SLIDESMANIA.COM 2024-08-26 AWS Community Builders集合！

SLIDESMANIA.COM 早川裕志 (Hiroshi Hayakawa) Senior Cloud Architect AWS Community Builders (Security & Identity) AWS Ambassadors Japan AWS Top Engineers (Services) Japan AWS All Certifications Engineers 好きなサービス: GuardDuty, Step Functions GameDay中毒: 🥇 x2 🥈 x1 🥉 x3 2 Photo from AWS Blog

はじめに ● 免責事項 ○ re:Inforce どころか re:Invent も現地参加経験ナシ ○ オンライン視聴＆YouTube＆re:Capイベント等で情報収集 ● 今⽇の⽬的 ○ すばらしいキーノートを掘り下げ ○ re:Inforce に参加したい＆させなきゃ！を増やしたい 3

AWS re:Inforceとは？ ● AWSが主催するクラウドセキュリティやコンプライアンスに特化した 学習型カンファレンス ● AWS セキュリティのエキスパートやパートナーとともに、最先端の セキュリティ情報を短時間で効率的に収集可能 ○ 250を超えるセッション（上級者向けが70%以上） ○ AWSのセキュリティリーダーシップによるセッション ○ 100を超えるインタラクティブセッション (GameDay, JAM等) ○ トップマネジメントとのクローズドセッション (Japan Tour限定) ● 今年は 6/10-12にフィラデルフィアで開催 (通算5回⽬) ● re:Inventと⽐較すると⼩規模＆セキュリティにフォーカス AWS re:Inforce 2024⽇本語紹介ページ: https://aws.amazon.com/jp/events/reinforce-2024/ 4

re:Inforce 2024のリアルタイム配信 ● Keynote ● Innovation Talks ○ Explorations of cryptography research | SEC204 ○ The building blocks of a culture of security | SEC202 ○ Securely accelerating generative AI innovation | SEC203 ○ Provably secure authorization | SEC201 現在はBreakoutも含めオンデマンドで視聴可能 （ワークショップ等は除く） AWS re:Inforce Watch on demand: https://reinforce.awsevents.com/on-demand/ 東海岸＆夏時間 のおかげで-13h 5

Keynote 6 ● Key speakers ○ Chris Betz (CISO@AWS[2023-]) ○ Steve Schmidt (CSO@Amazon, CISO@AWS[2010-2022]) ● Top Themes: ○ Culture of Security ○ Secure by Deisgn ○ Zero-trust ○ GenAIの活⽤促進

Culture of Security 組織全体でセキュリティを優先していく “カルチャー ” ● セキュリティについて CEOやリーダーシップチームと毎週会議を実施 ● Security Guardian program ○ セキュリティ意識の高い開発者がチーム内でセキュリティを推進することを自発的に表明し、セキュ リティの考慮をより早く（シフトレフト）、より頻繁に行われるようにすることで、セキュリティ所有権を 分散し、ボトルネックを解消する ”メカニズム ” ○ セキュリティのオーナーシップはプロダクトチーム (inc. Security Guardian)が保有し、脅威モデリ ングからテストまで積極的に主導。 💡DevSecOpsの実装事例。組織文化論をメカニズムとして実装している点がポイント ● Secure by Design（詳細後述） ○ 最初からセキュリティを考える。 ● 一夜で構築できるものではなく、一貫した強化と継続的な努力・投資がなければ失われる 7 Security Guardians program: https://aws.amazon.com/blogs/security/how-aws-built-the-security-guardians-program-a-mechanism-to-distribute-security-ownership/

Secure by Design #1 物理DCからソフトウェアアーキテクチャまで、あらゆるレベルでセキュリティを実装 ● AWS Graviton ○ クラウドワークロードのためにデザインされたプロセッサ ○ Graviton4ではセキュリティにより高い基準を設定 ■ DRAM、PCIeを含む高速物理バス全てを暗号化 ■ PAC (Pointer Authentication Code)とBTI (Branch Target Identification) （Amazon Linux 2023ではカーネル・全ソフトウェアパッケージでこれらを使用） ■ SMT (Simultaneous Multi-Threading) の排除 8

