Amazon Web Services ブログ

AWS Japan Staff

Author: AWS Japan Staff

公共部門向け、AWS re:Invent 2019におけるハイライト

AWSパブリックセクターより、2019年のAWS re:Invent で開催されましたWorldwide Public Sector Breakfast Keynote における、政府機関・教育機関・NPO向けのハイライトをご紹介させていただきます。本年のre:Inventには、Keynoteの模様を伝えるこちらの動画の冒頭でWorldwide Public Sector, VP InternationalのMax Petersonが言及しております通り、6,000名を超える多数の政府・行政機関・教育機関・NPOの皆様より現地ラスベガスでのご参加をいただきました。2019年12月現在、世界中で7,000を超える政府・行政機関のお客様を含め、40,000を超える団体・機関の皆様よりAWSをご利用をいただいております。   政府・行政機関 AWS を活用する FINRAの統合監査: 米国の金融業規制機構 (Financial Industry Regulatory Authority ; FINRA) の子会社である FINRA CAT, LLC は、統合監査証跡 (Consolidated Audit Trail ; CAT) のクラウドプロバイダーとして AWS を選択したことを発表しました。CAT により、規制当局は、すべての米国株式証券および米国市場および取引所における上場オプションの注文情報の広範な監査証跡を作成して、証券市場の監視を改善できます。AWS のストレージ、コンピューティング、データベース、分析、セキュリティの各サービスを活用して、CAT は 1 日に 1,000 億を超える市場で発生するイベントを取り込み、22 カ所の証券取引所や 1,500 社のブローカーディーラー会社からのデータをまとめ、米国証券取引委員会および自主規制機関 (SRO) が CAT のデータを分析できるようにしています。FINRA CAT および AWS の詳細についてお読みいただくには、こちらをご参照ください。 […]

