セキュリティ

新機能 GuardDuty Extended Threat Detection とは何か

マネージドサービス部 佐竹です。AWS re:Invent 2024 期間中のアップデートより、Amazon GuardDuty の新機能である「GuardDuty Extended Threat Detection」をご紹介します。Extended Threat Detectionは、各インシデントごと「バラバラに」ではなく、それぞ…

【Cloud Automator】ジョブワークフローを用いて、EC2インスタンス(Linux)へのパッチ適用を自動化する

カスタマーサクセス部の山﨑です。 近年、多くの企業がAWSクラウドを活用してシステムを構築・運用しています。クラウドの導入により、インフラ管理の負荷が軽減され、ビジネスに集中できるメリットがあります。しかし、クラウド環境でもセキュリティ対策や…

【AWSインシデント対応】Amazon EC2インスタンスの封じ込め方法

こんにちは!イーゴリです。 シナリオ 対策方法 Amazon EC2 インスタンスの隔離方法 ネットワークACLでのトラフックブロック セキュリティグループでのトラフィックブロック 自動化(スクリプト編) Amazon EC2インスタンスの分離の自動化 Amazon EC2 インス…

AWS アカウントの新規作成や組織間の移動、解約等を EventBridge と SNS で Slack へ通知する

マネージドサービス部 佐竹です。本ブログでは AWS Organizations で AWS アカウントを新規に払い出したタイミングや、組織間の移動、解約等のタイミングで Slack へと通知を行うための Amazon EventBridge の設定について記載しています。これらを Slack に…

エラーメッセージ「iam:ChangePassword に対する許可がありません」に関する注意事項

マネージドサービス部 佐竹です。本ブログは「自分の認証情報(My security credentials)」の画面から、コンソールのパスワードを更新する際に、IAM ユーザーに `iam:ChangePassword` のポリシーが適切に付与されているにも関わらず「iam:ChangePassword へ…

GuardDuty Malware Protection for S3で始める、Amazon S3のマルウェア対策

カスタマーサクセス部の山﨑です。 GuardDutyは、AWS環境のセキュリティ監視を行う強力なサービスです。その中の一つであるGuardDuty Malware Protection for S3を活用することで、S3バケットにアップロードされたファイルに対して自動的にマルウェアのスキ…

【MFA問題】自動処理ワークロード用権限にはIAMロールを使いましょう

垣見です。 IAMのベストプラクティスとしてよく聞く「MFA有効化」は自動処理ワークロード用のIAMユーザーには適用するべきなのか気になって調査した結果、「そもそもIAMユーザーではなくIAMロールを使うべし」という結論になりました。 はじめに 用語 結論 M…

AWS Organizations の各ポリシーと継承について整理する (2024年10月版)

マネージドサービス部 佐竹です。2024年10月の最新版として、AWS Organizations における複数の組織ポリシーについて解説しつつ、過去説明した SCP の継承について最新の情報をお伝えします。特に「SCP は継承という用語を利用しなくなった」という点を深掘…

AWS Security Hub の導入手順

こんにちはこんばんは! サーバーワークスの新谷です。 AWSではセキュリティ関連のサービスが多くありますが、構成情報からセキュリティのベストプラクティスに 照らし合わせて評価してくれるツールとして、Security Hub があります。 Hub という名前が付く…

AWS環境へのサイバー攻撃とその対策について

こんにちは!イーゴリです。下記の記事の続きになるので、最初に必ず下記の記事をご覧ください。 パート1: セキュアなAWS環境の設計についての解説 blog.serverworks.co.jp パート2: AWS環境のセキュリティ対策についての解説 blog.serverworks.co.jp インタ…

AWS環境のセキュリティ対策についての解説

こんにちは!イーゴリです。 この記事は下記の記事の続きとなりますので、この記事を読む前に必ず下記の記事をご一読ください。 blog.serverworks.co.jp この記事では、AWSのセキュリティサービスを使うことで自分のAWS環境を守る方法を紹介したいと思います…

全リージョンのデフォルト VPC を削除する Script を AWS CloudShell から実行する

マネージドサービス部 佐竹です。本ブログでは AWS アカウントにおけるセキュリティリスク軽減のための手法の1つである「全リージョンのデフォルト VPC の削除」を AWS CloudShell から Script で行う方法について記載しています。デフォルト VPC の削除は A…

