マネージドサービス部 佐竹です。 AWS re:Inforce 2025 に現地参加してきましたので、そのログを順番に記述しています。本ブログは TDR309-NEW AWS Security Hub: Detect and respond to critical security issues のセッションレポートです。生まれ変わった…

マネージドサービス部 佐竹です。AWS re:Inforce 2025 に現地参加してきましたので、そのレポートを日別に記載しています。本ブログは2日目の総まとめとなっています。比較的"日記"の色合いが強い記事となっていますのでお気軽にお読みください。2日目は基調…

マネージドサービス部 佐竹です。本ブログでは AWS re:Inforce 2025 のキーノート `SEC200 Simplifying security at scale` (AWS re:Inforce 2025 - Keynote with Amy Herzog) をナラティブの観点からまとめました。本基調講演は AWS が目指す「セキュリティ…

マネージドサービス部 佐竹です。AWS re:Inforce 2025 に現地参加してきましたので、そのログを順番に記述しています。本ブログは SEC202 How the AWS obsession with resilience helps customers build for adversity のセッションレポートです。特に STS …

マネージドサービス部 佐竹です。AWS re:Inforce 2025 に現地参加してきましたので、そのログを順番に記述しています。本ブログは SEC201 Security foundations: How AWS designs the cloud to be the most secure for your business のセッションレポートで…

マネージドサービス部 佐竹です。AWS re:Inforce 2025 に現地参加してきましたので、そのログを順番に記述しています。本ブログは SEC228 Best practices for evaluating Amazon Bedrock Guardrails for Gen AI workloads のセッションレポートです。

マネージドサービス部 佐竹です。 AWS re:Inforce 2025 に現地参加してきましたので、そのレポートを日別に記載していきたいと思います。本ブログは1日目の総まとめとなっています。比較的"日記"の色合いが強い記事となっています。

マネージドサービス部 佐竹です。AWS re:Inforce 2025 に現地参加してきました。本ブログは自己学習型のコンテンツ AWS SimuLearn で自由会話モードを楽しんだ話です。このサービスは将来的に、トレーナーのロールプレイの負荷を大きく軽減してくれる可能性…

マネージドサービス部 佐竹です。 AWS re:Inforce 2025 に現地参加してきましたので、そのログを順番に記述しています。本ブログは TDR322 How AWS uses generative AI to advance native security services の解説です。

マネージドサービス部 佐竹です。 AWS re:Inforce 2025 に現地参加してきましたので、そのログを順番に記述しています。本ブログは COM222 Serverless threat response for Amazon S3 malware detection の解説です。

マネージドサービス部 佐竹です。 AWS re:Inforce 2025 に現地参加してきましたので、そのログを順番に記述しています。本ブログは SEC222 Upskill your team with the AWS Security Champion Learning Plan の解説です。

マネージドサービス部 佐竹です。 AWS re:Inforce 2025 に現地参加してきましたので、そのログを順番に記述しています。本ブログは IAM221 Secure and scalable customer IAM with Cognito: Wiz's success story の解説です。

マネージドサービス部 佐竹です。 AWS re:Inforce 2025 に現地参加してきましたので、そのログを順番に記述しています。本ブログは NIS321 How Meta enabled secure egress patterns using AWS Network Firewall の解説です。

こんにちは。 アプリケーションサービス本部 DevOps担当の兼安です。 久しぶりにプログラムの話題を取り上げます。 今回は、AWSのセッションタグを使用して、DynamoDBとS3に対する動的なアクセス制御を実装する方法について紹介します。 概要 AWS セッション…

こんにちは！イーゴリです。 AWS環境のセキュリティについて、4回に分けて解説しています。ぜひ、前回までの記事もご覧ください。 ①セキュアなAWS環境の設計 blog.serverworks.co.jp ②AWS環境のセキュリティ対策 blog.serverworks.co.jp ③AWS環境へのサイバ…

はじめに 生成 AI 統合 IDE「Cursor」は VS Code をベースに、ChatGPT や Claude など複数モデルを扱える統合開発環境です。一方、利用時にソースコードやプロンプトがクラウドに送信されるため、どのプランでどこまで守られるのかが導入判断の焦点になりま…

マネージドサービス部 佐竹です。本ブログでは「AWS WAF 適用環境におけるペネトレーションテストの目的2つと、それに応じた対応方法5つを整理して記載しました。また、WafCharm を利用している場合の考慮事項についても合わせて述べ、特に「例外IPリスト」…

