Amazon Web Services ブログ

Category: Foundational (100)

IAM Access Analyzer を利用して、アクセスアクティビティに基づいて IAM ポリシーを生成し、最小限の権限のアクセス許可を簡単に実装する

2019 年に AWS Identity and Access Management (IAM) Access Analyzer がリリースされ、既存のアクセス許可の設定状況を分析することで、意図しないパブリックおよびクロスアカウントアクセスを削除できるようになりました。2021 年 3 月、IAM Access Analyzer は、ポリシーの作成中にセキュリティで機能的なアクセス許可を設定するのに役立つポリシー検証機能を追加しました。そして、IAM Access Analyzer はさらに一歩進み、ポリシーを生成します。IAM Access Analyzer を使用して、AWS CloudTrail ログのアクセスアクティビティに基づいて、きめ細かなポリシーを生成できるようになりました。ポリシーの生成を要求すると、IAM Access Analyzer が動作して、CloudTrail ログからアクティビティを識別してポリシーを生成します。生成されたポリシーは、ワークロードに必要なアクセス許可のみを付与し、最小権限のアクセス許可を簡単に実装できるようになります。 開発者は、開発環境で構築する場合は、より広範なアクセス許可から始めて、必要な AWS 機能を試して判断します。ワークロードが完成に近づくにつれて、使用されるサービスとアクションにのみアクセス許可を絞り込む必要があります。これにより、開発環境から運用環境にワークロードを移行する際にポリシーがセキュリティのベストプラクティスに従っていることが保証されます。IAM Access Analyzerを使用して、必要なアクセスのみを付与するきめ細かなポリシーをより簡単に生成できるようになりました。この記事では、IAM Access Analyzer を使用したポリシー生成の仕組みの概要を説明し、ポリシーを生成、カスタマイズ、および作成する手順について説明します。 概要 ポリシーを生成するには、IAM コンソールに移動して、ロールに移動します。そこから、CloudTrail 証跡と日付範囲を指定してポリシーをリクエストします。その後、IAM Access Analyzer は CloudTrail ログの分析を実行しポリシーを生成します。IAM Access Analyzer がポリシーを生成したら、ポリシーを取得してカスタマイズできます。一部のサービスでは、IAM Access Analyzer は CloudTrail に記録されたアクションを識別し、アクションレベルのポリシーを生成します。IAM Access […]

Read More

新たに SaaS Journey Framework ホワイトペーパーを公開しました

AWS で SaaS Business Lead を務める Oded Rosenmann による記事です。 SaaS(Software as a Service)提供モデルは、多くの企業にとってますます魅力的になっています。 新規および既存のアプリケーション・プロバイダが、この提供モデルで成功を収めたいと望んでいる一方で、SaaS への移行はビジネスに大きな影響を与える可能性もあります。 多くの企業にとって、SaaS への移行は大きな変化をもたらす出来事であり、企業は自社のビジネスをあらゆる側面から検討する必要があります。サービスとしてのビジネスを定義、構築および運用するためには、製品の販売、マーケティング、開発、サポート、収益化の方法など、評価しなければいけない検討事項がたくさんあります。

Read More

re:Invent – これから予定されるセキュリティセッション

本投稿は、 AWS Security のシニアプログラムマネージャーである Maria Taggart による寄稿を翻訳したものです。 先月のAWS re:Invent はいかがでしたか。 AWS re:Invent で見たいと思っていたセキュリティ、アイデンティティ、コンプライアンスのセッションを全部見ることができましたか? 見逃した場合でも心配しないでください。2020 年にリリースされたすべてのセッションは AWS re:Invent ウェブサイト経由でストリーミング配信されています。さらに、2021年には新しいセッションとして、1月12日から15日にライブストリーミングを行います。新しいセキュリティ、アイデンティティ、コンプライアンスセッションを以下にご紹介します ― 各セッションは複数回提供されますので、場所やスケジュールに合わせて最適な時間でご視聴下さい。   Protecting sensitive data with Amazon Macie and Amazon GuardDuty – SEC210( Amazon Macie と Amazon GuardDuty で機密データを保護する) Himanshu Verma, AWS Speaker 1月13日 水曜日 4:00 AM – 4:30 AM JST 1月13日 水曜日 12:00 PM – […]

