はじめに

こんにちは、mihoです。
この記事では、AWS re:Invent 2024に参加させていただいた際に現地で聞いたセッションについてご紹介します。
セキュリティにおけるEQの関係性・重要性や、AWSが実際に取り組んでいるワークショップの内容の紹介などをまとめた内容です。

本記事で頻繁に出てくる用語を先に説明します。

Emotional Intelligence
感情知能。
EQ
Emotional Intelligence Quotientの略。感情知能指数または感情指数。

セッション概要

タイトル

Emotionally intelligent security leadership to drive business impact

セッション概要(公式より引用)

Elevate your leadership and learn to align security needs with strategic business outcomes, spearhead impactful transformations, and cultivate a sustainable security culture. Get an inside look how AWS and its customers lead security with empathy, translate security purpose into results, inspire innovation, and foster connections to improve positive escalation culture. Uncover proven strategies to overcome people challenges, empower security champions, and achieve scalable security success. Become empowered to lead with precision, acquire the art of connecting security objectives to meaningful business impact, and steer your organization toward a future where security is a catalyst for success and resilience.

以下日本語訳

リーダーシップを高め、セキュリティのニーズを戦略的なビジネス成果に整合させ、インパクトのある変革を先導し、持続可能なセキュリティ文化を育成する方法を学びます。AWSとそのお客様が、どのように共感をもってセキュリティをリードし、セキュリティの目的を成果につなげ、イノベーションを鼓舞し、積極的なエスカレーション文化を向上させるために人脈を育んでいるのか、その内情を知ることができます。人の課題を克服し、セキュリティチャンピオンに力を与え、スケーラブルなセキュリティの成功を達成するための実証済みの戦略を発見する。的確なリーダーシップを発揮し、セキュリティの目的を有意義なビジネスインパクトにつなげる術を身につけ、セキュリティが成功と回復力の起爆剤となる未来に向けて組織を舵取りしてください。

セッション動画リンク

AWS re:Invent 2024 – Emotionally intelligent security leadership to drive business impact (SEC218)

最初のアンケート

このセッションは、以下のようなアンケートから始まりました。

セキュリティリーダーもしくは実務者として、これがあなた方が直面している課題であるかどうか、手を挙げてください

1. 衝突の激しい議論や討論の最中に自分のストレスをコントロールすること
2. 感情が高ぶっているときに、場を管理すること
3. 関係者にセキュリティの成果を理解してもらい、評価してもらうこと
4. 他者にセキュリティを擁護するようにを促すこと
5. 共感を通じて真のつながりを築くこと

会場では全ての項目に手が挙がっている印象がありましたが、特に3番に非常に多くの手が挙がっていました。
これには私もかなり共感しました…。

セキュリティにおけるEmotional Intelligenceの重要性

Emotional Intelligenceフレームワーク

Emotional Intelligenceには以下の4つの要素があり、冒頭の課題全てに対応しているそう。

• 自己認識
• 自己管理
• 共感力
• 関係性理解

セキュリティにおけるEmotional Intelligenceの重要性

では、なぜセキュリティにおいてEQが重要なのか?
端的に言えば、Emotional Intelligenceが低ければ、セキュリティの成果が最適化されないということです。

それを裏付けるものとして、Emotional Intelligenceとセキュリティに関する調査結果が紹介されました。

• セキュリティ実務者の13%が共感性を重要なスキルとして認識していない
• 仕事関係のストレスが原因で約50%のサイバーセキュリティリーダーが組織を去ろうとしている
• CISOの62%はITチームとセキュリティチームのコミュニケーション不足が効果的なインシデント対応の大きな障害となっていると認識している
• Emotional IntelligenceとflexibilityはAIが主導する将来、従業員の成功の鍵となる上位3つのうちの2つを占める(あと1つは分析的判断力)
• ある研究ではストレス管理とEQトレーニングを受けた従業員の生産力が93%向上した

はじめはセキュリティとEQの関連が見えてきませんでしたが、具体的な例を見てみると関連性があるように感じます。

セキュリティにおいてEQが高いことで得られる良い影響として以下が紹介されました。

• 非難のないセキュリティ文化
• 革新と創造性
• 満足度の向上
• 幸福感(燃え尽き症候群の軽減)
• 前向きな職場環境
• インクルージョンと公平性
• ステークホルダーとのコミュニケーション

セッションでは、「セキュリティ文化」というワードが繰り返されていました。
文化というものは皆が共有する価値観や考え方、共通認識などにより作り出されるものだと思います。
組織がセキュリティの文化を持つためにはセキュリティは皆のものだと認識する必要があります。
EQを高めることはそのための障壁をなるべく減らすための一歩なのだと感じました。

EPIC Security ワークショップについて

AWSは技術的なスキルだけではなく、Emotional Intelligenceが重要と考えていて、Emotional IntelligenceワークショップとしてEPIC Security ワークショップを行っているそうです。

EPICとは?

