📖

re:Invent 2024: AWSがEQを活用したセキュリティリーダーシップを解説

2024/01/01に公開

はじめに

海外の様々な講演を日本語記事に書き起こすことで、隠れた良質な情報をもっと身近なものに。そんなコンセプトで進める本企画で今回取り上げるプレゼンテーションはこちら!

📖 AWS re:Invent 2024 - Emotionally intelligent security leadership to drive business impact (SEC218)

この動画では、AWSのWorldwide Head of EPIC, Innovation and Transformation ProgramsのRich Huaらが、セキュリティリーダーシップにおけるEmotional Intelligence(EQ)の重要性について解説しています。セキュリティ実務者の13%しか共感性を重要なスキルと認識していない現状に対し、Security Guardiansプログラムの導入によって中程度から高度な重要度の指摘事項が22.5%減少し、レビュー完了時間が26.9%短縮された具体例を示しながら、EQスキルがセキュリティ成果の向上に直結することを説明しています。Box Breathingなどの実践的なテクニックや、Mission of Discoveryを活用したステークホルダーとの関係構築方法など、すぐに実践できる手法も紹介されています。
https://www.youtube.com/watch?v=EisQOFWsSdU
※ 動画から自動生成した記事になります。誤字脱字や誤った内容が記載される可能性がありますので、正確な情報は動画本編をご覧ください。
※ 画像をクリックすると、動画中の該当シーンに遷移します。

re:Invent 2024関連の書き起こし記事については、こちらのSpreadsheet に情報をまとめています。合わせてご確認ください!

本編

Emotional Intelligence in Security Leadershipの重要性

Thumbnail 0

本日は皆様にお集まりいただき、誠にありがとうございます。本セッション「Emotionally Intelligent Security Leadership to Drive Business Impact」へようこそ。Security LeadershipにEmotional Intelligenceが何の関係があるのかと思われるかもしれませんが、これから1時間かけてご説明させていただきます。私はRich Huaで、AWSのWorldwide Head of EPIC, Innovation and Transformation Programsを務めています。本日は素晴らしい同僚たちと共に登壇させていただきます。自己紹介をお願いできますか?皆様、こんにちは。Sarah Curreyです。AWS Global Services SecurityのOrganization Excellence Leaderを務めています。本日はお越しいただき、ありがとうございます。皆様、こんにちは。Hart Rossmanです。Global Services Securityを担当しており、また今週立ち上げたばかりのAWS Security Incident Response Serviceも担当しています。

Thumbnail 60

本日のアジェンダをご説明させていただきます。まず、SecurityにおけるEmotional Intelligenceの重要性について説明し、EQスキルを活用してSecurity Leadershipを向上させるためのベストプラクティスをご紹介します。次に、Emotional Intelligence Security Workshopがリーダーたちの効果的な活動にどのような影響を与えたのか、ケーススタディを見ていきます。最後に、皆様のさらなる成長のためのリソースをご紹介します。これは皆様のEQの旅の始まりに過ぎませんが、この先も継続していただけるよう、お役立ていただければと思います。

セキュリティリーダーが直面する課題とEmotional Intelligenceの関連性

Thumbnail 90

Thumbnail 110

Thumbnail 120

まずは簡単なアンケートから始めたいと思います。現在Securityのリーダーまたは実務者として、以下の課題に直面している方は手を挙げていただけますでしょうか。複数回答可能です。 まず、対立的な議論やディベートの際のストレスコントロールについて、いかがでしょうか?かなりの方が手を挙げていただきましたね。次はどうでしょう?感情が高ぶっている場面、特に他者の感情が高まっている状況での場のマネジメントについて。 3つ目は、ステークホルダーにSecurityの成果を理解し、価値を認めてもらうことについて。こちらは多くの方が素早く手を挙げていただきましたね。この点については必ずお話しさせていただきます。

Thumbnail 130

Thumbnail 140

次に、他者にSecurityの推進者になってもらうこと、つまり組織全体、会社全体、そして自分のチーム全体がそうなれるよう促すことについて。 最後に、共感を通じて真摯につながることについて、これを課題と感じている方はいらっしゃいますか?こちらもかなりの方が手を挙げていただきましたね。少なくとも1つは当てはまる方がほとんどで、実際には複数の課題を抱えている方が多いようです。そしてこれこそが、私たちがEmotional Intelligenceについて話す理由なのです。

Thumbnail 160

Emotional Intelligenceのフレームワークには主に4つの要素があり、先ほど挙げた課題すべてに対応しています。1つ目は自己認識(Self-awareness)で、自分の感情状態や他者への印象を理解することです。2つ目は自己管理(Self-management)で、生産的な方法で自分をコントロールすることです。そして社会的能力に移り、3つ目は他者が何を感じ、考えているかを理解する社会的認識(Social awareness)、つまり共感力です。最後は関係性管理(Relationship management)で、他者との関係を生産的に構築し、ビジネスにおいて共通の成果を生み出せるよう影響を与える方法を知ることです。

Thumbnail 200

Googleで感情知性プログラムを立ち上げ、ニューヨークタイムズのベストセラー作家でもあるChade-Meng Tanの言葉が大好きです。彼は、Emotional Intelligenceを高めることの目的は、自分自身を最適化し、現在の能力以上のレベルで機能できるようになることだと言っています。皆さんに伺いたいのですが、今の自分以上のレベルで機能できるようになりたいと思う方はどれくらいいらっしゃいますか?きっと全員が手を挙げられたのではないでしょうか。

