Amazon Web Services ブログ

Category: Security, Identity, & Compliance

re:Invent – これから予定されるセキュリティセッション

本投稿は、 AWS Security のシニアプログラムマネージャーである Maria Taggart による寄稿を翻訳したものです。 先月のAWS re:Invent はいかがでしたか。 AWS re:Invent で見たいと思っていたセキュリティ、アイデンティティ、コンプライアンスのセッションを全部見ることができましたか? 見逃した場合でも心配しないでください。2020 年にリリースされたすべてのセッションは AWS re:Invent ウェブサイト経由でストリーミング配信されています。さらに、2021年には新しいセッションとして、1月12日から15日にライブストリーミングを行います。新しいセキュリティ、アイデンティティ、コンプライアンスセッションを以下にご紹介します ― 各セッションは複数回提供されますので、場所やスケジュールに合わせて最適な時間でご視聴下さい。   Protecting sensitive data with Amazon Macie and Amazon GuardDuty – SEC210( Amazon Macie と Amazon GuardDuty で機密データを保護する) Himanshu Verma, AWS Speaker 1月13日 水曜日 4:00 AM – 4:30 AM JST 1月13日 水曜日 12:00 PM – […]

Read More

ラウンド 2 の ポスト量子暗号 TLS が KMS でサポートされました

AWS Key Management Service (AWS KMS) が AWS KMS API エンドポイントに接続する際に使われる Transport Layer Security (TLS) 1.2 暗号化プロトコルにおいて新しいハイブリッド型のポスト量子暗号(耐量子暗号)鍵交換アルゴリズムをサポートするようになりました。これらの新しいハイブリッドポスト量子アルゴリズムは、古典的な鍵交換による実証済みのセキュリティと、標準化作業で評価中の新しいポスト量子鍵交換の潜在的な耐量子安全特性を組み合わせたものです。これらのアルゴリズムの中で最も高速なものは、古典的な TLS ハンドシェイクと比較して約 0.3 ミリ秒のオーバーヘッドがあります。追加された新しいポスト量子暗号鍵交換アルゴリズムは、Kyber のラウンド 2 バージョン、Bit Flipping Key Encapsulation(BIKE)、および Supersingular Isogeny Key Encapsulation(SIKE)です。標準化に参加している各組織は、米国国立標準技術研究所(NIST) のポスト量子暗号の標準化プロセスの一環として、アルゴリズムを NIST に提出しています。このプロセスは、複数年にわたる数ラウンドの評価にまたがり、2021 年以降も続く可能性があります。 以前のハイブリッド量子暗号 TLS に関するブログ投稿で、AWS KMS がラウンド 1 バージョンの BIKE と SIKE を備えたハイブリッドポスト量子暗号 TLS 1.2 をリリースしたことを発表しました。ラウンド 1 のポスト量子暗号 アルゴリズムは引き続き AWS KMS でサポートされていますが、ラウンド […]

Read More

ゼロトラストアーキテクチャ: AWS の視点

本投稿は、AWS の CISO オフィスのディレクターを務める Mark Ryland と AWS Identity の専門家である Quit Van Deman による寄稿を翻訳したものです。 アマゾン ウェブ サービス(AWS)の使命は、安全なシステムの構築、デプロイ、迅速な反復処理を行う際に行う作業がより少なくなるようにお客様に代わってイノベーションを行うことです。お客様からはセキュリティの観点について以下のような質問をよくいただきます、 “システムとデータの機密性、完全性、可用性を適切なレベルに確保し、スピードと俊敏性を向上させるのに最適なパターンは何ですか?“。ゼロトラスト・アーキテクチャまたはゼロトラスト・ネットワーキングのカテゴリーに該当するセキュリティアーキテクチャパターンが、これらの質問にどのように答えることができるか、お客様から具体的な質問を受ける機会が増えてきました。 このブログでは、ゼロトラストの名前を使用する技術への関心の高まりや、ゼロトラストに関する様々なコンセプトやモデルへの関心が高まっていることを踏まえ、私たちの視点をお伝えしたいと考えています。

