Downgrade the level 500 session to level 200 and briefly introduce the two sessions

Transcript

1. Downgrade the level 500 session to level 200 and briefly

   introduce the two sessions Security-JAWS#38 2025/08/21 Shun Yoshie

2. Self Introduction 吉江 瞬 Shun Yoshie セキュリティコンサルタント AWS Security Hero

   主な業務経歴： • - セキュリティサービス運用 • - SOC • - クラウドセキュリティ監査 • - ガイドライン策定 興味： - マルチクラウド - CNAPP 好きなAWSサービス： • - AWS Security Hub • - AWS WAF コミュニティ/タイトル： • - Security-JAWS運営 • - ex-AWS Community Hero • - JAWS PANKRATION 2024実行委員長 • - AWS re:Inforce 2024 Speaker • - APJ Community Leader Award 2024 "Think Big"

3. 本セッション概要 AWS re:Inforce 2025では、レベル500のセッションが初めて設けら れ、そのうち、2つのセッションに参加してきました。 • SEC501: From Shor's algorithm

   to AWS's post-quantum cryptography strategy • SEC504: REACT: Adapting threat detection models with limited data 非常に学術的なものであったため、より理解しやすく、レベル200 にダウングレードして説明します。たぶん。

4. Level 500 Introduction 01

5. AWS Session Level AWSサービスの概要や導入を目的とし ています。これらのセッションでは、AWS サービスの特徴、機能、メリットに焦点を 当て、基本的なユースケースを取り上 げ、サービスや機能をアプリケーション でどのように活用し、他のサービスと統 合できるかを紹介します。

   トピックに関する一般的な知識を前提と し、AWSのサービスまたはユースケース を技術的に掘り下げて解説します。コン テンツには通常、一般的なユースケース のアーキテクチャ、統合、構成に加え、ヒ ントやコツ、ベストプラクティス、または高 レベルのトラブルシューティングガイダン スが含まれます。 対象トピックに関する熟練度を前提とし ており、通常、アーキテクチャ、開発、デ プロイメント、および事例を詳細に扱い ます。経験豊富なAWSユーザーのニー ズに対応する詳細なユースケースを通 して、サービスの使用方法を徹底的に 探求します。 AWSの上級およびエキスパートのお客様を 対象としています。 AWSサービスの詳細な 内 部構造を学習したい高度なスキルを持つ ユーザー向けに設計されています。複雑な 設計、開発、およびデプロイメント戦略を実 演し、参加者にトピックに関する高度な技術 的理解を提供します。 100 – Foundational 200 – Intermediate 500 – Distinguished 高度な技術力を持ち、高度な研究、理論 的基礎、そして新興技術を探求したい AWSのエキスパートユーザーを対象として います。プリンシパルエンジニア、応用科 学者、研究者が主導 するこれらのセッショ ンでは、既存のベストプラクティスにとどま らず、実験的なアプローチを検証 し、理論 と実装を結びつけ ることで、参加者がクラ ウドコンピューティングの未来を探究 でき るよう支援します。 300 – Advanced 400 – Expert https://reinforce.awsevents.com/learn/session-content/

6. 自動推論 (automatic reasoning)の話 Other Level 500 AWS re:Inforce 2025 Sessions

   階層化された述語抽象化 (stratified predicate abstraction)の話

7. SEC501: From Shor’s algorithm to AWS’s post-quantum cryptography strategy 02

8. Translate SEC501 Introduction Original • 量子コンピューティングとその暗号への影響について 解説 ◦ 量子計算の基礎解説 ◦

   量子ゲートとユニタリ行列の解説 ◦ Deutsch回路を例にした量子計算の強力さの 解説 ◦ Shor's Algorithmの紹介 ▪ RSA暗号や楕円曲線暗号(ECC)を効率 的に解読可能 • ポスト量子暗号(PQC)とAWSの取り組みの紹介 ◦ ML-KEMやML-DSAといった量子耐性のある暗 号技術を進めている ◦ TLSなどの通信プロトコルに組み込む計画 ◦ サービスへの展開 ◦ KMSへのML-DSAの導入 ◦ PQC移行の戦略や古典的暗号の段階的廃止 の説明

