AWS Summit Japan 2024のセッションの内容を一部ご紹介します!
今回はセキュリティ調査において、生成AIをどう活用するかといったセッションです。
今回参加したセッション
AWS 環境におけるセキュリティ調査の高度化と生成 AI 活用
アマゾン ウェブ サービス ジャパン合同会社様
概要
- セキュリティに問題に準備不足で立ち向かう状況はよくある
- AWSのプロダクトがログの取得・分析・対策をサポートできる
- プロダクトは日進月歩で拡張されている
- 高度な分析に対してもAWSのプロダクトがサポート
- データと人の間を、生成AIが結ぶ
- AWSの特性が脅威検知とセキュリティ分析を支えていく
詳細
それではセッションの内容を画像を交えながら紹介していきます!
アジェンダ
現在の課題→分析には何が大事か→どうアプローチするべきか→AI活用 の順で進んでいきます
インシデントは準備不足なケースが多い
- ユーザーから連絡で気づくのではなく、自分たちで気づき、ビジネス影響を最小限に抑えたいが、
↓
- 実際には準備不足のまま対応するケースが多い
原因:
ログデータの収集の負荷
分析のナレッジ不足
など
時間をかけたいと思っているが、そもそも取得していると思っていたログがなかったり
対策
- 平時のうちに有事の対策をすることが大変大事
※本日の議題は特に”検知・分析”
分析において大事なこと
- ログの分析とモニタリングが大事であり、AWSには双方を支えるプロダクトがあります。
- ログの取得・保存・分析には下記のプロダクト
- 中でも特に重要なプロダクトがGuardDuty
GuardDutyは他プロダクトと連携しながら、自動で情報を取集し、脅威を検出、対応に繋げていく
Amazon GuardDuty(マネージド型脅威検出サービス)| AWS
- 検出結果は3段階で表示される
脅威検出のための拡張機能
こちらで注目すべきは、
①Runtime Monitoring
②Malware Protection for S3
①Runtime Monitoring
以前は、EC2の外部の振る舞いからしか脅威を判別できなかったのですが、拡張機能を入れることで、内部の振る舞いも監視することができます!
②Malware Protection for S3
こちらはなんと、先週発表されたもの
S3のオブジェクトに対して検出できる拡張機能です
日進月歩でセキュリティ対策が進化していて感動しました!
ここからは実際のケースを見るパート
セキュリティインシデントは3つ分類される
特に意識すべきはアクセスキー(認証情報)
- 下記が漏洩の流れ
Webアプリサーバーに脆弱性があったとして、それぞれ検知できるタイミングがあることを下記に示しています。
大事なポイント
- それぞれの検出結果を元に、影響・範囲・原因を明らかにすること
明らかにしたら、対策にもっていくことが大事
- 原因究明の際には、ログの分析も行う
ログの分析の際に活躍するのが生成AI
- 従来は、あらゆるセキュリティの知見を持ったセキュリティエンジニアしか分析ができなかったが、生成AIを活用することで、調査するクエリを自動生成し、セキュリティ分析のハードルを大きく下げてくれます!
リソースの負荷も下げることが出来ます!
特に高度な分析に役立つプロダクトがAmazon Detective
セキュリティ調査の可視化 – Amazon Detective – AWS
高度な分析をサポートするプロダクト
※話を聞いていて、アイコンの通り、まさに探偵だなと思いました
- 分析をするには情報を一元管理するのが大事
Detectiveでは情報を一か所にまとめ、インタラクティブに調査をしてくれます
これがビヘイビアグラフ
図にまとまっていて大変わかりやすい
生成AIが要約・原因分析もサポート
- グラフは直感的に触れて、シームレスに情報を把握できる(使いやすそう)
- 右上には生成AIの分析結果が出る
Amazon Detectiveのまとめ
- 高度な分析をサポートするプロダクト
$## 人間では見切れない量のドキュメントや、個別の情報をAIが見て判断
チャット形式で対話が可能です
こちらもAIならではの価値提供だと感じました
ただちにセキュリティ専門家と置き換わるものではないが、活用することで優れた成果を得られる
まとめ
- 開発チームとしては、開発に関することは日々知見が溜まっていくのですが、セキュリティ関しては知識の集積が後回しにしがちな現状があります。
こうしてセキュリティに対して、高度な分析をサポートしてくれるAIがあるのは大変ありがたいです。
セキュリティ分析の未来の変化を予感させる、大変面白いセミナーでした!
簡単30秒