re:Invent 2024: メディア業界のセキュリティ戦略 - Prime Video他が語る
はじめに
海外の様々な講演を日本語記事に書き起こすことで、隠れた良質な情報をもっと身近なものに。そんなコンセプトで進める本企画で今回取り上げるプレゼンテーションはこちら!
📖 AWS re:Invent 2024 - Security strategies in the ever-evolving media industry (SPT208)
この動画では、Amazon Prime Video、NHL、DraftKingsのサイバーセキュリティリーダーたちが、メディア・エンターテインメント業界におけるセキュリティ戦略について議論しています。Generative AIがもたらす新たな脅威、特にDeep Fakeやコンテンツの整合性への影響、そしてライブストリーミングにおけるセキュリティとユーザー体験のバランスについて具体的な知見が共有されています。また、Shadow ITの管理やAIツールの適切な導入、ベンダーとのパートナーシップ構築の重要性など、実務的な課題への対応策も詳しく語られています。Media & Entertainment ISACを通じた業界横断的な情報共有の重要性や、セキュリティ対策における教育とコミュニケーションの役割についても深い議論が展開されています。
※ 画像をクリックすると、動画中の該当シーンに遷移します。
re:Invent 2024関連の書き起こし記事については、こちらのSpreadsheet に情報をまとめています。合わせてご確認ください!
本編
メディア業界のセキュリティ課題:パネルディスカッションの開始
Re:Inventへようこそ。このスポーツフォーラムは素晴らしいですね。私もこのパネルの後、右側にあるゴルフシミュレーターを試してみたいと思います。常に進化を続けるメディア業界におけるセキュリティ戦略についてのこのパネルディスカッションにお越しいただき、ありがとうございます。Amazon Prime Video、NHL、DraftKingsのサイバーセキュリティリーダーたちをお迎えし、進化するメディア業界の展望と主要な課題について議論できることを大変嬉しく思います。スピーカーの方々には、ライブスポーツへのサイバー攻撃などの課題や、エンターテインメントにおける知的財産保護についての考えを共有していただきます。本日の議論では、業界を超えた協力、革新的なセキュリティ戦略、そして新たな脅威から守るための保護対策の重要性に焦点を当てます。
このパネルでは、生成AIがセキュリティとAIプログラムに与える影響について取り上げ、Deepfakeのようなリスクやコンテンツの整合性、ユーザーエクスペリエンスを維持する必要性について議論します。私はFSのVenture Partnerを務めるNancy Wangで、本日のモデレーターを担当させていただきます。このような素晴らしいセキュリティリーダーの方々とご一緒できることを光栄に思います。パネリストをご紹介させていただきます。Brian LozadaはAmazonのGME(Games, Media and Entertainment)のDirector of Securityです。Moses ThambuswamyはDraftKingsのDirector of Information Securityです。David MunroeはNational Hockey Leagueのサイバーセキュリティ責任者です。
進化するサイバーセキュリティの脅威とAIがもたらす新たなリスク
では、早速本題に入りましょう。まず、皆さんのビジネスが直面している新たなサイバーセキュリティの脅威と、特にAIがもたらす新しいリスクの文脈で、それらがどのように進化していくとお考えかについてお聞かせください。メディア、エンターテインメント、スポーツ業界を見ると、ここ数年でテクノロジーによって大きな変革を遂げていることがわかります。その変革に伴い、テクノロジーの進化とともに新たな脅威が出現しています。脅威アクターはそのテクノロジーを利用し、ストリーミングによる配信やコンテンツの整合性に影響を与えることを狙っています。コンテンツの整合性は、消費者のコンテンツ視聴に直接影響を与えるため、現代において非常に重要なトピックです。これらの分野は今後数年間で進化を続けると考えられ、セキュリティの観点からコンテンツのセキュリティ確保に重点を置く必要があります。
Mosesさん、ゲームと従来のメディアが融合する中で、コンテンツモデレーション、知的財産権、プライバシー、消費者保護に関して、どのような規制上の課題が存在するでしょうか?規制当局と私たちは本質的に同じことを望んでいます - 私たちの関係者とそのデータをできる限りプライベートに保つことです。メディアとゲームの境界線が曖昧になる中で、組織として、メディアプラットフォームやその他のプラットフォームと同様の管理体制を整備していることを規制当局や関係者に示す必要があります。カード決済環境やPCIだけでなく、あらゆる面で包括的な対応が求められます。これは、私たちが導入する新機能すべてに適用できる確かな基準となるべきです。
最後にDaveさん、NHLが従来のインフラストラクチャからクラウドベースの運用へとデジタルトランスフォーメーションを進める中で、進化するセキュリティの課題とリスク状況にどのように対応していますか?これは本当に大きな課題です。これまでも多くの脅威が存在していましたが、現在では複雑さ、頻度、そして執拗さが増しています。組織全体ではなく、選手や幹部、関係者など個人を標的にするようになってきています。そのため、組織を守る範囲を拡大する必要があります。私たちはよりデータ中心になってきているため、以前よりもはるかに高いレベルでデータを保護しなければなりません。なぜなら、そのデータは放送だけでなく、パートナーや他のアプリケーションにも利用されているからです。データに問題が発生すれば、財務的な影響や評判・ブランドへの影響を及ぼす可能性があり、ファンがデータを信頼できなくなる可能性もあります。