セキュリティにおけるEmotional Intelligenceの重要性とAWSの取り組み

Thumbnail 230

Thumbnail 250

では、なぜセキュリティにおいてEQが重要なのでしょうか?Sarah、この点について話していただけますか? はい、喜んで。私たちは様々なEmotional Intelligenceのワークショップを通じて、セキュリティとの重要な関連性や補完的な側面を見出しました。簡単に言えば、Emotional Intelligenceが低いと、セキュリティの成果が最適なレベルに達しないということです。 これは私の主観ではなく、実際にデータで裏付けられています。Emotional Intelligenceとセキュリティに関する最近の調査によると、セキュリティ実務者のわずか13%しか共感性を重要なスキルとして認識していないことが分かっています。これは驚くべき低さです。なぜなら、私たちセキュリティ実務者は、より良いシステムを構築するだけでなく、人々と協力して働き、より良いチームを作り、組織全体にセキュリティ文化を根付かせることを目指しているからです。また、仕事関連のストレスが原因で、約50%のサイバーセキュリティリーダーが組織を去ろうとしています。これは、個人の能力としてのEmotional Intelligence、つまり自分の感情への気づきと、後ほどお話しする戦術を使ってそれらを管理する能力に大きく関係しています。さらに別の側面として、ビジネスステークホルダーとの関係において、セキュリティの成果をビジネスニーズに結びつけることについて、多くの方が手を挙げられましたが、実際にCISOの62%が、インシデント対応時間の短縮や効果的な対策の実施において、コミュニケーション不足が主要な課題だと認識しています。

これらは、より良いセキュリティ態勢を確立し、私たちのチームと組織を強化して、お客様の安全を確保するための重要な要素です。

Thumbnail 330

AIや新興技術が台頭するこの刺激的な時代において、Emotional Intelligenceと柔軟性は、リーダーに求められる上位3つのスキルに含まれています。セキュリティの実務者やリーダーとして、これらのスキルは複雑に変化するサイバーセキュリティの状況により良く適応するのに役立ちます。MotorolaとInstitute for Health of Human Potentialが実施した研究では、社員にストレス管理トレーニングとEQトレーニングを提供することで、生産性が93%向上したことが分かっています。これは誤植ではありません。

Thumbnail 390

これらの側面は、私たち全員が目指している、より良いセキュリティ文化の創造に具体的に関連しています。人々が安心してエスケーレーションできる非難のない文化を作り、創造性を活かしてイノベーションを起こせるよう、共感性を重視し、彼らのアイデアを引き上げ、増幅させることが大切です。自己認識と自己管理は、自身の仕事の満足度を高め、リーダーとして、セキュリティを推進する他者にも伝染するような活力を生み出すとともに、インクルージョンと公平性の向上、そしてセキュリティへの投資を増やすためのコミュニケーションの改善にも役立ちます。

AWSでは、技術的なスキルだけでなく、Emotional Intelligenceが重要だと認識しています。実際、私たちは自社で実践しており、Emotional Intelligenceワークショップを実施しています。このワークショップの進め方についてRichに話してもらいたいと思います。このセッションでは、ワークショップで実施している事例をいくつか紹介しますので、皆さんやご所属の組織で活用していただければと思います。

EPICプログラムとセルフマネジメントスキルの向上

Thumbnail 470

Thumbnail 480

ありがとうございます、Sarah。EPIC Securityワークショップについてお話しさせていただきます。EPICは、リーダーたちが共感性、目的意識、インスピレーション、そしてつながりを持ってリードできるよう、感情面やソーシャルスキルを向上させるプログラムです。 このプログラムは数年前に開始して以来、社内外で約50万人のリーダーに参加いただいています。Amazon社内で約40万人、お客様を含む社外で約10万人です。生産性、創造性、イノベーション、健康、幸福度、成功率の定量的な向上が見られ、最終的にはセキュリティ実務者がより安全な環境を作るのに役立っています。

Thumbnail 520

Emotional IntelligenceとSocial Intelligenceのスキルを高めることで、人としてのパフォーマンスが多方面で向上します。AIが多くのことを担うようになっても、コミュニケーション、影響力、共感性といった人間らしい側面は、実際の人間が担う必要があります。これには自己認識、ストレス管理、共感性とソーシャルアウェアネスが含まれ、これらは他者への影響力、インスピレーショナルリーダーシップ、建設的な対立、対人関係の基礎となります。ストレス管理に関して私がよく考えるのは、適度なストレス量が必要だということです。多すぎても少なすぎてもいけません。皆さんに手を挙げていただきたいのですが、「昨日はストレスが足りなかった、今日の仕事はもっとストレスフルであってほしい」と思って目覚めた方はいらっしゃいますか?おそらくそういう経験はあまりないでしょう。Emotional Intelligenceの実践者として、ストレス管理とその軽減は私たちが開発したい重要なスキルの一つです。

Thumbnail 600

RichとSarah、ありがとうございます。では、セルフマネジメントに必要なことについてお話ししましょう。

Thumbnail 610

基礎となるのはセルフマネジメントのスキルです。 まず重要なのは、自分自身の状態を確認することです。研究によると、ほとんどの大人が言える感情の名前は約10個だそうです。皆さんも、どれだけの感情の名前を言えるか数えてみてください。「うれしい」「悲しい」「楽しい」など。ほとんどの人は10個程度で、それ以上言える人はわずかです。映画「インサイド・ヘッド」のキャラクターたちは、良い出発点になりますね。まずは自分の感情状態を認識することから始め、その後で選択をします。その感情状態のままでいるのか、それとも新しい状態に移行するのか、という選択です。

リーダーとして、この自己認識は非常に重要です。あなたが大丈夫だと思っているときに、誰かから「大丈夫?」と尋ねられた経験を考えてみてください。おそらく、あなたの表情や姿勢、歩き方が何か違うものを示していたのでしょう。もし他人があなた自身も気づいていない何かを察知していたとすれば、その相互作用で適切な結果を導くリーダーとして、不利な立場に立たされることになります。まずは自分自身の状態を確認し、その状態を維持するか、変える必要があるかを判断することから始めましょう。

Thumbnail 720

自己管理には、戦略的なものと戦術的なものの両方のアプローチがあります。戦略的な観点からは、まずあなたの考え方から始める必要があります。研究によって、ポジティブな精神状態が結果に劇的な影響を与えることが一貫して示されています。私が長年情熱を注いできた野外生存や捜索救助の分野では、ポジティブな精神態度が、安全で成功的な結果を確実にするための最も重要なツールとして常に挙げられています。ポジティブさを育み、それを実践する機会を見つけることは、最も必要なときに活かせるようになるまでに時間がかかります。

