コラボスタイル DevelopersPublicationへの投稿
🦀

re:Invent2025 直前に re:Invent2024 からこれまでを振り返る

えかてりーな
に公開
AWS
Security
reinvet
idea

re:Invent 2025直前にre:Invent 2024からこれまでを振り返る

いよいよ、re:Invent 2025 が始まりますね。
初日は JAWS-UG DE&I と JAWS-UG Sales 合同で keynote を同時視聴予定です!
よければ一緒にわいわいしましょう。
https://jawsug-sales.connpass.com/event/375962/

開幕ムードが高まってきたこのタイミングで、re:Invent 2024 から今日までのアップデートを、セキュリティ寄りにざっくり振り返ってみます。

はじめに

この1年間を振り返ると、AWSのセキュリティ分野では「組織全体のガバナンス強化」と「AI/ML活用による脅威検知の高度化」が大きなテーマだったように感じます。特に re:Invent 2024 で発表された Organizations 周りの新ポリシータイプや、2025年6月の re:Inforce で発表された Security Hub の大幅刷新は、マルチアカウント環境を運用している方にとって見逃せないアップデートでした。

それでは、時系列で書き並べてみます。

2024年11月 〜 pre:Invent / re:Invent 2024

re:Invent 本番の数週間前から「pre:Invent」と呼ばれる時期に入り、毎年多くのアップデートが発表されます。2024年もセキュリティ関連で重要な発表が続きました。

Resource Control Policies (RCPs) の登場

Organizations にリソースベースのポリシータイプ「Resource Control Policies (RCPs)」が追加されました。従来の SCP が「プリンシパル(IAMユーザーやロール)に対して何ができるか」を制限するのに対し、RCP は「リソースに対して誰がアクセスできるか」を組織全体で制御します。

これにより、S3 バケットや Secrets Manager のシークレットなどに対して、組織外部からのアクセスを一括でブロックするような「データ境界(Data Perimeter)」の実装が格段に楽になりました。SCP と RCP を組み合わせることで、より堅牢なガードレールを敷けるようになっています。

Amazon EC2 instance configuration policies (宣言型ポリシー)

EC2 の インスタンス設定ポリシー(Declarative Policies)が登場しました。SCP や RCP が API レベルでのアクセス制御なのに対し、Declarative Policies はサービスの設定状態そのものを強制します。

対応する設定には以下のようなものがあります。

  • IMDSv2 の強制(SSRF対策として重要)
  • VPC Block Public Access
  • EBS スナップショット / AMI のパブリックアクセスブロック
  • 許可する AMI の制限

カスタムエラーメッセージを設定できる点や、適用前に「Account Status Report」で影響範囲を確認できる点も実用的です。新しいアカウントが追加されても自動で継承されるため、運用負荷を下げながらセキュリティベースラインを維持できます。

Centralized Root Access Management

AWS Account Management の新機能で、AWS アカウントのルートユーザー管理が組織レベルで可能になりました。ルートユーザーのクレデンシャルを削除しつつ、緊急時には Organizations 経由で一時的なルートセッションを発行できます。

「S3 バケットポリシーを間違えてロックアウトした」といった緊急事態に、ルートユーザーの認証情報を各アカウントに持たせることなく対応できるのはありがたいですよね。

VPC Block Public Access

IGW 経由のパブリックアクセスを組織単位でブロックできる機能です。前述の Declarative Policies と統合されていて、「うっかり EC2 をパブリックサブネットに置いてしまった」といったミスを根本から防げます。

AWS Security Incident Response

セキュリティインシデント対応を支援する新サービスが GA になりました。GuardDuty や Security Hub と統合されており、検知からトリアージ、対応までのワークフローを効率化できます。24時間365日、AWS の CIRT(Customer Incident Response Team)にアクセスできる点も心強く、ケースをエスカレートすると15分以内に応答してくれます。

当初は最低月額$7,000〜という価格が話題になりましたが、2025年11月に従量課金制(月10,000 findings まで無料)に変更されました。

GuardDuty Extended Threat Detection

GuardDuty に AI/ML を活用した拡張脅威検知機能が追加されました。複数のシグナルを相関分析し、認証情報の窃取、権限昇格、データ流出といった多段階攻撃を検知できます。

