re:Invent 2025: VaronisによるAWSデータ侵害防止とアイデンティティ保護の実践
はじめに
海外の様々な講演を日本語記事に書き起こすことで、隠れた良質な情報をもっと身近なものに。そんなコンセプトで進める本企画で今回取り上げるプレゼンテーションはこちら!
re:Invent 2025 の書き起こし記事については、こちらの Spreadsheet に情報をまとめています。合わせてご確認ください
📖 re:Invent 2025: AWS re:Invent 2025 - Beyond Posture Management: Stopping Data Breaches in AWS (SEC209)
この動画では、Varonis の Field CTO である Brian Vecci が、データセキュリティにおける Beyond Posture Management について解説しています。データ侵害の88%は盗まれた認証情報が関係しており、攻撃者はアイデンティティを通じてデータを狙うと指摘。DSPM や CSPM だけでは不十分で、アイデンティティ保護、データ中心の UEBA、フォレンジック機能が必要だと強調しています。Varonis のデータセキュリティプラットフォームは、AWS を含むクラウド全体でデータを分類・監視し、過剰な権限を安全に削除する自動化機能を提供。AWS Security Hub、CloudTrail、GuardDuty などとの統合により、脅威検出と対応時間を最小化し、「どのデータが触られたのか」という重要な質問に迅速に答えられる仕組みを実現しています。
※ こちらは既存の講演の内容を最大限維持しつつ自動生成した記事になります。誤字脱字や誤った内容が記載される可能性がありますのでご留意下さい。
本編
攻撃者はログインする:盗まれた認証情報とデータ侵害の実態
さて、これを見てください。皆さん、こんにちは。シート全体の代金を払っているのに、必要なのはエッジだけですね。私の名前は Brian Vecci です。Varonis の Field CTO をしています。皆さんが飲みに行く前に 20 分間、Beyond Posture Management についてお話しします。データセキュリティについて話すつもりです。Varonis をご存じない方のために言うと、Varonis はデータセキュリティプラットフォームで、私はこの分野で ほぼ 16 年間やってきました。その前は IT と IT セキュリティに携わっていました。サイバーセキュリティの 16 年間で学んだことの一つは、攻撃者は侵入するのではなく、ログインするということです。これは皆さんもご存じだと思います。銀行に侵入してペンを盗む人はいません。
誰かがインフラストラクチャへのアクセスを得て、アイデンティティを侵害して、API を侵害して、デバイスを乗っ取ったら、彼らはデータを狙っていますが、それはアイデンティティを通じてやっています。データ侵害の 88% は何らかの盗まれた認証情報が関係しています。インフラストラクチャに侵入する最も簡単で、最も速い方法は、アイデンティティを盗むことです。それが起こったときはどうなるか?誰かがそれらの認証情報でログインして、 その後、ブラスト半径を悪用します。クラウド内で横方向に移動します。つまり、異なるインフラストラクチャまたは異なるアプリケーションに移動することです。彼らは権限を昇格させ、理想的には管理者アカウントへのアクセスを取得します。彼らは永続性を確立し、新しいアイデンティティと新しいアカウントを作成しますが、目標は常にデータにアクセスして、それを盗んで暗号化することです。
野生で見られるものの種類は、コードインジェクタ、ランサムウェア、AWS エクスプロイトです。これは AWS の脆弱性を悪用するものではありません。 アイデンティティを悪用して AWS 環境内のデータにアクセスし、その後、ランサムウェアでそれにアクセスして、盗んで、暗号化して、身代金を要求します。 攻撃者はどのようにしてそれを行うかもしれません?野生で見られるのは、info stealer マルウェアのようなもので、人々が GitHub でホストしているゲームクラックにマルウェアを入れて、ユーザーがそれをダウンロードして、もちろん彼らのアイデンティティが盗まれます。あなたの認証情報、あなたのアイデンティティへのアクセスを得ることができれば、私はそれを使って永続性を確立し、横方向に移動し、データにアクセスして盗むことができます。
