AWSは、クラウド環境全体のセキュリティ検出結果を収集・優先順位付けする一元管理プラットフォーム「Security Hub」に、AIワークロード保護とMicrosoft Azureセキュリティ監視の機能を追加しました。今後、他のクラウドプラットフォームへの対応も予定されています。

AWSのディレクターであるa6のMichael Fuller氏は次のように述べています。「検出結果を収集すること自体は、もともと難しい部分ではありませんでした。難しいのは、それらを理解し、関連付けて、攻撃者より先に行動することです。しかも、今の攻撃のスピードに合わせてそれを行わなければなりません。これから勝ち抜くプログラムは、ダッシュボードの数が最も多いものではなく、自社の環境全体を見渡し、迅速に対応できるものです。私たちはまさにその実現を目指して開発を進めており、今回の発表もその道のりの一歩に過ぎません」。
Azureセキュリティ監視
Security HubはAzureの仮想マシン、コンテナイメージ、Function Apps、IDを検出し、設定不備やインターネット露出、ソフトウェアの脆弱性を評価します。また、CIS Microsoft Azure Foundations Benchmarkに基づいたポスチャ評価も実施します。
Azureの検出結果はAWSの検出結果と同じフォーマット・自動化・対応ワークフローを使用するため、セキュリティチームは単一のインターフェースを通じて組織環境全体のリスクを評価できます。
AWSは今年に入り、9つのセキュリティカテゴリにわたるパートナーソリューションとの連携機能を追加するSecurity Hub Extendedを発表しています。このサービスは、AWSや他のクラウド環境、オンプレミスインフラストラクチャ全体のエンドポイント、ID、メール、ブラウザ、データに対する可視性と保護を拡張するものです。
AIワークロード保護
AWSは、AI脅威の検出・調査を行う新たなGuardDuty機能と、Security Hub上のAIインベントリを発表しました。これにより、セキュリティチームはAIワークロード全体の可視性を高めることができます。
正式版として一般提供が開始された「Amazon GuardDuty AI Protection」は、Amazon BedrockおよびAmazon SageMakerを対象とした脅威検出機能を提供します。異常なモデル利用や、攻撃者が窃取した認証情報を使って被害者の負担でAI推論を実行する「コストハーベスティング攻撃」を検出するほか、Amazon Bedrock Guardrailsとの連携によりプロンプトインジェクションの試みも検知します。
コストハーベスティングとは、侵害されたAWS認証情報を悪用して基盤モデルにアクセスする攻撃手法です。AI推論には高いコストがかかるため、攻撃者は窃取した認証情報を使うことで、被害者に多額の費用負担を強いることができます。GuardDutyはAmazon CloudTrailのデータイベントを分析して通常のモデル利用パターンを把握し、認証情報の侵害や悪用を示唆する異常な挙動を検出します。
現在プレビュー版として提供されている「GuardDuty AI-powered investigations」は、GuardDutyの検出結果を分析し、セキュリティチームがアラートが悪意ある活動なのか無害な事象なのかを判断できるよう支援します。
この機能は、検出結果のコンテキスト、過去90日間の関連活動、影響を受けたリソース、脅威インテリジェンスを精査し、インシデントを自動的に調査します。各調査結果には信頼度スコア、MITRE ATT&CKへのマッピング、裏付けとなる証拠、そして誤検知の抑制、脅威の封じ込め、影響を受けたリソースの修復といった推奨アクションが含まれます。個々のAWSアカウント単位でもAWS Organizations単位でも調査に対応しており、セキュリティアラートの分析・対応にかかる時間の短縮に役立ちます。
Security Hubには現在、組織全体のAI資産とそのセキュリティ状況を最新の状態で把握できるAIインベントリ機能が追加されています。
AWSが管理するAIサービスについては、Security HubはAWS Configを通じてAmazon Bedrock、Amazon SageMaker、AgentCoreのリソースをインベントリ化します。自社ホスト型や外部のAIワークロードについては、Amazon EC2、Amazon ECS、Amazon EKS上で稼働するモデルと、それらがアクセスする外部モデルエンドポイントを特定します。
このサービスは、AI資産をコンピュート、ネットワーキング、IAMロール、データストアといった基盤インフラストラクチャにマッピングし、Amazon GuardDutyのアラートなどのセキュリティ検出結果と関連付けます。これにより、セキュリティチームは影響を受けたインフラストラクチャを特定し、AI関連の脅威による影響をより迅速に評価できるようになります。
翻訳元: https://www.helpnetsecurity.com/2026/07/15/aws-security-hub-ai-workload-protection/