【速報】AWS re:Inforce 2025:SEC203 クラウドセキュリティの構築と改善(講演レポート)
AWS re:Inforce 2025は、AWSが主催するクラウドセキュリティに特化したグローバルな学習型カンファレンスです。米時間2025年6月16日から18日まで、米国ペンシルベニア州フィラデルフィアにて開催されます。
このイベントは、AWSのセキュリティソリューション、クラウドセキュリティ、コンプライアンス、アイデンティティ、プライバシーに焦点を当て、セキュリティ専門家や技術者、CISO、CTOなどのビジネスリーダーが最新のセキュリティ動向を学び、実践的なスキルを習得できます。
この記事では、ブレイクアウトセッション「SEC203 | What good looks like: Building and improving cloud security(クラウドセキュリティの構築と改善)」の主要なポイントを要約してお届けします。
参考ページ:AWS re:Inforce 2025(講演動画はこちら)
セッション概要(公式)
| セッション名 | SEC203 | What good looks like: Building and improving cloud security(クラウドセキュリティの構築と改善) |
|---|---|
| セッション概要 | 健康的なライフスタイルには基本的な良い習慣が不可欠であるように、安全なクラウド環境には不可欠なセキュリティ対策が不可欠です。 新しいクラウドセキュリティプログラムを構築する場合でも、既存のプログラムを最適化する場合でも、このセッションに参加して、AWS セキュリティ体制を改善するための実践的で実用的な知識を習得してください。 このセッションでは、AWS の基礎知識と、クラウド運用のセキュリティ基準を向上させるために必要なコンピテンシーを習得できます。クラウドワークロード全体にわたる様々な規律とセキュリティ制御を評価、優先順位付け、実装する方法を学びます。 アイデンティティとアクセス管理、安全なデプロイメント、データ保護、セキュリティ監視など、幅広いトピックを取り上げます。技術的な制御と組織のセキュリティ対策が互いに補完し合い、強固なセキュリティ文化を構築する方法を学びましょう。 |
| 対象 | セキュリティリーダーやセキュリティ構築者 |
| 登壇者 | Peter M. O’Donnell氏 Lia Vader氏 |
| レベル | 200-中級 |
セッション詳細
本セッションは、クラウドセキュリティプログラムの構築と強化に関する包括的な指針を提供する内容だ。AWSの顧客や内部チームとの豊富な経験を基に、堅牢なセキュリティ成果を達成するための核心的な能力が概説された。
このレポートでは、セキュアなクラウド環境を構築するための実践的戦略と技術的統制に焦点を当て、講演の主要な洞察をまとめる。
セキュリティ文化の確立
効果的なクラウドセキュリティの基盤は、技術的統制を超え、セキュリティを組織全体の核心的価値として根付かせる「セキュリティ文化」化にある。分かりやすく説明すると、セキュリティは社員全員の責任であり、全員の仕事であり、執拗にこだわり、継続的に洗練させる必要があるという認識を全社員が持つということだ。
AWSでは、あらゆる場面でセキュリティは「ジョブ・ゼロ」、つまり最優先事項だと繰り返し述べてきた。ビジネスのあらゆる部分の全員が、セキュリティを最優先事項にすることを約束する必要がある。
セキュリティ文化を根付かせるために必要な要素は、主に以下の通りである。
| 経営陣の支援 | AWSのCEOが毎週1時間をセキュリティ課題に充てることで、その重要性を示す。トップダウンのコミットメントにより、全レベルでセキュリティが優先される。 |
|---|---|
| 分散型オーナーシップ | ジュニアエンジニアからプロダクトチームまで全員がセキュリティの責任を負い、説明責任を促進する。 |
| 心理的安全性 | 従業員が報復を恐れずにセキュリティ懸念を提起できる環境を整備し、プロアクティブな問題特定を可能にする。 |
