Amazon Web Services ブログ

中島 章博

Author: 中島 章博

Security Solutions Architect

Kyber を使用したハイブリッドポスト量子 TLS のチューニング方法

AWS KMS、Secrets Manager、ACM への接続で利用可能な Kyber を使用したハイブリッドポスト量子 TLS について、パフォーマンス特性と Maven プロジェクトでの設定方法を解説します。従来の ECDHE と比較した場合のレイテンシーや帯域幅のオーバーヘッドを測定結果とともに紹介し、接続プーリング、接続タイムアウト、TLS セッション再開といった接続設定のチューニングによってオーバーヘッドを軽減する方法を説明します。

ポスト量子暗号時代に向けた今日からの備え

Amazon はポスト量子暗号アルゴリズムの標準化に貢献し、AWS KMS、AWS Certificate Manager、AWS Secrets Manager などで既にポスト量子暗号を提供しています。将来、大規模な量子コンピュータが構築されると、現在の公開鍵暗号が破られる可能性があります。Amazon は NIST や ETSI QSC、IETF などの標準化団体と連携し、ポスト量子ハイブリッドキー交換の実装を進めてきました。本ブログでは、量子コンピュータ時代を見据えた Amazon の先進的な取り組みと、お客様のデータを将来にわたって安全に保護するための長期投資についてご紹介します。

新レポート: 欧州の国家安全保障と防衛にとってクラウドは「基盤」

英国王立防衛安全保障研究所 (RUSI) の新レポートを紹介します。本レポートでは、ウクライナ、エストニア、フィンランド、英国の 4 か国がハイパースケールクラウドインフラストラクチャを活用し、国家安全保障・防衛能力を強化している事例を取り上げています。クラウドはレジリエンスの達成、レガシーシステムの置き換え、AI などの高度な機能へのアクセスを支援する基盤となっており、NATO と欧州同盟国の戦略的即応性に不可欠です。政府向けのクラウド採用における課題と推奨事項も解説されています。

Amazon EKS のゼロオペレーターアクセス設計を独立した第三者機関が裏付け

Amazon EKS のゼロオペレーターアクセス設計について、独立した第三者機関である NCC Group による検証結果を発表しました。この検証により、AWS 担当者がマネージド Kubernetes コントロールプレーン内の顧客コンテンツにアクセスする技術的手段が存在しないことが確認されました。AWS Nitro System ベースのコンフィデンシャルコンピューティング、限定的な操作のみ可能な管理 API、複数者による変更承認プロセス、エンドツーエンドの暗号化により、最も厳格な規制要件やデジタル主権要件を満たすセキュリティを提供します。

Amazon Bedrock の次世代推論エンジン Mantle におけるゼロオペレーターアクセス

AWS は生成 AI のセキュリティ基準をさらに引き上げました。お客様が機密データを扱う生成 AI アプリケーションを安心して構築できるよう、Amazon Bedrock の次世代推論エンジン Mantle では、オペレーターが顧客データにアクセスできない設計を一から構築しました。本ブログでは、AWS Nitro System で培った技術を活用し、生成 AI ワークロードに最高レベルのセキュリティを提供するゼロオペレーターアクセス設計の詳細をご紹介します。

AWS Certificate Manager がパブリック証明書のエクスポートをサポート

AWS Certificate Manager (ACM) でパブリック証明書のエクスポートが可能になりました。この新機能により、ACM で管理するパブリック TLS 証明書を EC2 インスタンス、Amazon EKS Pod、オンプレミスサーバー、他のクラウドプロバイダーでホストされているサーバーなど、多様な環境で使用できます。本記事では、Amazon EventBridge と AWS Step Functions を活用した証明書のエクスポートと配布の自動化方法、証明書更新時の自動デプロイワークフローの構築手順を紹介します。

AWS Security Incident Response の AI 調査機能でインシデント対応を迅速化

AWS Security Incident Response に AI を活用した調査エージェントが追加されました。この新機能により、セキュリティイベント発生時の証拠収集と分析が自動化され、調査時間を大幅に短縮できます。調査エージェントは CloudTrail ログ、IAM 設定、EC2 インスタンス情報などを自動的に収集・相関付けし、包括的なタイムラインとサマリーを提示します。自然言語で調査内容を記述でき、必要に応じて AWS CIRT へのエスカレーションも可能です。

AWS Secrets Manager がサードパーティ認証情報向けのマネージド外部シークレットを発表

AWS Secrets Manager の新機能「マネージド外部シークレット」を紹介します。この機能により、Salesforce、Snowflake、BigID などのサードパーティソフトウェアの認証情報を、事前定義されたフォーマットと自動ローテーションで安全に管理できるようになりました。カスタムストレージ戦略やローテーション関数の開発が不要になり、AWS とサードパーティ両方のシークレットを単一のサービスから一元管理できます。IAM によるきめ細かなアクセス許可管理、CloudWatch と CloudTrail による監視、GuardDuty による脅威検出など、標準の Secrets Manager と同じセキュリティ機能を追加コストなしで利用できます。

最近の npm サプライチェーン攻撃への対応から AWS Security が学んだこと

AWS Security チームが npm サプライチェーン攻撃への対応から得た教訓を紹介します。Nx パッケージの侵害、Shai-Hulud ワーム、15 万件以上の悪意のあるパッケージを検出したトークンファーミングキャンペーンなど、最近の脅威への対応事例を通じて、継続的な監視、多層防御、オープンソースコミュニティとの連携の重要性を解説します。組織のセキュリティ強化に役立つ具体的な推奨事項も提供します。

Amazon 脅威インテリジェンスの新たな知見: サイバー攻撃と物理的軍事作戦を融合させる国家支援型脅威アクター

Amazon 脅威インテリジェンスチームの調査により、国家支援型脅威アクターがサイバー作戦を物理的な軍事攻撃に活用する「サイバー支援キネティックターゲティング」という新たなトレンドが明らかになりました。イラン系脅威グループによる海上船舶の追跡とミサイル攻撃、エルサレムの CCTV カメラ侵害とミサイル照準調整など、具体的な事例を通じて、サイバー戦争と従来の戦争の境界線が薄れている現状を解説します。防御者が脅威モデルを拡張し、新たな防御戦略を構築する必要性についても提言します。

← Older posts
Newer posts →