AWS re:Invent 2024: セキュリティ、アイデンティティ、コンプライアンスの総括

本ブログは 2025 年 1 月 13 日に公開された Blog “AWS re:Invent 2024: Security, identity, and compliance recap” を翻訳したものです。

AWS re:Invent 2024 は、12 月 2 日から 6 日までラスベガスで開催され、54,000 人以上の参加者が 2,300 以上のセッションとハンズオンラボに参加しました。AWS が主催するこのイベントは、世界中のクラウドコンピューティングコミュニティにとって、革新的な技術と知見を共有する場となりました。

このブログでは、オンデマンドセッションと、カンファレンスの前後で発表された主要なセキュリティ、アイデンティティ、コンプライアンスに関する発表内容を取り上げます。イベントを見逃した方や、重要なポイントを振り返りたい方のために、AWS のセキュリティに関する主要なアップデートを包括的に解説します。今年のイベントでは、ゼロトラスト、生成 AI を活用したセキュリティ、アイデンティティとアクセス管理、DevSecOps、ネットワークとインフラストラクチャのセキュリティ、データ保護、脅威検出とインシデント対応のベストプラクティスに重点が置かれました。

主な発表内容

ID とアクセス管理に関して、AWS Organizations 全体で権限管理を規模拡大するのに役立つ複数の新機能をリリースしました。

リソースコントロールポリシー (RCP) – RCP は、組織内の AWS リソースに対して予防コントロールを一元的に作成および適用するために使用できる、新しいタイプの組織ポリシーです。RCP を使用することで、AWS でワークロードをスケールする際に、AWS リソースに対して許可される最大の権限を一元的に設定できます。
ルートアクセスの一元管理 – ルートアクセスの一元管理により、ルート認証情報を一元的に管理し、認証情報の監査を簡素化し、AWS Organizations で管理される AWS メンバーアカウント全体で、範囲を限定した特権的なタスクを実行できるようになりました。
宣言型ポリシー – 宣言型ポリシーは、組織内の AWS サービスのベースライン構成など、意図した設定を強制する方法を簡素化します。

Amazon Cognito は 4 つの新機能を発表しました。

機能ティア – Amazon Cognito は、Essentials と Plus の 2 つのユーザープールの機能ティアを開始しました。Essentials ティアは、包括的で柔軟なユーザー認証とアクセス制御機能を提供し、安全でスケーラブル、かつカスタマイズされたサインアップとサインインエクスペリエンスの実装を支援します。Plus ティアは、アプリケーションに対して高度なセキュリティニーズを持つお客様向けに、不審なサインインに対する脅威保護機能を提供します。
開発者向けコンソール – Amazon Cognito は、クイックウィザードとユースケース固有の推奨事項を備えた、合理化された導入手順を提供するようになりました。このアプローチにより、これまで以上に迅速かつ効率的に設定を行い、エンドユーザーに提供することができます。
Managed Login – この機能は、お客様の企業やアプリケーションのブランディングに合わせてパーソナライズできる、フルマネージド型のホステッドサインインおよびサインアップエクスペリエンスです。Managed Login / マネージドログインは、パスワードレス認証やローカライゼーションなどの共通の手間のかかる作業の設計と保守を軽減します。
パスワードレス認証 – パスワードレス認証により、パスキー、メール、テキストメッセージを使用してアプリケーションへのユーザーアクセスを保護できます。ユーザーがパスキーを使用してサインインすることを選択した場合、Apple MacBook の Touch ID や PC の Windows Hello 顔認証などの組み込み認証機能を使用できます。

環境内のセキュリティ問題を発見するために、Amazon GuardDuty は Extended Threat Detection を開始しました。これは、AWS アカウント、ワークロード、データを標的とする高度な多段階の脅威を特定するために使用できる機能です。新しい攻撃シーケンスの検出結果を使用することで、長期間にわたる複数のリソースとデータソースをカバーできるようになり、一次分析にかける時間を減らし、ビジネスへの影響を最小限に抑えるために重大な脅威への対応により多くの時間を費やすことができます。

Amazon OpenSearch Service が Amazon Security Lake との zero-ETL 統合を提供開始し、OpenSearch Service を通じてセキュリティデータをその場で直接クエリおよび分析できるようになりました。この統合により、これまでコストが高く分析が困難だった大量のデータソースを効率的に分析できるようになり、セキュリティ調査の合理化とセキュリティ環境の包括的な可視化が可能になります。データを選択的に取り込める柔軟性があり、複雑なデータパイプラインを管理する必要がないため、分析コストを削減しながら効果的なセキュリティ運用に集中できるようになりました。

AWS Security Incident Response は、環境内のセキュリティ問題への対応を支援する新しいサービスです。このサービスは、自動化された監視と調査、迅速なコミュニケーションと連携、そして AWS カスタマーインシデントレスポンスチーム (CIRT) への 24 時間 365 日のアクセスを組み合わせることで、セキュリティインシデントへの準備、対応、復旧を迅速に行うことができます。

ゼロトラストの分野では、AWS Verified Access と Amazon VPC Lattice の両方が、非 HTTPS リソースへのアクセスのサポートを開始しました。Verified Access を使用すると、TCP、SSH、RDP などのプロトコルを介して、VPN を使用せずに社内アプリケーションへの安全なアクセスを提供できます。Amazon VPC Lattice 向け VPC リソースのローンチにより、VPC Lattice サービスネットワークを通じてアプリケーションの依存関係にアクセスできるようになりました。TLS、HTTP、HTTPS、そして新たに TCP を含む追加プロトコルを使用して、異なる VPC、アカウント、オンプレミスでホストされているアプリケーションに依存する各種リソースにアクセスできます。AWS Verified Access を使用して非 HTTP(S) プロトコルでゼロトラストアクセスを有効にする方法については、オンデマンドセッションをご覧ください。

