AWS re:Invent2024 参加レポート Day3

こんにちは！
サイバーセキュリティクラウド（以下、CSC）の黒田です。
ラスベガスで開催されているAWS re:Invent2024の参加レポートを現地よりお届け致します！

DEV323-R | OWASP Top 10 for LLMs: A developer’s guide to securing generative AI

3日目はAI✖️セキュリティ関係のセッションに参加してきました。
1つ目はOWASP Top10 for LLMsに関するChalk Talkセッションです。

1時間という限られた時間ではありましたが、OWASP Top10 for LLMsの10項目全てについてスピーカーが解説とデモンストレーションをしてくれ、非常に濃いセッションでした。

このようなリストがあることは知っていましたが、ちょうど最新のVersion 2025が11月にアップデートしたばかりということで、非常にタイムリーにキャッチアップすることができました。
ここでは詳細な解説は割愛しますが（どこかで改めてシェアできればいいなと思いつつ）、基本的な考え方としてはWebアプリケーションの脆弱性とよく似ており、I/F間の思わぬ抜け道や権限管理の不足、秘匿すべき情報に対する考慮漏れといったものに注意する必要があると（拙いながらも）理解しました。
ちなみに最新のTop10は以下から参照できますので、興味ある方はご参照ください！

OWASP Top 10 for LLM Applications 2025 - OWASP Top 10 for LLM & Generative AI Security

SEC305 | Generative AI–based code remediations and patch management at scale

2つ目に参加したのは、Amazon InspectorとPatch Managerに関するワークショップです。
いずれもコンセプトレベルでは理解していましたが、腰を据えてじっくりと触る機会は作れていなかったので、非常に理解が深まり有意義な時間でした。
InspectorはManagedな脆弱性の管理ツールで、EC2やLambda、ECRのコンテナイメージなどで動作するソフトウェアに含まれる脆弱性情報や、ネットワーク設定の不備による意図しない情報の公開についてスキャンし、修正パッチの適用を計画・実施することができます。
「AI-based code remediations」というのは、検知した脆弱性について、内部的に動作するAIによってコードの修正提案がなされるということを示したものになります。

キャプチャ右下のコード修正提案の部分がAIによって提案された修正案

Patch ManagerはSystems Managerの一機能で、大変になりがちなOSのパッチ適用作業をポリシーベースで計画・管理・実行できるというものです。
特に大量にインスタンスを立てているような環境においては、どれが最新でどれがパッチ適用できていないかの把握だけでもかなり負担となる作業かと思いますが、Patch Managerを使うことによってポリシーに合致していないものが把握しやすくなり、段階的な適用などさまざまなPatch適用戦略を講じることができるようになります。
これらのハンズオンは、どうやらこちらで公開されているものをre:Invent向けにコンパクトにしたもののようですので、ご興味ある方はこちらもご参照ください。

Workshop Studio

ブース対応

本日のブース対応でも、WafCharmのお客様がわざわざ足を運んでくださり、感謝の声を頂きました。
また、AWS Japanの方もいらっしゃって、日本のISVパートナーがre:Inventに出展していることを自分の事のように喜んでくださり、改めて多くの方に応援して頂いていることを実感し、本当に嬉しく思いました。
いつも頑張ってくれているチームメンバーにもこの声をしっかりと届け、今後も一丸となって開発・運営にあたっていきたいと思います！

Modern Data Infrastructure Cocktails, AWS Re: Invent@Peppermill

夜は最近人気が出ているTiDBのPingCAP様が主催のAfter Partyに参加してきました。
re:Invent期間中は毎晩のようにAWSパートナー企業がプライベートなパーティを開催しており、どこかは大抵参加することができますので、晩ご飯には困りません（笑）。
参加されている方も多くの方が一緒に話をすることを望んでいますので、技術のことや仕事のこと、全く関係ない趣味や雑談など、とても楽しく話すことができます。
私が参加した本パーティでも特に事前の段取りなどなかったのですが、偶然にも日本からの参加者がたくさんいらっしゃり、非常に話が弾んだ夜になりました。

After Partyはどこもラグジュアリーな雰囲気

3日目は以上となります！
これまでのレポートを読んでくださった方は気づいたかもしれませんが、基本的にre:Invent期間中の私のムーブは一貫して「Session参加」→「ブース対応やお客様対応」→「After Party」といった形になります。After Partyは以下のようなリンクから適宜探して申し込んでいます。

re:Invent Parties 2024 – Unofficial list of AWS re:Invent Conference and Vendor Parties

今後参加される方のご参考になれば幸いです！

---

記事内で紹介したWafCharmについて詳しくはこちら：https://www.wafcharm.com/jp/

WafCharmは、AWS、Azure、Google Cloudの3大クラウドプラットフォームのWAFを自動運用するサービスです。
WafCharmを導入することで個別の環境に最適化されたルールを自動的に適用できるようになります。また、ルールのカスタマイズや追加などの複雑な作業はWafCharmに任せることができ、WAFログと当社独自の検知データを活用し、ブロックリストを自動更新する機能により、手動による作業が不要になります。
社内にセキュリティ人材がいなくてもWAFの設定・運用が可能になります。さらに、24時間365日のテクニカルサポートが付いているので、誤検知をはじめ、万が一のトラブル発生時でも安心です。

WafCharm（ワフチャーム）｜WAF自動運用サービス