超盛り沢山！ AWS re:Inforce 2023 re:Cap Seminar - 夜の部に参加してきました

AWS Startup Loft で開催された「AWS re:Inforce 2023 re:Cap Seminar - 夜の部」に参加してきたので、参加レポートを書きました！

re:Inforceとは、セキュリティに特化したAWSのイベントで「セキュリティ版re:Invent」と言えるイベントです

今回のre:Capでは、AWSの方々からre:Inforceの振り返りをしていただいた後に、参加者のLTを聞くという流れでした
AWSの方のセッションが4つ、LTが7つ、非常に盛り沢山なイベントでした！

Key messaging from AWS re:Inforce 2023

• 大前提：Security in our top priority
  • セキュリティは最優先事項
• AWS CISOの言葉
  • Good enough in never good enough for us or our customer
    • 自分たちの「十分」は、決してお客様の「十分」ではない
    • ハードウェアレベルでAWSはお客様のデータにアクセスできないようにしている
      • 第三者が評価することでセキュリティを担保している
    • お客様が「十分」安心して利用できるようにしている
• Built-in Partner Solution
  • AWSのソリューションとパートナーのソリューションを統合したIaCをAWSが提供するサービス
• ジャパンツアーの特典
  • Expoツアー
    • Expoのブースを一緒に回ってセキュリティのトレンドを掴んでもらうことが目的
    • トレンドマイクロのブースで日本語が用意されていたり
    • AWS監査チームが用意している、データセンター内を見ることができるVRゴーグルの体験ができたり
  • Hart Rossmanのセッション
    • オペレーションとしてセキュリティを意識させる仕組みを作ることが重要
      • Amazonではメンバーが常にセキュリティのことを意識できるよう、セキュリティについて話し合う時間を定期的に作っている
    • （ブルーベリーケーキを例に）セキュリティはあらかじめ組み込むべきである

CISO CJ Moses特別セッションまとめ

• 質問5つご紹介
  • セキュリティサービスのロードマップとAIの活用について
    • お客様の責任範囲のセキュリティサービスに注力している
    • データの可視化、分析に特に力を入れている
    • 生成系AIは世間的に注目される前から注力している
  • セキュリティと予算
    • Amazonでは各ビジネスリーダーに各部のセキュリティの責任を持ってもらっている
      • 責任を持ってもらうことで、セキュリティを意識してビジネスを進めることができる
    • 組織全体でセキュリティのカルチャーを根付かせることが重要
    • 中央集権的に管理するのではなく、セキュリティの専門家集団を置く
      • AWSではGuardiansというセキュリティスペシャリストがいる、セキュリティ系の人材育成にも役立っている
    • セキュリティをビジネスを進める上での足枷にしてはいけない！
  • セキュリティ担当者の育成
    • カルチャーを作って維持することが重要
    • コミュニティを作ってお互いに指導しあう環境を作る
    • 困ったら気軽に聞ける窓口を用意する
      • 気軽に聞けるslackから、グローバルレベルでの問い合わせ窓口まで用意している
    • トレーニングコースを数多く用意、社外のプログラムにも参加してもらう
  • セキュリティカルチャーをどうやって作り上げるのか
    • ビジネスにおけるセキュリティの役割を理解し、どんなリスクがあるのかを理解することが第一
    • セキュリティに関する質問には「No」ではなく、「Yes,but」「Yes ,and」と答えることを意識する
    • 文書化するだけでなく、ディスカッションや協力体制の形成を推進すべき
  • AIによる高度な攻撃への対策
    • システムを構築する時に、レジリエンシーや多層防御などを意識して設計・構築することが第一
    • テクノロジーがどのように動いているのか、どこに使うのが適しているのか、を考えることが一番重要

