![[レポート] AWS re:Inforce 2025 Keynote: Simplifying security at scale #SEC200 #AWSreInforce](https://devio2024-media.developers.io/image/upload/v1750185550/user-gen-eyecatch/s173bpzvbkxgskskqqhu.png)
[レポート] AWS re:Inforce 2025 Keynote: Simplifying security at scale #SEC200 #AWSreInforce
2025.06.18あしざわです。
米国東海岸で開催されているAWS re:Inforce 2025 に現地参加しています。
今回の記事では re:Inforce 2025 のKeynoteセッション「Keynote: Simplifying security at scale」についてレポートします。
セッション情報
・概要(日本語訳)
AWS CISOのAmy Herzogが、AWSの包括的なセキュリティポートフォリオがどのように連携して、あらゆる規模の企業に対してシンプルで回復力があり安全なソリューションを提供するかを実演します。顧客事例やアーキテクチャパターンを通じて、AWSが現代の脅威に耐え、ビジネスと共にスケールする本質的に回復力のあるアプリケーションの構築をどのように可能にするかを紹介します。優れたセキュリティ戦略とは何か、そしてビジネスにおけるセキュリティベストプラクティスを活用してこれらの機能を活用する方法を学びましょう。・スピーカー
Justin Brindley-Koonce, VP, WWSO & GTM, Amazon Web Services
Amy Herzog, VP, CISO, AWS
Noopur Davis, Global CISO, Chief Product Privacy Officer, Comcast
3行まとめ(キーポイント)
- AWSセキュリティの包括的な機能強化により、複雑なセキュリティ課題をシンプルに解決できるようになった
- IAM、暗号化、ネットワーク保護の新機能により、スケールでのセキュリティ運用が大幅に効率化される
- 生成AI時代に向けたセキュアな基盤構築により、イノベーションを加速しながらセキュリティを維持できる
セッションの内容
セキュリティ文化とイノベーション
今回のKeynoteに登壇したのは、AWS CISOとして初めてre:Inforceに参加したAmy Herzogです。冒頭で彼女が自身の経歴を振り返ったのですが、これが興味深い内容でした。政府機関でクラウドセキュリティ支援をしていた頃からAWSとの関わりが始まり、その後スタートアップでの活用、そして複数の大企業でのCSO経験を積んできたとのことです。この経験を通じて、AWSがいかに顧客の期待に応え、信頼を獲得するために絶え間なくイノベーションを続けているかを実感してきたと語っていました。
AWSでは「セキュリティはすべての基盤」という考えが文化として浸透しており、セキュアバイデザインの原則のもと、業界をリードする実践や技術、制御を定義してきました。しかし、顧客の期待はそれだけにとどまりません。より簡単でスケーラブルな方法で強固なセキュリティを実現したい、特に長年構築してきたセキュリティ体制を損なうことなくAIイニシアチブを可能にしたいという要望が強くなっています。
生成AI時代のセキュリティ基盤
変化のペースは減速していません。今後数年間で急速な変革や無数の実験、そしておそらくいくつかの派手な失敗も見ることになるでしょう。Amyが印象的な例えで語っていたのですが、時にはAIがまるで「勝手にデータベーススキーマ全体を再設計してしまうような反抗的なインターン」のように感じられることもあるとのことです。
しかし確実に言えることは、適切なセキュリティ基盤なしにはAIやその他の技術を適切に保護することはできないということです。Amyは、強固なセキュリティ基盤を実現するためのいくつかの方法について詳しく説明しました。
Identity & Access Managementの進化
まず、アイデンティティとアクセス管理についてですが、これはセキュリティストーリーの一部というより、すべての基盤になるものです。アイデンティティは信頼に関することで、「あなたが誰であるかを知っているので、何にアクセスできるかが分かる」と確信を持って言えることです。考え方としてはシンプルですが、実際にこれを適用するシステムは非常に複雑になることが多いです。
AWS IAMは世界中で毎秒12億回のAPI呼び出しを処理しています。つまり、毎秒12億回、IAMがAPI呼び出しを許可するか拒否するかを判断しているということになります。この規模は想像を超えるレベルです。
顧客からのフィードバックを受けて、必要な表現力と柔軟性を提供するために、IAMを支える単一の強力なポリシー言語を作りました。EC2インスタンスの起動から、データベースのプロビジョニング、Amazon Bedrockでの好みのモデルとの作業まで、すべてのリソースへのアクセスを制御できるようになっています。
権限を設定するときの目標は、ユーザーとシステムが特定の職務を遂行するのに必要な最小限の権限だけを持つことです。この「最小権限の原則」に従うことで、アカウントが侵害されたり、内部脅威や偶発的な誤用があった場合でも、潜在的な損害を制限して攻撃面を劇的に削減できます。
