セキュリティサービス部 佐竹です。本ブログでは、Inspector policies、S3 policies を含めた、2025年11月26日現在の AWS Organizations における全ポリシーを整理し、理解するため、各ポリシーについてそれぞれ解説を行いました。なお最新ポリシーの1つ「Up…

2025 年 11 月 18 日にリリースされた Kiro CLI のセキュリティとデータプライバシーについて、既存の Kiro IDE と比較しながら解説します。AWS 責任共有モデルに基づく共通のセキュリティ基盤、データ保存場所、クロスリージョン推論、暗号化方式などの基本…

セキュリティサービス部 佐竹です。本日のブログは、ランサムウェア対策 on AWS をまとめることを目標としています。と言いましても、全てを詳細に記述すると膨大な量になるため、「ある程度 AWS のセキュリティに詳しい中級・上級エンジニア」が、これを読…

セキュリティサービス部 佐竹です。本ブログは、IAM の最小権限を実現するためのセキュリティサービスである IAM Access Analyzer について、その中でも特に有用である「Unused Access (未使用アクセス)」機能の利用料に関するブログです。AWS Organizations…

セキュリティサービス部 佐竹です。本ブログでは GuardDuty Extended Threat Detection で検出されたインシデントを元に `sts:GetCallerIdentity` についてセキュリティの観点から解説を行いました。この API Call 自体は無害ですが、それによって返却される…

セキュリティサービス部 佐竹です。本ブログでは、AWS Cost Anomaly Detection の変遷と、2025年のアップデートで対応した Amazon EventBridge および AWS User Notifications を含めた現在の通知方法を整理します。今からマルチアカウント管理を行われる場…

こんにちは！イーゴリです。 環境によっては、セキュリティ要件が厳しい場合もあります。 この記事では、AWS が提供する SPLA の RDS SAL におけるセキュリティ設計上の注意点を共有します。 なお、AWS の公開情報にはAWS が提供する SPLA の RDS SALにおけ…

以下のブログで紹介した3つの新機能に続き、 ガバナンス、セキュリティ体制の強化を実現するアクション制限機能をリリースしました！ blog.serverworks.co.jp 背景 企業で Cloud Automator を利用する際、複数の部門や外部ベンダーなど、様々な立場のユーザ…

セキュリティサービス部 佐竹です。今回は、AWS Security Hub CSPM を運用する中で、特定のコントロールの検出結果 (Findings) が意図せず `ARCHIVED` (アーカイブ済み) となり、その後に同じ内容で再作成されてしまった事象に遭遇したため、その原因と仕様…

Cloud Automator で、企業のガバナンスとセキュリティ体制の強化を実現する複数の機能をリリースします。 背景 企業で Cloud Automator を利用する際、複数の部門や外部ベンダーなど、様々な立場のユーザーが同じ環境を利用するケースが増えています。 この…

はじめに こんにちは！ 「はじめに」に書く面白いことが浮かばず、自分の限界を感じているCC2課の滝澤です！ 唐突ですが、みなさんAmazon GuardDutyはお好きですか？私は嫌いです （だって、脅威が検出されるんだもの） 今回はGuardDutyのアップデートについ…

はじめに こんにちは！ 最近イヤイヤ期の娘に「パパ好きじゃない」と言われる日々が続いており 精神が崩壊しかけている滝澤です...CC2課の滝澤です... 本日は巷で噂になりつつある、TLS証明書の段階的な最大有効期間短縮について見ていきたいと思います。 目…

セキュリティサービス部 佐竹です。本ブログは、2024年11月に投稿された AWS 公式ブログを元に、本文で紹介されているアップデートされたホワイトペーパー 「Architecting for PCI DSS Segmentation and Scoping on AWS」を情報源として「PCI DSS のための推…

こんにちは、やまぐちです。 概要 S3 バケットをデータソースにして試してみる S3 バケットの設定 データソースの設定 VPC にコネクタを設置せずに設定してみる VPC にコネクタを設置して設定してみる チャットで質問する まとめ 概要 Amazon Q Business コ…

こんにちは。 アプリケーションサービス部、DevOps担当の兼安です。 お盆が近づき、実家の草刈りに追われる毎日を過ごしています。 今年は空調服を着て作業していますが、それでも凄まじく体力を消耗します。 みなさまも外での作業をされる場合はお気をつけ…

マネージドサービス部 佐竹です。AWS re:Inforce 2025 に現地参加してきましたので、そのレポートを日別に記載しています。本ブログは3日目の総まとめとなっています。比較的"日記"の色合いが強い記事となっていますのでお気軽にお読みください。長らく続い…