AWS Configルールで使用されていない/アタッチされていないセキュリティグループが自動的に削除される方法

こんにちは!イーゴリです。 以前、AWS Security Hubに「[EC2.22] 未使用の Amazon EC2 セキュリティグループを削除することをお勧めします」という項目がありましたが、AWS Security HubのAWS Foundational Security Best Practices 標準および NIST SP 800…

AWSクラウドでもっともセキュアなデータ消去方法 (暗号化消去)

こんにちは!イーゴリです。 会社のコンプライアンスの要件には、データを消す方法として磁気消去や物理破壊などの方法がありますが、クラウド業界では同じ物理ストレージの中に自分の会社だけではなくお客様のデータも存在している※1ので、磁気消去や物理破…

AWS User Notifications でお手軽に組織の全アカウントの AWS Health を Slack に通知する

マネージドサービス部 佐竹です。マルチアカウント環境下において「AWS User Notifications」と「AWS Chatbot」を用い、お手軽に全 AWS アカウントの AWS Health の情報集約と Slack への通知が可能です。本ブログではその実装方法をステッブバイステップで…

AWS SSM デフォルトホスト管理設定を組織で有効化し Session Manager を利用する場合の注意点

マネージドサービス部 佐竹です。本ブログでは AWS Systems Manager クイックセットアップを利用してデフォルトホスト管理設定(Default Host Management Configuration setting)を AWS Organizations 全体で利用する際の具体的なセットアップ方法をステッ…

セキュアなAWS環境の設計についての解説【2024年版】

こんにちは!イーゴリです。 AWS にとって、クラウドのセキュリティは最優先事項です。(AWS公式ページ) AWS環境のセキュリティ対策としてAWSサービスを解説するよりも、まずはAWS環境の最適な設計について考える必要があります。AWS Well-Architected Framew…

AWSにあるデータを暗号化する必要があるか?

こんにちは!イーゴリです。 「そもそもクラウド上でデータの暗号化が必要か」と疑問に思っている方がいるかもしれませんので、これについて考えてみたいと思います。 結論 質問:AWSにあるデータを暗号化する必要がありますか。 回答:必要です! 終わりー …

AWS のホワイトペーパーに新しい推奨 OU として Business Continuity OU が追加されました

マネージドサービス部 佐竹です。本ブログでは、AWS のホワイトペーパー「Organizing Your AWS Environment Using Multiple Accounts」の「Recommended OUs and accounts」において、11個目の推奨 OU として新たに追加されました「Business Continuity OU」…

徹底解説!Amazon EC2 の「データ保護とセキュリティ」設定で安全なクラウド運用を実現

マネージドサービス部 佐竹です。本ブログでは、AWS におけるセキュリティの向上を目的として、Amazon EC2 の「データ保護とセキュリティ(Data protection and security)」について詳しく解説しています。オプションの1つ1つがなかなかに奥の深いものである…

aws/rds で暗号化された RDS DB インスタンスを別の AWS アカウントへ移行する方法

マネージドサービス部 佐竹です。本ブログでは、デフォルトサービスキーである「aws/rds」で暗号化済みの RDS DB インスタンスを、その他の AWS アカウントへ移行する方法について記載しています。本ブログが多くのハマりポイントを回避し、クロスアカウント…

Amazon Inspector の EC2 スキャンで S3 の利用料が高額になる条件

マネージドサービス部 佐竹です。本ブログでは、意図せず Amazon Inspector (インスペクター) による Amazon EC2 インスタンスのスキャンによって Amazon S3 の API リクエスト費用が高騰してしまったケースについて記載しています。少々再現性の低い前提条…

GitHubのDependabotがパッケージの脆弱性を検知してくれたので解消してみる

こんにちは。アプリケーション部の兼安です。 少し前に脆弱性検知のブログを書かせていただきました。 blog.serverworks.co.jp その時に作った検証用リポジトリでGitHubのDependabotをONにしていたところ、2024年1月になってパッケージの脆弱性を検知してく…

AWS マルチアカウント運用下で WafCharm を追加構築する場合の手順

マネージドサービス部 佐竹です。本ブログでは AWS マルチアカウント運用下で WafCharm を追加構築する場合の手順を記載しています。本ブログの内容が WafCharm の設定ミスの回避に少しでも役立てば幸いです。

