Amazon Web Services ブログ

Category: Security, Identity, & Compliance

AWS Security Profiles: 梅谷 晃宏、Office of the CISO Japan Lead

東京で開催されるイベント Solution Days を後に控え、当イベントに登壇予定の AWS 社員へインタビューを行いました。経歴や現在取り組んでいる事項についてご紹介いたします。 (※取材当時の記事となります。本年度の Solution Days は終了いたしました。原文はAWS Security Profiles: Akihiro Umegai, Japan Lead, Office of the CISO) AWS での勤続年数と、役割について教えてください。 AWS に入社して 6 年半になります。私は、Mark Ryland が率いるチーム Office of the CISO(OCISO) の日本の代表を務めていますが、AWS 全体統括している最高情報セキュリティ責任者(CISO)の Steve Schmidt をサポートする役割を担っています。お客様向けの AWS Securityサービスに関連した支援を提供し、社内のセキュリティタスクの一部も担当しています。 OCISO の日本代表としてのあなたの役割と、米国におけるその役割との違いはどのようなものでしょうか? 米国企業が日本でビジネスを展開する場合、言葉と文化の壁に直面することが多いと思います。おそらく 9 割以上の日本企業は英語を日常的には使用していないでしょう。そのため米国企業にとって日本のお客様とコミュニケーションする際には通訳を入れるなど工夫が必要となり、一般的に意思疎通が少し難しいと感じる場面が多いと思います。また、外国人にとっては非常に独特と思えるような伝統的な商習慣や文化的な背景が日本にはあります。特に日本人は絆や信頼の構築という点を非常に重視していると思います。こうした言語の壁と文化の違いが日本でビジネスを行う上で、最も重要な点になると思います。 しかし、そういったちょっとしたハードルがあったとしても、それを克服してチャレンジするに足るビジネス上の非常に大きいポテンシャルが日本の市場にはあると言えます。私は、日本と米国の AWS 本社間のいわばショック・アブゾーバー、またはスタビライザーとして機能しているとよく話をしています。AWS の米国チームの方向性や要点を解釈し、それを日本の市場に適応、順応させていくことが、日本のお客様との適切なコミュニケーションとして重要です。 こうしたいった点は大きな違いと言えるかと思います。 あなたの仕事で最も困難なことはどのようなことですか? 日本は米国の市場の動向をある程度追従する傾向があると思います。たとえば、CISOに関する認識などもそうです。日本でも同様に、最高情報セキュリティ責任者(CISO)、つまり自社のために包括的なセキュリティ問題について決定を下す人々が必要という意識は高まっていると思います。ただし、CISO の概念は日本市場に浸透しはじめたばかりで CISO が企業の経営幹部レベルにおいて重要な職責であるとは、あまり認められていないと感じます。Steve Schdmit […]

Read More

[AWS Black Belt Online Seminar] AWS Identity and Access Management (AWS IAM) Part1 資料公開

本日 (2019/1/29) 開催しました AWS Black Belt Online Seminar「AWS Identity and Access Management (AWS IAM) Part1」の資料を公開しました。 20190129 AWS Black Belt Online Seminar AWS Identity and Access Management (AWS IAM) Part1 AWS クラウドサービス活用資料集(すべての過去資料が閲覧できます) 今後の AWS Webinar スケジュール 直近で以下のオンラインセミナーを予定しています。各オンラインセミナーの詳細およびお申し込み先は下記URLからご確認いただけます。皆様のご参加をお待ちしております! AWS Black Belt Online Seminar 1月分申込先 ≫ AWS Black Belt Online Seminar 2月分申込先 ≫ AWS Identity and Access Management […]

Read More

[AWS Black Belt Online Seminar] AWS Certificate Manager 資料及び QA 公開

先日 (2018/12/19) 開催しました AWS Black Belt Online Seminar「AWS Certificate Manager」の資料を公開しました。当日、参加者の皆様から頂いた QA の一部についても共有しております。 AWS Black Belt Online Seminar 2018 AWS Certificate Manager AWS クラウドサービス活用資料集(すべての過去資料が閲覧できます) Q. DNS検証に成功した後、Route53の該当するレコードを削除した場合、証明証の自動更新がされないなどの影響がありますか? A. 影響がございます。こちらをご確認ください。 Q. RDSにSSL証明書があると思いますが、ACMで管理できるものですか?妄想的な質問で恐縮ですが、自動で更新されると良いかと思いまして A. ACMの管理対象ではありませんが、RDSの機能でメンテナンスウィンドウで自動更新されますが、RDSに接続するクライアント側で対応が必要な場合があります。 https://docs.aws.amazon.com/ja_jp/AmazonRDS/latest/UserGuide/UsingWithRDS.SSL.html Q. ACMで使えるドメインを教えてください A. 下記よくある質問の内容をご確認ください。 よくある質問では、複数ドメイン対応、ワイルドカードドメイン、ドメインに利用できる文字形式についての質問を掲載しております。 今後の AWS Webinar スケジュール 直近で以下のオンラインセミナーを予定しています。各オンラインセミナーの詳細およびお申し込み先は下記URLからご確認いただけます。皆様のご参加をお待ちしております! AWS Black Belt Online Seminar 1月分申込先 ≫ Redshift Recently Features Update 2019 年 […]

