AWS re:Invent 2025 でインシデント対応のワークショップを受けてきたので紹介します。
「Web インフラのセキュリティの穴への対処」「即応性」「チームでのIncident Response」を体験しながら学ぶ内容でした。
1. 元ネタ
The AWS Security Incident Response Challenge: Defend the Cake! (SEC320)
セッション説明 (原文)
Our precious Magic Unicorn Cake recipe is under threat from the notorious Grumpy Cats, and you're the AWS Security Engineer who must stop them. This high-stakes workshop mirrors the real security incidents you face daily—unauthorized access attempts, suspicious API activity, and data exfiltration threats—wrapped in a fun, immersive scenario. As you defend our digital delicacies from crafty cyber-cats, you'll implement the security controls that matter most: real-time threat detection, defensive configurations, comprehensive monitoring, and incident response procedures. Every technique you practice translates directly to real-world scenarios observed by the AWS Customer Incident Response Team. Join us to master rapid security response while saving our recipes from those crafty cats. This is hands-on and technical, so bring your laptop and prepare to defend against the Grumpy Cat invasion.
セッション説明 (日本語訳)
私たちの貴重なマジックユニコーンケーキのレシピが、悪名高いグランピーキャッツの脅威にさらされています。あなたはその脅威を阻止しなければならないAWSセキュリティエンジニアです。このハイステークスなワークショップは、日常的に直面する実際のセキュリティインシデント——不正アクセス試行、不審なAPI活動、データ流出の脅威——を、楽しく没入感のあるシナリオに包み込んで再現します。狡猾なサイバー猫たちからデジタルな珍味を守るため、最も重要なセキュリティ対策を実施します:リアルタイム脅威検知、防御的設定、包括的モニタリング、インシデント対応手順。実践する技術はすべて、AWSカスタマーインシデント対応チームが実際に観察した実世界シナリオに直結します。巧妙な猫たちからレシピを守りつつ、迅速なセキュリティ対応を習得しましょう。実践的で技術的な内容ですので、ノートパソコンをご持参の上、不機嫌な猫たちの侵略から守る準備を整えてご参加ください。
設定
可愛いユニコーンのケーキを作る Unicorn Cake Company に、不機嫌な猫たちがケーキのレシピを奪おうと攻撃を仕掛けてきます。
セキュリティエンジニアとして、インフラやアプリを修正して猫たちの攻撃を阻止します。
ワークショップ形式のセッションは個人で進めることが多いのですが、このワークショップはチーム戦でした。
Security Incident Response はチームで取り組むもの、という意図なのでしょう。
インフラ
EC2 でホストした会社サイトと、Lambda でホストしたケーキ大会の特設サイトがあります。
Web サイト
ケーキ大会の特設サイトはこんな感じです。
入力フォームから自分のケーキをアップロードするようなサイトです。
2. トラブル
ここで上司の置き手紙を発見します。
正直、修正したいところだらけだけどよろしく!という内容です。
今回実際に対処した内容をいくつか抜粋します。
情報の少ない粒度の粗い依頼に対応しなければならないケースは現実にもよくある話でしょう。
IAM
全てのユーザーに MFA を強制する方法がある。
上手くいくかやってみて。
IAM ユーザーまたはグループに MFA を強制する IAM ポリシーをアタッチします。
S3
どうやってらレシピが改ざんされていないかを確認できるようになる?
不機嫌な猫たちがケーキのレシピにハーブを加えようとしていると聞いた。
S3 バケットでバージョニングを有効化します。
権限があればレシピの全てのバージョンを消すことができてしまう。
指定の期間消せないようにできない?
S3 のオブジェクトロックを設定します。
猫たちにクレデンシャル情報を盗まれても大丈夫なように、我々の AWS アカウント内でのアクセスだけを許可するように設定できない?
S3 バケットポリシーで EC2 インスタンスロールからのアクセスのみに絞ります。
検知とアラート
猫たちが悪さをした時に気付けるように、常に脅威を検知できるようにしたい。
GuardDuty を有効化します。
レシピにアクセスされたらすぐに通知するようにしてほしい。
S3 のログを CloudTrail に出力する設定にはなっているのだが。
GetObject を EventBridge で検知し SNS に通知します。
EC2
会社サイトがダメージを受けても簡単に修復できるようにしたい。
AMI を取得します。
3. 良い Security Incident Response とは
これらひとつひとつは調べたら何とか答えに辿り着けそうではありますが、制限時間内にいかに処理するかという点は、実運用で大きなチャレンジになりそうです。
ワークショップ後の解説では、チームで取り組むからにはチームワークが大事で、情報共有やタスク分担など上手くできるチームが上位に来る、とコメントがありました。
セキュリティの話ではなく、チームプレイの話が強調されたのは少し意外でしたが、Incident Response チームでは実際に重要な課題なのでしょう。
また生成 AI の併用についても解説がありました。
今回はクレデンシャル情報があり、Kiro を繋げる環境だったため、脆弱性のチェックや修正案の検討など生成 AI の力を使ってどんどん効率化すべしとのことでした。
ただし何でも生成 AI に頼れば良いということではなく、コンソールやコマンド、コードを見ながら進めて欲しいと話されていました。
あくまで見当をつけるのに役立てるツールで、最終判断するのは人間ということですね。
まとめ
思いがけずチームで行うワークショップでしたが、あたふたしながらも学ぶことがたくさんありました。
違う国、違う言語の方々とコミュニケーションが生まれるのも re:Invent の楽しいところなのかもしれません。
今日も小さな学びを。