[レポート] 新サービス発表も！AWS re:Inforce 2024 Chris Betz キーノート #AWSreInforce

こんにちは、菊池です。

今回はアメリカ、フィラデルフィアで開催中のAWSのセキュリティカンファレンスである、AWS re:Inforce 2024に参加しています。

• Watch re:Inforce online

この記事は、AWSのCISOであるChris Betzによるキーノートのセッションレポートです。

セッション概要（公式より引用）

Chris Betz, AWS CISO, shares the latest innovations and vision for AWS security, including how AWS secures the cloud and how organizations can move both quickly and securely. Steve Schmidt, Amazon CSO, joins Chris to share his unique perspective on how a strong culture of security can support your business’s safe use of generative AI. Ash Edmondson, AVP of Security Architecture and Engineering at Eli Lilly, reveals the choices that are central to achieving security at enterprise scale. Join them for product demonstrations as well as guidance on securing your infrastructure, applications, and customer data effectively with AWS solutions, and learn how to put their ideas into action.

レポート

「Security Always Start with Culture」とスクリーンに映し出されるとともに、キーノートがスタート。AWSのCISO、Chris Betz氏が登場しました。

かつてはAWSの利用者側だったChris氏は、AWS CISOの立場になって、改めてAWSのセキュリティへの投資を知ったと語ります。AWSは長い時間をかけてセキュリティに対する強い文化を作ってきました。文化は一晩で形成されるものではなく、絶えず投資を続けてきた結果であると話します。AWSでは、毎週金曜日にCEOと全てのリーダーがセキュリティに関する問題について議論します。エグゼクティブたちが貴重な時間を使ってセキュリティのトピックを取り上げ、意思決定が行われるそうです。

AWSでは全ての設計・実装にセキュリティが組み込まれています。直近に登場した独自開発のプロセッサであるAWS Graviton 4では、全てのハードウェアI/Fを完全に暗号化し、ハードウェアベースのあらゆる攻撃から守るための機能を実装していると話します。また、Nitro Systemはセキュリティとパフォーマンスのコアであり、AWSの誰も顧客のデータにアクセスできないようになっています。コストパフォーマンスとセキュリティを両立し、そのトレードオフを顧客に負担させるようなことはしません。

続いて、サービスについて話します。

Rustによる開発では全てのクラスからメモリ関係の脆弱性を取り除く。メモリセーフ、タイプセーフであること。自動推論によってシステムの振る舞いを確認し、望ましくないものを修正する。体系的に網羅する。最終的に、自動推論でセキュリティの仕組みを検証していく。IAMでは、10億回のAPIコールが世界中から発生している。過去12ヶ月間で、S3では240億回、EC2では2.6兆回の攻撃の試みが試行されている。

AWSでは143のセキュリティ標準/コンプライアンスに対して認証を持っている。例えば、ヨーロッパのテレコムプロバイダーは非常に厳しいガバナンス要件を求められるが、TelefonicanはAWSを選択し、運営効率を上げながらセキュリティとスケーラビリティを実現しています。

Ash Edmondson, AVP of Security Architecture and Engineering at Eli Lilly

製薬会社である Eli Lilly のセキュリティアーキテクチャ、エンジニアリング担当副社長である、Ash Edmondson氏が登壇しました。

SAPからAWSへマイグレーションを実施した同社は、クラウドへの信頼の重要性を話しました。OrganizationsやControl Towerを利用し、フレームワークを使うことによって、インダストリのベストプラクティスを活用することで実現できた。また、AWSのエキスパートからの助言を受けて、1000以上のAWSアカウントをIAM Identity Accsess Centerへ移行し、2000以上の個別のパーミンションを600に削減、9000以上のIAMロールに対するレビューを実施しました。これが日々の仕事であり、日々投資をしていると話します。

再び、Chris Betzへ

セキュリティとは信頼であり、信頼を正しいところにおくことです。皮肉なことに、それはゼロトラストから始まります。あらゆるデバイス、場所において、パフォーマンスを変化させないことが大事と語ります。ここで、ゼロトラストを促進する、3つの新サービスを発表しました。

