📖

re:Invent 2025: SophosがAWS Local Zonesでサイバー攻撃のエッジ防御を強化した事例

に公開
AWS
reinvent2025sessio
idea

はじめに

海外の様々な講演を日本語記事に書き起こすことで、隠れた良質な情報をもっと身近なものに。そんなコンセプトで進める本企画で今回取り上げるプレゼンテーションはこちら!

re:Invent 2025 の書き起こし記事については、こちらの Spreadsheet に情報をまとめています。合わせてご確認ください

📖 re:Invent 2025: AWS re:Invent 2025-AWS Local Zones- Sophos’ new edge in the global race against cyber-attacks-HMC215

この動画では、SophosがAWS Local Zonesを活用してサイバーセキュリティのエッジ防御を強化した事例が紹介されています。国土安全保障省のレポートによると、サイバーインシデントの3分の2以上がネットワークエッジで発生しており、低レイテンシー保護が重要です。Sophosは60万以上の顧客を持ち、毎日223テラバイトのデータを処理し、340万の検出と1100万の脅威をブロックしています。脅威インテリジェンスサービスSXLを5つのリージョンから複数のLocal Zonesに展開することで、レイテンシー分布を劇的に改善し、特に南米などの高レイテンシー地域でパフォーマンスとセキュリティが向上しました。ハリケーン・ミルトン時のトラフィック急増にも自動スケーリングで対応し、システムの堅牢性が実証されています。今後はデフォルトでLocal Zoneにデプロイし、動的に測定・評価する戦略を採用します。

https://www.youtube.com/watch?v=EeBbeu4u8s8
※ こちらは既存の講演の内容を最大限維持しつつ自動生成した記事になります。誤字脱字や誤った内容が記載される可能性がありますのでご留意下さい。

本編

Thumbnail 0

ネットワークエッジのサイバーセキュリティ課題とAWS Local Zonesの概要

みなさん、こんにちは。本日はこのライトニングトークへようこそ。ご参加いただきありがとうございます。国土安全保障省の最近のサイバーセキュリティレポートによると、現在、サイバーインシデントの3分の2以上がネットワークエッジ、つまりユーザー、デバイス、データがクラウドと出会う地点で発生しています。これは毎ミリ秒が重要な最前線であり、Sophos が AWS Local Zones によって強化された新しいエッジディフェンスシステムを展開している場所です。この短いトークでは、その統計を逆転させ、攻撃面がある場所、まさにあなたが必要とする場所で低レイテンシー保護を提供する方法をお見せします。

私の名前は Ben Lavasani で、AWS のハイブリッドクラウドスペシャリストです。本日は Sophos の John Peterson と Simon Reed に同席していただき、すぐに彼らにバトンタッチします。ですが、詳細に入る前に、Local Zones の概念に皆さんが馴染めるよう、簡単な背景をお話ししたいと思います。

Thumbnail 70

Local Zones はハイブリッドクラウドポートフォリオの一部であり、私たちは顧客が必要とする場所に AWS サービスの継続性を構築しています。常に regions から始まります。私たちは引き続き regional インフラストラクチャを革新し、拡張していきますが、エンドポイントにより近い場所が必要な顧客がいます。これらは世界中の都市部、オンプレミス環境、そして far edge にある可能性があります。私たちはこれを一貫した方法で構築しており、同じ API、馴染みのあるサービス、同じ自動化ツールを使用しているため、このポートフォリオ全体でこれらのサービスのいずれかを非常に一般的な方法で使用できます。

Thumbnail 120

Local Zones は AWS によって管理・展開され、世界中の都市部に拡張しています。これらは低レイテンシーワークロードとローカル処理を実現するように設計されています。Local Zone で on-demand Elastic Compute Cloud インスタンスを実行でき、親 region を拡張します。例えば、ここに Las Vegas にあるものがあり、Oregon region に接続して拡張しているため、Las Vegas でローカルに AWS Cloud にアクセスできます。ハイブリッドモードでも使用できるため、region に拡張して regional サービスも使用できます。多くの顧客がそうしています。もちろん、先ほど述べたように、同じ API と統合されています。

Thumbnail 160

これは場所を示すための短い地図です。私たちは US から始めたため、大多数はそこにあります。紫色のものはすべて generally available で、白色のものはすべて planning 中です。Europe、Middle East、Africa、そして Australia、New Zealand、Asia Pacific、South America に拡張しています。ここに他の場所の例をいくつか示して、local regions 間の近接性がどのようなものかを見ることができます。

