セキュリティ

【AWS re:Inforce 2025】生まれ変わった新 Security Hub による検出と対応 (TDR309-NEW)

マネージドサービス部 佐竹です。 AWS re:Inforce 2025 に現地参加してきましたので、そのログを順番に記述しています。本ブログは TDR309-NEW AWS Security Hub: Detect and respond to critical security issues のセッションレポートです。生まれ変わった…

【AWS re:Inforce 2025】現地参加レポート 2日目 6月17日(火) 佐竹版

マネージドサービス部 佐竹です。AWS re:Inforce 2025 に現地参加してきましたので、そのレポートを日別に記載しています。本ブログは2日目の総まとめとなっています。比較的"日記"の色合いが強い記事となっていますのでお気軽にお読みください。2日目は基調…

【AWS re:Inforce 2025】基調講演のまとめとポイント

マネージドサービス部 佐竹です。本ブログでは AWS re:Inforce 2025 のキーノート `SEC200 Simplifying security at scale` (AWS re:Inforce 2025 - Keynote with Amy Herzog) をナラティブの観点からまとめました。本基調講演は AWS が目指す「セキュリティ…

【AWS re:Inforce 2025】AWSの「回復性への執念」は、逆境への備えをどう支えるか (SEC202)

マネージドサービス部 佐竹です。AWS re:Inforce 2025 に現地参加してきましたので、そのログを順番に記述しています。本ブログは SEC202 How the AWS obsession with resilience helps customers build for adversity のセッションレポートです。特に STS …

【AWS re:Inforce 2025】AWS はいかにして最も安全なクラウドとしてデザインされるのか (SEC201)

マネージドサービス部 佐竹です。AWS re:Inforce 2025 に現地参加してきましたので、そのログを順番に記述しています。本ブログは SEC201 Security foundations: How AWS designs the cloud to be the most secure for your business のセッションレポートで…

【AWS re:Inforce 2025】生成 AI 本稼働のための Bedrock Guardrails ベストプラクティス (SEC228)

マネージドサービス部 佐竹です。AWS re:Inforce 2025 に現地参加してきましたので、そのログを順番に記述しています。本ブログは SEC228 Best practices for evaluating Amazon Bedrock Guardrails for Gen AI workloads のセッションレポートです。

【AWS re:Inforce 2025】現地参加レポート 1日目 6月16日(月) 佐竹版

マネージドサービス部 佐竹です。 AWS re:Inforce 2025 に現地参加してきましたので、そのレポートを日別に記載していきたいと思います。本ブログは1日目の総まとめとなっています。比較的"日記"の色合いが強い記事となっています。

【AWS re:Inforce 2025】自己学習型のコンテンツ AWS SimuLearn で自由会話モードを楽しんだ話

マネージドサービス部 佐竹です。AWS re:Inforce 2025 に現地参加してきました。本ブログは自己学習型のコンテンツ AWS SimuLearn で自由会話モードを楽しんだ話です。このサービスは将来的に、トレーナーのロールプレイの負荷を大きく軽減してくれる可能性…

【AWS re:Inforce 2025】生成 AI が AWS のセキュリティサービスをどう進化させているか (TDR322)

マネージドサービス部 佐竹です。 AWS re:Inforce 2025 に現地参加してきましたので、そのログを順番に記述しています。本ブログは TDR322 How AWS uses generative AI to advance native security services の解説です。

【AWS re:Inforce 2025】GuardDuty と Step Functions で作るマルウェア自動隔離 (COM222)

マネージドサービス部 佐竹です。 AWS re:Inforce 2025 に現地参加してきましたので、そのログを順番に記述しています。本ブログは COM222 Serverless threat response for Amazon S3 malware detection の解説です。

【AWS re:Inforce 2025】セキュリティ人材育成のための AWS Security Champion コース (SEC222)

マネージドサービス部 佐竹です。 AWS re:Inforce 2025 に現地参加してきましたので、そのログを順番に記述しています。本ブログは SEC222 Upskill your team with the AWS Security Champion Learning Plan の解説です。

【AWS re:Inforce 2025】Wiz に学ぶ Cognito を活用した大規模な顧客 ID 基盤移行戦略 (IAM221)

マネージドサービス部 佐竹です。 AWS re:Inforce 2025 に現地参加してきましたので、そのログを順番に記述しています。本ブログは IAM221 Secure and scalable customer IAM with Cognito: Wiz's success story の解説です。

【AWS re:Inforce 2025】Meta 社が AWS Network Firewall を採用した理由 (NIS321)

