こんにちはアイレットの後藤です。去る2023年6月13日〜14日にアメリカはロサンゼルスのアナハイムで開催されたイベント AWS re:Inforce 2023 に参加してきたのでその概要について記録の意味も込めてまとめます。
ちなみに個別のセッションはすでに YouTube で見れるようになってます。また他のメンバーも参加しており別途セッション参加レポートを出しているので、ここではセッション以外でイベント全体像が伝わるよう写真多めでまとめます。
AWS re:Inforce とは
AWS re:Inforce についてですが、ツアーサイトでは以下のように説明されてます。
AWS 主催のセキュリティとコンプライアンスのグローバルカンファレンス
AWS re:Inforceは、AWS セキュリティとコンプライアンスのグローバルカンファレンスです。AWS の主催するラーニングカンファレンスとして、クラウドセキュリティとコンプライアンスの最新情報の共有や学びの場を提供します。お客様は、re:Inforce に参加することでAWS のサービスとソリューションを使用したクラウドセキュリティを改善する方法を、より深く、より包括的に理解することができます。また、AWS のセキュリティリーダーや参加者のアイデアから、より安全なシステム構築の方法を学ぶことを可能にします。
一方 ChatGPT(GPT-4 + Web Browsing Plugin)にまとめてもらうと…
AWS re:Inforce 2023は、AWSのセキュリティに特化した学習型のカンファレンスで、2023年6月13日から14日までカリフォルニア州アナハイムで開催されます。フルカンファレンスパスの価格は1,099ドルです。
このカンファレンスでは、AWSの専門家と業界をリードするお客様が参加し、CrowdStrike、Datadog、Palo Alto Networks、Snyk、WizなどのAWSセキュリティコンピテンシーパートナーから学ぶ機会があります。
参加者が得ることは以下のとおりです:
- 発表者との対話を通じて、新たなセキュリティリスクへの対応、セキュリティ文化の構築、AI/MLを用いたセキュリティプロセスの効率的なスケーリングなど、自分が気になるトピックについて深く学ぶことができます。
- AWSのCISO(最高情報セキュリティ責任者)であるCJ Moses氏がキーノートスピーカーとして登壇し、業界をリードするゲストスピーカーと共に、重要なイノベーションやセキュリティ実践の加速についてのアドバイスを提供します。
- リーダーシップセッションでは、AWSのセキュリティリーダーが注目している最新のトピック、たとえばオープンソースソフトウェア(OSS)のセキュリティ、ゼロトラスト、プロアクティブなセキュリティなどについて最新情報を得ることができます。
さらに、以下のような機会が提供されます:
- re:Inforceの活動の中心であるエキスポでは、AWSの専門家から学んだり、最新の技術をデモンストレーションしたり、セキュリティコミュニティとつながったりすることができます。
- ブレイクアウトコンテンツでは、選んだコンテンツトラックやレベルに関わらず、必要な学習を提供する深く焦点を絞ったセッションが用意されています。
- AWS Builder Labsでは、共同スキルビルディングを通じてビジネスやキャリアを次のレベルに引き上げるためのライブサンドボックス環境を提供しています。
これら全てを通じて、参加者は現在必要としているセキュリティの専門知識を即時に得ることができ、最新のセキュリティトピックやインダストリートレンドについて深く理解する機会を得られます。
ちなみに re:Invent に参加したことがある方にとっては、セキュリティにフォーカスした少し小さめの re:Invent とお伝えるするのが一番伝わるかなと。セッション、ハンズオン、チョークトーク、EXPO会場のパートナーブースなどの体験ができます。
数字的な面では、初日参加者は4500名以上、日本からも50名以上が参加(APACでは最大人数とか)。セッション数は350を超え、スポンサー企業も80社を超えているそうです。
今年は AWS Japan と近畿日本ツーリストが企画しているツアーがあり、今回そのツアーを通じて参加しています。
ところで開催場所のアナハイムですが、一番初めのディズニーランドがある場所で、イベント開催地のコンベンションセンター、そして宿泊した Hilton Anaheim の隣にディズニーランドがあり、少し歩けば雰囲気を感じることができます。(逆に舞浜の雰囲気を感じるという…)
The Westin Anaheim Resort からの眺め
キーノートでの新発表
さて、まず本イベント最初の基調講演ですが、AWS の CISO である CJ Moses さんが登壇されました。AWS のセキュリティに対する取り組み、これまでの歩み、顧客事例の紹介、新サービス紹介などが語られました。
入場時の会場の様子
入場する参加者
CJ Moses 氏登場
AWS がセキュリティ観点で実装しているソフトウェア・ハードウェアなど(Nitro、Firecracker など)の紹介、また現在の AWS としての実績などが紹介されていました。
その後 Nitro の詳しい話にいくのですが(ここ好きな人いっぱいいそう)、CJ 氏の前半の話でとても印象に残ったのは Good enough is never good enough for us or our customers という言葉。雑に訳すとこんな感じ。
