古いアクセス権限への対応、生成AIでのクエリ生成などセキュリティ新機能も紹介
1年間で悪質なトラフィックを“240億回”拒絶、AWSが最優先する内部でのセキュリティ対策
2024年07月11日 12時50分更新
古いアクセス権限への対応や生成AIでのクエリ生成など、re:Inforceで発表されたセキュリティアップデート
re:Inforce 2024では、AWSサービスのセキュリティアップデートも数多く発表された。今回はその中から、7つの新機能が紹介された。
1. AWS Private CA Connector for SCEP for mobile devices
プライベート証明書を発行するマネージドサービス「Private CA」において、MDMソリューションとのコネクターが追加された。BYODに対応するアップデートで、プライベート証明書の運用コストを削減して、PKI(公開鍵基盤)を最適化する。
AWS Private CA Connector for SCEPのアーキテクチャー
2. IAM Access Analyzerが未使用のアクセス権限に修正案
2つ目は、アクセス管理を担うIAMの分析サービス「Access Analyzer」の機能強化だ。
大規模な運用においては、古いアクセス権限が取り残されがちで、セキュリティ上のリスクになる可能性がある。このような未使用のロールやアクセスキー、パスワード、許可に対して、必要なアクションを提示してくれる機能が追加された。「地味にみえるが、困っているユーザーは多く、簡単に最小権限の原則を適用できる」と瀧澤氏。
未使用の許可に対して推奨事項を提示
3. IAM Access Analyzerが公開・重要リソースへのポリシーをチェック
Access Analyzerに関しては、公開リソースおよび重要リソースのアクセスポリシーを自動チェックする機能も追加された。意図しない公開設定や、過剰な権限付与を防ぐことができる。
IAM Access Analyzer のカスタムポリシーチェック例
4. AWS IAMが2番目の認証要素としてパスキーをサポート
AWS IAMで多要素認証のパスキーがサポートされた。従来は外付けのUSBドングルなどを利用していたが、MacBookのTouch IDやWindows Helloの顔認証などを用いて、より簡単かつ安全なサインインが可能になる。
AWS IAMにおけるパスキーのサポート
5. Amazon GuardDuty Malware Protection for S3
Amazon S3のオブジェクトをスキャンしてマルウェアを検出する機能を追加した。脅威検出サービスのGuardDutyを有効にしなくても利用でき、内部に侵入した脅威に対応できる。
Malware Protection for S3 Amazon GuardDuty
6. AWS CloudTrailにおける自然言語でのクエリ生成
ログ監視サービスの「AWS CloudTrail」において、自然言語を介して生成AIによるクエリ生成ができるようになった。SQLやCloudTrailの知識がなくても、ログの調査が容易になる。
AWS CloudTrailにおける自然言語でのクエリ生成
7. 生成AIベストプラクティスフレームワークをSageMakerに拡張
AWS Audit Managerにおける、生成AIの実装がAWS推奨のベストプラクティスに準拠しているかを可視化する機能が、Bedrockに加えてSageMakerにも対応した。
生成AIベストプラクティスフレームワークをSageMakerに拡張
