Amazon Web Services ブログ

Category: Security, Identity, & Compliance

AWSのISMAP登録リージョンが23リージョンに拡張されました。

AWSは「政府情報システムのためのセキュリティ評価制度(Information system Security Management and Assessment Program: 通称、ISMAP(イスマップ))」において、すでに登録済みの日本国内のリージョンに加え、ISMAP登録範囲として23リージョンが認定されました。

Read More

AWS Global Accelerator と Amazon GameLift FleetIQ を活用してプレーヤーエクスペリエンスを向上させる

インターネット経由で世界中のユーザーにサービスを提供するゲームを構築することは困難です。この2つのパートからなるシリーズでは、ゲーム開発者が世界中のプレイヤーエクスペリエンスを向上させ、より効率的に展開し、レイテンシーを短縮し、インゲームのパフォーマンスを向上させ、ゲームコンテンツをより速く配信する方法について説明します。 この最初の投稿では、AWS Global Accelerator を使用して、ゲームプレイやオンラインストアのトラフィックなどの動的コンテンツのパフォーマンスを向上させる方法について説明します。また、AWS Global Accelerator と Amazon GameLift FleetIQ を統合するためのリファレンスアーキテクチャも提示し、マルチプレイヤーゲーム用のクラウドサーバーを簡単にデプロイ、運用、スケーリングします。2番目のブログ記事である、Amazon CloudFront を使用してゲームバイナリやメディアアセットなどの静的コンテンツを配信することについては、近日公開予定です。

Read More

AWS Well-Architected フレームワーク: 高リスクのセキュリティ問題を解決してセキュリティインシデントを防ぎましょう

こんにちは、AWS セキュリティ ソリューションアーキテクトの桐谷、中島です。 本日は AWS をより安全に利用いただくための情報として、「AWS Well-Architected フレームワーク : セキュリティの柱」を使った、セキュリティインシデントの防ぎ方を紹介します。 お客様にセキュリティ対策をご支援する中で、「セキュリティの事故のニュースが増えた」といったお話から「セキュリティインシデントへの対応方法」や「高度化するセキュリティ脅威を防ぐ方法」についてご相談を受けることが増えてきました。 お客様に利用いただいている AWS 環境上のシステム(ワークロード)についてもセキュリティ対策は必要です。たとえば、 IAM のアクセス権限が正しく設定されていなかったり、アクセスキーの管理が不十分で漏洩してしまった結果、EC2 インスタンスでの暗号通貨のマイニングや、データベースからの機密情報の窃取、ファイルを暗号化され身代金を要求されたりするリスクがあり、それらに対して注意しておく必要があります。 「Well-Architected フレームワーク:セキュリティの柱」は、このようなリスクにおけるセキュリティインシデントを防ぐために活用することができます。

Read More

AWS WAF が大阪リージョンでご利用いただけるようになりました

みなさん、こんにちは。アマゾン ウェブ サービス ジャパン、シニアエバンジェリストの亀田です。 AWS WAF が大阪リージョンでご利用いただけるようになりましたのでお知らせいたします。 AWS WAF AWS WAF は、可用性、セキュリティ侵害、不正な外部リクエストにより発生するリソースの過剰消費等、ウェブの脆弱性を利用した一般的な攻撃やボットから、ウェブアプリケーションまたは API を保護するウェブアプリケーションファイアウォールのマネージドサービスです。トラフィックを制御し、SQL インジェクションやクロスサイトスクリプティングなどの一般的な攻撃パターンをブロックするセキュリティルールを作成することができ、さらに特定のトラフィックパターンをフィルタして取り除くように、ルールをカスタマイズすることが可能です。

Read More

AWS WAF と AWS Shield Advanced のコストをどのように見積もるか?

このブログ記事は Benjamin Lecoq,  AWS Senior Technical Account Manager によって投稿されました。 コスト管理に関するブログ記事の多くは、AWS の使用料や支出を全体的に管理・最適化するためのベストプラクティスを紹介することに重点を置いています。 この記事では、AWS セキュリティ製品にかかる費用をどのように見積もることができるかについて、範囲を絞ってご紹介します。

Read More
Modify Path

Visitor PrioritizationソリューションをCloudFront Functionsを使って実装するための考慮点

約3年前になる2018年7月に「Visitor Prioritization on e-Commerce Websites with CloudFront and Lambda@Edge」と題してCloudFront と Lambda@Edge を利用したユーザーの優先制御、流量制御を行うためのソリューションを紹介いたしました。ここで例を上げたような、ホリデーシーズン、キャンペーン、新製品の発売などのイベント、ウェブサイトのトラフィックが急速に増加する可能性があるイベントというのはもちろん今でも存在し、その対応に苦心されているケースは多いと思います。特に最近は全世界的にインターネットのトラフィックが増えており、オンラインイベント、コンサート等のチケット予約や限定商品やゲームのダウンロード販売などトラフィックが集中するような機会は増えておりますので、このソリューションを活用できるような場面が増えてきているのではないかと考えます。

