📖

re:Invent 2025: AWS Network Firewallの新機能 - マネージドルールによる脅威防御の自動化

に公開
AWS
reinvent2025sessio
idea

はじめに

海外の様々な講演を日本語記事に書き起こすことで、隠れた良質な情報をもっと身近なものに。そんなコンセプトで進める本企画で今回取り上げるプレゼンテーションはこちら!

re:Invent 2025 の書き起こし記事については、こちらの Spreadsheet に情報をまとめています。合わせてご確認ください

📖 re:Invent 2025: AWS re:Invent 2025 - Level up your AWS Network Firewall rules for maximum protection (SEC231)

この動画では、AWS Network FirewallのプロダクトマネージャーAmish Shahが、複雑性を増すことなくワークロードを保護する新機能を紹介しています。完全マネージド型のファイアウォールサービスとして、AZ当たり最大100ギガビット/秒のスケーラビリティを提供し、イングレス・エグレスフィルタリング、VPC間セキュリティなどのユースケースに対応します。主な新機能として、Amazon Madpotインフラストラクチャを活用し10分ごとに更新されるAWS managed rulesの「アクティブ脅威防御」、そしてCheckpoint、Fortinet、Infoblox、Lumen、Rapid7、Trend Micro、Threat Stopなど7社のパートナーによるAWS Partner managed rulesが発表されました。これらはコンソールから数クリックで導入でき、パートナーが常に更新するため、手動管理が不要になります。

https://www.youtube.com/watch?v=iyT2TJrZhC8
※ こちらは既存の講演の内容を最大限維持しつつ自動生成した記事になります。誤字脱字や誤った内容が記載される可能性がありますのでご留意下さい。

本編

Thumbnail 0

AWS Network Firewallの概要と主要なユースケース

みなさん、こんにちは。お疲れ様です。良いですね。Day one、reinvent、私たちは戻ってきました。昨年、私がここ Greenvent にいた時、多くの皆さんが、新たな脅威に対してどのように先手を打つことができるのかとお聞きになられました。皆さんは、保護機能を損なわずにシンプルなセキュリティを求めていました。しかし、常に微妙なバランスがあります。なぜなら、もし過度に単純化してしまうと、セキュリティリスクが増加する可能性があるからです。ファイアウォールポリシーの1つの誤った設定が、ネットワークを脆弱にする可能性があります。これが、私たちの顧客が日々直面している課題です。皆さんは、動的な保護を求めていました。私たちはそれを聞いて、そこから逆算して取り組みました。そして今日、AWS Network Firewall の新機能の一部についてお話しします。これらの機能は、追加の複雑性やネットワークオーバーヘッドを追加することなく、ワークロードを安全に保つのに役立ちます。

私の名前は Amish Shah です。AWS Network Firewall Service のプロダクトマネージャーです。VPC 内のワークロードを安全に保ち、コンプライアンスとビジネス要件を維持するのに役立つ、これらの新しい機能の一部についてお話しします。私たちが立ち上げたものについて深く掘り下げる前に、AWS Network Firewall の簡単な概要をお伝えしたいと思います。

Thumbnail 90

AWS Network Firewall を使用すると、VPC ワークロードに必要なネットワーク保護を簡単にデプロイできます。これは完全に管理されたファイアウォールサービスです。つまり、ファイアウォールインフラストラクチャのデプロイやファイアウォールアプライアンスの継続的なソフトウェアアップグレードについて心配する必要がありません。これらは動的に行われます。高い信頼性とスケーラビリティを備えています。ファイアウォール内のアベイラビリティゾーンあたり、最大 100 ギガビット/秒を取得できます。また、組み込みのステートフルインスペクションエンジンも提供しています。したがって、IP アドレス、アプリケーション、完全修飾ドメイン名に基づいてルールを作成できます。特定の種類の TCP ヘッダーに対してマッチするカスタムルールを作成することもできます。これらすべての機能は、Network Firewall 内でネイティブに利用でき、Firewall Manager サービスと完全に統合されています。

Thumbnail 160

したがって、Firewall Manager サービスを使用して、すべての VPC 全体、すべての AWS アカウント全体で一貫したセキュリティをデプロイできます。 AWS Network Firewall を使用する一般的なユースケースをいくつか見てみましょう。イングレスフィルタリングから始めます。これは、顧客がステートフルインスペクション機能、プロトコル検出、IDS IPS 機能を使用して侵入を防ぎたい場合です。次に、エグレスフィルタリングがあります。これは、顧客がインターネットに到達しようとしているワークロードを持っている、最も一般的なユースケースの1つです。GitHub と通信するなど、これらの接続を許可すると、攻撃者がバックチャネルを追加してマルウェアを追加し、データを流出させる可能性があります。

