AWS Top Engineer (Security)がre:Invent 2023で見た セキュリティの民主化と生成AI活用の未来 大島 悠司 re:Invent 2023 re:Cap

自己紹介 ◼ 大島 悠司 (Yuji Oshima) • クラウドセキュリティアーキテクト / SREリーダー • AWS Community Builders (Security & Identity) • 2023 Japan AWS Top Engineers (Security) • 2022-2023 Japan AWS All Certifications Engineers ◼ 経歴 • デジタルフォレンジック、マルウェア解析、スレットインテリジェンス • SOC、基盤運用、インシデントレスポンス • サービス開発、基盤構築運用、研究開発 yuj1osm 2

本日お話しすること ◼ 2023年のAWSセキュリティ動向について ◼ セキュリティの民主化と生成AI活用について ◼ re:Invent 2023 のセキュリティやガバナンス関連のアップデート ※セキュリティサービスの全てのアップデートは紹介しません 3

4 今年の re:Invent もたくさんのアップデートがありましたね

5 2023年のAWSセキュリティの動向を振り返りつつ アップデートを見ていきましょう

CJ Mosesによる2023年以降のセキュリティに関する予測 ◼ AWS前CISOであるCJ Mosesが2022年末に 2023年以降のセキュリティについて予測 ◼ セキュリティは組織のあらゆる活動に不可欠になる • 増え続ける脅威とリスクによりクラウド移行が推進 • ログ記録、モニタリング、監査、パッチ適応などの 使いやすさや自動化の需要が向上 ◼ AI/機械学習で促進されたオートメーションが セキュリティを強化する • 予測によるプロアクティブなセキュリティ対策 • 運用者の定型業務を削減 6 （出典）「CJ Mosesによる2023年以降のセキュリティに関する予測」 https://d1.awsstatic.com/Security/Security_Predictions_e-book_2022_JP.pdf Chris Betz CJ Moses ちなみに2023/8に CISOが変わってます

運用者にとって使いやすいセキュリティサービスが必要 7 Amazon GuardDuty Amazon Inspector Amazon Macie AWS Firewall Manager AWS WAF AWS Network Firewall 運用者 Amazon Macie ◼ AWS環境の継続的なセキュリティ対策が大事 • アイデンティティと許可の管理 • ネットワークとインフラストラクチャの保護 • 脅威の特定と対処 • データ保護 • コンプライアンスの提示 ◼ AWSには多くのセキュリティサービスがあるが 運用者としては見るものを減らしたい セキュリティサービス がいっぱい.. AWS Identity and Access Management (IAM)

AWS Security Hubに統合 8 AWS Security Hub ◼ セキュリティ結果データを集約することで AWS環境のセキュリティとコンプライアンスを 包括的に把握 運用者 Security Hubから まとめて監視 Amazon GuardDuty Amazon Inspector AWS WAF AWS Network Firewall Amazon Macie AWS Identity and Access Management (IAM) Amazon Macie AWS Firewall Manager

Security Hubは痒いところに手が届かないことも 9 AWS Security Hub 特定アカウントの 重要度を変えたい リソースごとに 重要度を変えたい ダッシュボードを自分に必要な 情報に絞りたい コントロールの閾値を変えたい re:Inforce 2023 で発表 re:Invent 2023 で発表 AWS Security Hub 自動化ルール AWS Security Hub コントロールカスタマイズ AWS Security Hub ダッシュボード機能強化

AWS Security Hub コントロールカスタマイズ ◼ マネージドコントロールをカスタマイズすることが可能 • 自社の要件にあった閾値を設定できより使いやすくなった 10 （出典）「AWS re:Invent 2023 recap」 https://pages.awscloud.com/rs/112-TZM-766/images/AWS-Black- Belt_2023_reInvent2023digest_1201_v1.pdf 一般提供開始 コントロールパラメータを 変更可能

AWS Security Hub ダッシュボード機能強化 ◼ 様々な観点での分析を可視化しウィジェットの追加も可能 • 自分の見たい情報に特化したダッシュボードを作れる 11 一般提供開始 ドラッグ&ドロップするだけで 独自のダッシュボードを作れる

