1 月 3 日のニュース: 「セキュリティはあらゆるビジネスの基盤でなければなりません!」 当然のことながら、この発言は 2024 年の Amazon Web Services の re:Invent カンファレンスでも再び繰り返されました。

基調講演で、Amazon Web ServicesのCEOであるマット・ガーマン氏は、改めてセキュリティの重要性を強調しました。「すべてはセキュリティから始まります。Amazon Web Servicesにおいて、多くのお客様がクラウドワークロードを私たちに託してくださっている理由の一つがセキュリティです。セキュリティは、すべてのサービスが構築される基盤となる核となるレイヤーなのです。」

今年のre:Inventカンファレンスにおいて、Amazon Web Services（AWS）もいくつかの重要な新しいセキュリティ機能とサービスを発表しました。クラウドコンピューティング業界の先駆者として、これらはAI時代のクラウドセキュリティの新たなトレンドを象徴する可能性があり、注目に値します。

全体として、Amazon Web Services からのこのセキュリティ更新は、「自動化、インテリジェンス、簡素化」という 3 つのキーワードによって特徴付けられます。

オートメーション

近年、情報セキュリティインシデントはますます頻繁かつ複雑化しています。企業のセキュリティチームは、日々大量のアラートに直面することが多く、手作業による調査には多大なリソースが必要となり、重要なセキュリティアラートを見逃してしまう可能性さえあります。

Amazon Web Services は、顧客をより適切にサポートし、セキュリティインシデントへの対応時に直面する作業負荷を軽減することを目的として、Amazon Security Incident Response という新しいセキュリティインシデント対応サービスを開始しました。

具体的には、Amazon セキュリティインシデントレスポンスは、次の 3 つのコア機能を通じて、お客様がセキュリティインシデントの影響に効果的に備え、対応し、回復できるよう支援します。

まず、スクリーニングと調査を自動化します。Amazon Security Incident Responseは、Amazon GuardDutyやサードパーティ製ツールからAmazon Security Hubを介してセキュリティ検出結果を自動的にフィルタリングし、緊急対応が必要な高優先度のインシデントを特定します。セキュリティ検出結果を顧客固有の情報に基づいて自動化およびフィルタリングすることで、チームは重要なセキュリティアラートに集中できるようになります。

第二に、インシデント対応の簡素化：Amazon Security Incident Responseは、事前設定された通知ルールと権限設定を提供し、サードパーティのセキュリティサービスプロバイダーを含む社内外の関係者に拡張できます。お客様は、メッセージング、データ転送、ビデオ会議などの機能を備えた統合コンソールにアクセスできます。これらの機能はすべて、サービスAPIまたはAmazon Web Servicesマネジメントコンソールからアクセスできます。さらに、自動化されたケース履歴の追跡とレポート作成により、対応プロセスがさらに効率化されます。

3つ目は、セルフサービス調査と24時間365日のサポートです。Amazon Security Incident Responseを通じて、お客様はセルフサービス調査ツールにアクセスし、Amazon Web Servicesカスタマーインシデントレスポンスチーム（CIRT）の専門家による24時間365日のサポートを受けることができます。また、インシデントを独自に処理することも、必要に応じてサードパーティのセキュリティベンダーと提携してインシデント対応を行うこともできます。

Amazon Security Incident Responseは既存の検知サービスと統合することで、セキュリティアラートを迅速に確認し、優先度の高い発見事項をエスカレーションし、エンタープライズ顧客の許可を得て封じ込め対策を実施します。この自動化により、セキュリティチームが分析する必要のあるアラートの数が削減され、時間を節約し、セキュリティ担当者はより重要なセキュリティ戦略に集中できるようになります。

知的

前述の通り、Amazon Security Incident Responseのセキュリティ「自動化」機能の中核機能の一つとして、「Amazon GuardDutyおよびサードパーティ製ツールから検出されたセキュリティ情報をAmazon Security Hubを通じて自動的にフィルタリングする」機能が含まれています。この自動化機能の中核コンポーネントであるAmazon GuardDutyは、今年のAmazon Web Services re:Inventカンファレンスにおいて、セキュリティ「自動化」の実現を支援するためのさらなるインテリジェントなアップデートを受けました。

Amazon GuardDuty に拡張された脅威検出機能が追加され、AI/ML を活用してクラウド内のアクティブな攻撃シーケンスを特定できるようになりました。Amazon GuardDuty では初めて、これらの攻撃シーケンスの検出に「重大」レベルの名前を付けるようになりました。

Amazon GuardDuty に拡張された脅威検出機能が追加され、AI/ML を活用してクラウド内のアクティブな攻撃シーケンスを特定できるようになりました。Amazon GuardDuty では初めて、これらの攻撃シーケンスの検出に「重大」レベルの名前を付けるようになりました。

Amazon GuardDuty は、AI/ML テクノロジーを活用し、脅威検出機能を拡張し、既知および未知の攻撃シーケンスを識別できるようになりました。権限の発見、API 操作、持続的なアクティビティ、データ侵害など、複数の攻撃ステップを識別し、相関関係を分析することで、攻撃シーケンスの検出を実現します。さらに、Amazon GuardDuty は AI/ML を活用して複数の段階で攻撃行動を検知し、これらの行動に「重大な重大度」を割り当てることで、ユーザーが実際の脅威を迅速に特定し、対応できるよう支援します。

新しい脅威チェックには、Amazon S3 バケット内の潜在的なデータ侵害や盗まれた認証情報の種類の検出など、新しいデータ侵害検出も含まれており、ユーザーは攻撃の初期段階を早期に特定できます。また、リスクの高い API 呼び出し (Amazon CloudTrail トレースログの削除など) は異常としてマークされ、インシデントの可視性と対応の効率性がさらに向上します。