「毎年数千のリリースを行いかつ非常にハイレベルなセキュリティ標準を満たすため厳密なテストを重ねて来ている。なぜなら我々や我々の顧客にとって(セキュリティは)これで十分ということは決してないからです。」
当たり前だけどセキュリティ含む改善には終わりはなく、日々努力・改善を続けている必要があるということですね。
新発表
スピーカーがシニアプリンシパルエンジニアの Becky Weiss さんに変わりサービス紹介に移ります。その後 CJ 氏からも含め説明がありましたが、新サービスに絞ってその機能が概要を紹介します。
Amazon Verified Permissions
- カスタムアプリケーション向けのスケーラブルできめ細やかな認証およびアクセスコントロールを実現する新サービス
- アクセス制御はオープンソースとして公開しているポリシー言語の Cedar で定義
- アプリケーションロジックからアクセス制御を分離し、コードを変更する必要なく、パーミッションルールの変更と更新を一元管理し、運用を簡素化。アプリケーションリソースにパーミッションを実装する工数を大幅に削減
Amazon EC2 Instance Connect Endpoint
- パブリック IP アドレスを使用せずに EC2 インスタンスに SSH および RDP 接続が可能
- インターネットゲートウェイとグローバル IP アドレスが不要となり、 リモート接続のための要塞ホストの導入や維持のコストを削減可能
- IAM ベースのアクセス制御とセキュリティグループのネットワーク制御を組み合わせた制御をして、CloudTrail で接続の監査も可能
- 全リージョンで利用可能
Amazon Inspector Code Scans for Lambda
- Lambda 関数内の独自アプリケーションのコードをスキャンして、インジェクション、 データ漏洩、暗号化の欠如などのコードセキュリティの脆弱性を検出
- 検出した脆弱性は、脆弱性の名前、影響を受けるコードスニペット、 脆弱性の修正提案など、いくつかの詳細を提供する実用的なセキュリティ検出結果を生成
- 東京を含む 10 リージョンで利用可能
Amazon Inspector SBOM Export
- Amazon Inspector で監視しているすべてのリソースを統合ソフトウェア部品表 (SBOM) として、S3 バケットに業界標準形式でエクスポートできる機能が追加
- エクスポートされたデータには、リソースと関連する脆弱性情報を含んでいるので、Amazon Athena または Amazon QuickSight を使用して、簡単にソフトウェア サプライチェーンの傾向を分析できる
- 全リージョンで無料で利用可能
AWS Built-In Partner Solutions
- Security Lake等のAWSの基盤サービスとパー トナーソリューションの統合に対する要望
- AWSの基盤サービスと自動的に統合される新しい Infrastructure as Code(IaC) を含む、AWS 組み込みの AWS パートナーソフトウェアソリューション
Amazon CodeGuru Security
- 機械学習を使用してコードの脆弱性を特定し、修正方法のガイダンスを提供する静的アプリケーションセキュリティテスト(SAST)ツール
- アプリケーションコードに対して、 詳細なセマンティック分析を実行することにより、低い誤検知率で脆弱性を検出
- さらに特定の脆弱性にはパッチコードが生成されるので、脆弱性を修正するために必要な労力を軽減
- 東京を含む10のリージョンのプレビューの利用可能
Findings Groups for Amazon Detective
- ネットワーク到達可能性と、Amazon Inspector の脆弱性の検出結果を含めるように GuardDuty 検出結果グループを拡張
- EC2 インスタンスで検出された脅威の原因が脆弱性かどうかといった調査が迅速にできるようになる
- Detective を利用可能なすべてのリージョンで Findings Group を利用可能
EXPO会場の様子
EXPO 会場は re:Invent の EXPO と同様な雰囲気ですが、イベント全体同様、セキュリティに特化しているため規模は小さめ。1時間もあれば全体を回れます。いくつか気になったところをツアー形式で回ったので簡単に紹介します。
Trellix
2022年に設立されたプライベートのサイバーセキュリティ企業で(FireEyeとMcAfee Enterpriseが事業統合した会社)、大規模なサイバーセキュリティ攻撃の検出と防止のソリューションを提供。ハードウェア、ソフトウェア、サービスを提供し、サイバーセキュリティ攻撃の調査、悪意のあるソフトウェアに対する保護、ITセキュリティリスクの分析が可能。
ブースでは XDR(Extended Detection and Response)製品の紹介がメインでした。
Uptycs
統合クラウドとエンドポイントのセキュリティソリューションを提供する企業。クラウドセキュリティポスチャ管理(CSPM)、拡張検出と対応(XDR)、監査、コンプライアンスソリューションを提供。