参加レポート:AWS Security Forum Japan 2023

このブログは、サーバーワークス Advent Calendar 2023 の 19日目のエントリーです。 qiita.com こんにちは。 最近急に冷え込んできてあんこう鍋が食べたくなってきたマネージドサービス部の中山です。 今冬はまだあんこう鍋を食べていないので1月には茨城の…

AWS WAF の可視化や分析に役立つ CloudFront セキュリティダッシュボードが実装されました

マネージドサービス部 佐竹です。本ブログでは、AWS WAF の分析に役立つ新機能 CloudFront セキュリティダッシュボードについてご紹介します。調べていくうちに、CloudFront における AWS WAF のログの可視化や分析・調査において、まずは使いたくなる機能だ…

AWS Security Forum Japan 2023へ行ってきました

Security Forum Japan 2023に行ってきたレポートになります。

AMI ブロックパブリックアクセスが2023年10月16日から全リージョンでデフォルト有効となります

マネージドサービス部 佐竹です。 本ブログでは、AMI ブロックパブリックアクセスが2023年10月16日から「全ての AWS アカウント」の「全てのリージョン」において、デフォルト「有効」となるよう、順次変更が開始されるとのアナウンスがメールで一斉通知され…

AWS CLI を MFA を都度入力せずにスイッチロールと共に12時間連続で利用する方法

マネージドサービス部 佐竹です。本ブログでは、AWS CLI を MFA を都度入力せずにスイッチロールと共に12時間連続で利用する方法として、実際のコマンドと設定について記載しています。この内容に関するブログは世の中に色々あると思うのですが、今回は比較…

EC2のIMDSv2設定確認がAWSマネージメントコンソールからも出来るようになりました。

こんにちは、Enterprise Cloud部 技術1課 宮形 です。 EC2のインスタンスメタデータのアクセス方法は、下記2つが用意されており、セキュリティ的には後者 IMDSv2 に限定することが望ましいとされています。 インスタンスメタデータサービスバージョン 1 (IMD…

ELBでのHTTPS暗号化通信のうちTLS1.0、TLS1.1を無効化する手順

こんにちは、Enterprise Cloud部 技術1課 宮形 です。今回BLOGでは、Elastic Load Balancing (以下ELB) をご利用の環境において、 HTTPS暗号化通信のうちTLS1.0、TLS1.1を無効化する設定手順を記載します。 TLS1.0、TLS1.1 を無効化する理由 現状の確認 設定…

Dependabot と Slack GitHub Apps を使って脆弱性情報を楽して把握できる仕組みを作る

依存関係の CVE を Dependabot から通知してもらって、能動的にチェックしなくても開発者としてすべきことが見える状態を作りたかったブログ

Amazon GuardDuty の 検出結果「高」のみを Slack へと連携する方法

マネージドサービス部 佐竹です。 本ブログでは、Amazon GuardDuty の 検出結果のうち「漏れなくリアルタイムで確認したい Severity が High の検出結果」を Amazon EventBridge と AWS Chatbot を活用し Slack チャンネルへと連携する設定方法について記載…

Your AWS Abuse Reportという通知がきた!これってどういうもの?

こんにちは!CI2部1課濱岡です! クリスマスだからという理由でケーキを買って食べたんですが、ショートケーキってめちゃくちゃ甘いんですね、、、 普段はタルトやモンブランを食べていたのでショートケーキの甘さに驚きです、、、 さて、今回はAbuse Report…

IAM ユーザの MFA デバイス名を IAM ユーザ名のみに制限する方法

カスタマーサクセス部 佐竹です。 以前ご連絡しました「MFA デバイスを複数登録が可能となった」アナウンスに関連して「元通り1台のみの制限状態で運用したい」というご要望が寄せられましたので、これを可能とする IAM ポリシーを考案しました。

Amazon GuardDuty RDS Protectionが発表されました!!

2023/3/17 更新 2023/3/17にGeneral Availableとなりました。 本ブログの内容はパブリックプレビュー時の内容になります。 aws.amazon.com こんにちは。CI部の島村です。 11/30(水)のKeynoteでAmazon GuardDuty RDS Protectionのパブリックプレビューが発表…

IAM で MFA デバイスを複数登録が可能となった影響で MFA 強制の IAM ポリシーに修正が必要です

カスタマーサクセス部 佐竹です。 IAM User に MFA デバイスを複数登録が可能となったアップデートの影響で MFA 強制の IAM ポリシーに修正が必要となりました。You need permissions エラーが発生してお困りの場合本ブログが参考になると存じます。

AWS と Azure のパブリック IP 空間について

コーヒーが好きな木谷映見です。 本日は AWS と Azure のパブリック IP 空間について調べたことをまとめていきます。 Amazon VPC 外のリソースの通信 AWS 独自のネットワーク VPC 外のサービスはすべて VPC エンドポイントで接続するべきか Azure 独自のネッ…

【やってみた】Yubikeyを買ったので多要素認証の設定をしたら楽になった!