本当にすべてはデータについてです。前に言いましたが、アイデンティティへのアクセスを得たら、API へのアクセスを得たら、デバイスの 1 つを所有したら、私は単に設定ファイルを見るだけではありません。 単に探索するだけではありません。データが目標です。データが価値を持つものです。銀行に侵入してペンを盗う人はいません。彼らはお金を狙っています。あなたが脅威アクターです。あなたが防御しようとしている攻撃者はデータを狙っています。そして、脅威アクターがそれらのアイデンティティへのアクセスを得るために使用する多くのベクトルがあり、その後、彼らはそれを使ってデータにアクセスします。フィッシング攻撃であろうと、サプライチェーンの侵害であろうと。私たちは、世界中のほぼすべての大規模な環境で見られる高度な永続的脅威を持っています。もちろん、目標はデータへのアクセスを得ることです。
ポスチャー管理だけでは不十分:アイデンティティ保護とデータセキュリティの必要性
さて、DSPM、データセキュリティポスチャー管理、および CSPM、設定ポスチャー管理は十分ではありません。これは 1 つのコントロールセット、1 つの防御セットですが、あなたを保護するには十分ではありません。認可の変更を検出することはできません。AWS 環境のような 1 つのインフラストラクチャから別のハイパースケーラーへ、または Salesforce のような SaaS プラットフォームから AWS 環境への横方向の移動を検出することはできません。異常な動作を検出することはできません。なぜなら、これらのツールはアイデンティティが実際にデータにどのようにアクセスするかを見ていないからです。そして、現在のアクティブな脅威またはインサイダー脅威を検出することはできません。誰かがすでに有効な認証情報を持っていて、彼らが以前に見たことのないものにアクセスし始めたら、あなたはどのようにして知ることができますか?彼らは DSPM と CSPM が修正するのを助けるために設計されたコントロールを悪用していません。ポスチャー管理はセキュリティパズルの 1 つのピースです。
攻撃者がどのように行動するかを考えると、アイデンティティ保護が必要になります。内部と外部のすべてのアカウント、すべてのアプリケーション、すべてのインフラストラクチャを見る必要があります。グローバルアイデンティティであろうとアプリケーションアイデンティティであろうと、ユーザーアイデンティティであろうとマシンアイデンティティであろうと関係ありません。また、データとコンフィギュレーションのセキュリティ態勢を監視・管理する必要があります。データ中心のユーザーおよびエンティティ行動分析が必要です。つまり、これらすべてのアイデンティティがどのように振る舞うかを監視し、それらがアクセスしているデータを確認し、何が起きたのかについて完全な全体像にすぐに到達できるように、フォレンジクスの完全なセットが必要ということです。
CISO またはセキュリティチームにいる場合、一般的には4つのことをしたいと考えています。侵害を止めたい、罰金を払いたくない。このすべての作業を行うために人を雇ったり、他の人に支払ったりする必要をなくしたい、そしてそれをしたことを証明できるようにしたいということです。どこから始めたのか、どこで終わったのか、これらのコントロールをどのように実装しているのか、正しい状態とはどのようなものなのか。実際に環境を保護していることをどのように証明できるのか。 アイデンティティ保護から始めましょう。最も使用されている攻撃方法から保護する必要があります。データ侵害の88%は盗まれたまたは侵害されたアイデンティティが関係しています。つまり、アイデンティティを監視する必要があります。正しい状態がどのようなものかを知る必要があります。どれが人間のアイデンティティで、どれがマシンアイデンティティなのか。
そして、過剰な権限を削除する必要があります。私たちの多くは、アイデンティティおよびアクセス管理を使用してこれらの問題を解決しようとしてきましたが、それはパズルの一部に過ぎません。誰かまたは何かが認証するとき、実際には何にアクセスできるのかを想像してみてください。Varonis では、AWS 環境でお客様のためにデータリスク評価を行っていますが、保護しようとしているデータの最大40%が、環境に認証できるすべてのアカウントに対して開かれていることがわかります。それについて考えてみてください。銀行口座のお金の40%が、歩いて入ってくることができる誰もがアクセスできるとしたら、どのくらいの期間そのお金を保管しますか。
ですから、強力なアイデンティティ保護が必要ですが、これらのアイデンティティの影響範囲を管理する必要があります。最小権限を確保し、露出を削除しますが、安全にそれを行うことができます。セキュリティでは、私たちを最も困らせることの1つは、磁器店の暴れ牛のようなときです。これらのアイデンティティが何にアクセスできるのか、そしてそれらがどのようにその情報にアクセスしてきたのかを理解せずに変更を開始すると、修正する際に物を壊すリスクがあります。
そのテレメトリを使用して、誰が何によってどのようにデータにアクセスしているかを監視し、どのデータが機密で重要であるかのコンテキストを持つ必要があります。認証情報がどこにあるのか、PII や知的財産やソースコードのような機密情報がどこにあるのか。これらすべてのコンテキストを持つと、ログと動作を充実させることができ、その後、有用なユーザーおよびエンティティ行動分析が得られます。脅威の検出と対応にかかる時間を最小化できます。
