Amazon Web Services ブログ

Tag: Security Blog

AWS Secrets Manager に保存されたシークレットのローテーションウィンドウを設定する方法

本記事は How to configure rotation windows for secrets stored in AWS Secrets Manager を翻訳したものです。 AWS Secrets Manager で、保存されている各シークレットに対してローテーションウィンドウを指定できるようになりました。この機能により、定期的にローテーションを行うベストプラクティスに従いながら、お好みの時間帯を指定することができます。 Secrets Manager を使用すると、データベース認証情報、API キー、およびその他のシークレットに対して、管理・取得・ローテーションをすることが可能です。ローテーションウィンドウ機能では、ローテーションウィンドウを指定することで、クリティカルなビジネスを行っていない時間帯や定期的なメンテナンスの時間帯にシークレットをローテーションすることができます。ローテーションには、AWS が提供する Lambda ローテーション関数、またはカスタムの Lambda ローテーション関数を使用することができます。

Read More

暗号コンピューティングとは何か、二人の AWS エキスパートから学ぶ

このブログは “What is cryptographic computing? A conversation with two AWS experts” を翻訳したものです。 AWS の暗号技術にまつわるツールやサービスは、幅広い暗号技術やストレージ技術を使用しており、お客様のデータを保管時および転送時の両方で保護することができます。 時には、コンピュータで処理中・使用中のデータに対しても保護を求める場合があります。こうしたニーズに対応するため、アマゾン ウェブ サービス (AWS) は、暗号化されたデータに対して計算を実行し、機密データが決して漏洩しないようにする一連の技術である暗号コンピューティングを開発しています。この基盤は、データ所有者、データ利用者、機械学習活動に関わる関係者などのプライバシーや知的財産の保護に役立てられています。 先日、AWS Cryptography のプリンシパル プロダクトマネージャであるビル・ホーンと、AWS Cryptography の Amazon Scholar であるジョアン・ファイゲンバウムに、暗号コンピューティングの経験、なぜそれが重要なテーマなのか、AWS がどのように取り組んでいるのかについてお話を伺いました。

Read More

AWS WAF Bot Control のチューニングと最適化

この記事は、Dmitriy Novikovによって投稿された Fine-tune and optimize AWS WAF Bot Control mitigation capability を翻訳したものです。 はじめに 数年前の AWS Summit Sydney で、ある参加者から素晴らしい質問を受けました。彼女は、Amazon Web Services (AWS) 上のウェブ上のリソースをシンプルなボットから保護するために、コスト効率がよく、信頼性が高く、複雑すぎないソリューションを設計するのを手伝ってほしいと言いました。AWS WAF Bot Control のリリースにより、その質問にエレガントなソリューションで対応できるようになったので、私はこのときのことをよく覚えています。Bot Control の機能は、Web アプリケーションに対するトラフィックの 50% 以上を占める一般的で広範なボットのフィルタリングを開始するために、スイッチを入れるだけの問題になっているのです。 新機能 – AWS WAF Bot Control でウェブサイトの不要なトラフィックを削減 では、AWS WAF Bot Control とその機能の一部が紹介されています。この記事では、どこから始めればいいのか、どの要素を設定と保護のために使用すればよいかについて、知るべき情報をカバーしています。本記事では、密接に関連する機能を明らかにし、重要な考慮事項、ベストプラクティス、および一般的なユースケースのためのカスタマイズ方法について説明します。

Read More

Google Workspace を用いて AWS へのフェデレーティッド シングルサインオンをセットアップする方法

この記事は How to set up federated single sign-on to AWS using Google Workspace (2022 年 3 月 16 日更新版) を訳したものです。 外部の ID プロバイダー (IdP) と AWS とをフェデレーションすることは、ベストプラクティスです。AWS にフェデレーションをするための最もシンプルな方法は AWS Single Sign-On (AWS SSO) を利用することです。AWS SSO では、一度フェデレーションを構成すれば、すべての AWS アカウントへのアクセスを一元管理することができます。AWS SSO における外部 IdP として Google Workspace を設定する手順については、こちらのブログ記事をご覧ください。以前は、お客様は AWS Identity and Access Management (IAM) を使用してフェデレーションを構成していましたが、その方法では各 AWS アカウントで SAML […]

