AWS、組織のセキュリティインシデント対応を支援する「AWS Security Incident Response」を発表 アラートに圧倒されるセキュリティチームをどう支援？：「AWS Organizations」に統合

Amazon Web Servicesは、セキュリティイベントを迅速かつ効果的に管理し、企業のインシデント対応を支援する「AWS Security Incident Response」を発表した。

[＠IT]

　Amazon Web Services（AWS）は2024年12月1日（米国時間）、アカウント乗っ取り、データ侵害、ランサムウェア攻撃といったセキュリティイベントを迅速かつ効果的に管理する「AWS Security Incident Response」を発表した。

　「セキュリティチームはアラートの量に圧倒され、優先順位を見誤る可能性がある。手作業での調査はリソースを逼迫（ひっぱく）させ、重要なセキュリティアラートを見逃しかねない。複数のステークホルダー間での調整、さまざまな環境での権限管理、インシデント対応に関する文書化はプロセスを複雑化させる。セキュリティイベント中に顧客が直面するさまざまな事務作業にかかるコストを削減するサービスだ」と、AWSは述べている。

　AWSは、AWS Security Incident Responseの主な特徴、利用を開始する方法を次のように解説している。

AWS Security Incident Responseの主な特徴

検出されたセキュリティイベントの自動トリアージ

　AWS Security Incident Responseは、「Amazon GuardDuty」および「AWS Security Hub」でサポートされているサードパーティーツールにより検出されたリスクを自動的に優先順位付けした上で、即時対応が必要なセキュリティリスクを特定する。

通知ルールと権限設定

　事前設定された通知ルールとアクセス権限設定を提供する。これにより、内部のチームメンバーや外部のステークホルダー、サードパーティーのセキュリティプロバイダーにも通知やアクセス権限を拡張できる。

調査ツールと有人サポートを提供

　インシデント対応を支援する調査ツールを提供する。またAWS CIRT（Customer Incident Response Team）による24時間365日のサポートを利用することもできる。インシデントを独自に処理したり、サードパーティーのセキュリティツールと連携したりできる。

AWS Security Incident Responseの利用方法

　AWS Security Incident Responseは、「AWS Organizations」と統合されており、組織内の管理アカウントから利用できる。

　インシデント対応機能を有効化すると、AWS GuardDutyやサードパーティーの検出ツールの結果を監視および調査するためのサービスレベルの権限が作成される。AWS Security Incident Responseは、検出された脅威情報を分析して優先順位付けした上で、IPアドレスやAWS Identity and Access Management（IAM）などのデータを活用して自動修復を試みるという。

　「自動的に修復できない脅威が検出された場合は、セキュリティケースを作成し、顧客組織内のステークホルダーに通知する。特定のIAMロールを導入することで、リスクに対応するためのアクションを自動実行する権限も付与できる。顧客はインシデントの対応時間を短縮し、AWSアカウントとリソースに対するセキュリティイベントの影響を最小限に抑えられるようになる」と、AWSは述べている。

作成されたセキュリティケースのイメージ（提供：AWS）