私はよく、誰かが困難な状況を提示する職場での会話を振り返ることがあります。セキュリティ担当者が「それはできません」や「ポリシーに反します」と応答すると、その時点で会話は終わってしまいます。しかし、「あなたの状況はよく分かります。確かに難しい問題ですが、十分に検討すれば前に進む方法が見つかるはずです」と言うと、全員が参加して解決策を見出そうとします。このようなポジティブさを育むことは、重要な戦略的スキルなのです。

Thumbnail 810

次の戦略的スキルは、プロフェッショナルとしては当たり前のことですが、しばしば見過ごされがちなのが、友人とのつながりを持つことです。深い意味のある友情を、私生活でも職場でも持つことは、仕事の長期的な継続性の良い指標になるだけでなく、エネルギー、生産性、モチベーションにも影響を与えることが、研究で一貫して示されています。誰もが友人を助けたいと思い、友人の成功を見たいと願っています。困難な状況に直面したとき、励ましが必要な時もあれば、具体的なサポートが必要な時もありますが、そんなとき友人を頼りにするのです。同じスキルセットを持つ見知らぬ人よりも、知っている人に連絡を取る可能性の方が高いでしょう。

Thumbnail 900

これは実践的なスキルです - 友人が必要になってから関係を築き始めるのでは遅すぎます。そこで、会場の皆さんも、後でオンラインでご覧の方も、最初の宿題をお出しします:友人に連絡を取ってみてください。テキストメッセージでも、電話でも、コーヒーや紅茶を飲みながら、あるいは野球観戦でもいいでしょう。重要なのは、友人と一緒に楽しめることをすることで、表面的な付き合いに留めないことです。あなたにとって大切な人々と時間を過ごしてください。そうすれば、この基盤の上に様々な戦術的スキルを築いていくことができます。

実践的なEmotional Intelligenceスキル:マインドフルな呼吸法とReframing

このような基盤の上に、セルフマネジメントに関する様々な実践的スキルを構築することができます。今日は、その1つを実際に練習してみましょう。それは、マインドフルな呼吸法です。ヨガや特定のスポーツを実践している方、法執行機関や軍隊にいた方は、この手法を経験したことがあるかもしれません。これは、自分でコントロールできる身体的な動作と、精神状態、そして精神状態の変化に対する身体の反応を結びつける方法です。とてもシンプルなスキルで、今日はこれを練習してみます。

Thumbnail 950

Thumbnail 960

この呼吸法の目的は、ストレスを軽減し、前向きな気持ちを高めるために、コルチゾールを下げてオキシトシンを上げることです。また、生理学的にも長期的な効果があります。では、皆さんと一緒に1分間やってみましょう。基本的な方法はこうです:4カウントで息を吸い、4カウント止め、4カウントで吐き出し、また4カウント止めます。箱のような形になります - 吸って、止めて、吐いて、止める。時間の長さはそれほど重要ではありません - 4カウントで吸って8カウントで吐く人もいます。大切なのは、リズムと、ある程度の時間続けることです。

ストレスの多い状況で、その場で立ち止まって全員で1分間呼吸するべきかと疑問に思うかもしれません。それはストレスの性質によります。銃弾が飛び交う状況では1分間の呼吸は適切ではないかもしれませんが、ビジネスミーティングであれば問題ないでしょう。ただし、この技術を練習していると、1分もかからなくなります - 1サイクル完了するのに文字通り8秒で済み、体の生理的な反応が引き起こされて、すぐに効果が現れます。

では、皆さん準備はいいですか?目を閉じた方が落ち着く方は目を閉じてください。あと数秒待って...準備OK。4カウントで息を吸って、4カウントで吐き出して、止めて、また吸って...皆さん、この禅の瞬間はいかがでしたか?少しよくなりましたか?悪くなった方もいるかもしれません - そうでないことを願いますが。これは本当に素晴らしいテクニックで、練習して、必要な時に使えば、すぐに効果が得られます。

Thumbnail 1120

他にも実践的に使える優れたテクニックがあります。感情をコントロールするためのReframingという考え方は非常に強力です。私はこれを、特定の感情や状況に文脈を加えたり、状況や会話の基盤となる文脈を意図的に変更したりすることだと考えています。何かを再解釈して、状況から脅威を取り除くところから始めるかもしれません。また、不安や心配、プレッシャーを感じる状況を、素晴らしい仲間とともにこの問題を解決できる機会に感謝する気持ちに変えていく、というような再配置も可能です。

優先順位や順序について考え、その状況からの距離感を考えてみましょう。この決定は10分後、10週間後、10ヶ月後にどれほど重要なのでしょうか?時間軸や優先順位の文脈で少し異なる視点から捉えてみましょう。そうすることで状況を平常化できます。平常化はリーダーとして非常に強力なスキルです。自分自身や周りの人々の現状を把握し、それを言葉にすることで、「私もこのことを心配していますが、私たちは皆同じ立場にいて、一緒に前に進む方法を見つけていきましょう」というように伝えることができます。

この姿勢は、解決を急ぐあまり「なぜまだ解決していないのか?」と言って部屋に入っていくのとは全く異なります。自分の感情を平常化し、状況を平常化し、人々が「私も同じように感じています」とか「私もあなたと同じ問題を同じように認識していて、一緒に前に進みましょう」と言えるような場を作ることが大切です。私がよく投げかける質問の一つは、「前に進むため、あるいは変化を起こすために、何が必要なのでしょうか?」というものです。このように、前に進むためにコンテキストをどのように変える必要があるのかを確認します。