Read More

ゼロトラストアーキテクチャ: AWS の視点

本投稿は、AWS の CISO オフィスのディレクターを務める Mark Ryland と AWS Identity の専門家である Quit Van Deman による寄稿を翻訳したものです。 アマゾン ウェブ サービス(AWS)の使命は、安全なシステムの構築、デプロイ、迅速な反復処理を行う際に行う作業がより少なくなるようにお客様に代わってイノベーションを行うことです。お客様からはセキュリティの観点について以下のような質問をよくいただきます、 “システムとデータの機密性、完全性、可用性を適切なレベルに確保し、スピードと俊敏性を向上させるのに最適なパターンは何ですか?“。ゼロトラスト・アーキテクチャまたはゼロトラスト・ネットワーキングのカテゴリーに該当するセキュリティアーキテクチャパターンが、これらの質問にどのように答えることができるか、お客様から具体的な質問を受ける機会が増えてきました。 このブログでは、ゼロトラストの名前を使用する技術への関心の高まりや、ゼロトラストに関する様々なコンセプトやモデルへの関心が高まっていることを踏まえ、私たちの視点をお伝えしたいと考えています。

Read More

re:Invent 2020 – アイデンティティとデータ保護関連セッションのご紹介

例年と異なり、今年の AWS re:Invent はラスベガスで皆さんとお会いするかわりに、3週間の無料のバーチャルカンファレンスになります。その一方変わらない事は、多くのセキュリティ、アイデンティティ、コンプライアンスのセッションを含む、様々なセッションが用意されていることです。私たちはセッションを準備するにあたり、お客様にどの知識を深めたいかを尋ねました。その一つの方法として、セキュリティブログの記事で以前紹介した、お客様から直接フィードバックできる新しい投票機能 を利用しました。今回の投票結果で、アイデンティティとアクセス管理、データ保護がお客様にとって最も興味のあるトピックであることがわかりました。そこでこのブログでは、2つのトピックに関する re:Invent のセッションを紹介いたします。re:Invent のスケジュールを立てる際にぜひ活用いただければと思います。各セッションは複数回開催されますので、お住まいの地域やスケジュールに合わせてお申し込みください。