• AWS Private CA Connector for SCEP
• PassKeys as 2nd Factor Authentications in AWS IAM
• IAM Access Analyzer unused access findings recommendation

そして、マルウェアプロテクション。すでにAmazon GuardDutyはEC2、EKS、ECS、Lambda、Fargateという、全てのコンピューティングサービスに対応しています。では、ストレージではどうか？Amazon S3には、350兆のオブジェクトが存在している。これらを保護する新サービスが登場します。

• Malware Protection for S3 Amazon GuardDuty

全てのバケットをスケーラビリティにマルウェア保護し、データをアップロードすると自動でスキャンし、タグ付けすることができるようになります。AWSでは、セキュリティスペシャリストが顧客をサポートし、あらゆるインダストリーのお客様。現在の脅威を確認し、信頼を獲得していると話します。

そして、話題はGenerative AIへ。AWSでは、アプリケーション、ツール、インフラストラクチャという3層のGenerative AIサービススタックを提供しています。インフラレイヤでは、センシティブなAIデータにアクセスできないようにデータを隔離し、コミュニケーションを保護します。2層目では、Amazon BedRockがシングルAPIでアクセスできる基盤モデルを提供します。データをセキュアでプライベートに保護、暗号化、ネットワークコントロールが可能です。また、ガードレールで最大85%の有害コンテンツを保護します。アプリケーション層では、Amazon Qがセキュアコードを書く支援をし、コードをセキュリティスキャンすることで脆弱性をデプロイ前に発見します。Q Buisinessではアクセスを制御しガバナンスを確保します。

また、周辺にもセキュアなAI活用を助けるサービス群があります。Amazon Configの自然言語クエリ生成では、調査スピードを65%向上させました。ここで新たに、CloudTrail Lakeでも自然言語によるクエリ生成のサポートが発表されました。

• Generative AI Powered query generation AWS CloudTrail Lake

Steve Schmidt, Amazon CSO

ここで、Amazon CSO、Steve Schmidt氏が登場します。

2019に最初のAWS re:Inforceが開催されました。互いに学び合いう場所です。セキュリティ文化を全てのジョブロール、ツールに落とし込む。ML/AIに迅速にトランスフォーメーション。AIがAmazon のセキュリティを支えている。クラウドでは迅速に動き、変化し続けている。セキュリティサイクルに必要な4つの要素を解説しました。

1つ目が、Generative AIのセキュリティスタンダードを作ること。データの扱い、テスト、アプリの作成などの標準が最初にあることが重要であると話します。2つ目がトリートモデリングガイド。脅威を判定し、システム化した対応を行うこと。そして、内部のテストツールを開発すること。得られた学びを共有し、自動的にセキュリティを高められるようになります。最後に、セキュリティレビュー。これは絶えずアップデートし続けること。Amazonではアプリのセキュリティレビューで、全てのアプリに対しペネトレーションテストを実施している。このサイクルで絶えずエンジニアが学び続ける。

Chris Betzによる締めくくり

このキーノートで最も話したかったことは、Culture of Security。全ての中心は文化であり、セキュリティを優先する習慣を浸透させること。後で考えるではなく、最初からセキュリティを考えること。また、絶えず変化へ迅速に対応する。文化は一晩で起こるものではない。皆さんの組織でもセキュリティの文化を形成できることを願います、としてキーノートを締め括りました。

発表された新サービス

• AWS Private CA Connector for SCEP
• PassKeys as 2nd Factor Authentications in AWS IAM
• IAM Access Analyzer unused access findings recommendation
• Amazon GuardDuty Malware Protection for Amazon S3
• Generative AI Powered query generation AWS CloudTrail Lake

さいごに

冒頭の「Security Always Start with Culture」にあるように、セキュリティを浸透させるためにはテクノロジー以上に文化が重要である、というメッセージが印象的なキーノートでした。