Read More

クラウドにおける安全なデータの廃棄

クラウドにおける統制をお客様が考慮する場合、基本的な考え方は大きく異なるものではありません。ただし、クラウドならではの統制を考慮すべきケースがあることも事実です。その際には、従来のオンプレミスのやり方を無理にクラウドに当てはめようとしてもうまくは行きません。大事なことはその統制が何を目的としていたのかに立ち返り、その上で、New normal(新しい常識)にあった考え方や実装をすすめる必要性を理解し、実践することです。この投稿では、メディアやデータの廃棄を例として、セキュリティのNew normalを考えていきます。 メディア廃棄における環境の変化 データのライフサイクルに応じた情報資産の管理は多くのお客様の関心事項です。 オンプレミスの統制との変更という観点では、メディア廃棄時の統制は従来のオンプレミス環境とクラウド環境では異なります。オンプレミス環境の利用者はハードウェアの消磁や破砕などを実行することでデータの保全を実行してきました。また、メディア廃棄をサードーパーティに委託し、その廃棄証明の提出をもって“確実な廃棄の証跡”として管理しているケースもありました。 AWSの環境ではセキュリティ責任共有モデルに基づき、クラウドのインフラストラクチャの管理はAWSの統制となるため、お客様はその統制が実施されるていることを評価していく必要があります。お客様はAWSが管理するハードウェアデバイスに物理的にアクセスすることはできないため、従来であれば自組織、場合によってはサードパーティに委託していたメディアの廃棄を自組織の統制範囲として行うことはありません。また、仮想環境のストレージは物理的なハードウェアと異なり、特定の利用者が占有しているとは限らないため、廃棄時に利用者に紐付けた管理や通知を行うことは現実的ではありません。 AWSにおけるメディアの廃棄 AWS データセンターは、セキュリティを念頭に置いて設計されており、統制により具体的なセキュリティが実現されています。ユーザーデータの保存に使用されるメディアストレージデバイスは AWS によって「クリティカル」と分類され、そのライフサイクルを通じて非常に重要な要素として適切に取り扱われます。AWS では、デバイスの設置、修理、および破棄 (最終的に不要になった場合) の方法について厳格な基準が設けられています。ストレージデバイスが製品寿命に達した場合、NIST 800-88 に詳細が説明されている方法を使用してメディアを廃棄します。ユーザーデータを保存したメディアは、安全に停止するまで AWS の統制から除外されることはありません。AWSで扱われるメディアはワイプ処理もしくは消磁処理され、AWSのセキュアゾーンを離れる前に物理的に破壊されます。AWS の第三者レポートに文書化されているように、AWS データセンターに対する第三者の検証によって、AWS がセキュリティ認証取得に必要となるルールを確立するためのセキュリティ対策を適切に実装していることが保証されます。お客様はこうした第三者のレポートをAWS Artifactから入手することが可能です。 AWSにおけるサードパーティの管理 AWSにおいては、本投稿執筆時点(2019年12月19日)においてお客様のコンテンツにアクセス可能なサードパーティーのプロバイダはありません。こうした事実は第三者の検証において評価を得るとともに、AWSのサードパーティアクセスページにおいて公表しており、また、変更がある場合にお客様は通知を受けることも可能です。 目的に立ち返る:なんのために”メディア廃棄”を行うか そもそもメディア廃棄の統制を行う目的は何でしょうか。脅威を踏まえて考えれば、組織の所有する(およびしていた)データが許可なく第三者に漏洩することを防ぐことにあります。メディア廃棄の証明をとることは、メディアの廃棄後も、データが第三者により許可なくアクセスされないことを評価するための手段にほかなりません。お客様にとって重要なことはデータがライフサイクルを通じて確実に保護されることです。メディアの廃棄の証明はその手段のうちの一つ(適切に処理されたことの保証手段)にすぎません。お客様の統制を離れたデータが保護されることを確実にすることに焦点をあてることで、環境がクラウドに変わったとしてもお客様の求める管理目的を達成することが出来るのです。 暗号化を活用したデータの保護と廃棄記録 AWSはお客様に重要なデータやトラフィックの暗号化による保護を推奨しており、そのための機能を提供しています。利用終了後もデータを保護する有効な手段として、暗号化による予防的な統制、そして処理の実行を確実に記録することは強く推奨されます。 暗号化がなぜ有効なのでしょうか。暗号化されたデータはそれを復号するための鍵がなければデータとして復元することが出来ません。暗号化に利用する鍵と暗号化されたデータへのアクセスを分離することで権限のない第三者によるデータへのアクセスを予防することが出来ます。このように暗号化を行い、その鍵を消去することはCryptographic Erase(CE:暗号化消去)としてNIST SP800-88においても紹介されています。 AWSのストレージサービスでは利用開始時にデフォルトで暗号化を行う機能を提供(Amazon EBS, Amazon S3)しています。また、Amazon Key Management Services (KMS)によりお客様の鍵によりデータを暗号化することが可能です。これによりお客様が定義したポリシーで鍵へのアクセスを統制しながら利用状況の証跡を取得することが可能となります。また、AWS Configにより意図しない設定の変更や設定ミスの検知および修正を自動化するといった発見的および是正的な統制を組み込むことも容易です。こうした統制を実施することでAWS上のお客様のデータに対して、ライフサイクルに応じた保護を行うことがより容易になりました。 お客様によるデータ廃棄の統制例 統制の一例として、ストレージ領域をデフォルトで暗号化を行う設定とすることで第三者によるアクセスへの保護を実現します。そしてEBSやS3 Bucketを削除する際には、あわせて当該領域の暗号化に用いた鍵をAWS Lambdaを使用してKMSより削除します。これにより従来行っていた当該データの復号が困難になるとともに廃棄証明の代わりとして、暗号化による保護を実施した記録をお客様自身で自動的に取得、管理することができるようになります。鍵へのアクセスが無くなることで、当然AWSによっても、またお客様も廃棄されたデータへのアクセスはできなくなります。   情報セキュリティを管理するためには目的にあわせた管理策を実施する必要があります。しかし一方で、手段自体が目的化してしまい、それを無理に新しい環境であるクラウドにあてはめてしまうアンチパータンが発生することがあります。本投稿ではメディアの廃棄を一つの例示としてとりあげましたが、セキュリティの管理策を実施するうえでの目的に立ち返り、クラウド上で行う上での妥当性、効果や効率性、そして何よりもクラウドの特性を生かしたさらなるセキュリティの向上を実現することでNew Normalに前向きに取り組むことができます。   このブログの著者 松本 照吾(Matsumoto, Shogo) セキュリティ アシュアランス本部 本部長 […]