IAMには最小権限を実現するための便利なツールがあります。その一つがIAM Access Analyzerです。そして今回のKeynoteで、IAM Access Analyzer internal access findings機能の一般提供開始 が発表されました。この機能では、自動推論技術を使って、PCIデータを含むS3バケットのような重要なAWSリソースに対して、社内の誰がアクセス権を持っているかを正確に確認できます。
これまで外部アクセスのみを監視していたIAM Access Analyzerが、内部アクセスも監視できるようになりました。すべてのアクセス情報が一つのシンプルなダッシュボードに集約され、内部と外部の両方のアクセスを一つのビューで監視できるため、セキュリティ問題の発見と修正がはるかに簡単になります。
認証情報管理の最適化
最小権限の原則も重要ですが、次に対処すべきは長期認証情報を排除することです。長期認証情報は持続的なセキュリティリスクを生み出します。有効期間が長ければ長いほど、攻撃者がそれを発見して悪用する時間が増えてしまいます。
Amyが紹介していた最近の攻撃事例では、攻撃者が漏洩した長期認証情報を使って、顧客提供キーを使ったサーバーサイド暗号化という手法でオブジェクトを新しい暗号化キーで再暗号化してしまったとのことです。これにより、顧客が自分のキーでデータを復号化できなくなってしまいました。
ここでAWSの防御力の高さがよく分かる数字が紹介されました。2024年12月9日から今年4月30日までの4か月間で、AWSは顧客のS3オブジェクトに対する不正な暗号化試行を9億4360万回阻止したとのことです。ほぼ10億回という驚異的な数字です。しかし、固定の長期認証情報から離れることで、こういった問題はさらにシンプルに解決できるようになります。
多要素認証については、不正アクセスからアカウントを保護するために実装できる最も優れたセキュリティプラクティスです。AWSは管理アカウントとスタンドアロンアカウントでのMFA使用を義務付けた最初のクラウドプロバイダーでしたが、今年3月にはさらに進んで、組織内のメンバーアカウントのルートユーザーにもMFA強制を拡大しました。これで すべてのタイプのAWSアカウントでルートユーザーの100%MFA強制を実現 しました。
データ保護と暗号化の包括的アプローチ
アイデンティティとアクセス管理がリソースへのアクセスを制御する一方で、データそのものを保護するには追加の保護層と制御が必要です。絶え間なく変化するダイナミクスと急速に進化するポリシーの世界において、データの場所の制御はさらに重要となっています。
AWSでは、デジタル主権とイノベーションのどちらかを選ぶ必要はないと考えています。主権は、顧客がデータの場所と移動を制御できる唯一の主要クラウドプロバイダーとして始まった当初からAWSの優先事項でした。
暗号化については、以前は時間とコストがかかり、最も機密性の高いデータにのみ使用されることが多かったのですが、AWSでは、暗号化はコストとエンジニアリング労力の両面で実質的に無料になり、あらゆる場所ですべてを暗号化できるようになりました。
AWSネットワークの実際のトラフィックを見ると、物理ネットワークリンクを広範囲に暗号化する層があり、VPCのトラフィックはAWS固有のヘッダーでパケットをラップして透過的に暗号化されています。ネットワークを移動する際に、顧客のトラフィックが3回以上暗号化されることは珍しくありません。これを大規模に実行しながら、極めて高いネットワークパフォーマンスを提供しています。
デジタル証明書の話になったとき、Amyが「数学オタクなので、これが私のお気に入りの部分」と言っていたのが印象的でした。証明書管理は、多様な環境での可視性と制御の維持から、ライフサイクル、更新、キーストレージ、コンプライアンス要件の管理まで、大規模になると本当に管理が大変になります。
AWS Certificate Managerは2016年のサービス開始以来、世界中の組織がTLS証明書の時間のかかる管理プロセスを排除するのに役立ってきました。しかし、これまでACMの公開証明書をオンプレミスリソースやサードパーティサービスに接続するために使用することはできませんでした。
今回、AWS Certificate Manager Exportable public certificates が発表されました。この機能により、ACMで発行された公開証明書とその秘密鍵をAWSの内外で使用するためにエクスポートできるようになりました。
ACMを通じて公開証明書を要求する際に、「エクスポート可能」として指定するオプションがあり、証明書が発行されると、証明書、秘密鍵、証明書チェーンをエクスポートおよびダウンロードして好きな場所で使用できます。証明書管理の一元化、自動更新、通知機能を維持しながら、他の商用認証局より低価格で利用できるのも魅力です。
ネットワークセキュリティの簡素化
移動中のデータを保護することは重要ですが、サイバー脅威から情報とアプリケーションを保護することも重要です。長年にわたり、AWS ShieldはDDoS攻撃に対する信頼できる防御として、可用性に影響を与える可能性のある脅威からアプリケーションを自動的に防御してきました。
しかし、急速に進化する環境と成長・規模の間で、保護が必要なリソース、接続、設定を特定することは時間がかかり複雑になることがあります。さらに、複数のツールに依存してセキュリティ問題を分析し優先順位を決定することは、運用集約的になる可能性があります。
今回、 AWS Shield Network Security Directorのプレビュー が発表されました。これは、DDoS防御から包括的なネットワークセキュリティ管理まで広がる保護を提供します。