マネージドサービス部 佐竹です。本ブログは AWS WAF を基礎から学ぶ初学者向けにできるだけわかりやすく、各コンポーネントや用語、仕様について記載しました。本ブログで AWS WAF の基本が少しでも理解頂ければ嬉しく思います。

マネージドサービス部 佐竹です。本記事では、WafCharm Advanced Rule ポリシーの AWS 環境における構成と実装に焦点を当て、Advanced の環境構成図を具体的に示しました。また従来の Legacy Rule ポリシーとの違いを明確にしながら、実装を成功させるために…

こんにちは。 アプリケーションサービス部、DevOps担当の兼安です。 今回は、AWS Config自体の設定変更を監視する方法についてお話しします。 本記事のターゲット セキュリティの担保と維持 AWS Configとは AWSリソースのインベントリ管理 コンプライアンス…

マネージドサービス部 佐竹です。本ブログでは、AWS マーケットプレイス版の WafCharm でメンバーアカウントの作成が必要となる背景と、構築用メンバーアカウントを発行する手順、そして注意点をまとめました。WafCharm の初期構築・実装に関わるメンバーの…

マネージドサービス部 佐竹です。本ブログでは、AWS Systems Manager Agent の自動更新が推奨される理由として「セキュリティ」と「機能追加」があることを説明し、続けて、AWS SSM Agent の自動更新設定はマネジメントコンソールから簡単に設定できるため、…

概要 はじめに Lambdaランタイム EOLとは ランタイム EOLとは EOLスケジュールの確認 Lambdaランタイムの変更方法 高度なクエリでLambda関数を探す 高度なクエリで"タグ"を扱う（発展） 方法1: CLIやBoto3を利用してJSONを処理する 方法2: 詳細情報からクエ…

マネージドサービス部 佐竹です。本ブログでは AWS WAF の COUNT モードのログを調査のためにクエリする際、`UNNEST(r.nonterminatingmatchingrules)` しながら `httprequest` の host も合わせて取得したいという要望に応えるために DDL と SQL クエリを作…

Security Hubになりたい山本拓海です。 GuardDutyの抑制ルールを作ります。 GuardDutyの抑制ルールを作る理由 抑制された検出結果はどうなるか 手順 手順0. サンプル脅威を検出する 手順1. 検出結果の画面でフィルターを作成する 手順2. フィルターを作成し…

こんにちは。 アプリケーションサービス部、DevOps担当の兼安です。 今回は、Amazon AuroraでIAMデータベース認証とAWS Secrets Managerによるパスワードの自動ローテーション、両方を設定してみました。 本記事のターゲット AWSのIAMデータベース認証とは A…

こんにちは、アプリケーションサービス部、DevOps担当の兼安です。 今回は、私なりに、日々開発を進めていく中で知っておいた方がいいなと思うセキュリティ用語を集めてみました。 本記事では、Webサイト開発を想定し、関連するセキュリティ用語を中心に解説…

おばんです！イーゴリです。以下のセッションはご覧になりましたか。この記事では、下記の動画の説明をしますが、私の説明やコメントも交えつつ進めさせていただきますので、正確な内容を確認したい方は以下の動画をご覧ください。 www.youtube.com ネットワ…

マネージドサービス部 佐竹です。2024年11月から12月にかけて多数追加されました Security Hub の Interface VPC Endpoint に関するコントロールに対し、セキュリティとコストの観点で注意事項を記載します。特に Interface VPC Endpoint の利用料は「塵も積…

おばんです！イーゴリです。 以下のセッションはご覧になりましたか。このセッションの1つは「ポスト量子暗号」についてのものでしたので、これについて少し解説させていただきます。急にこのテーマに入るのは難しいかもしれませんので、私の説明やコメント…

マネージドサービス部 佐竹です。AWS re:Invent 2024 期間中のアップデートより、Amazon GuardDuty の新機能である「GuardDuty Extended Threat Detection」をご紹介します。Extended Threat Detectionは、各インシデントごと「バラバラに」ではなく、それぞ…

カスタマーサクセス部の山﨑です。 近年、多くの企業がAWSクラウドを活用してシステムを構築・運用しています。クラウドの導入により、インフラ管理の負荷が軽減され、ビジネスに集中できるメリットがあります。しかし、クラウド環境でもセキュリティ対策や…

こんにちは！イーゴリです。 シナリオ 対策方法 Amazon EC2 インスタンスの隔離方法 ネットワークACLでのトラフックブロック セキュリティグループでのトラフィックブロック 自動化（スクリプト編） Amazon EC2インスタンスの分離の自動化 Amazon EC2 インス…

