「AWSセキュリティアップデートとAWSを育てる話」というタイトルでre:Growth 2025 東京に登壇しました #cmregrowth
こんにちは、臼田です。
みなさん、AWSのセキュリティ対策してますか?(挨拶
今回は弊社主催のAWS re:Invent 2025 ふりかえり勉強会 re:Growth 2025 東京にて登壇したセッションの解説です。
資料
解説
今回のテーマは「とりあえずセキュリティ系のアップデート全般を押さえつつその他の話もするよ」というもの
10分程度の内容ですがたくさん出てきたメジャーなアップデート以外も一通りセキュリティ系は拾いつつ、メジャーなところをどう捉えるのかという話をしていきました。あと育てる話。
アップデート一覧
- メインのアップデート(あとで解説するので一旦項目のみ)
- OSSでIAM Policy Autopilotがリリース
- AWS Security Agentリリース(プレビュー)
- Amazon GuardDuty Extended Threat Detectionリリース
- AWS Security Hubリリース(リアルタイム分析・リスク優先順位付け)
- その他のアップデート(ここで軽く解説)
- CloudWatch統合管理
- OCSF対応してサードパーティを含むログを統合管理できる
- https://dev.classmethod.jp/articles/cloudwatch-unified-log-management-analytics/
- AWS Security Incident Response AI調査機能
- SIR利用者向けの無料のAI調査機能
- Amazon GuardDuty Malware Protection for AWS Backup
- リストア時にスキャン済みバックアップをすぐ利用できるようにするために使える
- https://dev.classmethod.jp/articles/amazon-guardduty-awsreinvent-sec350/
- AWS DevOps Agentリリース
- 直接的にセキュリティのエージェントではないがエラー対応などが役に立つ
- WAF Web Bot Authサポート
- IETFドラフトのボット正当性を証明するWeb Bot Authを解釈できる
- https://dev.classmethod.jp/articles/aws-waf-web-bot-auth-wba-support/
- VPC暗号化制御リリース
- VPC内の転送中の暗号化を強制できる
- https://dev.classmethod.jp/articles/vpc-encryption-controls-release/
- AWS Payments Cryptographyポスト量子暗号対応
- クレジットカード決済代行業者向けのサービスでPQC対応
- https://aws.amazon.com/jp/about-aws/whats-new/2025/11/aws-payments-cryptography-post-quantum-data-transit/
- AWS Network Firewall Proxyリリース(プレビュー)
- アウトバウンド通信でURI等を利用した制御も可能になった
- https://dev.classmethod.jp/articles/network-firewall-proxy-windows-update/
- S3 Block Public Access組織レベル適用
- AWS Organizations全体でBPA制御可能
- https://dev.classmethod.jp/articles/update-aws-organizations-s3-policy/
- Route 53 Global Resolverリリース(プレビュー)
- インターネットからPrivate Hosted Zoneの名前解決を簡単に行える
- https://dev.classmethod.jp/articles/amazon-route-53-global-resolver-secure-anycast-dns-resolution-preview/
- ALB/NLBポスト量子鍵交換対応
- AWS Support Plans AI機能追加
- Business Support +にGenAI によるリアルタイムな応答が追加されている
- https://dev.classmethod.jp/articles/support-transformation-ai-powered-operations/
- Clean Rooms合成データ生成
- 元データの統計的特性を維持しながら、元のソースデータから個人を非識別化した新しいデータセットを生成する
- https://dev.classmethod.jp/articles/20251130-clean-rooms-synthetic-dataset-generation/
- Route 53 Accelerated Recoveryリリース
- 米国東部(バージニア北部)リージョンでAWSサービスが一時的に利用できなくなった場合でも、約60分以内にDNSレコードの変更が可能
- https://dev.classmethod.jp/articles/route53-dns-accelerated-recovery/
- S3 ABAC対応
- バケットのタグを利用してバケット内のオブジェクト操作やバケットのプロパティの変更等の操作ができるようになった
- https://dev.classmethod.jp/articles/amazon-s3-attribute-based-access-control/
- IAM Outbound Identity Federation
- AWSのIDを外部サービスに安全にフェデレーションできる
- https://aws.amazon.com/jp/blogs/aws/simplify-access-to-external-services-using-aws-iam-outbound-identity-federation/
- Lambda Tenant Isolation Mode
- テナント毎のコンピューティング環境分離ができる
