠な要素であるように感じます。セキュリティチームは、自身の役割がリスクを排除することやリスクの責任を負うことではなく、企業の課題となるビジネス目標を安全な方法で実現することだと考えるようになります。私にとって、セキュリティをビジネスオペレーションの効果的な部分にするという点において、このようなシナジー、態度、アプローチが企業の成功における最も重要な指標です。
Clarke Rodgers (05:21):
先ほど、セキュリティがメインのトピックでないミーティングに参加されていると仰いましたが、そこに参加するということで「セキュリティは重要事項であり、セキュリティ担当者が参加すべきである」ということを示されているのかと思います。
Chris Betz (05:32):
そうですね。課題のある程度の部分として挙げられるのは、私たちの世代はセキュリティがテクノロジーから発生した世界で育ちましたが、最近では、セキュリティリーダーには、ビジネスリーダーとしてビジネスに寄り添い、会話に参加し、ビジネスにとってリスクが何を意味するのか、ビジネスにとってどのようなリスクがあるのか、そしてセキュリティを確保し、ビジネスの成功を管理しながら他のリスクを管理するにはどうすればよいのかを理解することが求められているという点です。このことは、多くのセキュリティリーダーにとってますます重要になっていると思います。
Clarke Rodgers (06:07):
その点を踏まえて次の質問に移りたいと思います。ご自身も同様の経験をされていると思いますが、私自身、リスクを取締役会に最も効果的に報告する方法を知りたいと考えているお客様の声を聞く機会が少なくありません。取締役会にサイバーリスクを報告する際の方法や考え方について、何かヒントやガイダンスはありますか。
セキュリティに関するレポートを作成する際にビジネスの信頼を獲得する方法
Chris Betz (06:30):
非常に良い質問ですが、正直なところ、すべての企業に適用できるような普遍的な方法はありません。その理由は、リスクについては、ビジネスのコンテキストで話すことが重要だからです。取締役会に報告するときは、取締役会のメンバーがどのようなリーダーで、何を専門としているのかを理解することが非常に重要です。
AWS の取締役会には、ビジネスのさまざまな側面だけでなく、テクノロジーの多くの側面に非常に深い知識を持つメンバーが揃っています。そのため、小売などの特定の業種のエキスパートだけがメンバーである取締役会の場合とは大きく異なります。その場合は、異なるアプローチや別の知識が必要になります。
ビジネスリーダーとしての CISO についての話に戻りますが、最も重要なことは、ビジネスのコンテキストにおけるセキュリティを理解することです。
Clarke Rodgers (07:32):
そのような形で報告するのですね。
Chris Betz (07:33):
セキュリティがビジネスにどのように影響するかという観点から報告します。私たちはセキュリティリーダーとして多く業務に携わっていますが、私はそれを主に 4 つの分野に分けて考えています。ビジネスにおける私たちの仕事は、ビジネスにとって「良い」とされるのは何かという基準を確立することです。まず、リスク許容度はどれくらいかと把握すること。 次に、何を達成したいのかを明確にすること。 そして、真実と透明性の元となることがセキュリティリーダーとしての私たちの仕事です。「これが今日のパフォーマンスです」と示す必要があります。 そして、そこからメトリクスに関する会話が始まります。
Clarke Rodgers (08:08):
私たちはお客様からの信頼を獲得していますが、ビジネスパートナーの信頼も得る必要があります。
Chris Betz (08:11):
私たちが獲得しなければならないのはビジネスの信頼です。これが 3 つ目のポイントです。これはさらに重要なことですが、透明性の元になるだけではだめです。問題を指摘するだけでは不十分です。セキュリティリーダーである私たちは、企業がセキュリティリスクを効果的かつ効率的に軽減する方法を提供するソリューションプロバイダーである必要があります。そのようなソリューションを提供し、その方法を考えることが私たちの仕事です。
問題を指摘するだけでは不十分です。セキュリティリーダーである私たちは、企業がセキュリティリスクを効果的かつ効率的に軽減する方法を提供するソリューションプロバイダーである必要があります」
そして最後となる 4 つ目のポイントは、アカウンタビリティのソースとなること、セキュリティを確保すること、取締役会に対して透明性を維持すること、設定した基準をどのように達成しているかについてビジネスのアカウンタビリティを負うことも私たちの仕事であるということです。私たちにはさまざまな役割がありますが、この分野で最も成功していると思えるビジネス、つまりセキュリティリーダーは、「達成すべき目標を設定して、それにどれだけ近づいたか」ということに留まらず、本当に思慮深い方法でビジネスがそこに到達できるようにすることに重点を置いています。
Clarke Rodgers (09:13):
今日は貴重な話をありがとうございました。
Chris Betz (09:15):
すばらしい時間でした。お招きいただき、ありがとうございました。
リーダーについて
Chris Betz
AWS、Chief Information Security Officer
2023 年に AWS に入社した Chris Betz は、リスクを管理し、会社のセキュリティ体制をビジネス目標に合ったものとすることを目的として、セキュリティポリシーの策定と運用を主導しています。Chris はこれまで、Apple、Capital One、Microsoft、National Security Agency でセキュリティのリーダーとしての役割を果たしてきました。Chris はまた、U.S.Air Force Academy の卒業生でもあります。
Clarke Rodgers
AWS Enterprise Strategy、Director
Clarke は、セキュリティの詳しい専門知識を持つ Director of AWS Enterprise Strategy として、クラウドがセキュリティをどのように変えることができるかを経営幹部が探求するのをサポートし、適切なエンタープライズソリューションを見つけるために情熱を込めて尽力しています。Clarke は 2016 年に AWS に入社しましたが、彼はチームの一員になる前から AWS セキュリティの利点に関する経験をしてきました。多国籍生命再保険プロバイダーの CISO として、戦略部門を AWS へ全面的に移行する過程を監督しました。