マネージドサービス部 佐竹です。本ブログでは AWS Organizations で AWS アカウントを新規に払い出したタイミングや、組織間の移動、解約等のタイミングで Slack へと通知を行うための Amazon EventBridge の設定について記載しています。これらを Slack に…

マネージドサービス部 佐竹です。本ブログは「自分の認証情報（My security credentials）」の画面から、コンソールのパスワードを更新する際に、IAM ユーザーに `iam:ChangePassword` のポリシーが適切に付与されているにも関わらず「iam:ChangePassword へ…

カスタマーサクセス部の山﨑です。 GuardDutyは、AWS環境のセキュリティ監視を行う強力なサービスです。その中の一つであるGuardDuty Malware Protection for S3を活用することで、S3バケットにアップロードされたファイルに対して自動的にマルウェアのスキ…

垣見です。 IAMのベストプラクティスとしてよく聞く「MFA有効化」は自動処理ワークロード用のIAMユーザーには適用するべきなのか気になって調査した結果、「そもそもIAMユーザーではなくIAMロールを使うべし」という結論になりました。 はじめに 用語 結論 M…

マネージドサービス部 佐竹です。2024年10月の最新版として、AWS Organizations における複数の組織ポリシーについて解説しつつ、過去説明した SCP の継承について最新の情報をお伝えします。特に「SCP は継承という用語を利用しなくなった」という点を深掘…

こんにちはこんばんは！ サーバーワークスの新谷です。 AWSではセキュリティ関連のサービスが多くありますが、構成情報からセキュリティのベストプラクティスに 照らし合わせて評価してくれるツールとして、Security Hub があります。 Hub という名前が付く…

こんにちは！イーゴリです。下記の記事の続きになるので、最初に必ず下記の記事をご覧ください。 パート1: セキュアなAWS環境の設計についての解説 blog.serverworks.co.jp パート2: AWS環境のセキュリティ対策についての解説 blog.serverworks.co.jp インタ…

こんにちは！イーゴリです。 この記事は下記の記事の続きとなりますので、この記事を読む前に必ず下記の記事をご一読ください。 blog.serverworks.co.jp この記事では、AWSのセキュリティサービスを使うことで自分のAWS環境を守る方法を紹介したいと思います…

マネージドサービス部 佐竹です。本ブログでは AWS アカウントにおけるセキュリティリスク軽減のための手法の1つである「全リージョンのデフォルト VPC の削除」を AWS CloudShell から Script で行う方法について記載しています。デフォルト VPC の削除は A…

こんにちは！イーゴリです。 以前、AWS Security Hubに「[EC2.22] 未使用の Amazon EC2 セキュリティグループを削除することをお勧めします」という項目がありましたが、AWS Security HubのAWS Foundational Security Best Practices 標準および NIST SP 800…

こんにちは！イーゴリです。 会社のコンプライアンスの要件には、データを消す方法として磁気消去や物理破壊などの方法がありますが、クラウド業界では同じ物理ストレージの中に自分の会社だけではなくお客様のデータも存在している※1ので、磁気消去や物理破…

マネージドサービス部 佐竹です。マルチアカウント環境下において「AWS User Notifications」と「AWS Chatbot」を用い、お手軽に全 AWS アカウントの AWS Health の情報集約と Slack への通知が可能です。本ブログではその実装方法をステッブバイステップで…

マネージドサービス部 佐竹です。本ブログでは AWS Systems Manager クイックセットアップを利用してデフォルトホスト管理設定（Default Host Management Configuration setting）を AWS Organizations 全体で利用する際の具体的なセットアップ方法をステッ…

こんにちは！イーゴリです。 AWS にとって、クラウドのセキュリティは最優先事項です。(AWS公式ページ) AWS環境のセキュリティ対策としてAWSサービスを解説するよりも、まずはAWS環境の最適な設計について考える必要があります。AWS Well-Architected Framew…

こんにちは！イーゴリです。 「そもそもクラウド上でデータの暗号化が必要か」と疑問に思っている方がいるかもしれませんので、これについて考えてみたいと思います。 結論 質問：AWSにあるデータを暗号化する必要がありますか。 回答：必要です！ 終わりー …

マネージドサービス部 佐竹です。本ブログでは、AWS のホワイトペーパー「Organizing Your AWS Environment Using Multiple Accounts」の「Recommended OUs and accounts」において、11個目の推奨 OU として新たに追加されました「Business Continuity OU」…

マネージドサービス部 佐竹です。本ブログでは、AWS におけるセキュリティの向上を目的として、Amazon EC2 の「データ保護とセキュリティ(Data protection and security)」について詳しく解説しています。オプションの1つ1つがなかなかに奥の深いものである…