11月7日、Amazon Web Servicesの最高情報セキュリティ責任者（CISO）であるクリス・ベッツ氏が「Amazon Web Servicesがプロアクティブディフェンスを通じてセキュリティ脅威から顧客を保護する方法」と題する記事を公開し、Amazon Web Servicesのプロアクティブディフェンスクラウドセキュリティシステムの詳細を多数明らかにしたと報じられた。

実際、サイバーセキュリティは本質的に攻撃と防御の能力の競い合いであり、プロアクティブな防御は重要なセキュリティ戦略です。クリス・ベッツ氏が記事で述べているように、「セキュリティインシデントが顧客のビジネスに影響を与えるのを防ぐには、常に潜在的な脅威に先手を打つ必要があります」。そして、「潜在的な脅威が顧客に影響を及ぼす実際のセキュリティ問題に発展するのを防ぐため、プロアクティブかつリアルタイムの対策を講じる必要があります」。

潜在的な脅威に先手を打つことは、Amazon Web Services のプロアクティブなクラウド セキュリティ システムの基本的なロジックです。

では、具体的にどうすれば「常に潜在的な脅威に先手を打って」、プロアクティブな防御を行うことができるのでしょうか？Amazon Web ServicesのCISOが紹介した手法を見てみましょう。

サービスに「安全設計」を統合する

Amazon Web Services には、クラウド セキュリティ システムを構築するための独自の方法論があります。

クリス・ベッツ氏は次のように述べています。「Amazon Web Servicesは、お客様の信頼を獲得し、維持することに尽力しています。セキュリティは最優先事項であり、サービス設計の段階からセキュリティを考慮しています。」

Amazon Web Services は、「セキュリティは設計に組み込まれている」と考えています。インフラストラクチャであれサービスであれ、セキュリティは設計プロセスの最初から最優先事項であり、アーキテクチャから運用まであらゆる側面に組み込まれるべきです。

具体的には、Amazon Web Services (AWS) は、アーキテクチャ設計の当初から多層保護に重点を置き、自動監視とグローバルな脅威対応メカニズムを通じて安全で安定したクラウド環境を実現しています。

さらに、Amazon Web Services（AWS）は、グローバルな展開規模（Amazon Web Servicesのインフラストラクチャは34の地理的リージョンにまたがる108のアベイラビリティゾーンにまたがっています）を活用し、世界中のセキュリティデータをリアルタイムで分析できます。世界中のセキュリティチームとインテリジェンスを共有することで、AWSは最新の脅威情報を迅速にグローバルな防御システムに適用し、お客様にリアルタイムのセキュリティ保護を提供します。この大規模な連携は、AWSのプロアクティブ防御の範囲を強化するだけでなく、業界のセキュリティ基準の向上においても主導的な役割を果たすことを可能にします。

3つの主要なシステムがアクティブな防御バリアを構築します

クリス・ベッツ氏は、Amazon Web Servicesのプロアクティブ防御システムは、攻撃の誘引から脅威の分析、そして最終的な侵入経路の遮断までの全プロセスをカバーする複数の連携システムで構成されていると明らかにしました。このプロセスの中核を成すのは、MadPot、Mithra、Sonarisという3つの主要システムです。これらのシステムの連携により、サイバー攻撃を効果的に監視、分析、封じ込め、世界中のAmazon Web Servicesユーザーのための遍在的なセキュリティバリアを構築します。

I. マッドポット：脅威の捕捉と情報収集の先駆者

ハニーポット技術は、サイバーセキュリティ防御における最新のトレンドと技術の一つです。囮ホストを設置して攻撃者をおびき寄せ、攻撃データを収集し、潜在的な脅威を特定して防御するのに役立ちます。

MadPot は、Amazon Web Services が開発した高度な「ハニーポット システム」であり、実際のサービスとデータをシミュレートして潜在的な攻撃者を引きつけます。

MadPotは、世界中に多数の「おとり」環境を展開しています。これらの仮想環境は、一般的なAmazon Web Services（AWS）アプリケーションのシナリオを模倣しており、攻撃者に悪意のある操作を明らかにさせるように設計されています。MadPot環境内では、攻撃者のあらゆる試みと悪意のあるコードが記録・分析され、AWSが貴重な脅威インテリジェンスを取得するのに役立ちます。

II. Mithra: 大規模トラフィック監視および評判スコアリングシステム

Mithraは、Amazon Web Services（AWS）が開発したニューラルネットワーク脅威インテリジェンスシステムで、DDoS攻撃などの悪意のあるトラフィックに対抗するために特別に設計されています。このシステムは、35億ノードと480億エッジからなる複雑なニューラルネットワークを用いて、世界中のネットワークリクエストをリアルタイムで分析し、レピュテーションスコアを割り当てます。