運用では脆弱性管理も重要 ◼ Amazon Inspectorで脆弱性診断が可能 • EC2、コンテナ、Lambdaなどのワークロードを検出し、ソフトウェアの脆弱性やネットワークの露出をスキャン • 対象インスタンスにAWS Systems Manager Agent (SSM Agent)の導入が必要 • 環境やルールによってSSM Agentを導入できないこともある、そこで・・・ 12 Amazon Inspector AWS Cloud Virtual private cloud (VPC) Private subnet Amazon Elastic Compute Cloud (Amazon EC2) Agent 検出結果

InspectorがEC2のエージェントレス診断に対応 ◼ SSMエージェントがインストールされていなくてもEC2のスキャンができる EBSスナップショットをスキャンする仕組み 13 Amazon Elastic Compute Cloud (Amazon EC2) Snapshot スナップショット スキャン Amazon Inspector ハイブリッドとエージェントベースの 2モードを選択可能 （出典）「AWS re:Invent 2023 recap」 https://pages.awscloud.com/rs/112-TZM-766/images/AWS-Black- Belt_2023_reInvent2023digest_1201_v1.pdf プレビュー

InspectorがCI/CDツール内でコンテナイメージのスキャンに対応 ◼ JenkinsやTeamCityなどの主要な開発者ツールと統合、CI/CD内でコンテナイメージをスキャン ◼ 拡張スキャンに対してもCI/CD連携が可能に 14 （出典）「AWS re:Invent 2023 recap」 https://pages.awscloud.com/rs/112-TZM-766/images/AWS-Black- Belt_2023_reInvent2023digest_1201_v1.pdf 特徴 ベーシックスキャン 拡張スキャン 検出範囲 OSパッケージ OSと言語パッケージ タイミング イメージPush時 手動 イメージPush時 CVE追加時 料金 無料 有料 統合 なし Organization Security Hub など ベーシックスキャンはCI/CD連携可能だったが、 今回は拡張スキャンも同様にCI/CD連携可能になった 一般提供開始

15 セキュリティへの生成AIの活用

AI/機械学習でセキュリティを強化する ◼ re:Inforce 2023で生成AIによるセキュリティサービスの拡張を示唆 16 （出典）「1_SecurityLeaderSession」 https://pages.awscloud.com/rs/112-TZM-766/images/1_SecurityLeaderSession.pdf

17 セキュリティの民主化

セキュリティの民主化の実現に向けて ◼ AWS Security Forum Japan 2023では 「セキュリティの民主化の実現」をテーマに掲げていた ◼ セキュリティの民主化とは • 技術へのアクセスが一般化されている • 知識の共有がされている • 組織全体の意識 ◼ つまりセキュリティ担当だけではなく、 企業全体がセキュリティを「ジブンゴト」として考えていくこと 18

19 手軽にセキュリティに取り組んでもらうためには 自動化や既存サービスへの組み込みが必須

20 そこでre:Invent 2023では 既存のセキュリティ機能に生成AIが組み込まれ 機能強化に加え、手軽に使いやすくなりました

生成AIを利用したLambdaコードスキャンに対応 ◼ 既存のコードスキャンは抽象的な修正案のみ提示 ◼ 今回のアップデートにより、生成AIを使った具体的な修正コードを提示 21 具体的なコード修正案を提示 パッチファイルもダウンロード可能 （出典）「AWS re:Invent 2023 recap」 https://pages.awscloud.com/rs/112-TZM-766/images/AWS-Black- Belt_2023_reInvent2023digest_1201_v1.pdf 一般提供開始

Amazon CodeWhispererのアップデート ◼ 生成AIを使った脆弱性修正のためのコードを提示 22 （出典）「AWS re:Invent 2023 recap」 https://pages.awscloud.com/rs/112-TZM-766/images/AWS-Black- Belt_2023_reInvent2023digest_1201_v1.pdf （出典）「Amazon CodeWhisperer にて AI を活用した新しいコード修正、IaC サポート、 および Visual Studio との統合提供を開始 | Amazon Web Services ブログ」 https://aws.amazon.com/jp/blogs/news/amazon-codewhisperer-offers- new-ai-powered-code-remediation-iac-support-and-integration-with- visual-studio/ 一般提供開始

AWS Configで自然言語によるクエリ生成 ◼ 従来はクエリ作成に慣れている人しか調査できなかった ◼ 自然言語でクエリを生成できるため、クエリ作成経験が無くても短時間で調査可能 23 （出典）「AWS re:Invent 2023 recap」 https://pages.awscloud.com/rs/112-TZM-766/images/AWS-Black- Belt_2023_reInvent2023digest_1201_v1.pdf プレビュー