Amazon Route 53 Resolver DNS Firewall は、高度な DNS 脅威に関連する不審な DNS トラフィックを監視およびブロックするために使用できる新機能を備えた、新しい高度なファイアウォールルール機能の提供を開始しました。

Amazon Virtual Private Cloud は、ブロックパブリックアクセス機能をリリースしました。これは、管理者が各 VPC のインターネットトラフィックを確実にブロックするために、一元的に実装できるワンクリックの一括設定機能です。

生成 AI ワークロードを本番環境にデプロイするお客様が増えるにつれて、適切なセキュリティ制御が重要になってきています。Amazon Bedrock では、これを支援する 2 つの新機能をリリースしました

自動推論チェック – 自動推論チェックは、ハルシネーションを検出し、大規模言語モデルのレスポンスが正確であることを検証可能な証明を提供します。自動推論チェックにより、ドメインエキスパートは、運用ワークフローや組織の人事方針などの分野における知識を要約した自動推論ポリシーと呼ばれる仕様をより効率的に構築できます。Amazon Bedrock ガードレールのユーザーは、生成されたコンテンツを自動推論ポリシーと照合して不正確な点や明示されていない前提を特定し、記述が正確である理由を検証可能な方法で説明できます。
マルチモーダル有害コンテンツの検出 (プレビュー) – Amazon Bedrock ガードレールは、画像コンテンツに対するマルチモーダル有害コンテンツの検出をサポートするようになり、組織が画像にコンテンツフィルターを適用できるようになりました。パブリックプレビューで利用可能なこの機能により、独自の画像データ保護機能を構築したり、手間がかかり間違いやすい手動評価に時間を費やしたりする必要がなくなります。

AWS は、お客様の成功を支援するため、引き続きパートナーと密接に連携しています。 AWS re:Invent では、3 つの新しいパートナープログラムが開始されました

AI セキュリティカテゴリー – AWS セキュリティコンピテンシーの AI セキュリティカテゴリーは、AI 環境のセキュリティ確保と高度な脅威からの AI ワークロードの防御に関する深い経験を持つ AWS パートナーを特定するのに役立ちます。このカテゴリーのパートナーは、機密データの漏洩防止、インジェクションの脅威の防止、セキュリティ態勢管理、責任ある AI フィルタリングの実装などの分野での能力が検証されています。
AWS Security Incident Response スペシャライゼーション – 現在、AWS のお客様は、社内のセキュリティインシデント対応能力をサポートするために、さまざまなサードパーティのツールやサービスを利用しています。お客様とパートナーの双方をより良くサポートするため、AWS はセキュリティイベントの準備、対応、復旧を支援する新しいサービス AWS Security Incident Response を導入しました。認定された AWS パートナーと共に、AWS Security Incident Response は、Amazon GuardDuty やその他の脅威検出ツールからの優先順位付けされたセキュリティ調査結果を AWS Security Hub を通じて監視、調査、エスカレーションします。AWS Security Incident Response は、優先度の高いインシデントのみを特定してエスカレーションするように設計されています。
Amazon Security Lake Ready スペシャライゼーション – このスペシャライゼーションは、Amazon Security Lake と統合するソフトウェアソリューションを技術的に検証し、お客様への導入実績を示した AWS パートナーを認定するものです。これらのソリューションは、AWS パートナーソリューションアーキテクトによって、アーキテクチャの妥当性と実証済みのお客様の成功が技術的に検証されています。

オンデマンドでコンテンツを体験

現地で参加できなかった方や、セッションをもう一度視聴したい方は、オンデマンドで利用可能なセッションをご覧いただけます。Matt Garman による CEO キーノートでは、AWS がお客様とパートナーの皆様により良い未来を構築していただくために、基盤となる構成要素を再構築し、まったく新しい体験を開発している様子をご覧いただけます。また、re:Invent 2024 の他のキーノートも視聴できます。

AWS CISO の Chris Betz による Security Innovation Talk をご覧いただき、最新の AWS イノベーションがどのようにお客様の迅速な対応とセキュリティの維持を支援しているかをご確認ください。AWS がどのように組織のセキュリティを製品、サービス、プロセスに統合・自動化し、セキュリティチームがビジネスに最大の価値をもたらす業務に集中できるようにしているかをご紹介します。また Chris は、AWS がセキュリティイノベーションをスケールし、セキュリティコミュニティに投資することで、インターネットをより安全にする取り組みについても共有します。

以下のような重要なトピックについて学ぶため、AWS のセキュリティ、アイデンティティ、コンプライアンスに関する分科会や新機能発表のトークをオンデマンドで視聴できます

6 月 16 日から 18 日にフィラデルフィア (ペンシルベニア州) で AWS re:Inforce 2025 が開催されます。このイベントにぜひ参加して、現地でセキュリティ学習の機会を得ることをご検討ください。みなさまとお会いできることを楽しみにしています！

これらの新しい発表がお客様の組織のセキュリティポスチャの改善にどのように役立つかについて話し合いたい場合は、AWS がお手伝いします。今すぐお問い合わせから AWS アカウントチームにご連絡ください。

このブログに関する質問がある場合は、AWS Security, Identity, & Compliance re:Post で新しいスレッドを開始するか、AWS Support にお問い合わせください。

Amazon Web Services ブログ

AWS re:Invent 2024: セキュリティ、アイデンティティ、コンプライアンスの総括

主な発表内容

オンデマンドでコンテンツを体験

お役立ちリンク

フォローお願いいたします