Thumbnail 1260

自分自身と team のために状況を reframe する、この機会を活用することは、求めているセキュリティの成果を得るために必要なことの本質に迫るための、非常に強力なツールであり手法です。 最初の reinterpreting のポイントについて、世界中のリーダーたちと会う中で私が頻繁に遭遇したことが2つあります。1つは、特に AI に関連する技術環境の急速な変化です。多くの人々が課題を感じ、必要なスキルセットを持っていないと感じています。「私にはこれができない」とか「失敗するだろう」と言う代わりに、「まだ」という言葉を加えてみましょう。「私にはこれがまだできない」。これは実は Stanford の Carol Dweck による、非常に強力な Growth Mindset のテクニックです。

Thumbnail 1340

もう1つは、positive intent を前提とするという社会的スキルです。私たちはこれを少しオタク的ですが、かっこいい言い方で「Human API」と呼んでいます。他の人々とつながる時、positive intent を前提にすれば、良い結果が得られる可能性が高くなります。positive intent を前提とし、自分自身も positive intent を持ち、たとえ意見が合わなくても、その視点から接することで、否定的な前提を持つよりも、何らかの合意に達する可能性が高まります。 ここに表示されているスライドは、組織内でのエスカレーションに関するポジティブな強化を高めるために、私たちが作成した flywheel です。

ビジネスパートナーとの効果的なコミュニケーション戦略

Associate Security Consultant として働き始めた頃、私はミスを犯してエスカレーションの電話会議に参加しなければならなくなり、そこに参加したリーダーが Hart でした。私は圧倒され、悲しくて泣いていました。以前の組織では、ミスやエスカレーションに対して非常に厳しい対応をされていたため、解雇されると思いました。他の参加者も緊張した感情を抱えている中で電話会議に参加しましたが、Hart は先ほどの Social API である positive intent の前提に基づいて、「Sarah、エスカレーションしてくれてありがとう。一緒に解決していきましょう」と言ってくれたのです。

過去5年間、私自身もリーダーシップのポジションに成長してきました。現在、エスカレーションコールに参加する際、私が部屋のリーダーとして、まず他の人々に感謝し、ポジティブな意図を前提とするようにしています。これは、人々が何の悪影響も恐れることなくエスカレーションして助けを求められるという、セキュリティの文化とフライホイールを生み出すのに本当に役立ちます。ポジティブな意図を前提とし、それを実践するツールを持つことは小さなことです。この場合、文字通り誰かに感謝することです。誤解のないように言いますが、ミスを犯したことに感謝しているわけではありません。問題を認め、解決に向けて最初の一歩を踏み出したことに感謝しているのです。これにより、人々は正しいことを行う力を得られます。

Thumbnail 1500

では、Mission of Discoveryについて話しましょう。 先ほど、セキュリティのニーズをビジネスの成果に変換できるという方々が手を挙げていましたが、もう一度手を挙げていただけますでしょうか。

セキュリティポリシーやコントロールについて、常に同じことを繰り返し説明している気がしたことはありませんか?たくさんの手が挙がっていますね。「これを何百回も説明してきたのに、また同じ人に説明しなければならないの?」とエネルギーを失ったことはありませんか?先ほどの再フレーミングに戻って、他の人々にセキュリティのニーズをより良く伝えることについて考えてみましょう - 彼らの目標は何か、価値観は何か、課題は何か。

Thumbnail 1550

これらのワークショップで実際に行っているのが、Mission of Discoveryと呼ばれるものです。 これらのワークショップはインタラクティブです。インシデントレスポンスと同様のロールプレイやシミュレーションを行います。なぜなら、その場で練習したくはないからです。これらのシナリオを実際に体験し、セキュリティの専門用語を実際のビジネス成果にうまく変換できるよう、リーダーとしてのクリアなコミュニケーションを向上させたいのです。ここでEPICの頭文字に関連付けると、ここではPに注目しています。つまり、目的意識(Purpose)とは何でしょうか。

Thumbnail 1640

セキュリティの実践者やリーダーとして、私たちの目的は他の人々が安全に素早く前進できるよう支援することです。私たちは「No」と言う人々ではなく、障害物になりたくありません。私たちは本当に他の人々を支援したいのです。それが私たちの核となる目的です。しかし、ビジネスパートナーに目を向けると、これを次のように分解できます:彼らの目標は何か?本番環境へより早くデプロイしたいのか?彼らの価値観は何か?長期的なメリットを求めているのか?ユーザーや顧客の信頼を獲得する方法を探しているのか?彼らの強みは何か?例えば、財務担当者であれば、ROIとコスト最適化のバランスを取ることを考えているかもしれません。

Thumbnail 1680

これについて重要なのは、時間をかけて意味のある対話を行うということです。その人の価値観は変わらないかもしれませんが、目標や障壁は異なってきます。これらは、ビジネスパートナーが何を必要としているのかをより深く理解するために、始めるべき異なる会話なのです。これが重要な理由は、多くのセキュリティの実務者やリーダーが、予算が必要になったり、エスカレーションが発生したりするまで、ビジネスパートナーとの意味のある関係構築を始めないからです。映画代が欲しい時だけ親と一緒に過ごしたがる10代の若者のように、不誠実に感じられてしまいます。

皆さんの中で、Finance、Legal、HRなどのビジネスパートナーと定期的な1on1を行っている方はどれくらいいますか?彼らのキャリアの aspirationや、プロフェッショナルとしての成長、なぜその役割についているのかについて話す時間を取っていますか?それとも、いつも四半期や月次のビジネスリズムの話ばかりですか?本質的に、ここで私たちが話しているのは、彼らが担当している機能ではなく、一人の人間として理解し、共感することなのです。将来何になりたいのか、なぜFinanceの道を選んだのか、何をすることが好きなのか、どんな改善を望んでいるのかを尋ねる機会を作りましょう。

通話の最初の5分間を、近況を確認することから始めるだけでも、ビジネスパートナーとの信頼関係構築に大きく貢献します。私たちには様々なペルソナの分類があり、これを通じて、ビジネスパートナーが目標、価値観、強みについてどのように考えているかを理解し始めることができます。Financeのパートナーは、組織の成功を支援する長期的な側面と短期的な結果のバランスを取りながら、コスト最適化に焦点を当てようとしています。セキュリティの実務者は、よくFinanceチームにパッチ適用やCVE、攻撃対象領域の削減などのメトリクスを報告しますが、Financeの担当者にはまったく響きません。

