AWS Summit Japan 2024 とは？

AWS Summit Japan 2024とは、日本最大の “AWS クラウドを学ぶ”イベントです。基調講演や150を超えるセッション、250を超えるEXPO コンテンツが用意されています。

クラウドコンピューティングコミュニティが一堂に会してアマゾン ウェブ サービス (AWS) に関して学習し、ベストプラクティスの共有や情報交換ができる、全てのクラウドでイノベーションを起こすことに興味がある皆様のためのイベントです。

セッション概要（AWS 環境におけるセキュリティ調査の高度化と生成 AI 活用）

今回は、6/20(木曜日) 16:50～17:20に開催されたセッション「AWS 環境におけるセキュリティ調査の高度化と生成 AI 活用」をリポートします。

公式サイト上のセッション紹介は以下の通りです。

“情報システムをとりまく脅威を検出・対応し、ビジネスへの影響を最小限にすることはお客様の大きな関心事です。そのためにインシデント対応全体の流れを把握し、AWS の特性やサービスを活かして素早くセキュリティ調査を行い対応へ繋げることが重要です。

しかしセキュリティ調査は、AWS CloudTrailやAmazon GuardDuty など多様なデータソースを組み合わせ、何が起きたのかを紐解いていく高度な活動です。本セッションでは、セキュリティ担当者が複雑で大規模なデータの分析へ立ち向かうためのプラクティスと、それを支える生成 AI の活用について紹介します。“

登壇者

当セッションでの登壇者はこちらの方です。

会社名	登壇者名
アマゾン ウェブ サービス ジャパン合同会社	勝原 達也

セッションアジェンダ

セキュリティインシデント – 理想と現実

インシデントを検知し分析するためにまず取り組むべきこと

セキュリティ分析を高度化するためのアプローチ

生成 AI とセキュリティ分析

セキュリティインシデントの理想と現実

まず、“セキュリティインシデントの理想と現実“ として述べられた事実は、対応する際に当事者の思い通りに進まないという場合が多いというものでした。

その上で、インシデント対応における重要な考え方として「全てをカバーした動きが準備できずとも、どのような流れで対応するかを事前に想定している事」が挙げられていました。

また、対応の流れについてAWSはNIST（National Institute of Standards and Technology）のガイドラインに沿った考え方を持っており 大きく分けて 準備・検知と分析・封じ込め/根絶/復旧・事後対応の4フェーズ が存在するそうです。

本セッションでは、4つのフェーズの中でも「検知と分析」にフォーカスすることで、以下を理解することが目的でした。

AWS の特性が脅威検知とセキュリティ分析を⽀えていること

高度なセキュリティ分析が、自分たちにも「実現可能」であること

生成 AI がセキュリティ分析をどう変えていくか

最初に取り組むべき事項

まず、セキュリティインシデントに取り組む上での背景として以下２項目が述べられました。

セキュリティインシデントを検知する3つのきっかけ

管理ユーザ自らの検知

AWSの連絡による検知

関係者や外部からの問い合わせでの検知

高度なセキュリティ検知・分析を支えているAWSの特性

⾼い可視性の確保

柔軟かつ多様な⾃動化と機能連携

この背景を踏まえ、最初にユーザが検知・分析するために必要な事項としては以下の2点が挙げられます。

1. 膨大なイベントログを収集&保存し、さらに検知と分析の両方で活用できる状態にすること
2. 継続的に脅威モニタリングを実施する

1に対しては様々なAWS上のサービスを効果的に利用することで実現可能となっており、

2に対してはマネージド型脅威検出サービスの「Amazon GuardDuty」を活用することで実現可能であるとのことでした。

Amazon GuardDutyについて

脅威モニタリングを実施するためのサービスとして、Amazon GuardDuty が紹介されていました。

サービス概要

AWSが継続的に改善している脅威検知によって利用者の環境を保護

高度な脅威検知、その他サービスとの連携が可能なサービス

大規模にAWSを使用している企業の90%が利用している

大きな特徴である「拡張機能」

Amazon GuardDuty には様々なサービスと連携して脅威検出を行うための拡張機能があるとのことです。これらの機能によって一連の検出フローがより円滑となります。