Read More

EC2 インスタンスメタデータサービスの拡張により、オープンなファイアウォール、リバースプロキシ、SSRFの脆弱性に対する防御を強化しました

10 年以上前にリリースして以来、Amazon EC2 インスタンスメタデータサービス ( IMDS ) は、安全でスケーラブルなアプリケーションの構築を支援してきました。IMDS は、一時的な認証情報へのアクセスを提供することで、クラウドユーザーにとって大きなセキュリティ上の課題を解決し、手動またはプログラムによってインスタンスに機密認証情報をハードコードしたり、配布したりする必要をなくしました。EC2 インスタンスにアタッチされた IMDS は、特別な「リンクローカル」の IP アドレス 169.254.169.254 で接続され、インスタンスで実行中のソフトウェアだけがアクセスできます。アプリケーションは IMDS にアクセスして、インスタンス、ネットワーク、およびストレージに関するメタデータを利用できます。また、IMDS は、インスタンスにアタッチされている IAM ロール による AWS 認証情報を使用できるようにします。 クラウドでアプリケーションを実行する場合、アプリケーションのセキュリティはインスタンスのセキュリティと同様に重要です。インスタンスで実行されているアプリケーションに脆弱性や設定ミスがあると、重大な問題が生じる可能性があります。アプリケーションセキュリティは多層防御において重要な役割を果たしますが、AWS はインスタンス内であっても、このような状況による被害の可能性を最小限に抑えるために、防御レイヤーを追加する場所をいつも検討しています。 本日、EC2 インスタンスメタデータサービスの v2( IMDSv2 )が利用可能になりました。既存のインスタンスメタデータサービス( IMDSv1 )は完全にセキュアであり、こちらも引き続きサポートします。しかし、IMDSv2 は、IMDS へのアクセスを試みる可能性がある4種類の脆弱性に対して新しい保護を追加します。この新しい保護は、IAM ロールの制限や、ローカルファイアウォールのルールを使用した IMDS へのアクセス制御など、既存の緩和策とシームレスに連携しますが、これらの緩和策よりも効果的に機能します。また、IMDSv2 をサポートする新しいバージョンの AWS SDK および CLI も利用可能です。 IMDSv2 の新機能 IMDSv2 では、すべてのリクエストがセッション認証によって保護されるようになりました。このセッションは、EC2 インスタンスで実行中のソフトウェアがリクエストするもので、ローカルに保存されている EC2 インスタンスのメタデータと認証情報にアクセスするためのものです。ソフトウェアは、IMDSv2 への単純な HTTP PUT リクエストを使用してセッションを開始します。IMDSv2 […]

Read More

SAPファイル転送ワークロードのためのAWS Transfer for SFTP – 第2回

このシリーズ記事の第1回では、 SAP PI / POシステムとAWS Transfer for SFTP (AWS SFTP)を統合する方法、またAWS SFTPがAmazon S3に保存したデータを後処理分析に使用する方法を紹介しました。今回の記事では、SAP Cloud Platform Integration (SAP CPI)とAWS SFTPを統合し、第1回で紹介したAWS分析ソリューションを後処理分析に使用する方法を示します。

Read More
Weekly AWS

週刊AWS – 2019/12/9週

こんにちは、AWSソリューションアーキテクトの小林です。今年もあと2週間になってしまいました。季節も本格的な冬に入り、肌寒い日が続くようになってきていますね。こういう季節になると、恋しくなるのが温泉です。年末年始はチャンスを見つけて温泉に出かけたいなぁと思いながら、なかなか果たすことができないのがここ数年の傾向で、ついつい寝正月になってしまう私です。たまには一風変わった年末年始の過ごし方をしてみたいなとおもうのですが、なかなか良いアイデアがありません。お勧めの過ごし方があれば是非教えてください。

