Amazon Web Services ブログ
Tag: Security Blog
ポスト量子暗号で将来の量子リスクからシークレットを守る
AWS Secrets Manager が ML-KEM を使用したハイブリッドポスト量子鍵交換をデフォルトで有効化しました。これにより harvest now, decrypt later (HNDL) 攻撃から将来の量子コンピュータの脅威に備えてシークレットを保護します。Secrets Manager Agent、Lambda 拡張機能、CSI Driver、各種 AWS SDK のアップグレード要件と、CloudTrail を使った接続検証手順を詳しく説明します。
AWS KMS と AWS Encryption SDK が対称暗号化の境界を克服する仕組み
大量のデータを暗号化する大規模アプリケーションでは、AES-GCM の暗号化限界の追跡や鍵のローテーションが課題になります。本記事では、AWS KMS と AWS Encryption SDK が派生鍵方式を用いて、暗号化のたびに一意の鍵を生成し、AES-GCM の呼び出し限界やデータ境界を自動的に処理する仕組みを解説します。鍵導出関数 (KDF) やノンスの活用により、手動管理を不要にする方法を詳しく説明します。
AI の脅威からオープンソースを守るため 1,250 万ドルを AWS など複数社が拠出
AWS、Anthropic、Google、Microsoft、OpenAI は Linux Foundation と共同で 1,250 万ドルを拠出し、AI による脆弱性レポートの急増からオープンソースエコシステムを守る取り組みを発表しました。基盤モデルが重大な脆弱性発見でセキュリティ研究者を上回り始めるなか、AWS は Alpha Omega を通じてメンテナーがバグを迅速に検証・修正できるツールと自動化を提供します。
エージェンティック AI でグローバル規模の脆弱性検出を加速
Amazon が開発した RuleForge は、エージェンティック AI を活用して脆弱性検出ルールを自動生成するシステムです。ルール生成エージェントとジャッジモデルを分離するアーキテクチャにより、誤検知を 67% 削減しつつ、従来の手動プロセスと比較して 336% 速くルールを生成・検証できるようになりました。CVE 開示から防御までのギャップを埋め、AWS のお客様のワークロード保護を強化する仕組みを解説します。
ランサムウェア対策ワークショップ開催報告 & Claude Mythos をテーマにしたワークショップ緊急開催のご案内
みなさん、こんにちは。ソリューションアーキテクトの田村です。 サイバー攻撃の脅威は質的に変化しています。AI […]
CIRT インサイト: AWS Organizations からの不正なアカウント離脱を防ぐには
AWS Customer Incident Response Team (CIRT) が観測している、攻撃者がお客様アカウントを侵害した後に AWS Organizations から離脱させ、SCP やガバナンス制御を回避する新しい手口について解説します。
具体的には、organizations:LeaveOrganization 権限を持つクレデンシャルが悪用されると、メンバーアカウントが Organization の保護下から外れ、CloudTrail の組織トレイル、GuardDuty の中央集約、SCP による制限、一括請求などの可視性と統制が失われます。
最も効果が大きく労力の少ない対策として、organizations:LeaveOrganization アクションを拒否する SCP (DenyLeaveOrganization) の実装を推奨します。あわせて、CloudTrail での AcceptHandshake / LeaveOrganization / InviteAccountToOrganization / RemoveAccountFromOrganization イベントの監視、IAM の最小権限原則の徹底、およびルートアクセスの一元管理についても解説しています。
自動推論で実現する Amazon のポスト量子暗号の検証と最適化
AWS は、Amazon Automated Reasoning Group、AWS Cryptography、オープンソースコミュニティと協力し、ポスト量子暗号 (PQC) ML-KEM の形式的に検証された最適化実装 mlkem-native を開発しました。本記事では、CBMC によるメモリ安全性・型安全性の検証、HOL Light と s2n-bignum によるアセンブリ実装の正当性証明、SLOTHY によるマイクロアーキテクチャ最適化を組み合わせ、セキュリティ・性能・保守性を同時に実現した取り組みをご紹介します。AWS-LC への統合により、c7i や c7g で約 2 倍の性能向上を達成しました。
形式的検証済み AES-XTS: s2n-bignum に加わった初の AES アルゴリズム
AWS は AES-XTS 復号の最適化された Arm64 アセンブリ実装の形式的検証に成功し、s2n-bignum ライブラリに初の AES アルゴリズムとして追加しました。本記事では、コア演算のアセンブリコードを単純化することで SLOTHY による自動最適化を可能にし、HOL Light 対話型定理証明器を用いて IEEE 1619 仕様への適合を数学的に証明したプロセスを紹介します。暗号文スティーリングや定数時間設計、メモリ安全性の検証についても解説します。
AWS Security Agent のフルリポジトリコードスキャン機能のプレビュー提供開始
AWS Security Agent の新機能であるフルリポジトリコードレビューのプレビューリリースを発表。コードベース全体に対してコンテキスト認識型のセキュリティ分析を実行し、人間のセキュリティ研究者のように信頼境界やデータフローを推論します。従来の SAST が見逃す不整合や設計レベルの脆弱性を、透明性のある証拠と具体的な修復方法とともに検出します。本記事では仕組みと開発ワークフローへの組み込み方を紹介します。
AI を活用した大規模なセキュリティ防御の構築 — 脅威が出現する前に
AWS が Anthropic と共同で取り組む Project Glasswing と Claude Mythos Preview の発表、自律型ペネトレーションテストを実現する AWS Security Agent の一般提供開始、Amazon Bedrock の自動推論によるハルシネーション防止など、AI を活用した大規模セキュリティ防御の最新の取り組みと、脅威が現実化する前に先手を打つ AWS のセキュリティ哲学を紹介します。