はじめに
2023年6月に開催されたAWSのセキュリティカンファレンス「AWS re:Inforce 2023」に参加しました。現地での参加は当社では初めてでしたので、現地の様子を含めてレポートします。
インフラエンジニアの私は、ネットワークレイヤーに関連するセキュリティをよく意識します。セキュリティはネットワークの保護だけでなく、ランサムウェア、マルウェア、ワイパー等のデータを狙ったものを検知/隔離するなど、関連のサービスは種類も多く、機能も様々です。
AWS re:Inforceってなに?
AWS re:Inforce は 2023年6月13日、14日の2日間開催されたAWSのセキュリティカンファレンスです。
米国 カリフォルニア州アナハイム、Anaheim Convention Centerで開催されました。大谷 翔平選手で有名なロサンゼルス・エンゼルスのホームスタジアムや、世界で最初に作られたディズニーランドが観光地として有名です。
カンファレンスの参加費は一人あたり1,099$、当時の日本円で16万円位でした。
AWS社の最大のカンファレンスであるre:Inventと比較すると規模は小さめですが、セキュリティに特化したセッションやワークショップ、EXPOがあることが魅力です。AWS社のリーダーや、AWS セキュリティパートナー企業であるCrowdStrike、Datadog、Palo Alto Networks、Snyk、WizなどのAWS Security Competency Partnersが登壇します。
どんなサービスが発表されたの?
AWSではセキュリティを最優先事項(Top Priority)として重要視しています。これはAWSがローンチされた頃から継続的にAWSが公言してきたことです。
その上で、コンピュータが犯罪を犯すわけではない、全てのセキュリティリスクの元凶は人間であると唱えています。
では人間がセキュリティリスクの元凶だとしたら、どのような対策が必要なのでしょうか?その解決に役立つ、今回発表されたサービスのアップデートをご紹介します。
Amazon Verified Permission
アプリケーションロジックからアクセス制御を分離し、パーミッションルールの変更と更新を一元管理して運用を簡素化する承認サービスです。
全リージョンで利用可能(GA)です。
少し解説を加えると、AWSがOSSで公開しているCedarと呼ばれるポリシー言語を用いて、コード上で明示的にアクセス制御を定義し、アクセスコントロールを行います。承認のためにアプリケーションのコードを変更する必要はなくなります。
このサービスではパーミッションルールに即したアクセス可否の判断のみが可能です。アクセス権限の付与などの認証はできませんので、別途実施する必要があります。
管理者は全体のポリシー作成、アプリケーション開発者はデータやリソースへのアクセス許可など、誰がどこのアクセスを制御するのか等をしっかり設計し、運用する必要がありますが、監査担当者は一元管理されたアクセス制御を適切に分析・監査できます
Amazon EC2 Instance Connect Endpoint
従来はEC2インスタンスにインターネットからアクセスする際は、踏み台サーバをたてる、またはEC2にパブリックIPアドレスをもたせて接続する必要がありました。しかし、このサービスが提供されたことでインターネットゲートウェイとパブリックIPアドレスを利用することなくEC2へのプライベートな接続が可能になりました。そのうえCloudTrailで監査ログも取得でき、IAMとSGの両方でのアクセス制御も可能になりました。
エンドポイントの利用は全リージョンで利用可能です。
このサービスの他にAWSでは無料で利用できる(SSM)というサービスがあり、エンドポイントを構築することで、プライベートなネットワークに存在するEC2への接続を可能としていました。どちらのサービスも似たような機能を持っているので後日検証して費用感等も比較してみようと思います。
Code Scans for AWS Lambda
Lambda関数コードの脆弱性チェックをリアルタイムでスキャンしてくれるサービスです。
利用するにあたりInspectorというAWSのセキュリティサービスと、Code Scanの機能を有効化する必要があります。
誤ってLambdaにシークレットキーをハードコーディグしてしまう例を聞いたことがあります。そういった、人が作ってしまった脆弱性はこのサービスを利用することでチェックできます。とても良い機能だと思います。
あとは値段との交渉ですね。東京を含む10リージョンで利用可能です。
Amazon Inspector SBOM Export