9. Main Point • アプリケーションやプロトコルに用いられている暗号アルゴリズムにおいて、Data Integrity(データ整合性)、 Confidentiality(機密性)、Authenticity(真正性)、Non-repudiation(否認防止)などが危篤化 • NISTは2024年8月に最初の3つのポスト量子暗号標準を発表 (FIPS203(ML-KEM), 204(ML-DSA),

   205) • PQCの導入にあたってサービス側の対応がこれから進んでいくが、ユーザー側での対応も必要 • ML-KEMをFIPS認証の暗号モジュール (AWS-LC)に統合 • それをTLSプロトコルに組み込んで、サービスのエンドポイント全体に展開している • ML-DSAがAWS KMSで利用可能になった • AWS Transfer Familyがすでにポスト量子ハイブリッドキーの • 確立をサポートしている • PQC移行における課題や脅威 ◦ アルゴリズムの選択や証明書の回転期間 ◦ 移行の優先順位 ◦ 量子脅威のタイムライン ◦ ダウングレード攻撃 ◦ 古典暗号の段階的廃止 ▪ ポスト量子アルゴリズムに切り替える際には、 顧客は新しい鍵を作る必要あり ▪ 特定の環境 (GovCloudなど)から順次廃止 • AWSとしても、いずれ何がPQCに対応しているか等の情報 ダッシュボードを作成するかも？

10. SEC501 Keyword 線形代数 Linear algebra 量子コンピューティング Quantum computing 量子ビット Qubits

    テンソル積 Tensor product 量子もつれ Quantum entanglement 量子ゲート Quantum gates 量子回路 Quantum circuits ハダマードゲート Hadamard gates ドイツアルゴリズム Deutsch Algorithm 量子優位性 Quantum Supremacy 量子周期探索法 Quantum Period Finding ショアのアルゴリズム Shor’s Algorithm ポスト量子暗号 Post Quantum Cryptography 格子ベース暗号 Lattice-Based Cryptography AWS-LC AWS libcrypto

11. • AWS post-quantum cryptography migration plan ◦ https://aws.amazon.com/jp/blogs/security/aws-post-quantum-cryptography-migration-plan/ • Post-Quantum

    Cryptography ◦ https://aws.amazon.com/jp/security/post-quantum-cryptography/ • FIPS 203: Module-Lattice-Based Key-Encapsulation Mechanism (ML-KEM) ◦ https://csrc.nist.gov/pubs/fips/203/final • FIPS 204: Module-Lattice-Based Digital Signature Algorithm (ML-DSA) ◦ https://csrc.nist.gov/pubs/fips/204/final • FIPS 205: Stateless Hash-Based Digital Signature Algorithm (SLH-DSA) ◦ https://csrc.nist.gov/pubs/fips/205/final • AWS KMS adds support for post-quantum ML-DSA digital signatures ◦ https://aws.amazon.com/jp/about-aws/whats-new/2025/06/aws-kms-post-quantum-ml-dsa-digital-signatures/ • How to create post-quantum signatures using AWS KMS and ML-DSA ◦ https://aws.amazon.com/jp/blogs/security/how-to-create-post-quantum-signatures-using-aws-kms-and-ml-dsa/ • Post-quantum hybrid SFTP file transfers using AWS Transfer Family ◦ https://aws.amazon.com/jp/blogs/security/post-quantum-hybrid-sftp-file-transfers-using-aws-transfer-family/ • NIST Releases First 3 Finalized Post-Quantum Encryption Standards ◦ https://www.nist.gov/news-events/news/2024/08/nist-releases-first-3-finalized-post-quantum-encryption-standards • AWS libcrypto (AWS-LC) ◦ https://github.com/aws/aws-lc SEC501 Resources