サービスアップデート

• 概要レベルでのご紹介
• Verified Permissions一般提供開始！
  • ポリシーベースのアクセスコントロールを提供
  • アクセス制御の機能を一任することができ、アプリケーション開発に注力することができる
• EC2 Instance Connect Endpointアップデート
  • プライベートサブネットにあるEC2にも接続可能になった
  • 踏み台サーバー無しで接続可能になる上に、IAMベースの認証、セキュリティグループによる制御も可能
• Inspector Code Scan for AWS Lambdaを発表
  • Lambdaコードをスキャンしてコードレベルでの脆弱性を検出できるようになった
  • 脆弱性を含む箇所、どのような修正方法があるのか、まで出力が可能
• Inspector SBOM Exportを発表
  • Software Bill of Materials：ソフトウェアコンポーネントやそれらの依存関係の情報を含めた、製品一覧のこと
  • AWSサービス間の依存関係を意識して脆弱性を検知することができる
• CodeGuru Securityを発表
  • SASTツール、コードの修正方法の提案まで出力される
  • CodePiplineの中に組み込むことも可能
• Finding Group for Amazon Detectiveアップデート
  • Inspectorのネットワーク到達性、ソフトウェアの脆弱性の検出結果をサポート
  • ネットワーク到達性を意識して脆弱性の調査ができるようになった
  • 一つのアクティビティに関連する情報を紐付けた形で可視化することが可能だったが、関連する情報にネットワーク到達性と脆弱性が追加された
• Security Hub automation rulesを発表
  • 検出結果を自動的に更新＆抑制するルールを追加することができるようになった
  • テンプレートも3つ用意されており、テンプレートをカスタマイズすることも可能
  • ルールの実行条件に従って、あらかじめ定義したアクションが実行されるように設定が可能
• AWS WAF Frand Controle Accout Creation Fraut Preventionを発表
  • ログインに対する不正、アカウント作成に対する不正、この2つを検出してブロックする機能が追加された
  • 料金体系も変更になった
• GurdDuty Finding Summary Viewの発表
  • コンソールに要約が表示されるようになった
  • 時間経過に伴うトレンドなどを可視化することができる
• AWS Payment Cryptographyの発表
  • 決済トランザクション処理に必要なHSMとその管理を提供するマネージドサービス
  • PCI DSSにも準拠
  • Payment Gateway、Acquiresといった立ち位置にいる企業に対して嬉しいマネージドサービス
• Database Encryption SDKの発表
  • Dynamoに保存する前にクライアント側で暗号化してしまうことが可能
• AWS DRSがVPC configration recoveryを追加
  • セキュリティグループ、NACLなどのネットワーク系のAWSサービスに対応
• Audit Managerアップデート
  • 第三者によるリスクアセスメントとCSV出力をサポート
• IAM　Identity Centerアップデート
  • 利用できるIdPとしてGoogle Workspaceが追加された
• ECSアップデート
  • CVSS v3をサポート
• CloudTrail Lakeアップデート
  • トップトレンド可視化ダッシュボードが追加
  • トレンドをダッシュボードで可視化して把握することが可能になる
  • 傾向分析や異常検知がしやすくなった

re:Inforce ジャパンツアーについて

• 航空券とホテルの手配はお任せでOK！
• ツアー限定プログラムも用意されている
  • 参加者同士の交流会
  • 日本語翻訳付きでのEXPOのツアー
  • CJ Moses特別セッション
  • 日本語の現地速報まとめセッション
  • 参加者同士の振り返り交流会
  • Amazon Fresh,Amazon Styleの視察

re:Inforce参加者のLT

Security Jamのススメ

NRIネットコムの上野さん

• Security Jamとは
  • 複数の課題が用意されていて、それらを一つ一つ解決していくイベント
  • ポイントを稼いでラングづけしていく
• 現地で参加する理由
  • 基本現地でしかやってない。。。
  • 海外であればあるほど、イベントがデカければデカいほど景品が豪華
  • グローバルな交流もできる
  • 触ったことがないサービスにも触れることができる
    • マネコン操作が基本なので、いつもと違う操作で逆に理解できるようになる
• 英会話について
  • 自分からしゃべれば回答が予測できる、会話しやすい
  • 答えがわからなくてもポジティブなリアクションすればなんとかなる！ww

金融業界にいる私から見たre:Inforce

Japan Digitan Designの木美さんのLT

• 改めてクラウドとは？を考えてみる
  • 「あなたが使っているのは"クラウド"ですか？」
  • NISTのクラウドコンピューティングの5つの定義を満たしているか？
    • https://www.ipa.go.jp/security/reports/oversea/nist/ug65p90000019cp4-att/000025366.pdf
  • クラウドを「クラウドではない状態」にしてしまっていないか？
• 現地参加の目的
  • 外の世界の「当たり前」を体感すること
  • 自分たちとのギャップを体感すること
• セキュリティ向上のためにすべきこと
  • ズバリ「自動化」すること
  • 自動化がハイレベルになる程、セキュリティとリスクコントロールのレベルも向上する
  • 今回のセッションは、インフラのデプロイにも着目したセッションが多かった印象
• 米国軍人向けの銀行・保険業のUSAAさんのセッション
  • VPCエンドポイントによる「データ境界」に着目していた
  • 適切なデータ境界は常に変化するが、エンドポイントの操作権限を開発者から奪わない
  • 開発者自身で変更のプルリクを投げてもらい、レビューを受ける体制を整えている
  • NISTの定義でいう「オンデマンド・セルフサービス」を重視していると言える

