AWSは増加するサイバー攻撃から顧客を保護するために、さまざまなセキュリティ対策に取り組んでいる。同社の中核となる技術「MadPot」とはどのような仕組みなのか。
クラウドサービスベンダーAmazon Web Services(AWS)は同名クラウドサービス群にて、多層的な「脅威インテリジェンス」(脅威の特定や対策のための洞察をデータ解析で引き出すセキュリティ手法)を進化させてきた。
AWSの脅威インテリジェンスの中核となるのが、ハニーポット(攻撃側をおとりに誘導する能動的多層防御)型のツール群「MadPot」だ。このMadPotを介して見えてくる攻撃の実態と、AWSが講じている防御策を解説する。
AWSが攻撃を防ぐ仕組みについて詳細を明らかにするようになったのは近年のことだ。
「AWSの脅威インテリジェンスは、ユーザー企業が可能な限り関わらないで済むようにという理念に基づいている」と、Amazon.comのCISO(最高情報セキュリティ責任者)兼セキュリティエンジニアリング部門のバイスプレジデント、CJ・モーゼス氏は語る。「ユーザー企業ではなく、われわれが対処する」(同氏)
MadPotはAWSのネットワーク全体に分散して配置されている。AWSが意図的に脆弱(ぜいじゃく)性を持たせており、さまざまなタイプのインスタンスを模倣することで、デコイ(おとり)として機能し、攻撃を引き付けて分析する。
攻撃者は素早く行動する。モーゼス氏によれば、ModPotが新しく脆弱性を持つワークロード(特定のシステムやアプリケーションに関するタスクや処理)を起動すると、90秒以内にそのワークロードはスキャンされ、そこから平均3分以内に攻撃が始まる。
AWSはこのスピードに対抗する必要がある。「われわれが重視する指標は『MTTD』(脅威検出に要する平均時間)だ」とモーゼス氏は語る。「攻撃者の先を行く必要がある。効果的な対処のためには、数分以内、場合によっては数秒以内に行動しなければならない」(同氏)
「MadPotは平均して1日約7億5000万回の攻撃を受けている」とモーゼス氏は語る。攻撃に関するデータはAWSの脅威インテリジェンスツール「Sonaris」に送られる。送られたデータによりSonarisの信頼性と精度が向上し、既知の攻撃を自動的にブロックして、顧客のワークロードを保護する。
AWSはニューラルネットワーク(人間の脳の神経回路を模倣した機械学習モデル)を活用したグラフベースの機械学習モデル「Mithra」を使用して、AWSと各Webサイトとのやりとりを分析し、毎日数十万件の疑わしいWebサイトを特定している。これによりAWSは攻撃者のドメインを事前にブロックし、フィッシング攻撃やマルウェアがユーザー企業に到達する前にブロックする。
AWSのインフラではさまざまなサービスのIPアドレスが、3分間で23%変更される。そのため、従来のIPベースの脅威インテリジェンスでは機能しない。「サードパーティーの脅威インテリジェンスには依存していない」とモーゼス氏は語る。
以上のプロセスは全て自動化されており、可能な限りリアルタイムで実行される。これらの自動化ツールがAWSのセキュリティの中核を成す一方で、専門知識を持つ人材も欠かせない。
AWSの脅威対策エンジニアは米国の諜報機関から採用されることもある。同社のエンジニアたちはこれらのツールから得られる知見を活用して、日々生まれる、高度な攻撃パターンを追跡、特定している。「異常な事象を分析する上で、生成AIが人間に取って代わることは決してない」とモーゼス氏は語る。
同社のセキュリティ機能はサイバー攻撃を懸念する企業、特に急速に成長しているもののセキュリティ専門人材が不足している企業を引き付けている。モーゼス氏は同社の顧客に対し「全体的な攻撃の対処についてはAWSに任せつつ、自社の業界に特化した脅威インテリジェンスに投資すべきだ」とアドバイスする。
AWSは2024年12月、年次イベント「AWS re:Invent 2024」でインシデント対応サービス「AWS Security Incident Response」を公開した。このサービスは脅威検出サービス「Amazon GuardDuty」など、さまざまなセキュリティツールから検出結果を取得して、セキュリティインシデントを自動的にトリアージ(優先順位付け)し、企業の対応を支援する。世界各国にあるAWSのカスタマーインシデント対応チーム(CIRT)への24時間365日アクセスも提供する。
AWS Security Incident Responseの提供の背景について、「顧客側の責任範囲内のインシデントへの対応支援を求めてくるユーザー企業が増えた」と、AWSのカスタマーセキュリティアウトカム部門のグローバルヘッド、フィル・ロドリゲス氏は語る。同氏は設定・管理・保護の責任範囲をAWSとユーザー企業で分担する「責任共有モデル」について触れた。
一般的にはクラウドサービスベンダーは、サービスの可用性とインフラの維持に責任を持つ。だが、顧客は顧客自身の責任範囲についてもセキュリティの支援を求めている。「AWSを使っている以上、支援を求めるのは当然だ。この要請がテクノロジーとAWSの専門人材を組み合わせたAWS Security Incident Responseの立ち上げにつながった」(ロドリゲス氏)
米国Informa TechTargetが運営する英国Computer Weeklyの豊富な記事の中から、海外企業のIT製品導入事例や業種別のIT活用トレンドを厳選してお届けします。
Copyright © ITmedia, Inc. All Rights Reserved.
ロッテはシステムのAWS移行を進める中、DX推進の鍵は内製化比率の向上にあると考え、内製化の強化に踏み切った。本資料では、内製化の実現に向け、支援を受けながら、初めて取り組んだAWS開発と人材育成を成功させた事例を紹介する。
大容量データの送受信には、通信遅延や帯域制限の課題がある。本資料では、高速で安全なデータ送信を実現できるファイル転送プラットフォームを紹介する。導入時に気になるポイントとともに、料金プランも分かりやすく解説している。
SaaSの利用が拡大する中、ベンダー側と企業側の両方がさまざまな課題を抱えている。ベンダー側は商談につながるリードが獲得しにくいと感じており、企業側は製品の選定に困難さを感じているという。双方の課題を一掃する方法とは?
従来のファイルサーバで対応できない多様なデータを、効率的に管理・共有できる「全てのコンテンツ保管庫」として、クラウド型コンテンツ管理基盤にVPN接続機能を組み合わせたサービスが注目されている。その特徴をマンガ形式で紹介する。
従業員の自己紹介に加えて、企業間の関係構築においても重要な役割を担う名刺だが、その発注業務は意外と手間がかかる。名刺の作成から注文まで、ミスを発生させずに効率化するにはどうすればよいのか。本資料では、その解決策を紹介する。
「テレワークでネットが遅い」の帯域幅じゃない“真犯人”はこれだ
ネットワークの問題は「帯域幅を増やせば解決する」と考えてはいないだろうか。こうした誤解をしているIT担当者は珍しくない。ネットワークを快適に利用するために、持つべき視点とは。
「サイト内検索」&「ライブチャット」売れ筋TOP5(2025年5月)
今週は、サイト内検索ツールとライブチャットの国内売れ筋TOP5をそれぞれ紹介します。
「ECプラットフォーム」売れ筋TOP10(2025年5月)
今週は、ECプラットフォーム製品(ECサイト構築ツール)の国内売れ筋TOP10を紹介します。
「パーソナライゼーション」&「A/Bテスト」ツール売れ筋TOP5(2025年5月)
今週は、パーソナライゼーション製品と「A/Bテスト」ツールの国内売れ筋各TOP5を紹介し...
ITmediaはアイティメディア株式会社の登録商標です。