Thumbnail 190

かなり遠いので、レイテンシーとレジデンシーの両方に大きな価値があります。これが簡潔な背景説明でした。このライトニングトークは主に Sophos チームについてなので、ここで John に話を譲りたいと思います。

Thumbnail 210

Sophosの使命:大規模データ処理による脅威検出と対応

ありがとうございます、Ben。皆さん、こんにちは。聞こえていますか?素晴らしい。私は John Peterson で、Sophos の Chief Development Officer です。つまり、会社全体のエンジニアリングと製品開発を担当しています。私は Simon Reed と密接に協力しており、彼もすぐに登壇する予定です。

本日の主な役割は、Sophos について簡潔に説明することで、私たちが何をしているのかを皆さんに理解していただくことです。まず、Sophos はサイバーセキュリティのパイオニアの一つであり、1980年代半ばにアンチウイルスを始めた最初の企業の一つです。それ以来、私たちは当然ながらビジネスを多角化し、何度も自分たちを再発明してきました。今日、私たちは世界最大級のサイバーセキュリティベンダーの一つであり、60万以上の顧客と、その顧客ベースにサービスを提供する2万5千のチャネルパートナーを持っています。

そのため、私たちの主要なミッションは、本当にサイバーセキュリティの良い成果を大衆にもたらすことです。私たちの見方は、すべてのビジネスが企業規模に関わらず優れたサイバーセキュリティの成果を得るべきだということであり、過去40年間のミッションはそれを現実にすることでした。ご想像の通り、そして右側のこのファネルから見ることができるように、サイバーセキュリティは非常にデータ集約的なビジネスです。今日の私たちのポートフォリオ全体を見ると、主に extended detection and response と managed detection and response のオファリングによって駆動されており、私たちのシステムは毎日223テラバイトの生データを処理しています。

そのペイロードから、私たちは毎日340万の一意の検出を抽出しています。私たちは1100万の脅威をブロックし、1,100件のケースを MDR チームが分析・調査するために表面化させており、これは最終的に私たちの顧客ベース内で毎日200以上の実際の脅威アクターが停止されることになります。私たちはこの事実を非常に誇りに思っており、Local Zones がすべてのお客様にこれらの成果を達成するのにどのように役立ったかについて、もう少し詳しく聞くことになります。

Thumbnail 360

SXLサービスのLocal Zones展開:レイテンシー削減の実践と教訓

では Simon に引き継ぎたいと思います。彼が皆さんのために説明してくれます。ありがとうございます、JP。ご覧の通り、私たちの製品とサービスのデプロイメントの規模を見ていただきました。私は Sophos で脅威インテリジェンスを担当しており、これは基本的に私たちの製品が顧客を情報提供し保護することを可能にしてきたすべての決定とインテリジェンスです。

脅威インテリジェンスについて重要なことは、複数の場所で利用可能である必要があるということです。はい、それは私たちの製品に含まれていますし、はい、クラウドにもありますが、ここで重要な要素は、それが体系的なユニットとして機能する必要があるということです。私たちは今日、グローバルインフラストラクチャの重要な要素の 1 つについて話すためにここにいます。それが SXL、Sophos Extensible List です。これは基本的に私たちがクラウドで提供するサービスで、AWS 上に構築されており、私たちのすべての製品とサービスを脅威インテリジェンスクラウドに接続しています。ご覧の通り、私たちはこれの多くのイテレーションを経てきました。これは 2007 年に最初に開発され、現在はこのテクノロジーの第 4 世代です。これは私たちが製品に、そして顧客ベースにインテリジェンスを取り込む方法にとって絶対に重要です。

歴史的には、これは 5 つの AWS リージョン全体にわたる大規模なサービスのセットとしてデプロイされていました。数字からわかるように、これは広範に使用されています。私たちのすべての製品は基本的に脅威インテリジェンスプラットフォームに永続的に接続されています。これらの数字は大きいですが、今日 AWS にいる多くの企業と比較すると、彼らはより大きな数字を持っています。これらの数字に関して 1 つの重要な差別化要因があります。私たちは攻撃を停止するビジネスをしています。これは私たちの製品が基本的に顧客の環境内で機能を停止しているラインにあることを意味します。私たちの製品はローカルな意思決定を持っており、これは特に高速ですが、時々脅威インテリジェンス製品に戻って到達する必要があります。これは基本的に私たちの全体的なシステム内にいくらかのレイテンシーを導入します。レイテンシーがこれほど重要である実際の場所またはサービスがデプロイされている場所はほとんどありません。