クレジットカードに学ぶ脅威検出:コンテキストとフォレンジックの重要性
ここで一番わかりやすい例えは、クレジットカードです。私たちがクレジットカードを使う主な理由は、それが安全だからです。クレジットカード会社は、あなたが誰で、どこに住んでいて、どこを旅行しているかを知っています。私のクレジットカード会社は、私が今日ラスベガスにいることを知っています。なぜなら、私がクレジットカードを使ってフライトを予約したからです。私のクレジットカード会社は、私がどんなものを買うのか、どのくらいの金額を買うのか、そしていつ買い物をする傾向があるのかを知っています。ですから、誰かが私のカード番号を使って、私が現在いない場所であるモントリオールでガソリンを買おうとして、それが脅威行為者がクレジットカード番号を使う典型的なパターンだと、彼らは即座にそれが詐欺だと知ることができるのです。
データを監視し、アイデンティティを監視する際に、そのデータが何であるか、そのアイデンティティが誰であるか、どのアカウントが人間で、どのアカウントがマシンか、彼らが何にアクセスできるのか、誰と一緒に働いているのか、通常どのように行動するのか、いつ、どこで、どのようなデータタイプに対して行動するのかというコンテキストを持って監視すれば、脅威の検出と対応にかかる時間を最小化でき、ノイズが少ない状態でアラートを出すことができるのです。
そして、フォレンジック層が必要です。「何が起きたのか」という質問に迅速かつ完全に答えることができる必要があります。ここ15年間、私は多くのインシデント対応に関わってきましたが、学んだことの一つは、インシデント、内部脅威、APT、高度な攻撃、または SolarWinds で起きたようなグローバルなデータ漏洩が発生した場合、最初に聞かれる質問は「どうやって修正するのか」や「どうやって復旧するのか」ではないということです。最初に聞かれる質問は「どのデータが触られたのか」です。何か盗まれたのか。従業員に知らせる必要があるのか。顧客に知らせる必要があるのか。もし私たちが上場企業なら、SEC に知らせる必要があるのか。盗まれたものの中に重要な情報があったのか。そしてダメージをどうやって最小化するのか。
それが最初、二番目、三番目に聞かれる質問です。セキュリティプロフェッショナルとして、自分たちに問いかけてください。「どのデータが触られたのか」という質問に答えるのにどのくらい時間がかかるのか、そしてその後、脅威行為者はどうやってそこに到達したのか。どのアイデンティティが侵害されたのか。どのパーミッションが変更されたのか。権限がエスカレートされたのか。横展開があったのか。すべてがどのように起きたのかを正確に教えてくれる単一のペイン・オブ・グラスを持っているのか。
Varonis データセキュリティプラットフォーム:可視化から自動修正、AWS統合まで
Varonis では、過去20年間にわたって、まさにそれを行うためのデータセキュリティプラットフォームを構築してきました。今、皆さんの中には、20年前は AWS が存在しなかったと思っている人もいるかもしれません。本当のことを言うと、20年前は、単一のファイルシステムでも、単一のデータセンターでも、これを行うことはできませんでした。ましてや、今日のように、データが存在するあらゆる場所ではなおさらです。データはファイルに存在し、データベースに存在します。すべてのハイパースケールに存在します。S3 バケットに存在します。RDS や EC2 に存在するデータベースに存在します。AWS 環境に存在しますが、他のハイパースケールにも存在し、皆さんの多くにとって、それはまだオンプレミスのデータセンターに存在しています。
Varonis というのは、データセキュリティプラットフォームで、こうした問題を見つけるための可視性を提供するように設計されています。クラウドとハイブリッド環境全体でデータを正確に分類します。構造化データ、非構造化データ、SaaS アプリケーションのデータ、データベース、ファイル、コラボレーションプラットフォームにおいてデータを正確に分類します。そのデータがどこにあるのかについての可視性を提供します。そして可視性というのは、単なるデータ分類ではありません。何が機密なのかというだけではなく、誰が、そして何がそれにアクセスできるのかということです。そしてそれを実現するには、すべてのアクセス制御、深いリンク、これらすべてのコンテナ上の権限を見る必要があります。すべてのアイデンティティとそのすべての権限を見る必要があり、それらをすべて組み合わせることで、こういった質問に答えることができます。一体 Brian は何にアクセスできるのか?このアカウントは何にアクセスできるのか?誰がこの機密データにアクセスできるのか?
