ゼロトラスト強化と運用効率化を同時に実現するAWS最新アップデート ＠re:Invent 2025

AWS re:Invent 2025 では、クラウド環境の「検知・優先順位付け・対応」を一気通貫で強化するアップデートが相次いで発表されました。クラウド攻撃の高度化により、単なる検知だけでなく、迅速な優先順位付けと対応が求められる中、今回の発表は運用効率化とゼロトラスト強化の観点で大きな意味を持つように感じました。

特に AWS Security Hub（新バージョン）の一般提供開始（GA） と、Amazon GuardDuty Extended Threat Detection（攻撃シーケンス検出）の EC2/ECS 対応 は、運用現場の意思決定と対応速度に直結する重要トピックです。加えて、NitroTPM による EC2 インスタンスのアテステーションと、KMS ポリシーの条件キーを組み合わせた「実行中データの保護（Confidential Computing）」の実践的なユースケースも整いました。

re:Inventでは、新しいAWS Security HubがGAになったと発表されました。これにより、リアルタイムなリスク分析が可能となります。

• 近リアルタイムのリスク分析
  Inspector・Macie・GuardDuty・Security Hub CSPM の信号を自動相関し、「露出（Exposure）」「脅威（Threats）」「リソース」「セキュリティカバレッジ」で整理。優先度の高い事象が即座に表面化します。
  　
• トレンド可視化（最大1年）
  Summary ダッシュボードに期間比較（DoD/ WoW/ MoM）ウィジェットを追加。施策の効果や姿勢の改善/悪化を俯瞰できます。・クロスリージョン集約と運用カバレッジの把握：アカウント/リージョン横断で、各セキュリティサービスのデプロイ状況や盲点を俯瞰。統制と可視性を両立します。
  　
• Previewから GA への更新点
  トレンド機能、ウィジェット拡充、ニアリアルタイム分析、チケット連携の強化など。コンソールから GA 版への移行が可能です。
  　

• Organizations 単位での有効化とポリシー適用
  Security Hub（GA）の一括有効化と、露出/脅威ベースの自動化ルールを構築。
  　
• Summary ダッシュボードの運用 KPI 化
  Trend ウィジェットで日/週/月の姿勢変化をモニタリングし、チーム目標に連結。
  　
• Jira/ServiceNow 連携のルール整備
  重大度・タイプ・リソース種別に応じた自動起票の標準化。

Amazon GuardDuty Extended Threat Detectionの新たな機能強化として、Amazon EC2インスタンスとAmazon ECSのタスクに関する攻撃シーケンスの拡張の追加が発表されました。

• 新規ファインディングタイプ
  • AttackSequence:EC2/CompromisedInstanceGroup（オートスケーリンググループ/AMI/VPC 等で共通性のあるインスタンス群の侵害を一連のシーケンスで検知）
  • AttackSequence:ECS/CompromisedCluster（ECS クラスター/Fargate/EC2 起動タイプでの多段階攻撃を連結して検知）
    　
• AI/ML による相関
  ネットワーク・ランタイム・マルウェア・API などの信号を長期時系列で結び、複数イベントを「Critical」1件に凝縮。分析初期負荷を削減。
  　
• 有効化/コスト
  機能は自動有効（追加費用なし）。ただし Runtime Monitoring（EC2/ECS/EKS）を有効化すると検出の精度と完全性が向上。

• GuardDuty の Runtime Monitoring（EC2/ECS/EKS）を有効化
  プロセス/ネットワークのテレメトリを取り込み、シーケンス検出の精度を向上。
  　
• 抑制ルール見直し
  従来の個別イベント抑制が、攻撃シーケンスの要素を隠さないか再評価。
  　
• Security Hub 連携の自動起票
  AttackSequence:* を重大度 Critical として即時起票・一次対応ハンドブックへ紐付け。
  　

機密コンピューティングでは、データ in use（実行中）を保護することが肝要です。AWS は NitroTPM による EC2 インスタンスのアテステーションを KMS と連携し、条件付きの鍵操作（Decrypt/GenerateDataKey 等）を、計測値（PCR）と公開鍵で厳格制御できます。

• kms:RecipientAttestation:NitroTPMPCR<PCR_ID> をキー/ IAM ポリシー条件に設定し、要求に含まれる署名付きアテステーション文書の PCR 値が期待値と一致する時のみ鍵操作を許可。
  　
• 代表的には PCR4 / PCR7 を条件化。ケースインセンシティブ比較（StringEqualsIgnoreCase）の利用例もドキュメントに記載。
  　
• KMS は平文の代わりに アテステーション文書の公開鍵で暗号化した応答（CiphertextForRecipient）を返却。秘密鍵はインスタンス内に留まり、外部へ出ないため、データ in use の保護を実現。
  　
• CloudTrail には attestationDocumentNitroTPMPCR* などの追加フィールドが記録され、監査・条件設計の裏付けとなります。

＜参考ページ＞

NitroTPM の条件キー - AWS Key Management Service

• Attestable AMI の作成
  再現可能なビルドで参照計測値を取得（AL2023/Nix 等）。
  　
• KMS キーポリシーに PCR 条件追加
  kms:RecipientAttestation:NitroTPMPCR4/PCR7 を想定値に固定。管理ロールと実行ロールを分離し、Decrypt/GenerateDataKey/GenerateRandom などを条件付き許可。
  　
• アプリ側は Recipient（AttestationDocument）を添付
  応答は公開鍵で暗号化されるため、インスタンス内の秘密鍵でのみ復号可能。外部からの覗き見を防止。

＜参考ページ＞

• Attestable AMI - Amazon Elastic Compute Cloud
• AWS Key Management Service のアクション、リソース、および条件キー - サービス認可リファレンス

また、これらのアップデートに連動し、以下のアップデートも注目です。

• IAM Policy Autopilot（MCP Server）
  コード解析から IAM ポリシーを自動生成する OSS。AI コーディングアシスタントと併用し、過剰権限の抑制を推進。

ここまで、AWS  re:Invent 2025でのセキュリティの注目アップデートをご紹介してきました。

＜AWS  re:Invent 2025でのセキュリティの注目アップデートまとめ＞

• Security Hub（GA）により、「露出中心の優先順位付け」と「運用カバレッジの可視化」が実現。脅威相関、可視化、チケット自動連携までを一気通貫で仕組み化し、セキュリティ運用の精度とスピードを向上。
  　
• GuardDuty 攻撃シーケンス（EC2/ECS対応）によって、複数のイベントを関連付けて一連の攻撃として検知し、Critical 1件に集約。これにより初期分析の負荷を大幅に削減し、対応リソースを重点化可能。
  　
• NitroTPM＋KMS 条件キーを活用することで、実行中データの保護と鍵操作の厳格化を現実的に実装。アテステーションを基盤としたゼロトラストモデルを強化。

総括として、AWSは単なる機能追加に留まらず、クラウドセキュリティの「運用効率化」と「ゼロトラスト強化」を同時に推進しています。これを踏まえると、現場に求められるのは、これを単なるツール導入ではなく、セキュリティ運用プロセス全体の再設計として捉える視点と言えるでしょう。

弊社社員からの現地レポートです。

re:Invent の前に開催されたMicrosoft Ignite 2025での現地レポートとセキュリティアップデートをご紹介しています。