Network Firewall はこれらのアウトバウンド接続を監視し、コマンドアンドコントロールセンターとの接続から保護するのに役立ちます。したがって、ワークロードが認可された宛先とのみ通信できるようなポリシーを適用できます。これは、規制対象の顧客にとって非常に一般的なユースケースです。そして最後に、VPC から VPC へのセキュリティ、またはイーストウェスト保護があります。ここで、顧客はトラフィックの横展開を防ぎ、VPC ワークロード間に論理的な境界を作成したいと考えています。これは、銀行や金融サービスなどの規制対象業界で非常に一般的です。ユースケースに応じて、Network Firewall ポリシーを作成し、トラフィックを保護するためのルールを作成します。

Thumbnail 270

脅威インテリジェンスの強化:アクティブ脅威防御とAWS Partnerマネージドルールの導入

ただし、ルールを書いて大規模に管理することは、皆さんからお聞きしている主な課題の一つです。そこで私たちは、運用チームに追加の負担をかけることなく、必要な保護を提供する一連の簡素化を実施しました。AWS Network Firewall から得られる脅威インテリジェンス領域の強化についてお話ししたいと思います。まず、アクティブ脅威防御についてお話しします。これは AWS Network Firewall で利用可能な AWS マネージドルールです。脅威インテリジェンスは Amazon Madpot インフラストラクチャを使用して生成されます。Madpot は、デジタルデコイ、つまりハニーポットのグローバルフリートです。

Thumbnail 280

外部からは脆弱な AWS サービスのように見えます。攻撃者はその脆弱性を悪用しようとします。私たちはこれを使用して、攻撃者が使用する戦術、技術、および手順を理解し、その脅威インテリジェンスに基づいてルールをキュレーションします。Madpot の脅威インテリジェンスは現在、AWS インフラストラクチャをグローバルに保護するために使用されていますが、皆さんは私たちにこのユニークなインフラストラクチャと脅威インテリジェンスを活用して、皆さん自身のワークロードを保護するよう求めました。アクティブ脅威防御は、その要望に対する私たちの回答です。

Thumbnail 340

アクティブ脅威防御を使用すると、侵害の指標とアクティブな脅威のシグネチャを含む AWS セキュリティエキスパートによってキュレーションされたルールが得られます。私たちはこれらのルールを 10 分ごとに常に更新しているため、アクティブな攻撃がある場合、それらのルールは既にネットワークファイアウォールポリシーに含まれています。攻撃がアクティブでなくなった場合、それらのルールはクリーンアップされるため、常に最新のルールセットが得られます。Guard Duty と中央統合されているため、Guard Duty を使用している場合、新興および アクティブな脅威への中央可視性が得られます。

Thumbnail 400

最後に、ルールは常に更新されるため、ルールを書いたり、これらのルールを最新の状態に保つためのカスタム Lambda ベースのソリューションを書いたりする心配はありません。アクティブ脅威防御を超えて、AWS Network Firewall で AWS Partner マネージドルールが利用可能になったことを発表できて興奮しています。この新しい強化により、Checkpoint、Fortinet、Infoblox、Lumen、Rapid7、Trend Micro、Threat Stop などの AWS Marketplace パートナーから脅威インテリジェンスを簡単に活用できます。

Thumbnail 430

なぜこれが重要なのでしょうか。今、顧客として皆さんは、わずか数クリックで AWS Marketplace の主要パートナーから脅威インテリジェンスを直接取得でき、AWS Network Firewall でそれを使用して VPC からのインバウンドおよびアウトバウンドトラフィックを保護できます。これらのルールはパートナーによって常に更新されるため、新興およびアクティブな脅威に対する積極的な保護が常に得られます。最後に、これらは数分で展開されます。サードパーティの脅威インテリジェンスをどのように取り込み、独自のソリューションを構築するかを考える必要はありません。Network Firewall コンソールからネイティブに利用可能です。

Thumbnail 480

7つのパートナーが提供するマネージドルールの詳細とファイアウォールポリシーのベストプラクティス

Thumbnail 510

これは、多くのお客様からいただいていた最も要望の多いリクエストの一つでした。AWS は AWS managed rules を無料で提供していて、Network Firewall に第三者の脅威インテリジェンスを取り込む機能もありましたが、お客様はもっとシンプルにしてほしいとおっしゃっていました。今回のローンチにより、Network Firewall コンソールからパートナーの managed rules を簡単に追加して、Network Firewall ポリシーに組み込めるようにしました。