私たちの業界において最悪のことの一つは、ファンがスポーツ組織から発信される情報を信頼できなくなることです。先ほど説明されたセキュリティ対策が、特にゲームのライブストリーミングにおいて、エンドユーザーの体験にどのような影響を与える可能性があるのか、その判断のバランスについてお聞きしたいと思います。
ライブストリーミングは、ファンにとっても私たちにとっても素晴らしい技術の進歩であり、より高品質なプロダクトを提供できますが、それに伴うリスクも増大しています。以前はクローズドなシステムでしたが、今ではクラウドブロードキャストによってグローバルにアクセスできるオープンなシステムとなっています。これはゲームに関わる人々やファンにとって大きな利点である一方で、攻撃者にとっても有利な状況を生み出しています。なぜなら、システムが外部に公開され、その環境で何が行われているかを調査できるからです。一貫した安定したユーザー体験を提供しながら、より広範な脅威の状況を考慮しなければなりません。というのも、ユーザーはサービスの中断を許容しないからです。特にゴールが決まる瞬間に、たった1秒でも見逃すことは最悪の事態となります。
Generative AIがセキュリティプログラムに与える影響と課題
今日のサイバー脅威について語る上で、AIについて触れないわけにはいきません。セキュリティの世界において、AIは諸刃の剣となっています。明日のデジタル防衛の展望について、AIによって実現される速度と目的のバランス、そして人間の洞察によるガイダンスについて、Brianの意見を聞かせていただきたいと思います。Brian、Generative AIはAmazonのセキュリティプログラムにどのような影響を与えているのでしょうか?また、Generative AIが進化し続ける中で、コンテンツの信頼性とユーザー体験に関して、どのような主要なリスクや課題を特定されていますか?
Generative AIは素晴らしい技術だと思います。まだ発展途上で完全に初期段階ですが、これは中立的な技術であり、脅威アクターがこれを武器として使用することを理解しておく必要があります。攻撃者にとってのコストを削減し、攻撃に要する時間を短縮し、攻撃の規模と機会を提供します。私たちは、カスタマーエクスペリエンスとのバランスを検討しています。私たちはカスタマーエクスペリエンスに執着しており、NHLやDraftKingsのようなパートナーに良いサービスを提供することを確実にしたいと考えています。脅威アクターに対して摩擦を導入しながら、消費者にとって良好なカスタマーエクスペリエンスを確保したいと考えています。
これは簡単なことではありませんが、コンテンツの制作方法やライブストリームから消費者の手元に届けるまでの過程を進化させる必要があります。そのストリームの背後にイノベーションを導入し、あらゆるタイプのGenerative AI攻撃を検出し対抗する必要があります。脅威アクターはコンテンツを操作し、コンテンツの完全性に影響を与える方法を考えています。先ほどDaveが指摘したように、そのコンテンツの信頼性はファン体験と消費者体験にとって極めて重要です。もし脅威アクターがGenerative AIを使用して消費者がコンテンツを受け取る方法を変更したり改ざんしたりすれば、信頼性と顧客体験におけるポジティブな影響を失うことになります。
Moses、あなたの意見もお聞きしたいと思います。DraftKingsではAIの力を活用しながら、その誤用からどのように保護することを考えていますか?私たちにとってお客様からの信頼が最も重要です。また、できるだけ速く対応したいとも考えています - 速度は私たちにとって非常に重要なのです。そのギャップを埋めなければなりません。セキュリティの専門家として、Gen AIに限らず、新しいテクノロジーについては最悪のシナリオを想定する必要があります。私たちの社内リソースやお客様に関して、リスクと脆弱性はより大きくなっています。すべてがデータ駆動型です - 社内の意思決定ポイントもお客様のアクセスも。脅威アクターも同様です。私たちは自社の体制を整え、戦略を構築する必要があります。エンドユーザーや社内のエンジニアリングチームが、適切な制限の中でAIテクノロジーを使用できるようにしたいと考えています。問題なのは、テクノロジーがオープンになり、適切な管理なしに組織内でシャドーITユーザーが使用していることで、通常私たちはその対応に後手に回ってしまいます。
私たちは先手を打つよう最善を尽くしていますが、それが通常直面している問題です。お客様は、この両者と同様にリアルタイムの情報とサービスを提供することを私たちに期待していると感じています。検証のためにサービスを停止するというステップバックはできないので、製品や社内外のアプリケーションとシームレスに連携する必要があります。
デジタルアイデンティティ保護とコンテンツの信頼性確保
AIがより多くの合成コンテンツを作成し、組織がより多くのアイデンティティ管理戦略を導入する必要がある中、NHLのデジタル資産と選手のデジタルアイデンティティを保護することについて考える必要があります。最近では、目にするものを信頼することが本当に難しくなっています。これは、Photoshopが登場した初期に画像を信頼できなくなった状況によく似ています。AIでも同じことが起きており、人々は何が本物なのかを疑問視しています。AIで作られたコンテンツと、信頼できる正当なコンテンツ、偽物のコンテンツを簡単に区別できる能力が必要です。
サイバーセキュリティの観点から、ユーザーが誰であるか、どのデータにアクセスしているか、そしてアイデンティティを証明できることは非常に難しい課題です。この街の組織を含め、多くの組織がソーシャルエンジニアリングによる重大な影響を受けた事例を見てきました。AIを使えば、人物を複製し、リアルタイムでさえも経営幹部がこの送金を指示する動画を作成することができます。以前は、アイデンティティを証明するためにZoomミーティングを使用していましたが、それも今では非常に難しくなっています。従来の認証方法をより安全にしながら、従来の方法を超えた認証について考える必要があります。
