Category: Security, Identity, & Compliance

ＡＷＳは「政府情報システムのためのセキュリティ評価制度（Information system Security Management and Assessment Program: 通称、ISMAP（イスマップ））」に登録されましたことをお知らせします（有効期間：2021年3月12日から2022年3月31日まで）。

みなさん、こんにちは。アマゾン ウェブ サービス ジャパン、シニアエバンジェリストの亀田です。 今週はAWS東京リージョンの10周年、そして3つのAZを持つ大阪リージョンの発表があり、日本におけるクラウド利用は広がり続けています。そして、2020年11月に発表された、AWS Network Firewall が東京リージョンで本日利用可能になりましたのでお知らせいたします。 Network Firewall は AWS クラウド上でお客様向けに論理的に分離された仮想ネットワークの構築を実現するAWSの重要な機能である、Amazon Virtual Private Cloud (VPC) に不可欠なネットワーク保護を簡単にデプロイできるようにするマネージドサービスです。数回クリックするだけでセットアップでき、ネットワークトラフィックに合わせて自動的に拡張される数十万コネクションを管理できるため、インフラストラクチャのデプロイと管理について心配する必要はありません。 従来VPCには基本的なセキュリティ機能として、プロトコル単位、IPアドレス単位、ポート単位で通信のインバウンド、アウトバウンドの許可・拒否の制御を行うセキュリティグループ、ネットワークアクセスコントロールリスト (ACL) があり、主にレイヤ3及び4で動作します。このNetwork Firewall は、VPCに備わる新たなセキュリティ機能であり、アカウントとアプリケーション全体で一元的にファイアウォールのルールを設定、管理できるようにするAWS Firewall Managerと統合されて、レイヤ7まで含めた制御を実現します。 Network Firewallは数千のカスタムルールを設定可能なステートフルに動作するファイアウォールとして機能し、接続の追跡やプロトコルの識別などのトラフィックフローからコンテキストを組み込んで、VPC が不正なプロトコルを使用してドメインにアクセスするのを防ぐなどのポリシーを適用することができます。AWS Network Firewall の侵入防止システム (IPS) は、アクティブなトラフィックフロー検査を提供するため、シグネチャベースの検出を使用して脆弱性の悪用を特定してブロックすることができ、また、既知の不正な URL へのトラフィックを停止し、完全修飾ドメイン名を監視できるウェブフィルタリング等も提供されます。従来のセキュリティグループやネットワークACLの制御では、許可、拒否の2択でしたが、alertの機能が備わっており、これらの検知結果などはAmazon CloudWatch でダッシュボード化することが可能で、可観測性を高めることに役立ちます。 外部通信のインバンド、アウトバウンド制御だけではなく、AWS Transit Gatewayとの連携により、相互接続された VPC のきめ細かいネットワークセキュリティコントロールを実現することが可能で、さらに Transit Gateway でサポートされているクライアントデバイスおよび オンプレミス環境から AWS Direct Connect と VPN のトラフィックを保護することができます。 サービスの起動はマネージメントコンソールのVPC画面から行えます。 Network Firewallに組み込むルールは以下の画面で設定を行っていきます。送信元IP、送信元ポート番号、宛先IP、宛先ポート番号、プロトコル番号を指定する5-tuple形式、ドメイン名ベースの制御を行うDomain list形式、オープンソースベースのIPSであるSuricata […]

AWSが高い耐障害性を確保しているか、また、マルチリージョンの活用により、お客様がどのように高いレジリエンスを確保できるかを解説したホワイトペーパーを、AWS Artifactにおいて公開しました。

1 月 28 日に新聞・出版業界のお客様向けに AWS re:Invent 2020の Recap セッションを実施しました。 クラウドコンピューティングの分野で世界最大規模の「学習型」カンファレンスである AWS re: Invent は、例年 12 月に 1 週間程度いただいてラスベガスで開催しておりました。しかし、昨年はコロナウィルス感染拡大の影響により、11 月末からの 3 週間に拡大して完全オンライン（参加無料）で開催されました。およそ 50 万人の方にご登録いただき、5 つの基調講演と 500 以上のセッションをご提供、期間中は 200 以上の新機能・新サービスを発表しました。

ISMAPの制度概要とAWSの取り組みをご紹介するコンプライアンスページを設けました。

「Amazon FSx」は、他サードパーティ製ファイルシステムのような互換性と同時に多様な用途に堪える様々な機能を提供します。Amazon FSxを活用することによって、ハードウェアの調達・ソフトウェアの設定・パッチ適用・バックアップ等、時間と労力のかかる従来の運用作業を自動化することができます。この記事ではActive Directoryドメイン移行のシナリオにおいて、オンプレミスのファイル共有をAWS DataSyncを用いてどのようにAmazon FSxに移行できるかを説明していきたいと思います。多くのお客様がオンプレミスのADからAWS Managed Microsoft Active Directoryへの移行と同時に、ファイルサーバーもAmazon FSxに移行しています。

