Amazon Web Services ブログ

Category: AWS Config

[AWS Black Belt Online Seminar] AWS Config 資料及び QA 公開

先日 (2019/6/18) 開催しました AWS Black Belt Online Seminar「AWS Config」の資料を公開しました。当日、参加者の皆様から頂いた QA の一部についても共有しております。 20190618 AWS Black Belt Online Seminar AWS Config from Amazon Web Services Japan AWS クラウドサービス活用資料集(すべての過去資料が閲覧できます) Q. 設定タイムラインで、特定時点の設定を反映させることはできますでしょうか?(巻き戻しの意) A. 特定時点の設定を反映させる(巻き戻す)機能はございません。ただし、特定時点の設定内容を確認することができますので、その内容から手動で設定を修正することは可能です。 Q. AWS Configを使うと自動的にCloud TrailがONになるのでしょうか? A. CloudTrailはデフォルトで有効ですので、AWS Configの利用にかからわずONになっております。 https://docs.aws.amazon.com/ja_jp/awscloudtrail/latest/userguide/cloudtrail-getting-started.html Q. カスタムルールの設定は作成した本人でしか変更ができない認識であっておりますでしょうか。あっている場合、カスタムルールを変更した人が退任した場合の対処方法が確立できるのでしょうか。 A. カスタムルールの設定変更は、作成した本人以外でも、権限をもったユーザであれば可能です。 一例ですが、こちらのフルアクセスのポリシーを持ったユーザでお試しください。 Q. クロスアカウントでConfig等の利用料を発生させるアカウントを1つのアカウントに集中させて、管理することは可能でしょうか? A. AWS Organizationsを利用したアグリゲータの場合は、AWS Organizationsの組織の一括請求を利用して、他のアカウントのサービス利用料をまとめることが可能です。 (Configのアグリゲータ機能を利用した場合は、Config等の利用料は各アカウントにかかります) Q. SageMakerについて、AWS Configは使えますか ? A. […]

Read More

【開催報告】AWS re:Invent 2018 Security re:Cap Workshop and Seminar

2018年12月20日、AWS Loft Tokyoにて、AWS re:Invent 2018で発表されたセキュリティ新サービスなど最新情報を振り返るイベントが開催されました。 AWS re:Invent 2018とは、2018年11月25日から11月30日まで米国ラスベガスで開催されたAWS最大のカンファレンスです。エンドユーザー様、パートナー様を中心に、世界中から50,000人以上の来場者、100,000以上のライブ参加者を集めました。re:Inventは、基調講演や2100を超えるブレイクアウトセッション、パートナー様ソリューション紹介、参加者同士のネットワーキングイベントなどからなります。期間中に発表された新サービスや機能アップデートは100を超えました。 そこで本イベントは、セキュリティ分野に絞り、企業のセキュリティ意思決定者・担当者に向けて効率的に情報収集いただく目的で開催されました。AWSソリューションアーキテクトによる新サービスアップデートに加えて、AWSに関わりの深いエンドユーザー様、パートナー様からAWSへの期待やAWSサービス使用時のGood Practiceを伝えていただきました!   第一部 AWS Threat Detection and Remediation Workshop 本イベントは二部構成で実施されました。第一部は新サービスAWS Security Hubを用いた実践的参加型ワークショップです。参加者は企業のセキュリティ管理者となり、AWS環境で構築しているWebサーバーを、外部脅威から保護します。複数のAWSサービスを駆使し、一早く脅威を検知し、詳細調査しながら、企業として適切なインシデント対応フローを構築します。 AWS Security Hub, Amazon GuardDuty, Amazon Macie, Amazon Inspector, Amazon CloudWatch, AWS Lambda, AWS Systems Manager, AWS Config, AWS Cloud Trail などのセキュリティサービスを講義で紹介しつつ、ハンズオンで実際触ってみて、最後に参加者自身がセキュリティ管理者だったらどのような脅威検知と対応の仕組を構築するかをディスカッションしました。 約40名の参加者からは、「実践的な内容のワークショップだったので、参考になりました。 会社でも実践してみたいと思います。」「ハンズオンで体験が出来良かったです。」「具体的に脅威へ対応する体験ができたのがよかったです」「セキュリティの設定や実際の攻撃を体験することが出来、大変参考になりました。」「実践的な流れで体験したことでそれぞれの機能の概要が、短時間で理解できた気がします。」「実際にサービスを触りながら学ぶことができたので良かったです。」「AWSセキュリティ体系の重要性と勉強の必要性を多分に感じました。」などの声をいただきました。 今後もAWS Loft Tokyoなどで同ワークショップを開催していきますので、是非ご参加ください!   第二部 AWS re:Invent 2018 Security re:Cap […]