マネージドサービス部 佐竹です。 AWS re:Inforce 2025 に現地参加してきましたので、そのログを順番に記述しています。本ブログは NIS321 How Meta enabled secure egress patterns using AWS Network Firewall の解説です。

AWS STS のセッションタグを使用したDynamoDBとS3の動的なアクセス制御

こんにちは。 アプリケーションサービス本部 DevOps担当の兼安です。 久しぶりにプログラムの話題を取り上げます。 今回は、AWSのセッションタグを使用して、DynamoDBとS3に対する動的なアクセス制御を実装する方法について紹介します。 概要 AWS セッション…

AWS環境のセキュアな運用方法【AWS Well-Architected Framework】

こんにちは!イーゴリです。 AWS環境のセキュリティについて、4回に分けて解説しています。ぜひ、前回までの記事もご覧ください。 ①セキュアなAWS環境の設計 blog.serverworks.co.jp ②AWS環境のセキュリティ対策 blog.serverworks.co.jp ③AWS環境へのサイバ…

Cursor における各プランのPrivacy Modeとデータ保護について

はじめに 生成 AI 統合 IDE「Cursor」は VS Code をベースに、ChatGPT や Claude など複数モデルを扱える統合開発環境です。一方、利用時にソースコードやプロンプトがクラウドに送信されるため、どのプランでどこまで守られるのかが導入判断の焦点になりま…

AWS WAF 適用環境におけるペネトレーションテストの目的と対応方法を整理する

マネージドサービス部 佐竹です。本ブログでは「AWS WAF 適用環境におけるペネトレーションテストの目的2つと、それに応じた対応方法5つを整理して記載しました。また、WafCharm を利用している場合の考慮事項についても合わせて述べ、特に「例外IPリスト」…

AWS WAF とは何か?その基礎と用語を学ぼう

マネージドサービス部 佐竹です。本ブログは AWS WAF を基礎から学ぶ初学者向けにできるだけわかりやすく、各コンポーネントや用語、仕様について記載しました。本ブログで AWS WAF の基本が少しでも理解頂ければ嬉しく思います。

WafCharm (Advanced) の AWS 環境構成図と実装で押さえておきたいポイント

マネージドサービス部 佐竹です。本記事では、WafCharm Advanced Rule ポリシーの AWS 環境における構成と実装に焦点を当て、Advanced の環境構成図を具体的に示しました。また従来の Legacy Rule ポリシーとの違いを明確にしながら、実装を成功させるために…

AWS Config自体の設定変更をAWS CloudTrail + Amazon EventBridgeで検知してみよう

こんにちは。 アプリケーションサービス部、DevOps担当の兼安です。 今回は、AWS Config自体の設定変更を監視する方法についてお話しします。 本記事のターゲット セキュリティの担保と維持 AWS Configとは AWSリソースのインベントリ管理 コンプライアンス…

構築担当向け: マーケットプレイス版 WafCharm で構築用メンバーアカウントを発行する手順

マネージドサービス部 佐竹です。本ブログでは、AWS マーケットプレイス版の WafCharm でメンバーアカウントの作成が必要となる背景と、構築用メンバーアカウントを発行する手順、そして注意点をまとめました。WafCharm の初期構築・実装に関わるメンバーの…

AWS SSM Agent の自動更新を推奨する理由とその設定方法

マネージドサービス部 佐竹です。本ブログでは、AWS Systems Manager Agent の自動更新が推奨される理由として「セキュリティ」と「機能追加」があることを説明し、続けて、AWS SSM Agent の自動更新設定はマネジメントコンソールから簡単に設定できるため、…

AWS Config 高度なクエリでLambdaランタイムのEOL対象を見つけ出す(+発展)

概要 はじめに Lambdaランタイム EOLとは ランタイム EOLとは EOLスケジュールの確認 Lambdaランタイムの変更方法 高度なクエリでLambda関数を探す 高度なクエリで"タグ"を扱う(発展) 方法1: CLIやBoto3を利用してJSONを処理する 方法2: 詳細情報からクエ…

AWS WAF の COUNT モードのログをクエリする時に httprequest の host を取得したい

マネージドサービス部 佐竹です。本ブログでは AWS WAF の COUNT モードのログを調査のためにクエリする際、`UNNEST(r.nonterminatingmatchingrules)` しながら `httprequest` の host も合わせて取得したいという要望に応えるために DDL と SQL クエリを作…

GuardDutyの抑制ルールを作る

Security Hubになりたい山本拓海です。 GuardDutyの抑制ルールを作ります。 GuardDutyの抑制ルールを作る理由 抑制された検出結果はどうなるか 手順 手順0. サンプル脅威を検出する 手順1. 検出結果の画面でフィルターを作成する 手順2. フィルターを作成し…