Amazon CloudWatchで自然言語によるクエリ生成 ◼ 自然言語でクエリを生成できるため、クエリ作成経験が無くても短時間で調査可能 24 （出典）「AWS re:Invent 2023 recap」 https://pages.awscloud.com/rs/112-TZM-766/images/AWS-Black- Belt_2023_reInvent2023digest_1201_v1.pdf クエリ作成のためにググったり このようなクエリリストの用意が不要に プレビュー

25 今回はコストも大きなテーマでしたね

THE FRUGAL ARCHITECT 1. Make Cost a Non-functional Requirement コストを非機能要件に組み込む 2. Systems that Last Align Cost to Business システムのコストをビジネスに合わせて継続的に調整する 3. Architecting is a Series of Trade-offs 設計は一連のトレードオフ 4. Unobserved Systems Lead to Unknown Costs 観測できないシステムは見えないコストを生み出す 5. Cost Aware Architectures Implement Cost Controls コストを意識したアーキテクチャはコスト管理を可能にする 6. Cost Optimization is Incremental コスト最適化は段階的に行う 7. Unchallenged Success Leads to Assumptions 挑戦なき成功は過信を招く 26 （出典）「AWS re:Invent 2023 Keynotes | Amazon Web Services」 https://reinvent.awsevents.com/keynotes/ （出典）「The Frugal Architect」 https://www.thefrugalarchitect.com/

AWS Configが24時間ごとに情報を記録するモードを提供 ◼ 従来は継続的に記録されていたため、スキャン費用が高くつくことがあった ◼ 日時スキャンが選択できるようになり、スキャン費用を抑えることが可能 27 （出典）「AWS re:Invent 2023 recap」 https://pages.awscloud.com/rs/112-TZM-766/images/AWS-Black- Belt_2023_reInvent2023digest_1201_v1.pdf 日時記録が選択でき、オーバーライド設定により、 特定リソースへ適用可能 一般提供開始

Amazon CloudWatch Logsが低頻度アクセスログクラスを提供 ◼ CloudWatch Logsの料金が半額になる ◼ その代わり、S3エクスポート、サブスクリプションフィルタ、異常検知など多くのことができなくなる 28 （出典）「AWS re:Invent 2023 recap」 https://pages.awscloud.com/rs/112-TZM-766/images/AWS-Black- Belt_2023_reInvent2023digest_1201_v1.pdf ログクラスで低頻度アクセス用の クラスを選択可能 一般提供開始

今後の動向を考察 ◼ 開発者や運用者が気軽に使え、カスタマイズ性の高いサービスになっていく ◼ 誰もがセキュリティを「ジブンゴト」ととらえられるように、 「セキュリティの民主化」を加速するセキュリティサービスが増えていく ◼ 既存のサービスにどんどん生成AIが組み込まれていき、 自動生成や運用の自動化が当たり前になり、ユーザ体験が大きく変化していく ◼ コストを最適化する選択肢が増えていく 29

まとめ ◼ セキュリティは組織のあらゆる活動に不可欠になる • 今年も、運用者が嬉しい痒い所に手が届くアップデートが多かった ◼ AI/機械学習で促進されたオートメーションがセキュリティを強化する • 今年は、「生成AIの活用」と「セキュリティの民主化」がキーワード • 手軽にセキュリティに携わってもらえるため、生成AIによる業務効率化 ◼ コストを意識したアーキテクチャを心がける ◼ 本日紹介したアップデート 30 分類 アップデート ステータス セキュリティ×使いやすさ向上 AWS Security Hub コントロールカスタマイズ 一般提供開始 AWS Security Hub ダッシュボード機能強化 一般提供開始 InspectorがEC2のエージェントレス診断に対応 プレビュー InspectorがCI/CDツール内でコンテナイメージのスキャンに対応 一般提供開始 セキュリティ×生成AI 生成AIを利用したLambdaコードスキャンに対応 一般提供開始 Amazon CodeWhispererのアップデート 一般提供開始 AWS Configで自然言語によるクエリ生成 プレビュー Amazon CloudWatchで自然言語によるクエリ生成 プレビュー セキュリティ×コスト削減 AWS Configが24時間ごとに情報を記録するモードを提供 一般提供開始 Amazon CloudWatch Logsが低頻度アクセスログクラスを提供 一般提供開始 AWSの方々が執筆した これらの本を読んでおくとよいでしょう