ユーザーが誰であるかを知ることは、Zero Trust戦略の核心です - アイデンティティ、ネットワークセグメンテーション、強力なエンドポイント制御、これらすべてが必要です。アイデンティティは、そのアプローチの最初のステップです。なぜなら、ユーザーが誰であるかを把握できれば、そのユーザーが何にアクセスすべきかを判断し、それに基づいて行動することができるからです。
合成コンテンツには興味深い側面があり、正当な使用方法も存在しますが、必ず悪用されることになるでしょう。プラットフォームの観点からは、検出について考える必要があります。生成された合成コンテンツを検出し、消費者に知らせるためのイノベーションの機会が必要です。合成コンテンツによる誤情報、Deep Fakeなどは、人々のコンテンツの認識や意思決定に大きな影響を与えています。この種の偽情報は、ライブコンテンツやビデオコンテンツだけでなく、あらゆるコンテンツにとって大きな脅威となっています。
コンテンツへの信頼が失われると、人々の意思決定に影響を及ぼします。メディアの基本的な役割は、意思決定のための情報を提供し、権力を監視することです。消費者がコンテンツを信頼できなくなると、ニュースメディア、メディア全般、そしてライブコンテンツに対する人々の信頼性と意思決定に影響を与えます。私たちは、Prime VideoやNHLのようなプラットフォームからのコンテンツを検証するための透かしやブルーチェックマークのような、検出のための技術の実装を検討する必要があります。メディアエンターテインメント分野のセキュリティ実務者として、このリスクに共同で対処しなければ、消費者の信頼を失い、ビジネスに大きな影響を及ぼすことになるでしょう。
信頼性維持とAIの活用:セキュリティ戦略の進化
この重要な信頼性の問題について、Moses ThambuswamyとDavid Munroeに話が及びました。Brianが説明したように、increasingly洗練されたAIが支援または作成するコンテンツに直面する中で、特別な視聴者の信頼をどのように維持するかについて、彼らの考えを共有するよう求められました。「その信頼をどのように維持するのか?」興味深いことに、私たちは信頼の基本原則に立ち返ります。それは、あなたが何者であるか、何を持っているか、何を知っているかということです。マルチファクター組織では、「あなたが何者であるか」が決定的な要因でしたが、今では最も信頼できる部分ではなくなっています。そのため、業界として2001年に戻ったかのように、認証のためのハードウェアトークンを配布し始めています。
信頼性に関して、視聴者が私たちを信頼する方法は、否定的な文脈で私たちを見ることがないようにすること、つまり、私たちが大きな見出しを飾ることがないようにし、彼らのデータが決して失われないようにすることです。DraftKingsでは、さらに一歩進んで、テクノロジーファーストの企業として適切な構築を確実に行っています。私たちは組織全体で最優先されるべき存在として、エンジニアリングチームやプロダクトチームが適切かつセキュアに構築できるよう支援しています。市場での先行は重要ですが、それは規制にも関連する適切な方法で行う必要があります。
適切な構築は、常に信頼の鍵となります。私たちは、さらに一歩進んで、様々なソースから漏洩した顧客データがDraftKingsに関連しているかどうかを、常にサードパーティを通じて確認しています。潜在的な問題が発生する可能性がある場合は、積極的にお客様に通知するようにしています。信頼関係の構築は、一度行えば終わりというものではありません。それは文脈に即し、一貫性を持って行う必要があります。私たちは、セキュリティを核となる価値観の一部として組み込んでおり、それがお客様にとってより良い結果につながっています。
信頼は本物であることから生まれます。今日私たちが直面している多くの問題は、今おっしゃったように、古いものが新しくなっているだけです。私たちは長い間直面してきた多くの同じような課題に直面しています。Webの初期の頃の課題の1つは、サイトの信頼性、サイトを信頼できるかということでした。私は、AIにも同様のテクノロジーが必要だと考えています。正当な組織によって生成されているということ、あるいは提供されるコンテンツが意図したものであることを証明するための何らかのウォーターマークやテクノロジーが必要です。これは、WebサイトにTLSやSSLが登場した時のようなものです。当時は、アクセスしているWebサイトが正当なものかどうかわからなかったのですが、テクノロジーによってそれを理解できるようになりました。
コンテンツが本物であることを理解するためのテクノロジーがあれば、人々はより安心して信頼できるようになるでしょう。特に最近のAIに関して、人々は自然と懐疑的になっています。回答が正しいのか、生成されているものが本物で正当な情報なのかについて、多くの懐疑的な見方があります。そのプロダクトによって生成されるものが信頼でき、本物であると人々が実感できる機会がないうちは、一般的なサービスとして確立することは難しいでしょう。現時点では、通知プロセスがないため、フェイクではないことを証明しなければなりません。メディアコンテンツは非常に速く進化しています。何かが本物であることを否定することから始めなければならない状況です。この分野では非常に後ろ向きに取り組んでいますが、課題が何であるかは認識しています。
AIによって生成された合成コンテンツがポジティブで、むしろそれが望ましい結果となるユースケースもあり得ると考える必要があります。現在のコンテンツ生成で起きていることは非常に興味深いものです。私たちはデータドリブンで、多くのデータポイントを持っており、収集したデータから本当にクールな生成コンテンツを作ることができます。その情報は公式なもので、私たちの情報であり、改ざんや汚染されていないことを確認したいと考えています。生成結果に影響を与えるために介入してくる機会は多くあるので、人々に届けられる情報が正しいデータであり、操作されていないことを確認する必要があります。
