Successfully reported this slideshow.
Your SlideShare is downloading. ×

AWS_reInforce_2022_reCap_Ja.pdf

Ad
Ad
Ad
Ad
Ad
Ad
Ad
Ad
Ad
Ad
Ad
Upcoming SlideShare
AWS re:Inforce 2021 re:Cap 1
AWS re:Inforce 2021 re:Cap 1
Loading in …3
×

Check these out next

1 of 42 Ad

AWS_reInforce_2022_reCap_Ja.pdf

Download to read offline

2022/10/6 AWS re:Inforce 2022 日本向けまとめセミナーでの セッション資料です。
https://pages.awscloud.com/JAPAN-event-OE-EIB22-WWSO-Security-20221006-reg-event.html

2022/10/6 AWS re:Inforce 2022 日本向けまとめセミナーでの セッション資料です。
https://pages.awscloud.com/JAPAN-event-OE-EIB22-WWSO-Security-20221006-reg-event.html

Advertisement
Advertisement

More Related Content

Advertisement

AWS_reInforce_2022_reCap_Ja.pdf

  1. 1. © 2022, Amazon Web Services, Inc. or its affiliates. All rights reserved. © 2022, Amazon Web Services, Inc. or its affiliates. All rights reserved. AWS re:Inforce 2022 re:Cap Hayato Kiriyama | 桐山 隼人 Head of Security Sales, Japan, Worldwide Specialist Organization
  2. 2. © 2022, Amazon Web Services, Inc. or its affiliates. All rights reserved. AWS re:Inforce 2022 動画や資料へのリンク [AWS Security Blog] AWS re:Inforce 2022: Key announcements and session highlights https://aws.amazon.com/blogs/security/aws-reinforce-2022-key-announcements-and-session-highlights/ セッション録画へのリンク AWS re:Inforce 2022 Keynote Leadership Sessions Data Protection and Privacy track Governance, Risk, and Compliance track Identity and Access Management track etwork and Infrastructure Security track Threat Detection and Incident Response track Partner Lightning Talks セッション資料へのリンク AWS Event Contents
  3. 3. © 2022, Amazon Web Services, Inc. or its affiliates. All rights reserved. © 2022, Amazon Web Services, Inc. or its affiliates. All rights reserved. AWS re:Inforce 2022 Keynote Summary 基調講演まとめ
  4. 4. © 2022, Amazon Web Services, Inc. or its affiliates. All rights reserved. AWS re:Inforce 2022 Keynote AWSセキュリティとコンプライアンスに関する最大規模のカンファレンス 2022年7月25, 26日にボストンで開催され6000人以上が参加した • 参加者は基本的な内容は知っているとい う前提で、セッションを構成 • Circuit trainingという新しい学習形態の 実施。45分毎に3つのパートをローテー ション • ソリューションを学ぶ • どのように活用されるかを見る • 自分でサンプル実装してみる • インシデントレスポンストレーニングな どで実施されるやり方
  5. 5. © 2022, Amazon Web Services, Inc. or its affiliates. All rights reserved. AWS re:Inforce 2022 Keynote Amazon GuardDuty は毎日学習しているサービス。企業毎に独自のセキュリティ検 出事項を作成するより、Amazon の規模で学習している検出事項を活用しましょう • AWS では毎日50個の問題報告チケットや 機能開発要望に対処 • 毎日ある10億のユースケースの中で、1つ でも日常業務に影響を与えるものがあれ ば学習に取り込む • Amazon では毎月何千兆ものイベントを 追跡 • 未知の脅威が発見されても、AWS 利用者 にとって数分後、数時間後には既知に なっている “At our scale, every outlier scenario that can happen does” – Stephen Schmidt, Amazon CSO