Amazon Auroraで、IAMデータベース認証とAWS Secrets Managerによるパスワードの自動ローテーションを設定してみる

こんにちは。 アプリケーションサービス部、DevOps担当の兼安です。 今回は、Amazon AuroraでIAMデータベース認証とAWS Secrets Managerによるパスワードの自動ローテーション、両方を設定してみました。 本記事のターゲット AWSのIAMデータベース認証とは A…

改めて知っておきたいWebサイト開発に関わるセキュリテイの基礎用語

こんにちは、アプリケーションサービス部、DevOps担当の兼安です。 今回は、私なりに、日々開発を進めていく中で知っておいた方がいいなと思うセキュリティ用語を集めてみました。 本記事では、Webサイト開発を想定し、関連するセキュリティ用語を中心に解説…

【AWS re:Invent 2024】最小特権でアウトバウンドトラフィックを制限し、リスクを削減する方法

おばんです!イーゴリです。以下のセッションはご覧になりましたか。この記事では、下記の動画の説明をしますが、私の説明やコメントも交えつつ進めさせていただきますので、正確な内容を確認したい方は以下の動画をご覧ください。 www.youtube.com ネットワ…

2024年11月,12月に Interface VPC Endpoint に関する Security Hub Control が多数追加されました

マネージドサービス部 佐竹です。2024年11月から12月にかけて多数追加されました Security Hub の Interface VPC Endpoint に関するコントロールに対し、セキュリティとコストの観点で注意事項を記載します。特に Interface VPC Endpoint の利用料は「塵も積…

【AWS re:Invent 2024】ポスト量子暗号時代への備え!AWSの取り組みと顧客の一歩。

おばんです!イーゴリです。 以下のセッションはご覧になりましたか。このセッションの1つは「ポスト量子暗号」についてのものでしたので、これについて少し解説させていただきます。急にこのテーマに入るのは難しいかもしれませんので、私の説明やコメント…

新機能 GuardDuty Extended Threat Detection とは何か

マネージドサービス部 佐竹です。AWS re:Invent 2024 期間中のアップデートより、Amazon GuardDuty の新機能である「GuardDuty Extended Threat Detection」をご紹介します。Extended Threat Detectionは、各インシデントごと「バラバラに」ではなく、それぞ…

【Cloud Automator】ジョブワークフローを用いて、EC2インスタンス(Linux)へのパッチ適用を自動化する

カスタマーサクセス部の山﨑です。 近年、多くの企業がAWSクラウドを活用してシステムを構築・運用しています。クラウドの導入により、インフラ管理の負荷が軽減され、ビジネスに集中できるメリットがあります。しかし、クラウド環境でもセキュリティ対策や…

【AWSインシデント対応】Amazon EC2インスタンスの封じ込め方法

こんにちは!イーゴリです。 シナリオ 対策方法 Amazon EC2 インスタンスの隔離方法 ネットワークACLでのトラフックブロック セキュリティグループでのトラフィックブロック 自動化(スクリプト編) Amazon EC2インスタンスの分離の自動化 Amazon EC2 インス…

AWS アカウントの新規作成や組織間の移動、解約等を EventBridge と SNS で Slack へ通知する

マネージドサービス部 佐竹です。本ブログでは AWS Organizations で AWS アカウントを新規に払い出したタイミングや、組織間の移動、解約等のタイミングで Slack へと通知を行うための Amazon EventBridge の設定について記載しています。これらを Slack に…

エラーメッセージ「iam:ChangePassword に対する許可がありません」に関する注意事項

マネージドサービス部 佐竹です。本ブログは「自分の認証情報(My security credentials)」の画面から、コンソールのパスワードを更新する際に、IAM ユーザーに `iam:ChangePassword` のポリシーが適切に付与されているにも関わらず「iam:ChangePassword へ…

GuardDuty Malware Protection for S3で始める、Amazon S3のマルウェア対策

カスタマーサクセス部の山﨑です。 GuardDutyは、AWS環境のセキュリティ監視を行う強力なサービスです。その中の一つであるGuardDuty Malware Protection for S3を活用することで、S3バケットにアップロードされたファイルに対して自動的にマルウェアのスキ…

【MFA問題】自動処理ワークロード用権限にはIAMロールを使いましょう

垣見です。 IAMのベストプラクティスとしてよく聞く「MFA有効化」は自動処理ワークロード用のIAMユーザーには適用するべきなのか気になって調査した結果、「そもそもIAMユーザーではなくIAMロールを使うべし」という結論になりました。 はじめに 用語 結論 M…

