AWS Top Engineer (Security)が語るAWSのセキュリティ動向2023 ～セキュリティの民主化と生成AI活用の未来～

大島悠司 - 2023 Japan AWS Top Engineers

はじめに

こんにちは、NRIの大島です。
2023年も多くのAWS（Amazon Web Services）サービスアップデートがありました。特に、生成AIに関するサービスアップデートが活発だったのは記憶に新しいです。
そこで、「AWS re:Inforce 2023」や「AWS re:Invent 2023」をはじめとするカンファレンスで、セキュリティサービスを中心に見てきた私の視点から、セキュリティや生成AIの将来性について、2023年の動向を振り返りながらご紹介したいと思います。

CJ Mosesによる2023年以降のセキュリティに関する予測

AWSの前CISOであるCJ Moses氏が2022年末に、「CJ Moses による2023 年以降のセキュリティに関する予測」というe-bookを公開しています。このe-bookでは、セキュリティ業界で今後何が起こるか、一歩先を行くための重要なヒントを紹介しています。

はじめに、「セキュリティは組織のあらゆる活動に不可欠になる」と予測しています。ここでは、増え続ける脅威とリスクに対応するために、クラウド移行が引き続き推進され、組織の活動にセキュリティが当たり前のように組み込まれていくことが説明されています。組織の活動にセキュリティを組み込むためには、自動化されたセキュリティサービスやツールの普及が欠かせません。そこで、クラウドを使うことで、ログ記録、モニタリング、監査、パッチ適用といった、あらゆるタスクの簡易化や自動化を実現できます。

また、「AI/機械学習で促進されたオートメーションがセキュリティを強化する」とも予測しています。現在でこそ、既存の脅威に対する防御や自動修正を行えるようになっていますが、クラウドセキュリティ改革の次の段階として、AI/機械学習が未知の脅威に対するプロアクティブな防御や運用者の定型業務を削減するために大きな役割を果たすとしています。

運用者にとって使いやすいセキュリティサービスとは

AWS環境では以下をはじめとする継続的なセキュリティ対策が大事です。

・アイデンティティと許可の管理

・ネットワークとインフラストラクチャの保護

・脅威の特定と対処

・データ保護

・コンプライアンスの提示

AWSにはこれらを実現できる多くのサービスがありますが、運用者としてはできる限り見るダッシュボードを減らしたいものです。

そこで、AWS Security Hubに各セキュリティサービスを統合することで、AWS環境のセキュリティとコンプライアンスを包括的に把握できます。

このように非常に便利なSecurity Hubですが、痒いところには手が届かず多くの要望が出ていました。例えば、特定のアカウントやリソースごとに重要度を変更したい、コントロールの閾値を変更したい、ダッシュボードをカスタマイズしたい、といった要望です。
AWSはこれらの要望を汲み取り、2023年中に運用者にとって嬉しいアップデートをたくさんリリースしてきました。自動化ルールによる重要度変更、コントロールの閾値変更、ダッシュボード機能強化といったものです。

あらゆるセキュリティサービスが統合され、カスタマイズ性が向上することは運用者にとって使いやすいサービスになりますので、今後もサービス間の統合やカスタマイズ性の向上は継続的に行われると思います。

セキュリティへの生成AIの活用

2023年6月に開催されたAWS re:Inforce 2023のキーノートで、生成AIによるセキュリティサービスの拡張が示唆されていました。AWSではAPIやアクセスログといった大量のデータを常に分析しており、セキュリティサービスに活用していると説明しています。また、生成AIについては以前から力を入れており、大規模言語モデルで脅威の予防、検知、対応のサイクル全体でセキュリティ向上を目指すことを検討しているとしていました。そして、AWS re:InforceではAIを用いたサービスとして、Amazon CodeWhispererのコード提案機能や、Amazon CodeGuru SecurityのCI/CDパイプライン中でのコード診断機能などが発表されました。

セキュリティの民主化とは

2023年10月に開催されたAWS Security Forum Japan 2023では、「セキュリティの民主化」がテーマになっていました。
セキュリティの民主化とは以下を表しています。

・技術へのアクセスが一般化されている

・知識の共有がされている

・組織全体の意識

つまりセキュリティ担当だけではなく、企業全体がセキュリティを「ジブンゴト」として考えていくことが「セキュリティの民主化」を実現するために必要なことです。
手軽にセキュリティサービスに取り組んでもらうためには、自動化や既存サービスへの組み込みが必須です。そこで、2023年11月に開催されたAWS re:Invent 2023では、既存のセキュリティ機能に生成AIが組み込まれて、機能強化に加えて手軽で使いやすいアップデートが多く発表されました。
AWSは2023年を通して、生成AIのセキュリティ活用やセキュリティの民主化を啓蒙し、それらを実現するサービスや機能をAWS re:Invent 2023で大々的に発表した流れになります。

AWS re:Invent 2023で発表された生成AIを活用したセキュリティサービス

それでは、AWS re:Invent 2023ではどのような生成AI×セキュリティサービスが発表されたのかをいくつか紹介します。

生成AIを利用したLambdaコードスキャンに対応

Amazon Inspectorのコードスキャンの結果に、生成AIによるコード修正案を提示する機能です。従来のコードスキャンは、文章による抽象的な修正案しか提示されませんでしたが、具体的なコード修正案とパッチファイルを提供するようになりました。

Amazon CodeWhispererのアップデート

Amazon CodeWhispererにおいて、生成AIを使った脆弱性の修正コード案を提示するようになりました。従来から脆弱性を特定する機能はありましたが、具体的なコード案が提供され、より開発に集中できるようになります。

AWS Configで自然言語によるクエリ生成

生成AIにより、自然言語でSQLクエリの作成ができるようになりました。SQLの経験が無くてもクエリを作成できるので、より多くの人がインシデント調査や非準拠リソースの修正を担当することが期待できます。

Amazon CloudWatchで自然言語によるクエリ生成

生成AIにより、自然言語でクエリの作成ができるようになりました。自動生成したクエリについて解説が付与されるので、クエリ構文を書くための学習支援にもなります。

今後の動向を考察

開発者や運用者が気軽にセキュリティサービスを使うことができ、サービス間の統合およびカスタマイズ性の高い、よりユーザ志向の強いサービスになっていくと思われます。今後も、誰もがセキュリティを「ジブンゴト」ととらえられるように、「セキュリティの民主化」を加速するセキュリティサービスが増えていくことでしょう。また、既存のサービスにどんどん生成AIが組み込まれ、自動生成や運用の自動化が当たり前になり、ユーザ体験が大きく変化していくものだと思われます。

さいごに

2023年のAWSセキュリティ動向を振り返りながら、「生成AI」や「セキュリティの民主化」をキーワードに触れつつ、いくつかアップデート情報も交えて、ご紹介させていただきました。
2023年は特に、運用者に嬉しい痒い所に手が届くアップデートや、生成AIを活用したアップデートが多く、2024年以降もこの傾向は続くと思われます。生成AIはまだまだ登場して間もないサービスですが、確実にユーザ体験を変化させるものです。今のうちにキャッチアップしておくと、今後の展望もつかみやすくなるでしょう。

本記事により、多くの方がクラウドセキュリティや生成AIの動向に興味を持っていただければ幸いです。