AWS セキュリティ特化のイベント、re:Inforce 2023 がアナハイムで行われました！

2023年6月13日〜14日にカリフォルニア州アナハイムにて re:Inforce 2023 が開催されました。

re:Inforce とは、re:Invent のセキュリティ特化版に位置付けられるラーニングカンファレンスです。現地では最新のアップデート情報が発表され、日本でも6月29日に東京で re:Cap が行われました。本ブログでは、re:Cap から得た最新のアップデート情報を一気にまとめます。

AWS セキュリティ特化のイベント re:Inforce とは

re:Inforce とは、re:Invent と同様に毎年 AWS によって開催されるラーニングカンファレンスです。re:Invent と異なるポイントは「セキュリティとコンプライアンスに特化している」ことで、keynote は勿論、Security JAM のような workshop の他、展示会もございます。

個人的に体験してみたかったのは VR で AWS のデータセンターを散策できるという展示です。re:Cap では VR ゴーグルをつけて笑っている、楽しそうな写真が公開されていました。

企業ブースもクラウドセキュリティとコンプライアンスに特化しているため、トレンドが一目でわかることが魅力と語られていました。

現地参加者のみが得られる利点ですね。

keynote は YouTube にてアーカイブが配信されているため、是非ご視聴ください。
https://www.youtube.com/watch?v=_piUB5FrYVE

AWS re:Inforce にて発表された最新のセキュリティサービス

re:Inforce にて発表されたサービス情報は下記16件でした。
概要をご案内いたします。

① Amazon Verified Permissions（一般提供開始 / 全リージョン）

プレビューアクセスでしたが、ついに一般提供が開始されました。IAM とは別に、アプリケーションのアクセス制御の定義が可能となります。Ceder と呼ばれる AWS がオープンソースとして公開しているポリシー言語を使用して、明示的にコードでアクセス制御を定義することが可能です。

② Amazon EC2 Instance Connect Endpoint（一般提供開始 / 全リージョン）

こちらが当日のタイムラインでも一番話題に上がっていたリリースだと思います。
プライベート環境にある EC2 に対して EIC エンドポイントを設置することで SSH 及び RDP 接続が可能になりました。

これまでは踏み台サーバーを用意する以外にも SSM Session Manager を使うことで実現が可能でしたが、VPC エンドポイントを活用する必要があるためコストがかかることが難点でした。
この EIC エンドポイントはなんと無償で利用が可能です。
今後の構成図で登場するシーンが増えていきそうです。

③ Amazon Inspector Code Scans for AWS Lambda（一般提供開始 / 東京を含む10リージョン）

標準スキャンに加え、セキュリティベストプラクティス（CodeGuru Detector）に基づいてスキャンするコードスキャンサービスがプレビューから一般提供開始となりました。

④ Amazon Inspector SBOM Export（一般提供開始 / 全リージョン）

Amazon Inspector で監視している全てのリソースを Software Bill of Materials（SBOM）として S3 バケットに業界標準形式でエクスポートできる機能が追加されました。Inspector の結果を Amazon Athena や Amazon QuickSight を使用して分析ができるようになります。

⑤ Amazon CodeGuru Security（プレビュー / 東京を含む10リージョン）

機械学習を使用してコードの脆弱性を特定してくれる静的アプリケーションセキュリティテスト（SAST）ツールです。また、特定の脆弱性にはパッチコードが生成されます。

⑥ Amazon Detective finding groups（一般提供開始 / Amazon Detective が利用可能な全リージョン）

Amazon GuardDuty で検出した脅威に加え、Inspector のネットワーク到達可能性とソフトウェアの脆弱性検出結果が含まれるようになりました。EC2 インスタンスで検出された脅威の原因が脆弱性かどうかまで調査が可能になります。

⑦ AWS Security Hub Automation Rules（一般提供開始）

AWS Security Hub にニアリアルタイムで検出結果を自動的に更新または抑制する自動化ルール機能が追加されました。インシデント対応の効率化が可能となります。

⑧ WAF Account Creation Fraud Prevention（一般提供開始 / 東京、大阪を含む22のリージョン）

不正なアカウント作成を検出、ブロックするコントロールです。なりすましやフィッシング攻撃などのアカウント悪用を自動的にブロックが可能となりました。

⑨ Amazon GuardDuty Summary View（一般提供開始 / Amazon GuardDuty が利用可能な全リージョン）

GuardDuty のビューが新しくなりました。時間経過に伴う検出結果の傾向、重要度及び検出結果の種類別内容等が表示されます。

⑩ AWS Payment Cryptography（一般提供開始 / バージニア北部、オレゴンリージョン）

決済トランザクション処理に必要な暗号処理を行うための決済 HSM と暗号鍵管理機能を提供するマネージドサービスが提供開始となりました。関連する PCI SSC の要件に適合しており、オンプレミスの決済 HSM 管理が不要となります。

⑪ AWS Database Encryption SDK（プレビュー / 全リージョン）

Amazon DynamoDB におけるクライアントサイド暗号化を容易に実現するためのソフトウェアライブラリのセットが利用可能となりました。DynamoDB テーブル保存前の属性地単位の暗号化が簡易に実現可能となり、AWS KMS と統合することで暗号鍵の制御も実現します。

⑫ AWS DRS VPC configurations recovery（一般提供開始 / 東京、大阪を含む各リージョン）

AWS Elastic Disaster Recovery が VPC 構成のリカバリをサポートするようになりました。対象はサブネット CIDR、セキュリティ グループ、ルート テーブル、インターネット ゲートウェイ、ネットワーク ACL です。

⑬ AWS Audit Manager 第三者リスクアセスメントと CSV 出力をサポート（一般提供開始 / AWS Audit Manager が利用可能な全リージョン）