同時に、常に攻撃があることも知っています。人々がそれを私たちに対して使おうとすることも分かっていて、攻撃と防御の観点からそれに対処しようとしています。テクノロジーは攻撃の機会を多く生み出していますが、防御の機会も多く生み出しており、私たちはそれを活用してより効率的になろうとしています。Cybersecurityに携わる人なら誰でも、私たちがどれだけのデータを扱っているか知っています。多くの異なるソースから膨大な量のデータが来ており、それを効果的に処理し、悪用されているときを検知するためには、攻撃者が使用しているのと同じツールやテクノロジーを使用する必要があり、それが正当に使用されている方法を理解する必要があります。
インタラクティブ性の向上がもたらすセキュリティ課題とベンダーとの関係構築
この理解は、商業目的と不正使用の両方に及びます。私たちのオーディエンスは非常に多様で、顧客も非常に多様です。そのため、彼らと多くの関わりを持っていますが、私たちが提供するドラフティングのコンテンツは標準的なものでなければなりません。彼らが言っていることに付け加えると、私たちが発信するものは、Twitterのコンテキストにおける平均的なタグ付けドラフティング以上に、モデレートされ、セキュアでなければなりません。
決して悲観的な話ばかりではありません。私たちはエンジニアリングだけでなくセキュリティにおいても、多くのソリューションでGenerative AIを活用しています。以前はチームで管理する必要があったツールも、今でもチームによる管理は必要ですが、組織の既存のツールセットとの統合がシンプルになり、その手間は大幅に軽減されました。できるだけ適応性を持たせて、チームに任せることが重要です。現在ツールを管理しているチームがあれば、以前ほどの規模は必要なくなるため、これは間違いなくポジティブな面です。
Cybersecurityチームは本質的にリーンです。これを副次的な性質として活用し、必要なデータだけを確実に取得することができます。膨大な情報とデータがある中で、私たちは常にそれらを解析しようとしています。現在では偽のデータも多く混在していますが、私たちはそれらを解析するために、手持ちの技術に頼っています。より効率的になる必要があり、攻撃の複雑さが増す中で、この技術は確実に効率性を高めるのに役立ちます。
攻撃の質が向上する中、それに追いつくためには、これらの問題すべてに対応し続けるための技術的支援が絶対に必要です。防御のあらゆる側面でエキスパートになることはほぼ不可能だからです。脅威により素早く、より適切に対応するには、追加のツールによる支援が本当に必要です。攻撃者が賢くなれば防御側も賢くならなければならない、まさに典型的なイタチごっこです。攻撃の範囲は非常に広大で、これらの情報を収集して何らかの形で処理しなければ、すべてに対応することは不可能です。
以前は非常に手作業のプロセスでしたし、現在でも多くの場合そうですが、異なるプラットフォームへの対応が課題の一つとなっています。防御やCybersecurity、分析のための優れたツールやプラットフォームは多くありますが、それらを効率的に運用し、うまく使いこなし、効果的に活用するためには、手作業以上の支援が必要です。世界中のすべての企業が現時点でこれをバズワードとして使用しているだけです。そのため、テクノロジーとセキュリティの分野のリーダーとして、単に機械学習言語をオンにするだけでなく、実際に使用可能な情報や製品、セキュリティに変換できているかを確認する必要があります。
Brian Lozadaに話を戻したいと思います。パネルの初めの方で、ミスインフォメーションとDeep Fakeが攻撃者をより洗練されたものにしていくという話がありましたね。DaveとMosesから異なる戦略を聞いていますが、あなたはこの分野の思想的リーダーとして広く発言されていますよね。業界の観点から、特にCybersecurityの防御戦略として、様々なメディア組織がこの時期に活用または実装できる戦略にはどのようなものがありますか?
Deep Fake検出技術については、すでに存在する技術を活用してライブコンテンツやリーンバックコンテンツ、ソーシャルメディアコンテンツのプラットフォームに組み込むことができます。企業はこれを真剣に受け止め、製品に実装する必要があります。なぜなら、消費者に対して「これは人間が作ったものではない、これは偽物だ、表面的な価値で判断すべきではない」という判断の機会を提供したいからです。特にメディアやエンターテインメント業界の組織は、協力してプラットフォーム上でのこの技術の使用方法に関する業界の変革や政策の変更を推進する必要があります。
私たちは消費者に自己防衛の機会を提供し、プラットフォームが提供する情報を効果的に活用できるようにして、安心して利用できる環境を整える必要があります。この分野ではさらなる革新が期待されます。Synthetic Mediaについて考えると、良い使い方もたくさんあります。コンテンツクリエイターやゲーム制作者は、環境のスケーリングやコンテンツ制作コストの削減に役立つため、Synthetic Mediaを活用したいと考えています。
セキュリティの観点からは、ビジネス運営を妨げることなく、消費者が安心して利用できるようにガードレールを設ける必要があります。適切なバランスを保つために、ビジネスと密接に連携する必要があります。メディアエンターテインメント業界では、業界の変革を生み出すための立場を取る必要があります。消費者を偽情報やDeep Fakeから守るために、政策の変更が必要です。私たちは、Deep Fakeが人類に与える影響の初期段階にいます。
あなたの考えで特に評価したいのは、舞台裏で何が起きているかに関わらず、シームレスな視聴体験を提供することに焦点を当てている点です。これは、Daveが言及した軍拡競争や、Mosesが指摘したコンテンツモデレーションと大量に生成されるコンテンツへの対応に関連しています。ここで話題を変えて、パートナーシップについて、そして社内での革新とサードパーティとの連携についてパネリストの皆さんの考えを伺いたいと思います。DavidとMosesに戻りますが、ストリーミングパートナーとの責任共有とセキュリティについて、どのようなアプローチを取っていますか?
