2025年6月に米国フィラデルフィアで開催された「AWS re:Inforce 2025」に参加しました。
本ブログシリーズでは、できるだけ詳細に筆者の体験をお伝えするため、現地の様子やAWSクラウドセキュリティの最新情報について、会期の3日間(+おまけの1日)の行程を1日ずつ紹介します。
本記事は3日目について記しており、新機能のブレイクアウトセッションや今回新登場のレベル500のチョークトークセッション中心に紹介します。
▼1日目の様子はこちら
AWS re:Inforce 2025 現地レポート Day1|会場散策からビルダーセッションまで
▼2日目の様子はこちら
AWS re:Inforce 2025 現地レポート Day2|CISO基調講演からEXPOまで
ブレイクアウトセッションとは、特定のトピックに焦点を当てた講義形式のセッションです。例えば、サービスのユースケースや顧客事例の紹介、AWSエンジニアやプロダクトマネージャーによる技術的な深掘り、さらに、新サービスやアップデートの詳細解説などトピックになります。基調講演でサービスのアップデートが発表されたあとに、アップデートに関するブレイクアウトセッションが追加されることがあります。そのため、セッションカタログは常に見ておくことをお勧めします。
今回は、基調講演で発表されたSecurity Hubのアップデートに関するブレイクアウトセッションを紹介します。
本セッションでは、Security Hubのアップデートについて詳細に解説されています。新しいSecurity Hubが検出結果の優先順位付けとコンテキスト化にどのように貢献し、また、複数のイベントがどのように相関されるのかを知り、可視化を実現することでセキュリティ対策にどれだけ役立てられるかを学びます。
AWS Security Hubは過去数年にわたりセキュリティ向上に寄与してきましたが、顧客から寄せられた課題が、新Security Hubの開発のきっかけとなったことが語られました。
顧客から寄せられたSecurity Hubの主な課題
これらの課題を解決するために、AWSは新しいSecurity Hubを開発しました。従来のコンプライアンスチェック機能はSecurity Hub CSPMと改称し、新Security Hubはそれを包含し、統合セキュリティ管理としての機能を強化したものとなります。
講演では、以下のような新機能が紹介されました。
講演の中盤では、実際のSecurity Hubコンソールを使ったデモが行われました。
ダッシュボードで脅威、露出、リソース、カバレッジを一目で把握可能です。
高度なフィルター機能で、特定リソースに絞った分析が可能です。
Exposure Findingの詳細表示では、攻撃経路、関連リソース、構成情報、脆弱性情報が一目で把握可能です。
チケット作成は数クリックで完了。自動化ルールによるスケーラブルな対応も可能です。
講演の最後には、改めてAWS Security Hubが単なる検出ツールから、統合型セキュリティプラットフォームへと進化したことが強調されました。セキュリティ運用の効率化、可視性の向上、そして自動化による対応力の強化は、AWS環境を利用するすべての企業にとって大きなメリットとなるでしょう。
Security Hubのアップデートについて詳細に理解することができました。複数のリスクを統合して分析し、何を優先して対処すべきかをアタックパスとともに明示してくれる点は、セキュリティ運用の現場にとって非常にありがたい機能だと思いました。
AWSのカンファレンスではセッションに技術レベルを設定しており、レベル100から400までに分類されています。今回は新たにレベル500が追加され、より高度な内容を学べるようになりました。レベルは以下のように分類されます。
|
レベル |
|
|
100 - Foundational |
AWSの基本的な概念やサービスを理解するためのセッション |
|
200 - Intermediate |
具体的なサービスの使い方や実践的な内容を学ぶセッション |
|
300 - Advanced |
特定のサービスに深く掘り下げた内容や、高度なテクニックを学ぶセッション |
|
400 - Expert |
専門的な知識や経験を持つ人が対象で、最先端の技術や戦略を学ぶセッション |
|
500 - Distinguished |
高度な技術力を持つ人が対象で、学術レベルの理論と実装を結びつけることで、クラウドの未来を探究するセッション |
チョークトークとは、登壇者がスライドだけでなく、ホワイトボードを使って、参加者と対話形式で技術的な内容を深掘りするセッションです。AWSの技術をより深く理解して実務に活かすための知識を得ることができ、質問や議論がしやすいため実践的な課題を持つエンジニアにおすすめです。
今回新登場のレベル500のセッションはいずれもチョークトーク形式でした。そのうちの1つを紹介します。
本セッションでは、耐量子計算機暗号(PQC)を題材とし、ショアのアルゴリズムがどのように楕円曲線暗号とRSA暗号を破るのかを知り、量子コンピュータが情報システムにもたらすリスクを回避するためにAWSが講じてきた対策について学びます。
講演は量子コンピューティングの基本概念から始まりました。量子ビット(qubit)は、0と1の重ね合わせ状態を持ち、測定によって確率的に0または1に収束します。複数のqubitはエンタングル(量子もつれ)状態になることがあり、これにより量子コンピュータは並列的な計算能力を発揮します。
また、量子ゲート(HadamardゲートやCNOTゲートなど)を使ってqubitの状態を操作し、量子回路を構築する方法も紹介されました。これらのゲートはユニタリ行列で表現され、量子状態の正規化(確率の合計が1)を保ちます。
講演では、量子アルゴリズムの代表例としてShorのアルゴリズムが紹介されました。これはRSA暗号の根幹である素因数分解を効率的に行うもので、量子コンピュータが実用化されればRSAや楕円曲線暗号(ECC)は破られる可能性があります。
また、Groverのアルゴリズムは対称鍵暗号に対して平方根の探索時間で攻撃可能であることが説明されましたが、現実的な量子コンピュータの規模では対称鍵暗号(AESなど)はまだ安全とされています。
AWSは、量子コンピュータによる脅威に備え、以下のような段階的なPQC移行戦略を展開しています。
AWSは、量子コンピュータによる暗号破壊のリスクに対し、先進的かつ実践的な対応を進めています。PQCの導入は、クラウドセキュリティの未来を守るための重要なステップです。講演の最後には、企業や開発者は、AWSのPQC対応状況を注視し、早期の対応を検討することが重要であるというメッセージで締めくくられました。
さすがレベル500とだけあって学術的な内容が盛り込まれていました。しかしながら、単に学術的な内容で終わらず、量子コンピューティングという抽象的なテーマを、AWSの具体的な取り組みを通じて現実的な課題として捉え直す内容でした。セキュリティ、運用、標準化、ユーザー体験のすべてを網羅した、非常に充実した完成度の高いセッションであり、今後もAWSのPQCの取り組みに注目していきたいと思いました。
会場のホールでクロージングパーティーが開催され、たくさんのお酒と軽食が用意されていました。DJによる音楽や、ちょっとしたアトラクションもあり、参加者同士がリラックスして交流できる場でした。
カラフルなポップコーンは甘めの味付けでした。
3日目のre:Inforceの様子、いかがでしたか。最新情報やユースケースを学べるブレイクアウトセッションや学術的なテーマからAWSの取り組みまで学べるレベル500のチョークトークをご紹介しました。また、クロージングパーティーの様子もお伝えしました。
re:Inforceは終了しましたが、ジャパンツアーの企画としてセキュリティを堪能できるおまけの1日がありました。
次回はre:Inforceジャパンツアーの一環で参加した、Amazonニューヨークオフィス訪問と国連見学ツアーについて紹介しますので、ご期待ください。