Read More

Amazon API Gateway で API キーを使わずに認証とアクセス制御を行う

はじめに Amazon API Gateway の API キーの利用を検討したものの、API キーの制約によってプロダクトの要件を満たせないことがあります。その際、それぞれ Amazon Cognito を利用した認証と AWS WAF を用いた IP ベースのレート制限を利用するという代替案をご紹介いたします。 背景 筆者は普段、プロトタイピングソリューションアーキテクトとして、お客様のプロダクトのプロトタイプ作りをお手伝いさせていただいております。お客様の中には、ユーザー認証やアクセス制御として Amazon API Gateway の API キーの利用を検討している場合があります。しかし、API キーでお客様の要件を満たせるかどうかは、慎重に検討が必要です。 API キーには数の上限があります。Amazon API Gateway のクォータと重要な注意点 にも記載がある通り、1 アカウント、1 リージョンあたりの API キー数の上限は 500 です。そのため、多くのユーザーを抱える API では API キーによる認証は適さないと言えます。 API キーのセキュリティについても検討が必要です。API キーは有効期限が設定できないので、有効期限を設定可能な認証方法に比べ、漏洩した際のリスクが大きいです。 このように、 API キーは容易に利用が可能な反面、いくつかの考慮事項があるため、選定は慎重に行う必要があります。次の考察で、認証とアクセス制限について、それぞれ代替案をご紹介したいと思います。 考察 では、ユースケース別に代替案をご紹介いたします。 一つ目は、認証として API キーを利用したいケースです。それぞれのユーザーに対し、ユニークな API キーを割り当てることを想定しています。この場合、背景にて説明した API […]

Read More

re:Invent 2020 – アイデンティティとデータ保護関連セッションのご紹介

例年と異なり、今年の AWS re:Invent はラスベガスで皆さんとお会いするかわりに、3週間の無料のバーチャルカンファレンスになります。その一方変わらない事は、多くのセキュリティ、アイデンティティ、コンプライアンスのセッションを含む、様々なセッションが用意されていることです。私たちはセッションを準備するにあたり、お客様にどの知識を深めたいかを尋ねました。その一つの方法として、セキュリティブログの記事で以前紹介した、お客様から直接フィードバックできる新しい投票機能 を利用しました。今回の投票結果で、アイデンティティとアクセス管理、データ保護がお客様にとって最も興味のあるトピックであることがわかりました。そこでこのブログでは、2つのトピックに関する re:Invent のセッションを紹介いたします。re:Invent のスケジュールを立てる際にぜひ活用いただければと思います。各セッションは複数回開催されますので、お住まいの地域やスケジュールに合わせてお申し込みください。

Read More

新機能 — AWS SSO 用の WebAuthn を使用した多要素認証

本日より、現在サポートされているワンタイムパスワード (OTP) と Radius 認証システムに加えて、新しい Multi-Factor Authentication (MFA) としてWebAuthn を AWS Single Sign-On に追加できます。FIDO Alliance との連携で開発された W3C 仕様である WebAuthN のサポートを追加することで、システム管理者によってプロビジョニングされた、またはノートパソコンやスマートフォンに組み込まれたさまざまな相互運用可能な認証システムで認証を行うことができるようになります。たとえば、ハードウェアセキュリティキーをタップしたり、Mac で指紋センサーに触れたり、モバイルデバイスまたは PC で顔認識を使用したりして、AWS マネジメントコンソールや AWS コマンドラインインターフェイス (CLI) で認証を行えるようになります。 この追加により、複数の MFA 認証システムを自分で登録できるようになりました。こうしておくことで、プライマリ認証システムデバイスを紛失したり置き忘れたりした場合に、AWS で別のデバイスを使用して認証できます。長期的な管理のために、デバイスには簡単に名前を付けることができます。 WebAuthn 2 要素認証は、AWS Single Sign-On 内部 ID ストアに保存されている ID や、Microsoft Active Directory に保存されている ID (AWS によって管理されているか否かを問わず) で使用できます。 WebAuthn および FIDO2 とは何ですか? FIDO2 対応デバイスを使用して […]

Read More

新機能 — AWS Single Sign-On による属性ベースのアクセスコントロール

本日から、AWS Single Sign-On を使用してお客様の従業員がクラウドにサインインする際に、AWS セッションでユーザー属性を渡すことができるようになりました。これにより、AWS Single Sign-On および ABAC のアカウントアクセスを一元管理でき、AWS SSO、Active Directory、または外部 ID プロバイダーを ID ソースとしてを柔軟に使用できます。AWS での ABAC ポリシーの利点の詳細については、このテーマに関する私の以前のブログ記事をお読みください。 概要 一方では、システム管理者は AWS Single Sign-On ID リポジトリまたはマネージド Active Directory でユーザー属性を設定します。システム管理者は、Okta、OneLogin、または PingIdentity などの外部 ID プロバイダーを設定して、従業員が AWS にフェデレートするときに AWS セッションで既存のユーザー属性を渡すこともできます。これらの属性は、AWS ではセッションタグと呼ばれます。他方、クラウド管理者は、従業員が一致するリソースタグを持つクラウドリソースにのみアクセスできるように、きめ細かいアクセス許可ポリシーを作成します。 機能ロールの代わりに一致する属性に基づいてポリシーを作成すると、AWS 環境で作成および管理する必要がある個別のアクセス許可とロールの数を減らすことができます。たとえば、チームレッドのデベロッパーである Bob およびチームブルーのデベロッパーである Alice が AWS にサインインし、同じ AWS Identity and Access Management (IAM) ロールを引き受けると、チーム用にタグ付けされたプロジェクトリソースに対する個別のアクセス許可が与えられます。Bob と Alice […]