このコミュニケーションギャップに対処するために、セキュリティの成果をステークホルダーが関心を持ち、改善に意欲的になるような形に翻訳することが重要です。例えば、攻撃対象領域を削減する際、未使用リソースの終了という具体的な結果に置き換えることで、リスクを低減しながら組織に数百万ドルの節約をもたらしたことを示せます。これは、Financeのペルソナに対して効果的だと実証されています。

テクノロジーパートナーに目を向けると、彼らは迅速に動き、新興技術を統合したいと考えています。セキュリティの実務者が、セキュアな実装を支援しながら迅速な展開を手助けしない場合、時として障壁となってしまうことがあります。自動化を検討し、手作業による負担を軽減することで、彼らとより良く連携できます。AWSでは、Security Guardiansプログラムを作成し、個々のサービスチームをより良くサポートするために、セキュリティの実務者とGuardiansを配置してAppSecチームを拡大しました。これらのGuardiansはサービスチームに組み込まれ、アーキテクチャを理解し、本番環境投入前の最終段階での修正を防ぐために、より迅速に対応できます。

Thumbnail 1880

ワークショップでは、ロールプレイを行います。 画面に表示されているのは、いくつかのオープンエンドな質問です。Hartが言及したように、これらは、パートナーとの1on1で使える簡単な質問です。例えば、目標は何か、何にインスピレーションを受けているのか、今週取り組みたいことは何かといった質問です。これを持ち帰って実践すれば、様々なパートナーとの信頼関係が徐々に築かれていくのを実感できるでしょう。

AWSのSecurity Guardiansプログラムと組織全体のセキュリティ文化の構築

簡単なロールプレイで状況設定をしてみましょう。Hartがセキュリティ実務者、私がファイナンスパートナー、そしてRichがテクノロジーパートナーを演じます。「やあRich、また会えて嬉しいよ」「こちらこそHart」「ロードマップには革新的な取り組みがたくさん予定されていると聞いています。今年の目標達成のために、私に何かできることはありますか?」「ご存知の通り、AIは当社にとって重要なイニシアチブで、社内外のソフトウェアスタック全体にAIを統合したいと考えています。正直なところ、最も重要なのは、セキュリティによって遅延が生じないようにすることです。この競争の激しい市場では、スピーディーな展開が必要なんです」

「その気持ちはよくわかります。実は面白いことに、セキュリティチームでも、私たちに適したGen AIのユースケースを検討していたところなんです。一緒に取り組んでみませんか?テクノロジーリーダーとして、私たちのチームのGen AIスキル向上を支援し、ユースケースの検討をサポートしていただけませんか?そうすれば、適切なガードレールとGolden Pathを用意して、展開の準備が整った時点で、迅速かつセキュアに進められるはずです」「それは良さそうですね。実際に役立つと思います」「ありがとうございます。私たちも助かります」

「すごくいいですね。ところで調子はどうですか?また資金の相談ですか?」「今回はそうではありません。その件については2週間後に話し合う予定です。年度末が近づいてきて、来年のことを考え始めているところです。主要業績指標についてはどのようにお考えですか?」「ご質問ありがとうございます。セキュリティチームからこのような質問を受けたのは初めてかもしれません。私が特に注目しているのは、投資対効果です。開発者の作業負担を軽減し、コストを最適化することで、実際に開発者の時間を節約できているかということです。また、COOから運用の回復力について、そしてサービスの稼働時間維持についても強い要請を受けています」

「よくわかります。実は先ほど、組織のAttack Surfaceを削減するイニシアチブについて、ある女性と話をしていたところです。彼女の話では、Attack Surfaceを十分に削減できれば、インフラ利用率が実際に低下し、ビジネスのコスト削減につながるそうです。お二人を引き合わせて、そのあたりの momentum を高める方法を検討してみませんか?」「それは素晴らしいですね。ぜひお会いしたいです」「確かSarahという名前だったと思います」「そうですか、大勢いるんですね。紹介ありがとうございます、Hart」

ここで少し本題から外れますが、私たちのワークショップでは、実際のMission of DiscoveryやIncident Responseに関する詳細なロールプレイやシミュレーションを行っています。特に緊張感の高い会話に焦点を当てています。これは非常に有益です。なぜなら、関係構築をしていく中で、様々な質問を自然に投げかけられるように練習することができるからです。

Thumbnail 2130

また、1対1のミーティングや四半期ごとの会議だけでなく、AWSで実施している週次のセキュリティミーティングについても提案したいと思います。Hartがこの件について詳しいので、Hart に少し説明してもらいましょう。

私たちが行っていることの1つで、ユニークというわけではありませんが、確実に珍しいのは、週次のセキュリティミーティングを開催していることです。年間52回、CEO、COO、そして多くのセキュリティやテクノロジーのリーダーたちが集まり、セキュリティに関する重要事項について話し合います。これには興味深い利点がいくつかあります。まず、セキュリティをプロジェクトやプログラム、イニシアチブの集合体としてではなく、ビジネスを運営する上での基本的な要素として位置づけることができます。私たちは時々話し合うだけでもなく、定期的なレポートを送るだけでもありません。リーダーシップチームが事業運営の通常のリズムの一部として集まり、組織としてどのように安全に運営していくかについて議論し、タイムリーな意思決定を行っています。

皆さんの組織における他のビジネスリズムについて考えてみてください。私たちの提案は、ビジネスの中核的なミッションに対して行っていることと少なくとも同じことを行うということです。週次の営業会議があるなら、週次のセキュリティミーティングも持つべきです。月次の営業会議しかないのであれば、それでも構いません。リーダーシップとの月次セキュリティミーティングを持ちましょう。セキュリティは、どのようなビジネスであっても基本的な要素であるべきです。これは、すべての人の安全とセキュリティを確保し、顧客からの信頼を得るのに役立ちます。このビジネスリズムを積極的に取り入れるべきです。セキュリティについて話し過ぎることはないと思います。週に数回集まりたいというのであれば、それも素晴らしいことですが、ビジネスのリズムに合わせることが重要です。

