セキュリティ
セキュリティサービス部 佐竹です。本ブログは、Amazon Inspector で検出される「IN-DISCONTINUED-001」という独自の検出結果についての解説ブログです。2025年3月12日にリリースされた新機能により、Platform End Of Life の結果が新規に追加されることにな…
Amazon Inspector には EC2 インスタンスにインストールされたソフトウェアパッケージの脆弱性を検出する機能があります。 OS パッケージだけでなく、Java、JavaScript、Python といったプログラミング言語のパッケージも含まれますが、多くの場合でパッケー…
こんにちは、近藤(りょう)です! Amazon Aurora PostgreSQL(Aurora PostgreSQL) に pg_columnmask 拡張が追加され、データベース側で「動的データマスキング(Dynamic Data Masking)」を実現できるようになりました。 aws.amazon.com これにより、アプ…
はじめに 「また脆弱性が見つかった…今度はどのサーバーが影響を受けるんだ?」 ある月曜日の朝、インフラ担当のAさんは、セキュリティアラートのメールを見て頭を抱えていました。 管理している数十のAWSアカウント、多数のEC2インスタンス。 それぞれの管理…
こんにちは。 アプリケーションサービス、DevOps担当の兼安です。 AWS re:Invent 2025でAmazon Aurora PostgreSQL(以降、Aurora PostgreSQLと書きます)の動的データマスキングが発表されました。 今回はこれを機会に、行レベルセキュリティ(Row-Level Secur…
セキュリティサービス部 佐竹です。AWS re:Invent 2025 期間中に発表された、Amazon GuardDuty の拡張脅威検知(Extended Threat Detection)における Amazon EC2 および Amazon ECS のサポートについて、その詳細とメリットを「実際の検出結果」と共に解説…
はじめに 「緊急の脆弱性が発見された!影響を受けるサーバーを今すぐ特定しなければ...」 こんな経験、ありませんか? 管理するEC2インスタンスが増えれば増えるほど、以下のような課題に直面します: 課題 具体例 インベントリ管理の煩雑さ マルチアカウン…
セキュリティサービス部 佐竹です。本ブログでは、Amazon Route 53 の新機能「Route 53 Global Resolver」について、セキュリティの観点を踏まえたメリットを解説します。Route 53 Global Resolver は、組織が直面する主要な DNS の課題である「パブリックと…
セキュリティサービス部 佐竹です。本ブログでは、Amazon Inspector によるスキャンが原因で、Amazon EFS のライフサイクルポリシーが無効化され、利用料が高騰してしまう可能性について解説します。
セキュリティサービス部 佐竹です。本ブログでは、Inspector policies、S3 policies を含めた、2025年11月26日現在の AWS Organizations における全ポリシーを整理し、理解するため、各ポリシーについてそれぞれ解説を行いました。なお最新ポリシーの1つ「Up…
2025 年 11 月 18 日にリリースされた Kiro CLI のセキュリティとデータプライバシーについて、既存の Kiro IDE と比較しながら解説します。AWS 責任共有モデルに基づく共通のセキュリティ基盤、データ保存場所、クロスリージョン推論、暗号化方式などの基本…
セキュリティサービス部 佐竹です。本日のブログは、ランサムウェア対策 on AWS をまとめることを目標としています。と言いましても、全てを詳細に記述すると膨大な量になるため、「ある程度 AWS のセキュリティに詳しい中級・上級エンジニア」が、これを読…
セキュリティサービス部 佐竹です。本ブログは、IAM の最小権限を実現するためのセキュリティサービスである IAM Access Analyzer について、その中でも特に有用である「Unused Access (未使用アクセス)」機能の利用料に関するブログです。AWS Organizations…
セキュリティサービス部 佐竹です。本ブログでは GuardDuty Extended Threat Detection で検出されたインシデントを元に `sts:GetCallerIdentity` についてセキュリティの観点から解説を行いました。この API Call 自体は無害ですが、それによって返却される…
セキュリティサービス部 佐竹です。本ブログでは、AWS Cost Anomaly Detection の変遷と、2025年のアップデートで対応した Amazon EventBridge および AWS User Notifications を含めた現在の通知方法を整理します。今からマルチアカウント管理を行われる場…
こんにちは!イーゴリです。 環境によっては、セキュリティ要件が厳しい場合もあります。 この記事では、AWS が提供する SPLA の RDS SAL におけるセキュリティ設計上の注意点を共有します。 なお、AWS の公開情報にはAWS が提供する SPLA の RDS SALにおけ…
以下のブログで紹介した3つの新機能に続き、 ガバナンス、セキュリティ体制の強化を実現するアクション制限機能をリリースしました! blog.serverworks.co.jp 背景 企業で Cloud Automator を利用する際、複数の部門や外部ベンダーなど、様々な立場のユーザ…
