Amazon Web Services ブログ

Category: Security, Identity, & Compliance

AWS 上でフォレンジック調査環境を構築する際の方策

このブログは “Forensic investigation environment strategies in the AWS Cloud” を翻訳したものです。 セキュリティのベースラインから逸脱してしまった場合、迅速に対応して問題を解決し、フォレンジック調査と根本原因分析を行いフォローアップすることが極めて重要です。事前に設定されたインフラと、ベースラインからの逸脱があった場合にフォローアップするための実践的な計画があれば、インシデントの影響、範囲、根本原因を判断するために必要な情報を抽出・分析し、自信を持って運用を再開することが可能になります。 セキュリティ・インシデントの「何が」「どのように」「誰によって」「どこで」「いつ」発生したのかについては、期限厳守で把握する必要があります。自動化されたインシデント対応という言葉をよく耳にしますが、これは反復可能で監査可能なプロセスを持ち、インシデントの解決を標準化し、証拠のアーティファクトを早く収集するためのものです。

Read More

Amazon Macie を用いた Amazon RDS データベースのデータ分類方法

このブログは “Enabling data classification for Amazon RDS database with Macie” を翻訳したものです。 Amazon Macie を用いて Amazon Relational Database Service (Amazon RDS) インスタンスの機密データ検出方法について、お客様からご質問をいただいています。このブログでは、AWS Database Migration Service (AWS DMS) を使って Amazon RDS からデータを抽出し、Amazon Simple Storage Service (Amazon S3) に保存し、Macie を使ってデータを分類する方法について紹介します。Macie で得られた検出結果は、適切なチームから Amazon Athena で照会できるようにもなります。

Read More

Amazon Inspector を使用した Amazon ECR プライベートレジストリでのコンテナスキャンの更新

本投稿は Brad Gray と Paavan Mistry による記事 Container scanning updates in Amazon ECR private registries using Amazon Inspector を翻訳したものです。 先週の re:Invent 2021 で、クラウドワークロードの脆弱性管理を強化した 新しい Amazon Inspector を発表しました。 Amazon Inspector は、セキュリティ評価と管理を大規模に自動化するために、あらゆる規模の組織で利用されているサービスです。Amazon Elastic Container Registry( Amazon ECR )のプライベートレジストリのお客様向けに、今回の発表では、2019年10月にリリースした コンテナイメージのネイティブスキャン機能 の更新、強化、統合が行われました。この記事では、Amazon ECR プライベートレジストリのお客様向けに、これらのアップデートと新しいコンテナスキャンの選択肢を説明します。

Read More

AWS Health Aware — 組織および個人の AWS アカウントの AWS Health アラートのカスタマイズ

AWS は高い可用性でサービス提供できるよう努力しており、ほとんどのサービスで 99.9% の稼働率を達成しています。そうは言っても、お客様は稀に発生するインシデントに対応できるよう準備する必要があります。AWS Health は、サービス品質の低下、スケジュールされた変更、リソースに影響を与える問題に関する情報を取得するための主要なチャネルです。ミッションクリティカルなアプリケーションを実行しているお客様がインシデントからの復旧プロセス全体を改善し、優れた運用を維持するためにはプロアクティブかつリアルタイムにアラートを受け取れなければなりません。Health イベントのモニタリングと AWS で実行されるお客様のアプリケーションの信頼性と可用性の維持には、スピードと俊敏性が非常に重要です。

Read More

AWS Backup と AWS Security Hub を使用してバックアップ結果の可視化を自動化

このブログは2022年1月28日に Kanishk Mahajan (ISV Solutions Architect Lead) によって執筆された内容を日本語化した物です。原文はこちらを参照して下さい。 データ保護を一元化および自動化することで、ビジネスの継続性と規制コンプライアンスの目標をサポートできます。バックアップコンプライアンスには、バックアップポリシーを定義および適用して、バックアップを暗号化し、手動削除から保護し、バックアップライフサイクル設定の変更を防ぎ、一元化されたコンソールからバックアップアクティビティを監査およびレポートする機能が含まれます。

