Category: Security, Identity, & Compliance

みなさん、こんにちは。アマゾン ウェブ サービス ジャパン、シニアエバンジェリストの亀田です。 今日は大阪リージョンに新しく２つのサービスが加わりましたのでお知らせいたします。Amazon Macieと Amaozn MQ です。 Amazon Macie Macieは機械学習とパターンマッチングを使用して AWS の機密データを検出して保護する、フルマネージドのデータセキュリティとデータプライバシーのサービスです。選択したAmazon S3 バケットに機械学習とパターンマッチング手法を適用し、個人識別情報 (PII) などの機密データを特定してアラートを発信します。 アラートや検出結果は AWS マネジメントコンソールからの検索やフィルタリングが可能で、Amazon EventBridge に送信して既存のワークフローやイベント管理システムと簡単に統合したり、AWS Step Functions などの AWS のサービスと組み合わせて自動修復アクションを実行させることができます。

この記事は Integrating Okta with AWS Single Sign-On in an AWS Control Tower environment を翻訳したものです。 AWS Control Tower は、AWS Single Sign-On (AWS SSO) とのすぐに使用できるネイティブ統合を提供し、ユーザー、ロール、マルチアカウントアクセスを管理します。お客様の組織によっては、外部アイデンティティプロバイダーとの統合による認証と承認の処理など、より複雑な SSO 要件があります。Okta は、クラウド向けに構築されたエンタープライズグレードの ID 管理サービスですが、多くのオンプレミスアプリケーションと互換性があります。AWS Marketplace で Okta を見つけて登録することができます。このブログ投稿では、Okta でユーザー、エンタイトルメント、アカウント、ロールを管理できるように、AWS Control Tower、AWS SSO、Okta を外部 ID プロバイダーとして統合する方法を説明します。

AWS Shield の脅威調査チームが行った調査では、一般的なウェブアプリケーションに向けられたトラフィックの内の最大 51% は、マシン上で実行されるスクリプト (いわゆるボット) に由来することが判明しています。エンドポイントには、(望まいものや、そうではないものを含め) 多種多様なボット がヒットします。 適切なボットは、サイトをクロールしてインデックスを作成し、顧客から見つけやすくするためのものです。それ以外のボットは、サイトの可用性やパフォーマンスの監視を目的にしています。そして、こういったトラフィックの大部分は、不適切なボットによって生成されています。これらのスクリプトでは脆弱性を調査していたり、運営者の同意なしにコンテンツをコピーして別の場所に複製していたりします。これはセキュリティ上のリスクであるだけでなく、トラフィックを処理することでインフラストラクチャに対する不必要なプレッシャーとなり、コストも発生させます。 こういった望ましくないトラフィックからウェブサイトを保護することは、時間がかかる作業であり、エラーの原因ともなり得ます。保護のための一連のルールは管理が複雑です。そこには、良好なトラフィックをブロックしてしまったり、逆にブロックすべきトラフィックを承認してしまったりといったリスクが存在ます。 AWS WAF Bot Control の紹介 当社では今回、AWS WAF Bot Control をご紹介できるはこびとなりました。この機能では、一般的なボットトラフィックを特定し、そのための可視性を向上し、対策のためのアクションを実行できます。AWS WAF Bot Control は、AWS Web Application Firewall に統合されたサービスです。エンタープライズでの大規模なユースケース向けに、AWS Firewall Manager を使用して集中管理することができます。 Bot Control は、TLS ハンドシェイク、HTTP 属性、IP アドレスなどのリクエストメタデータを分析することで、ボットの発信元と目的を特定します。特定されるボットはスクレーパー、SEO、クローラ、サイトモニターなどのタイプにカテゴリー分けされます。 Bot Control が認識した望ましくないボットに対しては、そのトラフィックをブロックできます。ユーザーは、WAF 設定の中に定義されたデフォルトのアクションをシンプルに受け入れ、望ましくないボットトラフィックをブロックすることができます。また、その設定を独自にカスタマイズすることも可能です。例えば、レスポンス機能をカスタマイズして、ボットの識別結果に応じたレスポンスを返させたり、新しいヘッダーを挿入してそのリクエストにフラグを付けたりができます。AWS WAF との統合により、アプリケーションへのボットトラフィックの範囲を視覚化でき、WAF ルールを利用すればトラフィックの制御が可能です。 Bot Control では、AWS WAF のマネージドルールグループに今回追加した、 2 つの新しい機能 (ラベル付けとスコープダウン用のステートメント) を使用します。AWS WAF […]

