Author: Akihiro Nakajima

AWS-LC FIPS 3.0 が NIST の CMVP 審査中モジュールリストに追加されました。この最新バージョンでは、ポスト量子暗号アルゴリズム ML-KEM のサポートが導入され、FIPS モジュール内でポスト量子アルゴリズムを提供する初のオープンソース暗号モジュールとなりました。record-now, decrypt-later 攻撃への対策として、ECDH と ML-KEM を組み合わせたハイブリッド鍵交換の実装方法や、SHA-3、EdDSA などの新しいアルゴリズム、RSA や AES-GCM のパフォーマンス改善についても紹介します。

ポスト量子暗号が TLS 1.3 接続に与える影響を、従来のハンドシェイク時間ではなく最終バイト到達時間 (TTLB) で評価した研究を紹介します。ML-KEM や ML-DSA などのデータ量の多い量子耐性アルゴリズムは、数百 KB 以上のデータを転送する実際の接続では、ハンドシェイク自体への影響よりもはるかに小さい影響しか与えないことがわかりました。転送データ量が増えるほど、ポスト量子暗号によるレイテンシー増加は許容可能なレベルまで低下します。

AWS KMS、Secrets Manager、ACM への接続で利用可能な Kyber を使用したハイブリッドポスト量子 TLS について、パフォーマンス特性と Maven プロジェクトでの設定方法を解説します。従来の ECDHE と比較した場合のレイテンシーや帯域幅のオーバーヘッドを測定結果とともに紹介し、接続プーリング、接続タイムアウト、TLS セッション再開といった接続設定のチューニングによってオーバーヘッドを軽減する方法を説明します。

Amazon はポスト量子暗号アルゴリズムの標準化に貢献し、AWS KMS、AWS Certificate Manager、AWS Secrets Manager などで既にポスト量子暗号を提供しています。将来、大規模な量子コンピュータが構築されると、現在の公開鍵暗号が破られる可能性があります。Amazon は NIST や ETSI QSC、IETF などの標準化団体と連携し、ポスト量子ハイブリッドキー交換の実装を進めてきました。本ブログでは、量子コンピュータ時代を見据えた Amazon の先進的な取り組みと、お客様のデータを将来にわたって安全に保護するための長期投資についてご紹介します。

英国王立防衛安全保障研究所 (RUSI) の新レポートを紹介します。本レポートでは、ウクライナ、エストニア、フィンランド、英国の 4 か国がハイパースケールクラウドインフラストラクチャを活用し、国家安全保障・防衛能力を強化している事例を取り上げています。クラウドはレジリエンスの達成、レガシーシステムの置き換え、AI などの高度な機能へのアクセスを支援する基盤となっており、NATO と欧州同盟国の戦略的即応性に不可欠です。政府向けのクラウド採用における課題と推奨事項も解説されています。

Amazon EKS のゼロオペレーターアクセス設計について、独立した第三者機関である NCC Group による検証結果を発表しました。この検証により、AWS 担当者がマネージド Kubernetes コントロールプレーン内の顧客コンテンツにアクセスする技術的手段が存在しないことが確認されました。AWS Nitro System ベースのコンフィデンシャルコンピューティング、限定的な操作のみ可能な管理 API、複数者による変更承認プロセス、エンドツーエンドの暗号化により、最も厳格な規制要件やデジタル主権要件を満たすセキュリティを提供します。

AWS は生成 AI のセキュリティ基準をさらに引き上げました。お客様が機密データを扱う生成 AI アプリケーションを安心して構築できるよう、Amazon Bedrock の次世代推論エンジン Mantle では、オペレーターが顧客データにアクセスできない設計を一から構築しました。本ブログでは、AWS Nitro System で培った技術を活用し、生成 AI ワークロードに最高レベルのセキュリティを提供するゼロオペレーターアクセス設計の詳細をご紹介します。

AWS Certificate Manager (ACM) でパブリック証明書のエクスポートが可能になりました。この新機能により、ACM で管理するパブリック TLS 証明書を EC2 インスタンス、Amazon EKS Pod、オンプレミスサーバー、他のクラウドプロバイダーでホストされているサーバーなど、多様な環境で使用できます。本記事では、Amazon EventBridge と AWS Step Functions を活用した証明書のエクスポートと配布の自動化方法、証明書更新時の自動デプロイワークフローの構築手順を紹介します。

AWS Security Incident Response に AI を活用した調査エージェントが追加されました。この新機能により、セキュリティイベント発生時の証拠収集と分析が自動化され、調査時間を大幅に短縮できます。調査エージェントは CloudTrail ログ、IAM 設定、EC2 インスタンス情報などを自動的に収集・相関付けし、包括的なタイムラインとサマリーを提示します。自然言語で調査内容を記述でき、必要に応じて AWS CIRT へのエスカレーションも可能です。

AWS Secrets Manager の新機能「マネージド外部シークレット」を紹介します。この機能により、Salesforce、Snowflake、BigID などのサードパーティソフトウェアの認証情報を、事前定義されたフォーマットと自動ローテーションで安全に管理できるようになりました。カスタムストレージ戦略やローテーション関数の開発が不要になり、AWS とサードパーティ両方のシークレットを単一のサービスから一元管理できます。IAM によるきめ細かなアクセス許可管理、CloudWatch と CloudTrail による監視、GuardDuty による脅威検出など、標準の Secrets Manager と同じセキュリティ機能を追加コストなしで利用できます。