Read More

10歳の誕生日おめでとう – AWS Identity and Access Management

Amazon S3 は今年初めに 15 歳になりましたが、 Amazon EC2 も数か月後に同様になります。本日は、AWS Identity and Access Management (IAM) の 10 歳の誕生日を祝いたいと思います。 最初の 10 年 それでは過去 10 年をふり返り、最も重要な IAM の歴史を見ていきましょう。 2011 年 5 月 – IAM をリリース。ユーザー、ユーザーのグループを作成し、ポリシードキュメントをいずれかにアタッチする機能を備え、15 種類の AWS のサービスをサポートしていました。AWS Policy Generator を使用すると、ポリシーを最初から構築でき、事前定義されたポリシーテンプレートを適度に備えたコレクションもありました。このローンチにより、IAM の標準が定まり、アクションとリソースに対するきめ細かなアクセス許可、ポリシーを有効にするタイミングを制御する条件の使用が可能になりました。このモデルは AWS とともに拡張され、現在も IAM の中心的な役割を果たしています。 2011 年 8 月 – 短期間の一時的 AWS 認証情報のサポートなど、AWS アカウントにフェデレーションすることで既存の ID を使用できる機能を導入しました。 2012 年 […]

Read More

IAM Access Analyzer を利用して、アクセスアクティビティに基づいて IAM ポリシーを生成し、最小限の権限のアクセス許可を簡単に実装する

2019 年に AWS Identity and Access Management (IAM) Access Analyzer がリリースされ、既存のアクセス許可の設定状況を分析することで、意図しないパブリックおよびクロスアカウントアクセスを削除できるようになりました。2021 年 3 月、IAM Access Analyzer は、ポリシーの作成中にセキュリティで機能的なアクセス許可を設定するのに役立つポリシー検証機能を追加しました。そして、IAM Access Analyzer はさらに一歩進み、ポリシーを生成します。IAM Access Analyzer を使用して、AWS CloudTrail ログのアクセスアクティビティに基づいて、きめ細かなポリシーを生成できるようになりました。ポリシーの生成を要求すると、IAM Access Analyzer が動作して、CloudTrail ログからアクティビティを識別してポリシーを生成します。生成されたポリシーは、ワークロードに必要なアクセス許可のみを付与し、最小権限のアクセス許可を簡単に実装できるようになります。 開発者は、開発環境で構築する場合は、より広範なアクセス許可から始めて、必要な AWS 機能を試して判断します。ワークロードが完成に近づくにつれて、使用されるサービスとアクションにのみアクセス許可を絞り込む必要があります。これにより、開発環境から運用環境にワークロードを移行する際にポリシーがセキュリティのベストプラクティスに従っていることが保証されます。IAM Access Analyzerを使用して、必要なアクセスのみを付与するきめ細かなポリシーをより簡単に生成できるようになりました。この記事では、IAM Access Analyzer を使用したポリシー生成の仕組みの概要を説明し、ポリシーを生成、カスタマイズ、および作成する手順について説明します。 概要 ポリシーを生成するには、IAM コンソールに移動して、ロールに移動します。そこから、CloudTrail 証跡と日付範囲を指定してポリシーをリクエストします。その後、IAM Access Analyzer は CloudTrail ログの分析を実行しポリシーを生成します。IAM Access Analyzer がポリシーを生成したら、ポリシーを取得してカスタマイズできます。一部のサービスでは、IAM Access Analyzer は CloudTrail に記録されたアクションを識別し、アクションレベルのポリシーを生成します。IAM Access […]

Read More

大阪リージョンに2つのアップデート ; AWS Network Firewall と Amazon RDS for SQL Server のMultiAZ 構成

みなさん、こんにちは。アマゾン ウェブ サービス ジャパン、シニアエバンジェリストの亀田です。 大阪リージョンに新たに2つのサービスオプションが追加されましたのでお知らせいたします。 AWS Network Firewall と Amazon RDS for SQL Server のMultiAZ 構成です。 AWS Network Firewall Network Firewall は、すべての Amazon Virtual Private Cloud (VPC) に不可欠なネットワーク保護を簡単にデプロイできるようにするマネージドサービスです。このサービスは、数回クリックするだけでセットアップでき、ネットワークトラフィックに合わせて自動的に拡張されるため、インフラストラクチャのデプロイと管理について心配する必要はありません。提供される柔軟なルールエンジンを使用することで、アウトバウンドのServer Message Block (SMB) リクエストをブロックし悪意のあるアクティビティの拡散を防ぐなど、ネットワークトラフィックを詳細まで制御できるファイアウォールルールを定義できます。 従来VPCには、セキュリティグループと Access Control List という2つのネットワークセキュリティ制御機能がそなわっていました。これらは主にレイヤ3及び4を中心として、IPアドレス、プロトコル、ポートなどの組み合わせでVPCに対するインバウンド、アウトバウンド通信を保護することが可能でした。このNetwork Firewallを組み合わせることで、さらにレイヤ7まで網羅したネットワークセキュリティを簡単に設定することが可能です。 Network FirewallはSuricataというオープンソースルール形式でルールを作成することができ、さらに、AWS Firewall Manager と連携させることができるため、Network Firewall ルールに基づいてポリシーを構築し、それらのポリシーを VPC とアカウント全体に一元的に適用することができます。 2021年4月に大阪リージョンでは新たに、AWS Transit Gateway がサービス提供開始となりましたが、Network Firewall はTransit Gatewayとの連携により、オンプレミス環境との通信における AWS […]

Read More