こんにちは、MSPセクションの村上です。

2025年6月25、26日に開催されたAWS Summit Japanの1日目に参加しました。
今回は「AWS Security Incident Response を活用したインシデント対応」というセッションに参加してきました。
re:Invent 2024にて発表されたAWS Security Incident Responseのサービスについて、
セキュリティインシデントの重要さとサービスの使い方を発表していました。

AWS Security Incident Response は、セキュリティインシデントへの迅速な対応と復旧を支援する新しいサービスです。このサービスを活用いただくことで Amazon GuardDuty やその他の検出サービスから検出された脅威を優先順位付けし、対応を調整および自動化することができます。複雑なインシデントに対しては、24 時間 365 日、いつでも AWS セキュリティ専門家に直接お問い合わせいただくことができます。本セッションではこのサービスを活用してインシデント対応を効率化する方法を解説します。

セキュリティインシデント対応における共通の課題

セッションではまず、多くの企業が直面しているセキュリティインシデント対応の課題について触れられました。

コミュニケーションの課題

インシデント発生時、「何をすべきか」は明確でも、「誰が承認すべきか」「誰に連絡すべきか」が不明確なために、対応が遅れるケースは少なくありません。責任範囲や承認フローが曖昧だと、初動の遅れが被害拡大に直結します。

アラートのトリアージ課題

ツールでアラートは検出できているものの、その後の「対応ができていない」という課題です。大量のアラートの中から本当に対応が必要なものを選別し、優先順位をつけて対処する仕組みが整っていないと、対応完了までの時間に大幅なロスが生じます。

ツールとメカニズムの課題

コードスキャンや、インシデントの根本原因を特定し、再発防止につなげるためのメカニズムが不足しているという課題です。インシデント発生時にだけ使うツールではなく、継続的な準備や監視、そして改善のための仕組みが求められます。
これらの課題を解決できるのが「AWS Security Incident Response」です。

AWS Security Incident Response サービスの特徴

セッションを聞いて個人的にここが魅力的だなと感じたところをまとめました。

特徴①:24時間365日の監視体制

このサービスを活用することで、文字通り24時間365日体制での監視が可能になります。セキュリティインシデントは高い技術力のあるメンバーが必要になり、どうしても属人化してしまいがちです。自動化された監視によって早期発見・早期対応が期待できます。

特徴②:対応メンバーのダッシュボード登録

インシデント対応を行うメンバーを事前にダッシュボードに登録できる機能があります。これにより、インシデント発生時に誰が対応するべきか一目瞭然になり、コミュニケーションの課題が軽減されます。

特徴③:サービスチームへの問い合わせ

必要に応じて、AWS Customer Incident Response Team (CIRT)に直接問い合わせができる機能も備わっています。

特徴④:AWS Organizationsとの連携

このサービスはAWS Organizationsを前提としています。複数のAWSアカウントを管理している企業にとっては、組織全体で一元的なセキュリティインシデント対応体制を構築できます。

特徴⑤:柔軟なサポート体制

インシデント対応の進め方については、AWSのサポートを受けてケースを対応するか、自社だけで対応するかを選ぶことができます。また、途中でAWSからのサポートを受けられるように変更することも可能です。

AWS Security Incident Response サービスの使い方

Step1:管理アカウントでAWS Security Incident Response サービスを有効化する

デモを見た限りでは有効化ボタンを押すだけで簡単に有効化できそうでした。

Step2:インシデントを報告するメンバーシップを登録する

メンバーシップを登録しておくことであらかじめ対応する人を決められるのでコミュニケーションの課題の解決につながります。

Step3:GuardDutyとSecurity Hubを有効化している場合は、モニタリングとトリアージを有効化することでプロアクティブな対応が可能になります。

基本的にはGuardDutyとSecurity Hubと連携して使用されることが想定されます。
そうすることによって、自動的にメンバーシップに登録した連絡先へ通知をしてくれます。

セキュリティインシデントを対応する大まかな流れ

Step1:インシデントをキャッチしたら、ダッシュボードに登録されたメンバーに通知がされ、ケースが発行されます。

Step2:AWS Security Incident Responseによって、インシデントがトリアージされ優先度がつけられます。

Step3:インシデントをAWSサポートチーム(CIRT)と協力しながら対応していきます。

Step4:対応後は分析、封じ込みまで実施

まとめ

今回のセッションを通じて、AWS Security Incident Responseはインシデント発生前の「準備」から発生後の「対応」、そして「改善」までを一貫してサポートする包括的なサービスであることがよく理解できました。
また、セキュリティインシデントに対する課題は深刻であることも理解できました。
こういったサービスを使うことで少しでも課題が解決できるのであれば積極的に導入していきたいですね。