マネージドサービス部 佐竹です。AWS re:Inforce 2025 に現地参加してきましたので、そのログを順番に記述しています。本ブログは `GRC301 Best practices for managing governance, risk, and compliance globally` のセッションレポートです。本セッション…

マネージドサービス部 佐竹です。 AWS re:Inforce 2025 に現地参加してきましたので、そのログを順番に記述しています。本ブログは `IAM307-NEW Understand who in your organization can access your AWS resources` のセッションレポートです。ようは IAM …

マネージドサービス部 佐竹です。 AWS re:Inforce 2025 に現地参加してきましたので、そのログを順番に記述しています。本ブログは `NIS203-NEW Simplify AWS WAF and Amazon CloudFront Security for Faster Deployment` のセッションレポートです。「簡素…

マネージドサービス部 佐竹です。AWS Config に関する AWS からの通知 `[アクション推奨] AWS Config Recorder のカスタム IAM ポリシーを確認してください` を受信された方々に向けたブログとなります。通知を受け取られた方は、本ブログを参考に期限までの…

マネージドサービス部 佐竹です。 AWS re:Inforce 2025 に現地参加してきましたので、そのログを順番に記述しています。本ブログは TDR309-NEW AWS Security Hub: Detect and respond to critical security issues のセッションレポートです。生まれ変わった…

マネージドサービス部 佐竹です。AWS re:Inforce 2025 に現地参加してきましたので、そのレポートを日別に記載しています。本ブログは2日目の総まとめとなっています。比較的"日記"の色合いが強い記事となっていますのでお気軽にお読みください。2日目は基調…

マネージドサービス部 佐竹です。本ブログでは AWS re:Inforce 2025 のキーノート `SEC200 Simplifying security at scale` (AWS re:Inforce 2025 - Keynote with Amy Herzog) をナラティブの観点からまとめました。本基調講演は AWS が目指す「セキュリティ…

マネージドサービス部 佐竹です。AWS re:Inforce 2025 に現地参加してきましたので、そのログを順番に記述しています。本ブログは SEC202 How the AWS obsession with resilience helps customers build for adversity のセッションレポートです。特に STS …

マネージドサービス部 佐竹です。AWS re:Inforce 2025 に現地参加してきましたので、そのログを順番に記述しています。本ブログは SEC201 Security foundations: How AWS designs the cloud to be the most secure for your business のセッションレポートで…

マネージドサービス部 佐竹です。AWS re:Inforce 2025 に現地参加してきましたので、そのログを順番に記述しています。本ブログは SEC228 Best practices for evaluating Amazon Bedrock Guardrails for Gen AI workloads のセッションレポートです。

マネージドサービス部 佐竹です。 AWS re:Inforce 2025 に現地参加してきましたので、そのレポートを日別に記載していきたいと思います。本ブログは1日目の総まとめとなっています。比較的"日記"の色合いが強い記事となっています。

マネージドサービス部 佐竹です。AWS re:Inforce 2025 に現地参加してきました。本ブログは自己学習型のコンテンツ AWS SimuLearn で自由会話モードを楽しんだ話です。このサービスは将来的に、トレーナーのロールプレイの負荷を大きく軽減してくれる可能性…

マネージドサービス部 佐竹です。 AWS re:Inforce 2025 に現地参加してきましたので、そのログを順番に記述しています。本ブログは TDR322 How AWS uses generative AI to advance native security services の解説です。

マネージドサービス部 佐竹です。 AWS re:Inforce 2025 に現地参加してきましたので、そのログを順番に記述しています。本ブログは COM222 Serverless threat response for Amazon S3 malware detection の解説です。

マネージドサービス部 佐竹です。 AWS re:Inforce 2025 に現地参加してきましたので、そのログを順番に記述しています。本ブログは SEC222 Upskill your team with the AWS Security Champion Learning Plan の解説です。

マネージドサービス部 佐竹です。 AWS re:Inforce 2025 に現地参加してきましたので、そのログを順番に記述しています。本ブログは IAM221 Secure and scalable customer IAM with Cognito: Wiz's success story の解説です。

マネージドサービス部 佐竹です。 AWS re:Inforce 2025 に現地参加してきましたので、そのログを順番に記述しています。本ブログは NIS321 How Meta enabled secure egress patterns using AWS Network Firewall の解説です。

こんにちは。 アプリケーションサービス本部 DevOps担当の兼安です。 久しぶりにプログラムの話題を取り上げます。 今回は、AWSのセッションタグを使用して、DynamoDBとS3に対する動的なアクセス制御を実装する方法について紹介します。 概要 AWS セッション…

