Amazon Web Services ブログ

Tag: Security Blog

AWS マネジメントコンソールへのアクセスを想定するネットワークに制限

本ブログでは、企業が規制コンプライアンスのためにコンソールアクセスを企業ネットワークに制限するユースケースを取り上げ、AWS Sign-In のリソースベースポリシーと RCP を使った実装方法を紹介します。リソース許可ステートメントの作成、コンソール認可の有効化、CloudTrail による検証、Console Private Access やデータ境界フレームワークとの統合まで詳しく説明します。

AWS Config を使用したポスト量子暗号 (PQC) 対応の自動化

TLS エンドポイントをポスト量子暗号 (PQC) に移行する第一歩は、現状のインベントリと状態把握です。本記事では、ALB、NLB、Amazon API Gateway のエンドポイントを継続的に監視する PQC Readiness Scanner を紹介します。AWS Config コンフォーマンスパックを活用し、各エンドポイントを 3 階層フレームワークに分類して移行の優先順位付けを自動化する方法を、シングルアカウントおよび Organizations でのデプロイ手順とあわせて解説します。

AWS Continuum のご紹介: マシンスピードで実現するセキュリティ

コードの脆弱性に対応する AWS Continuum を発表します。テレメトリ収集とダッシュボード監視に頼る従来の運用モデルから、テレメトリ、コンテキスト、推論、アクションへと至る新しいアプローチへ移行します。フロンティアモデルを活用し、発見、優先順位付け、検証、緩和と修復という 4 つの継続的フェーズで、コードの脆弱性のライフサイクル全体にマシンスピードで対応する仕組みを紹介します。

ポスト量子暗号で将来の量子リスクからシークレットを守る

AWS Secrets Manager が ML-KEM を使用したハイブリッドポスト量子鍵交換をデフォルトで有効化しました。これにより harvest now, decrypt later (HNDL) 攻撃から将来の量子コンピュータの脅威に備えてシークレットを保護します。Secrets Manager Agent、Lambda 拡張機能、CSI Driver、各種 AWS SDK のアップグレード要件と、CloudTrail を使った接続検証手順を詳しく説明します。

AWS KMS と AWS Encryption SDK が対称暗号化の境界を克服する仕組み

大量のデータを暗号化する大規模アプリケーションでは、AES-GCM の暗号化限界の追跡や鍵のローテーションが課題になります。本記事では、AWS KMS と AWS Encryption SDK が派生鍵方式を用いて、暗号化のたびに一意の鍵を生成し、AES-GCM の呼び出し限界やデータ境界を自動的に処理する仕組みを解説します。鍵導出関数 (KDF) やノンスの活用により、手動管理を不要にする方法を詳しく説明します。

AI の脅威からオープンソースを守るため 1,250 万ドルを AWS など複数社が拠出

AWS、Anthropic、Google、Microsoft、OpenAI は Linux Foundation と共同で 1,250 万ドルを拠出し、AI による脆弱性レポートの急増からオープンソースエコシステムを守る取り組みを発表しました。基盤モデルが重大な脆弱性発見でセキュリティ研究者を上回り始めるなか、AWS は Alpha Omega を通じてメンテナーがバグを迅速に検証・修正できるツールと自動化を提供します。

エージェンティック AI でグローバル規模の脆弱性検出を加速

Amazon が開発した RuleForge は、エージェンティック AI を活用して脆弱性検出ルールを自動生成するシステムです。ルール生成エージェントとジャッジモデルを分離するアーキテクチャにより、誤検知を 67% 削減しつつ、従来の手動プロセスと比較して 336% 速くルールを生成・検証できるようになりました。CVE 開示から防御までのギャップを埋め、AWS のお客様のワークロード保護を強化する仕組みを解説します。

CIRT インサイト: AWS Organizations からの不正なアカウント離脱を防ぐには

AWS Customer Incident Response Team (CIRT) が観測している、攻撃者がお客様アカウントを侵害した後に AWS Organizations から離脱させ、SCP やガバナンス制御を回避する新しい手口について解説します。
具体的には、organizations:LeaveOrganization 権限を持つクレデンシャルが悪用されると、メンバーアカウントが Organization の保護下から外れ、CloudTrail の組織トレイル、GuardDuty の中央集約、SCP による制限、一括請求などの可視性と統制が失われます。
最も効果が大きく労力の少ない対策として、organizations:LeaveOrganization アクションを拒否する SCP (DenyLeaveOrganization) の実装を推奨します。あわせて、CloudTrail での AcceptHandshake / LeaveOrganization / InviteAccountToOrganization / RemoveAccountFromOrganization イベントの監視、IAM の最小権限原則の徹底、およびルートアクセスの一元管理についても解説しています。