セキュリティサービス部 佐竹です。今回は、AWS Security Hub CSPM を運用する中で、特定のコントロールの検出結果 (Findings) が意図せず `ARCHIVED` (アーカイブ済み) となり、その後に同じ内容で再作成されてしまった事象に遭遇したため、その原因と仕様…
Cloud Automator で、企業のガバナンスとセキュリティ体制の強化を実現する複数の機能をリリースします。 背景 企業で Cloud Automator を利用する際、複数の部門や外部ベンダーなど、様々な立場のユーザーが同じ環境を利用するケースが増えています。 この…
はじめに こんにちは! 「はじめに」に書く面白いことが浮かばず、自分の限界を感じているCC2課の滝澤です! 唐突ですが、みなさんAmazon GuardDutyはお好きですか?私は嫌いです (だって、脅威が検出されるんだもの) 今回はGuardDutyのアップデートについ…
はじめに こんにちは! 最近イヤイヤ期の娘に「パパ好きじゃない」と言われる日々が続いており 精神が崩壊しかけている滝澤です...CC2課の滝澤です... 本日は巷で噂になりつつある、TLS証明書の段階的な最大有効期間短縮について見ていきたいと思います。 目…
セキュリティサービス部 佐竹です。本ブログは、2024年11月に投稿された AWS 公式ブログを元に、本文で紹介されているアップデートされたホワイトペーパー 「Architecting for PCI DSS Segmentation and Scoping on AWS」を情報源として「PCI DSS のための推…
こんにちは、やまぐちです。 概要 S3 バケットをデータソースにして試してみる S3 バケットの設定 データソースの設定 VPC にコネクタを設置せずに設定してみる VPC にコネクタを設置して設定してみる チャットで質問する まとめ 概要 Amazon Q Business コ…
こんにちは。 アプリケーションサービス部、DevOps担当の兼安です。 お盆が近づき、実家の草刈りに追われる毎日を過ごしています。 今年は空調服を着て作業していますが、それでも凄まじく体力を消耗します。 みなさまも外での作業をされる場合はお気をつけ…
マネージドサービス部 佐竹です。AWS re:Inforce 2025 に現地参加してきましたので、そのレポートを日別に記載しています。本ブログは3日目の総まとめとなっています。比較的"日記"の色合いが強い記事となっていますのでお気軽にお読みください。長らく続い…
マネージドサービス部 佐竹です。AWS re:Inforce 2025 に現地参加してきましたので、そのログを順番に記述しています。本ブログは `GRC301 Best practices for managing governance, risk, and compliance globally` のセッションレポートです。本セッション…
マネージドサービス部 佐竹です。 AWS re:Inforce 2025 に現地参加してきましたので、そのログを順番に記述しています。本ブログは `IAM307-NEW Understand who in your organization can access your AWS resources` のセッションレポートです。ようは IAM …
マネージドサービス部 佐竹です。 AWS re:Inforce 2025 に現地参加してきましたので、そのログを順番に記述しています。本ブログは `NIS203-NEW Simplify AWS WAF and Amazon CloudFront Security for Faster Deployment` のセッションレポートです。「簡素…
マネージドサービス部 佐竹です。AWS Config に関する AWS からの通知 `[アクション推奨] AWS Config Recorder のカスタム IAM ポリシーを確認してください` を受信された方々に向けたブログとなります。通知を受け取られた方は、本ブログを参考に期限までの…
マネージドサービス部 佐竹です。 AWS re:Inforce 2025 に現地参加してきましたので、そのログを順番に記述しています。本ブログは TDR309-NEW AWS Security Hub: Detect and respond to critical security issues のセッションレポートです。生まれ変わった…
マネージドサービス部 佐竹です。AWS re:Inforce 2025 に現地参加してきましたので、そのレポートを日別に記載しています。本ブログは2日目の総まとめとなっています。比較的"日記"の色合いが強い記事となっていますのでお気軽にお読みください。2日目は基調…
マネージドサービス部 佐竹です。本ブログでは AWS re:Inforce 2025 のキーノート `SEC200 Simplifying security at scale` (AWS re:Inforce 2025 - Keynote with Amy Herzog) をナラティブの観点からまとめました。本基調講演は AWS が目指す「セキュリティ…
マネージドサービス部 佐竹です。AWS re:Inforce 2025 に現地参加してきましたので、そのログを順番に記述しています。本ブログは SEC202 How the AWS obsession with resilience helps customers build for adversity のセッションレポートです。特に STS …
