セキュリティが常に Amazon の最優先事項である 7 つの理由：AWS セキュリティ責任者が語る

本ブログは 2024 年 6 月 11 日に公開された Amazon News ”AWS’s head of security shares 7 reasons why security will always be Amazon’s top priority” を翻訳したものです。

AWS のエグゼクティブである Chris Betz が、セキュリティが Amazon の文化に深く根付いていることについて語り、生成 AI の時代においてお客様を保護するためのツールをご紹介します。

Amazon Web Services (AWS) の最高情報セキュリティ責任者 (CISO) である Chris Betz は、AWS が運用するクラウドインフラストラクチャを、すべての人にとってできる限り安全かつ安心なものとなるよう努めています。これは、AWS の顧客データを安全に保つと同時に、AWS を利用する企業の顧客データも保護することを意味します。では、Betz （自身も以前は AWS の顧客でした）は、この大規模で、そして極めて重要な仕事にどのようにアプローチしているのでしょうか？

AWS re:Inforce の直前に Betz と話をしました。これは同社の年次クラウドセキュリティカンファレンスで、参加者は生成 AI 時代におけるセキュリティの未来を形作る専門家、パートナー、ビルダーと連携できます。本 Blog では、Betz 自身の言葉で、セキュリティが Day 1 (創業当初) から全社的な優先事項であり、今後も常に Amazon の最優先事項であり続ける 7 つの理由を紹介します。

1. 優れたセキュリティが、生成 AI を含む新しいテクノロジーを試すための鍵

生成 AI は、誰もがアクセスできる強力なツールで、ほぼすべてのお客様体験を変革する可能性があります。しかし、明確なガバナンスがなければ、生成 AI によってセキュリティとプライバシーの懸念が生じてしまいます。その結果、生成 AI に熱心な組織の従業員が、セキュリティをゲートキーパー (門番)、つまり「ノーと言う部門」として見ることは珍しくありません。これは誤った考えであるだけでなく、ビジネスにとっても有害です。AWS では、常にセキュリティはビジネスの推進力であると考えてきました。セキュリティはリスクを軽減し、レジリエンスを強化し、お客様がより迅速に、そして自信を持ってイノベーションを起こすことを可能にします。特に、急速に進化する生成 AI の時代においてはなおさらです。

私たちは、お客様のセキュリティチームが「協力的な部門 (イエスと言う部門)」として認識され、従業員と協力してビジネス目標の達成を支援し、リスクを理解した上で必要な対策を実施できるよう支援することを目指しています。

2. セキュリティはすべての人の仕事 — CEO から開発者まで

米国政府の諮問委員会 (Cyber Safety Review Board) による最近の報告書は、不十分なセキュリティ文化が、防ぐことができたはずのエラーを引き起こし、攻撃者の侵入を成功させ、さらに長期間検出されずに残る根本原因となり得ることが明確に示されました。AWS では、セキュリティチームが CEO に直接報告する体制にしています。その目的は、AWS の組織全体にセキュリティを根付かせることでした。セキュリティはトップから始まりますが、全ての階層が責任を持つことも同様に重要です。セキュリティはセキュリティチームだけの仕事ではなく、組織全体で共有される責任です。

すべてのプロダクトチームは、提供するサービスや機能のセキュリティに責任を持ちます。セキュリティは、機能、パフォーマンス、コストと同様に、すべてのプロダクトロードマップ、エンジニアリング計画、週次スタンドアップミーティングに組み込まれています。最高のセキュリティとは、プロセスの最後やシステムの外側に「後付け」できるものではありません。むしろ、セキュリティは不可欠かつ基本的なものです。

3. 生成 AI へのセキュアなアプローチとは、お客様が自分のデータを制御できるようにすること

お客様が生成 AI の導入方法を検討する際に最も多く耳にする懸念は、自社のデータと、エンドユーザーのデータをどのように保護するかということです。AWS の AI インフラストラクチャとサービスには、Day 1 (当初) からセキュリティとプライバシーの機能が組み込まれており、お客様がデータを管理できるようになっています。ここで重要な役割を果たしているのが、AWS Nitro System です。Nitro の特殊なハードウェアと関連ファームウェアは制限を強制し、AWS の従業員を含め誰も、お客様の Amazon Elastic Compute Cloud (Amazon EC2) 仮想サーバー上で実行されている基盤となるインフラストラクチャ、データ、またはワークロードに直接アクセスできないようにしています。

生成 AI アプリケーションを安全に構築する際、Amazon Bedrock サービスは、お客様がアプリケーションの基盤モデルをカスタマイズするために使用するデータを完全に制御できるようにします。Bedrock では、データは転送中および保存時に暗号化され、お客様のデータのプライバシーと機密性が確保されます。

4. 生成 AI によるお客様のセキュリティ強化

お客様にとって生成 AI を魅力的にしているパワーと使いやすさは、IT およびセキュリティ管理者にとっても同じで、課題をより効果的に特定し解決するための不可欠なツールとなっています。今年の re:Inforce では、生成 AI を活用した 2 つの新しいセキュリティ機能を発表しました。

