翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
# セキュリティのための AI/ML
| |
| --- |
| [簡単な調査](https://amazonmr.au1.qualtrics.com/jfe/form/SV_e3XI1t37KMHU2ua)を行い、 AWS セキュリティリファレンスアーキテクチャ (AWS SRA) の未来に影響を与えます。 |
人工知能と機械学習 (AI/ML) はビジネスを変革しています。AI/ML は 20 年以上にわたって Amazon の焦点であり、セキュリティサービスなど AWS、お客様が で使用する機能の多くが AI/ML によって駆動されています。これにより、セキュリティチームやアプリケーション開発チームに AI/ML に関する専門知識を必要と AWS せずに、 を安全に構築できるため、組み込みの差別化された価値が生まれます。
AI は、マシンとシステムがインテリジェンスと予測機能を取得できるようにする高度なテクノロジーです。AI システムは、消費またはトレーニングされるデータを通じて過去の経験から学習します。ML は AI の最も重要な側面の 1 つです。ML は、コンピュータが明示的にプログラムされることなくデータから学習する機能です。従来のプログラミングでは、プログラマーはプログラムがコンピュータまたはマシンでどのように機能するかを定義するルールを記述します。ML では、モデルはデータからルールを学習します。ML モデルは、データの隠れたパターンを検出したり、トレーニング中に使用されなかった新しいデータを正確に予測したりできます。複数の AWS のサービス が AI/ML を使用して巨大なデータセットから学習し、セキュリティ推論を行います。
+ [Amazon Macie](https://aws.amazon.com/macie/) は、ML とパターンマッチングを使用して機密データを検出し、保護するのに役立つデータセキュリティサービスです。Macie は、名前、住所、クレジットカード番号などの財務情報などの個人を特定できる情報 (PII) を含む、大規模で増加している機密データタイプのリストを自動的に検出します。また、Amazon Simple Storage Service (Amazon S3) に保存されているデータを常に可視化できます。Macie は、さまざまなタイプのデータセットでトレーニングされた自然言語処理 (NLP) モデルと ML モデルを使用して、既存のデータを理解し、ビジネス価値を割り当ててビジネスクリティカルなデータを優先します。その後、Macie は[機密データの検出結果](https://docs.aws.amazon.com/macie/latest/user/findings-types.html#findings-sensitive-data-types)を生成します。
+ [Amazon GuardDuty](https://aws.amazon.com/guardduty/) は、ML、異常検出、統合された脅威インテリジェンスを使用して悪意のあるアクティビティと不正な動作を継続的にモニタリングし AWS アカウント、ユーザー、ユーザー、データベース、ストレージを保護する脅威検出サービスです。GuardDuty には、悪意のある可能性のあるユーザーアクティビティを内部の異常な操作動作と区別するのに非常に効果的な ML 手法が組み込まれています AWS アカウント。この機能は、アカウント内の API 呼び出しを継続的にモデル化し、確率予測を組み込むことで、非常に疑わしいユーザーの動作をより正確に分離して警告します。このアプローチは、検出、初期アクセス、永続性、特権エスカレーション、防御回避、認証情報アクセス、影響、データ流出など、既知の脅威戦術に関連する悪意のあるアクティビティを特定するのに役立ちます。GuardDuty が機械学習を使用する方法の詳細については、 AWS re:Inforce 2023 breakout [sessionDeveloping new findings using machine learning in Amazon GuardDuty (TDR310)](https://www.youtube.com/watch?v=dNIbGa2CS2w) を参照してください。
## 検証可能なセキュリティ
AWS は、数学的ロジックを使用してインフラストラクチャに関する重要な質問に答え、データを公開する可能性がある設定ミスを検出する自動推論ツールを開発します。この機能は、クラウドとクラウドのセキュリティでより高い保証を提供するため、*provable security* と呼ばれます。実証可能なセキュリティでは、自動推論を使用します。これは、コンピュータシステムに論理的推論を適用する AI の特定の分野です。例えば、自動推論ツールはポリシーとネットワークアーキテクチャ設定を分析し、脆弱なデータを公開する可能性がある意図しない設定がないことを証明することができます。このアプローチは、クラウドの重要なセキュリティ特性に対して可能な限り最高レベルの保証を提供します。詳細については、 AWS ウェブサイトの[「Provable Security Resources](https://aws.amazon.com/security/provable-security/resources/)」を参照してください。以下の AWS のサービス および 機能は、現在、アプリケーションに対して実証可能なセキュリティを実現するために自動推論を使用しています。
+ [Amazon Verified Permissions](https://aws.amazon.com/verified-permissions/) は、構築するアプリケーション用のスケーラブルなアクセス許可管理およびきめ細かな認可サービスです。Verified Permissions は、自動推論テストと差分テストを使用して構築されたアクセスコントロール用のオープンソース言語である [Cedar](https://www.cedarpolicy.com/en) を使用します。Cedar は、どのユーザーがどのリソースにアクセスできるかを説明するポリシーとしてアクセス許可を定義するための言語です。また、これらのポリシーを評価するための仕様でもあります。Cedar ポリシーを使用して、アプリケーションの各ユーザーが実行できる操作とアクセスできるリソースを制御します。Cedar ポリシーは、ユーザーがリソースを操作できるかどうかを決定する*許可**禁止*ステートメントです。ポリシーはリソースに関連付けられており、リソースに複数のポリシーをアタッチできます。*禁止*ポリシーは*許可*ポリシーを上書きします。アプリケーションのユーザーがリソースに対してアクションを実行しようとすると、アプリケーションは Cedar ポリシーエンジンに認可リクエストを行います。Cedar は該当するポリシーを評価し、 `ALLOW`または `DENY`の決定を返します。Cedar は、任意のタイプのプリンシパルとリソースの認可ルールをサポートし、ロールベースおよび属性ベースのアクセスコントロールを可能にし、ポリシーの最適化とセキュリティモデルの検証に役立つ自動推論ツールによる分析をサポートします。
