Amazon Web Services ブログ

Category: Security, Identity, & Compliance

AWS Well-Architected Framework のセキュリティの柱をアップデートしました

お客様からのフィードバックと新しいベストプラクティスに基づいて、AWS Well-Architected Framework のセキュリティの柱をアップデートしました。この記事では、セキュリティの柱のホワイトペーパーと AWS Well-Architected Tool の変更点の概要を紹介し、新しいベストプラクティスとガイダンスについて説明します。 AWS は、お客様がセキュアで高パフォーマンス、耐障害性、効率的なインフラストラクチャを構築することを支援するために、Well-Architected Framework を開発しました。Well-Architected Framework は、運用上の優秀性、セキュリティ、信頼性、パフォーマンス効率、コスト最適化の5つの柱から成り立っており、お客様、パートナー、AWS 内の各チームからのフィードバックを受けて、定期的にフレームワークを更新しています。またホワイトペーパーに加えて、AWS Well-Architected Tool も用意されており、ベストプラクティスに照らし合わせてアーキテクチャをレビューすることもできます。

Read More

[AWS Black Belt Online Seminar] Amazon Macie 資料及び QA 公開

先日 (2020/08/12) 開催しました AWS Black Belt Online Seminar「Amazon Macie」の資料を公開しました。当日、参加者の皆様から頂いた QA の一部についても共有しております。 20200812 AWS Black Belt Online Seminar Amazon Macie from Amazon Web Services Japan AWS クラウドサービス活用資料集(すべての過去資料が閲覧できます) Q. S3 の設定変更を検知できるとのことですが、AWS Config で検知する場合との違いはございますでしょうか? A. 検知は AWS Config とは別個の仕組みとなります。Macie で検知出来る変更の一覧がこちらにございます。 Q. カスタムを利用しても Macie で日本語は検知できない認識で問題ないでしょうか? A. UTF-8 文字コードのファイルが対象であれば、カスタム識別子を使ってキーワード、正規表現に日本語や日本語とマッチするルールを指定して検知させることが可能です。 Q. Organizations を組んでいる親子アカウントがあった場合、無料試用期間は、親と子でそれぞれ使えますか?親子まとめて1アカウント分という計算になりますか? A. 親子まとめてのカウントの計算となります。 Q. たとえばクレジットカードをコピー機でスキャンして PDF 化したファイルなど、画像データになった機密情報の識別は可能でしょうか? A. 画像データのスキャンは現在は出来ません。 […]

Read More
Webinar Title

【開催報告】AWS 環境上での医療情報ガイドライン対応の最新動向 ウェビナー

アマゾン ウェブ サービス ジャパン株式会社 インダストリー事業開発部 の佐近です。 ヘルスケア領域のシステム企画・開発・運用にご興味をお持ちのエンドユーザーおよびパートナーを主な対象として2020年7月16日に開催したウェビナー「AWS 環境上での医療情報ガイドライン対応の最新動向」は、400名以上の方々にご視聴いただけました。 本記事では医療情報システム向けAWS利用「リファレンス」作成パートナー5社の登壇内容を含む当日の資料・動画と、ウェビナー視聴者にAWSの活用を今後1年以内で新規にご検討中の分野を伺ったアンケートの回答結果を皆様にご紹介します。

