AWS re:Inforce 2025 のまとめ: 主な発表

AWS re:Inforce 2025 (6 月 16 日～18 日、フィラデルフィア) において、AWS の Vice President 兼 Chief Information Security Officer である Amy Herzog が基調講演を行い、新たなセキュリティイノベーションについて発表しました。イベント全体を通して、AWS は、セキュリティの大規模な簡素化と、組織がクラウドでより回復力の高いアプリケーションを構築できるようにすることに重点を置いた追加のセキュリティ機能を発表しました。今年のカンファレンスで発表された主要なセキュリティ機能のリリースとアップデートの包括的な概要を以下に示します。

新しい IAM Access Analyzer 機能を使用して、重要な AWS リソースへの内部アクセスを検証
AWS Identity and Access Management Access Analyzer の新機能は、セキュリティチームが、自動推論を使用して複数のポリシーを評価し、統合ダッシュボードを通じて検出結果を表示することで、AWS 組織内のどのプリンシパルが、S3 バケット、DynamoDB テーブル、RDS スナップショットなどの重要なリソースにアクセスできるのかを検証するのに役立ちます。

AWS IAM がすべてのアカウントタイプでルートユーザーに MFA を強制するようになりました
新しい多要素認証の強制により、パスワード関連の攻撃の 99% 超を防ぐことができます。FIDO 認定セキュリティキーなど、サポートされているさまざまな IAM MFA の方法を用いて、AWS アカウントに対するアクセスを強化できます。AWS はユーザーフレンドリーな MFA 実装のために FIDO2 パスキーをサポートしているため、ユーザーはルートユーザーと IAM ユーザーごとに最大 8 台の MFA デバイスを登録できます。

AWS Network Firewall で Amazon 脅威インテリジェンスを使用してセキュリティ体制を強化
この新しい Network Firewall マネージドルールグループは、AWS におけるワークロードに関連するアクティブな脅威に対する保護を提供します。この機能は、Amazon 脅威インテリジェンスシステムである MadPot を利用して、マルウェアホスティング URL、ボットネットのコマンド & コントロールサーバー、暗号通貨マイニングプールなどの攻撃インフラストラクチャを継続的に追跡し、アクティブな脅威についての侵害指標 (IOC) を特定します。

AWS Certificate Manager がどこでも使用できるエクスポート可能なパブリック SSL/TLS 証明書を導入
AWS Certificate Manager を利用して、安全な TLS トラフィック終端処理を必要とする AWS、ハイブリッド、またはマルチクラウドワークロードのために、エクスポート可能なパブリック証明書を発行できるようになりました。

AWS WAF の簡素化されたコンソールエクスペリエンス
新しい AWS WAF コンソールエクスペリエンスでは、事前設定済みの保護パックを通じて、セキュリティ設定のステップが最大 80% 少なくなります。セキュリティチームは、統合セキュリティメトリクスと、直感的なインターフェイスを通じたカスタマイズ可能なコントロールにより、特定のアプリケーションタイプのための包括的な保護を迅速に実装できます。

Amazon CloudFront が新しいユーザーフレンドリーなインターフェイスでウェブアプリケーションの配信とセキュリティを簡素化
Amazon CloudFront の簡素化されたコンソールエクスペリエンスをぜひお試しください。AWS WAF の強化されたルールパックと統合インターフェイスを通じて、TLS 証明書のプロビジョニング、DNS 設定、セキュリティ設定を自動化することで、わずか数クリックでウェブアプリケーションの高速化とセキュリティ保護を実現できます。

新しい AWS Shield 機能が、ネットワークセキュリティの問題が悪用される前に検出 (プレビュー)
Shield のネットワークセキュリティ体制管理は、AWS アカウント全体でネットワークリソースを自動的に検出および分析し、AWS のベストプラクティスに基づいてセキュリティリスクの優先順位付けを行い、SQL インジェクションや DDoS 攻撃などの脅威からアプリケーションを保護するための是正に関する実用的なレコメンデーションを提供します。

新しい AWS Security Hub を利用してセキュリティを統合し、リスクの優先順位付けと対応を大規模に実現 (プレビュー)
AWS Security Hub は、セキュリティシグナルを実用的なインサイトに変換できるように強化されています。これは、セキュリティチームが重要度の高い問題を大規模に優先順位付けして対応するのに役立ちます。この統合ソリューションは、クラウド環境全体の包括的な可視性を提供するとともに、複数のセキュリティツールの管理に伴う複雑さを軽減します。

Amazon GuardDuty が Extended Threat Detection の対象範囲を Amazon EKS クラスターに拡張
Amazon GuardDuty Extended Threat Detection が Amazon EKS クラスターをサポートするようになりました。これは、Kubernetes 監査ログ、実行時の動作、AWS API アクティビティにおけるセキュリティシグナルを相関させることで、高度な多段階攻撃を検出するのに役立ちます。この機能強化により、この機能がなければ見逃される可能性のある重大度の高い攻撃シーケンスが自動的に特定され、脅威への迅速な対応が可能になります。

AWS MSSP コンピテンシーの新しいカテゴリ
AWS MSSP コンピテンシー (旧称: AWS レベル 1 MSSP コンピテンシー) に、インフラストラクチャセキュリティ、ワークロードセキュリティ、アプリケーションセキュリティ、データ保護、ID およびアクセス管理、インシデント対応、サイバーリカバリをカバーする新しいカテゴリが追加されました。パートナーは、専用のセキュリティオペレーションセンターを通じて 24 時間年中無休のモニタリングとインシデント対応を提供します。

Amazon Verified Permissions を利用して Express アプリケーション API を数分で保護
Amazon Verified Permissions は、デベロッパーが Amazon Verified Permissions を利用して Express ウェブアプリケーション API の認可を数分で実装できるようにするオープンソースパッケージである verified-permissions-express-toolkit のリリースを発表しました。

コンピューティングを超えて: Amazon Inspector のコードセキュリティで脆弱性検出をシフトレフト
Amazon Inspector のコードセキュリティ機能の一般提供が開始されました。これは、アプリケーションのソースコード、依存関係、Infrastructure as Code (IaC) 全体でセキュリティ上の脆弱性と設定ミスを迅速に特定し、優先順位を付けることで、本番導入前にアプリケーションのセキュリティを実現するのに役立ちます。

AWS Backup が論理エアギャップボールトのためにマルチパーティー承認機能を追加
AWS Backup の論理エアギャップボールトのためのマルチパーティー承認機能により、AWS アカウントが侵害された場合でも、リカバリアカウントとのボールト共有を有効にできる、信頼された個人で構成される指定承認チームからの認可を活用することで、バックアップデータをリカバリできます。

原文はこちらです。