AWS re:Inforce 2023 re:Cap Seminar – 夜の部〜セキュリティ最新アップデートを現地の様子とジャパンツアーの魅力と共に振り返る〜に参加してきた #AWSreInforce

#re:Inforce 2023

たかくに

2023.06.29

この記事は公開されてから1年以上経過しています。情報が古い可能性がありますので、ご注意ください。

こんにちは！ AWS 事業本部コンサルティング部のたかくに（@takakuni_）です。

本エントリは AWS re:Inforce 2023 re:Cap Seminar - 夜の部〜セキュリティ最新アップデートを現地の様子とジャパンツアーの魅力と共に振り返る〜の参加エントリになります。

イベント概要

AWS re:Inforceは、2023 年 6 月 13 日～ 6 月 14 日の 2 日間アナハイムで開催の、AWS のセキュリティとコンプライアンスについてベストプラクティスや最新情報を学習できるグローバルカンファレンスです。本セミナーでは、キーノートをはじめ、エグゼクティブ向けセッションおよびエンジニア向けセッションをそれぞれダイジェストでご紹介します。また、現地で参加されたお客様によるセッションレポートやジャパンツアーの魅力についてもご紹介します。 Loft 会場で参加の皆様へは軽食を用意して懇親会も行います。是非ご参加ください。

Key messaging from AWS re:Inforce 2023

AWSJ 松本照吾さん

セキュリティは最優先事項（Security is our top priority）
- サービスはお客様からのリクエストからなっている
キーノートセッション
- 十分というのは、私たち及びお客様にとって決して十分ではない
- より十分に近づけるため、第三者が評価されることで、AWS の安全性を保てるのではないのか
- Nitro システムに対して、第三者評価を依頼しレポートを出してもらった
- AWS ではお客様にサービスを安心して使って頂きたい取り組みを積極的に行っている
今年の 2023 年第一四半期に 100万件の botnet からの DDoS アタックを防いだ
インターネットをより安全な場所にしていく
- 1,000 の botnet C2 テイクダウンを実現
AWS だけがセキュリティをやるのではない
- Build in パートナーソリューションを実現
- お客様は One-Click で統合されたセキュリティソリューションを実装可能
セキュリティは進化していく
- AWS は量子コンピューティングの研究に投資を行っている
- Let's build trust, and secure the future together
AWSJ では Japan Tour を取り組んだ
- Expo tour をツアー参加者に提供
- CJ Moses の特別公演に比べ Global
AppSec
- 毎週、セキュリティについて話し合う時間を作る
- セキュリティは常に動いているオペレーションとして捉える
AppSec ガーディアン
- セキュリティ活動に従事するメンバーの育成
- セキュリティを Add-On ではなく、中に組み込まれた状態を目指す

CICO CJ Moses 特別セッションまとめ

AWSJ 中島章博さん

re:Inforce のジャパンツアー参加者向けの特別セッション
事前にツアー参加者に質問を設け、CJ Moses にお聞きするセッション
AWS のセキュリティサービスのロードマップ、力を入れているサービス、AI について
- お客様の責任共有モデル
- お客様でセキュリティデータの可視化、対策が課題にあがりやすい
- Security Hub, Security Lake
生成 AI については以前から、注力している
- CodeGuru Security をリリースして、AI ベースのセキュリティサービスを提供
セキュリティの予算確保
- 予算確保は全ての事業にとって課題。Amazon も同様
- 中央集権型ではなく、各ビジネスリーダーそれぞれセキュリティの責任を任せている
AWS には Guardians という社内プログラムがあり、各プロジェクトのセキュリティレビューを行う
- セキュリティを足枷と捉えるのではなく、カルチャーとして根付かせる
セキュリティ担当者の育成
- Guardians 以外にも、コミュニティを運営している
- 社内でセキュリティに困った場合の、問い合わせ先を設ける
- 社内、社外問わずトレーニングコースを充実させる
セキュリティカルチャーの作り方
- ビジネスにおけるセキュリティの役割を理解
- リスクの理解とリスクの許容範囲内でビジネス活動できるようする
- No ではなく、「Yes, but」または「Yes, and」を心がける
- お互いが関係作り、ディスカッションを設けることでカルチャーを作ることができる
AI による高度な攻撃への対策
- セキュリティにおいて、AI はポジティブな面もあるがネガティブな面もある
- レジリエンスや多層防御を心がける
- AI はデータの分析、機械学習に利用するのが得意である
- AI がテクノロジーに対してどのように機能が適しているか考えることが重要