セッション内では最近追加された2つについて説明がされていました。

Runtime Monitoring	インスタンス内部からその振る舞いを確認できる機能
Malware Protection for S3	S3にアップロードされたオブジェクトに対してマルウェアスキャンを実施

モデルケーススタディ

この部分では、実例に基づいてどのようにAmazon GuardDutyによって脅威が検知されるかを解説されていました。

今回は「公開 Web サービスにおけるソフトウェア脆弱性 x アクセスキーの漏洩」という状況を例に挙げ、以下4つのセキュリティインシデントに対するAmazon GuardDutyの動作が取り上げられていました。

脆弱性を狙った攻撃

C&C サーバによる遠隔操作

⼀時的な認証情報の窃取

⼀時クレデンシャルを利⽤し S3 データ窃取

脅威検知と生成AI

脅威検知についてもクエリを用いたログ分析という観点で生成AIの利用が進んでおり、知見が浅くとも高度なクエリやに分析が可能となっているとのことでした。

Amazon Detectiveについて

Amazon GuardDutyの他に、セキュリティ分析を高度化するためのアプローチとしてセキュリティ調査の可視化が可能な「Amazon Detective」についても紹介がされていました。

概要

潜在的な問題を簡単に調査・分析し、根本原因の特定を助けるサービス

検出結果を⼀ヶ所に集め、インタラクティブに調査可能

機械学習、統計分析、グラフ理論によるリソースとアクティビティの関連を元に、異常を検出する

また、大きな特徴の一つとしてAmazon Detectiveによって構築されるビヘイビアグラフが挙げられていました。

ビヘイビアグラフ

Amazon Detectiveは様々なソースからデータを集約し、ビヘイビアグラフというグラフ構造を構成する

従来の分析では断片的に情報を追っていく必要がありましたが、ビヘイビアグラフを用いることでスタートから俯瞰的に事象を捉えた分析が可能となっているそうです。

また、グラフを相関的に掘り下げながら分析を進める実例についても解説されていました。

Amazon Detectiveと生成AI

Amazon Detectiveでは生成AIによって発生事象の要約が実現されています。これにより対応者の理解が早まり、分析の効率が高まるという利点が生まれているそうです。

生成AIとセキュリティ分析

ここまでAmazon GuardDuty・Amazon Detectiveにおける生成AIについて触れられていましたが、これら以外にもセキュリティ分析に生成AIが活用される場面が今後生じる様でした。

現在Sampleが公開されているものとして、バーチャルセキュリティアシスタント が紹介されていました。

バーチャル セキュリティ アシスタント

自身の環境と高度なナレッジを組み合わせたアシスタント

最後に、現在の生成AIの立ち位置を以下の様に述べて本セッションは終了しました。

「⽣成 AI は⼈間のセキュリティ専⾨家をただちに置き換えるものではないが、それを活⽤することで、専⾨家は優れた成果を得ることができる」

まとめ

今回のセッションでは以下について述べられていました。

⾼度なセキュリティ検知と分析を⽀えるAWS の特性

お客様⾃ら検知・分析していくために不可⽋なAmazon GuardDuty

⾼度なセキュリティ分析を実現する Amazon Detective

セキュリティ分析でも活用されている⽣成 AI 活⽤

自分が現場でお客様の環境を運用する上でも、ログの調査やセキュリティ観点での問い合わせは多くあります。 これらの技術を活用することはお客様・運用する我々双方に大きなメリットがあるため、積極的に活用していきたいと感じました。

今後、AWSのセキュリティ運用という観点での需要は特に高まってくると予想できます。 そのため、個人的にはこの分野で後れを取ることへの恐怖と共にセキュリティ関連の学びをより深めたいと考えさせられるセッションでした。

最後に宣伝となりますが、JIG-SAWからAWSをご契約いただくとAWSの利用料が割引でご利用いただけます。

利用料の割引だけでなく様々な無料特典もつき、システム構築や監視・運用、セキュリティサポートなど各種オプションサービスもご用意しておりますので、お気軽にご相談ください。