AWSのセキュリティ文化と、新機能情報 | AWS re:Invent 2024 現地レポート

re:Invent 2024のセッション「Security Insight and Innovation from AWS」の参加レポートです！このセッションでは、AWSがどのようにセキュリティを進化させ、組織文化として根付かせているのかの紹介や、新機能の発表がありました。セキュリティ文化やその価値感、最新技術の方向性を学ぶことができました。

その他の AWS re:Invent 2024レポートはこちらから

セキュリティの基本方針と取り組み

AWSのセキュリティに関する基本方針と取り組みは、企業が直面する様々な脅威に対抗するための基盤を築くものであり、以下の3つの主要なコンセプトに基づいています。

1. セキュリティは進化し続けるべきもの

AWSのCISOであるChris Betz氏 は、「セキュリティは一度確立すれば終わりではなく、常に進化し続けるものである」と強調しました。これは、技術の進化や新たな脅威が次々と出現する現代において、企業が持続的にそのセキュリティ対策を見直し、更新していく必要があることを意味しています。具体的には、以下のような取り組みが行われています。

• 定期的なセキュリティレビュー
  AWSでは、定期的にセキュリティポリシーやプロセスの見直しを行い、最新の脅威情報を基に対策を更新します。
  
  
• 新技術の導入
  AIや機械学習を活用したセキュリティツールの導入により、より迅速かつ効果的な脅威検出を実現しています。
  
  
• 業界標準の遵守
  ISOやNISTなどの国際的なセキュリティ基準に準拠し、セキュリティの枠組みを強化しています。
  
  

2. 「Embrace Escalation」の考え方

「Embrace Escalation」は、AWSのセキュリティ文化の中核を成す概念であり、組織内のすべてのメンバーがセキュリティに関する問題を積極的に報告し、解決に向けた行動を取ることを奨励します。この考え方に基づく具体的な取り組みには、以下のようなものがあります。

• インシデント報告システムの整備
  小さな問題でも迅速に報告できるようなシステムを構築し、社員が気軽にインシデントを報告できる環境を整えています。
  
  
• 教育とトレーニング
  社員に対して定期的なセキュリティトレーニングを実施し、インシデントの重要性や報告方法についての理解を深めています。
  
  
• 問題解決のプロセス
  報告されたインシデントに対しては、徹底的な分析を行い、根本原因を特定し、それに基づいた改善策を講じるプロセスを確立しています。
  
  

3. DevSecOpsの推進

AWSは、DevSecOpsの推進により、セキュリティをソフトウェア開発プロセス全体に統合しています。このアプローチにより、セキュリティが開発の初期段階から考慮されるようになり、以下のような利点がもたらされています。

• セキュリティの自動化
  CI/CDパイプラインにセキュリティチェックを組み込むことで、開発の各ステージで自動的にセキュリティ評価を行い、問題を早期に発見します。
  
  
• 開発者とセキュリティチームの協力
  開発者とセキュリティエンジニアが密に連携し、セキュリティ要件を開発プロセスの中で自然に組み込む文化を形成しています。
  
  
• 迅速な脅威対応
  セキュリティ上の問題が発生した際に、開発チームが迅速に対応できるよう、明確な手順と役割を定義しています。

これらの取り組みを通じて、AWSはセキュリティを企業文化の一部として根付かせ、組織全体でのセキュリティ意識を高めることを目指しています。セキュリティは単なる技術的な課題ではなく、組織全体で取り組むべき重要なテーマであるという認識が、AWSのセキュリティ戦略の中心にあります。
​​​​​​​

セキュリティを強化する新機能の発表

AWSの副社長でありDistinguished EngineerのBecky Weiss氏による新機能の紹介は、AWSのセキュリティをさらに強化するための重要なステップとして位置付けられています。

1. Centrally manage AWS IAM root access

この新機能は、無駄なクレデンシャルを削除し、AWS IAMの「rootアクセス」の管理を簡素化します。これにより、セキュリティリスクを軽減しつつ、よりシンプルな運用が可能になります。また、厳密に範囲を限定した特権タスクの実行が可能となるとのことでした。

2. VPC Block Public Access

ワンクリックでインターネット接続の双方向または着信専用を制御することができる機能として発表されました。必要に応じて例外設定が可能であり、特定のサブネットに対しても適用できます。さらに、アカウントや組織単位での適用が可能であり、ネットワーク可視性を高めるためにNetwork Access AnalyzerやVPC Flow Logsとの統合も行われています。

3. Amazon GuardDuty Extended Threat Detection

この新機能は、AI/MLを活用した「multi-stage AWS threat detection」の新機能です。複数の脅威情報を相関分析することで、迅速に重要な脅威を特定できるのが特徴です。従来のGuardDutyをさらに強化するものであり、より高度な脅威検出能力を実現します。

4. AWS Security Incident Response

セキュリティイベントへの対応と復旧を支援するための新サービスです。特に迅速な対応と24/7の専門サポートが強調されており、企業がセキュリティインシデントに直面した際に頼りになる存在で、SOCの機能に近いものと考えられます。

さいごに

AWSのセッション「Security Insight and Innovation from AWS」では、セキュリティ文化の重要性と新機能の発表が行われ、非常に有益な内容でした。セキュリティは常に進化し続けるものであり、組織としての取り組みが求められています。また、新機能の導入により、さらに強化されるAWSのセキュリティにも注目し、ぜひ積極的に取り入れていけると良いのではないかと思います。