AWS Identity and Access Management (IAM) は AWS の重要で基本的な部分です。特定の AWS のサービスやリソースへのアクセスのレベルを定義する IAM ポリシーおよびサービスコントロールポリシー (SCP) を作成して、そうしたポリシーを IAM プリンシパル (ユーザーおよびロール)、ユーザーの グループ、または AWS リソースにアタッチすることができます。IAM で得られるきめ細かなコントロールでは、IAM を適切に使用する責任が発生します。ほとんどの場合、最小権限アクセス確立するのが妥当です。IAM チュートリアルは詳細を学ぶのに役立ち、IAM Access Analyzer は、外部エンティティと共有されているリソースを特定するのに役立ちます。最近、IAM Access Analyzer の更新を開始しました。これにより、アクセス許可の変更をデプロイする前に S3 バケットへのアクセスを検証することができます。 新しいポリシーの検証 本日、IAM Access Analyzer にポリシー検証を追加することを発表いたします。この強力な新機能は、時間をかけてテストされた AWS のベストプラクティスを活用する IAM ポリシーと SCP を構築するのに役立ちます。 デベロッパーおよびセキュリティチームが使用できるように設計されており、IAM プリンシパルにポリシーがアタッチされる前に検証が行われます。セキュリティ体制を改善し、大規模なポリシー管理を簡素化できるように設計された 100 以上のチェックが実行されます。各チェックの結果には、詳細な情報や具体的な推奨事項が含まれます。 検証には、IAM コンソールの JSON ポリシーエディタ、ならびにコマンドライン (AWS Access Analyzer 検証ポリシー) […]

みなさん、こんにちは。アマゾン ウェブ サービス ジャパン、シニアエバンジェリストの亀田です。 セキュリティアラートの一元的な表示および管理、そしてセキュリティチェックの自動化を可能とするAWS Security Hub が大阪リージョンでご利用いただけるようになりましたのでお知らせいたします。 AWS Security Hub AWS Security Hubは、一般的な CSPM (Cloud Security Posture Management) ソリューションが有している、セキュリティ監視、コンプライアンスチェック、通知などの機能を備えています。AWSアカウント全体のセキュリティに関する包括的なビューを提供するように設計されているサービスで、Amazon GuardDuty、Amazon Inspector、Amazon Macie、AWS Firewall Manager、AWS System Manager、AWS Identity and Access Management (IAM) Access Analyzer などの複数のAWSサービスからのセキュリティアラートを集約、整理、優先順位付けする単一のダッシュボードが提供されます。さらに、AWS のベストプラクティスや、PCI-DSS等お客様の組織が求める業界標準セキュリティポリシーに基づき、自動セキュリティチェックを実行することで、環境を継続的にモニタリングします。Amazon Detective や、Amazon CloudWatch Events を使用してセキュリティに関する調査を行い、チケット管理、チャットツール、セキュリティ情報およびイベント管理 (SIEM)、セキュリティオーケストレーションの自動化と対応 (SOAR)、インシデント管理ツールなどにその調査結果を送信することで、必要な対応を行うためのアクションを促すことができます。 Security Hubには30日間の無料トライアルが用意されており、AWSを現在ご利用中の皆さんがその機能をまず試していただくことができます。 リージョンと有効範囲 Security HubがAWSアカウント全体ではなく、リージョン単位で有効化されるサービスであることに留意ください。普段お使いのリージョンだけではなく当該AWSアカウントが利用可能なすべてのAWSリージョンで有効化することを推奨しています。こちらに一括でSecurity Hubの機能を有効化させる AWS CloudFormaiton のスタックがあります。複数AWSアカウントを運営されている場合、Security Hubでは複数アカウントにおける情報の集約がサポートされており、さらに、AWS Organizations との連携を行った場合、新しく追加されるメンバーアカウントは自動でSecurity […]

先日 (2021/03/10) 開催しました AWS Black Belt Online Seminar「AWS Artifact」の資料を公開しました。当日、参加者の皆様から頂いた QA の一部についても共有しております。 20210310 AWS Black Belt Online Seminar AWS Artifact AWS クラウドサービス活用資料集（すべての過去資料が閲覧できます） Q. AWS Organizations と Artifact で連携して、アカウントと契約の紐付けは可能でしょうか？ A. はい。可能です。こちらのブログ記事をご参照ください。 Q. Organization で一括で準拠法を日本にした後、メンバーアカウントでそれを無効化した場合、メンバーアカウントの準拠法はどちらになりますか？ A. 各アカウントで個別に変更をおこなった場合、あらたに行われた変更が適用されます。（この場合、無効化になります） Q. 日本準拠法に変更した場合は、時間を遡って適用されますか？ それとも、変更申請時点から適用されますか？ A. 変更時点からの適用となります。 —– 今後の AWS Webinar | イベントスケジュール 直近で以下を予定しています。各詳細およびお申し込み先は下記URLからご確認いただけます。皆様のご参加をお待ちしております。 —— 2021 AWS Summit Online 登録開始しました AWS Summit Online […]