本投稿は、 AWS Security のシニアプログラムマネージャーである Maria Taggart による寄稿を翻訳したものです。 先月のAWS re:Invent はいかがでしたか。 AWS re:Invent で見たいと思っていたセキュリティ、アイデンティティ、コンプライアンスのセッションを全部見ることができましたか？ 見逃した場合でも心配しないでください。2020 年にリリースされたすべてのセッションは AWS re:Invent ウェブサイト経由でストリーミング配信されています。さらに、2021年には新しいセッションとして、1月12日から15日にライブストリーミングを行います。新しいセキュリティ、アイデンティティ、コンプライアンスセッションを以下にご紹介します ― 各セッションは複数回提供されますので、場所やスケジュールに合わせて最適な時間でご視聴下さい。   Protecting sensitive data with Amazon Macie and Amazon GuardDuty – SEC210（ Amazon Macie と Amazon GuardDuty で機密データを保護する） Himanshu Verma, AWS Speaker 1月13日 水曜日 4:00 AM – 4:30 AM JST 1月13日 水曜日 12:00 PM – […]

AWS Key Management Service (AWS KMS) が AWS KMS API エンドポイントに接続する際に使われる Transport Layer Security (TLS) 1.2 暗号化プロトコルにおいて新しいハイブリッド型のポスト量子暗号（耐量子暗号）鍵交換アルゴリズムをサポートするようになりました。これらの新しいハイブリッドポスト量子アルゴリズムは、古典的な鍵交換による実証済みのセキュリティと、標準化作業で評価中の新しいポスト量子鍵交換の潜在的な耐量子安全特性を組み合わせたものです。これらのアルゴリズムの中で最も高速なものは、古典的な TLS ハンドシェイクと比較して約 0.3 ミリ秒のオーバーヘッドがあります。追加された新しいポスト量子暗号鍵交換アルゴリズムは、Kyber のラウンド 2 バージョン、Bit Flipping Key Encapsulation（BIKE）、および Supersingular Isogeny Key Encapsulation（SIKE）です。標準化に参加している各組織は、米国国立標準技術研究所（NIST） のポスト量子暗号の標準化プロセスの一環として、アルゴリズムを NIST に提出しています。このプロセスは、複数年にわたる数ラウンドの評価にまたがり、2021 年以降も続く可能性があります。 以前のハイブリッド量子暗号 TLS に関するブログ投稿で、AWS KMS がラウンド 1 バージョンの BIKE と SIKE を備えたハイブリッドポスト量子暗号 TLS 1.2 をリリースしたことを発表しました。ラウンド 1 のポスト量子暗号 アルゴリズムは引き続き AWS KMS でサポートされていますが、ラウンド […]

本投稿は、AWS の CISO オフィスのディレクターを務める Mark Ryland と AWS Identity の専門家である Quit Van Deman による寄稿を翻訳したものです。 アマゾン ウェブ サービス（AWS）の使命は、安全なシステムの構築、デプロイ、迅速な反復処理を行う際に行う作業がより少なくなるようにお客様に代わってイノベーションを行うことです。お客様からはセキュリティの観点について以下のような質問をよくいただきます、 “システムとデータの機密性、完全性、可用性を適切なレベルに確保し、スピードと俊敏性を向上させるのに最適なパターンは何ですか？“。ゼロトラスト・アーキテクチャまたはゼロトラスト・ネットワーキングのカテゴリーに該当するセキュリティアーキテクチャパターンが、これらの質問にどのように答えることができるか、お客様から具体的な質問を受ける機会が増えてきました。 このブログでは、ゼロトラストの名前を使用する技術への関心の高まりや、ゼロトラストに関する様々なコンセプトやモデルへの関心が高まっていることを踏まえ、私たちの視点をお伝えしたいと考えています。

はじめに Amazon API Gateway の API キーの利用を検討したものの、API キーの制約によってプロダクトの要件を満たせないことがあります。その際、それぞれ Amazon Cognito を利用した認証と AWS WAF を用いた IP ベースのレート制限を利用するという代替案をご紹介いたします。 背景 筆者は普段、プロトタイピングソリューションアーキテクトとして、お客様のプロダクトのプロトタイプ作りをお手伝いさせていただいております。お客様の中には、ユーザー認証やアクセス制御として Amazon API Gateway の API キーの利用を検討している場合があります。しかし、API キーでお客様の要件を満たせるかどうかは、慎重に検討が必要です。 API キーには数の上限があります。Amazon API Gateway のクォータと重要な注意点 にも記載がある通り、1 アカウント、1 リージョンあたりの API キー数の上限は 500 です。そのため、多くのユーザーを抱える API では API キーによる認証は適さないと言えます。 API キーのセキュリティについても検討が必要です。API キーは有効期限が設定できないので、有効期限を設定可能な認証方法に比べ、漏洩した際のリスクが大きいです。 このように、 API キーは容易に利用が可能な反面、いくつかの考慮事項があるため、選定は慎重に行う必要があります。次の考察で、認証とアクセス制限について、それぞれ代替案をご紹介したいと思います。 考察 では、ユースケース別に代替案をご紹介いたします。 一つ目は、認証として API キーを利用したいケースです。それぞれのユーザーに対し、ユニークな API キーを割り当てることを想定しています。この場合、背景にて説明した API […]