EPICとは以下の頭文字を取ったものです。

• Empathy (共感性)
• Purpose (目的意識)
• Inspiration (インスピレーション)
• Connection (つながり)

このプログラムはリーダーが上記を持って組織をリードできるように感情面やソーシャルスキルを伸ばし、人としてのパフォーマンスを多方面で向上させることを目的としています。
参加者は開始以来、Amazon社内で40万人、社外で10万人にのぼるそう。

ワークショップ内で行っていることの紹介

• Mission of Discovery
  • セキュリティのニーズをビジネスの成果に変換するトレーニング。
  • ロールプレイングを通じて、ビジネスパートナーの目標、価値観、課題を理解し、セキュリティ専門用語をビジネス成果に変換する練習を行う。

セキュリティの成果をステークホルダーが関心を持ち、改善に意欲的になるような形に翻訳して伝えることが重要だそうです。そのためにはビジネスパートナーと頻繁な対話を持つことで相手の目標、価値観、強みなどを理解することが必要です。

私もセキュリティのことを考えて他部署の方にアプローチをしてもイマイチ伝わっていないように感じた経験があり、この考え方は取り入れていきたいと思いました。

ワークショップの成果

ワークショップ後のアンケートとフォローアップで以下のような成果がみられたそうです。かなり効果があったことがわかります。

• セキュリティニーズをビジネスの成果に結びつける自信が 42.8% 向上
• 共感力を持ってリーダーシップを発揮し他者にセキュリティを推進するように動機づけられる自信が 53.5% 向上

またAWSでは、このワークショップ後、不要なアクセス権限の削除を申し出る人が出てきたというエピソードがありました。
これは本当にすごいことだと思います。
セキュリティを推進していこう!という気持ちが組織全体に広がっていることがよく分かるエピソードですね。

AWSのSecurity Guardiansプログラム

組織全体でセキュリティを推進していくための具体的な施策としてAWSで実施されているSecurity Guardiansプログラムについて紹介がありました。

Security Guardiansプログラムとは、開発者をトレーニングしサービスチーム内でセキュリティアンバサダー(Guardians)として活動できるように育成するプログラムです。

その成果として、2000人以上のSecurity Guardiansが育成された結果、
アプリケーションセキュリティレビューにおいて中程度から高程度の重要度の指摘事項が 22.5%減少 したそうです。
これは期間中に約16,000件の指摘事項が減少したこと、セキュリティレビューの完了までの期間が26.9%短縮 されたことを意味するそう。
ビジネスを加速する上でセキュリティというのはスピードの面でボトルネックになりがちです。それをうまく乗り越えた素晴らしい例だと思います。

Security Guardiansプログラムについては以下のAWSのブログに詳しく紹介がありましたので、興味のある方は読んでみてください。
How AWS built the Security Guardians program, a mechanism to distribute security ownership | AWS Security Blog

感想

今回、私がこのセッションに参加しようと思った理由は、AWSほどの大きな組織でセキュリティリーダーシップについてどのような施策がなされているのか興味を持ったからでした。
私自身セキュリティの部署に所属しており、組織のセキュリティを維持し守っていくことを求められる立場である一方で、様々なステークホルダに対してセキュリティの向上を働きかける難しさを痛感していました。

セキュリティインシデントは甚大な被害を生む場合もあり、セキュリティの現場はヒリヒリとした空気で満ちていて、メンバーはストレスで胃を痛めている…なんてイメージがありますよね。
企業の規模が大きければなおさらです。
ですが、今回のセッションでまず感じたのは雰囲気の良さでした。
時々笑いが起きたり、登壇者だけではなく参加者みんなで深呼吸をする一幕もありました。

このセッションを通して組織としてセキュリティの文化を創造するために、非難することではなく、前向きに問題解決に集中できるような関係・雰囲気の構築が必要なのだと感じました。
そのためにEmotional Intelligenceを高め、自身と他者へ理解を深めること、感情を認め管理することが大切ということが分かりました。

また、AWS re:Inventという世界最大のテックイベントで人間の思考やマインドセット、コミュニケーションをここまで深堀りしたセッションがあることにも驚きました。
AIを始めとして進化していく技術社会において人間力は変わらず、いや、より重要視して磨いていく必要のあるスキルなのだと学びました。
セキュリティ以外の技術分野においてもこの部分は共通していることだと思います。

最後までお読みいただきありがとうございました。