2つ目の重要なポイントは、適切な人々が部屋にいて、意思決定のための会議にすることです。これは赤・黄・緑のチャートを見るためのものではありません。レポートや天気予報を共有したり、ニュースを報告したりするためのものでもありません。これは、リーダーシップチームとしての戦略と戦術について話し合い、ビジネスがリスクをどのように考えるか、機会をどのように捉えるか、信頼を獲得し、安全性、セキュリティ、健全性、プライバシー、コンプライアンスなどにどのように投資するかについて、意思決定を行うためのものです。報告の領域から離れ、それらの変更に影響を与えることができるリーダーたちによるデータ駆動型のビジネス判断の領域に保つことが重要です。

Thumbnail 2310

私たちはAWSでこれが非常に効果的だと実感しており、現在では多くの異なるビジネスユニットでも実施しています。MattとChris Bettsと共にAWSの週次セキュリティミーティングを行っており、さらに多くの事業部門が独自の週次セキュリティミーティングを実施しています。これは、週次のセールスミーティングやエンジニアリング組織における週次オペレーションミーティングと同様に、その価値を認識しているからです。では次に、Richから、組織内でセキュリティの文化を構築し、他の人々にセキュリティを推進してもらうための方法についてお話しいただきます。

Emotional Intelligenceワークショップの成果と人間中心のビジネス理解

素晴らしい議論ですね。私たちがワークショップでシミュレーションを行う際は、今回のように全員が同意的な状況ではなく、非協力的なステークホルダーへの対応も実践できるようにしています。シミュレーションやワークショップは素晴らしいのですが、「もし〜だったら」という状況に直面することもあるでしょう。そこで私が「Ghostingレスポンス」と呼んでいる方法を使うことがあります。小グループで集まり、財務リーダーがこれらの問題についてどう考えるだろうかと想定してみるのです。これにより、より良い準備をして、本質的な対話ができ、貴重な時間を無駄にせず、アクセスの特権を乱用することなく臨むことができます。事前にシミュレーションしておくことは有効です。

素晴らしいですね。これは共感を生み出すための優れた仕組みです。相手の視点に立って考えることで、理解と調和を図る最大の機会を得ることができます。セキュリティリーダーとしてセキュリティを推進する際、私たちの仕事の多くは影響力を持つことです。単なる権限だけではありません。自分のセキュリティ組織は持っていますが、その他のステークホルダーに対しては必ずしも権限はなく、様々なレベルの影響力を持っているだけです。そして最も強力な影響力は「インスピレーション」と呼ばれるものです。だからこそ私たちは、他者にセキュリティを推進するよう「インスパイア」すると言うのです。これは単にやらせるのではなく、やりたいと思わせること - コンプライアンスだけでなく、コミットメントを得ることなのです。

Thumbnail 2430

他者にセキュリティを推進してもらうためには、やりたいと思わせる動機付けと、実行できる環境の創出が必要です。これを考えるための非常に効果的な方法として、「Tough Love Matrix」というリーダーシップの枠組みがあります。

これは、著名な著者でWharton大学の組織心理学教授であるAdam Grantが提唱したものです。最も効果的なセキュリティリーダーになるためには、期待値(低いか高いか)とケア(低いか高いか)という2つの次元で考える必要があると彼は説明しています。高い期待値を持つと自動的にケアが低くなる、あるいは高いケアを持つと自動的に期待値が低くなるという興味深い誤解がありますが、これは神話に過ぎません。なぜなら、これらは異なる2つの次元だからです。期待値が低い場合、ケアのレベルに応じて、サポーティブになるかレッセフェール(放任主義的)になります。成功するセキュリティリーダーが低い期待値を持つことはあり得ない - それは良いジョブ戦略とは言えないことに、私たちは皆同意するでしょう。そのため、左側全体を除外することができます。

Thumbnail 2490

Thumbnail 2520

私たちは基本的に「高い期待」の領域にいます。 ケアの度合いが低いとただの要求的なリーダーになってしまい、ケアの度合いが高いと人を鼓舞するリーダーになります。HartとSarahが先ほど話したように、個人に対して本当の意味で関心を持ち、その人が大切にしていることや目標、キャリアに関心を持つことが重要です。私はこれを「痛みと課題、希望と夢」と呼んでいます。自分のことを本当に気にかけてくれていると信じられる人と接するとき、その人により大きな影響力を与えることを許容するものです。そしてこの高いケアと高い期待が、人を鼓舞するリーダーを生み出すのです。

Thumbnail 2540

実際のところ、これには高度なスキルが必要です。基準を高く設定して要求するのは比較的簡単ですが、本当の意味でケアを示すには感情知性のスキルが必要になってきます。人間の動機づけについてより深く見ていくと、 ほぼすべての人間が動機づけられる4つの基本的な要素があり、それらはRAMPという頭文字で表されます:Relationships(関係性)、Autonomy(自律性)、Mastery(熟達)、Purpose(目的)です。私たちが出会うほぼすべての人が、これらの要素の1つまたはすべてによって動機づけられています。

Relationshipsとは、あなたが気にかける人々と、あなたのことを気にかけてくれる人々がいるということです。実は、これは人々が長期的に仕事に留まる理由として最も重要な要因の1つです。2番目のAutonomyは、自分で運命を決定し、創造的に問題を解決できる能力のことです。ある研究によると、自律性がある場合、キャリアに対する満足度が136%も高くなるそうです。Masteryは本質的に、何かに対して本当に優れていること、貢献できる知識を持ち、違いを生み出せることを意味します。最後のPurposeは、自分自身よりも大きな何かのために働いているという考え方で、単なる仕事やチーム以上の意味を持ちます。セキュリティの分野では、文字通り世界をより安全にするという意味で、Purposeは特に重要です。