この更新により、ネットワークセキュリティ設定の問題をより簡単に特定できるようになります。Network Security Directorは、実装されたリソース接続、ネットワークセキュリティサービス、ルールセットに基づいてトポロジを構築し、ネットワークの分析を実行することから始まります。AWSのセキュリティエキスパートがネットワークアーキテクチャを監視するような体験を提供するとのことです。
一方で、包括的な保護と使いやすさのどちらかを選ぶ必要はないという考えのもと、AWS WAFの簡素化されたコンソール体験 が導入されました。
これは、ウェブアプリケーションとAPIセキュリティのセットアッププロセスを一つのオンボーディングウィザードに変換するものです。組織がアプリケーションセキュリティを管理する方法の根本的な再構想であり、初期アプリケーションセキュリティを設定するために必要なステップを80%削減し、セキュリティチームが数時間ではなく数分でアプリケーションを保護できるようになります。
WAFを設定するのが常にセキュリティチームとは限らないことを認識し、Amazon CloudFrontの簡素化されたオンボーディング体験 も導入されました。これにより、開発者は深い技術的専門知識を必要とせずに、高速で安全なコンテンツ配信を実現できます。CloudFrontコンソール内からWAF、Route 53、Certificate Managerの設定も管理できるようになっています。
監視と脅威検知の高度化
これまで説明した保護レベルがあっても、新たな脅威に対する防御は依然として困難な場合があります。AWSでは、顧客の防御に気づかれないような形で積極的に参加しています。
興味深いのは、AWSが内部で展開している大規模なアクティブディフェンスの仕組みです。「Blackfoot」と「Madpot」という2つの内部システムが連携して、毎時13兆以上のフローを処理し、ハニーポットで脅威情報を収集、悪意のあるアクターを検出して自動的にブロックしています。
この仕組みにより、脆弱性探査の試行が75%以上削減され、過去6か月だけで2.4兆の悪意のあるスキャンリクエストを阻止したとのことです。この保護は追加コストなしですべてのAWS顧客に提供されています。
また、AWS Network Firewall enhanced with active threat defense が発表されました。これは、AWSグローバルインフラストラクチャから得られる脅威インテリジェンスを活用して脅威を迅速に特定し、回避的なコマンド&コントロールチャネル、悪意のあるURL、その他のエクスプロイトをブロックするAWS管理ルールを自動的に適用します。追加の複雑さや運用オーバーヘッドなしにセキュリティを強化できる仕組みです。
ここでAmyがComcastのグローバル CISOであるNoopur Davis氏を壇上に招きました。Davis氏は「我々は数百万人を重要な瞬間につなぐ素晴らしい技術とプラットフォームを保護している」という同社のミッションを紹介しました。2000名のサイバーセキュリティプロフェッショナルを擁し、昨年はComcastで取得された全特許の10%以上がサイバーセキュリティチームによるものだったそうです。
同社は7年間、3つのノーススターに従っています:製品とサービスにセキュリティとプライバシーを組み込む(セキュアバイデザイン)、データを使用してソリューションのセキュリティ効果を改善する、そしてゼロトラスト原則で運用することです。
生成AI時代において、Comcastでは10ペタバイトのセキュリティデータレイクを活用し、脅威モデリングからペネトレーションテストまで、開発プロセス全体で生成AIを活用しています。現在、開発者がAIソリューションを構築することで、Comcastでの脅威モデルとペンテストの発見の20%を占めているとのことです。
Comcastの事例紹介の後、再びAmyに戻り、他のAWSセキュリティサービスのアップデートが紹介されました。
12月にGA発表されたGuardDuty Extended Threat Detectionに、さらなる 拡張機能が追加される ことが発表されました。新しい機能は、高度な行動分析、偽陽性の削減による精度向上、そして EKSクラスターの新しいカバレッジ を提供します。ネットワークとEKS監査モード、ランタイム環境からの可視性を組み合わせ、侵害されたコンテナに続く複数の攻撃技法を示す疑わしい活動のシーケンスに対してアクションを取ることができるようになります。
また、Security Hubの強化版のプレビュー も発表されました。Security Hubは、AWSセキュリティサービス全体からの信号を組み合わせ、実行可能な洞察に変換し、重要なセキュリティ問題の優先順位付けと大規模な対応を支援する統合クラウドセキュリティソリューションです。新しい機能では、AWSの幅広いセキュリティシグナルを相関・分析し、アクティブなリスクを優先度付けして表示します。
パートナーエコシステム
続いてJustin Brindley-Koonce氏が登壇し、AWSセキュリティコミュニティの重要性について語りました。今回初めて AWS MSSP Specialization の強化 が発表され、サードパーティツールまたはAWSツールのいずれを使用するかに関わらず、実証されたセキュリティツールの専門知識を持つパートナーをより簡単に特定できるようになりました。
AWS内部では、George Argueros氏により生成AIをセキュリティに活用した具体例が紹介されました。セキュリティ問題の自動修正ツールにより、コード内のセキュリティ問題を特定し、コードレビューを生成し、自動的にパッチを適用できるとのことです。2025年には、自動修正シナリオを通じてビルダー効率を5%向上させることを目標としています。
