COLUMN

AWS re:Inforceとは？

AWSの新サービスが発表される大規模なイベントは、それぞれの特色をもって開催されており、これらの特徴を知ることが大切です。

大規模イベント以外のイベントでの発表や、プレスリリース、特にアナウンスなく公開されるものなど多数のアップデートの機会はありますが、まずは各イベントの特徴をとらえて情報収集するのが良いと考えます。

ビジネスカンファレンス

AWS Summit

各国・地域で開催しており、ユーザの事例や開催地に即したテーマに応じたトピックが中心となり、主にビジネスでAWSを活用するためのヒントが中心となっています。

近年は新サービスの発表は減ってきておりますが、大規模事例とともに新サービス・ソリューションが発表されることもあります。

テクニカルカンファレンス

AWS re:Invent

例年アメリカのラスベガスで開催される最大のテクニカルカンファレンスで、AWSにおける技術の方向性が示されるイベントです。

そのため、分野に関係なく多数の新サービス・新技術が発表されるため、日本からも多数の参加者が現地に参加する機会となっています。

昨年は弊社からも現地参加を行いましたので、関連するコラムも掲載されております。

• AWS Top Engineerから見た、AWS re:Invent 2022の注目メッセージとアップデート10選
• AWS re:Invent現地で多いに盛り上がっていたAmazonDataZone開発者講演を聞いてきた
• AWS re:Invent 2022 Amazon Connect　最新アップデート情報

AWS re:MARS

機械学習・オートメーション・ロボティクス・宇宙事業など、先進的なテーマに特化したイベントで、すぐにビジネス化は難しいものの、研究開発や学術的な側面での発表が多くなっています。

もちろんこれらのテーマに即した新サービスもこちらで発表されます。

AWS re:Inforce

テクニカルカンファレンスの中でもセキュリティやコンプライアンスに特化したイベントになっており、特にセキュリティに関心の高い業界に属している場合は注目のサービスが発表されるなど、セキュリティやコンプライアンスを担当する技術者やCISOにおいて見逃せないイベントになっております。

今年のAWS re:Inforce 2023はカルフォルニア州のアナハイムで開催され、基調講演やブレイクアウトセッションをはじめラボやワークショップなども多数用意されておりました。

私は現地参加はできなかったので、一部オンラインで視聴できる基調講演やリーダシップセッションをリアルタイムで視聴しました。

AWS re:Inforce 2023での主なテーマ

AWSとセキュリティの話をすると責任共有モデルの話が出てきますが、AWS内のセキュリティやAWS上のセキュリティだけではなく、AWSまでのセキュリティやAWSと外部の境界におけるセキュリティといったテーマが話されておりました。

AWS内のセキュリティについては、仮想化ソフトウェアのFirecrackerやNitrosystemなどこれまで発表されてきた内容のおさらいから始まり、AWSが140を超えるセキュリティ基準をクリアするだけでなく、監査人の物理的な訪問を少なくするため、バーチャルツアーによって監査基準を突破する取り組みを紹介しておりました。

また、セキュリティイベントの規模については、300GBを超えるVPCフローログ、AWS WAFによるルール管理は一日3500億件、70万件を超えるDDoS攻撃の緩和を行ってきたことも紹介されていました。

AWS上のセキュリティにおいては、新たな要素について生成系AIにおいてもセキュリティガイダンスが必要となる旨が示されてきました。先日発表されていたAmazon Bedrockにおいても暗号化やデータ保護、プライベートエンドポイントによりセキュアに使えること、また、マネジメントコンソールのプライベートエンドポイントを活用することでインターネットを介すことなくAWSの設定が可能になるような仕組みが示されております。

ここまではこれまでのAWSにおけるセキュリティの概念の延長線上にありましたが、昨今ゼロトラストセキュリティが台頭する中でAWSへのセキュリティが重要視されるようになってきています。

ゼロトラストネットワークで重要な要素はセッションごとの認証認可、動的なポリシーなどがあげられますが、VPNやファイヤーウォールといったこれまでのネットワーク制御に相反するものではなく共存させながら実現していくことが大切になっていきます。