Read More

AWS Dev Day Tokyo 2018 セキュリティセッション & ワークショップ 開催レポート

  皆様、こんにちは。セキュリティソリューションアーキテクトの桐山です。 2018/10/29(月)から11/2(金)にかけて開催されたAWS Dev Day Tokyo 2018で実施された、セキュリティ関連のセッションとワークショップをおさらいしてみます。 開発者向けカンファレンスということで、この度はセキュリティに興味のある多くの開発者にご参加いただきました。これから企業がデジタルトランスフォーメーション(DX)時代に向かっていく中、開発者の役割も更に高度化・専門化しています。 事業部門で、いわゆるSysmem of Engagement(SoE)領域に携わる開発者は、下記のような今までにない新しいワークロードをセキュアに開発することに挑戦しているでしょう。 IoTサービスにより、様々なデバイスから大量の信頼性の高い実データを収集する 企業内データを一元的に集約・保存する場所(データレイク)をセキュアに管理・運用する 迅速にビジネスインサイトを活用するために、データ分析・可視化・利用をサーバーレスコンピューティング環境で実現する 上のそれぞれに相当するIoTセキュリティ、データレイクセキュリティ、サーバーレスセキュリティは新しいセキュリティ技術領域と言えます。 一方で、IT部門にて、いわゆるSystems of Record(SoR)領域に携わる開発者は、事業成長を支えるセキュリティ基盤を実現しなければなりません。ITインフラ自体を変革させると同時に、事業活動の変化やスピードに対応するためにSecurity as a ServiceやSecurity Automationに取り組むことになるでしょう。 このようなDX時代のセキュリティをAWSで実現するとしたら・・・以下のワークショップとセッションが役に立つはずです。

Read More

すべての AWS のサービスが GDPR に対応

この度、AWS のサービス全てが GDPR (EU 一般データ保護規則) に準拠しましたことをご報告致します。この準拠によって、お客様は、AWS がサービスのセキュリティを維持する目的で、すでに講じているさまざまな対策から得られるメリットに加え、GDPR に準拠する計画の重要な構成要素として AWS のサービスを導入できるようになります。 この発表は、GDPR サービス準備状況に対する監査がすべて完了したことを示しており、これはすなわち、GDPR がデータ処理者に要求するプライバシーに関する高いハードルとデータ保護基準に対し、一般的に利用可能な AWS のすべてのサービスと機能が準拠したことを示しています。この作業は、GDPR の施行開始日となる 2018 年 5 月 25 日の 2 か月前に完了しています。これにより、独自の GDPR 準拠の製品、サービス、ソリューションを、自信を持って構築できる環境をお客様や APN パートナーの皆様に提供するものです。 AWS が GDPR サービスの準備を完了したことは、今回の発表内容の一部に過ぎません。私たちは GDPR への準拠を支援するため、お客様と APN (AWS Partner Network) の皆様との協力を継続していきます。この発表に加え、お客様自身が GDPR 準拠への取り組みを加速するために AWS がどのようにお役に立てるかについて、以下に例を挙げ、ご紹介いたします。 個人データのセキュリティ GDPR サービス準備状況に対する監査では、AWS が GDPR に従って個人データを保護する目的でデータ処理者に対し技術的および組織的措置を効果的に講じていることを、私たちのセキュリティと法令遵守の専門家が確認しています。私たちにとってセキュリティは依然として最優先事項であり、イノベーションを継続させ、あらゆるグローバルオペレーションにおいてセキュリティと法令遵守のための高い基準を達成できるように投資していきます。私たちが持つ業界最高レベルの機能では、国際的に認知されているさまざまな認証や認定の基盤を提供し、厳しい国際規格に準拠できることを実証しています。準拠している国際規格には、技術的な対策に関する ISO 27001、クラウドセキュリティに関する ISO 27017、クラウドプライバシーに関する ISO 27018、SOC […]

Read More

AWS Config アップデート – S3バケットをセキュアに管理する新しいマネージド ルール

AWS ConfigはAWSリソースの構成とそれらリソースにおけるリレーションシップの管理を行います。そうすることで、必要なリソースを選択し、そのリソースの変更管理を時系列ベースで確認することが可能になります。(詳細はこちらをご確認ください。) またAWS Config RulesはAWS Configを更に強化し、強力なルールシステムを使用してConfigを拡張し、AWSルールの「管理」コレクションと、自分で作成したカスタムルールをサポートします。(AWS Config Rulesの詳細はAWS Config Rules – Dynamic Compliance Checking for Cloud Resourcesをご確認ください)。ルール(AWS Lambda ファンクション)では、AWSリソースのあるべき姿(適切に構成されているか、コンプライアンス準拠しているか)を定義します。構成に変更が検出された際に、必要なファンクションが呼び出され、構成がコンプライアンス要求に準拠しているかの確認を行うことができます。 すでに36のルールがAWSから提供されています。下記はEC2に関連するリソースの状態を確認するルールの一例になります。 新しく追加された2つのルール 本日、S3バケットを安全にご利用頂くために、新たに2つのマネージド ルールが追加されました。これらのルールは数クリックで有効にすることが出来ます。追加された2つのルールは以下になります。 S3-bucket-public-write-prohibited:誰でも書き込みが可能に設定されているバケットを自動的に検知します。意図的に設定をするケースも稀にありますが、そうすることで悪意のあるコンテンツを誰でも書き込めるようになり、かつ既存のコンテンツも削除(上書き)をされてしまいます。このルールはアカウント内のすべてのバケットに対し適用されます。 S3-bucket-public-read-prohibited:グローバルに公開されてれいるバケットを自動的に検知します。これにより、公開されているウェブサイトやドキュメントなどのコンテンツにフラグが立てられます。 このルールは、アカウント内のすべてのバケットもチェックします。 既存のルールと同様に、スケジュールベースでの実行も可能ですし、AWS Configによる構成変更の検知をベースに実行することも可能です。 これらの評価はミリセカンドの単位で実行され、1アカウント内の100つのバケットの評価を1分以内で実行できます。その裏では、ルールは推論エンジンにより評価され、多項式時間で判定可能な最先端の制約解決手法が活用されています(P≠NP予想の解決はされず、話が異なります)。これはAWSにおいても、大きなチャレンジでAWS re:Inventのセッションでも触れられています: Automated Formal Reasoning About AWS Systems :   本日から利用可能です これら2つのルールは本日よりご利用できます。既存のルールと同様に、1つのルールあたり、1ヶ月2ドルとなります。 –Jeff 翻訳はPartner SA酒徳が担当しました。(本文はこちら)  