Thumbnail 490

私たちが提供していたこのサービスに関連して、顧客ベース全体にわたって広範なレイテンシーの広がりに直面していました。私たちは下のグラフの状況にありました。これは私たちの元のサービスで、レイテンシーの広がりは地球全体でベルカーブを描いていました。私たちはほぼ世界中のすべての国に広がるグローバルな顧客ベースを持っています。ここで私たちが持っていた状況は、中程度から低いレイテンシーを持っていて、私たちは良い位置にいたということです。私たちは顧客のトラフィック、それがエンドポイント、メール、ファイアウォール、またはクラウドインフラストラクチャであるかどうかを遅くしていませんでした。しかし、私たちが発見していたのは、レイテンシーがより高い領域に入ると、私たちは基本的にパフォーマンスの観点から顧客が機能する能力を遅くしたり影響を与えたりしていたということです。

最悪のシナリオでは、レイテンシーが非常に高いレベルに達すると、製品にタイムアウトがありました。脅威インテリジェンスが私たちの製品に到達していなかったのです。そしてそこでのトレードオフは、単なるパフォーマンスの低下ではなく、脅威インテリジェンスの低下でした。私たちは Local Zones チームと一緒にプロジェクトを実施し、このサービスを提供する方法のグローバルレイテンシーに劇的な変化をもたらし、基本的にそのベルカーブを低い領域に劇的に移動させました。

Thumbnail 580

ここで重要なのは、私たちがどこから始まったかということです。私たちのサービスは5つのリージョン、つまり5つの AWS リージョンに効果的にデプロイされており、広大な地理的エリアにサービスを提供していました。この分析で分かったことは、これらの各エリアでレイテンシーに大きなばらつきがあったということです。当然のことながら、北米と南米の間には大きな分布があります。

Thumbnail 620

しかし、米国内でさえ、AWS リージョンを使用する際に、お客様の視点からはレイテンシーに大きなばらつきがあるのです。これは、特に南米のあるエリアで Local Zone に移行した時の例です。赤はそのリージョンにおける私たちの製品のレイテンシーが大きく低下していることを示しており、黄色はパフォーマンスが境界線上にあることを示し、緑はレイテンシーが許容範囲内にあることを示しています。ご覧の通り、Local Zone をデプロイして SXL サービスをお客様により近い場所に移動させたことで、そのお客様ベース内全体のレイテンシー分布に劇的な改善をもたらしました。

Thumbnail 660

Thumbnail 690

これが Local Zone のデプロイに関する現在の状況です。このダイアグラムでは、より大きなエリアのリージョンと Local Zone のデプロイメントが見られます。私たちはこれらのゾーンのデプロイに関して中盤の段階にあり、主にラテンアメリカと北米に焦点を当ててきました。これからどこへ向かうかというと、私たちはこの問題を逆転させています。この旅を始めた時、私たちは本当にどの Local Zone に配置するかについて手動で評価することを望んでいませんでした。私たちは本質的にこのテクノロジーに関連するデプロイメント戦略を変更しています。

デフォルトで Local Zone にデプロイします。その後、そのリージョン内のお客様のレイテンシーの変化を動的に測定し、その実際の測定に基づいて、その Local Zone をそのまま保持するかどうかを判断します。これはレイテンシーの観点からお客様ベースに価値を提供しているため保持するか、またはその環境から撤退するかのいずれかです。このアプローチの動的な性質は必要不可欠です。なぜなら、Local Zone にデプロイすべきかどうかについての事前分析は、インターネットの複雑さ、その配線方法、そしてお客様の視点からのデプロイメントの複雑さを考えると、特に困難だからです。ですから私たちは、デプロイして、試して、測定して、そして私たちが何をしているのかを理解するというルートを進んでいます。

Thumbnail 770

Thumbnail 790

Thumbnail 800

AWS がなければアーキテクチャスライドはありません。事前に、アーキテクチャスライドを用意する必要があると言われたので、ここにあります。ここにあるのは、AWS Local Zone と通信する私たちの製品とサービスです。私たちは EC2 と Route 53 のコアテクノロジーに基づいています。これは本質的に、すべての複雑なアーキテクチャを含む私たちの既存のより大きなリージョンに通信を返します。ここで興味深いのは、非常に洗練されたキャッシング層をリージョンから Local Zone に移動させたということです。私たちのアーキテクチャはこれを可能にし、洗練されたキャッシングをお客様により近い場所にデプロイすることができ、これらすべての結果をもたらしました。

