Amazon Web Services ブログ

Category: Security, Identity, & Compliance

セキュリティの実践とベストプラクティス -日本銀行様『クラウドサービス利用におけるリスク管理上の留意点』によせて-

本Blogは、クラウドにおける新しい常識”new normal”を考えるBlogの第五弾です。
多くのお客様は、より安全にサービスを提供するために多様なセキュリティを組み込み、また規制要件を満たしていくことで組織としての説明責任を果たそうとしています。
日本銀行様では、多くの金融機関のお客様がよりクラウドを活用したイノベーションをおこし、サービスを向上するために『金融システムレポート別冊』として「クラウドサービス利用におけるリスク管理上の留意点」(以下、本別冊とします)を発表しました。本Blogでは本別冊に基づき、組織がセキュリティを実践するために必要な考え方のいくつかを示してみたいと思います。

Read More

AWS マネージド Microsoft Active Directory でマルチリージョンレプリケーションが有効になりました

当社のお客様は、世界中のあらゆるユーザーにサービスを提供する必要があるアプリケーションを構築しています。お客様の話を聞くと、AWS で Active Directory (AD) 対応のアプリケーションを構築することは快適であるものの、グローバルに動作させることは本当に課題になり得るとのことです。 お客様は、AWS Directory Service for Microsoft Active Directory によって時間と費用を節約し、AD 対応アプリケーションの実行に必要なすべての機能が得られたと語っています。ただし、グローバル化したい場合は、リージョンごとに独立した AWS マネージド Microsoft AD ディレクトリを作成する必要がありました。その後、各リージョン間でデータを同期するソリューションを作成する必要があります。このレベルの管理オーバーヘッドは大きく、複雑で、コストも高くなります。また、AD 対応のワークロードをクラウドに移行しようとしたため、お客様のペースも低下しました。 本日は、複数の AWS リージョンで単一の AWS マネージド Microsoft AD をデプロイできる新機能についてお伝えします。マルチリージョンレプリケーションと呼ばれるこの新しい機能は、リージョン間のネットワーク接続を自動的に設定し、ドメインコントローラーをデプロイし、複数のリージョン間ですべての Active Directory データを複製します。これにより、これらのリージョンに存在する Windows および Linux ワークロードは AWS マネージド Microsoft AD に接続し、低レイテンシー、ハイパフォーマンスで使用できるようになります。 AWS マネージド Microsoft AD を利用すると、AD 対応のアプリケーションやワークロードの AWS への移行の費用効果が高くなり、グローバルな運用が簡単になります。さらに、自動マルチリージョンレプリケーションにより、マルチリージョンの耐障害性が得られます。 AWS は、ユーザー、グループ、グループポリシーオブジェクト (GPO)、スキーマなど、すべてのカスタマーディレクトリデータを複数のリージョン間で同期できるようになりました。AWS は、自動化されたソフトウェア更新、モニタリング、リカバリ、および基盤となる AD インフラストラクチャのセキュリティをすべてのリージョンにわたって処理するため、お客様はアプリケーションの構築に専念できます。Amazon […]

Read More

AWS ネットワークファイアウォール – VPC 用の新しいマネージド型ファイアウォールサービス

当社のお客様は、高い可用性とスケーラビリティのあるファイアウォールサービスを使用して、クラウドに置いた仮想ネットワークを保護することを希望されます。セキュリティは AWS の最優先事項です。当社では、セキュリティグループによる Amazon Elastic Compute Cloud (EC2) インスタンスの保護、ネットワーク ACL による Amazon Virtual Private Cloud (VPC) サブネットの保護、また、Amazon CloudFront や Application Load Balancer (ALB) で実行されているウェブアプリケーションを保護するための AWS ウェブアプリケーションファイアウォール(WAF)、そして、分散型サービス拒否 (DDoS) 攻撃に対応するための Amazon API Gateway や AWS Shield など、特定のセキュリティニーズに対応するさまざまなファイアウォール機能を提供しています。 使用中の AWS のサービスに関係なく、ワークロード内のすべてのリソースにわたって、ネットワークセキュリティをより簡単に拡張できる方法を求める声が、お客様から当社に届けられました。また、独自のワークロードを保護したり、政府の規制や商業的な規則に準拠したりするための、カスタマイズされた手段も求められています。このようなお客様は、アウトバウンドフローでの URL フィルタリング、IP/Port/Protocol 以外のパケットデータのパターンマッチング、HTTP/S 以外のプロトコルに関する特定の脆弱性に関するアラート機能などを必要とされています。 今回、Virtual Private Cloud (VPC) 向けとして、マネージド型で可用性が高いネットワークファイアウォールサービスである、AWS Network Firewall をご紹介できることになりました。このサービスにより、ステートフルインスペクションや、侵入の検出と防止の機能、そしてウェブフィルタリングなどを簡単にデプロイおよび管理し、AWS 上の仮想ネットワークを保護できるようになります。Network Firewall は、トラフィックに合わせて自動的にスケーリングされるため、セキュリティ用インフラストラクチャへのお客様の追加投資を必要とせずに、高可用性が確保されます。 AWS Network […]

