[市場動向]
未使用のアクセス権限設定を検出/修正、S3のマルウェア検査─re:Inforce 2024で発表されたAWSのセキュリティ新機能
2024年7月9日(火)日川 佳三(IT Leaders編集部)
アマゾン ウェブ サービス ジャパン(AWSジャパン)は2024年7月9日、説明会を開き、米AWSが2024年6月に開催した年次セキュリティイベント「AWS re:Inforce 2024」で発表された新機能を紹介した。未使用のアクセス権限設定を検出し、ボタン1つで削除・修正するID管理の新機能や、Amazon S3上のオブジェクトからマルウェアを検出する機能などである。
AWSジャパンは、米Amazon Web Services(AWS)が2024年6月に開催したセキュリティ関連の年次イベント「AWS re:Inforce 2024」で発表した新機能を説明した。
IAM(ID管理)では、使っていないアクセス権限設定を検出する既存機能に加えて、修正案を提示する機能が加わった。未使用のロール、アクセスキー、パスワードを検出し、IAM Access Analyzerのコンソールに、これらを削除するためのクイックリンクを表示する(図1)。
図1:使っていないアクセス権限設定の修正を推奨する機能を追加した(出典:アマゾン ウェブ サービス ジャパン)拡大画像表示
IAMではまた、多要素認証における2番目の認証要素としてパスキーに対応した。従来は外付けのUSBドングルなどを使って多要素認証を実現していたが、パスキーに準拠した生体認証器(AppleのTouch IDやWindows Hello顔認識など)を使えるようになった(図2)。
パスキーは、非営利団体のFIDO(Fast IDentity Online)アライアンスが提唱する技術仕様「FIDO」に基づく認証方式。指紋や顔などの生体情報やPINなどを利用して本人を検証する。公開鍵暗号方式(PKI)を用いてチャレンジ&レスポンス型で認証する。
図2:多要素認証の要素としてパスキーを追加した(出典:アマゾン ウェブ サービス ジャパン)拡大画像表示
また、Amazon S3上のオブジェクトをスキャンしてマルウェアを検出する機能が加わった(図3)。
図3:Amazon S3上のオブジェクトをスキャンしてマルウェアを検出する機能を追加した(出典:アマゾン ウェブ サービス ジャパン)拡大画像表示
上記の機能はすでに一般提供されている。これらに加えて、プレビュー版として2つの新機能がアナウンスされている。
1つは、AWSのプライベートCA(認証局)機能に加わる、MDM(モバイルデバイス管理)ツールとの連携機能(コネクター)である。各種MDMツールからの証明書発行要求を証明書管理プロトコルのSCEP(Simple Certificate Enrollment Protocol)で受け、モバイルデバイス用のデジタル証明書を発行(署名)できるようにした(図4)。
図4:プライベートCAにMDMツールとの連携機能を追加し、デバイス証明書の発行を容易にした(出典:アマゾン ウェブ サービス ジャパン)拡大画像表示
もう1つは、ログ管理サービスの「AWS CloudTrail」において、蓄積したログに対し、SQLだけでなく自然言語で問い合わせできる機能である。SQLやCloudTrailの知識がないユーザーでも、自然言語ベースでログ調査が可能になる(図5)。
図5:ログ管理サービス「AWS CloudTrail」にSQLだけでなく自然言語で問い合わせられるようにした(出典:アマゾン ウェブ サービス ジャパン)拡大画像表示
