Amazon Web Services ブログ

Stronger Together: RSA Conference 2023からのハイライト

RSA Conference 2023は、4月24日から27日まで、カリフォルニア州サンフランシスコのMoscone Centerに何千人ものサイバーセキュリティの専門家を集めました。

基調講演のラインナップは多彩で、著名な理論物理学者で未来学者のミチオ・カク博士からグラミー賞受賞のミュージシャン、クリス・ステイプルトンまで、2つのステージで30以上の講演が行われました。今年のカンファレンスのテーマである「Stronger Together」に沿ったトピックは、C-suiteからセキュリティの最前線にいる私たちまで、すべての人がコラボレーションを強化し、新しいベストプラクティスを確立し、ディフェンスをより多様で効果的にするために取ることができる行動に焦点を当てたものです。

400を超えるセッションと500を超える出展者が最新のトレンドやテクノロジーについて議論したため、すべてのハイライトを振り返ることは不可能です。ここでは、その中から私たちが注目したものをご紹介します。

注目の発表

アマゾン ウェブ サービス(AWS)を含む数百の企業が、カンファレンス期間中に新製品やサービスの発表を行いました。

当社は、お客様がコンテナ、データベース、サーバーレスワークロードのセキュリティを確保できるよう、脅威検知サービス「Amazon GuardDuty」の3つの新機能を発表しました。これらには、GuardDuty Elastic Kubernetes Service (EKS) Runtime Monitoring、Amazon Auroraに保存されたデータに対するGuardDuty RDS Protection、およびサーバーレスアプリケーションに対するGuardDuty Lambda Protectionがあります。新機能は、リソースに特化した詳細な情報とともに、実用的で文脈のある、タイムリーなセキュリティ調査結果を提供するように設計されています。

人工知能

人工知能(AI)の影響に触れていない基調講演、セッション、会話を見つけるのは難しいほどでした。
「AI: Law, Policy and Common Sense Suggestions on How To Stay Out of Trouble」で、プライバシーとゲームに関する弁護士Behnam Dayanim氏は、AIの定義に関するあいまいさを強調しました。ワシントン大学法学部のライアン・カロの言葉を引用しながら、Dayanimは、AIは「認知のある側面を近似することを目的とした一連の技術」と表現するのが最適であり、したがって個別の「モノ」や産業分野とは異なるものとして考えるべきであると指摘しました。

Dayanim氏は、AIの利点に懐疑的な例を挙げました。例えば、モンマス大学の世論調査によると、アメリカ人の73%がAIによって仕事が減り、経済に悪影響を及ぼすと考えており、55%もの人がAIによって人類の存続が脅かされる日が来るかもしれないと考えているといいます。

同様に懐疑的な姿勢をみせたものとして、連邦取引委員会(FTC)と他の3つの連邦機関が、カンファレンス中にAIに執行権限が適用されることを喚起する共同声明を発表したこともあげられます。同声明は、AIは「しばしば、洞察やブレークスルーを提供し、効率やコスト削減を高め、既存の実務を近代化すると宣伝されるが、ネガティブな結果を生む可能性がある」と悲観的な見方を示しています。

Dayanimは、知的財産(IP)、誤報、偏見に関連するAI関連のリスクに対処することを目的とした世界中の既存および今後の法的枠組み、および組織が公正、有能、透明性、説明責任を促進するためのAIガバナンスメカニズムをどのように設計できるかを取り上げました。

その他、セキュリティの実践を自動化し改善するためのAIの計り知れない可能性に焦点を当てた議論も多くありました。RSA SecurityのCEOであるRohit Ghaiは、基調講演で、AIの進歩と人間のアイデンティティの交差点を探りました。”アクセス管理とアイデンティティ管理は、今やTable Stakes (最低限必要なもの)です “と彼は言いました。AI時代には、アクセスだけでなく、IDのライフサイクル全体を保護するIDセキュリティソリューションが必要です。次世代のIDテクノロジーは、AIを搭載し、データレイヤーでオープンで統合され、セキュリティファーストのアプローチを追求する必要があると同氏は考えています。「優れたAIがなければ、”ゼロトラストは可能性がない “」と彼は主張しました。

AWSのCISO OfficeディレクターであるMark Ryland氏は、Infosecurityの取材に対し、生成型AIによる脅威検知の向上について語りました。

“我々は、意味のあるデータと偽陽性を最小限に抑えることに非常に重点を置いています。そして、それを効果的に行う唯一の方法が機械学習(ML)であり、それが当社のセキュリティサービスの中核をなしています」と指摘しました。

私たちは最近、Amazon TitanAmazon BedrockAWS Trainiumを搭載したAmazon Elastic Compute Cloud (Amazon EC2) Trn1nインスタンスの一般提供、AWS Inferentia2を搭載したAmazon EC2 Inf2インスタンス、Amazon CodeWhispererの一般提供など、お客様のビジネスにおけるGenerative AIの利用を実用化するいくつかの新サービスを発表しました。

「機械学習と人工知能は、クラウドセキュリティに自動化の重要なレイヤーを追加します。 AI/MLは、開発者のワークストリームを増強し、より信頼性の高いコードを作成し、継続的なセキュリティ改善を促進するのに役立ちます。-  CJ Moses, CISO and VP of security engineering at AWS

The human element (人的要素)

