AWSは増加するサイバー攻撃から顧客を保護するために、さまざまなセキュリティ対策に取り組んでいる。同社の中核となる技術「MadPot」とはどのような仕組みなのか。
クラウドサービスベンダーAmazon Web Services(AWS)は同名クラウドサービス群にて、多層的な「脅威インテリジェンス」(脅威の特定や対策のための洞察をデータ解析で引き出すセキュリティ手法)を進化させてきた。
AWSの脅威インテリジェンスの中核となるのが、ハニーポット(攻撃側をおとりに誘導する能動的多層防御)型のツール群「MadPot」だ。このMadPotを介して見えてくる攻撃の実態と、AWSが講じている防御策を解説する。
AWSが攻撃を防ぐ仕組みについて詳細を明らかにするようになったのは近年のことだ。
「AWSの脅威インテリジェンスは、ユーザー企業が可能な限り関わらないで済むようにという理念に基づいている」と、Amazon.comのCISO(最高情報セキュリティ責任者)兼セキュリティエンジニアリング部門のバイスプレジデント、CJ・モーゼス氏は語る。「ユーザー企業ではなく、われわれが対処する」(同氏)
MadPotはAWSのネットワーク全体に分散して配置されている。AWSが意図的に脆弱(ぜいじゃく)性を持たせており、さまざまなタイプのインスタンスを模倣することで、デコイ(おとり)として機能し、攻撃を引き付けて分析する。
攻撃者は素早く行動する。モーゼス氏によれば、ModPotが新しく脆弱性を持つワークロード(特定のシステムやアプリケーションに関するタスクや処理)を起動すると、90秒以内にそのワークロードはスキャンされ、そこから平均3分以内に攻撃が始まる。
AWSはこのスピードに対抗する必要がある。「われわれが重視する指標は『MTTD』(脅威検出に要する平均時間)だ」とモーゼス氏は語る。「攻撃者の先を行く必要がある。効果的な対処のためには、数分以内、場合によっては数秒以内に行動しなければならない」(同氏)
「MadPotは平均して1日約7億5000万回の攻撃を受けている」とモーゼス氏は語る。攻撃に関するデータはAWSの脅威インテリジェンスツール「Sonaris」に送られる。送られたデータによりSonarisの信頼性と精度が向上し、既知の攻撃を自動的にブロックして、顧客のワークロードを保護する。
AWSはニューラルネットワーク(人間の脳の神経回路を模倣した機械学習モデル)を活用したグラフベースの機械学習モデル「Mithra」を使用して、AWSと各Webサイトとのやりとりを分析し、毎日数十万件の疑わしいWebサイトを特定している。これによりAWSは攻撃者のドメインを事前にブロックし、フィッシング攻撃やマルウェアがユーザー企業に到達する前にブロックする。
AWSのインフラではさまざまなサービスのIPアドレスが、3分間で23%変更される。そのため、従来のIPベースの脅威インテリジェンスでは機能しない。「サードパーティーの脅威インテリジェンスには依存していない」とモーゼス氏は語る。
以上のプロセスは全て自動化されており、可能な限りリアルタイムで実行される。これらの自動化ツールがAWSのセキュリティの中核を成す一方で、専門知識を持つ人材も欠かせない。
AWSの脅威対策エンジニアは米国の諜報機関から採用されることもある。同社のエンジニアたちはこれらのツールから得られる知見を活用して、日々生まれる、高度な攻撃パターンを追跡、特定している。「異常な事象を分析する上で、生成AIが人間に取って代わることは決してない」とモーゼス氏は語る。
同社のセキュリティ機能はサイバー攻撃を懸念する企業、特に急速に成長しているもののセキュリティ専門人材が不足している企業を引き付けている。モーゼス氏は同社の顧客に対し「全体的な攻撃の対処についてはAWSに任せつつ、自社の業界に特化した脅威インテリジェンスに投資すべきだ」とアドバイスする。
AWSは2024年12月、年次イベント「AWS re:Invent 2024」でインシデント対応サービス「AWS Security Incident Response」を公開した。このサービスは脅威検出サービス「Amazon GuardDuty」など、さまざまなセキュリティツールから検出結果を取得して、セキュリティインシデントを自動的にトリアージ(優先順位付け)し、企業の対応を支援する。世界各国にあるAWSのカスタマーインシデント対応チーム(CIRT)への24時間365日アクセスも提供する。
AWS Security Incident Responseの提供の背景について、「顧客側の責任範囲内のインシデントへの対応支援を求めてくるユーザー企業が増えた」と、AWSのカスタマーセキュリティアウトカム部門のグローバルヘッド、フィル・ロドリゲス氏は語る。同氏は設定・管理・保護の責任範囲をAWSとユーザー企業で分担する「責任共有モデル」について触れた。
一般的にはクラウドサービスベンダーは、サービスの可用性とインフラの維持に責任を持つ。だが、顧客は顧客自身の責任範囲についてもセキュリティの支援を求めている。「AWSを使っている以上、支援を求めるのは当然だ。この要請がテクノロジーとAWSの専門人材を組み合わせたAWS Security Incident Responseの立ち上げにつながった」(ロドリゲス氏)
米国Informa TechTargetが運営する英国Computer Weeklyの豊富な記事の中から、海外企業のIT製品導入事例や業種別のIT活用トレンドを厳選してお届けします。
Copyright © ITmedia, Inc. All Rights Reserved.
お知らせ
米国TechTarget Inc.とInforma Techデジタル事業が業務提携したことが発表されました。TechTargetジャパンは従来どおり、アイティメディア(株)が運営を継続します。これからも日本企業のIT選定に役立つ情報を提供してまいります。
「生成AIで作った広告」が物議 そのとき、コカ・コーラはどう動いた?
生成AIを広告制作に活用し、議論を呼んだCoca-Cola。この経験から何を学んだのか。
新規顧客獲得と既存顧客のLTV向上、それぞれのCRO(コンバージョン率最適化)について
連載第4回の今回は、新規顧客の獲得と既存顧客のLTV(顧客生涯価値)、それぞれのCRO(コ...
「広報」への期待 B2BとB2Cの違いは?
日本広報学会が上場企業経営者を対象に「広報の定義」に関する意識調査を実施した。
ITmediaはアイティメディア株式会社の登録商標です。
