AWSは増加するサイバー攻撃から顧客を保護するために、さまざまなセキュリティ対策に取り組んでいる。同社の中核となる技術「MadPot」とはどのような仕組みなのか。
クラウドサービスベンダーAmazon Web Services(AWS)は同名クラウドサービス群にて、多層的な「脅威インテリジェンス」(脅威の特定や対策のための洞察をデータ解析で引き出すセキュリティ手法)を進化させてきた。
AWSの脅威インテリジェンスの中核となるのが、ハニーポット(攻撃側をおとりに誘導する能動的多層防御)型のツール群「MadPot」だ。このMadPotを介して見えてくる攻撃の実態と、AWSが講じている防御策を解説する。
AWSが攻撃を防ぐ仕組みについて詳細を明らかにするようになったのは近年のことだ。
「AWSの脅威インテリジェンスは、ユーザー企業が可能な限り関わらないで済むようにという理念に基づいている」と、Amazon.comのCISO(最高情報セキュリティ責任者)兼セキュリティエンジニアリング部門のバイスプレジデント、CJ・モーゼス氏は語る。「ユーザー企業ではなく、われわれが対処する」(同氏)
MadPotはAWSのネットワーク全体に分散して配置されている。AWSが意図的に脆弱(ぜいじゃく)性を持たせており、さまざまなタイプのインスタンスを模倣することで、デコイ(おとり)として機能し、攻撃を引き付けて分析する。
攻撃者は素早く行動する。モーゼス氏によれば、ModPotが新しく脆弱性を持つワークロード(特定のシステムやアプリケーションに関するタスクや処理)を起動すると、90秒以内にそのワークロードはスキャンされ、そこから平均3分以内に攻撃が始まる。
AWSはこのスピードに対抗する必要がある。「われわれが重視する指標は『MTTD』(脅威検出に要する平均時間)だ」とモーゼス氏は語る。「攻撃者の先を行く必要がある。効果的な対処のためには、数分以内、場合によっては数秒以内に行動しなければならない」(同氏)
「MadPotは平均して1日約7億5000万回の攻撃を受けている」とモーゼス氏は語る。攻撃に関するデータはAWSの脅威インテリジェンスツール「Sonaris」に送られる。送られたデータによりSonarisの信頼性と精度が向上し、既知の攻撃を自動的にブロックして、顧客のワークロードを保護する。
AWSはニューラルネットワーク(人間の脳の神経回路を模倣した機械学習モデル)を活用したグラフベースの機械学習モデル「Mithra」を使用して、AWSと各Webサイトとのやりとりを分析し、毎日数十万件の疑わしいWebサイトを特定している。これによりAWSは攻撃者のドメインを事前にブロックし、フィッシング攻撃やマルウェアがユーザー企業に到達する前にブロックする。
AWSのインフラではさまざまなサービスのIPアドレスが、3分間で23%変更される。そのため、従来のIPベースの脅威インテリジェンスでは機能しない。「サードパーティーの脅威インテリジェンスには依存していない」とモーゼス氏は語る。
以上のプロセスは全て自動化されており、可能な限りリアルタイムで実行される。これらの自動化ツールがAWSのセキュリティの中核を成す一方で、専門知識を持つ人材も欠かせない。
AWSの脅威対策エンジニアは米国の諜報機関から採用されることもある。同社のエンジニアたちはこれらのツールから得られる知見を活用して、日々生まれる、高度な攻撃パターンを追跡、特定している。「異常な事象を分析する上で、生成AIが人間に取って代わることは決してない」とモーゼス氏は語る。
同社のセキュリティ機能はサイバー攻撃を懸念する企業、特に急速に成長しているもののセキュリティ専門人材が不足している企業を引き付けている。モーゼス氏は同社の顧客に対し「全体的な攻撃の対処についてはAWSに任せつつ、自社の業界に特化した脅威インテリジェンスに投資すべきだ」とアドバイスする。
AWSは2024年12月、年次イベント「AWS re:Invent 2024」でインシデント対応サービス「AWS Security Incident Response」を公開した。このサービスは脅威検出サービス「Amazon GuardDuty」など、さまざまなセキュリティツールから検出結果を取得して、セキュリティインシデントを自動的にトリアージ(優先順位付け)し、企業の対応を支援する。世界各国にあるAWSのカスタマーインシデント対応チーム(CIRT)への24時間365日アクセスも提供する。
AWS Security Incident Responseの提供の背景について、「顧客側の責任範囲内のインシデントへの対応支援を求めてくるユーザー企業が増えた」と、AWSのカスタマーセキュリティアウトカム部門のグローバルヘッド、フィル・ロドリゲス氏は語る。同氏は設定・管理・保護の責任範囲をAWSとユーザー企業で分担する「責任共有モデル」について触れた。
一般的にはクラウドサービスベンダーは、サービスの可用性とインフラの維持に責任を持つ。だが、顧客は顧客自身の責任範囲についてもセキュリティの支援を求めている。「AWSを使っている以上、支援を求めるのは当然だ。この要請がテクノロジーとAWSの専門人材を組み合わせたAWS Security Incident Responseの立ち上げにつながった」(ロドリゲス氏)
米国Informa TechTargetが運営する英国Computer Weeklyの豊富な記事の中から、海外企業のIT製品導入事例や業種別のIT活用トレンドを厳選してお届けします。
Copyright © ITmedia, Inc. All Rights Reserved.
いまさら聞けない「仮想デスクトップ」と「VDI」の違いとは
遠隔のクライアント端末から、サーバにあるデスクトップ環境を利用できる仕組みである仮想デスクトップ(仮想PC画面)は便利だが、仕組みが複雑だ。仮想デスクトップの仕組みを基礎から確認しよう。
「サイト内検索」&「ライブチャット」売れ筋TOP5(2025年5月)
今週は、サイト内検索ツールとライブチャットの国内売れ筋TOP5をそれぞれ紹介します。
「ECプラットフォーム」売れ筋TOP10(2025年5月)
今週は、ECプラットフォーム製品(ECサイト構築ツール)の国内売れ筋TOP10を紹介します。
「パーソナライゼーション」&「A/Bテスト」ツール売れ筋TOP5(2025年5月)
今週は、パーソナライゼーション製品と「A/Bテスト」ツールの国内売れ筋各TOP5を紹介し...
ITmediaはアイティメディア株式会社の登録商標です。