ユーザーから見たre:Inforce

リクルートの宮崎さん

• IAMに関するブレイクアウトセッション
  • IAM302
    • Organizationで企業ごとに切っている企業の事例
    • SCPの運用をコード化しているというセッション
  • IAM303
    • Merckの事例
      • 開発者体験とセキュリティを両立させるためにどうするのかを考えるセッション
      • サードパーティのSaaSを使っているらしが、セッション内で言及なし
• スポンサーブース
  • Identityに関するツールが多めだった印象
  • veza,Resonate,Axiom Securityなど
• re:Invent,Summitとの違い
  • 意外と小規模
  • セッションの席も立ち見なしでギチギチじゃなかった

現代のAWSセキュリティ運用方法（GuardDury ,Ditective編）

クラスメソッドの臼田さん

• GuardDury ,Ditectiveを使った運用方法のご紹介
• 理想の環境
  • GuardDutyの検知結果が全て0な状態
    • W-Aフレームワークに従った適切な設計、構築、運用をもとに、日々セキュリティを意識して運用する
    • 検知が出るなら潰し込む！！
• GuardDury
  • 要約が見れるようになったアップデートがre：Inforceで発表された
  • アカウントが大量にあったり、検知結果が大量に出てしまったりしている場合に有効
  • サマリーダッシュボードで見るべきところ
    • 「高」
      • 超危険、真っ先に確認する
    • 「最も低頻度の検知結果」
      • 割とレアな検知結果で要チェック、重要度が低いノイズは減らす
    • 「最も一般的な検出結果」
      • 大量にあるときは、そもそも自分たちの設計を見直す必要があるかも
    • 「最も多い検出結果を含むケース」
      • AWS環境が狙われているので注意、即対応
• Ditective
  • 検出結果グループ結果の可視化がre：Inforceで発表された
  • 検出結果グループを使った調査
    • MITRE ATT&CKをベースにしている機能で、攻撃の流れが可視化される
    • 「どこから始まっているのか」を確認して対処する

スポンサーから世界の潮流を知る

カミナシの西川さん

• カミナシではシリーズAのフェーズからセキュリティの文化作りを意識している
• 注目したいスポンサー：WIZ
  • CSPM製品を開発・販売している
  • 開発者自らが気付き、対策をとれることを重視している製品
  • セキュリティの責務を開発チームに持ってもらうことを重視して商品開発をしている会社
• re:Inforce参加者選定のススメ
  • セキュリティ担当者と開発者の2名セットがおすすめ
  • とはいえ2名参加はきついかもしれないので、「まずは参加」が重要

元セキュリティエンジニアの目線で見たre:Inforce初参加レポート

フェージビジョンの山口さんのLT

• re:Inforce参加前のイメージ
  • re:Inventよりも専門的な雰囲気もあり、ちょっとハードル高そう。。。
• 参加後の感想
  • 行ってよかった！参加しやすい！
  • セキュリティに参加していない方こそ参加すべきイベントだと思う
• 各セッション通して共有したいこと
  • 「セキュリティはテクノロジーでなく人と文化に依存する」
  • TEAMの採用を推奨
    • Temporary elevated access managementの略
    • 結局は人間がアクションする、であれば人間がアクションする時間を制限しよう！という考えに基づいたOSSソリューション
    • 一時的な認証情報を発行して付与する機能
    • 公式による公開情報は以下
      • https://github.com/aws-samples/iam-identity-center-team
      • https://aws-samples.github.io/iam-identity-center-team/

re:Inforce行ってみた！

ソニーミュージックエンターテイメントの堀じぇしーさん

• 参加方法
  • 7名のメンバーでre:Inforceに参加
  • 専用のスプレッドシートを用意して、各メンバーが参加するセッションを共有した
• 参加レポート
  • re:Inforceもいいけどアナハイムもよかった！
  • 残念ながら天気は良くなかった。。。
  • 料理はアメリカンサイズ
  • IHOPはコスパと腹持ちが神
  • ダウンタウンディズニーは一押し
    • レストランは予約ないと大行列
    • ルーフトップBarもおすすめ
• re:Inforce参加レポート
  • 擬似登壇体験をさせてもらった！
  • Amazon Style,Amazon Freshの体験も貴重だった
• なぜ7名で参加したのか
  • 長期的に見ると投資対効果があると考えている
  • Input活動には、AWSから提供してもらっているディスカウントによる余剰資金を活用している
  • NonTechの領域は各社で対策が異なる、自社で育てる必要がある
• 来年も参加するために
  • ビジネス・ピープル・ガバナンスはアウトソースできない
  • キーマンを連れて行こう！