AWS Organizations の各ポリシーと継承について整理する (2024年10月版)

マネージドサービス部 佐竹です。2024年10月の最新版として、AWS Organizations における複数の組織ポリシーについて解説しつつ、過去説明した SCP の継承について最新の情報をお伝えします。特に「SCP は継承という用語を利用しなくなった」という点を深掘…

AWS Security Hub の導入手順

こんにちはこんばんは! サーバーワークスの新谷です。 AWSではセキュリティ関連のサービスが多くありますが、構成情報からセキュリティのベストプラクティスに 照らし合わせて評価してくれるツールとして、Security Hub があります。 Hub という名前が付く…

AWS環境へのサイバー攻撃とその対策について

こんにちは!イーゴリです。下記の記事の続きになるので、最初に必ず下記の記事をご覧ください。 パート1: セキュアなAWS環境の設計についての解説 blog.serverworks.co.jp パート2: AWS環境のセキュリティ対策についての解説 blog.serverworks.co.jp インタ…

AWS環境のセキュリティ対策についての解説

こんにちは!イーゴリです。 この記事は下記の記事の続きとなりますので、この記事を読む前に必ず下記の記事をご一読ください。 blog.serverworks.co.jp この記事では、AWSのセキュリティサービスを使うことで自分のAWS環境を守る方法を紹介したいと思います…

全リージョンのデフォルト VPC を削除する Script を AWS CloudShell から実行する

マネージドサービス部 佐竹です。本ブログでは AWS アカウントにおけるセキュリティリスク軽減のための手法の1つである「全リージョンのデフォルト VPC の削除」を AWS CloudShell から Script で行う方法について記載しています。デフォルト VPC の削除は A…

AWS Configルールで使用されていない/アタッチされていないセキュリティグループが自動的に削除される方法

こんにちは!イーゴリです。 以前、AWS Security Hubに「[EC2.22] 未使用の Amazon EC2 セキュリティグループを削除することをお勧めします」という項目がありましたが、AWS Security HubのAWS Foundational Security Best Practices 標準および NIST SP 800…

AWSクラウドでもっともセキュアなデータ消去方法 (暗号化消去)

こんにちは!イーゴリです。 会社のコンプライアンスの要件には、データを消す方法として磁気消去や物理破壊などの方法がありますが、クラウド業界では同じ物理ストレージの中に自分の会社だけではなくお客様のデータも存在している※1ので、磁気消去や物理破…

AWS User Notifications でお手軽に組織の全アカウントの AWS Health を Slack に通知する

マネージドサービス部 佐竹です。マルチアカウント環境下において「AWS User Notifications」と「AWS Chatbot」を用い、お手軽に全 AWS アカウントの AWS Health の情報集約と Slack への通知が可能です。本ブログではその実装方法をステッブバイステップで…

AWS SSM デフォルトホスト管理設定を組織で有効化し Session Manager を利用する場合の注意点

マネージドサービス部 佐竹です。本ブログでは AWS Systems Manager クイックセットアップを利用してデフォルトホスト管理設定(Default Host Management Configuration setting)を AWS Organizations 全体で利用する際の具体的なセットアップ方法をステッ…

セキュアなAWS環境の設計についての解説【2024年版】

こんにちは!イーゴリです。 AWS にとって、クラウドのセキュリティは最優先事項です。(AWS公式ページ) AWS環境のセキュリティ対策としてAWSサービスを解説するよりも、まずはAWS環境の最適な設計について考える必要があります。AWS Well-Architected Framew…

AWSにあるデータを暗号化する必要があるか?

こんにちは!イーゴリです。 「そもそもクラウド上でデータの暗号化が必要か」と疑問に思っている方がいるかもしれませんので、これについて考えてみたいと思います。 結論 質問:AWSにあるデータを暗号化する必要がありますか。 回答:必要です! 終わりー …

AWS のホワイトペーパーに新しい推奨 OU として Business Continuity OU が追加されました

マネージドサービス部 佐竹です。本ブログでは、AWS のホワイトペーパー「Organizing Your AWS Environment Using Multiple Accounts」の「Recommended OUs and accounts」において、11個目の推奨 OU として新たに追加されました「Business Continuity OU」…

徹底解説!Amazon EC2 の「データ保護とセキュリティ」設定で安全なクラウド運用を実現

マネージドサービス部 佐竹です。本ブログでは、AWS におけるセキュリティの向上を目的として、Amazon EC2 の「データ保護とセキュリティ(Data protection and security)」について詳しく解説しています。オプションの1つ1つがなかなかに奥の深いものである…