Read More

【開催報告】AWS re:Invent 2018 Security re:Cap Workshop and Seminar

2018年12月20日、AWS Loft Tokyoにて、AWS re:Invent 2018で発表されたセキュリティ新サービスなど最新情報を振り返るイベントが開催されました。 AWS re:Invent 2018とは、2018年11月25日から11月30日まで米国ラスベガスで開催されたAWS最大のカンファレンスです。エンドユーザー様、パートナー様を中心に、世界中から50,000人以上の来場者、100,000以上のライブ参加者を集めました。re:Inventは、基調講演や2100を超えるブレイクアウトセッション、パートナー様ソリューション紹介、参加者同士のネットワーキングイベントなどからなります。期間中に発表された新サービスや機能アップデートは100を超えました。 そこで本イベントは、セキュリティ分野に絞り、企業のセキュリティ意思決定者・担当者に向けて効率的に情報収集いただく目的で開催されました。AWSソリューションアーキテクトによる新サービスアップデートに加えて、AWSに関わりの深いエンドユーザー様、パートナー様からAWSへの期待やAWSサービス使用時のGood Practiceを伝えていただきました!   第一部 AWS Threat Detection and Remediation Workshop 本イベントは二部構成で実施されました。第一部は新サービスAWS Security Hubを用いた実践的参加型ワークショップです。参加者は企業のセキュリティ管理者となり、AWS環境で構築しているWebサーバーを、外部脅威から保護します。複数のAWSサービスを駆使し、一早く脅威を検知し、詳細調査しながら、企業として適切なインシデント対応フローを構築します。 AWS Security Hub, Amazon GuardDuty, Amazon Macie, Amazon Inspector, Amazon CloudWatch, AWS Lambda, AWS Systems Manager, AWS Config, AWS Cloud Trail などのセキュリティサービスを講義で紹介しつつ、ハンズオンで実際触ってみて、最後に参加者自身がセキュリティ管理者だったらどのような脅威検知と対応の仕組を構築するかをディスカッションしました。 約40名の参加者からは、「実践的な内容のワークショップだったので、参考になりました。 会社でも実践してみたいと思います。」「ハンズオンで体験が出来良かったです。」「具体的に脅威へ対応する体験ができたのがよかったです」「セキュリティの設定や実際の攻撃を体験することが出来、大変参考になりました。」「実践的な流れで体験したことでそれぞれの機能の概要が、短時間で理解できた気がします。」「実際にサービスを触りながら学ぶことができたので良かったです。」「AWSセキュリティ体系の重要性と勉強の必要性を多分に感じました。」などの声をいただきました。 今後もAWS Loft Tokyoなどで同ワークショップを開催していきますので、是非ご参加ください!   第二部 AWS re:Invent 2018 Security re:Cap […]

Read More

AWS データストア内の機密データを保護するためのベストプラクティス

このブログ記事では、データを保護する一般的なデータセキュリティパターンとそれに対応する AWS セキュリティコントロールに焦点を当てます。クラウド内の機密データを保護するための効果的な戦略を立てるには、一般的なデータセキュリティパターンをよく理解し、これらのパターンを明確にマッピングしてクラウドセキュリティコントロールに活かすことが必要です。

Read More

[AWS Black Belt Online Seminar] AWS Key Management Service (KMS) 資料公開

先日 (2018/11/21) 開催しました AWS Black Belt Online Seminar「AWS Key Management Service (KMS)」の資料を公開しました。 AWS Black Belt Online Seminar AWS Key Management Service (KMS) 過去資料はこちらをご覧ください。 今後の AWS Black Belt Online Seminar のスケジュール 直近で以下のオンラインセミナーを予定しています。各オンラインセミナーの詳細およびお申し込み先は下記URLからご確認いただけます。皆様のご参加をお待ちしております! 11月分申込先 ≫  12月分申込先 ≫ AWS CloudFormation アップデート 2018 年 11 月 28 日 | 18:00 – 19:00 | IT 知識レベル:★★☆☆☆ | AWS 知識レベル:★★☆☆☆ AWS re:Invent 2018 アップデート速報 2018 […]

