AWS Launches Incident Response Service
2024/12/02 SecurityWeek — 12月1日 (月) に AWS が発表したのは、迅速かつ効果的なセキュリティ・インシデント管理機能を、ユーザー組織に提供する新たなサービスである。AWS によると、この新しいセキュリティ・インシデント・レスポンスは、Amazon GuardDuty および、統合されたサードパーティ検出ソリューションからのセキュリティシグナルを、AWS Security Hub クラウド・セキュリティ・ポスチャ管理サービスを通じて、自動的に隔離/分析するものだという。
このセキュリティ・インシデント・レスポンスにより、ユーザー・サイドで可能になるものは、インシデント対応ライフサイクル全体にわる包括的サポートの活用である。具体的にいうと、AWS CIRT からの継続的な支援と、コミュニケーションや調整などが挙げられる。
AWS の説明は、「このサービスにより対応が可能になるのは、アカウント乗っ取り/データ侵害/ランサムウェア攻撃などの各種のセキュリティ・イベントであり、さらには、回復を目的とした機能も構築されている」というものだ。
AWS によると、一連のサービスにより、検出されたセキュリティ問題の自動的なトリアージに続いて、顧客固有の情報に基づくフィルタリングが行われ、対応が必要なインシデントを迅速に特定し、セキュリティ・チームへの重要なアラートまで達成されるという。
事前に構成された通知ルールとアクセス許可設定により、インシデント対応を簡素化し、サービス API または AWS Management Console からアクセスが可能な、統合化されたセンター・コンソールからのアクセスが提供される。
それらの機能には、安全なデータ転送/メッセージング/ビデオ会議のスケジュール設定/自動化されたケース履歴の追跡/レポート作成などがある。
AWS CIRT による 24時間/365日のサポート体制に加えて、このサービスが提供するものには、セルフ・サービスによる調査ツールがあり、ユーザーのニーズや要件に基づいたインシデントへの対処や、サードパーティのセキュリティ・ベンダーと連携も可能になる。
ユーザーに提供される追加のサービスとしては、MTTR (mean time to resolution)/指定された期間における問題の件数/トリアージされた検出結果数などの、指標を取り込んだダッシュボードへのアクセスがあり。それにより、セキュリティ・インシデント対応のパフォーマンスを、時間の経過に応じて、監視/測定/改善できる。
AWS は、「このサービスは AWS Organizations と統合されているため。ユーザー組織内のセンター・アカウントを選択することで、アクティブ/ヒストリーの視点から、すべてのセキュリティ・イベントを作成/管理できる」と述べている。
このサービスによる、セキュリティ検出結果の監視/分析を活用するユーザーは、プロアクティブ対応機能を有効化して、サービス・レベルの権限を作成する必要がある。
このサービスは、ユーザー固有のデータに基づき、検出結果を自動的に分析/修復し、自動的な解決が不可能な場合には、セキュリティ・ケースを作成する。
AWS によると、このサービスをコンフィグすることで、封じ込めアクションを実行することも可能であり、それによりインシデント対応時間が短縮され、セキュリティ・インシデントの影響を軽減できるという。
AWS が、とても面白そうなことを初めましたね。ちょっと表現に曖昧さがありますが、おそらく AWS 内で発生したインシデントに対して、AWS CIRT が管理サービスを提供するというものなのでしょう。スモール・スタートから始まり、いつの間にか巨大なサービスに発展しているという、AWS のパターンが見られるかもしれません。よろしければ、カテゴリ Cloud も、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.