re:Invent 2020 – アイデンティティとデータ保護関連セッションのご紹介

例年と異なり、今年の AWS re:Invent はラスベガスで皆さんとお会いするかわりに、３週間の無料のバーチャルカンファレンスになります。その一方変わらない事は、多くのセキュリティ、アイデンティティ、コンプライアンスのセッションを含む、様々なセッションが用意されていることです。私たちはセッションを準備するにあたり、お客様にどの知識を深めたいかを尋ねました。その一つの方法として、セキュリティブログの記事で以前紹介した、お客様から直接フィードバックできる新しい投票機能 を利用しました。今回の投票結果で、アイデンティティとアクセス管理、データ保護がお客様にとって最も興味のあるトピックであることがわかりました。そこでこのブログでは、２つのトピックに関する re:Invent のセッションを紹介いたします。re:Invent のスケジュールを立てる際にぜひ活用いただければと思います。各セッションは複数回開催されますので、お住まいの地域やスケジュールに合わせてお申し込みください。

アイデンティティとアクセス管理

AWS identity: Secure account and application access with AWS SSO
AWS identity: AWS SSO によるセキュアなアカウントとアプリケーションへのアクセス
Ron Cully, Principal Product Manager, AWS

12/4, 2020 | 8:30 – 9:00 （日本時間）
12/4, 2020 | 16:30 – 17:00 （日本時間）
12/5, 2020 | 0:30 – 1:00 （日本時間）

AWS SSO は、AWS Organizations アカウントのアクセスを一元管理する方法を提供し、AWS SSO、Microsoft Active Directory、または外部のアイデンティティプロバイダ（Okta Universal Directory や Azure AD など）で作成・管理したアイデンティティを簡単に利用することができます。このセッションでは、AWS 環境を管理するために AWS SSO をどのように利用できるかを説明し、アカウントアクセスの認証を安全に自動化できる新機能について説明します。

Getting started with AWS identity services
AWS のアイデンティティサービスの利用を始める
Becky Weiss, Senior Principal Engineer, AWS

12/2, 2020 | 6:30 – 7:00 （日本時間）
12/2, 2020 | 14:30 – 15:00 （日本時間）
12/2, 2020 | 22:30 – 23:00 （日本時間）

AWS サービスの数、領域、幅は広いですが、それらをセキュアにするために必要なテクニックはそうではありません。このセッションでは、クラウドでの認証と認可を受けるための基本的なことや、リソースとデータを正しく確保するために必要なことを、実践的な事例をもとに説明します。

AWS identity: Ten identity health checks to improve security in the cloud
AWS identity: クラウドのセキュリティを向上させるための 10 個のアイデンティティヘルスチェック
Cassia Martin, Senior Security Solutions Architect, AWS

12/3, 2020 | 2:30 – 3:00 （日本時間）
12/3, 2020 | 10:30 – 11:00 （日本時間）
12/3, 2020 | 18:30 – 19:00 （日本時間）

AWS 環境で最小権限の原則を実現するための実践的なアドバイスとコードをお伝えします。ログの有効化から root の無効化まで、提供されるチェックリストは、リソース、アカウント、そして組織全体における権限の問題点を発見、修正するのに役立ちます。これらの 10 個のヘルスチェックを行うことで、AWS のアイデンティティを向上させ、日々より良いセキュリティを実現することができます。

AWS identity: Choosing the right mix of AWS IAM policies for scale
AWS identity: スケールするための AWS IAM ポリシーの適切な組み合わせ
Josh Du Lac, Principal Security Solutions Architect, AWS

12/3, 2020 | 4:00 – 4:30 （日本時間）
12/3, 2020 | 12:00 – 12:30 （日本時間）
12/3, 2020 | 20:00 – 20:30 （日本時間）

このセッションでは、AWS アカウントのセキュリティのために様々な機能を提供する AWS Identity and Access Management (IAM) ポリシーについて、戦略的および戦術的な概要を説明します。IAM ポリシーはすでに利用していると思いますが、目的にそって戦術的に機能の選択を行うための理由を掘り下げていきます。このセッションでは、これらの IAM ポリシーをマルチアカウント環境で管理する方法を理解するために、その目的、導入、検証、制限、モニタリングなどを網羅しています。