| 継続的な教育 | 定期的なトレーニングでセキュリティ基準の理解を深める。AWSのセキュリティガーディアンプログラムは、特別な教育を通じてオーナーシップを拡大する。 |
この文化は、厳格な基準、明確な期待、そしてセキュアな慣行を容易にし、不適切な行動を抑制する仕組みを要求する。進捗を測定し、継続的な改善を確保するためには、指標やKPIが不可欠である。
アカウント管理と組織構造
セキュリティ文化の次は、アカウント管理に焦点を当たった。アカウント管理はクラウドセキュリティの基盤であり、スケーラビリティと統制を可能にする。またマルチアカウント戦略は、セキュリティ境界を強化し運用リスクを軽減するものだ。
講演では、管理、セキュリティ、バックアップ、ワークロードごとにアカウントを分離することで、影響範囲を最小化し、環境ごとに適切な統制を適用できると強調された。また、これらを実現するサービスとして以下が紹介された。
| AWS Organizations | 組織単位を通じてアカウント管理を効率化し、サービス制御ポリシーやリソース制御ポリシーを適用して地域制限やHTTPS要件を強制する。 |
|---|---|
| AWS Control Tower | マルチアカウント設定のベストプラクティスを自動化し、手動作業を削減し標準化された統制を保証する。 |
このアプローチにより、組織は成長に合わせてアカウント構造を進化させ、一貫したセキュリティ統制を維持可能となる。
アイデンティティとアクセス管理(IAM)
システムやアプリケーションへのアクセスを管理するための仕組みであるIAM (Identity and Access Management) は、AWSの核心的な機能だ。IAMはすべてのAPI呼び出しが個別に認証・認可される。
講演では、IAMの効果的な管理方法として以下が紹介された。
| 一時的な認証情報 | IAMユーザーの使用を避け、フェデレーションを通じて一時的な認証情報を採用する。IAM Roles AnywhereやIAM Identity Centerを活用し、長期認証情報のリスクを排除する。 |
|---|---|
| 最小権限の原則 | ソフトウェアが必要とする正確な権限のみを付与し、過剰な許可を防ぐ。IAM Access Analyzerは、未使用の権限や不適切なアクセスを特定し、ポリシーの最適化を支援する。 |
| 多要素認証(MFA) | 人間のユーザーに対して多要素認証を必須とし、ユーザー名とパスワードのみに依存するリスクを軽減する。 |
これらの実践により、組織は認証情報の漏洩リスクを軽減し、セキュリティの精度を高めることができる。
データ保護
データ保護はクラウドセキュリティの重要な柱であり、データの可視性と暗号化が中心となる。以下の統制により、データ保護は組織のスケールに追従し、自動化を通じて運用負担を軽減することができると紹介された。
| Amazon Macie | 機密データの検出、監視、保護を自動化するサービス。S3バケットの設定や暗号化状況を評価し、機密データの場所を特定する。AWS Organizationsと統合し、複数アカウントにわたるデータセキュリティの可視性を提供する。 |
|---|---|
| 暗号化 | データは保存時および転送時に暗号化する。AWS Key Management Service(KMS)は、サービスとの透過的な統合を可能にし、顧客管理キーでライフサイクル制御を提供する。S3バケットキーによりコストを最適化。 |
| 転送中の暗号化 | TLS 1.2以上の使用を強制し、自己署名証明書を避ける。AWS Certificate Manager(ACM)は証明書の自動更新を管理し、可用性とセキュリティを確保する。 |
セキュアなデプロイメント
ソフトウェア開発ライフサイクル(SDLC)にセキュリティを組み込むことは、クラウドでの安全な運用に不可欠である。
脅威モデリングは、アプリケーション設計段階で情報フローを分析し、潜在的な攻撃ポイントを特定する。セキュリティエンジニアだけでなく、アプリケーションエンジニアもこのプロセスに関与する。