サービスアップデート

AWSJ 平賀敬博さん

Amazon Verified Permissions
- ポリシーベースのアクセスコントロール
- スケーラブル、きめ細やかなアクセス制御
- OSS の Cider 言語で定義
- アプリケーションロジックからアクセスコントロールを分離
- アプリケーションロジックの開発に注力できる
- Cider について
- リソースやユーザーの組み合わせによるきめ細やかな制御　- 現在の属性地に基づいてアクセス判断をするためリアルタイムなにアクセス判断を提供
Instance Connect Endpoint
- パブリック IP 無しで SSH, RDP 可能になった
- 要塞ホスト不要で SSH, RDP ができるようになった
- 要塞ホストの維持管理コストを削減できるようになった
- CloudTrail でロギング可能
Amazon Inspector Code Scans for Lambda
- Lambda 関数内のアプリケーションコードをスキャン可能
- 実際のコードの中で、どこが悪いか、どのように修正すればいいかが生成される
Inspector SBOM
- SBOM の情報を出力可能
- QuickSight, Athena でデータ分析可能
Amazon CodeGuru Security
- SAST のツール
- 特定の脆弱性についてはパッチコードも出力される
- CodePipeline と一緒に活用可能
Amazon Detective
- セキュリティイベントに対しての一連のアクティビティを関連して表示
- Inspector のネットワーク到達可能性とソフトウェアの脆弱性情報を検出結果グループに含めるようになった
- 侵害された原因を特定する手がかりが多くなった
Security Hub automation rules
- 検出結果を自動的に更新または抑制する
- 大量に出ている検出結果を自組織向けにカスタマイズして、トリアージ対応を高速化
- 自動化ルールの一例として、重大度高をクリティカルにして、メモを追加するなどができる
AWS WAF Fraud Control
- 不正なアカウント作成を検出、ブロック
- アカウント作成で発生するプロモーション、サインアップボーナスの悪用をブロック
- このアップデートによりログインに対する不正、アカウント作成に対する不正をブロックできるようになった
Amazon GuardDuty
- Findings Summary View
- 可視化された検出結果をダッシュボード化
- 問題を迅速に特定
- 時間の経過に伴う検出結果の傾向や重大度の内訳を表示
Payment Cryptography
- 決済アプリのトランザクション処理に必要な暗号化をマネージドに提供
- 暗号処理のスケーリング、鍵交換を自動化
- PCI DSS に適合
Amazon DynamoDB Database Encryption SDK
- クライアントサイド暗号化を支援
- 特定の属性レベルの暗号化
- DynamoDB に暗号化する前の暗号化をサポート
AWS Elastic Disaster Recovery (AWS DRS)
- ネットワークコンポーネントの追加
- Trusted Account 機能の追加
- DR 元のネットワークに変更があっても、DR 先のネットワーク変更を行わなくて良くなる?
AWS IAM Identity Center
- Google WorkSpace ID を利用してアクセス可能になった
Amazon ECR
- CVSS v3 の情報を利用して判断できるようになった
AWS CloudTrail Lake でトップトレンド可視化ダッシュボード
- クエリのトレンドを視覚的にダッシュボードで把握できるようなった

LT

re:Inforce Japan Tour のご紹介

AWSJ 戸内加奈さん

re:Inforce Japan Tour とは
- re:Inforce に集中できるよう組まれたツアー
航空券、ホテルの手配、空港からホテル間の送迎をパッケージ化
限定プログラム
- Japan Night 参加者同士のソーシャルイベント
- Expo Tour プロの通訳者と共に言語に困ることなくExpo を体験
- CJ Moses との特別交流会
- 日本語で現地速報まとめ
- re:Inforce 2023 アナハイム特別公演
- Amazon 関連施設への視察

AWS Security Jam のすゝめ

上野史瑛さん

AWS Security Jam とは
- クエスト形式で AWS 環境の修正を行いポイントを稼ぐプログラム
- スポンサークエストもあり AWS 外の会社さんも問題を提供されている
re:Inforce は 2位だった
- re:Inforce はかなり激戦
なんで AWS Jam にいくのか
- 現地しか体験できないことである
- 景品が豪華。イベントが大きくなればなるほど豪華
頑張ろうとする本気度で AWS も好きになる
触っていないサービスや新しいサービスも出てくる
英語がネックな方
- 話せないと黙ってしまう。
- 無数の質問が来てしまう
- 自分から聞くことで、回答の推測ができる
- Have you ever が鉄板
- Oh, great で万事 OK
Public Demo で雰囲気を感じることができる

金融業界にいる私からみた re:Inforce

木美雄太さん

あなたが使っているのは"クラウド"ですか？
AWS はクラウドである
自社のセキュリティルールで AWS をクラウドでない状態にしていないか
現地参加する目的
- その世界の当たり前と自分たちのギャップを体感
- どうやってクラウドのセキュリティを守るか
- いかに開発プロセスの早い段階で問題を修正するか
クラウドのセキュリティを高めるためにすべきこととは
- 自動化
- 開発プロセスの早い段階で自動でフィードバックを提供する
- アプリに加えインフラも含めたフィードバック
セキュリティのオーナーシップを開発者に持たせる
- セキュリティ担当者はフィードバックの自動化を進める
USAAさんのセッション
- IaC パイプラインは当たり前
- エンドポイントポリシーに着目
- 社外の提携先の S3 バケットが増えた時の移動かチェック
- 開発者がセルフサービスで適切なポリシーを適用
- 開発者のプルリクエストをもとにセキュリティレビューが行われる仕組みづくり

