内部統制推進室の小倉です。
6/10〜6/12(現地時間)にアメリカのフィラデルフィアで開催された AWS re:Inforce 2024 に参加してきました。
イベントが終了し、帰国してから少し時間が経っていますが、まだレポートできていなかったセッションや EXPO について紹介していこうと思います。

まずは、参加したセッションについて一部を簡単にレポートします。
 

セッション

セッションタイトル: Streamlining security auditing with generative AI
スピーカー: Jigna Gandhi

⚫︎生成AI によるセキュリティ監査とインシデント対応の効率化

  • 生成AI は、大量のデータを分析し、脅威を自動で検出することが可能
  • セキュリティチームは 生成AI を使用してレポート作成、パターンの認識、セキュリティ専門家への指示などの自動化が可能
  • AWS Security Hub などのツールは、生成AI と統合して、セキュリティ監査を自動化できる
  • 生成AI を活用することで、組織はセキュリティ体制を強化し、監査とインシデント対応にかかるコストを削減

 

セッションタイトル: Accelerating auditing and compliance for generative AI on AWS
スピーカー: Kajal Deepak, John Fischer, Andres Silva

⚫︎生成AI における監査とコンプライアンスの課題と、AWS サービスを利用してコンプライアンスとガバナンスを確保する方法

  • 生成AI の出力は多様で、文脈によって変化しやすいため、監査やコンプライアンスの証拠収集が困難
  • AWS Audit Manager は AWS サービス全体で関連するデータを収集し、コンプライアンス報告と監視を容易にするサービス
  • AWS は、生成AI の構築サービスにおける責任ある AI 使用のためのフレームワークを立ち上げ、8つの領域にわたって110のコントロールを提供、コンプライアンスのための明確な指針を提供
  • 生成AI アプリケーションにおける正確性の重要性について、正確で信頼性のある運用のためのプロセスとコントロールが必要
  • AWS CloudTrail データイベントの利用でコンプライアンスとセキュリティに関する監視と、AWS Config の活用による一貫したパフォーマンスの確保と予期せぬ変更への適応が可能
  • Amazon Bedrock のガードレール設定による安全性とコンプライアンスを維持した運用の確保

 

セッションに参加してみての反省

参加するセッションの予定を立てる際には、セッション内容に関連する AWS サービスや機能について事前に調べて理解を深めておくことをお勧めします。
(英語で調べておくのが◎、英語の情報に目を通しておくだけでも、当日のセッション中の理解はかなり進んだろうなと…)
普段 AWS サービスを使用していない非エンジニアからすると、セッション内容を理解するのに追いついていくのが厳しいときが何度もありました…
英語の文字起こしアプリ Otter でのスクリプションを見ながら必死についていく、もしくは後から内容を確認するなどでキャッチアップしましたが、もっと事前準備をしていたら、より良いインプットができたのではと反省しています…

AWS re:Inforce 2024での各セッションはすでにYoutubeに動画がアップされています。参加していないセッションの視聴や、参加したセッションの再度振り返りのためにチェックしようと思います。

 

EXPO

EXPO では、AWS パートナー企業のセキュリティに特化したサービスが展示されており、ブースを見て回ることができます。
イベントの2日目と3日目に、ジャパンツアーの参加特典として日本語の通訳付きで回れる EXPO ツアーに参加したので、こちらもいくつか簡単に紹介します。

 

Cloud Storage Security (CSS)
クラウドストレージ環境におけるデータのセキュリティとコンプライアンスの課題を解決するマルウェアスキャニングソフトを提供。
複数のスキャン方法でウイルスの撮り逃しを防止。暗号化、アクセス制御、脅威検出などのツール、テクノロジーとサービスを提供し、クラウドセキュリティ環境の保護をサポート。

 

CyberArk
2011年に設立された特権アイデンティティ管理(PAM)のソリューションを提供する企業。
エンドポイントからマルチクラウドまで、特権アクセスの管理、アクセス制御、監視、監査など、幅広い PAM 機能を備えている。

 

SurePath AI
生成AI の社内全体での安全な使用を可能にするソリューションを提供する企業。
誰が 生成AI を利用できるかのアクセス管理、生成されたデータの漏洩防止、機密情報の保護、使用目的のタスク管理の側面から 生成AI のワークフォース全体での使用におけるセキュリティとガバナンスのソリューションを提供。

 

 

Scribe Security
ソフトウェア開発のあらゆる工程を徹底的に守り、セキュリティリスクを排除するセキュアなプラットフォームを提供するサイバーセキュリティ企業。
コード署名、脆弱性管理、アプリケーションセキュリティ体制管理、コンプライアンス管理などの機能を提供し、ソフトウェア開発ライフサイクル全体(SDLC)にわたってソフトウェアサプライチェーンセキュリティ(SSCS)を確保。

 

アイレットと関わりのあるパートナー企業

Cyber Security Cloud(CSC)
アイレットではクラウド WAF の自動運用サービスであるWafCharmを提供。
ここでは AWS 環境のセキュリティ運用をフルマネージドで支援する「CloudFastener」のサービス紹介がありました。従来の AWS セキュリティ運用における人材不足や監視体制、サービス設定、運用コストなどの課題を解決。

 

Sysdig
クラウドネイティブな環境向けのセキュリティと監視のソリューションを提供する企業。
アイレットでは Sysdig の各種ライセンスに運⽤保守を付帯したSysdig 運用サービスを提供。

 

普段は他社のセキュリティサービスについて、知る機会がなかった(ただ自分がそういうことにアンテナを張っていなかった)ので、
私の知っているパートナー企業以外にも初めて知る企業もあり、多くのセキュリティサービスの情報収集ができました!
 

最後に

AWS のクラウドセキュリティに特化した学習イベントなので、非エンジニアの私にも監査対応に関わるセキュリティやコンプライアンスについて学べる、とても良い体験ができました。クラウドセキュリティに関わる方にはなおぴったりのイベントだと思います!
私が今回参加したセッションは、プレゼン形式のものがほとんどでしたが、実際に手を動かしたり、頭を使ったりするハンズオン形式のセッションもたくさんありました。このようなインプットしながらアウトプットもできるセッションにも参加すれば良かったと少し後悔…もしまた参加する機会があったらチャレンジしようと…!

また、日本から参加している他の企業の方々と接する機会もあり、普段あまりこのような機会のない私にとって、様々なコミュニティの皆さんと繋がりを築けたことはとても有り難く、充実した時間でした!

今回、AWS re:Inforce に初めて参加しましたが、セキュリティに対する考え方やその文化の浸透を会場で直接感じることができ、とても貴重な経験ができました。改めて参加できたことに感謝の気持ちで溢れております。
今回のイベントでの学びを、今後の内部統制での監査対応などのセキュリティ面で活かせるように、もっともっと AWS について勉強していこうと思います!!(もちろん英語も)