2025年6月に米国フィラデルフィアで開催された「AWS re:Inforce 2025」に参加しました。
本ブログシリーズでは、できるだけ詳細に筆者の体験をお伝えするため、現地の様子やAWSクラウドセキュリティの最新情報について、会期の3日間(+おまけの1日)の行程を1日ずつ紹介します。
本記事は3日目について記しており、新機能のブレイクアウトセッションや今回新登場のレベル500のチョークトークセッション中心に紹介します。
▼1日目の様子はこちら
AWS re:Inforce 2025 現地レポート Day1|会場散策からビルダーセッションまで
▼2日目の様子はこちら
AWS re:Inforce 2025 現地レポート Day2|CISO基調講演からEXPOまで
新機能のブレイクアウトセッション
ブレイクアウトセッションとは、特定のトピックに焦点を当てた講義形式のセッションです。例えば、サービスのユースケースや顧客事例の紹介、AWSエンジニアやプロダクトマネージャーによる技術的な深掘り、さらに、新サービスやアップデートの詳細解説などトピックになります。基調講演でサービスのアップデートが発表されたあとに、アップデートに関するブレイクアウトセッションが追加されることがあります。そのため、セッションカタログは常に見ておくことをお勧めします。
今回は、基調講演で発表されたSecurity Hubのアップデートに関するブレイクアウトセッションを紹介します。
TDR309: AWS Security Hub: Detect and respond to critical security issues
本セッションでは、Security Hubのアップデートについて詳細に解説されています。新しいSecurity Hubが検出結果の優先順位付けとコンテキスト化にどのように貢献し、また、複数のイベントがどのように相関されるのかを知り、可視化を実現することでセキュリティ対策にどれだけ役立てられるかを学びます。
AWS Security Hubは過去数年にわたりセキュリティ向上に寄与してきましたが、顧客から寄せられた課題が、新Security Hubの開発のきっかけとなったことが語られました。
顧客から寄せられたSecurity Hubの主な課題
- セキュリティの断片化:複数のサービスやコンソールが存在し、統合的な管理が困難
- 手動での相関分析の負担:各サービスの検出結果を手動で分析する必要がある
- コンテキスト不足:リソース単位の検出に留まり、ビジネスリスクの全体像が見えにくい
- 対応の複雑さ:チケットシステムとの連携がなく、対応プロセスの構築が煩雑
これらの課題を解決するために、AWSは新しいSecurity Hubを開発しました。従来のコンプライアンスチェック機能はSecurity Hub CSPMと改称し、新Security Hubはそれを包含し、統合セキュリティ管理としての機能を強化したものとなります。
講演では、以下のような新機能が紹介されました。
- Exposure Findings(露出検出)
複数のセキュリティイベントを相関分析し、攻撃者が悪用可能な露出特性を検出 - 攻撃経路の可視化
Exposure Findingごとに攻撃経路を可視化し、関連リソースや影響範囲も表示 - セキュリティ特化のアセットインベントリ
Security Hubが監視するリソースとセキュリティ状況を一元管理 - トリアージとアラートの強化
検出結果を優先順位付けし、JIRA CloudやServiceNowへ自動的にチケットを作成
講演の中盤では、実際のSecurity Hubコンソールを使ったデモが行われました。
ダッシュボードで脅威、露出、リソース、カバレッジを一目で把握可能です。
高度なフィルター機能で、特定リソースに絞った分析が可能です。
Exposure Findingの詳細表示では、攻撃経路、関連リソース、構成情報、脆弱性情報が一目で把握可能です。
チケット作成は数クリックで完了。自動化ルールによるスケーラブルな対応も可能です。
また、OCSF(Open Cybersecurity Schema Framework)ベースでログが出力されるため、サードパーティツールとの連携も容易になりました。
講演の最後には、改めてAWS Security Hubが単なる検出ツールから、統合型セキュリティプラットフォームへと進化したことが強調されました。セキュリティ運用の効率化、可視性の向上、そして自動化による対応力の強化は、AWS環境を利用するすべての企業にとって大きなメリットとなるでしょう。
所感
Security Hubのアップデートについて詳細に理解することができました。複数のリスクを統合して分析し、何を優先して対処すべきかをアタックパスとともに明示してくれる点は、セキュリティ運用の現場にとって非常にありがたい機能だと思いました。
レベル500のチョークトークセッション
AWSのカンファレンスではセッションに技術レベルを設定しており、レベル100から400までに分類されています。今回は新たにレベル500が追加され、より高度な内容を学べるようになりました。レベルは以下のように分類されます。
AWSセッションの技術レベル
|
レベル |
|
|
100 - Foundational |
AWSの基本的な概念やサービスを理解するためのセッション |
|
200 - Intermediate |
具体的なサービスの使い方や実践的な内容を学ぶセッション |
|
300 - Advanced |