脅威への対応と対処に関しては、Amazon GuardDuty の新機能により、攻撃者の身元、活動の具体的な詳細、重要なリソースへの影響など、脅威の詳細なコンテキストが提供されます。この情報により、企業のセキュリティチームはより迅速な対応が可能になります。さらに、オープンなサイバーセキュリティナレッジベースである MITRE ATT&CK の戦術と手法の詳細なマッピングにより、セキュリティチームは攻撃経路をより深く理解し、適切な防御策を迅速に実施できます。Amazon GuardDuty は、Amazon クラウドテクノロジーのベストプラクティスに基づいた修復推奨事項も提供し、ユーザーが脅威に効果的に対処できるよう支援します。

現在、Amazon GuardDuty の拡張脅威検出機能はデフォルトで有効になっており、追加の設定やコストは不要です。この機能は、Amazon GuardDuty をサポートするすべての商用 Amazon Cloud Technology リージョンで利用可能であり、企業のグローバルなクラウドセキュリティ機能を強化します。

注目すべきは、Amazon GuardDuty のインテリジェントなアップグレードに加えて、Amazon Web Services がセキュリティと安定性の向上において重要な機能である「自動推論」にも大幅なアップデートを行ったことです。

実際、Amazon Web Servicesは過去10年間で、クラウドインフラストラクチャとサービスの正確性を検証するために自動推論技術をますます活用してきました。自動推論は、セキュリティと信頼性の向上、そして設計上の欠陥の最小化に役立っています。

今回、Amazon Bedrock は自動推論チェックを導入します。これは、論理的に正確で検証可能な推論を通じて、モデルの錯覚による事実誤認を防ぐ、世界初にして唯一の生成AIセーフガードです。自動推論チェックは、モデルの応答に対する顧客の信頼を高めることで、精度が最重要視される生成AIの新たな応用シナリオを切り開きます。

簡素化する

最後に、Amazon Web Services には今回、「簡素化された」設計を通じて顧客のセキュリティをさらに軽減するという点で、非常に印象的な新しいアップデートが 3 つあります。

まず、Amazon Security Lake は Zero-ETL を使用して Amazon OpenSearch Service と統合します。

Zero ETL (Zero Extract, Transform, and Load) は、複雑なデータ変換やクリーニングの必要性をなくし、クラウド内で直接ワンストップのデータ分析と処理を可能にするクラウドネイティブのデータ処理アプローチです。

Amazon Security LakeとのZero-ETL統合により、ユーザーはAmazon OpenSearchを介してセキュリティデータを直接クエリおよび分析できるようになりました。これにより、企業のセキュリティチームは、これまで分析コストが高すぎて分析できなかった大規模なデータソースを効率的に探索できるようになり、セキュリティ体制を包括的に把握することでセキュリティ調査を簡素化できます。これは、企業のセキュリティチームがAmazon Security Lake内で直接ログをクエリおよび分析できる新しいアプローチであり、冗長なデータストレージの必要性を減らし、カスタムデータパイプラインの管理にかかる運用オーバーヘッドを削減します。

第二に、Amazon Verified Access は、非HTTPSプロトコルを介したリソースへの安全なアクセスをサポートするようになりました。これにより、VPNを必要とせずに、アイデンティティとデバイスベースのセキュリティ管理が可能になります。これは、ゼロトラストアーキテクチャによるセキュリティ運用の簡素化の一例です。

従来のVPNソリューションは、ネットワークアクセスを提供する一方で、過度に広範な権限を付与し、きめ細かなアクセス制御が不十分な場合が多く、機密データ基盤が危険にさらされる可能性があります。アクセスを仲介するために要塞ホストを使用すると、複雑さが増し、ポリシーの不整合が生じやすくなります。

Amazon Verified Access の新機能は、Amazon Web Services のゼロトラスト原則に基づいて設計されており、組織は IP アドレスに依存せず、アイデンティティとデバイスのセキュリティに基づいてネットワークアクセスを管理できます。個別の VPN や要塞ホストを必要とせず、Amazon Verified Access はアクセスポリシーの統合管理を通じてセキュリティ運用を簡素化します。さらに、IPCIDR とポートを指定することで、Amazon Verified Access は DNS レコードを自動的に作成し、リソース管理を簡素化します。これにより、ユーザーは手動で DNS を設定する手間をかけずに、新しいリソースに即座に接続できます。

3 つ目は、セキュリティの簡素化が新世代の Amazon SageMaker にも反映されていることです。

次世代の Amazon SageMaker は、企業全体におけるデータと AI の検出、ガバナンス、コラボレーションを簡素化し、セキュリティニーズへの対応を強化します。管理者は、モデル、ツール、データソース全体にわたる権限を簡単に定義・適用できるほか、カスタマイズされたセキュリティ対策により、AI アプリケーションのセキュリティとコンプライアンスを確保できます。

エンタープライズのお客様は、Amazon SageMaker のデータ分類、毒性検出、ガードレール、そして責任ある AI ポリシーを通じて AI モデルを保護することもできます。Amazon Web Services は、Amazon Bedrock Guardrails にマルチモーダル毒性検出機能を追加しました。これにより、有害コンテンツの検出範囲が画像などの非構造化データにも拡張され、エンタープライズが安全でマルチモーダルな生成型 AI アプリケーションを構築できるようになります。

ガートナーによる今後5年間の世界情報セキュリティ市場の最新予測によると、2028年までにサイバー攻撃とデータ侵害の22%に生成AIが関与するとされています。生成AIの急速な発展を踏まえ、企業の情報セキュリティをより効果的に保護するにはどうすればよいでしょうか？Amazon Web Servicesが独自の実践を通して開発した「自動化、インテリジェント化、簡素化」されたセキュリティ管理手法は、注目に値し、学ぶ価値があります。