Thumbnail 540

これで、利用可能なすべてのルールグループのリストを確認でき、各ルールグループが何をするのかを理解した上で、これらのルールグループにサブスクライブできるようになりました。その後、コンソール内からそれらを Network Firewall ポリシーに追加できます。Marketplace と Network Firewall、または第三者のプラットフォーム間を行き来する必要がなくなりました。これらの managed rules はパートナーによって常に更新されています。ローンチ時点で、7 つのパートナーが参加しています。

Thumbnail 570

常にプロアクティブな保護が得られ、業界最高水準の脅威インテリジェンスが手に入り、ビジネスケースに重要なルールセットを選択できます。私たちは、これらのパートナーを彼らの専門知識と実績に基づいて慎重に選定しました。Network Firewall 上で各パートナーがもたらす脅威インテリジェンスについて、詳しく見てみましょう。

Checkpoint Software は、サイバーセキュリティの世界的リーダーの一つです。彼らは政府や企業向けに幅広いセキュリティソリューションを提供しています。ご存知かもしれませんが、彼らはステートフルファイアウォールを開拓しました。現在、彼らは AI 駆動のクラウド配信型セキュリティソリューションを提供しています。Network Firewall 向けの Checkpoint managed rules は、Checkpoint のクラウド AI エキスパートによって専門的にキュレーションされたルールです。

これらのルールは、数百の一般的な脆弱性と露出、つまり CVE に対する保護を強化します。また、OWASP top 10 の脆弱性からワークロードを保護するためにキュレーションされたルールも備えています。これらのルールセットを手動で管理することなく、さまざまなタイプの露出と脆弱性にわたって包括的なカバレッジが常に得られます。

Thumbnail 640

次は Fortinet です。Fortinet はグローバルなサイバーセキュリティのリーダーの一つであり、次世代ファイアウォール分野で信頼されている企業です。彼らは AI 駆動の脅威インテリジェンスを AWS Network Firewall にネイティブに統合しています。 Fortinet の AWS Network Firewall 向けマネージド IPS ルールは、マルウェアとコマンド・アンド・コントロール脅威からの保護を提供します。Fortinet が継続的にこれらのルールを更新するため、ネットワークで侵害が発生する前にプロアクティブなセキュリティを得ることができます。

彼らはこれらのマネージド ルールを AI 駆動の脅威インテリジェンスに基づいて提供しており、現在世界中の数十万の Fortinet 顧客にサービスを提供しています。AWS ワークロード向けに同じ脅威インテリジェンスを直接得ることができるようになります。これらは Fortinet Guard Labs から提供されています。顧客として、わずか数クリックで Fortinet からマネージド ルールセットを取得できます。オンプレミスのデプロイメントで使用していてクラウドに移行する場合、AWS Network Firewall ソリューション上で Fortinet から同じ脅威インテリジェンスを引き続き使用できます。

Thumbnail 740

さらに、彼らは AWS のベストプラクティスを使用してコンプライアンスの維持を支援します。148 個の IPS ルールは PCI DSS コンプライアンスと、規制対象ワークロード向けのインライン検査を必要とするその他のコンプライアンス要件を提供します。 次は Infoblox です。Infoblox はネットワーク、セキュリティ、クラウドを統合し、エンタープライズの復元力と機敏性を提供する保護 DDI プラットフォームを提供しています。13,000 社以上の顧客に信頼されており、Fortune 100 企業の大多数と新興のイノベーターを含む顧客に、セキュリティを簡単に提供し、重要なネットワーク サービスを自動化しています。

顧客はこれらのサービスをデプロイすることについて心配する必要がありません。妥協することなく迅速に進むことができます。Infoblox の AWS Network Firewall 向けマネージド ルールは、予測的な DNS 脅威インテリジェンスによって強化されています。Infoblox のスケールでは、毎日 70 億の DNS クエリが分析され、毎月 400 万以上の IOC が検出され、検出の 90 パーセントは DNS クエリ前に発生し、偽陽性率は 0.0002 パーセントです。Network Firewall ポリシー内で簡単に利用できる、高い影響力を持ち、ノイズが少ないルールを得ることができます。

