米Amazon Web Services(アマゾン・ウェブ・サービス、AWS)は米国時間2023年6月13~14日に開いたセキュリティー関連の年次イベント「re:Inforce」で、14の新サービス・機能を発表した。基調講演に登壇した同社のCJ Moses(CJ・モーゼス)CISO(最高情報セキュリティー責任者)は「セキュリティーに『十分』という概念はない。あらゆる点で変化が求められている」と強調。大流行している生成AI(人工知能)についても「明確なセキュリティーがなければリスクになり得る」と語った。
カテゴリー | 新サービス・機能 | 概要 | 提供ステータス |
クラウドセキュリティー | Amazon Inspector SBOM exports | Amazon Inspectorで監視している全てのリソースを統合ソフトウエア部品表(SBOM)としてエクスポートする機能 | 一般提供 |
Amazon Inspector Code Scans for AWS Lambda | Amazon InspectorでLambda関数内の独自アプリケーションのコードをスキャンし、脆弱性を検出可能に | 一般提供 | |
Findings Groups to Amazon Inspector | Amazon Detectiveの検出結果グループを拡張。Amazon Inspectorのネットワーク到達可能性とソフトウエアの脆弱性も検出 | 一般提供 | |
Amazon CodeGuru Security | 機械学習を使用してコードの脆弱性を特定し修正方法を提供するテストツール | プレビュー | |
マネジメントツール | AWS Configで特定のリソースタイプを除外する機能 | AWS Configで構成変更を追跡するリソースをタイプに応じて除外する機能 | 一般提供 |
AWS CloudTrail Lake Dashboards | AWS CloudTrail Lakeにダッシュボード機能を追加。トレンドを可視化可能に | 一般提供 | |
Amazon EC2 Instance Connect Endpoint | パブリックIPアドレスを使用せずにEC2インスタンスにSSH・RDP接続を可能にする機能 | 一般提供 | |
AWS Security Hub Automation rules | AWS Security Hubに自動化機能を追加。特定リソースの重要度を上げるなどの詳細な設定が可能に | 一般提供 | |
暗号化 | Amazon S3 Dual-Layer Server-Side Encryption | Amazon S3内のオブジェクトに対して、独立した2層の暗号化を適用可能に | 一般提供 |
AWS Payment Cryptography | 決済処理アプリケーションでデータを保護するための暗号の実装を簡素化するサービス | 一般提供 | |
アイデンティティー管理 | Amazon Verified Permissions | カスタムアプリケーションの認証とアクセスコントロールをきめ細かく実現するサービス。2022年11月にプレビュー提供していたものを全リージョンで利用可能に | 一般提供 |
パートナー支援 | AWS Cyber Insurance Partners Program | サイバー保険に関するパートナープログラム。AWSが持つ顧客企業のセキュリティー情報をパートナーに提供することで、保険加入プロセスを合理化 | パートナー向け |
AWS Built-in Partner Solutions | パートナー企業のAWS組み込みソフトウエアをSeculity Lakeなどの基盤サービスと簡易に統合可能にする仕組み | パートナー向け | |
AWS Global Partner Security Initiative | AWSとパートナー企業がセキュリティーソリューションを共同開発する仕組み | パートナー向け |
会場から最も多くの拍手が起こった新サービスの1つが「Amazon Verified Permissions」の一般提供開始だった。同社が2022年11月にプレビューとして提供を開始した機能で、re:Inforceに登壇したAWSのBecky Weiss(ベッキー・ワイス)シニアプリンシパルエンジニアは、「ゼロトラストの次の段階だ」と説明した。
Amazon Verified Permissionsは顧客のカスタムアプリケーション向けの認証とアクセスを管理する新サービスだ。ユーザーの種別やアクションに対して権限を付与するなど細かい管理が可能になる。アプリのコードを変更せずに、認証のルールや更新を一元管理できる。認証関連の作業をアプリ開発から分離することで、認証を実装する工数を大幅に削減できる。
アクセス制御には、AWSが2023年5月にオープンソースとして公開したポリシー言語「Cedar」を使用している。
ワイス氏は「顧客の多くが自社アプリの認証を課題と考えている。時に数カ月を要するからだ」と現状のニーズを説明した。ゼロトラストの前提に立って複雑な認証システムを構築するのが企業の課題であるなら、認証のロジック自体をAWSが提供すればいいというのがAmazon Verified Permissionsの発想といえる。