トップ > AWS re:Invent 2025 > 【AWS re:Invent 2025】AWSのエコシステムを支えるサードパーティの展示会 "EXPO" に潜入!〜セキュリティ編〜

【AWS re:Invent 2025】AWSのエコシステムを支えるサードパーティの展示会 "EXPO" に潜入!〜セキュリティ編〜

AWS re:Invent 2025 re:Invent2025 AWS
記事タイトルとURLをコピーする

re:Inventでは、AWSの周辺エコノミーを支えているサードパーティの展示会「EXPO」を、隅々まで探索してきたのですが、前回はFinOps関連で気になったサービスを紹介したので、今回はセキュリティ関連で、気になったサービスを紹介したいと思います。

【Cyera】AIネイティブなDSPMプラットフォーム

www.cyera.com

Cyera は、近年急速に注目を集めている 「データセキュリティ態勢管理(DSPM: Data Security Posture Management)」 のリーディングカンパニーで、「クラウド上の『どこに』『どんな重要データ』があり、『どんなリスク(公開設定など)』に晒されているかを、AIを使って全自動で特定・可視化するプラットフォーム」です。

  1. シャドーデータの発見(可視化)
    • 企業が把握していない「勝手にコピーされたデータ」や「忘れ去られたバックアップ」などのシャドーデータ(Shadow Data)を自動的に発見。
    • マルチクラウド対応: AWS, Azure, GCP だけでなく、Snowflake, Databricks, Microsoft 365 などのSaaSデータも横断的にスキャン。
  2. AIによるデータの分類(クラシフィケーション)
    • 単なる正規表現(キーワード一致)ではなく、生成AI(LLM)を活用してデータの「文脈」を理解し、正確に分類。
    • 「これは顧客リストだ」「これは未発表の特許情報だ」といった判断を自動で行い、その重要度をランク付け。
  3. リスクの特定と修正
    • 発見したデータに対して、セキュリティ上の問題がないかをチェック。
    • 例: 「極秘の顧客データが入ったS3バケットが、インターネットに公開されている」「退職した社員がまだアクセス権を持っている」などを検知し、修正を促す。
  4. 生成AIセキュリティ(AI Security)
    • 企業が使う生成AI(ChatGPTなど)に対して、社内の機密データが不用意に学習データとして使われていないか、プロンプトに含まれていないかなどを監視・制御する機能も強化。

従来のDLP(情報漏洩対策)ツールが「データの出口」を監視するのに対し、Cyeraは「データの保管場所そのもの」を監視・管理するアプローチ(DSPM)を取っているのが最大の違いです。

【Securiti】マルチクラウド・データレイクのガバナンスを一元化

securiti.ai

企業が保有する膨大なデータの「プライバシー」「セキュリティ」「ガバナンス」を1つのプラットフォームで管理する「データ・コマンドセンター (Data Command Center)」 です。「あちこちに散らばった個人情報や機密データを自動で発見し、法律(GDPRなど)を守りながら、AI活用まで安全に行えるようにするツールです。

  1. プライバシーオートメーション (PrivacyOps)
    • 個人情報の開示請求対応 (DSAR) の自動化: 顧客から「私のデータを削除してほしい」「どんなデータを持っているか見せてほしい」というリクエスト(GDPRやCCPAに基づく権利行使)が来た際、社内のAWS、Salesforce、メールサーバーなどをロボットが自動検索し、対象者のデータを特定・レポート作成・削除まで行います。
    • Cookie同意管理: WebサイトのCookieバナー管理なども含まれます。
  2. データセキュリティ (DSPM)
    • 機密データの発見: マルチクラウド(AWS/Azure/GCP)やSaaS(Snowflake/Databricks/Salesforce)をスキャンし、どこに「クレジットカード番号」や「極秘ファイル」があるかを特定します。
    • リスク可視化: 「誰もアクセスしていないのに権限が広いデータ」や「暗号化されていない重要データ」を見つけます。
  3. AIガバナンス (AI Governance)
    • AIへのデータ投入制御: ChatGPTなどのLLMや、社内構築したAIモデルに対して、機密データ(PII)が誤って学習・送信されないように監視・ブロックします(LLMファイアウォール)。
    • シャドーAIの発見: 社員が勝手に使っているAIツールを特定します。