Zero Trust: An AWS perspective
ゼロトラスト：AWS の視点
Quint Van Deman, Principal WW Identity Specialist, AWS

12/3, 2020 | 5:30 – 6:00 （日本時間）
12/3, 2020 | 13:30 – 14:00 （日本時間）
12/3, 2020 | 21:30 – 22:00 （日本時間）

AWS のお客様から「システムやデータのセキュリティと可用性を適切なレベルで確保するためには、どのようなパターンが最適か」という質問をよくいただきます。また、ゼロトラストに該当するパターンがこの質問にどのように当てはまるかという質問も増えてきています。このセッションでは、AWS の指針となる原則を学び、ゼロトラストの領域で生まれたより大きなサブドメインを探ります。その後、AWS がこれらの概念をどのように取り入れてきたのか、そして AWS がどのようにゼロトラストの旅に役立つのかを深く掘り下げていきます。

AWS identity: Next-generation permission management
AWS identity: 次世代のアクセス権限管理
Brigid Johnson, Senior Software Development Manager, AWS

12/4, 2020 | 4:00 – 4:30 （日本時間）
12/4, 2020 | 12:30 – 12:30 （日本時間）
12/4, 2020 | 20:00 – 20:30 （日本時間）

このセッションは、アプリケーションのアクセス権限を管理するセキュリティチームと開発者を対象としています。このセッションでは、権限管理を自信を持って拡張できる権限モデルをレビューします。アクセス権限の管理を成功させるために、ガードレールを利用して組織を設定する方法を学びます。次に、属性に基づいて作業に必要なの権限を付与することで、ユーザやチームの変更に合わせて拡張できるようにする方法を学びます。最後に、アクセス解析ツールとその使用方法について学び、過剰なアクセス権限を特定して削減し、ユーザーやシステムに必要なものだけにアクセスできるようにします。

How Goldman Sachs administers temporary elevated AWS access
ゴールドマンサックスによる AWS アクセスの一時権限昇格の管理方法
Harsha Sharma, Solutions Architect, AWS
Chana Garbow Pardes, Associate, Goldman Sachs
Jewel Brown, Analyst, Goldman Sachs

12/17, 2020 | 7:00 – 7:30 （日本時間）
12/17, 2020 | 15:00 – 15:30 （日本時間）
12/17, 2020 | 23:00 – 23:30 （日本時間）

ゴールドマン・サックスは、セキュリティと AWS アカウントへのアクセスに真剣に取り組んでいます。チームが自律的にアプリケーションを構築できるようにすることは、クラウドの利用を全社的に拡大する上で非常に重要ですが、安全な管理者アクセスを可能にするために、ガードレールを設定する必要があります。このセッションでは、同社がどのようにしてクレデンシャル仲介ワークフローとユーザーの管理者アクセスを構築したかを学びます。Amazon DynamoDB、AWS Lambda、AWS CloudTrail、Amazon S3、Amazon Athena などの AWS サービスを利用したシンプルなアプリケーションを例に、ゴールドマン・サックスがどのようにして管理者のクレデンシャルを管理しているか、監査やコンプライアンスのためにアクションを監視してレポートしているかをご紹介します。

データ保護

Do you need an AWS KMS custom key store?
AWS KMS カスタムキーストアは必要でしょうか？
Tracy Pierce, Senior Consultant, AWS

12/16, 2020 | 2:45 – 3:15 （日本時間）
12/16, 2020 | 10:45 – 11:15 （日本時間）
12/16, 2020 | 18:45 – 19:15 （日本時間）

AWS Key Management Service（AWS KMS）は AWS CloudHSM と統合されており、独自の AWS KMS カスタムキーストアを作成することもできます。このセッションでは、KMS カスタムキーストアが AWS CloudHSM クラスタによってどのようにバックアップされているか、また、お客様が管理するハードウェアセキュリティモジュールで KMS の鍵をどのように生成、保存、使用することができるのかを学ぶことができます。また、カスタムキーストアが本当に必要かどうかについても説明します。また、このセッションに参加して、カスタムキーストアを使用せず、AWS KMS のデフォルトキーを使用することを選択する理由も学びましょう。

