Tag: Security Blog

AWS Security Agent に組み込まれた自動ペネトレーションテストのマルチエージェントアーキテクチャについて解説します。従来は数週間を要していたペネトレーションテストを、専門化された AI エージェント群の連携により自動化し、認証処理、ベースラインスキャン、多段階探索、アサーションベースの検証までを一貫して実行します。単一の脆弱性検出にとどまらず、複数の脆弱性を組み合わせた複雑な連鎖攻撃の検出・検証まで実現する仕組みを紹介します。

AWS メンバーアカウントが侵害された場合、攻撃者はアカウントを組織から離脱させ、すべてのガバナンスコントロールを無効化する可能性があります。本記事では、サービスコントロールポリシー (SCP)、安全なアカウント移行、ルートアクセスの一元管理機能などの多層的なセキュリティコントロールを使用して、AWS 環境を保護する方法を解説します。

Amazon Threat Intelligence が、Cisco Secure Firewall Management Center の重大な脆弱性 CVE-2026-20131 を悪用する Interlock ランサムウェアのキャンペーンを特定しました。調査の結果、この脆弱性は公開の 36 日前からゼロデイとして悪用されていたことが判明しました。攻撃者の設定ミスにより外部に露出していたインフラストラクチャから攻撃ツールキットの全容が明らかになり、本記事ではその技術分析、侵害インジケータ (IoC)、および多層防御の重要性を含む防御の推奨事項を共有します。

AWS Security Hub は、マルチクラウド環境全体でセキュリティオペレーションを統合する新しい機能を拡張します。共通データレイヤーによるセキュリティシグナルの統合、一貫したポスチャ管理、リスク分析の優先順位付けにより、複数のクラウド環境にまたがるセキュリティリスクの検出と対応を単一の統合エクスペリエンスで実現します。

AWS Security Hub Extended プランが発表されました。

このプランは、AWS セキュリティサービスに加えて、CrowdStrike、Okta、Zscaler など 14 社の厳選されたパートナーソリューションを統合し、エンドポイント、ID、メール、ネットワーク、データ、ブラウザ、クラウド、AI、セキュリティオペレーション全体にわたるフルスタックのエンタープライズセキュリティソリューションを提供します。

主な特徴は以下の通りです:
– AWS が販売者となり、従量課金制、単一請求書、長期契約なしで利用可能
– Security Hub コンソールから直接パートナーソリューションにアクセス・デプロイ可能
– すべてのセキュリティ検出結果は OCSF スキーマで正規化され、Security Hub に自動集約
– AWS Enterprise Support のお客様向けに統合されたレベル 1 サポートを提供
– 複数のベンダー交渉や調達サイクルの管理が不要

Security Hub が利用可能なすべての AWS 商用リージョンで一般提供されており、初期投資や長期契約なしで利用できます。

AWS では過去 10 年にわたり自動推論を適用する中で、形式的検証されたコードが未検証のコードよりもパフォーマンスに優れることが多いことを確認しています。S3 インデックスサブシステムの開発高速化、IAM 認可エンジンの 50% のパフォーマンス向上、暗号ライブラリのデプロイとコードの高速化という 3 つの事例を通じて、自動推論がシステムの正しさの保証にとどまらず、効率化と保守性の向上にもつながる好循環を紹介します。

自動推論と CPU マイクロアーキテクチャ固有の最適化を組み合わせ、AWS-LC における x25519/Ed25519 楕円曲線暗号の高速化と正当性保証を実現しました。HOL Light 定理証明器による形式的証明で実装の正しさを検証し、AWS Graviton 2、AWS Graviton 3、Intel Ice Lake の 3 つのマイクロアーキテクチャ全体で平均 86% のパフォーマンス向上を達成しています。定数時間実装によるサイドチャネル攻撃対策や、アプリケーションでの活用方法についても紹介します。

Amazon の Automated Reasoning グループが、Graviton チップにおける RSA 署名のスループットを、モンゴメリ乗算やカラツバアルゴリズム、SIMD 命令の活用により鍵サイズに応じて 33～94% 向上させました。さらに、HOL Light 対話型定理証明器と形式的検証済み多倍長整数演算ライブラリ s2n-bignum を用いて最適化コードの機能的正当性を証明し、開発時間の短縮も実現した取り組みを紹介します。

Amazon Threat Intelligence が観測した、AI で強化された脅威アクターによる FortiGate デバイスへの大規模な不正アクセスキャンペーンについて解説します。ロシア語話者の脅威アクターが複数の商用生成 AI サービスを活用し、55 か国以上、600 台超の FortiGate デバイスの認証情報を悪用して内部ネットワークに侵入し、AI が生成した攻撃計画やツールを駆使して Active Directory の侵害やバックアップインフラストラクチャの標的化を行いました。攻撃手法の詳細と、組織が講じるべき防御策および AWS 固有の推奨事項を紹介します。

AWS Private CA と AWS KMS を使用して、ポスト量子署名アルゴリズム ML-DSA によるコード署名を実装する方法を紹介します。耐量子 PKI 階層の構築から、CMS 標準によるデタッチド署名の生成・検証まで、AWS SDK for Java のサンプルコードを用いてステップごとに解説します。mTLS、IKEv2/IPsec、IAM Roles Anywhere などのユースケースにも応用可能です。