これらのモチベーション要因を理解し、活用し、整合させることができれば、私たちはより大きな影響力を持つことができます。リーダーは自らこれらの行動をモデルとして示し、それを期待され、支持され、報われるものにすることができます。先ほどのHartの例のように、シニアリーダーがエスカレーションしてくれた人に感謝し、他のリーダーもそれを見て同じようにしたいと思うようになる - それが私たちが支持し、報いる期待される行動となります。これが恐れの文化ではなく、エスカレーションの文化を作り出す方法です。

Amazonでは、Security Guardianになることは本当に名誉なことです。単に誰かに割り当てられる仕事ではなく、本当の特権です。可視性や認知度が得られ、専門知識を披露し、リーダーシップの役割を担うことができ、RAMPの4つの動機づけ要因すべてに触れることができます。また、キャリアを前進させ、チームの目標達成を支援することにもつながります。Hartやその他のリーダーたちは、これを人々がより幸せで、健康で、成功する助けとなるものに作り上げてきました。

Thumbnail 2710

Security Guardiansについてお話しします。チームのメンバーになると、先ほど触れたように、サービスチームの一員となりますが、これはボランティアの立場です。給与が支払われる仕事ではありませんが、先ほど述べた理由から、多くの人々がこの活動を楽しんでいます。実際にはAppSec機能の拡張部分として機能し、セキュリティ意識を広めていく役割を担います。これは非常に重要です。なぜなら、セキュリティ担当者だけでは不十分で、組織全体のさまざまな役割で、セキュリティ部門以外の人々がこれを推進していく必要があるからです。可能な限りセキュリティを確保するためには、このような取り組みが不可欠なのです。

Sarah、何か付け加えることはありますか? はい、おっしゃる通りで、これは本当に名誉なことです。これらの人々は自分のチームのセキュリティ実践者として代表を務めるだけでなく、追加の専門能力開発の機会も得られます。1月には、初めてのインテリジェンスワークショップを開催することになり、とてもワクワクしています。そこで学んだことをチーム全体に展開できるようになります。彼らは本当にチーム内での増幅器であり、最適化する存在であり、それがAWS全体での成功につながっています。素晴らしいですね。Richは知らないかもしれませんが、私は彼がSecurity Guardianになってくれると思います。そう考えていただけるだけでも光栄です。

Thumbnail 2790

いくつか興味深い結果をご紹介しましょう。2,000人以上のソフトウェア開発エンジニアをSecurity Guardiansとして育成しました。彼らはソフトウェアを開発するだけでなく、その一環としてセキュリティについても考えています。AppSecレビューにおいて、中程度から高度な重要度の指摘事項が22.5%減少しました。これは期間中に約16,000件の指摘事項が減少したことを意味します。セキュリティレビューの完了までの時間が26.9%短縮されました。時間の節約を想像してみてください。Security Guardiansがボランティアとして活動することで、スタック全体で約210,000日分の時間が節約されたのです。

私たちはこのようなプログラムを大切にしています。Security Guardianプログラムを始めたい場合、私たちがその立ち上げをサポートできますが、小規模から始めることをお勧めします。一度に全てを解決しようとしないでください。小規模に始めて、そのアイデアを実践し、結果を確認し、熱意を育て、成功を重ねることで、そこから成長させていくことができます。Sarah、この点について何か意見はありますか? はい、私たちはこれをコミュニティのフライホイールのように考えています。1人を触発すると、その人が3人を触発し、その3人が100人を触発する、というように規模が拡大していきます。それが本当に刺激的なところです。Guardiansプログラムの良いところは、AWSのリソースを効率的に使用できることです。このチームは、サービスチームに組み込まれているため、アーキテクチャを理解しており、左シフトを実現できます。グラフで表すと、インシデントが減少しながらも、より速いデプロイが可能になっています。これにより非常に成功を収めており、セキュリティ文化の分散化という側面も実現しています。

時間とともに、共感の観点から興味深いことを学んできました。例えば、組織内でGuardiansやチャンピオンプログラムを持っている場合、AppSecチームが脆弱性レポート(PDFやメール)を送信し、それに基づいて大量の作業(誤検知の確認、誤検知でないものの確認、根本原因の調査、解決)を行い、AppSecチームに戻って再検証と新しいレポートの発行を依頼するという経験があるかもしれません。この距離感がある状態がどのように感じられるか想像してみてください。私たちが時間をかけて学んだことの1つは、彼らが一緒に働く必要があるということです。私たちの場合、Security GuardiansはAppSecエンジニアと全く同じツールを使用しています。レポートを送られるのではなく、AppSecシステムにログインして、必要に応じて自分でレポートを生成したり、AWSエンジニアと同じように調査を行ったりできます。そこには仲間意識があり、並行性があり、彼らは本当にAppSecチームの一員だと感じています。なぜなら、実際にそうだからです。特にボランティアを募る場合、この共感的な視点で考えることは大きな違いを生みます。ボランティアに高い期待を持って参加してもらう場合は、しっかりとケアする必要があります。素晴らしいですね。そして、お気づきかもしれませんが、私たちは「エキサイティング」と「セキュリティ」という言葉を同じ文脈で使いました。人々が動機付けられ、触発されているとき、それは実際に可能なのです。では、次のポイントについてSarahに引き継ぎたいと思います。

Thumbnail 3020

私たちはセキュリティを楽しいものにすることを大切にしています。先ほど説明した共感、目的、インスピレーション、そして他者とのつながりについて、具体的な成果を見ていきましょう。 私たちのワークショップの進め方としては、まず事前評価として、参加者の感情知性(EQ)がPersonal CompetenciesとSocial Competenciesの4つの側面においてどのようなレベルにあるかを確認します。また、感情知性に関する自信度や、セキュリティの成果を他者に伝え、インスピレーションを与える自信についても、ベースラインとなる指標を設定します。