継続的インテグレーションとデプロイメント(CI/CD)にセキュリティ統制を組み込み、パッケージやコンテナの署名を通じて完全性を保証する。リリースの自動化だけでなく、変更の取り消し(ロールバック)も自動化し、迅速かつ安全な対応を可能にする。セキュアなSDLCは、ビジネスの俊敏性を高め、セキュリティと開発の対立を解消する。
監視とアラート
包括的な監視とアラートは、クラウド環境のセキュリティ態勢を維持するために不可欠である。ここでは、ログのサイロ化やアラート疲れを軽減し、自動化された対応を通じて効率を向上させる以下のサービスが紹介された。
| AWS CloudTrail | すべてのアカウントで有効化し、API呼び出しの履歴を記録する。調査時の重要なデータソースとなる。 |
|---|---|
| AWS Config | リソースの設定変更を記録し、コンプライアンスルールに基づいてリアルタイムで評価する。AWS Organizationsと統合し、スケーラブルな監視を実現。 |
| Amazon GuardDuty | 機械学習と脅威インテリジェンスを活用し、AWS CloudTrailやVPCフローログなどの複数ソースから異常を検出する。 |
| AWS Security Hub | Amazon GuardDuty、Amazon Inspector、Amazon Macieなどのサービスからの結果を統合し、単一のビューでセキュリティ態勢を可視化する。 |
脆弱性管理とインシデント対応
脆弱性管理とインシデント対応は、システムの安全性を保つために不可欠だ。
脆弱性管理には俊敏性が求められ、最新バージョンの維持やパッチ適用が重要。ソフトウェアの使用状況を把握する資産インベントリが必要で、CVEスコアだけでなく、システムのコンテキストを考慮した合理的な判断が求められる。
講演では、環境全体の可視性を高め、脆弱性特定やコンプライアンス対応を支援する強力なツールとしてAmazon Inspectorが紹介された。Amazon Inspectorは、Amazon EC2、Lambda、コンテナの脆弱性を特定する。ソフトウェアの資産インベントリを維持し、CVEスコアだけでなくデプロイ環境のコンテキストを考慮した対応を優先する。
またインシデント対応では、事前の計画とリハーサルが重要で、自動化は有効だが人間の判断も欠かせない。AWSのマネージドサービスは、顧客のインシデント対応を効率化し、経験に基づく支援を提供することが強調された。
継続的な改善とAWS Well-Architected フレームワーク
セキュリティは一度きりの取り組みではなく、継続的な改善が必要である。
AWSクラウドでシステムを構築する際に考慮すべきベストプラクティスをまとめたガイドライン「AWS Well-Architected フレームワーク」のセキュリティピラーでは、組織が優れたセキュリティを理解し実践するための指針を提供する。
講演では、以下の10の基本的なセキュリティ実践が技術的統制と組織文化の統合を通じて、堅牢なセキュリティ成果をもたらすと強調された。
- セキュリティ文化の確立
- 多要素認証(MFA)の有効化
- 長期認証情報とハードコードされたシークレットの排除
- 最小権限の原則の実装
- 保存時および転送時のデータ暗号化
- AWS Organizationsによるマルチアカウント戦略
- AWS CloudTrailの全アカウントでの有効化
- システムの定期的なパッチ適用と更新
- セキュリティスキャン、検出、修復機能の実装
- セキュリティ結果とコンプライアンスチェックの集中化
まとめ
本セッションでは、クラウドセキュリティの成功が技術的統制と組織文化の統合にかかっていることを強調された。明確な基準、適切な資金提供、継続的な改善を通じて、組織は高いセキュリティ成果を達成し、ビジネスの俊敏性を加速できるだろう。
本講演を聞き、セキュリティが単なる技術的課題ではなく、組織全体の価値観や行動規範に深く根ざす必要がある点に強い印象を受けた。
特に、セキュリティ文化の確立が技術的統制の効果を最大化する鍵であるとのメッセージは、組織変革の重要性を再認識させ、実践への動機付けとなった。ぜひ参考にしてほしい。
この記事をシェア
