AWS re:Invent 2023でアップデートされたセキュリティサービスまとめ

公開日:2024年1月11日最終更新日:

AWS re:Invent 2023では多くのアップデートが公開され、セキュリティに関連するものも多く含まれていました。システムを運用する上でセキュリティは永遠の課題であり、これを重点的にアップデートするAWSは、それだけ重要視しているのだと考えられます。今回は、AWS re:Invent 2023で公開されたセキュリティ関連の最新情報についてまとめます。

AWS re:Invent 2023で発表されたセキュリティの最新情報

セキュリティについて多くの最新情報が公開されましたが、それらの中でも特に注目したいものをピックアップして解説します。

AWS Control Tower

AWSのアカウントなどをセキュアに制御するAWS Control Towerで、利便性を向上させるアップデートが実施されています。

ランディングゾーンの設定

AWS Control Towerで、APIを利用したランディングゾーンの設定が可能となりました。ランディングゾーンとは、AWSのベストプラクティスに基づいたセキュアなアカウント環境を指します。今までは、手動でランディングゾーンを作成する必要がありましたが、アップデートによってこれを自動化できるようになりました。

作業を自動化できるようになったことで、設定でミスによるセキュリティの低下を防げるようになっています。設定項目が多いサービスであり、小さな変更を繰り返すと人的ミスが生じがちですが、特定のルールに沿ってAPIを実行するようにすることで、そのような問題が生じなくなりました。

コントロールの追加

「コントロール」が65個追加され、OU単位でリージョンを制限できるようにもなっています。今までは、組織全体で共通のリージョンを制限できるだけでしたが、OU単位での制御が実現されました。「組織全体に影響を及ぼす」と見送っていた設定も、今回のアップデートによって採用しやすくなっています。なお、コントロールの詳細については、AWSの解説ページを参照ください。

https://docs.aws.amazon.com/controltower/latest/userguide/controls-reference.html

Amazon GuardDuty

AWSのセキュリティサービスとして利用者の多いGuardDutyで、新しくコンテナやEC2がサポートされました。

ECS・EC2のサポート

Amazon GuardDutyの機能として、プレビュー版を含みますが「Amazon GuardDuty ECS Runtime Monitoring」が提供されました。「ECS on Fargate」「ECS on EC2」が利用できるようになったものです。今まではAmazon EKSにのみ提供されていたセキュリティサービスですが、新しく「ECS」「EC2」にまで展開されたと理解すれば良いでしょう。

なお、検出方法はサイドカー形式でデプロイされたGuardDutyエージェントによってランタイムの内容を保存し、その内容を監視するものです。そのため、導入にあたっては事前にRuntime Monitoringを有効化しておき、当該のインスタンスなどにGuardDutyセキュリティエージェントをインストールしておく作業が求められます。インストールしたならば、Coverageから確認できるようになるため、それぞれのインスタンスがどのような状態であるか簡単に確認が可能です。

EC2版はプレビュー

現時点ではプレビュー版ですが、同様の機能がEC2向けにも提供されるようになっています。これまでもGuardDutyでEC2の検知ができましたが、今回のアップデートによって、さらに細かな部分まで検知できるようになったのです。料金に変化がありましたが、セキュリティを高められるという費用対効果はあるでしょう。

ただ、理解しておいてもらいたいことは、EC2などのインスタンスではセキュリティ対策ソフトウェアの導入も重要です。コンテナとEC2では根本的な概念が異なり、それに伴ってセキュリティ対策も異なってきます。

Amazon Detective

Amazon Detectiveは、AWS全体の潜在的なセキュリティインシデントを発見するためのサービスです。有効化しておくことで、各種セキュリティサービスやCloudTrailなどのログを収集するようになり、検出結果などを示してくれます。また、状況の分析機能などもあり、セキュリティについての確認を全般的に効率化してくれるのです。これについて、アップデートにより幅広い情報を収集したり分析したりできるようになりました。