写真にあるとおり、攻撃・リスクの可視化が秀逸でした。また PCI や SOC など各種監査やコンプライアンスへの対応状況評価機能も提供されているようです。
Axiom
IAM(Identity Access Management: IDおよびアクセス管理)管理をルール設定・自動化するソリューションを提供。最低限の権限に対して、必要に応じてルールベースで権限付与、適切なレベルの権限コントールを実現し、リスクを最小化させることが可能。
Trend Micro
東京とテキサスに本社を置く日本の多国籍企業で、サーバー、コンテナ、クラウドコンピューティング環境、ネットワーク、エンドポイント向けの企業セキュリティソフトウェアを開発している。というか、日本でもクラウド向け製品をクラウド市場黎明期から提供している、アイレットにとっても古くからお付き合いのあるパートナー。
ブースでは AWS built-in partner solutions 対応のソリューションについて解説してました。ワンクリックでエンドユーザー環境へセキュリティを導入可能。
ちなみに AWS Built-In はエキスパートによって設計済みでマルチアカウントに対応したデプロイを安全に行えるパッケージだそうです。事前に検証済みで、エンドユーザーが導入する際の期間・労力を最小化できるとのこと(AWS Built-In ページより引用・抄訳)
Normalyze
データファーストなクラウドセキュリティ企業で、すべてのクラウドにおけるデータストア、アプリケーション、アイデンティティ、インフラとそれらがどのように接続するかを可視化機能を提供。
ちなみに DSPM(Data Security Posture Management)とはサービス利用状態を監視・検証し、事前にセキュリティ事象を未然に防ぐための仕組みです。
Forcepoint
ユーザーとデータのセキュリティに特化したサイバーセキュリティ企業で、デジタル変革と成長を推進しながら組織を保護することをミッションとして、データファーストなSASE(Secure Access Service Edge)を提供。
参考: ガートナー社によるSASEの定義
アイレットに関わりの深いパートナー
時間の関係でブース担当の方と話ができませんでしたが、以下のようにアイレットと関係の深いパートナーの方々も出展されてました。
パロアルトネットワークス
アプリケーションをコードからクラウドまで一貫して保護する Prisma Cloud を提供しているパロアルトネットワークス。アイレットではマーケットプレイスにて Prisma Cloud を提供中です。
アイレット、パロアルトネットワークス「Prisma Cloud」を AWS Marketplace にて提供開始
Datadog
クラウド環境向けの監視・分析サービスを提供する Datadog。アイレットでは Datadogダッシュボード サービスを提供中。
Sysdig
クラウドとコンテナ向けのモニタリングとセキュリティのプラットフォームを提供している Sysdig。
AWS re:Inforce 直後6月15日に開催された iret クラウド セキュリティサミット でご登壇頂きました。
感想
以上、イベントの全体感をまとめましたが、冒頭書いた通り、セキュリティ特化した教育イベントという建て付けなので、当然セキュリティに関わるあらゆる人にとって有益なイベントと言えます。一方的なプレゼンだけではなく、ワークショップ、ハンズオン、チョークトーク(インタラクティブなセッション)など、聞くだけではなく、頭を使い・手を動かし・体験できるセッションが多くありました。
数多くサービスを揃える AWS。なかなかすべてを触ってみることは難しいですが、こうしたフォーカスされたイベントでのインプット・体験は re:Invent 等に比べてもわかりやすく、規模も大きすぎないので全体感を理解しやすいため、このエリアに興味のあるエンジニアにとって素晴らしい機会となるでしょう。ぜひ次回はもっとエンジニアに参加してほしいなと思いました。
またパートナー企業のブースがある EXPO は、セキュリティに特化している分、自分が知らない企業も多くあり、良い情報収集の機会となりました。出展企業で印象に残ったソリューションカテゴリは、ゼロトラスト、そしてマルチクラウド対応および業務利用端末までも対応可能な統合セキュリティ監視プラットフォーム。割と新しいスタートアップ企業もいて、パートナーのエコシステムの動きを感じる会場でした。
今回はじめて AWS re:Inforce に参加しましたが、これまでと違うイベント体験、また良質なインプット・情報収集となり、新しいイベントへの参加という意味でも良い体験ができました。さらに AWS のセキュリティ担当の方とも有意義なディスカッションも実現、ビジネス的な面でも素晴らしい機会になりました。
最後に、イベントの趣旨とは関係なく、ちょっと驚いたものを紹介。
キーノートでデータセンター監査の話題の際、VR コンテンツを制作した話が出てきました。AWS では監査の際の物理的にデータセンターへの立ち入り検査に対して、時間的効率化そしてセキュリティ上のリスクを下げるため AWS Digital Audit Symposium というデータセンター内部を見て回れる VR ツアーを作成したそうです。EXPO 会場では実際に体験できたみたいですがタイミング的に見れず残念でした(内容的には問題ないと思うので、是非公開してほしいな)。