マネージドサービス部 佐竹です。
AWS re:Inforce 2025 に現地参加してきましたので、そのログを順番に記述しています。
はじめに
2025年6月16日から18日にかけて、ペンシルベニア州フィラデルフィアで AWS のセキュリティに特化したカンファレンス「AWS re:Inforce 2025」が開催されました。
参加したセッションのまとめを「1日のまとめ」に書いていこうとしたらあまりにも文章量が増えすぎてしまったので小分けにしています。
本ブログは「【AWS re:Inforce 2025】現地参加レポート 1日目 6月16日(月) 佐竹版」より TDR322 How AWS uses generative AI to advance native security services
の解説です。
私の感想やコメントは解説の邪魔になると感じたので「脚注」として記載しています。
TDR322 How AWS uses generative AI to advance native security services 解説
翻訳すると「AWS は生成 AI を活用してネイティブセキュリティサービスをどのように強化しているのか」となります。
概要
本セッションは、生成 AI を AWS のセキュリティサービスに組み込むことで、セキュリティスペシャリストの業務をどう強化できるかに焦点が当てられました。
ようは、「セキュリティサービスに生成 AI を使った機能エンハンスが既に色々できているよ、これからも追加されていくよ」ということです。
なぜ今、セキュリティに生成 AI なのか?
セッションでは、セキュリティにおける生成 AI の活用は、主に3つの領域で考えられると述べられました。
本スライドに示されている通り、以下の3つのユースケースが紹介されました。
- 生成 AI アプリケーションそのもののセキュリティ確保 (Security of generative AI)
- セキュリティの成果向上のための生成 AI 活用 (Generative AI for security)
- 生成 AI によって高度化した脅威からの防御 (Security from threats powered by generative AI)
本セッションの中心は、2つ目の「Generative AI for security」です。
巧妙化し、頻度も高まり続けるサイバー攻撃に対し、人手だけでの対応は限界に近づいています。そこで、生成 AI を「専門家を補助し、能力を拡張するツール」として活用することが急務となっているのです*1。
各サービスは生成 AI でどう進化するか
セッションでは、コードを記述する開発段階でのセキュリティ確保(シフトレフト)から、脅威の検知、調査、そして分析・報告に至るまで、セキュリティ運用の一連のサイクルにおいて生成 AI がどのように各サービスを進化させるか、その詳細が解説されました。
Starting securely (セキュアに始める)
まずは「開発段階でのセキュリティ確保(シフトレフト)」にフォーカスしています*2。
- Amazon CodeWhisperer: スライドに示されているように、単なるコード補完ツールに留まりません。開発者がコードを書いているその場で、プロジェクト全体をスキャンしてセキュリティ脆弱性を発見したり、セキュリティとコード品質を向上させるための修正案を生成したりといった機能を提供します。これにより、開発サイクルの早期段階で問題を修正することが可能になります。
- Amazon Inspector: EC2 インスタンスやコンテナイメージの脆弱性管理に加え、Lambda 関数のコードスキャンもサポートします。生成 AI と自動推論(automated reasoning)を活用することで、危険な暗号処理やコードインジェクションといった、より複雑な脆弱性を特定し、コンテキストに応じた具体的なコードパッチを提示してくれます。
Management and governance (管理とガバナンス)
次に、リソース構成を正しく維持するための管理とガバナンスの領域です。
- AWS Config: 「List EBS volumes. Show volume id, AZ, volume type and encryption status」のように、自然言語で書かれたクエリを SQL に変換し、リソース状態を検索できるようになります。これにより、影響範囲の調査や棚卸し作業が、これまで以上に迅速かつ直感的に行えるようになります*3。
Automating security operations (セキュリティ運用の自動化)
脅威の検知から調査に至るまでの運用フェーズを、AIがどのように自動化・高度化するかが示されました。
- Amazon GuardDuty:
VPC Flow Logs
やCloudTrail
などの膨大なログ(シグナル)を関連付け、単一の不審なアクティビティだけでなく、攻撃シーケンスとして検出するようになっています。攻撃シーケンスの検出はスライドにもあるように、GuardDuty Extended Threat Detection の機能であり、最も重要な脅威 (Critical) に焦点を当て、MITRE ATT&CK