Read More

Amazon Macie のカスタムデータ識別子を使用して機微情報を検出する方法

クラウド上により多くのデータを格納していくと、スケールする形でデータを安全に維持するためのセキュリティ自動化が必要になってきます。AWS は最近 Amazon Macie をリリースしました。これは機械学習とパターンマッチングを使って AWS クラウド上の格納データの中の機微情報を検出し、分類し、保護するためのマネージド・サービスになります。 多くのデータ侵害は、承認されていないユーザーの悪意を持った活動によるものではありません。それよりも、承認されている正規のユーザーのミスによるものが多いのです。機微なデータのセキュリティを監視して管理するには、まずデータの存在を特定する必要があります。このブログ記事では、Macie のカスタムデータ識別子をどのように使うかを紹介します。機微データの存在が分かると、次にスケールする形で、監視とリスクの自動低減を実行するためのセキュリティコントロールのデザインに着手出来ます。 Macie はいくつかのタイプの機微データを検出するためのマネージドデータ識別子を提供しています。この識別子は多くの組織で必要とされる一般的な要件に対応しています。Macie がユニークなのは、特定のデータ要件に対応していることです。Macie の新しいカスタムデータ識別子を利用することで機微データの検出を強化することが可能です。カスタムデータ識別子は組織特有のデータ、知的財産や特定のシナリオに対して使えます。 Macie のカスタムデータ識別子は組織特有の要件をベースとして機微データを見つけて特定します。このブログ記事では、自動的に特定の機微データを検出するためにどのようにカスタムデータ識別子を定義して実行するのかをステップバイステップで紹介していきます。カスタムデータ識別子の利用を開始する前に、Macie の詳細なロギングを有効化する必要があります。まだ、ご覧になられていない場合には、Macie の有効化手順についてはこちらの手順を、詳細なロギングについてはこちらの手順をご覧ください。 カスタムデータ識別子が必要なケース まず最初に、皆さんがフランスに本社がある製造業企業の IT 管理者であるという想定にしましょう。皆さんの会社はブラジルのサンパウロに研究開発拠点を持つ企業を買収しました。その企業は AWS にマイグレーションをしようとしています。そして、マイグレーションの工程の中で登録情報、従業員情報そして製品のデータを暗号化されたストレージと暗号化されていないストレージに格納します。 ここでは以下に示す3つのシナリオで機微データを検出する必要があると仮定します。 SIRET-NIC : SIRET-NICはフランスにおいて企業に振られる番号です。この番号は、National Institute of Statistics (INSEE) が企業が登録されたときに割り振るものです。下記の図が SIRET-NIC の情報を含むファイルのサンプルとなります。ファイルの中の各レコードは GUID、従業員名、従業員のE-mailアドレス、企業名、発行日付、SIRET-NIC 番号を含んでいます。 図1 : SIRET-NIC データセット Brazil CPF(Cadastro de Pessoas Físicas – Natural Persons Register) : CPF はブラジルの歳入省が国内で課税対象となっている人に割り振る固有の番号です。ブラジルオフィスに所属している従業員は全員CPFの番号を持っています。 プロトタイプに関する名前付けルール : 企業は、既にリリース済みの公開されている製品と、プロトタイピング中で機密扱いされている製品を持っています。下記の例は、ブラジルのCPF番号とプロトタイプ名を含むサンプルファイルです。 図2 […]

Read More

AWS Single Sign-On ユーザーサインインプロセスの変更と準備方法

セキュリティの向上とユーザーエクスペリエンスの強化、AWS Identity との将来の互換性のために、AWS Single Sign-On (SSO) はサインインプロセスの変更が予定されています。一部の AWS SSO のユーザーに影響を与えるこの変更は、2020 年 10 月上旬に実施される予定です。

Read More

AWS Well-Architected Framework のセキュリティの柱をアップデートしました

お客様からのフィードバックと新しいベストプラクティスに基づいて、AWS Well-Architected Framework のセキュリティの柱をアップデートしました。この記事では、セキュリティの柱のホワイトペーパーと AWS Well-Architected Tool の変更点の概要を紹介し、新しいベストプラクティスとガイダンスについて説明します。 AWS は、お客様がセキュアで高パフォーマンス、耐障害性、効率的なインフラストラクチャを構築することを支援するために、Well-Architected Framework を開発しました。Well-Architected Framework は、運用上の優秀性、セキュリティ、信頼性、パフォーマンス効率、コスト最適化の5つの柱から成り立っており、お客様、パートナー、AWS 内の各チームからのフィードバックを受けて、定期的にフレームワークを更新しています。またホワイトペーパーに加えて、AWS Well-Architected Tool も用意されており、ベストプラクティスに照らし合わせてアーキテクチャをレビューすることもできます。

Read More

AWS セキュリティドキュメントに150 以上の AWS サービスが追加されました

2019 年 6 月の AWS セキュリティブログで説明した、 AWSドキュメント の取り組みについての最新情報をお伝えします。 AWS セキュリティドキュメントに 150 以上のAWS サービスが追加されたことをお知らせできることを嬉しく思います。 AWS セキュリティドキュメントに馴染みがない方のためにお伝えすると、これは既存のサービスドキュメントの中にあるセキュリティコンテンツを簡単に見つけることができるように開発されたもので、AWS サービスのセキュリティ機能を確認する際に複数のソースを参照する手間を省くものです。これは、AWS 責任共有モデルで説明されている、クラウド “の” セキュリティ、クラウド “における”セキュリティに関する情報を含む、AWS クラウド導入フレームワーク( Cloud Adoption Framework – CAF)のセキュリティに沿った内容となっています。各章では、各 AWS サービスに適用される CAF の中から、以下のセキュリティトピックを取り上げています。

Read More