Read More

AWSを使用したSAPアプリケーションのオートスケーリングの有効化

今日、SAP on AWSを稼働しているお客様は、ネイティブクラウドサービスの最も幅広く深いセットを活用しています。これらは、信頼性の高いグローバルインフラストラクチャに加えて、コンピューティング、ストレージ、データベースなどの従来のサービスだけでなく、IoTや機械学習などの新しいテクノロジーにも及びます。 お客様が利用する主な機能の1つは、インスタンスタイプの変更です。ワークロードが変化すると、お客様はインスタンスが過剰に使用されている (インスタンスタイプが小さすぎる)か、十分に使用されていない (インスタンスタイプが大きすぎる)ことに気付きます。 このスケーラビリティの概念は、垂直スケーリングと呼ばれます。もっと簡単に言うと、リソースを追加するだけで追加のワークロードに対応できるシステムの機能です。

Read More

[AWS Webinar] 新割引オプション”Savings Plans”によるコスト最適化 資料公開

先日 (2019/12/12) 開催しました AWS Webinar「 新割引オプション”Savings Plans”によるコスト最適化 」の資料を公開しました。 Savings Plansは従来のリザーブドインスタンスを、より柔軟に発展させたEC2とFargateのための新割引オプションです。リザーブドインスタンスとの違いや、使い所などは是非ウェビナー(30分です)にて、ご確認くださいませ。 20191212 新割引オプション "Savings Plans" によるコスト最適化のご提案 from Amazon Web Services Japan AWS クラウドサービス活用資料集(すべての過去資料が閲覧できます) Savings Plans導入やAWS導入に関するお問い合わせは、こちらの窓口までお問い合わせくださいませ。 — 今後の AWS Webinar | イベントスケジュール 直近で以下を予定しています。各詳細およびお申し込み先は下記URLからご確認いただけます。皆様のご参加をお待ちしております。 AWS re:Invent サービス・ソリューション別 RE:CAP AWS 最大の年次カンファレンス『AWS re:Invent』。会期中に発表されたサービス・ソリューションのアップデートをカテゴリごとに整理してお届けします。業務で必要となる分野の最新情報キャッチアップに是非お役立てください。 日程: 2020 年 1 月 14(火)・15(水)・16日(木) | 詳細・お申込みはこちら≫ — AWS Black Belt Online Seminar: 今年最後のセッションは残り2つのアジェンダとなります。ぜひご視聴ください。 12月分の詳細・お申込はこちら≫ Amazon Connect […]

