Amazon Web Services ブログ

Category: Security, Identity, & Compliance

新機能 – AWS WAF Bot Control でウェブサイトの不要なトラフィックを削減

AWS Shield の脅威調査チームが行った調査では、一般的なウェブアプリケーションに向けられたトラフィックの内の最大 51% は、マシン上で実行されるスクリプト (いわゆるボット) に由来することが判明しています。エンドポイントには、(望まいものや、そうではないものを含め) 多種多様なボット がヒットします。 適切なボットは、サイトをクロールしてインデックスを作成し、顧客から見つけやすくするためのものです。それ以外のボットは、サイトの可用性やパフォーマンスの監視を目的にしています。そして、こういったトラフィックの大部分は、不適切なボットによって生成されています。これらのスクリプトでは脆弱性を調査していたり、運営者の同意なしにコンテンツをコピーして別の場所に複製していたりします。これはセキュリティ上のリスクであるだけでなく、トラフィックを処理することでインフラストラクチャに対する不必要なプレッシャーとなり、コストも発生させます。 こういった望ましくないトラフィックからウェブサイトを保護することは、時間がかかる作業であり、エラーの原因ともなり得ます。保護のための一連のルールは管理が複雑です。そこには、良好なトラフィックをブロックしてしまったり、逆にブロックすべきトラフィックを承認してしまったりといったリスクが存在ます。 AWS WAF Bot Control の紹介 当社では今回、AWS WAF Bot Control をご紹介できるはこびとなりました。この機能では、一般的なボットトラフィックを特定し、そのための可視性を向上し、対策のためのアクションを実行できます。AWS WAF Bot Control は、AWS Web Application Firewall に統合されたサービスです。エンタープライズでの大規模なユースケース向けに、AWS Firewall Manager を使用して集中管理することができます。 Bot Control は、TLS ハンドシェイク、HTTP 属性、IP アドレスなどのリクエストメタデータを分析することで、ボットの発信元と目的を特定します。特定されるボットはスクレーパー、SEO、クローラ、サイトモニターなどのタイプにカテゴリー分けされます。 Bot Control が認識した望ましくないボットに対しては、そのトラフィックをブロックできます。ユーザーは、WAF 設定の中に定義されたデフォルトのアクションをシンプルに受け入れ、望ましくないボットトラフィックをブロックすることができます。また、その設定を独自にカスタマイズすることも可能です。例えば、レスポンス機能をカスタマイズして、ボットの識別結果に応じたレスポンスを返させたり、新しいヘッダーを挿入してそのリクエストにフラグを付けたりができます。AWS WAF との統合により、アプリケーションへのボットトラフィックの範囲を視覚化でき、WAF ルールを利用すればトラフィックの制御が可能です。 Bot Control では、AWS WAF のマネージドルールグループに今回追加した、 2 つの新しい機能 (ラベル付けとスコープダウン用のステートメント) を使用します。AWS WAF […]

Read More

IAM Access Analyzer の更新 – ポリシー検証

AWS Identity and Access Management (IAM) は AWS の重要で基本的な部分です。特定の AWS のサービスやリソースへのアクセスのレベルを定義する IAM ポリシーおよびサービスコントロールポリシー (SCP) を作成して、そうしたポリシーを IAM プリンシパル (ユーザーおよびロール)、ユーザーの グループ、または AWS リソースにアタッチすることができます。IAM で得られるきめ細かなコントロールでは、IAM を適切に使用する責任が発生します。ほとんどの場合、最小権限アクセス確立するのが妥当です。IAM チュートリアルは詳細を学ぶのに役立ち、IAM Access Analyzer は、外部エンティティと共有されているリソースを特定するのに役立ちます。最近、IAM Access Analyzer の更新を開始しました。これにより、アクセス許可の変更をデプロイする前に S3 バケットへのアクセスを検証することができます。 新しいポリシーの検証 本日、IAM Access Analyzer にポリシー検証を追加することを発表いたします。この強力な新機能は、時間をかけてテストされた AWS のベストプラクティスを活用する IAM ポリシーと SCP を構築するのに役立ちます。 デベロッパーおよびセキュリティチームが使用できるように設計されており、IAM プリンシパルにポリシーがアタッチされる前に検証が行われます。セキュリティ体制を改善し、大規模なポリシー管理を簡素化できるように設計された 100 以上のチェックが実行されます。各チェックの結果には、詳細な情報や具体的な推奨事項が含まれます。 検証には、IAM コンソールの JSON ポリシーエディタ、ならびにコマンドライン (AWS Access Analyzer 検証ポリシー) […]