+ [AWS Identity and Access Management Access Analyzer](https://docs.aws.amazon.com/IAM/latest/UserGuide/what-is-access-analyzer.html) は、アクセス許可の管理を合理化するのに役立ちます。この機能を使用すると、未使用のアクセスを削除して、きめ細かなアクセス許可の設定、意図したアクセス許可の検証、アクセス許可の絞り込みを行うことができます。IAM Access Analyzer は、ログにキャプチャされたアクセスアクティビティに基づいてきめ細かなポリシーを生成します。また、ポリシーの作成と検証に役立つ 100 を超えるポリシーチェックも提供します。IAM Access Analyzer は、実証可能なセキュリティを使用してアクセスパスを分析し、リソースへのパブリックアクセスとクロスアカウントアクセスの包括的な検出結果を提供します。このツールは [Zelkova](https://aws.amazon.com/blogs/security/protect-sensitive-data-in-the-cloud-with-automated-reasoning-zelkova/) 上に構築されており、IAM ポリシーを同等の論理ステートメントに変換し、問題に対して汎用および特殊な論理ソルバー (充足可能性モジュロ理論) のスイートを実行します。IAM Access Analyzer は、ポリシーが許可する動作のクラスの特徴を明確にするクエリを使用して Zelkova を繰り返しポリシーに適用します。アナライザーは、外部エンティティが信頼ゾーン内のリソースにアクセスしたかどうかを判断するためにアクセスログを調べません。リソースベースのポリシーが、外部エンティティによってリソースにアクセスされなかった場合でも、リソースへのアクセスを許可すると、検出結果が生成されます。満足度モジュロ理論の詳細については、「Handbook of Satisfiability」の[「Satisfiability Modulo Theories](https://people.eecs.berkeley.edu/~sseshia/pubdir/SMT-BookChapter.pdf)」を参照してください。\* **
+ [Amazon S3 パブリックアクセスブロック](https://aws.amazon.com/s3/features/block-public-access/)は、バケットやオブジェクトへのパブリックアクセスにつながる可能性のある設定ミスをブロックできる Amazon S3 の機能です。アクセスポイント、バケット、アカウント、および AWS 組織 (アカウントの既存バケットと新規バケットの両方に影響) に対して Amazon S3 パブリックアクセスのブロックを有効にできます。パブリックアクセスは、アクセスコントロールリスト (ACL)、バケットポリシー、またはその両方からバケットおよびオブジェクトに付与されます。特定のポリシーまたは ACL がパブリックと見なされるかどうかの判断は、Zelkova 自動推論システムを使用して行われます。Amazon S3 は Zelkova を使用して各バケットポリシーをチェックし、権限のないユーザーがバケットを読み書きできるかどうかを警告します。バケットにパブリックとしてフラグが付けられている場合、一部のパブリックリクエストはバケットへのアクセスが許可されます。バケットにパブリックではないフラグが付けられている場合、**すべての**パブリックリクエストは拒否されます。Zelkova は IAM ポリシーを正確に数学的に表現しているため、このような判断を行うことができます。ポリシーごとに数式を作成し、その数式に関する定理を証明します。
+ [Amazon VPC Network Access Analyzer](https://docs.aws.amazon.com/vpc/latest/network-access-analyzer/what-is-network-access-analyzer.html) は、リソースへの潜在的なネットワークパスを理解し、意図しないネットワークアクセスの可能性を特定するのに役立つ Amazon VPC の機能です。Network Access Analyzer は、ネットワークセグメンテーションの検証、インターネットアクセシビリティの特定、信頼できるネットワークパスとネットワークアクセスの検証に役立ちます。この機能は、自動推論アルゴリズムを使用して、パケットがネットワーク内のリソース間で実行できる AWS ネットワークパスを分析します。次に、アウトバウンドトラフィックパターンとインバウンドトラフィックパターンを定義するネットワークアクセススコープに一致するパスの検出結果を生成します。Network Access Analyzer はネットワーク構成の静的な分析を行います。つまり、この分析の一環としてネットワーク内でパケットが送信されることはありません。
+ [Amazon VPC Reachability Analyzer](https://docs.aws.amazon.com/vpc/latest/reachability/what-is-reachability-analyzer.html) は、 AWS ネットワーク内の接続をデバッグ、理解、視覚化できる Amazon VPC の機能です。Reachability Analyzer は、仮想プライベートクラウド (VPC) 内のソースリソースと送信先リソース間の接続テストを実行できるようにする設定分析ツールです。送信先に到達すると、Reachability Analyzer は送信元と送信先間の仮想ネットワークパスのhop-by-hopの詳細を生成します。送信先に到達できない場合、Reachability Analyzer はブロッキングコンポーネントを識別します。Reachability Analyzer は自動推論を使用して、送信元と送信先の間にネットワーク設定のモデルを構築することで、実行可能なパスを特定します。次に、設定に基づいて到達可能性をチェックします。パケットを送信したり、データプレーンを分析したりすることはありません。
\* Biere、A. M. Heule、H. van Maaren、T. Walsh。2009 年。*満足度ハンドブック*。IOS Press、NLD。