[新サービス多数] AWS re:Inforce 2023 CJ Moses キーノート レポート #AWSreInforce
こんにちは、菊池です。
今回はアメリカ、アナハイムで開催中のAWSのセキュリティカンファレンスである、AWS re:Inforce 2023に参加しています。
この記事は、AWSのCISOであるCJ Mosesによるキーノートのセッションレポートです。
セッション概要(公式より引用)
Join CJ Moses, Chief Information Security Office (CISO) for AWS, as he shares how to accelerate innovation and how you can scale your security practices with the most secure cloud with the most proven operational expertise and most functionality. CJ will also discuss the future of cybersecurity. In addition, hear from Becky Weiss, Senior Principal Engineer for AWS, about our latest innovations and product releases. Discover how Amazon’s culture deeply impacts the way we practice security daily and how you can build and operate securely on AWS today and in the future.
レポート
セキュリティとは何か?という問いかけとともに、スタートしました。
AWSの多くの機能のうち、90%以上はユーザーのリクエストを元に実装、リリースされている。そのAWSのセキュリティの基本となるのが責任共有モデルです。 セキュリティに「十分」という状態はなく、あらゆる点で変化していくことが求められていると言います。
CJ Moses氏は、AWSの責任範囲としてセキュリティ実装としてハードウェア、ソフトウェア、インフラストラクチャの観点で紹介します。 ハードウェアとしてはAWSのハイパーバイザーであるNitro Sytem、サーバレスのFirecrackerがあり、安全性を保証しています。 ソフトウェアでは、アプリケーションのコードレビューをAppSecプロセスとして自動化し、140以上のセキュリティ/コンプライアンス標準の認証を取得しています。 AWSのグローバルインフラストラクチャでは、その規模からリアルタイムに大量のデータを分析し、セキュリティの向上に努めていると言います。
ここで、Becky Weiss氏から新サービスについての紹介があるとバトンタッチされました。
Becky Weiss氏
AWSのシニアプリンシパルエンジニア、Becky Weiss氏は、責任共有モデルのうち、クラウドの中のセキュリティ、ユーザーがコントロールし利用できる部分の機能について話します。 昨今、ゼロトラストという考え方が重要視されてきていて、従来の境界防御では内部に入るとなんでもできてしまう一方、ゼロトラストではネットワーク境界だけではなく、デバイスや相手など、全てのアクセスを評価するという考え方であると説明します。 従来のVPNのリモートアクセスの代わりにAWS Verified Accessを使うことで、認証の役割を持ち、アプリケーションに到達する前に評価することができます。
ここで、新サービスAmazon Verified Permissionsを発表しました。このサービスにより、CEDAR OSS言語認証ポリシーを強制することで、開発者はアプリケーションにフォーカスできると言います。
ゼロトラストとネットワーク制御は共存する EC2へのアクセスでは、SSHが広く使われている一方で、インスタンスコネクトという認証サービスも利用されています。 新サービス、Amazon EC2 Instance Connect Endpointでは、SSH/RDPをプライベートネットワークを経由して利用でるようになります。
脆弱性を作り込まない、Secure Codeという考えも重要ですが、全てのセキュリティを担保できないため、自動化が必要とBecky Weiss氏は言います。
新サービスAmazon Inspector Code Scans for Lambdaを紹介しました。
また、サードパーティのOSSの依存関係を追跡、管理する必要があるとして、新サービス、Amazon Inspector SBOM Exportが登場しました。(SBOM:Software bills of Materials)
Debbie Wheeler
ここで登壇者はデルタ航空のSVP、Debbie Wheeler氏に変わります。
SECURITY-AWARE CULTUREとして、トップからボトムの全てのメンバーがセキュリティのためにリーダーシップを発揮しているカルチャーを紹介しました。
開発現場では、リファレンスアーキテクチャー、セキュリティリクライアメントを整備し、GuardDutyやSecurity Hubを使った自動化をすることで、ビジビリティを確保していると言います。
Wheeler氏はバリュー、カルチャーにセキュリティを組み込み、全ての従業員がセキュリティの重要性を理解し、習慣づけることで情報を保護し、顧客が信頼できるサービスが提供可能になると言います。
いろいろなものが変化しても、SAFETY FIRST, ALWAYSというポリシーは変わらず、このプリンシパルはインダストリーによらないと強調しました。
再びCJ Moses氏へ
責任共有を実現するために、他にもパートナーネットワーク、つまりAWS Market Placeがあると紹介します。
Amazon Security Lakeはログを中央化して分析を自動化するサービスとして最近リリースしました。また、新しいパートナーソリューションとして以下を発表しました。
- AWS Built-IN Partner Solutions
- Global Partner Security Initiative
不足するセキュリティスキルについては、コンピテンシーを持ったパートナによるサポートが可能です。
- Security Competency
- Level1 MSSP Competency
- Cloud Operations Competency
そして、セキュリティに常に進化することが必要であり、昨今注目されている生成系AIでも、セキュリティのガイダンスが必要になると言います。 フィッシングやソーシャルエンジニアリングなどの悪用を考えているものがいる中で、セキュリティエンジニアも同様にパワーを使っています。
先日リリースを発表した、Amazon Bedrockでは、広範囲なファンデーションモデルを目的に応じて選択可能であり、暗号化、データ保護、プライベートエンドポイントにより安全に使うことができると紹介しました。 新サービス、Amazon CodeGuru Securityを発表し、IDE、CI/CDでライフサイクルを通してよりセキュアなコードを生成すると言います。
その中で、大量のファインディングに対する優先順位の設定が必要になってきます。 新サービス、Findings Groups for Amazon Detectiveがそれを助けるものとして発表されました。
量子コンピューターの世界では、ヘルスケア、サイエンスの分野で期待されるが、課題もあり暗号化がその1つで、256bitの暗号化アルゴリズムが量子コンピューティングによって1日で解読可能になると言います。 Amazonは量子に強い暗号化技術の開発、標準化をサポートし、長期的な視点に基づいて投資をしていると話しました。
最後に、セキュリティに関する仕事に終わりはなく、常に変化している中で防衛のための機能を先取りし、ユーザーのニーズに応えると話しました。 この2日間、セキュリティのイノベーションを共有する、Let's Secure the Futureと締めくくりました。
発表された新サービス
- Amazon Verified Permissions(一般提供開始)
- Amazon EC2 Instance Connect Endpoint(一般提供開始)
- Amazon Inspector Code Scans for Lambda(一般提供開始)
- Amazon Inspector SBOM Export (一般提供開始)
- AWS Built-IN Partner Solutions(プレビュー)
- Global Partner Security Initiative(一般提供開始)
- Amazon CodeGuru Security(プレビュー)
- Findings Groups for Amazon Detective(一般提供開始)
さいごに
セキュリティのトレンドと、AWSのセキュリティに対する取り組みが紹介され、今、必要となるセキュリティの新機能が多く発表されたセッションでした。 また、デルタ航空SVP、Wheeler氏によるデルタ航空のセキュリティカルチャーに対する強力な取り組みも強く印象に残るものでした。