Read More

AWS Systems Manager Session Manager コンソールログを検索する — Part 2

AWS System Manager を Amazon Key Management Services (KMS)、Amazon CloudWatch、および Amazon OpenSearch Service と組み合わせることで、ユーザーセッションログを暗号化して安全に保存し、ログデータを探索することができます。これらのツールは統合が容易で、強力な分析機能を使用できます。 このシリーズの Part1 では、Amazon Key Management Service でカスタマー管理型のキーを作成し、そのキーを使用して Amazon CloudWatch にセッションログを安全に保存するように AWS Systems Manager Session Manager と Amazon CloudWatch を設定しました。このパートでは、Amazon CloudWatch でログをクエリし、カスタムメトリクスとメトリクス名前空間を作成し、最後に Amazon OpenSearch Service にログを配信して高度な分析を行う方法について説明します。

Read More

AWS Systems Manager Session Manager コンソールログを探索する — Part 1

AWS Systems Manager (SSM) を AWS Key Management Services (KMS)、Amazon CloudWatch、および Amazon OpenSearch Serviceと組み合わせることで、ユーザーセッションログを暗号化して安全に保管し、ログデータを探索できます。これらのツールは統合が容易で、強力な分析機能を提供します。 このシリーズでは、セッションログを Amazon CloudWatch にセキュアに保存し、ログから関連するメトリクスを生成し、特定のイベントについてログを探索できるように、 AWS SSM Session Manager を設定する手順について説明します。Part 1 では、Amazon KMS で Customer Managed Key (CMK) を作成し、そのキーを使用するために必要なアクセス権限を設定します。さらに Amazon CloudWatch でのセキュアな ロググループ を作成し、セッションログを Amazon CloudWatch にセキュアに送信する方法を説明します。Part 2 では、Amazon CloudWatch でログをクエリし、カスタムメトリクスとメトリクスの名前空間を作成し、最後に 高度な分析のために Amazon OpenSearch Service にログを配信するよう設定します。

Read More

AWS Key Management Serviceで権限委譲 (Grants) を付与してアクセス許可 (Permissions) を管理する

本記事は Managing permissions with grants in AWS Key Management Service を翻訳したものです。 本投稿は、AWS KMS チームの Software development engineer の Rick Yin により寄稿されました。 AWS Key Management Service (AWS KMS) は、お客様が暗号化を使用してデータを保護するのに役立ちます。Amazon Relational Database Service (Amazon RDS) や Amazon Simple Storage Service (Amazon S3) バケットなど、暗号化された新しい Amazon Web Services (AWS) リソースを作成する場合、利用者が管理する AWS KMS キー ID を提供するだけでデータが暗号化され、暗号キーの保護と高可用性の実現の複雑さが軽減されます。 サービス内のデータを暗号化するときに、自分の管理下にあるキーを使用して、AWS サービスに暗号化を委任することを検討している場合、どのようにして AWS サービスがそのキーを必要なときにのみ使用し、すべてのリソースを復号するためのフルアクセスが常に許可されないようにしているのか疑問に思うかもしれません。その答えは、AWS […]

Read More

AWS WAFのAWS マネージドルールの動作をカスタマイズする方法

AWS WAF の AWS マネージドルールは、AWS が作成したルール群として提供され、お客様が独自のルールを作成することなく、一般的なアプリケーションの脆弱性やその他のシステムへの不要なアクセスからお客様のアプリケーションを保護するために使用することが可能です。AWS 脅威リサーチチームは、お客様のアプリケーションを保護するために、刻々と変化する脅威の状況に対応するためにAWS マネージドルールを更新しています。 最近では、AWS WAF はルールのカスタマイズを中心とした 4 つの新機能を発表しました。

Read More

Amazon GuardDuty で EC2 インスタンス認証情報漏洩の検出を強化

Amazon GuardDuty は、悪意のあるアクティビティや不正な動作を継続的にモニタリングし、Amazon Simple Storage Service (Amazon S3) に保存されている AWS アカウント、ワークロード、データを保護する脅威検出サービスです。GuardDuty は、機械学習を活用した多数のパブリックデータフィードや AWS 生成データフィードから情報を得て、何かがおかしいという認識可能な兆候である傾向、パターン、異常を追跡し、何十億ものイベントを分析します。ワンクリックで有効にすると、数分で最初の結果を確認できます。 2022 年 1 月 21 日(米国時間)、Amazon Elastic Compute Cloud (Amazon EC2) インスタンスの認証情報が別の AWS アカウントから使用されていることを検出する機能を GuardDuty に追加しました。EC2 インスタンス認証情報は一時的な認証情報で、AWS Identity and Access Management (IAM) ロールがインスタンスに添付されたときに、EC2 メタデータサービスを通じてインスタンスで実行されているすべてのアプリケーションに対して提供されます。

Read More