マネージドサービス部 佐竹です。AWS re:Inforce 2025 に現地参加してきましたので、そのログを順番に記述しています。本ブログは SEC201 Security foundations: How AWS designs the cloud to be the most secure for your business のセッションレポートで…
マネージドサービス部 佐竹です。AWS re:Inforce 2025 に現地参加してきましたので、そのログを順番に記述しています。本ブログは SEC228 Best practices for evaluating Amazon Bedrock Guardrails for Gen AI workloads のセッションレポートです。
マネージドサービス部 佐竹です。 AWS re:Inforce 2025 に現地参加してきましたので、そのレポートを日別に記載していきたいと思います。本ブログは1日目の総まとめとなっています。比較的"日記"の色合いが強い記事となっています。
マネージドサービス部 佐竹です。AWS re:Inforce 2025 に現地参加してきました。本ブログは自己学習型のコンテンツ AWS SimuLearn で自由会話モードを楽しんだ話です。このサービスは将来的に、トレーナーのロールプレイの負荷を大きく軽減してくれる可能性…
マネージドサービス部 佐竹です。 AWS re:Inforce 2025 に現地参加してきましたので、そのログを順番に記述しています。本ブログは TDR322 How AWS uses generative AI to advance native security services の解説です。
マネージドサービス部 佐竹です。 AWS re:Inforce 2025 に現地参加してきましたので、そのログを順番に記述しています。本ブログは COM222 Serverless threat response for Amazon S3 malware detection の解説です。
マネージドサービス部 佐竹です。 AWS re:Inforce 2025 に現地参加してきましたので、そのログを順番に記述しています。本ブログは SEC222 Upskill your team with the AWS Security Champion Learning Plan の解説です。
マネージドサービス部 佐竹です。 AWS re:Inforce 2025 に現地参加してきましたので、そのログを順番に記述しています。本ブログは IAM221 Secure and scalable customer IAM with Cognito: Wiz's success story の解説です。
マネージドサービス部 佐竹です。 AWS re:Inforce 2025 に現地参加してきましたので、そのログを順番に記述しています。本ブログは NIS321 How Meta enabled secure egress patterns using AWS Network Firewall の解説です。
こんにちは。 アプリケーションサービス本部 DevOps担当の兼安です。 久しぶりにプログラムの話題を取り上げます。 今回は、AWSのセッションタグを使用して、DynamoDBとS3に対する動的なアクセス制御を実装する方法について紹介します。 概要 AWS セッション…
こんにちは!イーゴリです。 AWS環境のセキュリティについて、4回に分けて解説しています。ぜひ、前回までの記事もご覧ください。 ①セキュアなAWS環境の設計 blog.serverworks.co.jp ②AWS環境のセキュリティ対策 blog.serverworks.co.jp ③AWS環境へのサイバ…
はじめに 生成 AI 統合 IDE「Cursor」は VS Code をベースに、ChatGPT や Claude など複数モデルを扱える統合開発環境です。一方、利用時にソースコードやプロンプトがクラウドに送信されるため、どのプランでどこまで守られるのかが導入判断の焦点になりま…
マネージドサービス部 佐竹です。本ブログでは「AWS WAF 適用環境におけるペネトレーションテストの目的2つと、それに応じた対応方法5つを整理して記載しました。また、WafCharm を利用している場合の考慮事項についても合わせて述べ、特に「例外IPリスト」…
マネージドサービス部 佐竹です。本ブログは AWS WAF を基礎から学ぶ初学者向けにできるだけわかりやすく、各コンポーネントや用語、仕様について記載しました。本ブログで AWS WAF の基本が少しでも理解頂ければ嬉しく思います。
マネージドサービス部 佐竹です。本記事では、WafCharm Advanced Rule ポリシーの AWS 環境における構成と実装に焦点を当て、Advanced の環境構成図を具体的に示しました。また従来の Legacy Rule ポリシーとの違いを明確にしながら、実装を成功させるために…
こんにちは。 アプリケーションサービス部、DevOps担当の兼安です。 今回は、AWS Config自体の設定変更を監視する方法についてお話しします。 本記事のターゲット セキュリティの担保と維持 AWS Configとは AWSリソースのインベントリ管理 コンプライアンス…
マネージドサービス部 佐竹です。本ブログでは、AWS マーケットプレイス版の WafCharm でメンバーアカウントの作成が必要となる背景と、構築用メンバーアカウントを発行する手順、そして注意点をまとめました。WafCharm の初期構築・実装に関わるメンバーの…
