Category: Security, Identity, & Compliance

2021年8月30日、AWS Startup Loft Tokyo Security Day が開催され、AWS re:Inforce 2021 re:Cap セミナーと、AWS Security Hub Workshop が実施されました。 AWS re:Inforce 2021 re:Cap セミナーとは、AWSセキュリティ最大規模のカンファレンスである AWS re:Inforce の要点をまとめてお届けするセミナーです。2021年の AWS re:Inforce は、基調講演と5つのリーダーシップセッションがオンラインライブで放映されました。これらのサマリーを本セミナーにて日本の AWS ご利用者の方向けにお伝えしました。

政府機関や規制の厳しい業界から、中小企業、ベンチャー企業まで、世界中のお客様が Amazon Web Services (AWS) に最も重要なデータやアプリケーションを託しています。お客様のワークロードを安全かつ機密に保ち、お客様がプライバシーやデータ主権の要件を満たすことが AWS の最優先事項です。AWS では、セキュリティ技術への投資と厳格な運用方法により、最も要求の厳しいお客様の機密データの処理とプライバシーの基準を満たし、また、それを上回るサービスを提供しています。長年にわたり、お客様のセキュリティと機密性の水準を高め続けるために、専用のテクノロジーとシステムに多くの投資を行ってきました。 この 1 年で、お客様との会話の中で「コンフィデンシャルコンピューティング」という言葉への関心が高まってきました。この言葉は、様々な問題を解決する技術に対して使われており、実際に何を意味するのか混乱を招いているようです。お客様のイノベーションに貢献することを使命とする私たちは、コンフィデンシャルコンピューティングに関する私たちの視点をお伝えしたいと思います。

AWS のセキュリティベストプラクティスを実現するに当たり、「最小権限の原則」に戸惑ったことはありませんか？ AWS の利用では AWS Identity and Access Management (IAM) サービスを避けて通ることは出来ません。そのベストプラクティスとして掲げられているのが、最小権限の原則です。特に強固なセキュリティを求めるユースケースではこの原則の実現が課題になることが多いかと思います。本ブログでは、この最小権限の原則をシステマチックに検討するアプローチの一例をご紹介します。

AWS のセキュリティベストプラクティスを実現するに当たり、「最小権限の原則」に戸惑ったことはありませんか？ AWS の利用では AWS Identity and Access Management （IAM）サービスを避けて通ることは出来ません。そのベストプラクティスとして掲げられているのが、最小権限の原則です。特に強固なセキュリティを求めるユースケースではこの原則の実現が課題になることが多いかと思います。本ブログでは、この最小権限の原則をシステマチックに検討するアプローチの一例をご紹介します。

産業用デジタルトランスフォーメーションは、オペレーショナルテクノロジー（OT）の状況に変化をもたらし、インターネット、ITシステム、およびソリューションとの接続性を高めています。オペレーショナルテクノロジーとは、ハードウェアとソフトウェアを使用して、物理的な資産と生産オペレーションを監視および制御することです。OTの要素である産業用制御システム（ICS）は、産業でプロセス制御に使用されるいくつかの種類の制御システムと関連する計器類を含む一般的な用語です。これらの環境が進化し続けるにつれて、OT環境はより多くのITソリューションを活用して、生産オペレーションにおける生産性と効率を向上させています。このITとOTシステムの融合により、厳しい条件のネットワーク環境に耐えるように設計された技術とそうでない技術が混在しており、リスク管理の課題が生じています。産業用機器のインターネット（IIoT）は、産業用制御システムと業務システム、インターネット、ビジネスプロセス、分析を接続および統合するシステムであり、スマートマニュファクチャリングおよびインダストリー4.0の重要な要素です。これは、産業環境で使用可能な技術の範囲を大幅に拡大しました。本記事では、このOT/ITの融合について説明し、産業分野のお客様が適切に管理しなければならない新しいセキュリティリスクと課題を紹介します。

注：このブログでは、AWS サービスの IP レンジの情報から AWS WAF IP セットを自動的にアップデートする方法を説明しています。こちらの関連ブログでは VPC Security Group で使用されている Amazon CloudFront の IP レンジについて、同様のアップデートを行う方法を説明しています。 AWS Managed Rules for AWS WAF を使用すると、Web アプリケーションのベースライン保護をすばやく構築することができます。しかし、状況によっては AWS サービスの IP アドレスレンジで IP セットを作成し、これらサービスからのトラフィックを許可したい時があります。このブログでは AWS WAF の IP セットを、AWS サービスの Amazon CloudFront、Amazon Route 53 のヘルスチェック、Amazon EC2（さらに AWS Lambda、Amazon CloudWatch など、同じ IP アドレスレンジを共有するサービス）の IP アドレスレンジで自動的に更新するソリューションを紹介します。これらのサービスは AWS Managed Rules のAnonymous […]