Brianが言及したように、リスクや脅威を理解し、それらを軽減するために協力して取り組むには、緊密な連携が不可欠です。これは特にライブ配信の状況で重要ですが、混乱や完全性が損なわれないようにするために、あらゆるコンテンツ配信シナリオに当てはまります。BrianとAmazonは情報提供と協力において素晴らしいパートナーでした。これはパートナーだけでなく、他のリーグや組織にも及びます。MLBは、Sports and Media Entertainment ISAC(SME-ISAC.com)を通じて、すべてのリーグ間の関係構築を先導してきました。スポーツやメディアエンターテインメント業界に携わる人は、この組織との協力を検討すべきです。
私たちは皆密接にコミュニケーションを取り、協力していますが、Brianが指摘したように、より体系的なポリシー、手順、情報共有、脅威インテリジェンスを発展させる必要があります。何か問題が発生した際に、遅延なく誰に連絡すべきかを正確に把握できるよう、直接的なコミュニケーションラインを確保することが重要です。コンテンツ組織、ストリーミングプロバイダー、法執行機関、法務部門、そして情報保護に関わる全ての関係者との直接的な一対一のコミュニケーションと関係性が最も価値のある資産です。これらの深い関係性により、インシデントへの迅速で効率的な対応が可能となります。
現時点で、私たちのインシデント対応は十分に整備されています。当社のブランド認知度により、多くの標的型の脅威に直面していますが、これは利点でもあり課題でもあります。脅威の状況には模倣者が多く含まれています。Daveと話すとき、私たちはしばしば同じような攻撃手法に遭遇していることに気付きます。例えば、エンドユーザーを標的とする類似のフィッシング攻撃などです。オープンなコミュニケーションと直接的な連絡手段を持つことは、特にシーズン開始のような急速なスケールアップが必要な重要イベントにおいて有益です。自動化やAIについて議論している中で、確立された連絡先を持つ業界のリーダーたちが同じ部屋にいることは非常に貴重です。私たちの業務には、決して置き換えることのできない重要な人的要素が依然として存在します。これらのテクノロジーは防御をより効率的で優れたものにしますが、人と人とのつながり、共有される知識、そして類似の課題に取り組む際の相互支援に取って代わることはできません。Mosesが言ったように、「私もそれを経験しました」とか「これが私たちのアプローチです」とか「これが私たちの防御方法です」とか「これが将来直面するだろう課題についての私たちの考えです」といった共有が重要です。
そのような関係を持てることは非常に重要で、一人ではないと実感できることは確かに心強いものです。そしてサポートグループという観点では、Brianが指摘した統一された業界の対応という点に立ち返ります。
私たちは生成AIがもたらすリスクについて多くの時間を費やして話し合ってきました。セキュリティ防御と既存のセキュリティ態勢の強化にAIを活用することについてはどう考えますか?生成AIは、依然として人的要素が重要な対応の観点で私たちを支援する機会があると思います。対応に関して、脅威アクターの分析、入ってくるIOCや観察される脅威の分析において、生成AIは分析官や対応チームが修正や防御策を生み出すまでの時間を短縮するのに役立つと考えています。そこには多くの機会とイノベーションの可能性があります。Amazonの観点からすると、情報共有の側面が極めて重要です。生成AIは、脅威アクターが私たちをどのように標的にしているかについて、社内外のパートナーに情報を伝達する時間を短縮するのに役立つでしょう。
Amazonが運営する膨大な規模において、私たちは毎秒入ってくる大量の異なるストリームについて考えています。私たちはDraftKingsとNHLの両方とのパートナーシップを大切にしています。NFL、Thursday Night Football、そして近々始まるNASCARなど、多くのスポーツリーグとパートナーシップを結んでいます。NHLの月曜日の試合では毎週、入ってくるトラフィックの量を確認しています。私たちはDaveと、観察している脅威について情報を共有し、他のプラットフォームで彼らのコンテンツの他のストリームを見始める際に、この情報を活用して自身を守ることができるようにしています。
DraftKingsでは、常にお客様の数に左右されます。それは、NHLやNFL、そして来年から始めるNBAなど、配信するコンテンツによって変わってきます。コンテンツや地域によって、異なる脅威アクターが現れることになります。これらの情報を収集し、パートナーと共有することは、業界として非常に有益です。パートナーは私たちが必ずしも把握できない洞察を持っており、私たちよりもはるかに広い視野を持っています。彼らは追加情報を取得し、何が起きているのか、そして私たちが保護や防御のために何をすべきかについて、より完全な全体像を提供してくれます。
Amazonのような企業とそのリソースを持つことは、私たちにとって非常に価値があります。彼らが私たちの情報を保護してくれているという信頼感があります。提供されるものが安全であることを確信でき、Amazonと使用しているテクノロジーは非常に先進的です。現在、AmazonではEdge IQと呼ばれる素晴らしいAIツールなどが登場しています。これは試合の分析のための非常に優れたテクノロジーで、ファンだけでなく、組織がより質の高い製品を生み出すのに役立ちます。Amazonには、私たちのような組織が現時点で持ち合わせていない以上の、情報を保護するためのリソースと能力があることを認識しています。