Read More

AWS 上でフォレンジック調査環境を構築する際の方策

このブログは “Forensic investigation environment strategies in the AWS Cloud” を翻訳したものです。 セキュリティのベースラインから逸脱してしまった場合、迅速に対応して問題を解決し、フォレンジック調査と根本原因分析を行いフォローアップすることが極めて重要です。事前に設定されたインフラと、ベースラインからの逸脱があった場合にフォローアップするための実践的な計画があれば、インシデントの影響、範囲、根本原因を判断するために必要な情報を抽出・分析し、自信を持って運用を再開することが可能になります。 セキュリティ・インシデントの「何が」「どのように」「誰によって」「どこで」「いつ」発生したのかについては、期限厳守で把握する必要があります。自動化されたインシデント対応という言葉をよく耳にしますが、これは反復可能で監査可能なプロセスを持ち、インシデントの解決を標準化し、証拠のアーティファクトを早く収集するためのものです。

Read More

Amazon Macie を用いた Amazon RDS データベースのデータ分類方法

このブログは “Enabling data classification for Amazon RDS database with Macie” を翻訳したものです。 Amazon Macie を用いて Amazon Relational Database Service (Amazon RDS) インスタンスの機密データ検出方法について、お客様からご質問をいただいています。このブログでは、AWS Database Migration Service (AWS DMS) を使って Amazon RDS からデータを抽出し、Amazon Simple Storage Service (Amazon S3) に保存し、Macie を使ってデータを分類する方法について紹介します。Macie で得られた検出結果は、適切なチームから Amazon Athena で照会できるようにもなります。

Read More

AWS Key Management Serviceで権限委譲 (Grants) を付与してアクセス許可 (Permissions) を管理する

本記事は Managing permissions with grants in AWS Key Management Service を翻訳したものです。 本投稿は、AWS KMS チームの Software development engineer の Rick Yin により寄稿されました。 AWS Key Management Service (AWS KMS) は、お客様が暗号化を使用してデータを保護するのに役立ちます。Amazon Relational Database Service (Amazon RDS) や Amazon Simple Storage Service (Amazon S3) バケットなど、暗号化された新しい Amazon Web Services (AWS) リソースを作成する場合、利用者が管理する AWS KMS キー ID を提供するだけでデータが暗号化され、暗号キーの保護と高可用性の実現の複雑さが軽減されます。 サービス内のデータを暗号化するときに、自分の管理下にあるキーを使用して、AWS サービスに暗号化を委任することを検討している場合、どのようにして AWS サービスがそのキーを必要なときにのみ使用し、すべてのリソースを復号するためのフルアクセスが常に許可されないようにしているのか疑問に思うかもしれません。その答えは、AWS […]

Read More

AWS 環境への一時的な昇格アクセスの管理

本記事は Managing temporary elevated access to your AWS environment を翻訳したものです。 この投稿では、一時的な昇格アクセスを実装することによって、AWS 環境へ人がアクセスすることに伴うリスクをどのように軽減できるのかについて学びます。また、最小限のリファレンス実装をダウンロードすることができ、それを出発点として、あなたの組織に合わせた一時的な昇格アクセスソリューションを構築することができます。

Read More

CloudTrail を用いて不適切な操作を検出する

この投稿では、Amazon Web Services (AWS) のクラウドワークロード内で、既存の脅威検知ソリューションを強化できる行動分析技術を使用して、異常な行動を検知するための実用的なアプローチについて説明します。異常検知は、AWS Well-Architected framework のセキュリティの柱に記載されているように、成熟したセキュリティベースラインが整備されている場合に検討すべき、高度な脅威検知技術です。

Read More

AWS Security HubとAmazon EventBridgeでセキュリティ問題の検出結果を関連付ける

本記事は Correlate security findings with AWS Security Hub and Amazon EventBridge を翻訳したものです。 本投稿は、Security Specialist Solutions ArchitectのMarshall Jones、およびSenior Security ConsultantのJonathan Nguyenにより寄稿されました。 このブログ記事では、単一のAWSリソースに関連する複数のAWSサービスからの特定の AWS Security Hub の検出結果を相互に関連付け、セキュリティインシデントが発生した可能性が高まったことを示すためのソリューションの展開についてご紹介します。

Read More