のフレームワークにマッピングして提示してくれるため、攻撃の全体像を素早く把握できます。
- Amazon Detective: GuardDuty などで検知された脅威に対し、根本原因を分析するサービスです。生成 AI を活用することで、関連するリソースやアクティビティの膨大な情報を要約し、「不審な C2 サーバとの通信や、ビットコインインフラへのクエリ、プロセスインジェクションが含まれている」といった調査のサマリーを自動生成します。これにより、アナリストは調査の初期段階で重要な情報を素早く得られ、対応時間を大幅に短縮できます。*4
Security analytics (セキュリティ分析)
検知・調査した結果をどのように分析し、可視化してインサイトを得るかのフェーズです。
- Amazon QuickSight と Amazon Q: セキュリティ関連のデータを可視化し、分析するための強力なツールです。Amazon Q を組み合わせることで、「グラフを作成」「計算式の作成」などを自然言語で指示し、ダッシュボードの構築やレポーティングが可能になります。これにより、経営層への報告資料作成なども効率化できます。
Virtual security assistant (仮想セキュリティアシスタント) *5
セッションの最後を飾ったのが、この「仮想セキュリティアシスタント」という構想の紹介です。
スライドでは、CISO のような役職者が「今日の最優先の検知結果は何?」と問いかける未来像が提示されました。他にも、例としてはAmazon Q CLI
を使い、CloudTrailログを分析して「エラーはどこにあるか?」「権限設定に問題がありそうな箇所は?」と問いかけるといった、現場ですぐにでも役立ちそうな使い方が提案されました。
そして、こうしたアシスタントは、次のアーキテクチャ図で示されたように、既存のAWSサービスで構築可能だと説明されました。
このアーキテクチャの鍵は、Amazon Bedrock
が持つ組み込みのエージェント機能や、Amazon Kendra
、Amazon OpenSearch Serverless
といったデータソースと連携するためのRAG プロバイダです。
このアーキテクチャの重要なポイントは以下の通りです*6。
AI の頭脳である Amazon Bedrock: 高性能な基盤モデル(Foundation Model)を Amazon Bedrock 経由で利用し、自然言語処理と応答生成の中核を担わせています。
RAG による事実に基づいた回答: やはり重要なのが RAG (Retrieval-Augmented Generation / 検索拡張生成) です。AI が回答を生成する際に、
Amazon Kendra
またはAmazon OpenSearch Serverless
といった信頼できる社内のデータソースから関連情報を検索し、その内容を根拠として回答を生成します*7。RAG のメリット: この仕組みにより、AI がもっともらしい嘘をついてしまう「ハルシネーション」を大幅に抑制できます。そして、教科書的な知識だけでなく、自社の環境で今まさに起きているリアルタイムのセキュリティ情報に基づいた、正確で実践的な回答が可能になるのです。
サーバレス中心の構成:
CloudFront
,API Gateway
,Lambda
,Step Functions
といったサーバレスサービスを組み合わせることで、インフラ管理の手間を最小限に抑えつつ、スケーラブルで堅牢なシステムを構築できることを示しています。
このアーキテクチャは、生成 AI を活用することで、セキュリティ運用が「人間がツールを使いこなす」段階から、「AI と人間が対話し、協働する」というステージへと進む未来を具体的に提示しています。
生成 AI でセキュリティの成果を向上させる(全体像)
これが最後のスライドで、AIを活用してセキュリティの成果を向上させるための、具体的な4つの機能が示されています。
- Amazon Inspector Lambda code remediation
- Lambda コードの脆弱性を発見し、その修正方法を推奨します
- Amazon Q Developer & Amazon Q Business
- IDE に統合された生成 AI が、開発中にセキュリティの推奨事項を提示し、セキュアな構築を支援します
- Amazon Detective findings summary
- 検出結果とログを関連付け、広範なセキュリティデータを平易な言葉で説明します
- Amazon Security Lake and Amazon Q in QuickSight
- 自然言語での質問に基づき、セキュリティを含む広範なデータセットに生成 AI を適用します
これら4つの機能は、それぞれが開発、調査、分析といったセキュリティ運用の異なる場面で、AI が専門家の業務を強力にサポートすることを示しています。
セッションの最後に、スピーカーは聴衆に対し、今後の心構えとして2つのことを強く呼びかけていました。