Read More

AWS Security Hub が大阪リージョンでご利用いただけるようになりました

みなさん、こんにちは。アマゾン ウェブ サービス ジャパン、シニアエバンジェリストの亀田です。 セキュリティアラートの一元的な表示および管理、そしてセキュリティチェックの自動化を可能とするAWS Security Hub が大阪リージョンでご利用いただけるようになりましたのでお知らせいたします。 AWS Security Hub AWS Security Hubは、一般的な CSPM (Cloud Security Posture Management) ソリューションが有している、セキュリティ監視、コンプライアンスチェック、通知などの機能を備えています。AWSアカウント全体のセキュリティに関する包括的なビューを提供するように設計されているサービスで、Amazon GuardDuty、Amazon Inspector、Amazon Macie、AWS Firewall Manager、AWS System Manager、AWS Identity and Access Management (IAM) Access Analyzer などの複数のAWSサービスからのセキュリティアラートを集約、整理、優先順位付けする単一のダッシュボードが提供されます。さらに、AWS のベストプラクティスや、PCI-DSS等お客様の組織が求める業界標準セキュリティポリシーに基づき、自動セキュリティチェックを実行することで、環境を継続的にモニタリングします。Amazon Detective や、Amazon CloudWatch Events を使用してセキュリティに関する調査を行い、チケット管理、チャットツール、セキュリティ情報およびイベント管理 (SIEM)、セキュリティオーケストレーションの自動化と対応 (SOAR)、インシデント管理ツールなどにその調査結果を送信することで、必要な対応を行うためのアクションを促すことができます。 Security Hubには30日間の無料トライアルが用意されており、AWSを現在ご利用中の皆さんがその機能をまず試していただくことができます。 リージョンと有効範囲 Security HubがAWSアカウント全体ではなく、リージョン単位で有効化されるサービスであることに留意ください。普段お使いのリージョンだけではなく当該AWSアカウントが利用可能なすべてのAWSリージョンで有効化することを推奨しています。こちらに一括でSecurity Hubの機能を有効化させる AWS CloudFormaiton のスタックがあります。複数AWSアカウントを運営されている場合、Security Hubでは複数アカウントにおける情報の集約がサポートされており、さらに、AWS Organizations との連携を行った場合、新しく追加されるメンバーアカウントは自動でSecurity […]

Read More

[AWS Black Belt Online Seminar] AWS Artifact 資料及び QA 公開

先日 (2021/03/10) 開催しました AWS Black Belt Online Seminar「AWS Artifact」の資料を公開しました。当日、参加者の皆様から頂いた QA の一部についても共有しております。 20210310 AWS Black Belt Online Seminar AWS Artifact AWS クラウドサービス活用資料集(すべての過去資料が閲覧できます) Q. AWS Organizations と Artifact で連携して、アカウントと契約の紐付けは可能でしょうか? A. はい。可能です。こちらのブログ記事をご参照ください。 Q. Organization で一括で準拠法を日本にした後、メンバーアカウントでそれを無効化した場合、メンバーアカウントの準拠法はどちらになりますか? A. 各アカウントで個別に変更をおこなった場合、あらたに行われた変更が適用されます。(この場合、無効化になります) Q. 日本準拠法に変更した場合は、時間を遡って適用されますか? それとも、変更申請時点から適用されますか? A. 変更時点からの適用となります。 —– 今後の AWS Webinar | イベントスケジュール 直近で以下を予定しています。各詳細およびお申し込み先は下記URLからご確認いただけます。皆様のご参加をお待ちしております。 —— 2021 AWS Summit Online 登録開始しました AWS Summit Online […]

Read More

[AWS Black Belt Online Seminar] AWS Audit Manager 資料及び QA 公開

先日 (2021/03/09) 開催しました AWS Black Belt Online Seminar「AWS Audit Manager」の資料を公開しました。当日、参加者の皆様から頂いた QA の一部についても共有しております。 20210309 AWS Black Belt Online Seminar AWS Audit Manager AWS クラウドサービス活用資料集(すべての過去資料が閲覧できます) Q. 監査レポートを日本語表示対応される予定はありますか? A. 現在具体的な予定をお伝えすることが出来ません。ご要望があるということは理解しております。 Q. FISC 安対基準(金融機関等コンピュータシステムの安全対策基準・解説書)に沿った証跡・レポート出力は可能でしょうか。また、当該監査サービスの有効性(ex.FISC 安対基準に沿う証跡・レポート自体が出力されることのサービス自体の検証)は、外部監査(SOC2 + 等)にて検証されているのでしょうか? A. FISC 安全対策基準対応のフレームワークは現時点では実装されておりません。また、現状の最新の SOC レポートには Audit Manager が含まれていないため、次回の SOC 監査レポートのタイミングで確認をする必要がございます。 Q. 日本用のフレームワーク実装予定を教えて下さい。1) FICS 2) CSV A. 現状この 2 つについては実装がされておりません。 Q. FISC 安全対策基準のテンプレートは用意されていますでしょうか。 […]

Read More

大手金融機関におけるセキュリティ・コンプライアンスのためのイベント管理

本投稿では、商業銀行として米国で Top 25 内にランクインしている金融機関であるBBVA USAが、AWS サービスを使用して大規模なイベント管理の仕組みを実装し、クラウド環境に関連する変更イベントを一元管理し、アクションを自動化した方法について紹介しています。一般的に、モノリシック環境でのセキュリティ・コンプライアンスは、管理・監視対象となるインフラストラクチャが少ないため、監視と実施が比較的容易です。それが多くなったとしても、インフラストラクチャをコード化すれば、民主化され分散化されたアプローチによって、コンプライアンスの見落としなく構成の差分管理(ドリフト)と追跡処理を環境に取り入れることができます。 インフラストラクチャの正常な状態を識別し、そこから外れた違反状態を把握することにより、インフラの状態の可視性が確保され、必要に応じて自動修復によって遵守を強制させることが可能になります。このために、セキュリティイベントの通知やベースラインとなる構成定義といった機能を使うことができます。

