組織全体でセキュリティを重視する文化醸成が重要–「AWS re:Inforce 2024」

今回は「組織全体でセキュリティを重視する文化醸成が重要–「AWS re:Inforce 2024」」についてご紹介します。

関連ワード (クラウド等) についても参考にしながら、ぜひ本記事について議論していってくださいね。

本記事は、ZDNet Japan様で掲載されている内容を参考にしておりますので、より詳しく内容を知りたい方は、ページ下の元記事リンクより参照ください。

 アマゾン ウェブ サービス ジャパン(AWSジャパン)は7月9日、Amazon Web Services(AWS)が米国ペンシルバニア州で開催したセキュリティイベント「AWS re:Inforce 2024」に関する説明会を報道機関向けに開催した。同イベントは米国時間6月10~12日に開催され、AWSのセキュリティソリューションやクラウドセキュリティ、コンプライアンスなどにおいて250以上のセッションが行われた。

 説明会では、AWSジャパン 執行役員 パブリックセクター技術統括本部長の瀧澤与一氏が基調講演のサマリーとサービスアップデートについて説明した。

 基調講演では、AWS 最高情報セキュリティ責任者(CISO)のChris Betz(クリス・ベッツ)氏が、“Culture of security”(セキュリティのカルチャー)をテーマにセキュリティにおけるポイントを説明したという。

 Culture of securityは、企業/組織全体でセキュリティを重視するカルチャーを実現するという考え方。Betz氏は、システムの提供において、セキュリティの強固や脆弱(ぜいじゃく)性、さまざまな脅威に対応するために技術に着目しがちだが、セキュリティをより強固にするにはカルチャーが重要だと指摘している。

 AWSではセキュリティを最優先事項に据えており、最高経営責任者(CEO)を含むリーダーシップチームが毎週セキュリティの議論をしている。提供しているサービスを顧客が安全に活用できるように、サービスに影響を与える脅威や安全の確保に対して経営陣が責任を持って対応しているという。

 このセキュリティの確保に向け、「Security Guardian Program」を社内で適用しており、セキュリティの知見を持つボランティアメンバーが集まり、ミーティングでの情報共有や必要なエスカレーションを行っている。

 また、“セキュアバイデザイン”という考え方も重視しているという。AWSにおいては、データセンターやアーキテクチャーなど物理的なセキュリティを強固にする方法を実装している。例えば、同社独自のチップ「AWS Graviton4」は、セキュリティ要求に基づいてチップを設計している。メモリーに関する攻撃などを想定し、「Nitro System」を用いてチップレベルでファインチューニングしているという。

 セキュリティ戦略においては、セキュリティ不変条件を考慮し、コードにセキュリティ違反がないことを保証するメカニズムをAWS内部で構築している。内部でテストを頻繁に行い、脆弱性を予測しながら、自動化された推論手法で望ましくない振る舞いを特定して、検証など必要な対応を内部で行っているという。ここでの自動化された推論とは、セキュリティの仕組みを検証し、保証すること。ストレージサービス「Amazon S3」や脆弱性管理サービスの「Amazon Inspector」にも自動化された推論の機能が搭載され、活用されている。

 セキュリティの脅威が日々変化する中で、Betz氏は「継続的なイノベーション」が重要だと指摘する。ネットワークやストレージ、データベース、コンピュートなどさまざまな領域においてセキュリティ機能を実装し、高度なリスクに対応できる能力が必要になっている。AWSは顧客に代わり、継続的なイノベーションを行いながらセキュリティサービスを拡充している。

 生成AIにおけるセキュリティでは、3層から成る生成AIスタックのそれぞれの安全性を確保しているという。GPUなどを用いて基盤モデルを開発するレイヤーでは、膨大な学習データを処理する必要があるため、Nitro Systemを用いてAIデータのアイソレーションを確保している。

 生成AIのアプリケーションを作成するレイヤーでは「Amazon Bedrock」を提供し、複数の基盤モデルを顧客が選択できる。Amazon Bedrockが提供する基盤モデルはシングルAPIでアクセス、アイデンティティーおよびアクセス管理(IAM)や仮想プライベートクラウド(VPC)、暗号化、トラフィックなど、顧客のデータを保護する。また、有害コンテンツをフィルタリングする「Guardrails for Amazon Bedrock」も提供しており、安全な活用をサポートしている。

 AWSが提供する生成AIアプリケーション「Amazon Q」のレイヤーでは、同社が設定するガードレールに基づいてセキュリティを提供する。「Amazon Q Developer」では、セキュリティスキャンを提供し、安全なアプリケーション開発を支援するとしている。

元記事: https://japan.zdnet.com/article/35221286/
IT関連 #クラウド

COMMENTS

この記事について議論する

Recommended

TITLE
CATEGORY
DATE
「ChatGPT」便乗のサイバー犯罪の急増を確認–パロアルトネットワークス
IT関連
2023-04-23 13:23
FedExアプリが他社サービスの配達も追跡できる機能をテスト中
IT関連
2022-03-23 05:44
採用につながりやすい高需要の開発者スキルは?
IT関連
2022-02-24 17:53
三流プログラマがなぜ米マイクロソフトの開発者になれたのか? ガチ三流プログラマが超巨大クラウドの中の人に転生した話。Regional Scrum Gathering Tokyo 2022
Microsoft
2022-01-17 11:18
AIを悪用する“未曾有のサイバー戦争”に備えるべき–ダークトレースが警告
IT関連
2022-04-19 12:50
中国のドライバーレス配達スタートアップWhale Dynamicが約3億円調達、米国市場を狙う
IT関連
2022-03-21 23:27
C++の後継目指すプログラミング言語「Carbon Language」、Googleの技術者が実験的公開。C++は技術的負債で改良が困難と
IT関連
2022-07-21 13:50
プライバシー重視を追い風に快進撃中の検索エンジン「DuckDuckGo」がブラウザとしても使えるデスクトップアプリ開発
ソフトウェア
2021-06-20 00:52
清水建設、クラウドで建設現場のデジタル化と標準化を推進
IT関連
2022-09-29 15:02
国内AIサーバーの電力は2024~2028年で約3.2倍に増大–IDC予測
IT関連
2025-03-01 14:52
日本通信、月額1390円で6GB、70分無料通話付きプランを発表 「合理的で納得感ある料金を提示」
ネットトピック
2021-06-05 01:28
DiscordがClubhouseのような音声イベント用チャンネルの提供を開始
ネットサービス
2021-04-02 05:29
「わたしムーヴ」終了→オムロンの体重計、一部利用不能へ 買い換え案内にユーザー失望
ネットトピック
2021-04-21 01:42
シリコンバレーは中国のQ&Aサイト最大手Zhihuから何を学べるか
ネットサービス
2021-03-29 07:16