先ほど取り上げた Cyeraとの違いは、Cyeraは「セキュリティ(DSPM)」 に特化していて「どこにリスクがあるか」を見つけるのが非常に得意で高速なのに対し、Securiti は「リスクを見つける」だけでなく、「顧客からの削除リクエストを処理する(ワークフロー)」 という運用の自動化に強みがあります。

SnowflakeやDatabricksを使っている企業で、データレイク内のガバナンスを効かせたい場合に向いています。「セキュリティツール」というよりは、「法務・コンプライアンス・セキュリティ部門が共通で使う、データの統合管理プラットフォーム」 と表現するのが正確なのかもしれません。

【Saviynt】IGAとPAMを一つにしたクラウド時代の統合アイデンティティ・プラットフォーム

saviynt.com

Saviynt は、企業内の「誰が・何に・どのような権限で」アクセスできるかを管理する 「アイデンティティ・ガバナンス (IGA)」「特権アクセス管理 (PAM)」 の両方を持つプラットフォームで、「社員、外部ベンダー、特権ID、そしてボット(機械)の『アクセス権限』を、クラウド上で一元管理・監査します。

1. 統合型アイデンティティ・プラットフォーム (The Identity Cloud)

これまで別々のツールで管理されがちだった以下の機能を、1つのプラットフォームに統合しているのが最大の特徴です。

  • IGA (Identity Governance & Administration):
    • 入社・異動・退職に伴うアカウント権限の付与や剥奪、定期的な棚卸し(レビュー)の自動化。
  • CPAM (Cloud Privileged Access Management):
    • システム管理者などの「特権ID」の貸し出し管理と操作ログの記録。特にクラウド(AWS/Azure)やSaaSに強い。
  • TPAG (Third-Party Access Governance):
    • 外部委託先やパートナー企業のアカウント管理。セキュリティリスクになりやすい「外部者」を厳格に管理。

2. アプリケーション詳細レベルのガバナンス (AAG)

単に「SAPにログインできる」だけでなく、「SAPの中で支払い承認ができる」 といった細かい権限(Fine-grained)まで管理できます。

特に、職務分掌 (SoD: Segregation of Duties) のチェック、例えば「発注担当者」と「支払い承認者」が同一人物になっていないかなど、不正を防ぐためのルールを自動チェックする機能に定評があり、SAP, Oracle EBS, SalesforceなどのERP/CRMと深く連携しています。

AWS と Saviynt が戦略的協業を発表

saviynt.com

2025年7月に、Saviynt はAWSとSCA(戦略的協業契約)を締結したことを発表しました。今回の発表で特に大きいポイントは、Saviynt のアイデンティティセキュリティプラットフォーム「Identity Cloud」が、AWS の生成 AI サービス Amazon Q Business とネイティブ統合されることです。これにより、自然言語でのアクセス権分析や、AIアシスタントによる運用自動化をさらに進化させます。

【Stacklet】FinOpsとSecurityの両面からアプローチ

stacklet.io

オープンソースで有名な『Cloud Custodian』をベースに、クラウドのコスト削減、セキュリティ、コンプライアンス順守を全自動化・統合管理する企業向けツール」 です。

Cloud Custodianとは、AWS/Azure/GCPに対して、「もしEC2が夜間に起動していたら停止する」「S3が公開設定なら非公開にする」といったルール(ポリシー)をYAMLファイルで記述し、実行させるエンジンです。ベータ版ではOracle Cloudもサポートしています。無料のOSS版では難しい「大規模な管理画面」「履歴の保存」「AIアシスタント」「エンタープライズサポート」などを付加し、大企業でも使いやすくした製品が Stacklet と言えます。