Read More

AWS Config – タグの変更検知の高速化、新しいマネージド ルール追加、およびユーザビリティの向上

AWS Config Rulesにいくつかの改良が加わり、より便利に利用できるようになりました。”required-tags“ルールの精度が改善され、タグの変更後数分以内にタグ変更の通知を受け取ることができるよになりました。またIAMユーザに対する多要素認証が有効になっているかを確認するマネジドルールも新たに追加され、JavaのサンプルコードがConfig Rules GitHub レポジトリで公開されています。さらにConfig Rulesコンソールから準拠/非準拠の注釈を確認することができ、Config Rulesの詳細ページからルールの呼び出しであったり、評価の際のタイムスタンプ等より細かい粒度のステータスを受け取ることができるようになりました。 翻訳は酒徳が担当しました。原文はこちら。

Read More

AWS Config Rulesが新しく4つのリージョンで利用可能になりました – US West (オレゴン), EU (アイルランド), EU (フランクフルト), Asia Pacific (東京)

AWS Config Ruleをご利用頂くと、ルールを作成することで、AWS Configにより記録されたAWSリソースの構成確認を継続的に実施することができ、リソースがガイドラインに準拠していない際は通知をすることが可能です。ルールのダッシュボードを使用することで、全体的にコンプライアントな状況かどうかを追跡し、コンプライアントでない状況につながった特定リソースの構成変更を特定するトラブルシューティングにご利用頂けます。 本日、AWS Config Rulesが新しく4つのリージョンで利用可能になりました。:US East (バージニア)に加え、 US West (オレゴン)、EU (アイルランド)、 EU (フランクフルト)、 Asia Pacific (東京)でご利用頂けます。 詳細情報 1. AWSマネジメントコンソールからAWS Configの利用開始 2. AWS Configのリージョンとエンドポイント 3. AWS Configフォーラム 翻訳は酒徳が担当しました。本文はこちら。

Read More

AWS Config Rules Repository のリリース

本日、AWS Config Rules Repositoryをリリースしました。AWS Config Rules Repository はコミュニティベースで、カスタマイズされたAWS Config Ruleを提供します。この新リポジトリを利用することで、AWSリソースのセキュリティに関するベストプラクティスに対し、評価とコンプライアンス評価の自動化が可能になります。 AWS Config Rules は、AWSリソースの定期的なセキュリティとコンプライアンスチェックを自動で行い、セキュリティ設定における手動作業の削減をサポートするサービスです。 AWS Config Rules Repository を使うことで、コンプライアンスチェックの自動化を加速させ、お客様はAWSコミュニティに集約された専門的な知識を簡単に利用できるようになります。それに加え、レポジトリは無料で公開されており、それぞれが独自に管理されています。それぞれのルールのコードが丸ごと共有されているため、そこから学び、コミュニティに貢献することもできます。全般的なセキュリティ専門家からの声とAWSユーザの観点からのセキュリティ専門家からの声を合わせることで、知見を高めることができればと思います。 以前のポストで述べたように、Center for Internet Securityと連携し、AWSアカウントを保護するための業界のベストプラクティスを確立しました。このリポジトリには、これらのベストプラクティスとの整合性を維持するのに役立つルールが幾つかあります。下記は現在、アクセス権を持っているカスタムルールのサンプルです: CloudTrailがすべての地域で有効になっているかの確認 すべてのアカウントで多要素認証(MFA)が有効になっているかの確認 ルートアカウントに対しキーが存在していないかの確認 AWS Identity and Access Management (IAM) にIAM Policyが存在しているかの確認 キーのローテーションが行われているかの確認 皆さんのAWSアカウントにこれらのルールを使用をする際には、GitHubの上のReadmeファイルを参照してください。是非このレポジトリを活用頂き、皆さんのカスタムルールをAWSコミュニテイで共有下さい! Chad 翻訳は酒徳が担当しました。本文はこちら:http://blogs.aws.amazon.com/security/post/TxES3UX2Z5BQRU/Announcing-the-AWS-Config-Rules-Repository-A-New-Community-Based-Source-of-Custo 

Read More