Read More

イベント開催報告 AWS Security Roadshow Japan 2020

皆様、こんにちは。アマゾン ウェブ サービス ジャパン株式会社 セキュリティソリューションアーキテクトの高橋 悟史です。 10月28日(水)に AWS Security Roadshow Japan 2020を開催致しました。多くのAWS をご利用頂いているお客様、パートナー様、 AWS をこれからご利用される検討を頂いているお客様にご参加頂き、最新のセキュリティ・コンプライアンスの学習の機会をご提供致しました。このブログポストでは、イベントで発信させて頂いたキーメッセージをお伝えします。 基調講演 AWS CISO の Steve Schmidt より今求められる職場環境と革新的なセキュリティカルチャーと題して講演させて頂きました。 冒頭で、在宅勤務などの新しい働き方の形が普及してきており、それに伴い個人デバイスを業務に使うことが多くなってきていることから、デバイスのOSのイメージを企業で管理することや、社員に対するセキュリティを啓蒙する短時間(10分程度)のトレーニングの有効性についてお話いたしました。また、最近のセキュリティサービスのアップデート、例えば AWS Single Sign-On が東京リージョンで利用可能になった件や、AWS Security Hub で自動応答と修復ソリューションが提供されたことを紹介しました。 次に、セキュリティ文化とイノベーションについて説明させて頂きました。注目を集めているセキュリティに対するアプローチであるゼロトラストについて、ネットワーク境界による防御とアイデンティティベースのコントロールのどちらか一方ではなく両方を実施していくことが重要であることをご説明しました。また、AWS の多くのサービスでゼロトラストのコンセプトが提唱される以前から、ネットワークベースのコントロールとアイデンティティベースのコントロールを組み合わせた上できめ細かい制御を出来る機能をご提供してきたことをご説明しました。例として Amazon VPC Security Groupや、IAM のサービスにリンクされたロール、AWS IoT におけるデバイスの証明書認証、Amazon API Gateway のきめ細かな認証認可機能や、攻撃からの防御、流量制御などの例をご説明しました。 最後に考慮すべき3つの事項として、ユーザーフェデレーション、外部暴露の最小化、パッチ適用についてご説明しました。 Steve Schmidt の基調講演ビデオをご覧になれます。 Steve Schmidt 基調講演資料リンク パネルディスカッション 奈良先端技術大学院大学の門林 雄基様、情報通信機構(NICT)サイバーセキュリティ研究室長の井上 大介様、内閣官房 情報通信技術(IT)総合戦略室 政府 CIO […]

Read More

Amazon Macie のカスタムデータ識別子を使用して機微情報を検出する方法

クラウド上により多くのデータを格納していくと、スケールする形でデータを安全に維持するためのセキュリティ自動化が必要になってきます。AWS は最近 Amazon Macie をリリースしました。これは機械学習とパターンマッチングを使って AWS クラウド上の格納データの中の機微情報を検出し、分類し、保護するためのマネージド・サービスになります。 多くのデータ侵害は、承認されていないユーザーの悪意を持った活動によるものではありません。それよりも、承認されている正規のユーザーのミスによるものが多いのです。機微なデータのセキュリティを監視して管理するには、まずデータの存在を特定する必要があります。このブログ記事では、Macie のカスタムデータ識別子をどのように使うかを紹介します。機微データの存在が分かると、次にスケールする形で、監視とリスクの自動低減を実行するためのセキュリティコントロールのデザインに着手出来ます。 Macie はいくつかのタイプの機微データを検出するためのマネージドデータ識別子を提供しています。この識別子は多くの組織で必要とされる一般的な要件に対応しています。Macie がユニークなのは、特定のデータ要件に対応していることです。Macie の新しいカスタムデータ識別子を利用することで機微データの検出を強化することが可能です。カスタムデータ識別子は組織特有のデータ、知的財産や特定のシナリオに対して使えます。 Macie のカスタムデータ識別子は組織特有の要件をベースとして機微データを見つけて特定します。このブログ記事では、自動的に特定の機微データを検出するためにどのようにカスタムデータ識別子を定義して実行するのかをステップバイステップで紹介していきます。カスタムデータ識別子の利用を開始する前に、Macie の詳細なロギングを有効化する必要があります。まだ、ご覧になられていない場合には、Macie の有効化手順についてはこちらの手順を、詳細なロギングについてはこちらの手順をご覧ください。 カスタムデータ識別子が必要なケース まず最初に、皆さんがフランスに本社がある製造業企業の IT 管理者であるという想定にしましょう。皆さんの会社はブラジルのサンパウロに研究開発拠点を持つ企業を買収しました。その企業は AWS にマイグレーションをしようとしています。そして、マイグレーションの工程の中で登録情報、従業員情報そして製品のデータを暗号化されたストレージと暗号化されていないストレージに格納します。 ここでは以下に示す3つのシナリオで機微データを検出する必要があると仮定します。 SIRET-NIC : SIRET-NICはフランスにおいて企業に振られる番号です。この番号は、National Institute of Statistics (INSEE) が企業が登録されたときに割り振るものです。下記の図が SIRET-NIC の情報を含むファイルのサンプルとなります。ファイルの中の各レコードは GUID、従業員名、従業員のE-mailアドレス、企業名、発行日付、SIRET-NIC 番号を含んでいます。 図1 : SIRET-NIC データセット Brazil CPF(Cadastro de Pessoas Físicas – Natural Persons Register) : CPF はブラジルの歳入省が国内で課税対象となっている人に割り振る固有の番号です。ブラジルオフィスに所属している従業員は全員CPFの番号を持っています。 プロトタイプに関する名前付けルール : 企業は、既にリリース済みの公開されている製品と、プロトタイピング中で機密扱いされている製品を持っています。下記の例は、ブラジルのCPF番号とプロトタイプ名を含むサンプルファイルです。 図2 […]