特定のサービスに深く掘り下げた内容や、高度なテクニックを学ぶセッション |
|
400 - Expert |
専門的な知識や経験を持つ人が対象で、最先端の技術や戦略を学ぶセッション |
|
500 - Distinguished |
高度な技術力を持つ人が対象で、学術レベルの理論と実装を結びつけることで、クラウドの未来を探究するセッション |
チョークトークとは、登壇者がスライドだけでなく、ホワイトボードを使って、参加者と対話形式で技術的な内容を深掘りするセッションです。AWSの技術をより深く理解して実務に活かすための知識を得ることができ、質問や議論がしやすいため実践的な課題を持つエンジニアにおすすめです。
今回新登場のレベル500のセッションはいずれもチョークトーク形式でした。そのうちの1つを紹介します。
SEC501: From Shor's algorithm to AWS's post-quantum cryptography strategy
本セッションでは、耐量子計算機暗号(PQC)を題材とし、ショアのアルゴリズムがどのように楕円曲線暗号とRSA暗号を破るのかを知り、量子コンピュータが情報システムにもたらすリスクを回避するためにAWSが講じてきた対策について学びます。
講演は量子コンピューティングの基本概念から始まりました。量子ビット(qubit)は、0と1の重ね合わせ状態を持ち、測定によって確率的に0または1に収束します。複数のqubitはエンタングル(量子もつれ)状態になることがあり、これにより量子コンピュータは並列的な計算能力を発揮します。
また、量子ゲート(HadamardゲートやCNOTゲートなど)を使ってqubitの状態を操作し、量子回路を構築する方法も紹介されました。これらのゲートはユニタリ行列で表現され、量子状態の正規化(確率の合計が1)を保ちます。
講演では、量子アルゴリズムの代表例としてShorのアルゴリズムが紹介されました。これはRSA暗号の根幹である素因数分解を効率的に行うもので、量子コンピュータが実用化されればRSAや楕円曲線暗号(ECC)は破られる可能性があります。
また、Groverのアルゴリズムは対称鍵暗号に対して平方根の探索時間で攻撃可能であることが説明されましたが、現実的な量子コンピュータの規模では対称鍵暗号(AESなど)はまだ安全とされています。
AWSは、量子コンピュータによる脅威に備え、以下のような段階的なPQC移行戦略を展開しています。
- 暗号資産の棚卸
自社の暗号資産と通信経路の棚卸を行い、どの部分が量子耐性を必要とするかを特定 - データ保護
公開鍵プロトコルにおける機密性の確保のため、ML-KEM(FIPS 203)を用いたハイブリッド暗号方式を導入 - ハードウェアの保護
長期間にわたって信頼性を維持するRoot of Trustに対しては、ML-DSA(FIPS 204)を導入 - 全システムの認証基盤を強化
CA/Browser Forumと連携し、認証基盤の耐量子性を強化
現在も以下の課題があり、継続して対応していく計画です。
- ダウングレード攻撃:ハイブリッド暗号の移行期における脆弱性への対策が必要
- TLS 1.2の廃止:PQC対応はTLS 1.3以降が前提であり、TLS 1.2の段階的廃止が必要
- CA/Browser Forumとの連携:証明書の有効期間短縮など、業界全体での対応が進行中
AWSは、量子コンピュータによる暗号破壊のリスクに対し、先進的かつ実践的な対応を進めています。PQCの導入は、クラウドセキュリティの未来を守るための重要なステップです。講演の最後には、企業や開発者は、AWSのPQC対応状況を注視し、早期の対応を検討することが重要であるというメッセージで締めくくられました。
所感
さすがレベル500とだけあって学術的な内容が盛り込まれていました。しかしながら、単に学術的な内容で終わらず、量子コンピューティングという抽象的なテーマを、AWSの具体的な取り組みを通じて現実的な課題として捉え直す内容でした。セキュリティ、運用、標準化、ユーザー体験のすべてを網羅した、非常に充実した完成度の高いセッションであり、今後もAWSのPQCの取り組みに注目していきたいと思いました。
クロージングパーティー
会場のホールでクロージングパーティーが開催され、たくさんのお酒と軽食が用意されていました。DJによる音楽や、ちょっとしたアトラクションもあり、参加者同士がリラックスして交流できる場でした。
カラフルなポップコーンは甘めの味付けでした。
技術的な学びだけでなく、人とのつながりや業界の空気感を体感できる場として、クロージングパーティーは非常に楽しい時間でした。AWS re:Inforceは、セキュリティを「技術」だけでなく「文化」として捉える姿勢が随所に感じられ、このような言語の壁を越えて交流できる場は非常に重要な役割を果たしていたように感じます。
まとめと次回予告
3日目のre:Inforceの様子、いかがでしたか。最新情報やユースケースを学べるブレイクアウトセッションや学術的なテーマからAWSの取り組みまで学べるレベル500のチョークトークをご紹介しました。また、クロージングパーティーの様子もお伝えしました。
re:Inforceは終了しましたが、ジャパンツアーの企画としてセキュリティを堪能できるおまけの1日がありました。
次回はre:Inforceジャパンツアーの一環で参加した、Amazonニューヨークオフィス訪問と国連見学ツアーについて紹介しますので、ご期待ください。
