Tag: Security Blog

Amazon EKS のゼロオペレーターアクセス設計について、独立した第三者機関である NCC Group による検証結果を発表しました。この検証により、AWS 担当者がマネージド Kubernetes コントロールプレーン内の顧客コンテンツにアクセスする技術的手段が存在しないことが確認されました。AWS Nitro System ベースのコンフィデンシャルコンピューティング、限定的な操作のみ可能な管理 API、複数者による変更承認プロセス、エンドツーエンドの暗号化により、最も厳格な規制要件やデジタル主権要件を満たすセキュリティを提供します。

AWS は生成 AI のセキュリティ基準をさらに引き上げました。お客様が機密データを扱う生成 AI アプリケーションを安心して構築できるよう、Amazon Bedrock の次世代推論エンジン Mantle では、オペレーターが顧客データにアクセスできない設計を一から構築しました。本ブログでは、AWS Nitro System で培った技術を活用し、生成 AI ワークロードに最高レベルのセキュリティを提供するゼロオペレーターアクセス設計の詳細をご紹介します。

AWS Certificate Manager (ACM) でパブリック証明書のエクスポートが可能になりました。この新機能により、ACM で管理するパブリック TLS 証明書を EC2 インスタンス、Amazon EKS Pod、オンプレミスサーバー、他のクラウドプロバイダーでホストされているサーバーなど、多様な環境で使用できます。本記事では、Amazon EventBridge と AWS Step Functions を活用した証明書のエクスポートと配布の自動化方法、証明書更新時の自動デプロイワークフローの構築手順を紹介します。

AWS Security Incident Response に AI を活用した調査エージェントが追加されました。この新機能により、セキュリティイベント発生時の証拠収集と分析が自動化され、調査時間を大幅に短縮できます。調査エージェントは CloudTrail ログ、IAM 設定、EC2 インスタンス情報などを自動的に収集・相関付けし、包括的なタイムラインとサマリーを提示します。自然言語で調査内容を記述でき、必要に応じて AWS CIRT へのエスカレーションも可能です。

AWS Secrets Manager の新機能「マネージド外部シークレット」を紹介します。この機能により、Salesforce、Snowflake、BigID などのサードパーティソフトウェアの認証情報を、事前定義されたフォーマットと自動ローテーションで安全に管理できるようになりました。カスタムストレージ戦略やローテーション関数の開発が不要になり、AWS とサードパーティ両方のシークレットを単一のサービスから一元管理できます。IAM によるきめ細かなアクセス許可管理、CloudWatch と CloudTrail による監視、GuardDuty による脅威検出など、標準の Secrets Manager と同じセキュリティ機能を追加コストなしで利用できます。

AWS Security チームが npm サプライチェーン攻撃への対応から得た教訓を紹介します。Nx パッケージの侵害、Shai-Hulud ワーム、15 万件以上の悪意のあるパッケージを検出したトークンファーミングキャンペーンなど、最近の脅威への対応事例を通じて、継続的な監視、多層防御、オープンソースコミュニティとの連携の重要性を解説します。組織のセキュリティ強化に役立つ具体的な推奨事項も提供します。

Amazon 脅威インテリジェンスチームの調査により、国家支援型脅威アクターがサイバー作戦を物理的な軍事攻撃に活用する「サイバー支援キネティックターゲティング」という新たなトレンドが明らかになりました。イラン系脅威グループによる海上船舶の追跡とミサイル攻撃、エルサレムの CCTV カメラ侵害とミサイル照準調整など、具体的な事例を通じて、サイバー戦争と従来の戦争の境界線が薄れている現状を解説します。防御者が脅威モデルを拡張し、新たな防御戦略を構築する必要性についても提言します。

AWS Security Hub の新バージョンでは OCSF スキーマが採用され、旧バージョン (Security Hub CSPM) の ASFF ベースの自動化ルールを移行する必要があります。この記事では、既存の自動化ルールを自動的に検出し、OCSF スキーマに変換し、AWS CloudFormation テンプレートを生成する移行ソリューションを紹介します。ホームリージョンモードとリージョン別モードの 2 つのデプロイオプションをサポートし、ルールの順序も維持されます。

Amazon Inspector のセキュリティリサーチャーが、npm レジストリにおいて tea.xyz トークンファーミングキャンペーンに関連する 15 万件以上の悪意あるパッケージを発見しました。これはオープンソースレジストリ史上最大規模のパッケージフラッディングインシデントの 1 つです。AI とルールベースの検出を組み合わせた手法により、脅威アクターが暗号通貨報酬を得るために自動生成したパッケージを特定し、OpenSSF との迅速な連携で対応を実現しました。

AWS は IAM Policy Autopilot を発表しました。これは AI コーディングアシスタントがベースラインとなる IAM ポリシーを迅速に作成できるよう支援するオープンソースの静的解析ツールです。アプリケーションコードをローカルで解析し、AWS SDK 呼び出しに基づいてアイデンティティベースポリシーを生成します。MCP サーバーまたは CLI として利用でき、Kiro、Amazon Q Developer、Cursor などの AI コーディングアシスタントと統合可能です。クロスサービス依存関係も理解し、Access Denied エラーのトラブルシューティングも支援します。