Read More

AWS Organizationsによる、日本準拠法に関する AWS カスタマーアグリーメントの一括変更について

みなさん、こんにちは。アマゾン ウェブ サービス ジャパン、 シニアアドボケイトの亀田です。 今日は、AWS Organizationsによる、日本準拠法に関する AWS カスタマーアグリーメントの一括変更について、日本のお客様にとって重要なアップデートをお届けします。AWS Organizationsは複数のAWSアカウントにおいて、請求の一元管理や、アクセス、コンプライアンス、セキュリティの制御、AWS アカウント間でのリソースの共有などを実現するサービスです。 AWSのアカウントは開設直後、”AWS カスタマーアグリーメント”は準拠法、かつ管轄裁判所が米国ワシントン州法となっています。2017年11月に我々は、お客様が自動で”日本準拠法に関する AWS カスタマーアグリーメント変更契約”を締結可能とするAWS Artifactの機能をリリースしました。 https://aws.amazon.com/jp/blogs/news/how-to-change-aws-ca-by-artifact/ これによりお客様は、自身で複雑な処理を行うことなく、AWSのマネージメントコンソール上でAWS カスタマーアグリーメントの変更契約締結が可能となり、準拠法を日本法に変更し、更に、同契約に関するあらゆる紛争に関する第一審裁判所を東京地方裁判所に変更することができるようになりました。 この作業はアカウント単位で行う必要があり、企業内で複数のAWSアカウントを保有し、AWS Organizationsで管理されている場合、AWSアカウントの数だけその作業を行う必要がありましたが、このアップデートにより、マスターアカウントで作業を行うと、一括してメンバーアカウントへその設定が適応されます。また、設定作業後、新たに新規で追加されたメンバーアカウントにもその設定は自動で反映されるため、従来個別に作業を行う必要があったときに懸念されていた、作業漏れを防ぐことも可能です。 また、リセラーなど実運用にいおけるマスターアカウントとメンバーアカウントの管理母体が異なる場合は、本機能によるAWS カスタマーアグリーメント変更契約の一括締結には十分な注意を払う必要があります。 使い方は簡単です。 マネージメントコンソールからAWS Artifactにアクセスし、”契約”を開きます。”日本準拠法に関するAWSカスタマーアグリーメント変更契約(AWS Organizations用)を選びます。 その後画面右上の”契約の受諾”ボタンを押すと、”NDAを受諾して契約のダウンロードする”という画面が表示されますので、契約書をダウンロードします。 その後再度”契約の受諾”ボタンを押し、表示される確認ダイアログに同意すると、以下のようにAWSカスタマーアグリーメント変更契約が締結され、準拠法が切り替わります。 その他の詳細については下記のページをご参照ください。 https://aws.amazon.com/jp/artifact/faq/ – シニアアドボケイト 亀田

Read More

AWS セキュリティドキュメントに150 以上の AWS サービスが追加されました

2019 年 6 月の AWS セキュリティブログで説明した、 AWSドキュメント の取り組みについての最新情報をお伝えします。 AWS セキュリティドキュメントに 150 以上のAWS サービスが追加されたことをお知らせできることを嬉しく思います。 AWS セキュリティドキュメントに馴染みがない方のためにお伝えすると、これは既存のサービスドキュメントの中にあるセキュリティコンテンツを簡単に見つけることができるように開発されたもので、AWS サービスのセキュリティ機能を確認する際に複数のソースを参照する手間を省くものです。これは、AWS 責任共有モデルで説明されている、クラウド “の” セキュリティ、クラウド “における”セキュリティに関する情報を含む、AWS クラウド導入フレームワーク( Cloud Adoption Framework – CAF)のセキュリティに沿った内容となっています。各章では、各 AWS サービスに適用される CAF の中から、以下のセキュリティトピックを取り上げています。

Read More

[AWS Black Belt Online Seminar] AWSアカウント シングルサインオンの設計と運用 資料及び QA 公開

先日 (2020/07/22) 開催しました AWS Black Belt Online Seminar「AWSアカウント シングルサインオンの設計と運用」の資料を公開しました。当日、参加者の皆様から頂いた QA の一部についても共有しております。 20200722 AWS Black Belt Online Seminar AWSアカウント シングルサインオンの設計と運用 from Amazon Web Services Japan AWS クラウドサービス活用資料集(すべての過去資料が閲覧できます) Q. AWS Single Sign-On (SSO) のアクセス権限セットですが、IAM ロールやグループ、ポリシーとは独立したものという認識で正しいですか?AWS Single Sign-On (SSO) の管理者がメンテする必要があるのかと思っています。 A. はい。アクセス権限セットは AWS Organizations マスターアカウントの IAM ロールやグループ、ポリシーとは独立したものになります。AWS Single Sign-On (SSO) の管理画面を通じて管理者が設定したアクセス権限セットに基づいて、メンバーアカウントのロールやポリシーが構成されます。 Q. AWS Organizations のマスターアカウントではなくメンバーアカウントで AWS Single Sign-On […]