こんにちは！イーゴリです。 AWS環境のセキュリティについて、4回に分けて解説しています。ぜひ、前回までの記事もご覧ください。 ①セキュアなAWS環境の設計 blog.serverworks.co.jp ②AWS環境のセキュリティ対策 blog.serverworks.co.jp ③AWS環境へのサイバ…

はじめに 生成 AI 統合 IDE「Cursor」は VS Code をベースに、ChatGPT や Claude など複数モデルを扱える統合開発環境です。一方、利用時にソースコードやプロンプトがクラウドに送信されるため、どのプランでどこまで守られるのかが導入判断の焦点になりま…

マネージドサービス部 佐竹です。本ブログでは「AWS WAF 適用環境におけるペネトレーションテストの目的2つと、それに応じた対応方法5つを整理して記載しました。また、WafCharm を利用している場合の考慮事項についても合わせて述べ、特に「例外IPリスト」…

マネージドサービス部 佐竹です。本ブログは AWS WAF を基礎から学ぶ初学者向けにできるだけわかりやすく、各コンポーネントや用語、仕様について記載しました。本ブログで AWS WAF の基本が少しでも理解頂ければ嬉しく思います。

マネージドサービス部 佐竹です。本記事では、WafCharm Advanced Rule ポリシーの AWS 環境における構成と実装に焦点を当て、Advanced の環境構成図を具体的に示しました。また従来の Legacy Rule ポリシーとの違いを明確にしながら、実装を成功させるために…

こんにちは。 アプリケーションサービス部、DevOps担当の兼安です。 今回は、AWS Config自体の設定変更を監視する方法についてお話しします。 本記事のターゲット セキュリティの担保と維持 AWS Configとは AWSリソースのインベントリ管理 コンプライアンス…

マネージドサービス部 佐竹です。本ブログでは、AWS マーケットプレイス版の WafCharm でメンバーアカウントの作成が必要となる背景と、構築用メンバーアカウントを発行する手順、そして注意点をまとめました。WafCharm の初期構築・実装に関わるメンバーの…

マネージドサービス部 佐竹です。本ブログでは、AWS Systems Manager Agent の自動更新が推奨される理由として「セキュリティ」と「機能追加」があることを説明し、続けて、AWS SSM Agent の自動更新設定はマネジメントコンソールから簡単に設定できるため、…

概要 はじめに Lambdaランタイム EOLとは ランタイム EOLとは EOLスケジュールの確認 Lambdaランタイムの変更方法 高度なクエリでLambda関数を探す 高度なクエリで"タグ"を扱う（発展） 方法1: CLIやBoto3を利用してJSONを処理する 方法2: 詳細情報からクエ…

マネージドサービス部 佐竹です。本ブログでは AWS WAF の COUNT モードのログを調査のためにクエリする際、`UNNEST(r.nonterminatingmatchingrules)` しながら `httprequest` の host も合わせて取得したいという要望に応えるために DDL と SQL クエリを作…

Security Hubになりたい山本拓海です。 GuardDutyの抑制ルールを作ります。 GuardDutyの抑制ルールを作る理由 抑制された検出結果はどうなるか 手順 手順0. サンプル脅威を検出する 手順1. 検出結果の画面でフィルターを作成する 手順2. フィルターを作成し…

こんにちは。 アプリケーションサービス部、DevOps担当の兼安です。 今回は、Amazon AuroraでIAMデータベース認証とAWS Secrets Managerによるパスワードの自動ローテーション、両方を設定してみました。 本記事のターゲット AWSのIAMデータベース認証とは A…

こんにちは、アプリケーションサービス部、DevOps担当の兼安です。 今回は、私なりに、日々開発を進めていく中で知っておいた方がいいなと思うセキュリティ用語を集めてみました。 本記事では、Webサイト開発を想定し、関連するセキュリティ用語を中心に解説…

おばんです！イーゴリです。以下のセッションはご覧になりましたか。この記事では、下記の動画の説明をしますが、私の説明やコメントも交えつつ進めさせていただきますので、正確な内容を確認したい方は以下の動画をご覧ください。 www.youtube.com ネットワ…

マネージドサービス部 佐竹です。2024年11月から12月にかけて多数追加されました Security Hub の Interface VPC Endpoint に関するコントロールに対し、セキュリティとコストの観点で注意事項を記載します。特に Interface VPC Endpoint の利用料は「塵も積…

おばんです！イーゴリです。 以下のセッションはご覧になりましたか。このセッションの1つは「ポスト量子暗号」についてのものでしたので、これについて少し解説させていただきます。急にこのテーマに入るのは難しいかもしれませんので、私の説明やコメント…