新しい自然言語クエリ生成機能により、セキュリティ管理者はAWS CloudTrail Lake のアクティビティイベントを簡単かつ迅速に分析できるようになりました。AWS CloudTrail Lake は、組織がセキュリティ調査のためにイベントを保存し、クエリを実行できるサービスです。これにより、セキュリティ管理者は「先週、各サービスで記録されたエラーの数と、それぞれのエラーの原因は何ですか？」といった質問をするだけで、CloudTrail Lake がクエリを生成します。

AWS Audit Manager では、Amazon SageMaker 上の生成 AI 実装が AWS の推奨ベストプラクティスにどの程度適合しているかをあらかじめ用意されたフレームワークを利用して確認できるようになりました。SageMaker をご利用のお客様は、生成 AI の使用状況の監査と証拠収集の自動化ができるようになりました。これにより、AI モデルの使用状況と権限の追跡、機密データのフラグ付け、課題の警告に対して一貫したアプローチが提供されます。

5. 最高のセキュリティ防御は積極的な対策にあり

AWS インフラストラクチャ全体で、私たちは毎日サイバー攻撃をスキャンし、検出し、阻止しています。クラウドプロバイダーの中で最大のパブリックネットワークフットプリントを持つ AWS は、インターネット上の特定の活動についてリアルタイムで比類のない洞察を得ています。2023年の秋に、私たちは MadPot の詳細を公開しました。これは、攻撃者の戦術と手法を理解するのに役立つ、グローバルに分散された脅威センサー (ハニーポットとも呼ばれる) のネットワークです。攻撃者が私たちの脅威センサーのいずれかを標的にしようとするたびに、そこから得られた脅威インテリジェンスを活用してお客様を保護します。

さらに、今年の re:Inforce で、初めて Sonaris について公に説明しました。Sonaris は、ネットワークトラフィックを分析して、多数のお客様アカウントに接続して脆弱性を見つけようとする悪意のある試みを特定し、阻止するために使用する内部ツールです。2023 年 5 月から 2024 年 4 月の間に、Sonaris は Amazon Simple Storage Service (Amazon S3) に保存された顧客データをスキャンしようとする 240 億回以上の試みを拒否し、お客様の Amazon EC2 仮想サーバーで実行されている脆弱なサービスを発見しようとする約 2.6 兆回の試みを防ぎました。お客様のビジネスが中断されることなく継続できるようにするために、システムの裏側で膨大な量の作業や対策を行っています。

6. 優れたセキュリティは基本を確実に実践することが重要

パスワードはデジタル資産（情報資産）の保護に役立ちますが、それだけでは十分ではありません。多要素認証 (MFA) は、ウェブサイトやアプリケーションにアクセスする際にパスワード以外の要素も要求するため、追加のセキュリティレイヤーとして機能します。MFA は 20 年以上前から存在していますが、まだ広く普及しているわけではありません。

AWS のお客様のアカウントを保護するため、今年の初めに、AWS Organizations (複数の AWS アカウントを一元管理するためのサービス) のルートユーザーアカウントに対して MFA を強制する新しいプログラムを開始しました。これにより、アカウント乗っ取りのリスクを一層低減できます。同時にお客様に 無料の MFA セキュリティキー も提供しています(※)。MFA の導入をさらに容易にするため、今年の re:Inforce で、AWS のサービスやリソースへのアクセスとアイデンティティを安全に管理するツールである AWS Identity and Access Management (IAM) が、パスキーを第二認証要素としてサポート するようになったことを発表しました。パスキーは公開鍵暗号を使用しており、パスワードよりも安全で、フィッシング耐性の高い強力な認証を可能にします。

(※訳注: 2024 年 9 月時点では、過去 3 か月間に 300 USD 以上を消費した、米国を拠点とするルートアカウント所有者が、無料の MFA セキュリティキー受け取りの対象者となります)

7. セキュリティにはイノベーションへの継続的な取り組みが必要

世界で最も急成長しているスタートアップ、最大規模の企業、そして最も信頼される政府機関が、日々 AWS を利用してテクノロジーインフラを運用しています。彼らが AWS を選ぶ理由は、私たちが Day 1 (創業当初) からセキュリティを最優先事項としてきたからでしょう。AWS は、お客様のワークロードが最も安全な方法で実行されるよう設計されており、私たちの社内文化もビジネス上の必須事項としてセキュリティを中心に構築されています。私たちは、お客様がビジネスを迅速、安全、そして自信を持って実現できるよう、お客様に代わってイノベーションを続けています。クラウドセキュリティの分野において、私たちの実績は群を抜いています。サイバーセキュリティの課題は今後も進化し続けますが、私たちはこれまでの成果を誇りに思うと同時に、テクノロジーとセキュリティ文化のイノベーションと進歩を続けながら、継続的な改善に全力で取り組んでいきます。

これらのセキュリティトピックと AWS re:Inforce で議論されている内容について、詳細はこちらをご覧ください。

本ブログは Security Solutions Architect の中島 章博が翻訳しました