先日 (2021/03/09) 開催しました AWS Black Belt Online Seminar「AWS Audit Manager」の資料を公開しました。当日、参加者の皆様から頂いた QA の一部についても共有しております。 20210309 AWS Black Belt Online Seminar AWS Audit Manager AWS クラウドサービス活用資料集（すべての過去資料が閲覧できます） Q. 監査レポートを日本語表示対応される予定はありますか？ A. 現在具体的な予定をお伝えすることが出来ません。ご要望があるということは理解しております。 Q. FISC 安対基準（金融機関等コンピュータシステムの安全対策基準・解説書）に沿った証跡・レポート出力は可能でしょうか。また、当該監査サービスの有効性（ex.FISC 安対基準に沿う証跡・レポート自体が出力されることのサービス自体の検証）は、外部監査（SOC2 ＋ 等）にて検証されているのでしょうか？ A. FISC 安全対策基準対応のフレームワークは現時点では実装されておりません。また、現状の最新の SOC レポートには Audit Manager が含まれていないため、次回の SOC 監査レポートのタイミングで確認をする必要がございます。 Q. 日本用のフレームワーク実装予定を教えて下さい。1) FICS 2) CSV A. 現状この 2 つについては実装がされておりません。 Q. FISC 安全対策基準のテンプレートは用意されていますでしょうか。 […]

本投稿では、商業銀行として米国で Top 25 内にランクインしている金融機関であるBBVA USAが、AWS サービスを使用して大規模なイベント管理の仕組みを実装し、クラウド環境に関連する変更イベントを一元管理し、アクションを自動化した方法について紹介しています。一般的に、モノリシック環境でのセキュリティ・コンプライアンスは、管理・監視対象となるインフラストラクチャが少ないため、監視と実施が比較的容易です。それが多くなったとしても、インフラストラクチャをコード化すれば、民主化され分散化されたアプローチによって、コンプライアンスの見落としなく構成の差分管理（ドリフト）と追跡処理を環境に取り入れることができます。 インフラストラクチャの正常な状態を識別し、そこから外れた違反状態を把握することにより、インフラの状態の可視性が確保され、必要に応じて自動修復によって遵守を強制させることが可能になります。このために、セキュリティイベントの通知やベースラインとなる構成定義といった機能を使うことができます。

この記事は、AWS の ISV ソリューションアーキテクチャリーダーであるKanishk Mahajan、CloudKnox の カスタマーサクセス責任者であるゲスト寄稿者 Maya Neelakandhan 氏によるAutomate multi account permissions management in AWS using CloudKnox and AWS Control Towerを翻訳したものです。 はじめに AWS のアクセス許可管理により、セキュリティチームとクラウドインフラストラクチャチームは、ID アクセス許可の誤用からクラウドリソースを保護できます。クラウドセキュリティでは、AWS 組織内のすべての AWS アカウントで、最小権限ポリシーを継続的に適用する必要があります。 マルチアカウント戦略を持つことは、リソースの分離を強化するためのベストプラクティスです。また、規制やコンプライアンスのニーズを満たし、オペレーションコストを追跡し、セキュリティをさらに強化するのにも役立ちます。AWS Control Tower は、AWS のベストプラクティスを使用して、Well-Architected マルチアカウントのベースラインを確立します。また、AWS アカウント全体でのガバナンスも有効にします。多くのお客様は、AWS Control Tower を使用してマルチアカウントの AWS 環境を管理および統制しています。AWS Control Tower を使用したマルチアカウント AWS 環境の管理の詳細については、「AWS Control Tower の使用開始」を参照してください。 CloudKnox は APN アドバンストパートナーです。<a

ＡＷＳは「政府情報システムのためのセキュリティ評価制度（Information system Security Management and Assessment Program: 通称、ISMAP（イスマップ））」に登録されましたことをお知らせします（有効期間：2021年3月12日から2022年3月31日まで）。