アプリケーションで利用しているソフトウェアのコンポーネントや依存関係をリスト化した資料をS3にエクスポートできるようになりました。
エクスポートデータにはリソースと脆弱性の情報を含んでいるので、Amazon AthenaでクエリをかけてAmazon QuickSightで可視化することで、ソフトウェアサプライチェーンの傾向と脅威を分析することもできます。
またよく言われることですが、SBOMを利用できることでソフトウェアの脆弱性管理やライセンス管理、開発コストの削減にも繋げられますね。
全リージョンで利用可能です。
Findings Groups for Amazon Detective
Amazon Detectiveの検出結果グループにAmazon Inspectorのネットワーク到達可能性とソフトウェアの脆弱性の検出結果を含めるように、検出結果グループが拡張されました。また、検出結果にAmazon GuardDutyの情報も含まれるようになりました。
Amazon Detectiveを利用可能な全てのリージョンで使用できます。
SFTPで量子コンピューティング対応の鍵交換アルゴリズムをサポート
AWS Transfer FamilyのSFTPで量子コンピューティングにも耐性のある鍵交換アルゴリズムのサポートが開始されました。このアップデートは現在の公開鍵アルゴリズムが将来、量子コンピューティングの発展によって解読される可能性を考慮して実現したものになります。
AWS Security Hub automation rulesをサポート
Security Hubにニアリアルタイムで検出結果を自動的に更新または抑制する自動化ルール機能が追加されました。
Account Creation Fraud Prevention
AWS WAFに偽アカウントや不正アカウントの作成を防止するためのマネージドルールグループが追加されました。
このルールを利用することで、プロモーションやサインアップ ボーナスの悪用、 正規ユーザーへのなりすまし、フィッシング攻撃などのアカウントの悪用を自動的にブロック できるようになるとのことです。
東京を含む22リージョンで利用可能です。
https://docs.aws.amazon.com/ja_jp/waf/latest/developerguide/aws-managed-rule-groups-acfp.html
Findings Summary View
Amazon GuardDutyコンソールに新しく概要ページが発表されました。
マルチアカウントでGuardDutyを有効化して運用している場合、この機能によってアカウント全体の検出結果をまとめて見ることができるため注意すべきアカウントを迅速に特定できるようになりました。
https://docs.aws.amazon.com/guardduty/latest/ug/guardduty-summary.html
まとめ
AWSでセキュリティを考える時にベースとなるのは責任共有モデル(https://aws.amazon.com/jp/compliance/shared-responsibility-model/)であって、AWSを利用する上で“お客様の責任範囲”となっている部分をクラウドの利用者に任せっきりにするのではなく、サポートするための機能を常に創出し続けているという姿勢が今回のアップデートにより感じられました。
AWSではセキュリティをTop Priorityと掲げているだけあって、このためにグローバルに向けたカンファレンスを開催している意味が理解できた気がします。
AWSのセキュリティのトップであるCJ Moses氏が言う通り、セキュリティには充分という状態はなく、あらゆる点で変化していくことが求められると思いますし、そのためにAWSはお客様のセキュリティを少しでも強化できるよう各サービスのアップデートや、新サービスをローンチしていると感じました。
セキュリティ事故は、人間が一番のセキュリティリスクとなっているところは否めません。性悪説に基づいた“ゼロトラスト(Verify and Never Trust)”の考えのもと、必要最小限の権限をユーザーにもアプリケーションにも持たせ、その権限の利用手段を常に把握して怪しい動きを検出するような仕組みを作っていかなければ、セキュリティリスクは無くならないと思います。
突き詰めれば、AWSのシステムも人間が作ったシステムである以上、完璧はありえません。では、その完璧でない中でもどれだけリスクを減らす事ができるのでしょうか。それこそが、我々富士ソフトがお客様に提供できる価値であると考えます。
富士ソフトのAWS関連サービスについて、詳しくはこちら
アマゾンウェブサービス(AWS)