Read More

【開催報告】ビルシリーズ@住友不動産六本木グランドタワー 第2回 re:Invent 2019 Recap

こんにちは。AWS ソリューションアーキテクトの上原(@pioho07)です。 AWS re:invent 2019開催から二週間経ち、徐々に興味のあるサービスを触り始めていらっしゃる方も多いのではないでしょうか。ちなみに自分はre:inventの前に発表があったAmazon CloudWatch Syntheticsというサービスが気になっています。外形監視をするマネージドサービスで単純なハートビートやGUI画面操作のチェックなどを行います。また、画面キャプチャを残したり各アセットのレスポンスの確認やアラームを上げるといったことができるので、さっそく自分のテストアプリへの監視を初めてみました。(まだプレビューで東京リージョンには来てない点ご注意ください) 本ブログでは本日、住友不動産六本木グランドタワービルにてFringe81様、BASE様、エブリー様、ディップ様、クルーズ様、アイアド 様、ファーストコンサルティング 様、Gunosy様の8社合同で開催したre:Invent 2019 Recapイベントの様子をレポートしていきたいと思います。 Re:invent 2019 Recapとは? Recapイベントとは、毎年AWS re:Inventの前後に多数の新サービス・サービスアップデートが公開されるため、その内容を改めて振り返り、普段の業務のどういったところに使えるサービスなのかを復習できるイベントです。今後もAWS Loftなどの会場やオンラインでRecapイベントを開催していきますので、ご興味のある方はこちらをご確認の上ぜひご参加下さい。 https://aws.amazon.com/jp/about-aws/events/2019/reinvent-2019-recap/ 今回は住友不動産六本木グランドタワービルにオフィスを構えるFringe81様、BASE様、エブリー様、ディップ様で同じようなニーズがあり、Recapイベント+交流会という形で4社様と本ビル周辺にいらっしゃるお客様4社含めてAWS合同で開催いたしました。タイトルにあるビルシリーズって何?という方はビルシリーズ1発目のこちらのブログも是非御覧ください!(他にも麻布十番ビルでもビルシリーズを開催しました)。六本木にある本ビル最上階(43階)の素晴らしい会場をお貸しいただいたFringe81様ありがとうございました。 セッション 当日は8社で計30人以上のエンジニアの方々にお集まり頂きました。re:Invent 2019に参加されたBase 川口様からの熱い現地レポートLTが続きます。コンテナ周りのセッションに注目いただき、”現地でトリの人@toriclsにDMし「Containers Happy Hour」に参加でき、そこでAmazon ECS担当者と内部実装などを聞くことができてよかった”とおっしゃっていました。また、ExpoやJapanNightなども期待以上でおもしろかったそうです。 re:Inventに参加出来なかった方は、こちらの公式Youtubeにre:Inventのセッション映像が逐次アップロードされていくのでぜひ気になるサービスのDive Deepセッションやグローバル事例を確認してみて下さい。最先端の事例が集結しているので様々な学びが得られるはずです! https://www.youtube.com/channel/UCdoadna9HFHsxXWhafhNvKw/videos ここからre:Invent 2019 recapに入ります。AWS ソリューションアーキテクトの加治・大倉・石見からre:Invent前後のアップデートの中で皆様のお役に立ちそうなものをピックアップしてご紹介しました。 当日の話を一部抜粋しますと、例えばコンテナ化に取り組まれている方々には以下のような嬉しいアップデートがありました。 Kubernatesを運用する上でEC2のレイヤーの管理から解放されたいというニーズから開発された、Amazon EKSのAWS Fargate対応https://aws.amazon.com/jp/blogs/news/amazon-eks-on-aws-fargate-now-generally-available/ Fargateをより安価に使いたい方にはFargate SpotやSaving Planが登場https://aws.amazon.com/jp/blogs/news/aws-fargate-spot-now-generally-available/ https://aws.amazon.com/jp/blogs/news/new-savings-plans-for-aws-compute-services/ AWS ECS Cluster Auto ScalingとECS Cluster Capacity Providerの登場によりECS on EC2がより楽に構築・運用できるようにhttps://aws.amazon.com/jp/blogs/news/aws-ecs-cluster-auto-scaling-is-now-generally-available/ Analytics周りでは一部プレビュー状態ではあるものの、今後の分析基盤を大きく変えうる大きなアップデートがありました。これらはそれぞれ「コンピュートとストレージ」「ホットストレージとウォームストレージ」を分離することで、各々を最適化できるよりクラウドらしい構成を目指しているのがポイントです。 Amazon RedshiftのRA3インスタンスとAQUAの登場によりパフォーマンスが非常に向上https://aws.amazon.com/jp/blogs/news/amazon-redshift-update-next-generation-compute-instances-and-managed-analytics-optimized-storage/ […]

Read More

AWS 環境でセキュリティレスポンスの自動化を始める方法

AWS では、AWS 環境内のセキュリティイベントについて自動化による迅速な検知と対応をすることをお勧めしてます。自動化は、検知と対応の速度を向上させることに加えて、AWS で実行するワークロードを拡大するときにセキュリティ運用もスケーリングするのに役立ちます。これらの理由から、セキュリティの自動化は、Well-Architected フレームワークとクラウド導入フレームワークの両方、およびAWS セキュリティインシデント対応ガイドで概説されている重要な原則です。 このブログでは、AWS 環境内に自動セキュリティレスポンスメカニズムを実装する方法を学習します。このブログには、一般的なパターン、実装に関する考慮事項、およびソリューション例が含まれます。セキュリティレスポンスの自動化は、多くの分野にまたがる広範なトピックです。このブログの目標は、基本的な考え方を紹介し、セキュリティレスポンスの自動化の開始を支援することです。