Read More

新しい AWS Resource Access Manager – クロスアカウントでのリソース共有

以前に説明したように、顧客はさまざまな理由で複数の AWS アカウントを使用しています。一部の顧客は、複数のアカウントを使用して管理および課金を切り分けています。爆発半径を設定して、間違いの影響をコントロールしている顧客もいます。 こうした分離はすべての顧客にとって実際にポジティブなものですが、特定のタイプの共有が有用で有益であることも判明しています。たとえば、多くの顧客は、管理のオーバーヘッドや運用コストを削減するために、リソースを一元的に作成してアカウント間で共有したいと考えています。 AWS Resource Access Manager 新しいAWS Resource Access Manager (RAM) は、AWS アカウント間でのリソース共有を容易にします。AWS 組織内でリソースを簡単に共有でき、コンソール、CLI、一連の API から使用できます。Route 53 Resolver ルールのサポートを開始 (昨日、Shaunの素晴らしい記事で発表) し、近いうちにさらに多くの種類のリソースを追加します。 リソースを共有するには、単にリソース共有を作成し、名前を付け、リソースを 1 つ以上追加し、他の AWS アカウントへのアクセス権を付与するだけです。それぞれのリソース共有はショッピングカートに似ており、異なる種類のリソースを保持できます。自分が所有しているリソースはすべて共有できますが、共有されているリソースを再共有することはできません。リソースは、組織、組織単位 (OU)、AWS アカウントで共有することができます。また、組織外のアカウントを特定のリソース共有に追加できるかどうかをコントロールすることもできます。 組織のマスターアカウントの共有を、RAM コンソールの [Settings] ページで有効にする必要があります。 その後、組織内の別のアカウントとリソースを共有すると、リソースはどちらの側でもさらなるアクションなしで利用可能になります (RAM は、アカウントが組織に追加されたときに行われたハンドシェイクを利用します)。組織外のアカウントでリソースを共有すると、そのアカウントでリソースを利用できるようにするために承認する必要がある招待が送信されます。 リソースがアカウント (消費アカウントと呼ぶ) と共有されると、共有リソースは消費アカウントが所有するリソースと共に適切なコンソールページに表示されます。同様に、Describe/List をコールすると、共有リソースと消費アカウントが所有するリソースの両方を返します。 リソース共有にタグを付け、IAM ポリシーでタグを参照してタグベースの権限システムを作成することができます。リソース共有から、いつでもアカウントやリソースを追加したり削除したりすることができます。 AWS Resource Access Manager の使用 RAM コンソールを開き、[Create a resource share] をクリックして開始します。 共有の名前 […]

Read More

AWS Dev Day Tokyo 2018 セキュリティセッション & ワークショップ 開催レポート

  皆様、こんにちは。セキュリティソリューションアーキテクトの桐山です。 2018/10/29(月)から11/2(金)にかけて開催されたAWS Dev Day Tokyo 2018で実施された、セキュリティ関連のセッションとワークショップをおさらいしてみます。 開発者向けカンファレンスということで、この度はセキュリティに興味のある多くの開発者にご参加いただきました。これから企業がデジタルトランスフォーメーション(DX)時代に向かっていく中、開発者の役割も更に高度化・専門化しています。 事業部門で、いわゆるSysmem of Engagement(SoE)領域に携わる開発者は、下記のような今までにない新しいワークロードをセキュアに開発することに挑戦しているでしょう。 IoTサービスにより、様々なデバイスから大量の信頼性の高い実データを収集する 企業内データを一元的に集約・保存する場所(データレイク)をセキュアに管理・運用する 迅速にビジネスインサイトを活用するために、データ分析・可視化・利用をサーバーレスコンピューティング環境で実現する 上のそれぞれに相当するIoTセキュリティ、データレイクセキュリティ、サーバーレスセキュリティは新しいセキュリティ技術領域と言えます。 一方で、IT部門にて、いわゆるSystems of Record(SoR)領域に携わる開発者は、事業成長を支えるセキュリティ基盤を実現しなければなりません。ITインフラ自体を変革させると同時に、事業活動の変化やスピードに対応するためにSecurity as a ServiceやSecurity Automationに取り組むことになるでしょう。 このようなDX時代のセキュリティをAWSで実現するとしたら・・・以下のワークショップとセッションが役に立つはずです。