このテクノロジーにより、消費者はゲームにより近づき、分析を理解することができます。私たちは複数のリーグでこれを実施しており、これはメディア、エンターテインメント、スポーツのデジタルトランスフォーメーションの一部です。スポーツリーグは消費者により近い体験を提供することで大きく進化してきました。これはさらに進化していくでしょうが、同時にそのデータがどのように悪用される可能性があるか、そしてそれを消費者に起こさせないようにするためにどのように連携を保つべきかを考える必要があります。MosesとDaveも触れたように、観客はもはや受動的な観戦者ではなく、より積極的に参加するようになっています。
この参加度の向上により、観客とプレイヤーやゲーム間の複数の接点におけるセキュリティ上の課題が浮上しています。インタラクティブ性の向上はエンドユーザーや観戦者にとって有益ですが、以前の一方向の配信モデルと比べて攻撃対象領域が大幅に拡大しています。現在では、消費者側からの潜在的な攻撃に直面しており、アクセスレベル、情報源、そしてその情報がどのように再配布される可能性があるかを慎重に検討する必要があります。
私たちはエンドユーザーにより多くのツールを提供してきましたが、攻撃者は同じツールを私たちに対して利用しています。私たちの課題は、正当な顧客を見分け、常時のインタラクティブ性を維持しながら、シームレスな体験を提供することです。トラフィックパターンの進化により、この状況はより複雑になっています。以前は、インターネットトラフィックの入力を監視し、地域的な急増に対応するだけでよかったのですが、現在ではボットが進化し、正当に見えるが実際にはそうでないトラフィックを生成するため、プラットフォーム上での不正使用を特定し、ガードレールを実装する必要があります。
私たちはしばしば、取引量ベースの指標に対して後手に回りがちです。取引量の急増は、ユーザーの純粋な熱意を表している場合もあれば、セキュリティの脆弱性が悪用されている可能性もあります。これらの問題は金銭的な影響だけでなく、ユーザーの信頼にも影響を与える可能性があるため、迅速な特定が重要です。プラットフォームの多様性は、さらなる複雑さを加えています。多くの人々が、ソーシャルメディア、ギャンブルプラットフォーム、その他のインタラクティブなチャネルを通じて、同時に複数のプラットフォームでゲームに参加しています。これには、各プラットフォームを適切に保護し、それぞれの特有の脅威を理解する専門知識が必要です。
AWSなどのパートナーと緊密に連携し、アーキテクチャのベストプラクティスに従うことは不可欠ですが、すべてのプラットフォームにわたるセキュリティの管理は依然として課題となっています。セキュリティの実務者として、消費者体験を向上させる新機能がセキュリティを損なわないよう、ビジネス部門と効果的に連携する必要があります。これらの機能は本質的に攻撃対象領域を増加させますが、私たちの目標は、正当な消費者体験に影響を与えることなく、脅威アクターに対する障壁を導入することです。
顧客教育とStartupとの協業:セキュリティイノベーションの鍵
ベンダーとのパートナーシップは、単なる製品導入を超えて、ビジネスとセキュリティの両方の成果を最適化する意味のある関係の構築へと進化しています。トレーニングは、私たちが取り組むべきもう一つの重要な側面です。社内ユーザーや組織の各部門へのトレーニングには多大な投資をしていますが、顧客向けの同様のトレーニング施策は実施できていません。組織内の異なる部門は、顧客向けにそのようなトレーニングを実施していないのが現状です。
Swanzyとして認識されるトレーニングプラットフォームがなく、単にトレーニングビデオを見るだけでなく、顧客が適切に理解できるようなインタラクティブな内容になっていません。これには二つの側面があります:製品理解の面で顧客に何を提供するか、そして顧客がそれをどのように識別できるかを理解してもらうことです。これは非常に難しい課題です。なぜなら、プロダクトチームはできるだけ早く顧客にリーチしたいと考え、その摩擦を取り除きたがるからです。プロダクト担当者として、私はこの視点を理解しています。
これは、オーディエンスからの質問を受け付ける前の最後のトピックとなりますが、エンドユーザーやオーディエンスとの複数の接点、そして複数のプラットフォームにわたるセキュリティ確保は非常に困難な問題であるため、このベンダーとの関係について考える必要があります。NHLでは、ほとんどのベンダーとの関係をパートナーシップとして捉えています。単に製品を購入して導入するだけでなく、新機能の開発、私たちのニーズや他者のニーズへの対応、そして彼らの分野での取り組みを理解するために緊密に協力しています。ベンダーと緊密に連携していなければ、最大限の価値を得ることはできません。
製品を最大限に活用しようと努めていますが、専門知識と時間が必要なため、時として難しい面があります。考慮し取り組むべき製品、脅威、課題が数多くあるからです。ベンダーとの密接な関係は非常に重要で、ベンダー選定プロセスの一部とすべきです。そのベンダーはどれだけ協力的か?自社製品についてどれだけ知識があり、レスポンスが早いか?特に急速に進化している最先端の製品の場合、ベンダーが自社製品を理解していないケースも多々あります。製品開発やエンジニアリングチームが非常に速いペースで機能を追加しているため、ベンダー自身も知らない機能が登場することもあります。
これは、先ほど話題に上った信頼性の話に似ています。消費者の信頼について触れましたが、このシナリオでは私たちが消費者です。魅力的な製品は多くありますが、サードパーティや製品との信頼関係の構築は現実に重要な課題です。個別のニーズに対して製品でパッチを当てるようなアプローチは好ましくないと考えています。特に、それをサポートする大規模な組織がない場合はうまくいきません。リスクプロファイルの範囲内で、1つの製品でどれだけのニーズに対応できるかを見極めることが最善のアプローチです。私たちは常にリスクベースでプログラムと戦略を評価しています。