Read More

[AWS Black Belt Online Seminar] AWS Security Hub 資料及び QA 公開

先日 (2020/10/13) 開催しました AWS Black Belt Online Seminar「AWS Security Hub」の資料を公開しました。当日、参加者の皆様から頂いた QA の一部についても共有しております。 20201013 AWS Black Belt Online Seminar AWS Security Hub AWS クラウドサービス活用資料集(すべての過去資料が閲覧できます) Q. Security Hub は AWS における CSPM 機能を保有しているということでしょうか? A. 一般的な CSPM (Cloud Security Posture Management) ソリューションが有している、セキュリティ監視、コンプライアンスチェック、通知などの機能を AWS Security Hub は有しています。 Q. Detective と Security hub の違い / 使い分けを教えてください。 A. Amazon Detective はセキュリティ検出結果に関する調査や分析を支援するサービスです。AWS […]

Read More
siem-sample-dashboard

AWS サービスのログの可視化やセキュリティ分析を実現する SIEM on Amazon Elasticsearch Service 公開のお知らせ

みなさん、こんにちは。セキュリティ ソリューション アーキテクトの中島です。先日(2020年10月23日)にオープンソースで公開した SIEM on Amazon Elasticsearch Service (Amazon ES) をご紹介します。SIEM on Amazon ES は、セキュリティインシデントを調査するためのソリューションです。AWS のマルチアカウント環境下で、複数種類のログを収集し、ログの相関分析や可視化をすることができます。 SIEM on Amazon ES とは SIEM は Security Information and Event Management の略で、セキュリティ機器、ネットワーク機器、その他のあらゆる機器のデータを収集及び一元管理をして、相関分析によって脅威検出とインシデントレスポンスをサポートするためのソリューションです。Amazon ES は、オープンソースの Elasticsearch と Kibana を大規模かつ簡単でコスト効率の良い方法を使用してデプロイ、保護、実行する完全マネージド型サービスです。Amazon ES の環境に SIEM として必要な機能を実装したのが SIEM on Amazon ES です。

Read More
CDK

CDK Pipelines: AWS CDK アプリケーションの継続的デリバリ

AWS Cloud Development Kit(AWS CDK)は、使い慣れたプログラミング言語でクラウドインフラストラクチャを定義し、AWS CloudFormation を通じてプロビジョニングするためのオープンソースのソフトウェア開発フレームワークです。AWS CDK は、次の 3 つの主要なコンポーネントで構成されています。 再利用可能なインフラストラクチャ・コンポーネントをモデリングするためのコアフレームワーク CDK アプリケーションをデプロイするための CLI AWS Construct Library(クラウドリソースを抽象化し、実績のあるデフォルト値をカプセル化する高レベルのコンポーネントのセット) CDK を使用すると、cdk deploy を実行するだけで、ワークステーションから AWS クラウドにアプリケーションを簡単にデプロイできます。これは、初期開発およびテストを行う場合に最適ですが、本番ワークロードをデプロイするためには、より信頼性の高い自動化されたパイプラインを使用する必要があります。 CDKアプリケーションを継続的にデプロイするために、お好みのCI/CDシステムを利用することが可能ですが、より簡単で、かつすぐに利用可能な方法をお客様はご要望でした。これはCDKの中核的な理念に適合します。つまりクラウドアプリケーションの開発を可能な限り簡素化して、お客様が関心のある部分に集中することです。 CDK Pipelines の開発者プレビューリリースをお知らせします。CDK Pipelines は、AWS CodePipeline によって CDK アプリケーションの継続的なデプロイパイプラインを簡単にセットアップできる高レベルのコンストラクトライブラリです。この投稿では、CDK Pipelines を使用して、AWS Lambda と連携した Amazon API Gateway エンドポイントを 2 つの異なるアカウントにデプロイする方法について説明します。

Read More

AWS Single Sign-On ユーザーサインインプロセスの変更と準備方法

セキュリティの向上とユーザーエクスペリエンスの強化、AWS Identity との将来の互換性のために、AWS Single Sign-On (SSO) はサインインプロセスの変更が予定されています。一部の AWS SSO のユーザーに影響を与えるこの変更は、2020 年 10 月上旬に実施される予定です。

Read More