Thumbnail 850

Thumbnail 860

これは私が非常に興奮しているマネージド ルールの一つです。なぜなら、Network Firewall ポリシーでこのルールセットを有効にするだけで、例えば新しく登録されたドメインや高リスクとして知られているドメインを簡単にブロックできるからです。 その次は Lumen です。Lumen はグローバルな通信サービスプロバイダーであり、異なる顧客向けにさまざまなネットワーキングおよびセキュリティ サービスを提供しています。 彼らの Defender マネージド ルールは Network Firewall 向けに、Black Lotus Labs の脅威インテリジェンスを AWS 環境に直接もたらします。Black Lotus Labs は、グローバル バックボーン ネットワークから得た情報に基づいて、危険な新興攻撃を特定し、中和します。これらのルールは Network Firewall コンソールでもネイティブに利用可能です。

Thumbnail 900

次に Rapid7 があります。彼らは脅威検出と対応の分野でのリーダーの一つです。彼らは脆弱性リスク管理、高度な持続的脅威、そして様々なタイプのアクティブな脅威に対する保護を提供する MDR 機能などの製品を提供しています。

Thumbnail 950

彼らは2つの主なカテゴリーを提供しています。1つ目は高度な持続的脅威で、国家が支援する高度な脅威アクターからの保護があります。そして2つ目のカテゴリーはランサムウェアとサイバー犯罪で、これらは金銭的利益によって動機付けられた脅威です。Rapid7 の脅威インテリジェンスルールを使用して、APT 脅威とランサムウェア脅威の両方に対する保護があります。

Trend Micro はサイバーセキュリティ分野のもう一つのグローバル企業であり、リーダーの一つです。彼らは脅威インテリジェンスである Trend Zero Day Initiative、つまり ZDI を AWS Network Firewall に直接組み込んでいます。Trend Micro を使用することで、Network Firewall 上でシンプルなクラウド IPS ソリューションが得られます。Trend Micro の脅威マネージドルールは、マルウェア、アクティブな CVE、そして新興の脅威からワークロードを保護します。

Thumbnail 1020

ここでの重要なテーマは、これらのキュレーションされたマネージドルールのリストがすべて揃っており、コンソールから直接ネットワークファイアウォールポリシーに素早く選択して適用できるということです。ファイアウォールルールを常に更新する心配はありません。なぜなら、これらは動的に行われるからです。ネットワークにセキュリティリスクをもたらす可能性のある設定ミスについて心配する必要もありません。

最後に、Threat Stop があります。これもクラウドベースの脅威インテリジェンスプラットフォーム企業です。彼らは脅威データを見て、それをルールに変換し、ルーターやファイアウォール、DNS サーバー、そしてエンドポイントに適用することで、脅威をセキュリティポリシーに自動化することを専門としています。Threat Stop はマルウェア、フィッシング、そしてアクティブな脅威からワークロードを保護するだけでなく、OFAC と ITAR 制裁のためのキュレーションされたルールを提供することも専門としています。OFAC 制裁について心配している場合は、Threat Stop からこれらのマネージドルールを素早く使用して、これらの制裁からのコンプライアンス要件を満たすことができます。

Thumbnail 1090

これでセッションの終わりになります。ネットワークファイアウォールポリシーについて、どのように考えるべきかについて、一般的なガイドラインをお伝えしたいと思います。通常は、許可ルールと拒否ルールのリストの組み合わせになります。この拒否リストを作成するのに役立つように、AWS からも、またパートナーからも管理ルールを用意しており、これらをポリシーに簡単に適用できるようになっています。

GeoIP フィルタリングのような他の機能を使って、特定の国へのトラフィックをブロックすることができます。Network Firewall でステートフルインスペクションと脅威シグネチャルールを使用することができます。これが拒否リストの作成方法です。その後、特定の信頼できる高レベルのトップレベルドメインを許可できる、寛容な許可リストから始めることができます。最終的には、信頼できる宛先の絞られた許可リストを構築していくことができます。この許可リストを構築するのに役立つ機能があります。

Thumbnail 1140

パートナー管理ルールについてさらに詳しく知りたい場合は、詳細が書かれているブログが公開されており、必要な設定手順がすべて記載されています。AWS Network Firewall について何か学びたいことがあれば、アカウントチームに相談してください。ベストプラクティスについて、アーキテクチャの最適化方法、コストの最適化方法、そしてロードマップについて話し合うために、いつでも私たちとの通話をスケジュールすることができます。

それでは、お時間をいただきありがとうございました。本日は良い一日をお過ごしください。

※ こちらの記事は Amazon Bedrock を利用し、元動画の情報をできる限り維持しつつ自動で作成しています。

Discussion