Amazonに話を戻すと、私たちはイノベーションを重視し、Startupとの協業を好んでいます。Startupがパートナーシップの観点から私たちにアプローチしてくることを歓迎します。DaveとMosesが先ほど述べたように、ベンダーの立場からパートナーになることは、StartupやEntrepreneurが考慮すべき点だと思います。EntrepreneurやStartupとして、CISOと話をする際には、彼らと共にイノベーションを起こす能力や意欲を持つことが重要です。
すべての課題を解決できる単一の製品は存在しないため、将来の顧客が抱える問題に真摯に耳を傾け、彼らと共にイノベーションを起こす姿勢が重要です。私たちが協業したいのは、現場のPractitionerが直面しているMediaおよびEntertainment業界の課題に向けて、製品を共に作り上げていけるようなStartupです。EntrepreneurやStartupの方々は、Practitionerから直接問題を理解しない限り、ビジネスを本当に理解することはできません。Amazonでは、EntrepreneurやStartupを支援することを重視していますが、単に販売するのではなく、顧客と共にイノベーションを起こすことを考えることが、この分野で成功する最良の方法です。
Q&A:セキュリティとカスタマーエクスペリエンスのバランス、AIの活用、情報共有の重要性
本日のパネルディスカッションを通じて、会場の皆様は私たちの尊敬すべきパネリストに多くの質問があったことと思います。そこで、会場の皆様からの質問を受け付けたいと思います。マイクがこちらにありますので、部屋の中央に来ていただければ、皆様の質問をはっきりと聞くことができます。
私の名前は Chris です。セキュリティとカスタマーエクスペリエンスのギャップを埋めるためのベストプラクティスについて、皆さんのご意見をお聞きしたいと思います。もちろん、私たちはあらゆるプラットフォームのセキュリティを確保したいと考えていますが、ユーザーが常に多要素認証を求められると、製品の利用を躊躇してしまう可能性があります。
規制対象のプラットフォームでは、複数回の本人確認やタイムアウトなどのカスタマーエクスペリエンスが発生します。これらのガードレールは顧客の安全のために設置されているため、回避することはできません。私たちはその周りをできるだけシームレスに構築し、それが顧客との妥協点となっています。規制されているゲームやその他のサービスでは、消費者の安全を最大限確保する必要があります。カスタマーエクスペリエンスの中で最も規制の厳しい部分の周りにセキュリティを構築することが重要で、新しい製品や機能を開発する際には、規制面と消費者面を十分に統合する必要があります。
教育は非常に重要です。人々は、私たちが何をしようとしているのか、そして彼らを保護するためにどのような技術を導入しているのかを理解する必要があります。これは消費者だけでなく、私たちの組織内でも同様です。私たちは、なぜ二要素認証を使用する必要があるのか、なぜハードウェアトークンが必要なのか、なぜこれらの高度なセキュリティレベルが必要なのかを説明し、教育することに多くの時間を費やしています。人々は必ずしも理解していません。単なる参入障壁としか見ていないのです。私には座右の銘があります:「調査するよりも教育する方が良い」。適切に教育すれば、調査が必要な事態には至らないからです。
Amazon GME Securityでは、カスタマーエクスペリエンスのセキュリティについて話し合っています。Prime Video、Audible、Twitch、ゲーム、音楽など、GMEのあらゆる製品を見渡し、脅威アクターがそのエクスペリエンスに影響を与える可能性がある箇所を検討します。そこにセキュリティを配置するのです。
また、プロダクトチームと協力して、追加の対策が必要な場所を特定します。セキュリティをどこに配置するかを決める際、プロダクトチームと協力してそのエクスペリエンスの中で最も離脱率が高い場所を特定します。消費者にプラットフォームから離れてほしくないため、そこにセキュリティ機能を配置することは望ましくないかもしれません。セキュリティを保護し、カスタマーエクスペリエンスを確保しながら、リスクを生まないようにプラットフォームを保護するというバランスが重要です。David Munroe氏とMoses Thambuswamy氏にも同意ですが、適切なセキュリティソリューションを配置するためには、カスタマーエクスペリエンスを理解することが重要です。カスタマーエクスペリエンスを理解していなければ、セキュリティの配置に関する提案をすべきではありません。消費者の利用方法に確実に影響を与えてしまうからです。
興味深いディスカッションをありがとうございます。皆さんの環境で、現在Securityに関してAIをどのように活用されているのか、またどのような成果を上げているのかについてお聞きしたいと思います。私たちは様々な分野でAIを活用しています。明らかに多くの製品にAIが組み込まれており、あらゆるSecurity製品が「AI対応」や「AIを搭載」と謳っています。しかし社内では、市販製品が適合しない場合や、使用したくない場合に、独自のモデルを開発しようとしています。様々な理由で、最も機密性の高いデータをサードパーティに送信したくない場合もあります。
