アマゾン ウェブ サービス(AWS)ジャパンはこのほど、今年6月に米フィラデルフィアで開催された年次クラウドセキュリティイベント「AWS re:Inforce 2025」に関する説明会を開催。同社のセキュリティ対策の最新情報、最新のセキュリティサービスを紹介した。

AWSが重視するセキュリティ対策の4つの視点

同イベントのキーノートで、米Amazon Web Services CISOのAmy Herzog氏は、強力なセキュリティ基盤を簡単に実現するための方法を次の4つの視点から紹介した。

  • IDとアクセス管理(IAM)
  • データとネットワークのセキュリティ
  • 監視とインシデント対応
  • マイグレーションとモダナイゼーション

同社が自社のクラウドサービスに対して施しているセキュリティ対策もこの4つの視点から行われている。

  • 「AWS re:Inforce 2025」キーノートのサマリー

AWSジャパン 執行役員 パブリックセクター 技術統括本部長 瀧澤与一氏が、これら4つの視点のポイントを紹介した。

  • AWSジャパン 執行役員 パブリックセクター 技術統括本部長 瀧澤与一氏

IDとアクセス管理

同社はIAMをクラウドセキュリティの基盤と位置づけ、AWS IAMは現代のクラウド認証・承認ニーズに対応するよう設計されている。瀧澤氏は「IAMはスケーラブルを重視している」と述べ、毎秒12億回のAPI呼び出しを処理し、最小権限の原則を促進していることを紹介した。

例えば、同社は長い期間の認証情報を悪用した攻撃を防御するため、アクティブな防御ツールを活用している。その成果として、2024年12月9日から2025年4月3日まで、顧客のS3オブジェクトに対する不正な暗号化の試みを9億4,360万件阻止したという。

また、ルート資格権限を持つアカウントが、セキュリティのリスクを高めていることから、ルートアクセス権を持つ管理アカウントとスタンドアロンアカウントにMFAの使用を義務づけている。

データとネットワークのセキュリティ

瀧澤氏は、AWSがソブリンの要求を満たしていると説明した。「AWSでは、顧客のデータは顧客しかアクセスできない。当社は保管されているデータとネットワークを通過するデータを暗号化している」(同氏)

AWSはデータとネットワークのセキュリティを確保するため、多層的な暗号化を行っている。具体的には、ネットワークを通過する際、OSI7階層の1階層と2階層の間、2階層と3階層の間、4階層と5階層の間において、3回以上の暗号化を実施している。

  • AWSはネットワークを通過する際、3回以上の暗号化を実施している

瀧澤氏は暗号化の施策として、耐量子セキュリティも紹介した。「ハンドシェイクが安全ではない暗号化が行われることがある。この課題に対応するため、当社は対量子暗号を用いている」(瀧澤氏)

そのほか、AWS ShieldでDDoSを自動的に防御し、AWS WAFでアプリケーションレベルの保護を行うなど、包括的な防御システムを構築している。

監視とインシデント対応

防御システムとしては、1時間あたり13兆件のIP変換を処理する「Blackfoot」、数万台のハニーポットによる脅威を検知する「MadPot」を運用している。

監視・分析システムとしては、リソースを監視する「Amazon CloudWatch/AWS CloudTrail」、セキュリティデータの統合を行う「Amazon Security Lake」、AIと機械学習を用いて脅威を検知する「Amazon GuardDuty」を運用している。

瀧澤氏は、「ネットワークレイヤ―の7階層を狙う攻撃が増えていることから、包括的な対処が必要。当社は継続的に実施している」と述べた。また同氏は、昨今の情勢と今年5月にサイバー対処能力強化法及び同整備法(通称:能動的サイバー防御法)が公布されたことを踏まえ、世界規模の脅威インテリジェンスを運用していることを紹介した。

マイグレーションとモダナイゼーション

AWSは、マイグレーションの成功のカギは責任共有モデルの理解にあると考えている。AWSが強固なセキュリティのインフラを提供していることで、顧客はリソースのセキュリティ保護に集中できるという。

瀧澤氏は、同社がサービスをローンチする際のセキュリティ施策として、Game Daysを開催していることを紹介した。Game Daysでは、疑似的な障害を起こして、サービスを提供できるかを検証する。テスト専用のフルリージョンでは、Game Dayのイベントを継続的に実施しているという。

AWS re:Inforceで発表された新サービス

AWS re:Inforceでは12種類の新機能が発表されたが、瀧澤氏は主要なサービスとして「AWS Security Hub」「AWS Shield Network Security Director」「Amazon GuardDuty」を紹介した。

AWS Security Hub

AWS Security Hubは、セキュリティインシデントの優先順位を付け、クラウド環境を保護するための大規模な対応を支援するサービス。新しいプレビューでは、AWS Security Hub CSPMに、「自動相関付け」「リスクの優先順位付け」「効率よい対応の支援機能」といった機能が付加される形に変更された。

  • AWS Security Hubの主な機能

AWS Shield Network Security Director

AWS Shield Network Security Directorは、AWS内のネットワークリソースの可視性を提供し、不足または誤設定されたネットワークセキュリティサービスを特定し、推奨の修正手順を提示するもの。

加えて、自然言語でネットワークセキュリティ構成に関する質 問に簡単に回答を得ることも可能。

Amazon GuardDuty

Amazon GuardDutyは、AWS環境を継続的に監視し、脅威を検出するセキュリティサービス。今回、拡張脅威検出のカバレッジをAmazon EKS クラスターに拡大することが発表された。

GuardDutyの拡張脅威検出は、AIと機械学習による攻撃シーケンスの識別機能で、EKSに関するセキュリティシグナルを自動的に相関付ける。

  • AWS re:Inforce 2025 アップデート