Amazon Cognito の大型アップデート

Cognito も大きく進化しました。

  • Managed Login: カスタマイズ可能なサインイン/サインアップ UI
  • Passwordless 認証: Passkeys、メール/SMS OTP のサポート
  • 新価格体系(Lite / Essentials / Plus): ユースケースに応じた機能選択が可能に

Plus ティアは Advanced Security(脅威保護)を標準で利用できるプランになっており、セキュリティ重視のアプリケーションに向いています。

その他の注目アップデート

  • CloudFront VPC Origins: プライベートサブネットの EC2 / ALB / NLB を、CloudFront からのみ到達可能なオリジンとして公開できる機能
  • Security Lake と OpenSearch Service の Zero-ETL 統合: セキュリティログを取り込まずにそのまま検索・可視化でき、分析を効率化
  • S3 デフォルトデータ完全性保護: アップロード時のチェックサム検証がデフォルト有効になり、書き込み時点でデータ破損を検知可能に

2025年1月〜3月

Cognito 脅威保護のカスタム認証フロー対応

Cognito の Advanced Security Features(脅威保護)が、カスタム認証フローでも利用可能になりました。Passwordless 認証などを実装している場合でも、リスクベースの適応認証を適用できます。

Bedrock Guardrails クォータ増加(2月)

Bedrock Guardrails の API コールレートが 2 倍(25 → 50 TPS)、コンテンツフィルターのスループットが 8 倍に向上しました。生成 AI アプリケーションのスケール時に安心感があります。

2025年4月〜5月

Bedrock Guardrails 新機能(4月)

Guardrails に以下の機能が追加されました。

  • Detect モード: 本番適用前にポリシーの効果をプレビュー
  • 入力/出力の個別設定: プロンプトとレスポンスで異なるポリシーを適用可能
  • Block/Mask の柔軟な選択: PII 検出時のアクションをより細かく制御

特に Detect モードは、Guardrails を導入する際の検証作業を大幅に効率化してくれます。

Network Firewall 複数 VPC エンドポイント対応(5月)

1つの Network Firewall で最大 50 の VPC エンドポイントを関連付けられるようになりました。複数 VPC を保護する際の運用コストが下がります。

2025年6月〜re:Inforce 2025

AWS の年次セキュリティカンファレンス re:Inforce 2025 がフィラデルフィアで開催され、多くの重要発表がありました。

IAM MFA 100% 強制達成

ルートユーザーに対する MFA 強制が全アカウントタイプで完了しました。
FIDO2 Passkeys もサポートされ、1ユーザーあたり最大8つの MFA デバイスを登録可能に。「MFA はアカウント保護の最も効果的な対策」という AWS のメッセージが改めて強調されていました。

IAM Access Analyzer - Internal Access Findings

IAM Access Analyzer に「Internal Access」機能が追加されました。
組織内のプリンシパルが S3 バケットや DynamoDB テーブルなどの重要リソースにどのようなアクセス権を持っているかを、自動推論技術で分析・可視化できます。

外部アクセスのチェックに加えて内部アクセスも一元管理できるようになり、最小権限の原則を実践する上で非常に有用です。

新しい AWS Security Hub(プレビュー)

Security Hub が大幅に刷新されました。GuardDuty、Inspector、Macie、CSPM などからの検出結果を自動的に相関分析し、「アクティブなリスク」として優先順位付けしてくれます。

AWS の紹介では「テスト環境でアラート量が最大 60% 削減された」とされており、アラート疲れに悩むセキュリティチームには朗報です。OCSF(Open Cybersecurity Schema Framework)対応により、サードパーティツールとのデータ連携も改善されています。

GuardDuty Extended Threat Detection - EKS 対応

Extended Threat Detection が EKS クラスターにも対応しました。Kubernetes Audit ログ、ランタイム挙動、AWS API アクティビティを相関分析し、コンテナ環境を狙った多段階攻撃を検知できます。

