写真=AWS Koreaのシン・ウンス主席ソリューションアーキテクト

Amazon Web Services(AWS)は1日、生成AIの進化によって脆弱性の発見や攻撃コードの作成が大幅に効率化しているとして、AI時代のセキュリティ戦略として「シフトレフト」「継続的検証」「AIエージェントのセキュリティ」の3本柱を示した。

同日午前にAWS Koreaが開いた記者懇談会で、同社でセキュリティ分野を担当する主席ソリューションアーキテクトのシン・ウンス氏は、「以前は専門家集団だけが高リスクの脆弱性を見つけられたが、高性能AIを使えば誰でも容易に発見できるようになった。企業が対応すべき脆弱性は大きく増える」と述べた。

その上で、「AIを活用すれば、人間よりはるかに速く脆弱性を見つけ、攻撃コードも作成できる」と説明した。

シフトレフトについては、運用段階でパッチを当てるのではなく、開発やビルドの段階で脆弱性を見つけて修正する考え方だと説明した。AWSがセキュリティに特化したAIエージェントを提供する狙いも、こうした前倒し対応にあるという。

シン氏は「セキュリティエージェントは、セキュリティチームよりも、開発チームが直接活用したときに価値が高まる」と語った。

継続的検証については、定期監査にとどまらず、常時検証へ移行するうえで中核となる考え方だと位置付けた。AIエージェントのセキュリティでは、高性能AIの普及で脅威が拡大するなか、セキュリティ部門だけで対応を担う体制には限界があると指摘した。

シン氏は「すべての構成員がセキュリティを文化として受け入れることが重要だ」と強調した。

AWSは、AI時代のセキュリティ能力強化を支援するため、多層防御、自動推論技術、セキュリティAIエージェントの強化を進めている。

まず、自社で運用する防御基盤として3つのシステムを紹介した。MadPotは、攻撃者に実運用システムと誤認させるグローバル規模のハニーポットで、悪意ある行為者を特定し、関連情報を情報機関や一般企業と共有する。

Mithraは、数十億件のデータを分析して悪性ドメインやC&C通信のドメインを検出する大規模なグラフニューラルネットワークモデルで、検知結果はGuardDutyなどのサービスと連携する。3つ目のSonarisは、S3などの主要資産に流入する脅威を自動で検知し、遮断する仕組みだ。

シン氏が重視したもう1つの領域が、自動推論技術だ。「大規模言語モデル(LLM)は確率に基づいて回答を生成するため、ハルシネーションが起こり得る。セキュリティでは、確率論的なアプローチだけでは不十分だ」と述べた。

その具体例として、「IAM Access Analyzerは、自動推論によってポリシーが意図しないアクセスを許容していないかを検証する。Amazon Bedrock Guardrailsも同様に、モデルの回答内容を検証する仕組みだ」と説明した。

AWSは今後、企業のセキュリティ戦略におけるAIエージェントの役割が一段と大きくなるとみて、関連製品群の拡充を進めている。この日の懇談会では、AWS Security Agentと、最近発表した「AWS Continuum」を紹介した。

AWS Security Agentは、脅威モデリング、設計レビュー、コードレビュー、ペンテスト(侵入テスト)の4機能を提供する。ペンテストは、生成AIが人に代わって侵入テストを自動実行する機能で、すでに正式提供している。残る3機能はプレビュー段階だという。

シン氏はペンテストについて、「AWS環境でなくても、インターネットやVPN経由でアクセスできるシステムなら点検できる」と述べた。

AWS Continuumは現在ベータ版として提供しており、マルチエージェントを基盤にコード脆弱性の分析へ重点を置く。優先順位付けエージェントは、従来のCVSS(Common Vulnerability Scoring System)ではなく、事業への影響も踏まえるSSVC(Stakeholder-Specific Vulnerability Categorization)で脆弱性を評価する。

検証エージェントはサンドボックス環境でコードを実行し、誤検知の有無を確認する。修正エージェントは、修正方法まで提示する。学習モードと適用モードを段階的に運用できるという。

シン氏は「今後、AWS Security AgentとAWS Continuumは統合され、統合サービスへ進化していく」と語った。

この日のイベントには、LG CNSのREDチームでチーム長を務めるイ・ジンス氏も参加し、AWS Security Agentの導入経験と成果を紹介した。LG CNSのREDチームはホワイトハットハッカーで構成され、自社ソリューションや顧客企業の業務システムに対する侵入テストサービスを提供しているという。

LG CNSでは、顧客企業にソリューションを提供する前に、性能、コンプライアンス、セキュリティなどの要件をすべて満たしているかを評価するプロセスを設けている。ただ、開発組織にとっては、通過にかかる期間やコストが負担になっていた。

そこで代替策としてAIベースの侵入テストを検討し、2025年から複数のソリューションを比較した結果、AWS Security Agentを採用した。既存プロセスに追加する形で適用したという。

イ氏は運用方法について、「対象システムを設定して点検を始めると、エージェントが自動で侵入テストを実施する。結果を受け取った後、ホワイトハットハッカーが必要な部分を追加で検証し、複雑な業務ロジックは別途点検したうえで、総合結果報告書を開発者と顧客に渡す」と説明した。

導入効果については、「人手で4〜5日かかっていた侵入テストが5時間以内で終わった。検知精度は最大90%超を確認した。定期点検はSecurity Agentだけでも十分で、コストも従来比で80%以上削減できる」と述べた。

一方で、「セキュリティにAIエージェントを活用する場合は、コンテキストの設定次第で結果が変わる」とも指摘。「十分なコンテキストを与えれば、より多くの攻撃対象領域を点検でき、誤検知も減らせる」と付け加えた。

LG CNSは全社でSecurity Agentの利用を拡大している。イ氏は「AIの発展でハッキングへの参入障壁が下がり、AI導入の拡大に伴って攻撃対象領域も広がるなか、専門人材を増やし続けて運用するのは組織にとって大きな負担だ」と述べ、「AWS Security Agentはその解決策になり得る」とした。

キーワード

#AWS #AI #セキュリティ #シフトレフト #継続的検証 #AIエージェント #Amazon Bedrock #GuardDuty #IAM Access Analyzer #AWS Security Agent #AWS Continuum #LG CNS
Copyright © DigitalToday. All rights reserved. Unauthorized reproduction and redistribution are prohibited.