Read More

【開催報告】ビルシリーズ@住友不動産麻布十番ビル re:Invent 2019 Recap

こんにちは。AWS ソリューションアーキテクトの石見(@kazuya_iwami)です。 先週開催されたAWS re:invent 2019から一週間経ち、徐々に興味のあるサービスを触り始めていらっしゃる方も多いのではないでしょうか。ちなみに自分はre:invent直前に発表されたAmazon Transcribeの日本語対応に惹かれて持っている音源を片っ端から文字起こししてみたところです。 本ブログでは先日、住友不動産麻布十番ビルにてC Channel様、Retty様、エウレカ様、メタップス様の4社合同で開催したre:Invent 2019 Recapイベントの様子をレポートしていきたいと思います。 Re:invent 2019 Recapとは? Recapイベントとは、毎年AWS re:Inventの前後に多数の新サービス・サービスアップデートが公開されるため、その内容を改めて振り返り、普段の業務のどういったところに使えるサービスなのかを復習できるイベントです。今後もAWS Loftなどの会場やオンラインでRecapイベントを開催していきますので、ご興味のある方はこちらをご確認の上ぜひご参加下さい。 https://aws.amazon.com/jp/about-aws/events/2019/reinvent-2019-recap/ 今回は住友不動産麻布十番ビルにオフィスを構えるC Channel様、Retty様、エウレカ様、メタップス様で同じようなニーズがあり、Recapイベント+個別相談会+交流会という形で4社様とAWS合同で開催いたしました。タイトルにあるビルシリーズって何?という方は他のビルでも開催したこちらのブログを是非! オシャレな会場を貸していただいたエウレカ様、Retty様ありがとうございました。 セッション 当日は4社で計50人程のエンジニアの方々にお集まり頂きました。AWS 平田のre:Invent紹介から始まり、C Channel Tonny様、Retty 小迫様、エウレカ 金子様、メタップス 阿多様から今後のビルイベントへの思いをお話頂きました。 “同じビルでもあまり交流がなかった4社だったが、今回の合同イベントを通じて交流が持てて嬉しい。今後もこういった取り組みを続けていきたい” エウレカ CTO 金子様 そしてre:Invent 2019に参加されたエウレカ 山本様、原田様からの熱い現地レポートLTが続きます。印象に残ったのはDynamoDBやコンテナのセッションだそうです。 re:Inventに参加出来なかった方は、こちらの公式Youtubeにre:Inventのセッション映像が逐次アップロードされていくのでぜひ気になるサービスのDive Deepセッションやグローバル事例を確認してみて下さい。最先端の事例が集結しているので様々な学びが得られるはずです! https://www.youtube.com/channel/UCdoadna9HFHsxXWhafhNvKw/videos ここからre:Invent 2019 recapに入ります。AWS ソリューションアーキテクトの石見・上原からre:Invent前後のアップデートの中で皆様のお役に立ちそうなものをピックアップしてご紹介しました。 当日の話を一部抜粋しますと、例えばコンテナ化に取り組まれている方々には以下のような嬉しいアップデートがありました。 Kubernatesを運用する上でEC2のレイヤーの管理から解放されたいというニーズから開発された、Amazon EKSのAWS Fargate対応 https://aws.amazon.com/jp/blogs/news/amazon-eks-on-aws-fargate-now-generally-available/ Fargateをより安価に使いたい方にはFargate SpotやSaving Planが登場 https://aws.amazon.com/jp/blogs/news/aws-fargate-spot-now-generally-available/ https://aws.amazon.com/jp/blogs/news/new-savings-plans-for-aws-compute-services/ AWS ECS Cluster […]

Read More