Using certificate-based authentication on containers & web servers on AWS
AWS 上のコンテナや Web サーバで証明書ベースの認証を利用する
Josh Rosenthol, Senior Product Manager, AWS
Kevin Rioles, Manager, Infrastructure & Security, BlackSky

12/9, 2020 | 5:45 – 6:15 （日本時間）
12/9, 2020 | 13:45 – 14:15 （日本時間）
12/9, 2020 | 21:45 – 22:15 （日本時間）

このセッションでは、リアルタイムの衛星地理空間情報とモニタリングの処理と配信に AWS Certificate Manager (ACM) のエンドエンティティ証明書を使用した BlackSky の経験をお話します。BlackSky が AWS 環境内のコンテナや Web サーバー上で証明書ベースの認証を使用して、TLS のユビキタス化にどのように貢献しているかをご紹介します。このセッションでは、同社が選択した実装、アーキテクチャ、運用のベストプラクティスを説明し、マルチアカウントやリージョンにまたがって大規模に ACM を運用した方法を紹介します。

The busy manager’s guide to encryption
多忙な管理者のための暗号化ガイド
Spencer Janyk, Senior Product Manager, AWS

12/10, 2020 | 4:45 – 5:15 （日本時間）
12/10, 2020 | 12:45 – 13:15 （日本時間）
12/10, 2020 | 20:45 – 21:15 （日本時間）

このセッションでは、AWS 暗号化サービスの機能について説明し、以下の各サービスをいつ、どのように利用するかを学びます。AWS Key Management Service、AWS Encryption SDK、AWS Certificate Manager、AWS CloudHSM、AWS Secrets Manager。また、非対称のアクセス許可モデル、クライアント側の暗号化、ロールによるアクセス権限のセグメンテーションなど、多層防御戦略についても学習します。

Building post-quantum cryptography for the cloud
クラウドのためのポスト量子暗号の構築
Alex Weibel, Senior Software Development Engineer, AWS

12/16, 2020 | 5:45 – 6:15 （日本時間）
12/16, 2020 | 13:45 – 14:15 （日本時間）
12/16, 2020 | 21:45 – 22:15 （日本時間）

このセッションでは、ポスト量子暗号と、TLS 通信の安全性を確保するための利用方法を紹介します。AWS のポスト量子 TLS 実装(pq-s2n)を含む、規格の最近の更新や展開について学びます。ハイブリッド鍵交換方式の説明では、新しいポスト量子キーカプセル化方式と従来のキー交換を組み合わせて、今日のネットワークトラフィックをセキュアにする方法を示します。

Data protection at scale using Amazon Macie
Amazon Macie を使用した大規模なデータ保護
Neel Sendas, Senior Technical Account Manager, AWS

12/18, 2020 | 0:15 – 0:45 （日本時間）
12/18, 2020 | 8:15 – 8:45 （日本時間）
12/18, 2020 | 16:15 – 16:45 （日本時間）

データ損失防止（DLP）は、機密データを扱う企業の間で共通のトピックです。組織が機密データを保護するためには、まずそのデータを特定しなければなりません。Amazon Macie は完全マネージド型のデータセキュリティとデータプライバシーサービスで、機械学習とパターンマッチングを利用して AWS 上の機密データを検出し、保護することができます。このセッションでは、Macie を大規模にデプロイするために使用できるデザインとアーキテクチャについて説明します。

今年のセッションはバーチャルではありますが、ライブモデレーターと”Ask the Expert” セッションを複数回に分けて提供し、皆様の質問にお答えします。これらのセッションで皆様にお会いできることを楽しみにしています。詳細は re:Inventのアジェンダ をご覧ください。

AWS セキュリティに関するニュース、コンテンツ、新機能のご案内は Twitter でも配信しています。