AWS Shield network security director (プレビュー)

Shield にネットワークセキュリティ態勢管理機能が追加されました。VPC リソースを自動検出し、DDoS 攻撃や SQL インジェクションに対する脆弱なポイントを可視化できます。
Amazon Q Developer と連携しており、自然言語でネットワーク構成について質問しながら、推奨設定や修正案を確認できるのも特徴です。

Network Firewall - AWS active threat defense マネージドルールグループ

AWS の脅威インテリジェンス基盤「MadPot」を活用したマネージドルールグループが追加されました。
マルウェアホスティング URL やボットネットの C&C サーバー、暗号資産マイニングプールなど、アクティブな脅威インフラへの通信を自動的にブロックし、Network Firewall の防御力強化が可能です。

AWS WAF 新コンソール体験

WAF のコンソールが刷新され、「Rule Packs」という事前構成済みのルールセットが利用可能になりました。アプリケーションタイプを選択するだけで推奨ルールが適用され、AWS の説明では設定時間が最大 80% 削減されるとされています。

CloudFront 簡素化されたオンボーディング

CloudFront のセットアップが大幅に簡素化されました。ドメイン名を入力するだけで、TLS 証明書のプロビジョニングや Route 53 利用時の DNS 設定、WAF Rule Packs の適用まで含めたディストリビューションを、数クリックで作成が可能です。

2025年7月 〜 11月

Bedrock Guardrails Automated Reasoning Checks GA(8月)

re:Invent 2024 でプレビューされていた「Automated Reasoning Checks」が GA になりました。形式検証技術を使って AI の出力がドメイン知識やポリシーに準拠しているかを検証し、ハルシネーションを最大99%の精度で検出できるそうです。

規制産業での生成 AI 活用において、数学的に証明可能な保証を提供できる点が画期的です。

Cognito Resource Indicators for OAuth 2.0(10月)

OAuth 2.0 のリソースインジケーター(RFC 8707)がサポートされました。アクセストークンのスコープを特定のリソースに限定でき、より細かいアクセス制御が可能になります。

Bedrock Guardrails コード関連ユースケース対応(11月)

Guardrails がコード内の有害コンテンツも検出可能になりました。
コメント、変数名、関数名、文字列リテラルに含まれる有害コンテンツや PII を検出し、プロンプト漏洩の試行もブロックが可能です。

Network Firewall AWS Marketplace Managed Rules(11月)

Check Point、Fortinet、Infoblox、Lumen、Rapid7、ThreatSTOP、Trend Micro といったパートナーが提供するマネージドルールを、AWS Marketplace から直接利用できるようになりました。各社が継続的に更新する脅威インテリジェンスを、Network Firewall のルールグループとして簡単に組み込めます。

IAM VPC Endpoints 新 Condition Keys(11月-12月)

VPC エンドポイント経由のアクセス制御に使える新しい IAM グローバル条件キーが追加されました。エンドポイントが属するアカウント、組織パス、組織全体レベルでアクセスを制限でき、データ境界の実装がさらに容易になります。

おわりに

こうして振り返ると、Organizations 周りの強化(RCP、Declarative Policies)、脅威検知の高度化(GuardDuty XTD、Security Hub 刷新)、生成 AI 向けのセーフガード(Bedrock Guardrails)と、かなり充実した1年だったことがわかります。

もうすぐ keynote が始まりますね。
個人的には、サーバーレスを推奨しつつもやはり毎年 EC2 周りのアップデート情報がとても楽しみです。私はずっと好きなサービスは EC2 です!

皆さんも最高の1週間をお過ごしください!

参考リンク一覧(クリックで展開)

re:Invent 2024 / AWS 公式まとめ

コラボスタイル Developers
コラボスタイル DevelopersPublication

「ワークスタイルの未来を切り拓く」を理念に掲げ、リアルとデジタルの2つの働く場に向けた事業展開に留まらず、自社が率先して新しいワークスタイルに挑戦し、発信を行うことでワークスタイルの未来を切り拓いていきます。

Discussion