Read More

[AWS Black Belt Online Seminar] Amazon Detective 資料及び QA 公開

先日 (2020/07/15) 開催しました AWS Black Belt Online Seminar「Amazon Detective」の資料を公開しました。当日、参加者の皆様から頂いた QA の一部についても共有しております。 20200715 AWS Black Belt Online Seminar Amazon Detective from Amazon Web Services Japan AWS クラウドサービス活用資料集(すべての過去資料が閲覧できます) Q. Amazon GuardDuty の有効化後、48時間経過すれば必ず有効化できますか? A. はい、有効化できます。Amazon GuardDuty 有効化後の48時間以内に Amazon Detective を有効化しようとするとエラーメッセージが表示され有効化ができませんが、48時間経過すると、このメッセージも表示されず有効化することができます。 Q. 複数の AWS アカウントを運用している場合、どのような構成がベストプラクティスになりますでしょうか?(各 AWS アカウントで有効化する/ログを1つの AWS アカウントに集約して有効化する、など) A. すべてのアカウントで有効化をして、1つのアカウントで検出結果の管理を行うのを推奨しております。最初に、マスターアカウントを一つ選択してください。他のAWSアカウントはメンバーアカウントになります。次に、Amazon GuardDuty または AWS Security Hub のサービスを有効化して、このマスターアカウントがメンバーアカウントの検出結果を管理できるようにしてください。最後に、Amazon Detective でも同じマスターアカウントとメンバーアカウントの関係を維持してください。これによって組織全体で脅威を一元管理ができ、Amazon […]

Read More

[AWS Black Belt Online Seminar] Amazon Cognito 資料及び QA 公開

先日 (2020/06/30) 開催しました AWS Black Belt Online Seminar「Amazon Cognito」の資料を公開しました。当日、参加者の皆様から頂いた QA の一部についても共有しております。 20200630 AWS Black Belt Online Seminar Amazon Cognito from Amazon Web Services Japan AWS クラウドサービス活用資料集(すべての過去資料が閲覧できます) Q. ユーザープール、Cognito ID プールはどこに保存されるのでしょうか?例えば貴社でご用意する Cognito 用インスタンスのローカル等に保存されるイメージでしょうか? A. お客様が指定された AWS リージョン内の Amazon Cognito 環境内に保存されます。 Q. ユーザープールに登録した情報(usename、password、email, tel)のバックアップとリストアは、どのように行えばよいですか? A. Cognito ユーザプールはバックアップやリストアの機能は提供していませんが、ユーザプールに登録された情報は、安全に保存されています。そのため、単一リージョン内での耐久性では不十分な場合や操作ミスからの復旧が、バックアップやリストアの目的になるかと思われます。 前者への対応としては、定期的に全ユーザの属性を読み取って S3 や DB 等に保存しておく、あるいはユーザの新規・変更時に都度 DB にも記録する、ログイン時に発行される ID トークンの内容を都度 DB […]

Read More

委任された管理者からAWS Configルールと適合パックをデプロイする

AWS Configルールの使用により、リソースの構成をベストプラクティスに照らし合せて評価し、決められた構成ポリシーに従っていない場合は修正することができます。 AWS Config適合パックを使用すると、AWS Organizations全体に適用されるAWS Configルールと修復アクションのセットを単一のパックで作成できます。これにより、Configルールの集中管理と展開が可能になります。 今までは、組織全体にまたがる適合パックとConfigルールの展開は、組織のマスターアカウントのみが実施できました。しかし、マスターアカウントを一括請求にのみ使用するお客様も多数おられます。お客様がセキュリティ、監査、コンプライアンスのための専用アカウントを持っている場合、代わりにその専用アカウントを使って組織全体にわたるConfigの展開を管理したいと考えるでしょう。このようなご要望にお応えして、AWS Organizationsの非マスターアカウントからConfigルールと適合パックのデプロイができるようになりました。このAWS Config新機能を使用すると、これらのConfigリソースをAWS Organizations全体に展開し管理できる権限を委任する管理者アカウントを登録できます。 このブログ投稿では、委任された管理者アカウントにて、組織全体に適合パックを展開し、AWS Configルールと適合パックを管理する方法について示します。

Read More