- https://dev.classmethod.jp/articles/lambda-support-tenancy-configuration/
- Control Tower Controls専用エクスペリエンス
- ランディングゾーンを展開せず部分的なコントロールを展開できる
- https://aws.amazon.com/jp/blogs/aws/aws-control-tower-introduces-a-controls-dedicated-experience/
- Control Tower自動アカウント登録
- Secrets Manager Managed External Secrets
- Salesforceなどのサードパーティのクレデンシャルを保管し自動ローテーションできる
- https://dev.classmethod.jp/articles/update-aws-secrets-manager-managed-external-secrets/
- Amazon Detective PrivateLink対応
- CloudTrailイベント集約とインサイト
- AWS CloudTrailのデータイベントを5分単位で集約して、S3ログなどを分析できる
- https://dev.classmethod.jp/articles/cloudtrail-data-event-aggregation/
- Control Tower Landing Zone 4.0
- 久しぶりのメジャーバージョンアップ、あげるのは注意
- https://dev.classmethod.jp/articles/202511-cloudgirl-lt-control-tower-landing-zone-version-4/
- CloudWatch統合管理
AWS Security Agentで育てよう
開発ライフサイクル全体を通じて、アプリケーションのセキュリティを支援するセキュリティ特化のフロンティアエージェント
下記3つの機能でアプリケーション開発におけるセキュリティを強化できます。
- 設計書のセキュリティレビュー
- コードリポジトリに対するコードスキャン
- Webアプリに対する動的スキャン
既存でもAmazon InspectorによるLambdaコードのスキャンやAmazon Q Developer(旧Amazon Codewhisperer)によるコードスキャンなどがありましたが、AWS Security Agentは開発ライフサイクル全体で利用できるサービスです。
従来からWebアプリの脆弱性診断などセキュリティのチェックはどうしても開発から遠い存在になりがちで、リリース前や年1回のスキャンなどに限定されるため、これを利用して定常的な運用にセキュリティを組み込んでいきたいですね。
IAM Policy Autopilotを使おう
AWSが公開したアプリケーションコードからIAM Policyを生成したりできるOSSです。
2つの機能があります。
- generate-policies(アプリケーションコードからポリシー生成)
- Python、TypeScript、Goのコードからポリシー生成できる
- fix-access-denied(エラーメッセージからポリシー修正)
- エラーメッセージだけ渡せば修正案の提示と修正もできる
エラーの対応はこちらを参照
ポリシーの生成機能としては、最初に作るものとしてちょうどいい感じです。
エラーからの修正もいい感じに動作するので常用したい。
MCPもあるため色んな使い方ができそうですね。
Amazon GuardDuty Extended Threat Detectionでまとめよう
複数のセキュリティイベントをまとめられるExtended Threat Detection(拡張脅威検出)の追加対応
下記2つの検出に対応
- ECSクラスター
- EC2グループ
特にEC2グループは活用できそうで、従来はEC2単体での複数のセキュリティイベントを1つにまとめられたが、AutoScalingなど共通点のある複数EC2インスタンスでもグルーピングできるようになりました。
そのまま使えるので積極的に使いましょう。
(新しい)AWS Security Hubの正式料金
真の意味でAWSのセキュリティサービスをまとめることができるHubのサービスが正式リリースした
今回のリリースに伴い下記が強化されました。
- ダッシュボードの機能追加
- ニアリアルタイムのリスク分析
- パートナー統合機能の拡張
ただ今回のAWS Security Hubの注目ポイントは正式リリースに伴う料金です。
従来の各種AWSセキュリティサービスの利用と異なり、AWS Security Hubを有効化すると、Amazon GuardDutyやAmazon Inspectorなどの連携するセキュリティサービスのイベントやログ等のデータだけでなく、料金もAWS Security Hubに統合されます。
その試算が上記記事で解説してあり、計算方法が変わるため既存サービスの料金も数え方が変わります。コストがどう増減するかは試算ツールを上手く使ってください。
Amazon GuardDutyやAWS Security Hub CSPMはとりあえず有効化する機能ですが、このAWS Security Hubはコスト感的にも、そこからワンステップ上がった段階で利用するサービスと感じています。
育てる話
今回もそうですが、AWSの新しい機能やサービスが出てくると検証して色々感じます。
時には機能に不足を感じることもあります。
- 「レポートをPDFにしたい」「日本語化はよ」「攻撃的なリクエスト無しにしたい」
- 「料金試算もっとちゃんとしてほしい」「可視化の相関付けを強化してほしい」「修復までの一連の運用をできるようにしてほしい」
いろんな要望が出てきます。
まだ機能が足りないからと言って使わないのはAWSにおいて愚策です。
AWSはフィードバックを非常に大事にする文化です。ガンガンフィードバックをしましょう。
フィードバックする際には「自分の色に染める」くらいたくさんの声をフィードバックしましょう。特に日本のユーザーは日本特有だと感じるものでもたくさんフィードバックしていきましょう。声が集まれば機能が実装される可能性もあります。
まとめ
みんなでAWSサービスを育てよう!