数十のセッションがセキュリティの人的要素に焦点を当て、DevSecOpsの心理学からNIST Phish Scaleに至るまで、さまざまなトピックが取り上げられました。Cyber Nation Centralの創設者、会長兼CEOであるAndrzej Cetnarski氏とオーバーン大学のリサーチ担当副ディレクターであるMarcus Sachs氏は、「ソーシャルエンジニアリングにつながるサイバーセキュリティの欠如した行動」に対処し、サイバー犯罪のペースに対応できるように、CEO、役員、ビジネスリーダーが組織内でセキュリティにとりくむするようデータに基づき訴えました。

National Cybersecurity Allianceのエグゼクティブ・ディレクターであるLisa Plaggemier氏とAmazon SecurityのディレクターであるJenny Brinkley氏は、「Engagement Through Entertainment:How to Make Security Behaviors Stick」の中で、説得力のあるセキュリティ意識トレーニングの重要性を主張しています。教育は強固なセキュリティ態勢を構築するために不可欠ですが、PlaggemierとBrinkleyは、サイバーセキュリティのトレーニングが「つまらないものが当たり前になっている」と指摘しています。

最近のレポートによると、セキュリティ意識向上トレーニングが魅力的だと答えた従業員はわずか28%で、そのようなトレーニング中に十分な注意を払ったという人は36%しかいません。

彼らは、ユナイテッド航空のフライト前の安全ビデオやアマゾンの公共サービス広告を例に挙げ、行動変容を促す記憶に残るトレーニングを作るには、ユーモアや意外な要素でユーザーと感情的なつながりを作る必要があると強調しています。

PlaggemeierとBrinkleyは、セキュリティチームが意識向上トレーニングを改善するための5つの実行可能なステップを詳述しました:

  • セキュリティ担当者だけでなく、社内のスタッフとブレインストーミングを行う。
  • 社内のスタッフ(セキュリティ担当者だけでなく)とブレーンストーミングを行い、あらゆるところからアイデアやインスピレーションを得る(テレビのエピソード、映画など、既存のセキュリティトレーニング以外のところから)。
  • 親しみやすく、自分の会社やチームに関連した洞察を盛り込む。
  • トレーニングに興味を持たせるために、大きな予算は必要ない。
  • 否定的な意見に惑わされない。
「人々に 関心を持ってもらわなければならない。そして、トレーニングの内容をクリックしたり、オフィス内を歩いているときに思い出したりできるようなコンテンツを開発する必要があります”。- Jenny Brinkley, Director of Amazon Security

クラウドセキュリティ

クラウドセキュリティもまた、人気の高いトピックでした。IBMのクラウドセキュリティアーキテクトであるマーク・バックウェル氏は、「ハイブリッドクラウドにおける規制対象ワークロードのためのセキュリティ設計」で、ハイブリッドクラウド環境における規制対象ワークロードにセキュリティとコンプライアンスを組み込むために必要な、ゼロトラストを含むアーキテクチャーの思考法について語りました。

Mitigaの共同設立者兼CTOのOfer Maorは、「It’s Getting Real & Hitting the Fan 2023 Edition」で、SaaS攻撃とインシデント対応に関する現実的なストーリーを語りました。

Maorは、MFAプッシュ疲労、フィッシング、ビジネスメールの侵害、敵対的中間者攻撃など、個人情報の盗難に焦点を当てた一般的な戦術を強調しました。また、SaaS環境での永続性を確立し、ランサムウェアを配信するために使用されるテクニックを詳述した後、SaaSセキュリティインシデントの影響を軽減するために必要な知識を得るためのフォレンジック調査や脅威ハンティングの重要性を強調しました。

AWSのセキュリティ・プラクティス・マネージャーであるSarah Curreyとシニア・ソリューション・アーキテクトであるAnna McAbeeは、「Top 10 Ways to Evolve Cloud Native Incident Response Maturity」において、補完的なガイダンスを提供しました。CurreyとMcAbeeは、プロバイダーがどこであろうとクラウドにおけるインシデントレスポンス(IR)の課題に対処するためのベストプラクティスとして次のような事項の必要性を訴えました。

  1. IR計画で役割と責任を明確にする
  2. AWS(またはプロバイダー)のスタッフへのトレーニング
  3. クラウドインシデント対応のプレイブックを作成する
  4. アカウント構成とタグ付け戦略の策定
  5. シミュレーションを実施する(レッドチーム、パープルチーム、テーブルトップ)。
  6. アクセスの準備
  7. ログの選択とセットアップ
  8. 利用可能なすべてのAWSリージョンでマネージド検出サービスを有効化する
  9. リソースの種類に応じた封じ込め戦略の決定
  10. クラウド・フォレンジック機能の開発

BizTechの取材に対し、AWSのエンタープライズ戦略担当ディレクターであるClarke Rodgers氏は、Amazon GuardDutyやAWS Key Management Service(AWS KMS)などのツールやサービスが、クラウドにおけるセキュリティ強化に役立つと指摘しました。組織がこれらのサービスを活用し、パートナーを利用してセキュリティプログラムを増強することで、より多くのリスクを取るために必要な自信を得ることができ、デジタル・トランスフォーメーションや製品開発を加速させることができます。

セキュリティにはコミュニティ(Village)が必要

このほかにも、ポスト量子暗号データプライバシー多様性、公平性、包括性など、さまざまなトピックについて、紹介しきれないほどのハイライトがあります。この投稿はRSA Conference 2023の一部にしかすぎません。1つだけ重要なことがあるとすれば、それは、サイバーセキュリティの課題に単一の組織や個人だけで対処できるわけではないということです。業界として協力し、ベストプラクティスを共有することで、より効果的なセキュリティソリューションを開発し、新たな脅威の一歩先を行くことができるのです。

本Blogは原文をもとに、松本照吾、Head of Security Assurance, Japan、が翻訳いたしました。