AIによるグループのサマリー

検出結果のグループについて、AIがその内容をサマリーしてくれる機能が追加されています。今までは、検出結果グループの内容を細かく確認し、人間が状況を把握する必要がありました。しかし、アップデートによりサマリーが提供されるようになったため、その内容を確認し、素早く初動に移せるようになっています。AIということもあり、完璧なサマリーとは言い切れませんが、初動を十分にサポートしてくれるものです。

連携リソースの増加

「Security Lake」や「Amazon GuardDuty ECS Runtime Monitoring」との連携もサポートされるようになっています。現在は、Security LakeではなくCloudTrailから情報を収集しているため、リアルタイム性に欠けるなどの問題が若干あるでしょう。しかし、Security Lakeからの収集とすることで、より正確な情報を分析しやすくなります。GuardDutyについては上記で解説したランタイムの情報を分析できるようになりました。

IAMユーザへの対応

他にも、IAMユーザの不正利用について調査する機能がアップデートで追加されています。例えば、社内でIAMユーザが不正に利用された疑いがある場合に、短期間で状況の把握が可能です。期間を指定するだけで操作された内容を洗い出すことが可能であり、不正の影響範囲などをjson形式で出力できます。

AWS Security Hub

AWS Security Hubは、AWSのセキュリティを司る非常に重要なサービスです。そのような位置づけということもあり、非常に多くのアップデートが実施されています。

検出結果の項目増加

AWS Security Hubは現時点でも多くの情報を閲覧できますが、アップデートによってさらに多くの情報を一気に確認できるようになりました。具体的には「リソースタグ」と「AWSアカウント」「ARN」に関する項目が表示されるようになっています。リソースタグについては今までも表示されましたが、今までより多く表示されるとのことです。ただ、アップデートということもあり、タグの取得に変化が見られないなど、やや不明瞭な部分があります。

Organizationsの強化

Organizations連携の機能が強化され、簡単に設定を有効化できるようになりました。今までは、CloudFormation StackSetsなどを利用して、有効化/無効化を展開する方法などが利用されていましたが、標準機能で対応できるようになっています。

具体的には、Security Hubの管理アカウントからポリシーを設定するだけで反映されるようになりました。今まで、マルチアカウントでは運用しづらいサービスでしたが、この問題は一気に解決したといって良いでしょう。Security Hubの有効化はもちろん、コントロールやセキュリティ標準設定などを処理できます。

コントロールのパラメータ設定

一部のコントロールのみですが、パラメータを設定することが可能です。ただ、今までのパラメータはAWSの指定値が入っており編集できず、実質的には固定値のようなものでした。そのため、使い勝手が悪く、標準のコントロールを停止して、自作のコントロールを作成する無駄な作業が強いられていたのです。

しかし、アップデートでは、今まで変更できなかったコントロールのパラメータを自分で設定できるようになりました。コントロールの選択画面から簡単に修正が可能となっていて、社内の要件などに準拠させられるようになっています。すべてのパラメータが変更できるわけではありませんが、このようなアップデートは横展開されることが多く、これから利便性の向上に期待できます。

まとめ

AWS re:Invent 2023はAI関連のサービスが多く発表されましたが、セキュリティ関連のサービスも発表されています。また、すでにアップデートされているものが多いため、適用できるものはすぐに利用すると良いでしょう。セキュリティの分野でも、内部的にはAIによるデータ分析などが活用される時代で、そのようなアップデートが公開されました。今回はアップデートがないサービスもいずれはAIの活用などで強化されるでしょう。

クラウドの運用代行や導入、開発は23年の実績をもつジードにご相談ください

  • クラウドの運用代行

    クラウドの監視・保守・運用の代行 お客様が運営するクラウドの監視・保守・運用業務を、ジードが代行いたします。

    サービスの詳細はこちら

  • クラウドの設計・構築

    クラウドの設計・構築 お客様のご要望に沿って、適切なクラウド選定から設計・構築までを行います。

    サービスの詳細はこちら

  • クラウド上でのシステム開発

    クラウドの設計・構築 Azure上で、AI + 機械学習、分析、ブロックチェーン、IoTを開発します。

    サービスの詳細はこちら

お問い合わせ・お見積もりのご依頼はお気軽に

Scroll to top