セキュリティのための AI/ML

Amazon Macie は、ML とパターンマッチングを使用して機密データを検出し、保護するのに役立つデータセキュリティサービスです。Macie は、名前、住所、クレジットカード番号などの財務情報などの個人を特定できる情報 (PII) を含む、大規模で増加している機密データタイプのリストを自動的に検出します。また、Amazon Simple Storage Service (Amazon S3) に保存されているデータを常に可視化できます。Macie は、さまざまなタイプのデータセットでトレーニングされた自然言語処理 (NLP) モデルと ML モデルを使用して、既存のデータを理解し、ビジネス価値を割り当ててビジネスクリティカルなデータを優先します。その後、Macie は機密データの検出結果を生成します。 

Amazon GuardDuty は、ML、異常検出、統合された脅威インテリジェンスを使用して悪意のあるアクティビティと不正な動作を継続的にモニタリングし AWS アカウント、ユーザー、ユーザー、データベース、ストレージを保護する脅威検出サービスです。GuardDuty には、悪意のある可能性のあるユーザーアクティビティを内部の異常な操作動作と区別するのに非常に効果的な ML 手法が組み込まれています AWS アカウント。この機能は、アカウント内の API 呼び出しを継続的にモデル化し、確率予測を組み込むことで、非常に疑わしいユーザーの動作をより正確に分離して警告します。このアプローチは、検出、初期アクセス、永続性、特権エスカレーション、防御回避、認証情報アクセス、影響、データ流出など、既知の脅威戦術に関連する悪意のあるアクティビティを特定するのに役立ちます。GuardDuty が機械学習を使用する方法の詳細については、 AWS re:Inforce 2023 breakout sessionDeveloping new findings using machine learning in Amazon GuardDuty (TDR310) を参照してください。 

Amazon Verified Permissions は、構築するアプリケーション用のスケーラブルなアクセス許可管理およびきめ細かな認可サービスです。Verified Permissions は、自動推論テストと差分テストを使用して構築されたアクセスコントロール用のオープンソース言語である Cedar を使用します。Cedar は、どのユーザーがどのリソースにアクセスできるかを説明するポリシーとしてアクセス許可を定義するための言語です。また、これらのポリシーを評価するための仕様でもあります。Cedar ポリシーを使用して、アプリケーションの各ユーザーが実行できる操作とアクセスできるリソースを制御します。Cedar ポリシーは、ユーザーがリソースを操作できるかどうかを決定する許可禁止ステートメントです。ポリシーはリソースに関連付けられており、リソースに複数のポリシーをアタッチできます。禁止ポリシーは許可ポリシーを上書きします。アプリケーションのユーザーがリソースに対してアクションを実行しようとすると、アプリケーションは Cedar ポリシーエンジンに認可リクエストを行います。Cedar は該当するポリシーを評価し、 ALLOWまたは DENYの決定を返します。Cedar は、任意のタイプのプリンシパルとリソースの認可ルールをサポートし、ロールベースおよび属性ベースのアクセスコントロールを可能にし、ポリシーの最適化とセキュリティモデルの検証に役立つ自動推論ツールによる分析をサポートします。

AWS Identity and Access Management Access Analyzer は、アクセス許可の管理を合理化するのに役立ちます。この機能を使用すると、未使用のアクセスを削除して、きめ細かなアクセス許可の設定、意図したアクセス許可の検証、アクセス許可の絞り込みを行うことができます。IAM Access Analyzer は、ログにキャプチャされたアクセスアクティビティに基づいてきめ細かなポリシーを生成します。また、ポリシーの作成と検証に役立つ 100 を超えるポリシーチェックも提供します。IAM Access Analyzer は、実証可能なセキュリティを使用してアクセスパスを分析し、リソースへのパブリックアクセスとクロスアカウントアクセスの包括的な検出結果を提供します。このツールは Zelkova 上に構築されており、IAM ポリシーを同等の論理ステートメントに変換し、問題に対して汎用および特殊な論理ソルバー (充足可能性モジュロ理論) のスイートを実行します。IAM Access Analyzer は、ポリシーが許可する動作のクラスの特徴を明確にするクエリを使用して Zelkova を繰り返しポリシーに適用します。アナライザーは、外部エンティティが信頼ゾーン内のリソースにアクセスしたかどうかを判断するためにアクセスログを調べません。リソースベースのポリシーが、外部エンティティによってリソースにアクセスされなかった場合でも、リソースへのアクセスを許可すると、検出結果が生成されます。満足度モジュロ理論の詳細については、「Handbook of Satisfiability」の「Satisfiability Modulo Theories」を参照してください。*

Amazon S3 パブリックアクセスブロックは、バケットやオブジェクトへのパブリックアクセスにつながる可能性のある設定ミスをブロックできる Amazon S3 の機能です。アクセスポイント、バケット、アカウント、および AWS 組織 (アカウントの既存バケットと新規バケットの両方に影響) に対して Amazon S3 パブリックアクセスのブロックを有効にできます。パブリックアクセスは、アクセスコントロールリスト (ACL)、バケットポリシー、またはその両方からバケットおよびオブジェクトに付与されます。特定のポリシーまたは ACL がパブリックと見なされるかどうかの判断は、Zelkova 自動推論システムを使用して行われます。Amazon S3 は Zelkova を使用して各バケットポリシーをチェックし、権限のないユーザーがバケットを読み書きできるかどうかを警告します。バケットにパブリックとしてフラグが付けられている場合、一部のパブリックリクエストはバケットへのアクセスが許可されます。バケットにパブリックではないフラグが付けられている場合、すべてのパブリックリクエストは拒否されます。Zelkova は IAM ポリシーを正確に数学的に表現しているため、このような判断を行うことができます。ポリシーごとに数式を作成し、その数式に関する定理を証明します。 

Amazon VPC Network Access Analyzer は、リソースへの潜在的なネットワークパスを理解し、意図しないネットワークアクセスの可能性を特定するのに役立つ Amazon VPC の機能です。Network Access Analyzer は、ネットワークセグメンテーションの検証、インターネットアクセシビリティの特定、信頼できるネットワークパスとネットワークアクセスの検証に役立ちます。この機能は、自動推論アルゴリズムを使用して、パケットがネットワーク内のリソース間で実行できる AWS ネットワークパスを分析します。次に、アウトバウンドトラフィックパターンとインバウンドトラフィックパターンを定義するネットワークアクセススコープに一致するパスの検出結果を生成します。Network Access Analyzer はネットワーク構成の静的な分析を行います。つまり、この分析の一環としてネットワーク内でパケットが送信されることはありません。

Amazon VPC Reachability Analyzer は、 AWS ネットワーク内の接続をデバッグ、理解、視覚化できる Amazon VPC の機能です。Reachability Analyzer は、仮想プライベートクラウド (VPC) 内のソースリソースと送信先リソース間の接続テストを実行できるようにする設定分析ツールです。送信先に到達すると、Reachability Analyzer は送信元と送信先間の仮想ネットワークパスのhop-by-hopの詳細を生成します。送信先に到達できない場合、Reachability Analyzer はブロッキングコンポーネントを識別します。Reachability Analyzer は自動推論を使用して、送信元と送信先の間にネットワーク設定のモデルを構築することで、実行可能なパスを特定します。次に、設定に基づいて到達可能性をチェックします。パケットを送信したり、データプレーンを分析したりすることはありません。