こんにちは!SCSKの髙橋です🌸
この記事では、AWS Summit Japan 2025に参加して得た知見をご紹介します。
AWS Summitについて
ご存じの方が多いと思いますが、AWS SummitはAWSが開催する情報交換や事例紹介のためのイベントで、2025は幕張メッセで開催されました。
まじめな技術要素の展示以外にも、企業がおもしろいイベントを企画していたり(くじ引きとか、VR体験会のようなものも見ました)
セッションがあらかた終わったあと、夕方以降にはお楽しみイベントがあったりします。
クイズ大会はエンジニア vs Quiz Knockの戦いがなかなか熱い展開でしたね。去年より規模が大きくなっていました!来年も楽しみです。
早押しクイズ大会の様子
また、たくさん資格を取ると表彰式で拍手がもらえるようです。
(SCSK社員もたくさん表彰されていました!)
あっ!弊社
AWS Security Incident Response を活用したインシデント対応
今回私が聴講したセッションの中で、持って帰りたいと思ったのはこの話題です。
端的に言うと2024年12月のre:Inventでに発表された比較的新しいサービスの紹介なのですが、(全然知らなかった・・・)
AWS Security Incident Response – AWS
その前段の話が大変共感を呼ぶ内容でしたので、有効活用できる場面があるのではと感じました。
従来のインシデント対応における課題
まず、セッションの中で紹介されていた、従来のインシデント対応での課題(つまり、AWS Security Incident Responseで解決できそうな課題)について触れさせてください。
ざっとまとめると以下のような内容でした。現場によっては回避できている課題もあるとは思いますが、どれもなんとなく聞いたことのある話です。
- コミュニケーション
インシデントが起きても誰に報告していいかわからない、誰が作業の承認をできるのかわからない、など
コミュニケーションがボトルネックになってしまう状況があるという課題です。 - アラートのトリアージ
全てのアラートをしっかり確認する時間も人員もなく、対応が必要なアラートの見極めも難しいという課題です。 - ツールとメカニズム
何度も同じアラートが起きていても、アラート発生時に過去の対応をチェックするツールが無く、
同じインシデント対応を繰り返してしまうという課題です。
本題から逸れるので割愛しますが、このあとも、セキュリティ担当者の84%がストレスや疲労を抱えている、といった生々しい話が続きました。
AWSが課題をどう解決してくれるのか
そこで、AWS Security Incident Responseが、
お客様のセキュリティインシデントのより早く効率的な準備、対応、復旧を支援します。
とのことです。
具体的な例がないとわかりづらいですね。
- アラートの監視と調査を自動化し、必要な時だけ通知してくれる
- インシデントの対応メンバーをあらかじめ登録・管理できる
- AWSのCirtチームから24/7の支援を受けられる
メインの機能としては上記のような部分ということです。
紹介されていた事例として、例えばS3バケットに大量のデータ削除などがあった場合、
GuardDutyで検知した内容をEventBridgeでAWS Security Incident Responseに連携することができます。
自動的にAWS Security Incident Responseがインシデントの内容をトリアージし、対処が必要と判断した場合にケースを作成します。
このケースは自分で作成することもできます。
インシデントの作成も、AWS側だけでなく、自分からできます。
予め登録しておいた連絡先に通知が飛び、対応が始まります。
AWSのCirtチームに助けてほしい場合は、ボタン一つで切り替えることができるそうです。
これら全てがコンソールで操作でき、メンバーとのやりとりもダッシュボード上で行えます。(チャット、ビデオ通話など)
AWS Incident Detection and Response との違い
そういえば、似たようなサービスが無かったかな・・・と探してみたら、ありました。
AWS Incident Detection and Response とは
AWS Incident Detection and Response は、対象となる AWS エンタープライズサポートのお客様に、障害の可能性を減らし、重要なワークロードの中断からの復旧を加速するための、プロアクティブなインシデント対応を提供します。
触ったことがないと、サービス同士の違いがいまいちわかりにくいです。名前も似ています。どう違うのかAIに聞いてみました。
Security Incident Response はセキュリティインシデントに特化しているので、データの侵害や不正アクセスへの対処がメインになりそうです。Incident Detection and Response の方が汎用的で日常的な使い方ができます。
また、Security Incident Response のほうが顧客が自立して動くのではなくAWS側が動いてくれるという要素が強くて、
インシデントの発見よりはその後の対応に重きを置いているというような感じです。(試験対策のようになってしまいましたね・・・)
気になるお値段
料金次第で、少し触って感触を確かめてみようかと思ったのですが・・・
AWS セキュリティインシデント対応の価格
料金は、登録されたアカウント全体の AWS の月間利用額に基づいており、最低月額料金は 7,000 USD です。AWS の費用が増えると、階層によって異なるパーセンテージを支払うことになります。より高いレートは、新しい各階層の支出額にのみ適用されます。
階層 1: AWS の月間利用額が最初の 0 USD から 125,000 USD の場合、最低月額料金 7,000 USD
階層 2: 前の階層の合計 + 次の 125,000 USD から 250,000 USD までの支出の 5.0%
階層 3: 前の階層の合計 + 次の 250,000 USD から 500,000 USD までの支出の 3.5%
階層 4: 前の階層の合計 + 次の 500,000 USD から 1,000,000 USD までの支出の 1.5%
階層 5: 前の階層の合計 + 1,000,000 USD を超える支出の 0.5%
最低100万円ですか・・・エンジニア一人分ですかね?ちょっとだけ触って試してみるのは難しそうです🥺
(Incident Detection and Response と価格帯は同じのようです)
体験版として触れる機会が無いか少し探してみたのですが、確認した範囲では見つかりませんでした。
最後に
どれくらいスムーズに対応できるようになれるか、使ってみないとやはりなんとも言えそうにないですが、
セキュリティインシデント対応のフローがあまり定まっていないシステムだったら、導入することでかなり考えることが少なくなる気がします。
夜中に叩き起こされている皆さんが、少しでも安眠できるようにというのと、対応後の管理もお任せできるので、あとから「これってどういう対応したんだっけ?」というのも探しやすくなるみたいです。
ちなみに、ご紹介したセッションのオンデマンド配信は2025/7/11までと聞いていましたが、なぜか2025/7/28現在も利用可能です。
いつまで公開されているかわかりませんが、リンクを置いておきます。
AWS Security Incident Response を活用したインシデント対応