Read More

re:Invent 2020におけるマネジメントとガバナンス関連セッションのご紹介

AWS re:Inventは、お客様と関わり合い、サービスや機能に関して学び、共有できる、エキサイティングな時期です。現在のパンデミックにより、今年のre:Inventは11月30日から12月18日までの 3 週間にわたって完全オンライン、無料で開催されます。そうです、あなたには参加する権利があるのです。 AWS re:Invent 2020はバーチャルで開催され無料です!!! このブログでは、AWSでのマネジメントとガバナンスに関するセッションのハイライトを紹介します。これらは、ビジネスの俊敏性とガバナンスコントロールの両者を維持しながら、AWS環境を有効化し、プロビジョニングし、そして運用するために、役立つセッションです。各セッションは、世界各地のお客様に向け複数回ブロードキャストされ、すべてあなたの家で快適な環境でご視聴いただけます。これらのセッションのメリットを享受するため、re:Inventに登録してください。

Read More

セキュリティの実践とベストプラクティス -日本銀行様『クラウドサービス利用におけるリスク管理上の留意点』によせて-

本Blogは、クラウドにおける新しい常識”new normal”を考えるBlogの第五弾です。
多くのお客様は、より安全にサービスを提供するために多様なセキュリティを組み込み、また規制要件を満たしていくことで組織としての説明責任を果たそうとしています。
日本銀行様では、多くの金融機関のお客様がよりクラウドを活用したイノベーションをおこし、サービスを向上するために『金融システムレポート別冊』として「クラウドサービス利用におけるリスク管理上の留意点」(以下、本別冊とします)を発表しました。本Blogでは本別冊に基づき、組織がセキュリティを実践するために必要な考え方のいくつかを示してみたいと思います。

Read More

AWS マネージド Microsoft Active Directory でマルチリージョンレプリケーションが有効になりました

当社のお客様は、世界中のあらゆるユーザーにサービスを提供する必要があるアプリケーションを構築しています。お客様の話を聞くと、AWS で Active Directory (AD) 対応のアプリケーションを構築することは快適であるものの、グローバルに動作させることは本当に課題になり得るとのことです。 お客様は、AWS Directory Service for Microsoft Active Directory によって時間と費用を節約し、AD 対応アプリケーションの実行に必要なすべての機能が得られたと語っています。ただし、グローバル化したい場合は、リージョンごとに独立した AWS マネージド Microsoft AD ディレクトリを作成する必要がありました。その後、各リージョン間でデータを同期するソリューションを作成する必要があります。このレベルの管理オーバーヘッドは大きく、複雑で、コストも高くなります。また、AD 対応のワークロードをクラウドに移行しようとしたため、お客様のペースも低下しました。 本日は、複数の AWS リージョンで単一の AWS マネージド Microsoft AD をデプロイできる新機能についてお伝えします。マルチリージョンレプリケーションと呼ばれるこの新しい機能は、リージョン間のネットワーク接続を自動的に設定し、ドメインコントローラーをデプロイし、複数のリージョン間ですべての Active Directory データを複製します。これにより、これらのリージョンに存在する Windows および Linux ワークロードは AWS マネージド Microsoft AD に接続し、低レイテンシー、ハイパフォーマンスで使用できるようになります。 AWS マネージド Microsoft AD を利用すると、AD 対応のアプリケーションやワークロードの AWS への移行の費用効果が高くなり、グローバルな運用が簡単になります。さらに、自動マルチリージョンレプリケーションにより、マルチリージョンの耐障害性が得られます。 AWS は、ユーザー、グループ、グループポリシーオブジェクト (GPO)、スキーマなど、すべてのカスタマーディレクトリデータを複数のリージョン間で同期できるようになりました。AWS は、自動化されたソフトウェア更新、モニタリング、リカバリ、および基盤となる AD インフラストラクチャのセキュリティをすべてのリージョンにわたって処理するため、お客様はアプリケーションの構築に専念できます。Amazon […]

Read More