  1. 「検知」だけでなく「自動修復」までやる
    • 一般的なセキュリティツール(CSPM)は「ここにリスクがあります」と教えてくれるだけですが、Stackletは「見つけて、直す(Remediate)」ところまで自動化することに重点を置いています
    • 例えば、どのインスタンスにも接続(アタッチ)されていないEBSボリュームを特定すると、概算コストを通知して削除を促し、更にリアクションがない場合は14日以内にこのEBSボリュームを削除する、といったことまで自動化できます
  2. Policy as Code
    • 全ての設定をコード(YAML)で管理するため、GitOpsなどの開発フローに組み込みやすく、エンジニアにとって扱いやすいのが特徴です
    • 「開発段階(IaC)」から「本番環境(Runtime)」まで、一貫したポリシーを適用できます
  3. リアルタイムな資産管理 (AssetDB)
    • "Select * from cloud" のように、SQLや自然言語を使って、マルチクラウド環境にある全リソース(資産)をリアルタイムに検索・集計できる機能を持っています
    • 「タグが付いていないリソース一覧を出して」などを瞬時に検索できます

【Varonis】ランサムウェア被害を最小限に抑える『振る舞い検知』

www.varonis.com

「誰がどの重要ファイルにアクセスできるかを可視化し、不要な権限を自動で削除し、怪しい動き(ランサムウェアなど)を検知して止める、データ専用の警備システム」 です。特に、Microsoft 365(Teams, OneDrive, SharePoint)、Salesforce、AWS、およびオンプレミスのファイルサーバーにある「非構造化データ(Word, Excel, PDFなど)」の管理・保護に強みを持っています。

  1. データの可視化と分類 (Data Discovery & Classification)
    • 社内のあらゆる場所に散らばったデータをスキャンし、どこに「重要情報(個人情報、クレカ番号、極秘文書)」があるかを自動で特定します。
    • 「機密ファイルが、実は全社員から見られるフォルダに置きっぱなしになっている」といったリスクを一目で発見できます。
  2. アクセス権限の最適化 (Data Access Governance)
    • 「最小権限」の自動化: 退職者や異動者の権限削除だけでなく、「長期間アクセスしていない人の権限」や「Everyone(誰でもアクセス可)の設定」を検知し、自動的に削除・修正します(Blast Radiusの縮小)。
    • 所有者の特定: IT部門ではなく、現場のデータ所有者に「この人の権限を削除していいですか?」と確認するワークフロー機能もあります。
  3. 脅威検知とレスポンス (Threat Detection & MDDR)
    • ユーザーの行動を監視(UEBA)し、普段と違う動きをした場合にアラートを出したり、通信を遮断したりします。
    • ランサムウェア対策: ファイルが大量に暗号化され始めた瞬間にそれを検知し、感染したアカウントを自動的にロックアウトして被害を最小限に抑えます。
    • MDDR (Managed Data Detection and Response): Varonisの専門チームが24時間365日体制でアラートを監視・調査してくれるサービスも提供しています。
  4. 生成AIセキュリティ (AI Security)
    • Microsoft Copilot などのAIツールが、社内のアクセス禁止データ(給与テーブルなど)を勝手に読み込んで回答してしまうのを防ぐため、AIがアクセスできるデータの範囲(権限)を適切にコントロールします。

ファイアウォールなどの「入口対策」ではなく、「データが置かれている場所」を直接監視・整理整頓するセキュリティ と言えます。最近のトレンドである DSPM (Data Security Posture Management) の代表的な製品です。Varonisは「アクセス権の整理(衛生管理)」と「異常検知(監視)」の両方ができる点が強みで、 特に最近は「Microsoft Copilotを入れたいけれど、権限設定がぐちゃぐちゃでAIに社外秘を学習されそうで怖い」という企業ニーズに応えるツールとして注目されているようです。

さいごに

やはりセキュリティ関連は今最もホットと呼べる領域で、まだまだ紹介しきれないほど多くの製品がありました。今回紹介していない大手製品は、ブースの広さも別格で大々的にアピールされていましたし、近年のランサムウェア被害などを考えれば、今後も引き続き注目していく分野であるのは間違いないです。

弊社でもマネージドセキュリティサービスを提供しておりますので、低コストで素早くセキュリティ対策を導入されたいお客様は是非ご検討ください。

www.serverworks.co.jp