ユーザーからみたre:Inforce 2023

宮崎幸恵さん

IAM に関するセッションが良かった
IAM302
- コード化して SCP のコード化、デプロイ自動化
- OU を国ごとに切ってる?みたいで分割単位が興味深い
IAM303
- 事例セッション
- 自動で修復する仕組みづくりが面白かった
- 最初に設計たものの、いかに維持していくかの仕組みづくりが興味深かった
- 個別対応など
- CloudTrail Lake の活用
- Youtube で公開されている
スポンサーブース
- veza
- 誰がどのようにデータにアクセスできるか可視化される SaaS
- Rezonate
- veza と似たようなサービス
- アクティビティをリアルタイムに表示
- AWS を含めて全体像を可視化できる部分がいいなと思った
- Axiom Security
- IAM リスク管理を自動的に評価

「re:Inforce 2023のアップデートを得た現代のAWSセキュリティ運用方法(GuardDuty/Detective編)」というタイトルでAWS re:Inforce 2023 re:Cap Seminar – 夜の部〜セキュリティ最新アップデートを現地の様子とジャパンツアーの魅力と共に振り返る〜

臼田佳祐さん

ちょー楽しかったです
Amazon GuardDuty と Amazon Detective の運用方法
GuardDuty
- すごくいい感じ
- ハンズオン中に出てきて感動
Detective
- 雰囲気いい感じ
理想のセキュリティ運用
- 怪しい検知が一個もでていない状態
- AWS 環境の堅牢化
GuardDuty で大量に検出されているが何もできていない状態からどうするか
- サマリーダッシュボードの活用
- 概要：何件検知されている部分。重要度の高いイベントのチェックしよう
- 最も低頻度の検出結果：特に要チェック。
- 最も一般的な検出結果：特に多いタイプのグラフ。自社の組織のアーキテクチャ/運用に問題がないか。
- 最も多い検出結果：重要なものは即対応
Detective
- 高のイベントがあったら、特にグループが作られていないか確認する
- 一連の攻撃しなりををチェックできる
- どこから始まったのかをチェックできる
Security Hub を利用して継続的にチェックしよう
- 見つけたものを直すだけではなく、起きないような仕組みづくりが大切

スポンサーから世界の潮流を知る

カミナシ西川さん

スポンサーから世界の潮流を知る
文化を根付かせる
- シリーズAの段階からセキュリティを文化にしたい取り組んでいる
学生の時（シフトレフト）からセキュリティをやっていく
- 文化は一朝一夕で出来ない
WIZ
- 1年半で 1M から 100M まで売り上げを上げた
- CSPM の製品を販売
- セキュリティ担当者が使うものではなく、開発者自らセキュリティリスクに気づき、何をしたら良いのか分かる製品
- 次のアクションが取れることに重きを置いている
- 開発者とセキュリティ担当者の距離感を大切にしている
- セキュリティ人材の不足は継続していくであろう
セキュリティの責務を開発者に持たせるのはある種合理的ではないか
- 検知された内容が意図しているのか判断できるのは開発者であるため
re:Inforce 参加者の選定
- セキュリティ担当者と開発者の2名以上がおすすめ
- セキュリティ担当者のみ行っても、熱量を与え切れるか怪しい

元セキュリティエンジニアの目線で見たre:Inforce 初参加レポート

山口正徳さん

re:Inforce イベント全体から見た所感
参加前のイメージ
- 規模が小さくコアな人が集まりそう
- セキュリティ詳しい人が多いため求められるレベルが高そう
参加後のイメージ
- 規模も含め参加しやすかった
- 普段セキュリティに詳しくない人も楽しめるイベント
セキュリティにフォーカスしているイベントだから詳しい人が集まる
- その人に自分の考えをぶつけて情報の咀嚼ができる
各セッションを通じて共有したいこと (TEAM)
- セキュリティはテクノロジーはなく人と文化に依存
- 人がどのようにシステムと向き合うか
- 自動化によって人がアクションする機会を減らす
- 人がアクセスできる時間帯を減らそうとする
- Temporary elevated access management
- 一時アクセス可能なトークンの発行を Step Functions + Lambda で自動化
- CloudTrail Lake で操作ログを可視化

AWS re:Inforce いってきました！

堀瑞希さん

1年間で3つのイベントに参加
大迫力、大緊張、大吸収
セキュリティの専門家ではない自分の目線で話すと
アカウント数 300 超えてきている
- コロナ禍を機に右肩上がりで伸びている
大谷選手に会えなかったのが残念
専用のスプレッドシートを作成管理
複数人のセッション重複を避けた
AWSイベントのアプリ内でセッション共有して欲しい
天気がいい。が曇りに備えて羽織を一枚
ダウンタウンディズニー
- ルーフトップBar が良かった
CJ Moses との特別講演会
- Yes but, Yes and の考えが勉強になった
Japan Wrap up
- 空き時間に擬似登壇体験
特別公演, Amazon Style の視察
なぜ SMEJ は 7名も参加したのか
- 各部門のキーマンの参加が、各種セキュリティ施策実行をスピーディに行えると思っているため
- アウトプット活動
- APN の運営、コスト最適化、セキュリティ運用
- インプット活動
- 国内外イベントへの参加
課題の 70 % が非技術
- 外注的ないため、内製で育てる必要がある
来季の予算に組み込む意思を持ち込むこと