Read More

Amazon Elasticsearch Service を使用して GuardDuty でセキュリティをリアルタイムで監視する

Amazon GuardDuty を使用して AWS アカウントとワークロードを保護すると、大量のデータをすばやく検索して可視化できるようになります。企業によっては、何千ものアカウントからアクティビティを分析しているところもあるでしょう。分析後、是正措置がとれるようにセキュリティチームに警告する必要があります。重要なのは、タイミングです。 GuardDuty に、Amazon Elasticsearch Service とデータの可視化を組み合わせることで、データを実用的な洞察に変換することができます。この記事では、Amazon ES を使用して GuardDuty の調査結果を分析する方法を示します。また、Amazon ES のオープンソースのデータ可視化プラグインである Kibana を使用して、データを検索、探索、可視化する方法を紹介します。 このようなリソースの作成を開始するための概要と手順は、次のとおりです。 ソリューションの概要と前提条件 設定方法の高水準フローは、以下に示すように次のステップから構成されています。 Amazon Cloudwatch Events と AWS Lambda を使用して GuardDuty の調査結果を収集します。それを Amazon S3 に送信します。 S3 バケットに配信されたログを Amazon ES に送信します。 Amazon ES で調査結果を分析、検索、集約します。 Kibana ダッシュボードを使用して結果を可視化します。 ここで手順を開始する前に、このAWS ブログ記事で概説しているように、マスターアカウントで GuardDuty を有効にします。マスターアカウントには、GuardDuty のすべての調査結果が集計されます。マスターアカウントは通常、セキュリティチームによって管理され、すべてのメンバーアカウントの結果が表示されます。 ステップ 1: AWS Lambda を使用して GuardDuty ログを収集し、Amazon […]

Read More

リソースレベルの IAM アクセス許可とリソースベースのポリシーで、AWS Glue データカタログへのアクセスを制限する

データレイクはあらゆる規模で構造化および非構造化データを格納するために使用できる集中リポジトリを提供します。データレイクには、未加工のデータセットと整理され、クエリ用に最適化されたデータセットの両方を格納できます。未加工のデータセットは本来の形式で、素早く取り込むことが可能で、事前定義されたスキーマに無理矢理押し込める必要がありません。データレイクを使用すると、未加工と整理されたデータセットの両方に異なるタイプの分析を実行できます。データレイクのストレージレイヤーに Amazon S3 を使用することで、バケットとオブジェクトレベルの両方を細かくコントロールできるようになります。レイクのデータセットのアクセスコントロールポリシーを定義するためにこれらを使用できます。 AWS Glue データカタログは、永続型のフルマネージドメタデータストアで、AWS のデータレイクに使用できます。Glue データカタログを使用することで、Apache Hive Metastore で実行するのと同じ方法で AWS クラウドでもメタデータの保存、注釈の付与、共有を実行できます。Glue データカタログはまた、Amazon Athena、Amazon EMR、Amazon Redshift Spectrum などと、シームレスで、細かな設定の不要な統合を実現できます。 AWS Glue を使用することで、ユーザー、ロールをベースにした、または、リソースレベルに適用した、カタログの異なる部分へのアクセスを制限するポリシーの作成も可能です。これらのポリシーを使って、どのユーザーがデータレイク内で種々のメタデータ定義にアクセスできるかを詳細にコントロールできます。 重要: S3 および AWS Glue データカタログのポリシーは、それぞれ、データとメタデータ定義のアクセス許可を定義します。言い換えれば、AWS Glue データカタログのポリシーは、メタデータへのアクセスを定義し、S3 ポリシーはコンテンツそのものへのアクセスを定義します。 GetDatabases、GetTables、CreateTable、およびその他の個人識別ベースのポリシー (IAM) を使用して、どのメタデータを操作できるようにするか制限できます。また、その操作で実行するデータカタログオブジェクトも制限できます。さらに、結果の呼び出しで戻されるカタログオブジェクトを制限できます。ここで言う Glue データカタログの「オブジェクト」とは、データベース、テーブル、ユーザー定義の関数、または Glue データカタログに格納された接続を指します。 データレイクの本番環境のデータベースとテーブルに読み取りアクセスが必要で、他にはリソースを開発するための追加的なアクセス権限があるユーザーがいるとします。また、未加工データのフィードとビジネスインテリジェンス、分析、機械学習などのアプリケーションで使用された整理済みのデータセットの両方を格納するデータレイクがあるとします。これらの構成を簡単に設定でき、AWS Glue データカタログのアクセスコントロールメカニズムを使用して、他のものも多数簡単に設定できるようになります。 注意: 以下の例では、AWS Glue データカタログでポリシーをセットアップする方法について解説します。関連付けられた S3 バケットやオブジェクトレベルのポリシーは設定しません。これは、Athena、EMR、AWS Glue データカタログと統合されるツールの使用時、メタデータが検出できないことを意味します。誰かが S3 オブジェクトに直接アクセスしようとしたときに、S3 ポリシーが強制されることが重要です。データカタログと S3 バケットまたはオブジェクトレベルのポリシーを一緒に使用する必要があります。 […]

Read More