Secure by Design #2 物理DCからソフトウェアアーキテクチャまで、あらゆるレベルでセキュリティを実装 ● Nitro System ○ HardwareとFirmwareレベルで、AWS オペレーターのアクセスから顧客コンテンツを保護 ○ AI/MLワークロードでは学習データやモデルを保護 ● Nitro Enclaves ○ 高度な機密データを EC2内で分離処理する仕組み ○ 強固に分離・制限された仮想マシン ■ ペアレントインスタンスとのローカルソケットのみ ■ 永続化ストレージ、外部ネットワーク接続なし ○ Attestation（認証されたコードのみを実行）のサポート ○ KMSとの統合 💡多レイヤを横断する統合的なセキュリティ機能（ MF化） 9 https://research.nccgroup.com/wp-content/uploads/2023/05/NCC_Group_AWS_Nitro_System_API_Security_Claims_Report_2023-04-11_v1.0.pdf

Secure by Design #3 物理DCからソフトウェアアーキテクチャまで、あらゆるレベルでセキュリティを実装 ● メモリと型セーフなプログラミング言語 (Rustなど) の使用 ○ メモリ関連やスレッド関連の問題を排除しアタックサーフェースを削減 ○ Rust は AWS で最も急速に成長している言語 ■ 多くのチームが重要なコンポーネントをその言語に書き直したか書き直し中 ■ 98%以上のワークロードをメモリ安全な言語で実装 ■ [事例] S3 ShardStore（S3の新ストレージエンジン） ● 暗号技術の開発・研究 ○ AWS Libcrypto for Rust ■ OSSのRust用暗号化ライブラリ ■ FIPSをサポート ■ ポスト量子暗号の実験的サポート ■ 形式検証のための自動推論による正確性とセキュリティを強化 ○ 最先端暗号技術の研究（ c.f. SEC204-IN: Explorations of cryptography reseach） 10

Secure by Design #4 自動推論によるガードレール ● 証明可能な形式論理に基づいて、システムの望ましくない振る舞いを特定 ● テストは重要だが入力に制限される ○ IAMポリシーの*指定 ○ IPv6アドレスの組み合わせは 10^94（観測可能な宇宙の原子の数 10^82より多い） ● 暗号プロトコルの正確性、ストレージシステムの一貫性、 FW,　侵入検知システム、セキュアコーディング の実践などで活用 ○ IAM新認可エンジン ■ 従来比65%の高速化（1秒間に1億リクエスト） ■ c.f. SEC201-INT: Provably secure authorization ○ CEDAR ■ アプリケーションの認可ポリシーを記述するための言語（ OSSで公開） ■ Verfied PermissionsやVerified Accessで使用 ■ ユーザは自身のアプリケーションで FGACを実現可能 11

Key Takeaways ● Inherit a world-class security team ○ あらゆるレイヤに組み込まれた緩むことのないセキュリティ (Security Ratchet) に乗っかる ○ AWSというプラットフォームを活⽤して、⾃社のコアコンピタンスを強化 ● セキュリティを浸透させることでビジネスを加速する ○ セキュリティとアジリティ＆スケールは両⽴可能 ○ Ownershipの共有と責任の分散させ、セキュリティチームをゲートにしない 💡 DevOps, DevSecOps, FinOps, Platform Engineeringなどの本質に通じる ● SDLCにおける横断的関⼼事を誰かに押し付けない ● そのためには「広く深く」が求められる 12

さいごに ● 時間があれば紹介したかったこと ○ GenAIのセキュリティ ○ Zero-trust ○ 脅威インテリジェンス（⾃⾝を知る＋敵を知る） ■ TDR305 Cyber threat intelligence sharing on AWS ● re:Inforceは2025年もフィラデルフィアで6/16-18に開催！ 13

SLIDESMANIA.COM