この S3 バケット内、または Salesforce レコード内、あるいは仮想化ファイルサーバー内にあるこのファイルにアクセスできるのか?Varonis がそのすべてを解き明かしてくれるので、問題を見つけることができます。露出を特定でき、アクセスをマッピングでき、リスクを測定できます。しかし問題を見つけるだけでは十分ではありません。検出疲れというのは実在する問題です。もし私が単に、あなたが解決しなければならない数十万、数百万の問題のリストを与えるだけなら、それは解決策ではありません。私たちの中で、これらすべての問題を修正するために数十万のヘルプデスクチケットやサービスチケットに対応する人員を持っている人がいるでしょうか?
そこで Varonis は、すべての行動情報を含むこのすべてのテレメトリを取得します。このデータは誰によって、何によってどのようにアクセスされているのか?これらのアイデンティティはどのように認証され、どこから認証されているのか?データはインフラ全体でどのように流れているのか?私たちはそのすべてのテレメトリを使用してオートメーションを構築し、それは安全にデプロイできるオートメーションです。もし権限を削除したり、露出を修正しようとするなら、それをしたときに何が壊れるかもしれないのかを正確に知っておく必要があります。そうすることで、変更を安全に行うことができ、それがまさに Varonis が行うことです。
私たちはこのすべてのデータが誰によって、何によってどのように使用されているかを監視しています。ですからポリシーを適用するときは、安全に行います。正確に対応できますが、それは自動です。ですからリスクを低減でき、何も壊さず、多くの努力を必要とせずに実現できます。そして Varonis が可視性を提供するすべての場所で、テレメトリとデータが誰によって、何によって、どのデバイスから、どのサービスから使用されているかのコンテキストを持っているので、ノイズが少ないユーザーアイデンティティ行動分析を提供します。私たちは、対応する必要がある脅威がなぜ存在するのかについて多くのコンテキストを持つ、非常に小さなアラートを生成します。
AWS IAM をロックダウンできます。 アイデンティティが適切に設定されていること、インフラストラクチャが適切に設定されていることを確認でき、これらのアイデンティティは本来アクセスすべきものだけにアクセスできます。最小権限を実装でき、自動的に行えます。 何も壊さずに、異常な行動を検出できます。環境内のすべてのデータがどのように使用されているかを監視することで、機密性のコンテキストを持ちながら、単なる機密データだけではなく、機密アイデンティティ、どのアイデンティティが人間で、どのアイデンティティがマシンで、どのアイデンティティが管理者であるかを知っているかどうかに関わらず。
彼らが何にアクセスしているのか、どのようにアクセスしているのか、何が正常なのかを理解することで、ノイズが少ない状態で異常を知ることができます。脅威の検出時間と対応時間を最小化でき、特定した問題を修正することができます。病院、銀行、製造会社、ソフトウェア企業から何度も聞いてきたのは、リスクがあることは分かっているが、それを解決する人員がいないということです。問題があることは分かっているが、Varonis がそれを見つけ出し、その後、見つけた問題を修正するためのポリシーを自動化する能力を与えてくれます。ただし、安全に行うことができます。
私は以前、セキュリティチームと CISO に、何があなたを夜眠れなくしているのかと聞いていました。その質問をするのをやめました。なぜなら、本当に興味深い答えが返ってくるからです。私を夜眠れなくしているのは、ネーションステートアクターです。私を夜眠れなくしているのは、ランサムウェアです。私を夜眠れなくしているのは、インサイダー脅威です。しかし、その質問をするのをやめたのは、賢い人たちはいつも同じように答えるからです。それは、私が知っている問題ではなく、私が知らない問題です。
Varonis はすべてを見ているからです。私たちはデータサンプリングや予測スキャンを使用しません。すべてをスキャンし、ギャップがある場所を示し、その後、それらの問題を自動的に見つけて修正するための自動化を提供します。つまり、私は何を知らないかを知らない状態から、私は自分の問題を知っており、それを修正し、それを証明でき、何も壊していない状態に移行できます。