とにかく試すこと(Test, test, test): 「テストして、どう動くか理解するまで、その先に進むことはできない」。まずはサンドボックス環境でこれらの新機能を試し、その可能性と限界を自ら理解することが全ての始まりとなります。
積極的なフィードバック: 「次にどこへ進むべきか、ぜひ聞きたい (We would love to hear where we should go next.)」という言葉の通り、AWSはユーザーからのフィードバックを強く求めています。「なぜここに生成 AI 機能がないのか?」といった利用者の声が、次のサービス開発に繋がります。
単なる機能紹介に留まらず、ユーザーと共にサービスを育てていきたいという AWS の姿勢が感じられました。
関連情報
セッションの動画
本ブログを見て興味が出た方は是非元の発表動画もどうぞ。
新機能 GuardDuty Extended Threat Detection とは何か
まとめ
今回のセッションは、生成 AI が(単なるバズワードではなく)具体的な形で AWS のセキュリティ製品に落とし込まれていることを改めて俯瞰することができるものとなっていました。
さらに「気付いたらそこにある」ような気すらしました。日々のアップデートでゆっくりとしかし確実に進化しているためです。「毎日伸びる髪の毛の変化に気付き難い」というようなものです。今回のセッションで改めて AWS が生成 AI の機能を積極的に使いこなそうとしているその姿勢を理解しました。
また、特にセキュリティ人材育成のための AWS Security Champion コース (SEC222)で触れたようなセキュリティ人材の不足という課題に対して、セキュリティスペシャリストの業務負荷そのものを大きく引き下げようとしていることを実感させてくれるものでした。
仮にこれまでのセキュリティ運用が、インシデント発生後の「検知」と「対応」に多くの時間を費やしていたとすれば、生成 AI は、そもそものインシデントの発生を「予防」することや、対応の「自動化」をさらに推し進めてくれる可能性を秘めています。
これにより、セキュリティエンジニア見習いの学習曲線を緩やかにし、プロフェッショナルセキュリティエンジニアをより創造的でコアな業務に集中させることができるようになります*8。
我々もこれらの新しい技術を積極的に試し、お客様により高度で効率的なセキュリティサービスと機能をご提案できるよう、常に学習し、自身をアップデートし続ける必要があるということを再認識しました。
では、またお会いしましょう。
*1:少々例えが暴力的ですが、最近の戦争はドローンがドローンと戦っていると耳にします。株式相場は何年も前からアルゴとアルゴが戦っています。セキュリティもそろそろ攻撃用の bot と自動防御サービスによる攻守となる、もしくは最早そうなっているのでしょう
*2:"シフトレフト"については3つ目のブログでも触れています https://blog.serverworks.co.jp/reinforce2025-sec222
*3:Natural language query processor for AWS Config advanced queries は随分前にプレビューとしてリリースされていますが、いまだにプレビューです https://docs.aws.amazon.com/config/latest/developerguide/query-assistant.html
*4:C2 は「Command and Control(コマンド・アンド・コントロール)」の略で、日本語では「指令と制御」と訳されます。サイバー攻撃において、攻撃者がマルウェアに感染させたコンピュータ(ゾンビPC、ボットとも呼ばれます)を遠隔操作するための「司令塔」となるサーバのことです。
*5:補足です。もともとのアジェンダでは「Security data analysis (セキュリティデータ分析)」というアジェンダだったのですが、実際のスライドは「Virtual security assistant」になっていたので、これを正としています。では続きをどうぞ。
*6:斜めの画像では少々見難いので、YouTube の動画をキャプチャしてきました。
*7:社内データで実際に RAG を組むと、古く更新されていないデータを正として出してくるので、社内データが信頼できるとは限らないのが Gen AI ... というかは「ビッグデータのクレンジング」の処理と運用が難しいことを体験できます。
*8:学習曲線が急ということは、あるツールや技術を習得するために、非常に多くの時間と労力、そして高度な前提知識が必要な状態を指します。生成 AI を活用することで、ラーニングカーブが緩やかになると、教育コストが低減され、ミスが減り、属人化の解消に繋がるということです。
佐竹 陽一 (Yoichi Satake) エンジニアブログの記事一覧はコチラ
マネージドサービス部所属。AWS資格全冠。2010年1月からAWSを業務利用してきています。主な表彰歴 2021-2022 AWS Ambassadors/2020-2025 Japan AWS Top Engineers/2020-2025 All Certifications Engineers。AWSのコスト削減やマルチアカウント管理と運用を得意としています。