出典: Peachaya Tanomsup via Alamy Stock Photo
AWS RE:INFORCE 2025 — フィラデルフィア — 今週、Amazon Web Servicesはre:Inforce 2025カンファレンスで、AWS Security Hub、AWS Shield、Amazon GuardDutyのセキュリティ強化を発表し、顧客が防御を強化し、差し迫った脅威に対するより良いコンテキスト化を得ることを支援します。このクラウドの巨人は、アイデンティティとアクセス管理のための追加機能も発表し、多要素認証の採用におけるマイルストーンを発表しました。
カンファレンスのオープニングキーノートで、AWSのCISOであるAmy Herzogは、管理およびルートアクセスを持つスタンドアロンアカウントに対して100%の多要素認証の強制を達成したと発表しました。このマイルストーンは、数年間のMFAの推進と会社による必須展開の後に達成されました。また、FIDO 2パスキーのサポートも追加されました。
「MFAは、アカウントを不正アクセスから保護するために実装できる最も優れたセキュリティプラクティスです」と彼女は彼女のキーノートで述べました。
IAM Access Analyzerの拡張
組織が最小権限の原則を採用し、詳細な権限を持つアクセスポリシーを構築するのを支援するために、AWSはIAM Access Analyzerツールの新機能「内部アクセス検出」を発表しました。IAM Access Analyzerは、2019年に初めて導入され、どのサービスとアクションが使用されているかに関するAWS CloudTrailログデータに基づいて組織のポリシーを自動的に開発します。内部アクセス検出機能は、組織が重要なAWSリソースに誰がアクセスできるかを正確に確認できるようにします。自動推論によって駆動されるこの機能は、毎日権限を自動的にチェックし、新しく作成された権限について通知を発行します。
「すべてのアクセス情報が1つのシンプルなダッシュボードにあるため、内部および外部のアクセスを1つのビューで監視でき、セキュリティ問題を見つけて修正するのがはるかに簡単になります」とHerzogは述べました。
AWSのグローバルセキュリティサービスの副社長であるHart Rossmanは、Dark Readingに対して、自動推論がIAM Access Analyzerの重要な基盤であると述べています。「それは、ポケットに数学者を持っているようなもので、アイデンティティインフラストラクチャの正確性を継続的に評価しています」と彼は言います。
アイデンティティインフラストラクチャとアクセス活動に対する可視性の向上は、どの組織にとっても重要ですとRossmanは言います。「インシデント対応の観点から、アイデンティティがセキュリティ問題の原因であったかどうかにかかわらず、最初に行うべきことはアイデンティティインフラストラクチャを検証することです。」
刷新されたAWS Security Hub
会社は、新バージョンのAWS Security Hubのプレビューをリリースしました。これは、さまざまなAWSセキュリティ製品とサービスからの信号を集約する姿勢管理のための集中ツールです。新しいハブは、大量のセキュリティ信号に対する強化されたコンテキスト化と相関を提供するとAWSは述べています。
-
ハブの「露出サマリー」機能は、信号を分析し、セキュリティの弱点と露出についての発見を自動的に生成し、ユーザーに優先順位を付けます。
-
「セキュリティサマリー」機能は、組織のセキュリティ姿勢における潜在的なギャップを特定します。例えば、Amazon Inspectorからのデータを収集し、緩和が必要な欠陥についての発見を生成することができます。
-
「リソースサマリー」は、Security Hubの下にあるすべての顧客リソースのインベントリを生成し、組織がどの資産にセキュリティの弱点があり、それがどの程度深刻であるかを確認できるようにします。
AWSの脆弱性管理のゼネラルマネージャーであるRod Wallaceは、目的はセキュリティ信号に関する追加のコンテキストを提供し、顧客のセキュリティチームがより迅速かつ効果的に対応できるように自動的に発見を生成することですと述べています。
「分析はクールですが、それだけではセキュリティ問題を解決するわけではありません」と彼は言います。「本当に求められているのは、対応側やより高次のセキュリティ機能に人々を配置し、すべての時間をレベル1の問題に費やさないことです。」
AWS Shield、Amazon GuardDutyの強化
クラウドの巨人は、コンテナベースのアプリケーションに対する脅威検出機能を拡張しました。これらはセキュリティチームにとって防御が難しい場合があります。コンテナ化されたアプリケーションに対する多段階攻撃は、コンテナフレームワークの脆弱性を悪用し、Amazon Elastic Kubernetes Service (EKS) クラスター内での権限昇格や横移動を利用することができます。Amazon GuardDutyは、EKSクラスターを標的とするこれらの脅威をカバーし、EKS監査ログやランタイム活動からAWS API活動までのデータと信号を自動的に相関させ、コンテナ内の脅威活動を特定します。
AWS Shieldは、新しいネットワークセキュリティディレクタ機能を取得しました。これは、分散型サービス拒否(DDoS)攻撃やその他のネットワーク中心の脅威によって悪用される可能性のある誤設定やその他のセキュリティ問題を特定します。現在プレビュー中のネットワークセキュリティディレクタは、組織のネットワークリソース、接続、設定を特定して分析し、修正が最も必要なリソースを優先し、修正のための具体的な推奨事項を生成します。
AWSのネットワークサービスの副社長であるRob Kennedyは、ネットワークセキュリティディレクタは顧客のネットワークの弱点や誤設定を迅速に特定し、リソースを保護するための意識的な決定を行えるようにするために作成されたと述べています。
「顧客から聞いたのは、『私は大規模な環境を持っており、さまざまなコンポーネントがたくさんあり、すべてが正しく設定されているかどうかを知るのが難しい』ということです」と彼は言います。「それが人々を夜も眠れなくさせるのです。」