こんにちわ!サーバーワークス日本最南端社員の久保玉井(くぼたまい)です。最近の沖縄は梅雨時期で湿度がすごい事になってます。 さて今回はYubikeyなる多要素認証のハードウェアを購入しましたので、AWS IAMユーザーでのログインやOneLoginで利用できるか…

AWS WAF を利用して特定の IP アドレス以外からのアクセスをブロックする

こんにちは、テクニカルサポート課の大石(一)です。 AWS WAF を利用して特定の IP アドレス以外からのアクセスをブロックする方法についてご紹介します。 AWS WAF についての詳細な説明は、以下の記事をご一読ください。 blog.serverworks.co.jp 検証の構成 …

AWS Config Rules のカスタムルールを作成してみる

2022年に入ってからPythonの勉強を少しずつ始めました。CI2部 技術2課の山﨑です。 今回のブログでは AWS Config Rules のカスタムルールを作成してみようと思います。 AWS Config Rulesとは(おさらい) 機能 構成チェック 修復アクション(Remediation) 料…

EventBridge を利用して IAM User の SwitchRole 通知を行う

営業部 佐竹です。本日は、EventBridge で SwitchRole の通知を行う設定方法について記載します。また「SwitchTo」と「SwitchFrom」についてもその違いを記載し、通知が2通届く背景もご説明します。

AWS 環境における暗号通貨採掘悪用に備える

営業部 佐竹です。本日は、AWS 上のリソースを悪用され Crypto Currency (仮想通貨/暗号通貨)の採掘をされてしまわないように、利用者側にどのような対策がとれるのか、また実際に採掘を行われてしまった場合の対応について記載します。

AWS Security Hubの指摘をSlackで通知されるようにしたい

今回のゴール AWS上の環境を精査して、セキュリティ的に良くないところがないか指摘してくれるAWSのサービス『AWS Security Hub』があります。 一度Security Hubを有効化すれば毎日チェックしてくれて「ここがダメ」と指摘してくれるのですが、AWSマネジメン…

(翻訳) 続報版 - Apache Log4j2 の脆弱性 "CVE-2021-44228" に関する AWS からのアナウンス

Log4j2 の CVE-2021-44228 について、AWS から続報のアナウンスが出ましたので、翻訳版をご案内します。

AWS ユーザーのための基本的セキュリティ情報源

IT システムを運用していると、脆弱性情報などのセキュリティを気に掛ける必要が常にあります。 AWS の EC2 インスタンス上の OS の設定やユーザーがデプロイしたアプリケーションをセキュアに保つのは、主にユーザー側の役割です。 また、 AWS の基盤部分で…

WafCharm で Log4j2 の脆弱性に備えるための対応手法について

営業部 佐竹です。 Apache Log4j2 の脆弱性 "CVE-2021-44228" に関連して、WafCharm をご利用されているお客様への対応方法をお知らせいたします。特に本ブログ記事では AWS WAF の「マネージドルールグループ」において、Log4JRCEの設定方法を詳しく記載い…

(翻訳) Apache Log4j2 の脆弱性 "CVE-2021-44228" に関する AWS からのアナウンス

Apache Log4j2 の脆弱性について、AWS からのアナウンスを翻訳速報します

AWS re:Invent 2021 で発表された S3 のアップデートまとめ セキュリティ関係

営業部 佐竹です。本ブログは「AWS re:Invent 2021 で発表された S3 のアップデートまとめ」と題しまして、Amazon S3 のリリースをまとめました。S3 のアップデートは数が多いため「コスト削減関係」と「セキュリティ関係」で2つの記事に分けてのご紹介とな…

【セッションレポート】FunPlusのDDoS対策

本日からラスベガスではAWS re:Inventが開催されています。 まあ私は現地に行けなかったので、オンラインでセッションを見ています。 では、FunPlus社によるDDoS防御に関するセッションのレポートをします。 セッション概要 原題 Funplus在亚马逊云科技上抵…