オンライン授業用番組ライブラリーを開発した背景 2020年に発生した新型コロナウイルス感染症（COVID-19）のパンデミックにより教育現場のオンライン化が進み、従来であれば対面で授業を行っていた大学でもオンライン授業が行われるようになりました。教育機関では対面での授業であれば、動画コンテンツのような著作物を条件を満たしている場合に限り著作権者の許諾なくかつ無償で利用することが可能です。しかし、オンライン授業で著作物を利用する場合は有償利用となり、著作物の利用に際して手続きする必要があるという課題があります。 このような状況下で大学から相談を受けた株式会社NHKエンタープライズは、オンライン授業で利用する著作物の権利処理の手間をなくすため、日本放送協会（NHK）で放送した権利処理済の動画コンテンツを大学でのオンライン授業はもちろん、自習や予習にも利用できるソリューション「オンライン授業用番組ライブラリー」（以降 番組ライブラリー）を構築・提供しています。

本記事は、Anomaly Detection in Amazon WorkSpaces を翻訳したものです。 この投稿は、Alec Bryan によって寄稿されました。 Amazon WorkSpacesは、AWS上で動作するフルマネージドでセキュアなDesktop-as-a-Service（DaaS）ソリューションです。お客様は、WorkSpacesを導入することで、働く場所を問わず、ユーザーに拡張性のあるエンドユーザーコンピューティングを提供しています。WorkSpaces Streaming Protocol (WSP)のリリース以降、USBやスマートカードのサポートなどの追加機能により、WorkSpacesへの移行でこれらの機能を利用できるワークロードが増えています。 ユーザーがどこにいても仕事ができるようになったことで、お客様はユーザーがWorkSpacesを介して様々なリソースにアクセスできることを確実にするという新たな課題に直面しています。ユーザーに問題が発生した場合、サポートチームは迅速かつ効果的に対応しなければなりません。ユーザーが接続できるようにするには、サービスプロバイダー、物理的な場所、エンドユーザーのデバイスなどの外部要因を考慮する必要があります。クライアントのハードウェアのソフトウェアや設定の変更に加えて、インターネット、または内部ネットワークでのネットワークの停止も考えられます。リモートワーカーの場合、ユーザーからサポートチームへのフィードバックが遅れ、想定される問題の根本原因を特定するまでの貴重な時間が失われることがあります。 このブログ記事では、ユーザー接続性の異常を警告する通知を設定する方法を紹介します。これにより、潜在的な問題を認識し、特定することによりユーザーへの影響範囲を把握することができます。

この記事は “Approving AWS services for GxP workloads” を翻訳したものです。 （訳者注1：この記事における「承認」とは、お客様自身が、自身のワークロードにおいて AWS を利用できるか承認する行為のことを指します。）   このブログ記事では、GxP ワークロードの一部として AWS サービスの利用を承認するための承認プロセスの最初のステップについて説明します。このプロセスは、業界ではサービスの「ホワイトリスト化」と呼ばれることもあります。GxP 要件を満たす必要のある AWS のお客様の中には、開発者がどの AWS サービスにアクセスするか制御したい場合もあるでしょう。また、AWS をサプライヤーとして承認する際は、AWS の認証（訳者注2参照）・品質システム・管理情報をもとに評価しますので、GxP ワークロードの開発者には、認証の範囲内のサービスのみを利用できるようにさせたい場合もあるでしょう。一方で、イノベーションを加速させ開発者に高い自由度を与えるため、適度なバランスをとることも重視されています。このブログでは、GxP ワークロード向けの AWS サービスの承認プロセスを、一般的なシステム開発にスムーズに適用する方法もご紹介します。

昨今、ビジネスニーズの多様化に伴い、社内外でのアプリケーションのニーズも複雑化しており、従来の構成では要件やパフォーマンスを満たせない場合もあります。このようなニーズの多様化に伴い、データベースもユースケースに基づいて選択する必要があります。AWSでは、Purpose-build databaseを用意しており、ユースケース別にデータベースタイプを選択できます。IQVIAサービシーズ ジャパン株式会社(Research & Development Solutions, Clinical Operations, Site Management Support, Centralized Monitoring)と実施したプロトタイピングでは、薬剤検索アプリケーションの特性から、対象データをグラフデータとして保存することで、アプリケーションニーズと高パフォーマンスを期待できると考え、Amazon Neptuneをデータベースとして採用しました。今回は、グラフデータベースであるAmazon Neptune を活用したプロトタイピングをご紹介致します。