Thumbnail 840

ラボでの測定はもちろん重要ですが、このテクノロジーを実際に試してみると、興味深いことが起こります。これが私たちの初めてのローカルゾーンのデプロイメントでした。テクノロジーを試し、実際にどのように動作するかを理解することを確認するために、チームが手動で行ったもので、フロリダで実施されました。ローカルゾーンをデプロイして、チームがすべてのメトリクスを監視していました。通常の状況ではすべてが順調に進んでいて、すべてのライトが緑色でした。そして突然、ハリケーン・ミルトンが現れました。ハリケーンがフロリダを通過し、フロリダ地域全体で大規模な停電が発生し、場合によっては数日間停電が続くという状況に直面しました。最終的に復旧が始まり、コンピュータシステムが立ち上がりました。ここで興味深いのは、上のグラフが明らかに、そのローカルゾーン地域を通る通常の日次トラフィックフローを示しており、1000単位で測定されています。

下のグラフは、ハリケーン・ミルトンの後の数日間に実際に何が起こったかを示しています。ここで起こっていることは、電力が戻ってくるにつれてコンピュータシステムが大量にオンになり、製品の観点からすると、すべてのローカルキャッシュが削除されているということです。私たちの製品はまた、再起動時にシステムをスキャンし直し、機能を確認するようにチューニングされています。そのローカルゾーンを通過するボリュームの劇的な増加が見られます。良いニュースは、すべてが保持され、すべてが自動スケーリングされ、この期間を通じて脅威保護からの継続的なサービスがあったということです。これはシステムの本当に良いテストであり、チームが非常に誇りに思っていることです。

Thumbnail 980

最後に、この観点から私たちの教訓は何かということです。このサービスのレイテンシーを削減する機会があることは常に知っていました。もっと多くのリージョンをデプロイすべきかどうかについて、何度も議論してきました。しかし、それが本当にゲームチェンジャーだとは思いませんでした。多くの地域で状況を改善していたでしょうが、それは根本的な変化でしたか?私たちは実質的にここに座っていて、問題が何であるかを知っていて、この問題からの脱出方法に満足していませんでした。その時、Local Zones の発表を見かけました。プレスリリースと Local Zones に関するすべての情報を読むのに60秒もかかりませんでした。これが私たちのゲームチェンジャーの機会だと気づきました。

次に、強力なアーキテクチャが不可欠です。私たちは脅威インテリジェンスクラウドに持っていたアーキテクチャのおかげで、この変更を比較的簡単に行うことができました。しかし、アーキテクチャだけが私たちを助けたわけではありません。私たちは本当にダイナミクス、データ、メトリクス、そして Local Zones に移動した基礎を効果的に形成したフロントエンドのキャッシング層とバックエンドの脅威インテリジェンスサービス間の相互作用を理解していました。変更を加える前に、それを理解していたので、単なるアーキテクチャではありません。アーキテクチャ全体を通じたフローとメトリクスは本当に重要です。

このジャーニーを通じて、Local Zones チームとの直接的な連絡を取ることが本当に役に立ちました。プレスリリースを見て、これをやりたいと思ったらすぐに、AWS のアカウント担当者に連絡を取り、Local Zones チームと直接連絡を取りました。私たちは基本的に、これが何であるかについての私たちのビジョンを強く押し出しました。発表時には US のみでしたが、私たちは、ちょっと待ってください、地球の他の地域はどうなのですか?もしこれをやるなら、すべてのメトロリージョンに触れたいと言いました。私たちは Local Zones サービスチームと協力しました。ここでの教訓は、AWS サービスチームに対して大胆になることです。

最後になりますが、私たちが皆で構築するサービスは複雑で高度なものです。現実の世界で何が起こるかを高い精度で予測することは難しいです。早期にデプロイして、測定して、そしてハリケーンのような状況が発生したときには、それを自分たちがやっていることをストレステストする機会として活用し、そこから利益を得てください。皆さん、このトークをありがとうございました。私は John Peterson と一緒に後ろに立っていますので、彼はあそこにいますが、Sophos が何をしているのか、low latency 環境、そして私たちが threat intelligence をどこに展開しているのか、そしてなぜこれが今後の私たちの取り組みにおいて重要なのかについて、もっと詳しくお話しする準備ができています。皆さん、ありがとうございました。

※ こちらの記事は Amazon Bedrock を利用し、元動画の情報をできる限り維持しつつ自動で作成しています。

Discussion