BMW Groupの事例も紹介されました。同社は2300万台の接続車両を管理し、1日に約170億リクエストと197テラバイトのデータを処理しています。Amazon Bedrock上に構築されたIn-Console Cloud Assistant(ICCA)により、1300以上のクラウドアカウント全体でクラウドインフラストラクチャを継続的に最適化し、運用をスケールしています。このツールはリソースを分析し、推奨事項を提示するだけでなく、ボタンを押すだけで適切な修正をデプロイする機能も提供しています。
最後にAmyは、生成AI時代において重要なメッセージでKeynoteを締めくくりました。今日紹介した4つのセキュリティ分野は障壁ではなく、イノベーションの実現要因(enablers)だと強調しました。
セキュアな基盤があることで、チームは自信を持って実験し、構築し、出荷することができる。セキュリティは歩みを遅くするのではなく加速させ、より速く、より安全に、より大きなインパクトで目標に到達するためのものである、と力強く語りました。
新しい学び・発見
今回のKeynoteを通じて印象的だったのは、「セキュリティはイノベーションの障壁ではなく、むしろ加速器である」という Amy Herzog氏のメッセージでした。特に生成AI時代において、しっかりとしたセキュリティ基盤を持つ企業ほど、新技術の採用が早いという事実は興味深い洞察でした。
また、AWSが顧客保護のために水面下で展開している大規模なアクティブディフェンス(BlackfootとMadpot)の存在を知り、クラウドプロバイダーの「見えない努力」の規模に驚かされました。毎時13兆フローの処理や、2.4兆の攻撃阻止という数字は、個別の企業では到底実現できない規模です。
そして、ComcastやBMWなどの大企業が生成AIをセキュリティ運用に積極的に活用している事例から、AI活用における「安全な実験」の重要性を学びました。適切なガードレールがあることで、革新的な取り組みが可能になるという考え方は、多くの企業にとって参考になるでしょう。
re:Inventで発表されたアップデートの一覧(AWS News Blogより)
- Verify internal access to critical AWS resources with new IAM Access Analyzer capabilities | AWS News Blog
- AWS Certificate Manager introduces exportable public SSL/TLS certificates to use anywhere | AWS News Blog
- Introducing the new console experience for AWS WAF | AWS Security Blog
- Amazon CloudFront simplifies web application delivery and security with new user-friendly interface | AWS News Blog
- New AWS Shield feature discovers network security issues before they can be exploited (Preview) | AWS News Blog
- Improve your security posture using Amazon threat intelligence on AWS Network Firewall | AWS Security Blog
- Amazon GuardDuty expands Extended Threat Detection coverage to Amazon EKS clusters | AWS News Blog
- Unify your security with the new AWS Security Hub for risk prioritization and response at scale (Preview) | AWS News Blog
- Updates to the AWS MSSP Competency: Deliver Turnkey Security Solutions for Customers | AWS Partner Network (APN) Blog
最後に
ここまでre:Inforce 2025のセッション「Keynote: Simplifying security at scale」についてレポートしました。
この記事が誰かの役に立てば幸いです。
以上です。
![[プレビュー] AWS Shield Network Security Director(Preview)が発表されました](https://devio2024-media.developers.io/image/upload/v1750190636/user-gen-eyecatch/xkvxcyvolabyw1iw6soh.jpg)
![[プレビュー]AWS Security Hubが機能分離され統合セキュリティソリューションに生まれ変わりました #AWSreInforce](https://devio2024-media.developers.io/image/upload/v1750182741/user-gen-eyecatch/qkcx7ur7lucwpwcit7rv.jpg)