こうしたサービスではre:Invent 2022で発表されたVerified Accessを利用したり、OIDCとの連携をして実現していく仕組みがAWSに整えられてきております。

AWS re:Inforce 2023での注目アップデート

ここで、AWS re:Inforce 2023で発表されたアップデートのうち、白鳥が個人的に注目する3つをご紹介します。

①Amazon EC2 Instance Connect Endpoint

Amazon EC2 Instance Connect自体は以前からありましたが、パブリックIPからアクセス可能になっていることの制限がありました。

また、マネジメントコンソール経由でのサーバ接続はSystems Manager Session Managerで代替えできますが、権限管理や、SSH/RDPと完全な互換になっていないことなどの制約があり、やはりSSH/RDP接続をセキュアな形で実現したいという要望は多かったのだと推測します。

今回のアップデートにより、パブリックからアクセス可能であることの制限がなくなり、なおかつマネジメントコンソール経由でのアクセスが可能になることで、IAMベースでの権限管理も可能となり、より安全にSSH/RDP接続が可能になることがうれしいポイントとなります。

②Findings Groups for Amazon Detective

Amazon Detective自体は、各種サービスによって収集されたセキュリティデータを調査・可視化を行うサービスで、基本的にはAWS Organizationsとセットで使われます。

従来はインシデントに関するリソースを一覧で表示、検索などで確認することができていましたが、関係性を可視化することができるようになりました。

これにより、攻撃者からの侵入経路や影響範囲を一目で見ることができるようになっております。

セキュリティ対応にはどう対処するかが大切なので、このような形で見られるのは非常に有用であると感じております。

③Amazon Verified Permissions

こちらはAWS re:Invent 2022でプレビュー版がアナウンスされ、今回正式にリリースとなりました。

これまでAWS上で構築したアプリケーションの認可については、アプリ側で実装する必要がありました。

しかしながら、これは認証したユーザの役割や属性などでアクセスルールをアプリケーション側で実装するということで、監査の記録や可視性を非機能要件として独自に定める必要がありました。

アプリ側の認証の仕組みはCognitoがありましたが、認可の仕組みはこれまでなかったので、認可の仕組みがようやくできた、ということになります。

ロールベースのアクセス制御と、属性ベースのアクセス制御を可読性の高いOSSであるCEDARで記述していくことでIAMのように厳密な制御を実現できる、ということでこれからの利用拡大が期待されています。

CEDAR自体はVerified Accessでも使われていて、セキュリティのポリシー記述方法としても今後拡大されそうです。

その他AWS re:Inforceでの注目情報

AWSのカンファレンスでは多くのユーザ事例が発表されております。

中でも、デジタル庁のガバメントクラウドに対するAWS取り組みは大規模環境で利用する際のリファレンスになりますので、ぜひご覧いただければと思います。

AWS re:Inforce 2023 - Managing risk in a regulated environment, feat. Japan Digital Agency (GRC302)

ほかにも一部のセッションはAWS公式のYouTubeチャンネルで公開されていたり、オンデマンドでの視聴が可能です。

まとめ

少しセキュリティに特化した記事の内容となりましたが、このようにセキュリティも日進月歩で使われる技術や概念が変わっていき、クラウドにおいても適用されていく形になります。

システム自体もそうですが、セキュリティも「実装したときのままにしない」ことが大切です。

当社を通じたAWSの利用においても「どのようにセキュリティを実装したらいいかわからない」「どこを改善したらよいかわからない」といったお声もよく聞きます。

こうした声に対し、当社でもご支援できればと考えています。

AWSのセキュリティについて1から考えたい、という方は下記のコラムもおすすめです。

ゼロから始めるAWSベストプラクティス - セキュリティ 編

またセキュリティチェックも行っておりますので、当社の構築した環境でなくてもチェックさせていただきます。

AWSセキュリティチェック

セキュリティチェックにつきましても、クラウド経験の高い担当者がご支援させていただきますので、どうぞお気軽にお問い合わせください！