Thumbnail 3060

ワークショップ後には、学んだことがどのように実践されているかを確認するため、別のアンケートとフォローアップを実施します。その結果、 セキュリティニーズをビジネス成果に結びつける自信が42.8%向上したことがわかりました。これは非常に重要な成果です。なぜなら、企業のセキュリティ体制を考えたとき、技術だけでは十分ではないからです。ビジネスパートナーに対してセキュリティの専門用語をより分かりやすく説明できる共感力と能力が必要です。それによって、より迅速な成果を達成し、セキュリティ目標への投資を増やすことができます。また、ビジネスペルソナやパートナーの実際の目標に結びつけ、彼らのキャリアや組織の成長を支援することもできます。

Thumbnail 3100

もうひとつの素晴らしい成果として、 共感を持ってリードし、他者にセキュリティのチャンピオンになるよう動機づける能力への自信が53.5%向上しました。これは非常に重要です。なぜなら、セキュリティチームだけがセキュリティについて話すのではなく、組織全体でアドボケートを育成し、他者にインスピレーションと動機を与える必要があるからです。RichとHartが自律性について話していたように、より迅速に動き、セキュリティについてより多くを学び、本当に熱心になっていく様子が見られます。AWSで特に興味深いのは、他の組織では見られなかったことですが、不要なアクセス権限の削除を自ら申し出る人が出てきていることです。

Thumbnail 3150

これらは参加者(社内外)からの声です。実際の問題や課題に焦点を当てた会議に臨むための様々な戦術を、参加者が気に入っていることがわかります。自己認識を深め、自分の感情を理解し、Box Breathingを実践することで、冷静で落ち着いたリーダーとしてチームワークに臨めるようになっています。また、Mission of Discoveryを活用して、より良い関係を構築し、パートナーへの理解を深めています。参加者が最も評価していたのはロールプレイとシミュレーションで、Principal Security Engineerでさえ、チームから単調な作業を減らしてより迅速に動けるようになる方法を理解するのに役立っています。

Thumbnail 3210

最後に、「Start With Why」の著者であるSimon Sinekの私の好きな言葉を紹介します。「従業員の100%は人間であり、顧客の100%は人間であり、投資家の100%は人間である。人間を理解していなければ、ビジネスを理解することはできない」。これは、セキュリティコミュニティ、実務者、リーダーが、セキュリティを他のビジネス機能を可能にするものとして捉えるために重要な考え方です。

Emotional Intelligenceスキル向上のための実践的アドバイスと今後の展望

Thumbnail 3240

皆さんへの宿題があります。これらは今日から組織内で実践できる異なるタスクです。re:Inventには楽しいことがたくさんあり、時には少し感覚が過剰になることもあるので、ミーティングやセッションの合間にBox Breathingを実践できます。来週、オフィスに戻って、セキュリティのエスカレーション時に同僚と会う際は、エスカレーションしてくれたことに感謝し、一緒に問題を解決していくことを伝えましょう。私たちはお客様向けにこれらのワークショップを開催していますので、サインアップについてはAWSの担当者にご相談ください。今後3ヶ月以内に、人々と本質的なつながりを持ち始め、彼らのキャリアの aspiration、価値観、モチベーション、課題について学ぶためのミーティングを設定してください。今後6ヶ月以内に、Hartが話していたように、組織内の異なるリーダーと週次のセキュリティミーティングを設定するよう、組織と協力してください。

Thumbnail 3320

これらのミーティングでは、異なる目標や必要な投資についてだけでなく、成功を祝い、他の人々にセキュリティを推進するよう触発する方法についても焦点を当てるべきです。 では、Richにバトンを渡します。

キャリアと私生活の両方に役立つEmotional Intelligenceについて、より深く学びたい方に - これらのスキルの素晴らしい点は、人生を成功に導くスキルだということです。Sarahが言及したように、チームや会社向けのEPICセキュリティワークショップをリクエストすることができます。EQepicleadership.comでeBookを見つけることができ、QRコードからEmotional Intelligenceがどのように個人やチームとしての革新性と成功を高めるかについて詳しく読むことができます。また、イノベーションに関するウェブサイト全体もあります。Amazonにはイノベーション変革プログラムがあり、私たちの文化、アーキテクチャ、Leadership Principles、メカニズム、そしてそれに加えて、より革新的で成功するのに役立つセキュリティの取り組みについて説明しています。

Thumbnail 3380

読書家の皆さん(多くの方がそうだと思いますが)、これらはEmotional Intelligenceに関する素晴らしい本で、私や何十万人もの人々の人生を完全に変えたものです。「すべてのリーダーが読者というわけではないが、すべての読者はリーダーである」という素晴らしい言葉があります。効果的なリーダーになりたいのなら、良い本を読むことは大きな違いを生みます。これらはすべて素晴らしい本で、実際にDaniel Goleman、Marc Brackett、Jamil Zaki、Linda Hill、Adam Grantなど、多くの著者とAmazonでのEPICの取り組みで協力する特権を持っており、今では皆さんと共有できるようになりました。

お時間をいただき、ありがとうございました。皆さんと一緒に過ごせて本当に素晴らしかったです。終わる前に、HartやSarahから最後の言葉があるか確認したいと思います。皆様、ありがとうございました。また、来年6月にPhiladelphiaで開催されるAWS Reinforceでも、これらの講演をさらに行う予定であることをお知らせしたいと思います。これらの実践的な学習を見たい方は、アンケートでフィードバックを提出していただければ、来年皆様にお届けできるようにいたします。ご参加ありがとうございました。素晴らしい一日をお過ごしください。


※ こちらの記事は Amazon Bedrock を利用することで全て自動で作成しています。
※ 生成AI記事によるインターネット汚染の懸念を踏まえ、本記事ではセッション動画を情報量をほぼ変化させずに文字と画像に変換することで、できるだけオリジナルコンテンツそのものの価値を維持しつつ、多言語でのAccessibilityやGooglabilityを高められればと考えています。

Discussion