Author: Akihiro Nakajima

AWS CLI の新しい aws login コマンドを使用すると、長期アクセスキーを作成・管理することなく、AWS マネジメントコンソールと同じサインイン方法で一時的な認証情報を取得できます。IAM 認証情報やフェデレーションサインインの両方に対応し、認証情報は 15 分ごとに自動ローテーションされます。IAM ポリシーによるアクセス制御や CloudTrail でのログ記録も可能で、デフォルトでセキュアな開発環境を実現します。

IAM アクセスキーなどの長期認証情報に依存することは、認証情報の漏洩や盗難などのリスクをもたらします。この記事では、AWS CloudShell、AWS IAM Identity Center、IDE 統合、IAM ロール、IAM Roles Anywhere など、従来 IAM アクセスキーを使用してきた 5 つの一般的なユースケースに対するより安全な代替手段を紹介します。最小権限の原則の実装方法と合わせて、AWS 環境のセキュリティポスチャを改善するためのベストプラクティスを解説します。

Landing Zone Accelerator on AWS (LZA) の最新サンプルセキュリティベースライン「Universal Configuration」と、AWS Artifact で利用可能な「LZA Compliance Workbook」を紹介します。Universal Configuration は、NIST 800-53 Rev5、CMMC、ISO-27001、HIPAA などのコンプライアンスフレームワークに対応し、セキュアなマルチアカウント AWS 環境を数時間でデプロイできます。生成 AI やエージェンティック AI ソリューションの基盤としても活用でき、規制の厳しい業界のお客様のセキュリティとコンプライアンスの取り組みを支援します。

Amazon 脅威インテリジェンスが、ロシア GRU 関連のサイバー脅威グループ Sandworm による西側重要インフラへの標的型攻撃キャンペーンを特定しました。2021 年から継続するこの攻撃では、設定ミスのあるネットワークエッジデバイスを侵害し、認証情報を窃取してオンラインサービスへのラテラルムーブメントを行う手法が用いられています。特にエネルギーセクターが標的となっており、組織はネットワークエッジデバイスの監査、認証情報リプレイ攻撃の検出、AWS 環境での適切なセキュリティ対策の実装を優先する必要があります。

AWS re:Invent 2025 で発表された AWS の AI を活用したセキュリティイノベーションを紹介します。AWS Security Agent によるプロアクティブなアプリケーション保護、Amazon GuardDuty の拡張脅威検出、AWS Security Hub のほぼリアルタイム分析など、機械学習と自動化による脅威検出の強化について解説します。また、IAM policy autopilot や Outbound identity federation といったエージェント中心の ID およびアクセス管理機能も取り上げ、多層防御によるクラウドセキュリティの進化をお伝えします。

AWS の脅威インテリジェンスチームは、React Server Components の重大な脆弱性 CVE-2025-55182 (React2Shell) が公開直後から中国国家支援型脅威グループによって活発に悪用されていることを観測しました。CVSS スコア 10.0 のこの脆弱性は、App Router を使用する React 19.x および Next.js 15.x/16.x に影響します。AWS は Sonaris アクティブディフェンスや AWS WAF マネージドルールなどの多層防御を提供していますが、お客様自身の環境で影響を受けるバージョンを実行している場合は直ちにパッチ適用が必要です。本記事では、脅威アクターの攻撃パターン、悪用技術、侵害指標、および推奨される緊急対応について詳しく説明します。

Amazon の脅威インテリジェンスチームが、Cisco Identity Service Engine と Citrix システムのゼロデイ脆弱性を悪用する高度な脅威アクターを発見しました。脅威アクターはカスタム Web シェルを使用し、システムへの認証を経ずにリモートからのコード実行を実現していました。本ブログでは、MadPot ハニーポットによる検出の経緯、カスタムマルウェアの技術的詳細、セキュリティへの影響、そして重要なインフラストラクチャを保護するための推奨事項を紹介します。

AWS re:Invent 2024 は 6 万人の現地参加者と 40 万人のオンライン参加者を迎える都市規模のイベントでした。このブログでは、物理セキュリティと論理セキュリティを統合した包括的なアプローチを紹介します。コマンドポスト (統制本部) を中心に、監視カメラ、K9 ユニット、ドローン、ワイヤレスセキュリティオペレーションセンター (WiSOC) などを活用し、参加者とデータを多層的に保護する仕組みを解説します。

AWS re:Invent 2025 のセキュリティトラックでは、80 以上のセッションを通じて最新のクラウドセキュリティを学べます。AI のセキュリティ確保と活用、大規模なセキュリティアーキテクチャ設計、セキュリティ文化の構築、AWS セキュリティイノベーションという 4 つの変革的テーマで構成され、生成 AI やエージェンティック AI の保護、ネットワークセキュリティの強化、ポスト量子暗号などの最先端技術を実践的に学べます。

AWS Wickr のエンドツーエンド暗号化通信が、危機的状況で命を救う実例を紹介します。2021 年のアフガニスタン撤退では約 4,000 人の避難を支援し、2024 年のハリケーン・ヘレンでは 15 分以内にセキュアな各組織間の通信を確立しました。また COVID-19 パンデミック中には、HIPAA 準拠の遠隔医療ネットワークを通じて、リソースが限られた病院と専門医を接続し、数百人の命を救いました。戦闘地域での医療支援から災害救援まで、AWS Wickr がどのように重要な通信インフラを提供しているかを紹介します。