はじめに

こんにちは
CI事業部 セキュリティセクションの佐伯です。

AWS Summit Japan 2025 1日目のセッションの中から、「AWS Security Incident Response を活用したインシデント対応」のレポートをお届けします。

AWS Security Incident Response とは

2024 年 12 月に発表された比較的新しいセキュリティサービスで、お客様のセキュリティインシデントに対して、より早く効率的な準備、対応、復旧を支援するサービスです。

セキュリティの専門家である AWS Customer Incident Response Team (以下、CIRT) による 24時間 365日のサポートが得られ、継続的なインシデント対応体制の強化・改善がはかれます。

Incident Response という名称ですが、インシデント発生時のみに利用するものではなく、平時からの準備を含むサービスです。

インシデント対応の課題

セキュリティインシデント対応における課題

コミュニケーション

インシデント発生という高いストレスに置かれる状態で日頃接点がない人とコミュニケーションは特に難しい。インシデント対応のために誰にどう連絡すればいいかわからないこともあるとのことです。
インシデント発生時、実施すべき作業は決まったのに誰が承認できるかわからないようなケースがあったとのことです。

アラートのトリアージ

あるインシデントでは、アラートの件数が多すぎる、対応できる人がいないなどの理由からアラートを日頃から見ていない状態であり、インシデントに気づけなかったとのことでした。
アラートの監視から数多くのアラートから対応が必要なものを見極めるのに課題があるとのことです。

ツールとメカニズム

インシデント対応はお客様のツールやメカニズムに依存するとのことです。
セキュリティをチェックする仕組みがなく、原因がわからなかったり、過去のインシデントを分析して学ぶというメカニズムがなく、同じインシデントを複数回発生させてしまうことも珍しくないとのことです。

インシデントレスポンスの課題のもたらす影響

  • 50%
    • SOC チームが見れていないアラートの割合
  • 277日
    • セキュリティインシデントが発生してから復旧に要する日数
  • 84%
    • ストレス、疲労を訴えているセキュリティ専門家の割合

対応しきれていないアラートやインシデントが多く存在することは想像できますが、思っていたより大きい数字でした。

新しい人はなかなか採用できず、今いる人が疲弊していく。
限られたリソースでどうやってセキュリティ運用していくのかが課題とのことです。

AWS Security Incident Response でできること

GuardDuty 検出結果や、Security Hub に集約されたサードパーティ製品のアラートを AWS Security Incident Response に連携します。
これにより、AWS Security Incident Response により自動化された監視と調査が行われ、確認が必要な場合のみ通知します。
24時間 365日でログを監視できる体制を構築し、必要に応じてログを確認、緊急対応を実施する必要があるか判断するのは困難ですが、それを任せることができます。

インシデント対応のメンバーを登録して管理することで、インシデント発生時に誰に連絡すればいいのかわからないという状態になることを防げます。
また、ダッシュボードにより、インシデントが今どういう状態にあるか確認ができ、過去のインシデントも含めて一元管理することができます。

インシデント発生時に、CIRT チームから24時間 365日の支援も得られます。

トリアージからインシデント対応の支援まで、なかなか手厚いサポートですね。

GuardDuty 検出結果に対する対応を例にしたアーキテクチャです。

このケースにおいては、お客様に確認した結果、該当のバケットでは定期的に大量のオブジェクト削除が発生するなど、問題ない処理と確認できた場合は、抑制ルールが追加され、今後のアラートが抑制されます。

AWS Customer Incident Response Team (CIRT) について

グローバルで 24時間 365日 英語でのサポート体制で、日本語での支援は平日日中時間帯のベストエフォートとのことです。

インシデント対応スキル、AWSスキルを持ち、様々なインシデントに対応できるメンバーによって構成されているとのことです。

今後の日本語サポートの拡大に期待ですね。

まとめ

昨今、セキュリティ人材は不足していると言われています。
また、日本の企業において、セキュリティ運用の担当者は専任ではなく、他の業務と兼務していることが多いです。

AWS Security Incident Response を利用することで、CIRT のサポートを得ながら、インシデント対応を効率化することができます。
非効率的なところや手のかかるところを改善し、より本業に注力する。
基調講演でも語られた、「ビルダーによる新たな価値創造」にも繋がるようなサービスだと感じました。

今後もセキュリティ運用の需要は高まっていくと考えられます。
私たち自身もよりお客様の価値創造に寄与できるような、セキュリティ運用を提供できるように努めていきたいと思います。