12. SEC504: REACT: Adapting threat detection models with limited data 03

13. Translate SEC504 Introduction Original • REACTフレームワークに関する論文を用いた研究の紹 介 ◦ クラウドセキュリティの脅威検出モデルにおけ る分布変動に対処する新しいMLフレームワー

    クによる脅威インテリジェンスの自動化 • モデルの重みを”メタ重み”と”適応重み”に分離し、柔 軟な学習が可能、忘却を防ぎつつ、新しい脅威にも迅 速に適応できる構造を持つ • ハイパーネットワークにより、1ms程度で文脈に応じた 重み生成が可能 • 時間・サービスタイプ等の情報を用い、動的な分布変 動に対応 • 重み全体の5.7%のみ更新する効率的なファイン チューニングが可能 • 更新対象はパラメータの重要性や不確実性を基に選 定 • 最大20%の悪意あるデータに耐える堅牢性を持つ • 多様な攻撃への対応として、戦略的サンプリングも活 用

14. Main Point • REACTフレームワークの紹介: クラウドセキュリティの脅威検出モデルに おける分布変動に対処する新しいMLフレームワーク • モデルの重みを”メタ重み”と”適応重み”に分離 ◦ 脅威やユーザーの行動が絶えず変化する中でセキュリティモデ

    ルの維持を根本的に変える • モデルの性能維持には再訓練が必要という課題 ◦ 再訓練中は一時的にモデルの状態が変わる(時に劣化) ◦ 以前に学んだ知識を忘れてしまう可能性(忘却) ◦ 過去に見たことのあるデータに気付かなくなる可能性 • 忘却を防ぎつつ、新しい脅威にも迅速に適応できる構造が必要 ◦ メタ重みは固定しつつ、新しいデータに対して推論時に適応重み だけを調整、正則化項も追加検討 • Hypernetworkを介した追加データのマッピングは、類似したコンテキスト とデータパターンに対する適応的な重みが互いに近くに配置され、異な る分布間での知識の転送が可能 • 脅威インテリジェンスの自動化、新しい脅威データを活用することになっ ても、モデルの再訓練や期間中のモデル劣化を防ぐ • 多様な攻撃への対応として、戦略的サンプリングも活用 • Amazon GuardDutyやAmazon Macie等と連携し、個別環境に最適化した検 出が可能 長期間にわたって分布が大きく 変化するシナリオでは限界あり

15. • REACT: Residual-adaptive contextual tuning for fast model adaptation in

    cybersecurity (紹介論文) ◦ https://www.amazon.science/publications/react-residual-adaptive-contextual-tuning-for-fast-model-adaptation-in-cy bersecurity • REACT: Residual-adaptive contextual tuning for fast model adaptation in threat detection ◦ https://www.amazon.science/publications/react-residual-adaptive-contextual-tuning-for-fast-model-adaptation-in-thr eat-detection SEC504 Resources

16. Conclusion 04

17. まとめ • LEVEL200に落とし込むと以下のことを知っていきましょう • SEC501から学べること ◦ PQCのベースとなる量子コンピューターおよび計算手法はその分野の人向け ▪ 興味あるならFIPS203,204,205を読んでみよう ◦

    一般的なAWSユーザーが気にするべきは、既存の暗号方式が脆弱となるタイミングがやってくるということ ◦ そのための対応方式として、PQCがあるということ ◦ いずれにしてもPCQへの移行をする必要があるということ ◦ 今年からすぐに移行する必要はない ◦ AWS側からいずれ明確な移行方式などが提示されるだろうからそれをウォッチしておくこと ◦ 業界特化の指針もいずれ出てくる（金融庁、経産省など） • SEC504から学べること ◦ REACTフレームワークを用いて、AWSの中の人がより脅威といえるものを検知するための試行錯誤をして いるということ ▪ Madpot同様にAWSユーザーが気にするところではない ▪ 時々刻々と変化する状況をAWSの中の研究者たちがおいかけているということを知っておけばよい ◦ 一般的なAWSユーザーが気にするべきは、そうした脅威を検知し、標準的に活用できるGuardDuty、Macie といったサービスがあり、その活用方法を気にするということ

18. CREDITS: This presentation template was created by Slidesgo, and includes

    icons by Flaticon, and infographics & images by Freepik Thanks!