以前お話ししたように、様々なプラットフォーム間で情報を集約できる社内システムを持つことは非常に重要です。また、市販製品ではサポートされていないプラットフォームにも対応する必要があります。多くの企業が、すでに廃止されたり、あまり使用されなくなったLegacy環境を抱えており、先進的な組織はそういった環境にはあまり注力していません。AIが私たちにもたらす最も重要な価値は、より迅速な対応が可能になることと、個々のプラットフォームだけでは見えない、より広い視野を得られることです。現在、私が最も価値があると考えているのは、使用している様々な製品から情報を集約するためにAIを活用することです。
私たちの場合は半々です。ツールを最大限に活用し、可能な限りスケーラブルに運用することが重要です。Security面では非常に高速な環境なので、できる限り多くの情報を特定・集約し、対応までの平均時間を短縮することを目指しています。次に重要なのは、AIを有効にする新しいテクノロジーごとに適切なガードレールを設置することです。一見無害な技術がAI機能を有効にすることが多々あり、その実際の動作を調査する必要があります。あらゆる分野でAIが使用されているため、残りの半分の時間は、データの漏洩や誤用を防ぐために、組織内のSecurityとAIに関する適切なガードレールを設定することに費やしています。
組織や顧客基盤に戻る際は、実生活での行動を組織での行動に当てはめることが、ユーザーに説明・教育する最良の方法です。DraftKings以外の誰かから電話で、クレジットカード情報を求められたら信用しますか?DraftKingsからの電話だと思っても、それは同じことではないでしょうか?企業に関して言えば、まず識別から始めましょう。何を探しているのかわからなければ、決して把握することはできません。そのため、企業内で何が使われているかを把握し、Shadow ITがないこと、制御されていないAI環境や、ビルドインフラ内で積極的に使用されているAI環境がないことを確認してください。
ChatGPTを使用してコーディングが容易になった時、各組織が最初に直面したのは、NDAやガードレールなしで機密情報が入力されるという問題でした。これは明らかに危険で、制御不能になる可能性があります。だからこそ、まず把握することが重要だと申し上げているのです。
データから始めるという非常に実践的なアプローチです。多くの人は自分たちのデータ全体を十分に把握していません - どこにあるのか、何なのか、誰が使っているのかということです。これらのツールを使用するための最初のステップとして、まず自分たちが持っているデータを見つけ出し、分類し、適切な保護方法を理解することができます。AIを使用する上でガバナンスは非常に重要なポイントです。AIベンダーは、適切なデータガバナンスとデータ衛生管理を推奨しており、意図しない結果を招かないよう、管理が行き届いていない領域でAIを unleash すべきではありません。
情報を得る場所については、一元化された場所はありません。おそらくこれらのツールを使って実現できるかもしれません。専門家が投稿や議論を行うSocial MediaサイトやBlue Sky、フォーラムやISACなど、さまざまな場所を探す必要があります。業界に携わっている場合は、ISACに参加して、こうした会話や情報共有を始めることができます。私にとって最も価値のある情報源は、同業者との定期的な議論や会合、気軽な会話を通じて経験を共有できる関係性です。
業界として、私たちはサイロ化の問題を抱えており、それを打破しようとしていますが、これは困難な取り組みです。情報の匿名化にも限界があります。多くの情報がありますが、残念ながら、それらを一元的に集約する場所がありません。また、情報は常に変化しています - 今日お話しした内容が、来週には異なっているかもしれません。エンドユーザーへの情報提供と同様に、新しい情報や私たちがアクセスできる情報について、常に進化し続ける必要があります。
Media & Entertainment業界におけるセキュリティの脅威に関する情報共有は非常に重要です。Misinformationや Deepfake などのトピックに関する情報を得るために、Media & Entertainment業界の実務者が参加することは重要です - これは真実の情報源を見つけることが難しい問題です。そのため、この分野のセキュリティ実務者として、業界の変革や必要な政策の変更を推進することが重要です。消費者がそれを求めており、私たちは消費者をこの種の攻撃から保護する必要があるのです。
現在出回っている情報の多くは非常にセンセーショナルで、クリックベイトや見出し目当ての内容ですが、より技術的な情報が必要です。人々が展開できるリソースをより多く用意する必要があります。何をすべきかについて人々と話し合える専門家が必要です。これらの新興技術のすべての側面を知っている人に出会うのは非常に難しいです。そのような人々にアクセスできることは確かに価値があり、私たちは誰とでもこれについて議論する用意があります。
最後の質問で締めくくるのにふさわしい内容でしたし、たくさんの情報源もご紹介いただきました。本日はみなさま、ご参加いただき誠にありがとうございました。Amazon Game Media Entertainmentの Director of Securityを務めるBrianさん、DraftKingsの Director of InfoSecを務めるMosesさん、そしてNHLの SVP of IT and Securityを務めるDaveさん、本当にありがとうございました。
※ こちらの記事は Amazon Bedrock を利用することで全て自動で作成しています。
※ 生成AI記事によるインターネット汚染の懸念を踏まえ、本記事ではセッション動画を情報量をほぼ変化させずに文字と画像に変換することで、できるだけオリジナルコンテンツそのものの価値を維持しつつ、多言語でのAccessibilityやGooglabilityを高められればと考えています。
Discussion