そして、それを非常に迅速に行うことができます。
私たちは AWS Security Hub と統合しています。シグナル、テレメトリ、分析、脅威、アラートを取得し、それらをインポートして、Security Hub から得られるビューに追加のコンテキストを提供し、ビューを充実させます。AWS CloudTrail から得られるテレメトリストリームを充実させます。CloudTrail に追加情報とコンテキストを追加することで、より有用になり、脅威を検出・対応し、自動化を適用するためのより良いシグナルセットになります。IAM Identity Center を充実させることで、データアクセスに関するコンテキストと、エンタイトルメントがどこでどのように適用されているか、どのような種類の機密データがどのアイデンティティで利用可能かについての情報を提供し、AWS GuardDuty をデータ中心の脅威保護で充実させます。
私が今示したすべてのものは、AWS セキュリティスタックと統合されています。私たちは、あなたが持っている AWS セキュリティコントロールとツールをより価値のあるものにし、コントロールを実装していることを証明しやすくし、安全に行います。AWS エコシステム全体でデータを保護します。Salesforce や GitHub のような SaaS アプリケーションとプラットフォームが AWS 環境と統合されているかどうか、Snowflake や Databricks のような AWS 内に存在するデータストア、RDS に存在するデータベースまたは EC2 で仮想化されているデータベース、さらには S3 環境内に存在するすべてのデータを言わずもがなです。クラウド全体でこのデータを保護します。
単一のペインオブグラスと、迅速かつ簡単に、そして安全に適用できる単一のポリシーと自動化のセットを提供します。詳しく知りたいのであれば、ここまで聞いてくれたということは知りたいんだと思いますが、向こうに無料のビールがあります。つまり、もっと知りたいということですね。これがどのように機能するのか見たい、またはデモを見たいのであれば、今夜でも明日でもいいので、電話をくれるか、私たちのブースに来てください。私たちはブース番号 4:30 で、ちょうど奥の壁沿いにあります。
Varonis はデータセキュリティプラットフォームで、問題を自動的に見つけ、自動的に修正し、脅威を検出して対応するのに役立ちます。私たちが始める方法は、リスク評価を行うことです。これは AWS 環境にプラグインするのに 15 から 20 分かかります。他のハイパースケールも見ていきますし、オンプレミスのデータも見ていきます。ファイルも見ていきますし、データベースも見ていきます。Salesforce 環境にプラグインしますし、GitHub 環境にもプラグインします。そして非常に迅速に、初日から結果が見えます。
1 週間以内に、実際のリスクが見えるようになり、数週間以内に、それらを軽減するための実際の計画をお見せします。しかし、他に何もしなかったとしても、私はあなたのデータについて知らなかったことを私たちがお見せすることを保証できます。サイバーセキュリティの全体的な理由、全体的な目標はデータを保護することです。私たちはそれを簡単にします。クラウド全体で行い、正確に行い、自動的に行います。
私を信じないのであれば、来て試してみてください。あなたが導入している他のツールやプロセスに対して、Pepsi チャレンジを受けます。私は長い間このビジネスをやっています。人々が苦労するのを見てきましたし、少しのもので多くのことをする人たちも見てきました。ショーの残りの時間を楽しみたい、ラスベガスでの時間を楽しみたいようなので、少し早めに終わりにします。
私の名前は Brian です。約 40 分後にフライトがあるので、上に走って Uber を呼びます。本当にお時間をいただきありがとうございました。ぜひ私たちのブースに来てもっと学んでください。皆さん、本当にありがとうございました。
※ こちらの記事は Amazon Bedrock を利用し、元動画の情報をできる限り維持しつつ自動で作成しています。
Discussion