Mithra は、1 日あたり 200 兆件のインターネット ドメイン リクエストを処理できる能力を備え、毎日約 182,000 件の悪意のあるドメインを識別してブロックし、Amazon Web Services ネットワークへの侵入を防ぎ、顧客のビジネスのセキュリティを確保します。

Mithraは、世界的なDDoS攻撃の際に数十億件もの悪意あるリクエストをブロックすることに成功し、顧客サービスの円滑な運営を確保したと報告されています。同社のレピュテーションスコアリングシステムは、信頼できないリクエストを識別・隔離するだけでなく、DDoS攻撃による業務中断を軽減し、アプリケーションの可用性を効果的に向上させます。

III. Sonaris: 世界規模でのリアルタイム脅威検知と自動対応

今年の re:Inforce カンファレンスで、Chris Betz 氏は、Amazon Web Services (AWS) テクノロジーとその顧客を保護する上で重要な役割を果たす内部脅威インテリジェンス ツールである Sonaris を紹介しました。

Sonarisは、Amazon Web Servicesが独自に開発し、MadPotと緊密に統合されたグローバルなリアルタイム脅威検知システムです。強力な機械学習モデルとディープラーニングネットワークを活用してネットワークトラフィックを分析し、悪意のあるアクティビティをリアルタイムで捕捉・ブロックします。Amazon Simple Storage Service（Amazon S3）バケットに対する不正なスキャンと検出を、数分以内にグローバルに特定し、自動的に制限することができます。

Sonarisは、セキュリティルールとアルゴリズムを用いて、1分あたり2,000億件のイベントから異常を特定します。MadPotが新たな脅威の行動パターンを収集するたびに、Sonarisはこの情報を迅速に同期し、内部アルゴリズムを更新することで、攻撃者の活動を可能な限り迅速に検知し、自動的に制限します。

Sonaris は、Amazon Web Services の IP アドレスまたは顧客アカウントをスキャンする悪意のある試みを検出すると、Amazon Shield、Amazon Virtual Private Cloud (Amazon VPC)、Amazon S3、Amazon WAF からの自動保護をトリガーし、顧客のリソースを不正なアクティビティからリアルタイムで保護します。

MadPot と Sonaris の連携により、Amazon Web Services は潜在的な攻撃が発生する前に備えることができ、顧客がリスクにさらされる時間を最小限に抑えることができます。

予防的防御の成果は定量化できます。

サイバーセキュリティの分野では、受動的な防御とは異なり、能動的な防御は「常に潜在的な脅威に先んじる」ことを目指しており、脅威が実際に発生する前に「排除」することを意味します。

実際、サイバーセキュリティ分野において、プロアクティブ防御の有効性をどのように証明するかは、セキュリティサービスプロバイダーにとって避けて通れないテーマです。

Amazon Web Services は、Sonaris のサイバー攻撃対応が顧客に与える影響をどのように測定しているのでしょうか?

クリス・ベッツ氏は、Amazon Web Services（AWS）がMadPotを用いたグループテストを実施し、Sonarisが顧客のセキュリティに与える影響を評価したと説明しました。2つの独立したハニーポットテストグループが設立され、それぞれの脅威活動を比較しました。一方のグループにはSonarisの分析に基づく境界セキュリティ制御を設定し、もう一方のグループには保護対策を施しませんでした。その結果、Sonarisは多数の潜在的な脅威を効果的にブロックすることが示されました。2024年9月のデータでは、MadPotによって分類された数百件の悪意のあるインタラクションのうち、不適切な試行が83%減少したことが示されました。

過去 12 か月間で、Sonaris は、意図せず公開された S3 バケットを見つけようとする 270 億回以上の試みを拒否し、Amazon Elastic Compute Cloud (Amazon EC2) 上のサービスの脆弱性を見つけようとする約 2.7 兆回もの試みをブロックしました。

2023年から2024年にかけて、Dota3と呼ばれる大規模でアクティブなボットネットが、暗号通貨マイニングマルウェアをインストールするために脆弱なホストやデバイスを探してインターネットをスキャンしていました。2024年第3四半期には、Sonarisの階層型検出手法により、このボットネットはAmazon Web Servicesの自動検出を回避できなくなりました。Sonarisは、1時間あたり16,000を超える悪意のあるスキャンエンドポイントからお客様を自動的に保護します。

同時に、クリス・ベッツ氏は次のように強調しました。「ソナリスはリスクを軽減できますが、完全に排除できるわけではありません。私たちの取り組みはまだ終わりではありません。私たちは引き続きセキュリティ対策の開発と強化に取り組んでいきます。Amazon Web Servicesは、ますます複雑化するデジタル環境において、インターネットをより安全にし、お客様が強固なセキュリティ体制を維持できるよう、引き続き尽力していきます。」