Read More

AWSが「政府情報システムのためのセキュリティ評価制度(ISMAP)」に登録されました。

AWSは「政府情報システムのためのセキュリティ評価制度(Information system Security Management and Assessment Program: 通称、ISMAP(イスマップ))」に登録されましたことをお知らせします(有効期間:2021年3月12日から2022年3月31日まで)。

Read More

AWS Network Firewall が東京リージョンで利用可能になりました

みなさん、こんにちは。アマゾン ウェブ サービス ジャパン、シニアエバンジェリストの亀田です。 今週はAWS東京リージョンの10周年、そして3つのAZを持つ大阪リージョンの発表があり、日本におけるクラウド利用は広がり続けています。そして、2020年11月に発表された、AWS Network Firewall が東京リージョンで本日利用可能になりましたのでお知らせいたします。 Network Firewall は AWS クラウド上でお客様向けに論理的に分離された仮想ネットワークの構築を実現するAWSの重要な機能である、Amazon Virtual Private Cloud (VPC) に不可欠なネットワーク保護を簡単にデプロイできるようにするマネージドサービスです。数回クリックするだけでセットアップでき、ネットワークトラフィックに合わせて自動的に拡張される数十万コネクションを管理できるため、インフラストラクチャのデプロイと管理について心配する必要はありません。 従来VPCには基本的なセキュリティ機能として、プロトコル単位、IPアドレス単位、ポート単位で通信のインバウンド、アウトバウンドの許可・拒否の制御を行うセキュリティグループ、ネットワークアクセスコントロールリスト (ACL) があり、主にレイヤ3及び4で動作します。このNetwork Firewall は、VPCに備わる新たなセキュリティ機能であり、アカウントとアプリケーション全体で一元的にファイアウォールのルールを設定、管理できるようにするAWS Firewall Managerと統合されて、レイヤ7まで含めた制御を実現します。 Network Firewallは数千のカスタムルールを設定可能なステートフルに動作するファイアウォールとして機能し、接続の追跡やプロトコルの識別などのトラフィックフローからコンテキストを組み込んで、VPC が不正なプロトコルを使用してドメインにアクセスするのを防ぐなどのポリシーを適用することができます。AWS Network Firewall の侵入防止システム (IPS) は、アクティブなトラフィックフロー検査を提供するため、シグネチャベースの検出を使用して脆弱性の悪用を特定してブロックすることができ、また、既知の不正な URL へのトラフィックを停止し、完全修飾ドメイン名を監視できるウェブフィルタリング等も提供されます。従来のセキュリティグループやネットワークACLの制御では、許可、拒否の2択でしたが、alertの機能が備わっており、これらの検知結果などはAmazon CloudWatch でダッシュボード化することが可能で、可観測性を高めることに役立ちます。 外部通信のインバンド、アウトバウンド制御だけではなく、AWS Transit Gatewayとの連携により、相互接続された VPC のきめ細かいネットワークセキュリティコントロールを実現することが可能で、さらに Transit Gateway でサポートされているクライアントデバイスおよび オンプレミス環境から AWS Direct Connect と VPN のトラフィックを保護することができます。 サービスの起動はマネージメントコンソールのVPC画面から行えます。 Network Firewallに組み込むルールは以下の画面で設定を行っていきます。送信元IP、送信元ポート番号、宛先IP、宛先ポート番号、プロトコル番号を指定する5-tuple形式、ドメイン名ベースの制御を行うDomain list形式、オープンソースベースのIPSであるSuricata […]

Read More

「Resiliency in Japan-日本におけるAWSリージョンのレジリエンス-」ホワイトペーパーがAWS Artifactから入手できるようになりました。

AWSが高い耐障害性を確保しているか、また、マルチリージョンの活用により、お客様がどのように高いレジリエンスを確保できるかを解説したホワイトペーパーを、AWS Artifactにおいて公開しました。

Read More

【開催報告&資料公開】新聞・出版業界向け re: Invent 2020 Recap セミナー

1 月 28 日に新聞・出版業界のお客様向けに AWS re:Invent 2020の Recap セッションを実施しました。 クラウドコンピューティングの分野で世界最大規模の「学習型」カンファレンスである AWS re: Invent は、例年 12 月に 1 週間程度いただいてラスベガスで開催しておりました。しかし、昨年はコロナウィルス感染拡大の影響により、11 月末からの 3 週間に拡大して完全オンライン(参加無料)で開催されました。およそ 50 万人の方にご登録いただき、5 つの基調講演と 500 以上のセッションをご提供、期間中は 200 以上の新機能・新サービスを発表しました。

Read More