AWS Audit Manager でテキスト形式の質問に回答することで手動エビデンスが入手可能となり、その結果を CSV 形式でエクスポートできるようになりました。

⑭ AWS IAM Identity Center supports Google Workspace（一般提供開始 / AWS IAM Identity Center が利用可能な全リージョン）

ユーザ情報の自動プロビジョニングが可能な外部のIDプロバイダー（IdP）として Google Workspace が追加されました。Google Workspace ID を利用して AWS IAM Identity center ユーザーポータルから AWS コンソールへアクセス可能となります。

⑮ Amazon ECR Basic Scan supports CVSS v3 （一般提供開始 / 全リージョン）

ECR が CVSS v3 の情報を利用した脆弱性の重大度判断ができるようになりました。

⑯ AWS CloudTrail Lake でトップトレンド可視化ダッシュボードを提供（一般提供開始 / CloudTrail Lake が利用可能な全リージョン）

事前に定義されたクエリを使うことで、CloudTrail イベントのトレンドを視覚的にダッシュボードで把握可能となりました。

AWS re:Inforce にて語られたセキュリティの考え方

AWS のセキュリティに対する考え方についても語られていました。
一部、Japan ツアー参加者限定の CISO CJ Moses 特別セッションの内容を含めてまとめます。

EC2 へは AWS 従業員であってもログインすることはできない

2023年5月12日に下記ブログが AWS より公開されました。
https://aws.amazon.com/jp/blogs/news/aws-nitro-system_affirmation/

AWS Nitro System のセキュリティ保証を得るため、第三者機関の NCC Group に評価依頼を行い、AWS の従業員が基盤ホストにログインをする仕組みはなく、暗号化されたデータにアクセスするようなメカニズムもないことを報告している内容です。

私達は AWS が提供しているクラウドサービスを利用していますが、内部情報が AWS へ流れる心配をすることなく利用が可能です。

security is a constantly evolving landscape

セキュリティは常に進化しています。

量子コンピューティングにより従来の暗号化技術が無力化されてしまう可能性が挙げられました。AWS は、新たなテクノロジーの創出を支援しています。

2022年11月にも CJ Moses は量子コンピューティングに触れており、ポスト量子化の世界に備えて準備を進めていると語られていました。

https://d1.awsstatic.com/Security/Security_Predictions_e-book_2022_JP.pdf

セキュリティサービスのロードマップ

お客様の責任範囲のセキュリティサービスに注力していることが語られました。課題としてよく挙げられるのはセキュリティデータの可視化と迅速な分析です。

AWS SecurityHub, Amazon SecurityLake をリリースしてきましたが、AWS だけで完結させずに APN パートナーと統合するサービスもリリースをしています。

これにより、ワンクリックで統合済みのサービスを利用が可能となります。

生成 AI を活用したセキュリティサービスの提供

生成系 AI は世間的に注目される前から注力しており、Amazon GurdDuty 、コードスキャンだけでなくAmazon CodeGuru Security のリリースにより、脆弱性の指摘だけでなく修正コードも自動生成が可能となりました。

セキュリティ予算確保の考え方

日本企業はコストになりがちなセキュリティ予算確保に苦労するケースが多いですが、Amazon も同様です。

Amazon では各ビジネスリーダーはそれぞれのセキュリティに責任を持っていますが、全ての人がセキュリティの重要性を理解するために、時間をかけて組織全体へセキュリティカルチャーを構築する努力が Amazon でも必要でした。

セキュリティは、セキュリティチームが中央集権的に単一のルールやシステムを使わせることではないのです。AWS には Guardians という社内プログラムがあり、メンバーが各事業部に存在してセキュリティの支援を行っています。各事業部のチームと協力して設計、実装、テストのサポートまで行っています。

Guardians プログラムとセキュリティカルチャーにより、セキュリティはビジネスの足枷ではなくビジネスを構築するための基盤となりました。

セキュリティ担当者の育成

Amazon の場合は Guardians の中で育成されます。セキュリティの専門家が協力するコミュニティもあり、お互いで指導し合っています。

また、Amazon には強力なセルフサービスの文化があり、社内には数百のトレーニングコースがあります。一般的なセキュリティ知識からサービス特化まで種類は多岐にわたり、外部研修プログラムも組み、新しいアイデアや視点の取り込みに役立っています。

セキュリティカルチャーを作り上げるためには

ビジネスにおけるセキュリティの役割理解が重要です。企業リスクを特定し、理解し、リスクの許容範囲内で活動できるようにすることが必要です。セキュリティに関する質問を受けた際、「Yes, but」または「Yes, and」と一度受け入れることを心がけています。

ビジネスとセキュリティが対立した場合、ビジネスの意味を考えてリスクを適切に軽減する方法を模索します。カルチャーを築くまでの近道はありません。ドキュメント化もできません。リスクに対してどう取り組むかを考えて、あらゆるやり取りの結果から深い協力体制が築かれます。

AI による高度な攻撃増加に対する考慮ポイント

セキュリティにおいて、AI はポジティブな影響だけでなくネガティブな影響も考えられます。セキュリティ基盤としてレジリエンスや多層防御、安全なパスを作っておくことが大切になっていきます。

AI や機械学習はセキュリティデータの迅速な処理と分析に役立つツールです。AWS では GuardDuty の異常検知や Amazon Inspector のコードスキャンなど、機械学習と AI を様々なサービスで利用しています。重要なのはテクノロジーがどのように機能し、どこが適しているかを理解することです。

以上が re:Inforce 2023 のまとめになります。

クラウドセキュリティに特化したカンファレンスというと敷居が高く感じますが、re:Cap ではハードルを高く感じなくて大丈夫という声が多かったです。

今後の AWS 構成図が変わってきそうな GA も多いですね。

是非、気になったサービスをご活用ください。