【AWS re:Invent2023】 次世代のセキュリティ戦略
2023.11.30
「SEC237-INT | Move fast, stay secure: Strategies for the future of security」セッションにて紹介された内容を皆様に共有いたします。
本ページでは次世代のセキュリティについて扱っていきます。
AWSでよりセキュアな開発を行いたい方はもちろんですが、AWSのセキュリティに興味のあるかたはぜひご覧になってください
AWS re:Invent とは?
re:Inventとは、Amazon Web Services(以下、AWS)が主催するAWSに関するセッションや展示ブース、試験準備のためのブートキャンプやゲーム化された演習などを通じて、参加者が主体的に学習できるAWS最大のイベントです。
昨年も今年同様にラスベガスにて開催されており、60以上の新サービスや新機能が発表されました。昨年の参加人数は5.1万人以上になります。
はじめに
皆さんはAWSにおけるセキュリティについてどのようなことをお考えでしょうか?
「パブリッククラウドを使うからセキュリティ上の不安がある」、「いろいろなサービスがあって使い分けがわからない」などさまざまな問題を抱えているのではないでしょうか。
今回はAWS re:Invent2023の「SEC237-INT | Move fast, stay secure: Strategies for the future of security」セッションにて紹介された内容をもとにAWSにおける最新のセキュリティについて解説していきます。
対象読者セキュリティサービス紹介
まず最初にセッション内で取り上げられたAWSサービスについてご紹介いたします。
Amazon GuardDuty
AWS CloudTrail、VPCフローログ、DNSログから集めたデータを分析することで悪意のあるアクティビティの検知を行うことができます。
Amazon GuardDutyはリリース当時は一定のパターンに合致する既知のアクティビティしか検知できませんでした。
追加機能として機械学習による未知の脅威への検出が可能となりました。
Amazon Inspector
ソフトウェアの脆弱性やネットワークの不要な公開を継続的に検知してくれるマネージドサービスです。
Amazon Elastic Container Registryにコンテナイメージをプッシュした際に脆弱性を調べることも可能です。
Amazon Inspector Lambda コードスキャンではLambdaのコードを調査、修正版の自動生成も行ってくれます。
Amazon Detective
Amazon Detectiveはその名の通り疑わしい通信の調査の際に活躍するサービスになります。
実際に悪意のある通信がどのようなパターンでアクセスしているのかなどを特定する際に役に立ちます。
AWS Verified Access
こちらは今年の4月に一般提供が開始された新しいサービスです。
ゼロトラスト(後述)の考え方に則り、VPNを使用しないで企業アプリケーションを保護するサービスです。
セッション内でも最新のセキュリティサービスとして紹介されていました。
Amazon Verified Permissions
こちらは独自の認可サービスを作成できるサービスとなっております。
AWSリソースの認可を行うAWS Identity and Access Management(以下IAM)とは別の、独立したサービスとなっておりますのでご注意ください。
AWS Identity and Access Management Access Analyzer
IAMにおける外部アクセスへの不要な公開が行われていないか検証するサービスです。
クロスアカウントアクセスの際にリソースポリシーなどの設定を誤ってしまうと、想定していない第三者へのリソース権限を付与されてしまいます。
そういったセキュリティインシデントを排除するために特定のポリシーに則ってIAMが作成されているか検証することができます。
続いてセッション内で扱われていた重要とされる内容について解説いたします。
ゼロトラスト
ゼロトラストは近年、注目されてきているセキュリティの考え方です。
社内ネットワークからのアクセス、社外ネットワークからのアクセスといった境界によるセキュリティ保護の概念ではなく、すべてのアクセスに対して安全性を検証するという考え方になります。
ゼロトラストはクラウドとも非常に相性のよい考え方です。
高頻度で認証・認可を実施することで実現しますが、その認証・認可はどのように実施すればいいのでしょうか?
上記で紹介したAWS Verified Access、Amazon Verified Permissions、AWS Identity and Access Managementなどが使えると思います。
生成AIによるコードレビュー
ゼロトラストに加えてもう一点、セッション内で取り上げられていたのがコードレビューに関してです。
社内でコードレビューは実施していますでしょうか?
コードレビューは開発に欠かせない工程ですがある程度の工数がかかってしまいます。
こうしたレビュー作業を社内で最適化された生成AIに任せてしまうというものです。
社内のコーディング規約にしたがって自動でコードをチェックしてくれる、考えただけでも便利ですね。
まとめ
今回はAWSが考える次世代のセキュリティについて取り上げてみました。
生成AIが全てのセキュリティ問題を解決するわけではなく、あくまでAIができることはAIを利用することが大切であると、セッション内でも言及がありました。
これを機に皆様も社内のセキュリティを改めて考え直してみてはいかがでしょうか?