  6. 6. © 2022, Amazon Web Services, Inc. or its affiliates. All rights reserved. AWS re:Inforce 2022 Keynote AWS にいるセキュリティガーディアンとは、セキュリティ専門チームではなく、 開発チームにいるエンジニアなど。セキュリティは運用だけでなく開発サイクルから • セキュリティガーディアンはサービス開発 の最初から関与 • AWS のやり方を AWS 利用者の皆様にもお 勧めしたい • MongoDB 社が実施しているセキュリティ チャンピョンプログラムも同様の取り組み
  7. 7. © 2022, Amazon Web Services, Inc. or its affiliates. All rights reserved. AWS re:Inforce 2022 Keynote 「人を重要データから切り離す」重要データにアクセスできるのはツールのみ セキュリティツールが効果的なのは多層防御の全体戦略において使用される時
  8. 8. © 2022, Amazon Web Services, Inc. or its affiliates. All rights reserved. AWS re:Inforce 2022 Keynote ビジネス責任者がセキュリティ責任者でなくてはならない。セキュリティ専門家は ビジネス責任者と定期的に接し、セキュリティニーズが満たされているか確認する • とある買収した会社との最初のセキュリティ ミーティングで、買収先企業からセキュリティ 責任者しか現れなかった • CEO がすぐにミーティングを中断し、 セキュリティオーナーシップは組織全体 の問題と語り、ビジネス責任者の出席を求めた • 10分後、買収先ビジネス責任者が中央最前列 に座っていた。次の10分間はセキュリティ 文化を醸成する方法を議論した “We have a weekly security meeting with our CEO. It’s a meeting, but more than that. It’s actually a mechanism that reinforces our security culture” – CJ Moses, AWS CISO
  9. 9. © 2022, Amazon Web Services, Inc. or its affiliates. All rights reserved. AWS re:Inforce 2022 Keynote セキュリティチームは、事業部に「No」という組織から「Yes but/Yes and」組織へ 文化をメカニズムに落とし込むにも多様性が必要。多様性が多様性を生む
  10. 10. © 2022, Amazon Web Services, Inc. or its affiliates. All rights reserved. AWS re:Inforce 2022 Keynote AWS の新しいセキュリティコンピテンシーパートナープログラムの発表 AWS Level 1 MSSP パートナーはフルマネージド型セキュリティサービスを提供 [AWS Level 1 MSSP Competency Partner: SKYARCH NETWORKS INC] https://partners.amazonaws.com/partners/001E000000dI8zwIAC/
  11. 11. © 2022, Amazon Web Services, Inc. or its affiliates. All rights reserved. AWS re:Inforce 2022 Keynote AWS Marketplace Vendor Insight の Preview が開始 ベンダー評価が効率的に継続的に行われ、管理画面上で評価結果を参照できる • AWS Config や AWS Audit Manager を 利用した評価結果を表示 • SOC 2 や ISO 27001 などの第三者機関 監査による認証結果も表示 • これらにより、AWS 利用者が8週間から 10週間の調達サイクルを短縮できるよう にすることが目標
  12. 12. © 2022, Amazon Web Services, Inc. or its affiliates. All rights reserved. AWS re:Inforce 2022 Keynote AWS 環境上のワークロードの PCI DSS 準拠に関する アシュアランス、リスク、コンプライアンス専門家向け学習プログラム • 情報システム監査などの国際団体である ISACA との共同開発 • PCI DSS 3.2.1(2022年7月時点最新)の12 要件を基にした教育コンテンツとワーク ショップ
  13. 13. © 2022, Amazon Web Services, Inc. or its affiliates. All rights reserved. AWS re:Inforce 2022 Keynote AWS でも使用しているセキュリティ意識向上トレーニングの無償公開 アカウント保護には多要素認証(MFA)セキュリティキーの使用を強く推奨 • 米国在住かつ過去90日間毎月$100以上 利用者には無償で MFA セキュリティ キーを提供 • 上記条件に該当しない場合でも以下から MFA キーを調達することを推奨 • https://aws.amazon.com/jp/iam/featur es/mfa/ MFA Token Ordering Portal https://console.aws.amazon.com/securityhub/home/#/free-mfa-security-key
  14. 14. © 2022, Amazon Web Services, Inc. or its affiliates. All rights reserved. AWS re:Inforce 2022 Keynote 脅威モデリングの背景やツール、テクニックを基に、 システム設計、脅威特定、緩和策の選定などを学ぶワークショップ • 脅威モデルを考慮してサービスを設計構 築する際の基本(Level 100)を学ぶ • AWS Workshop Studio や AWS Skill Builder からアクセス可能 • ワークショップ完了目安約3時間 • 少人数グループでの実施を推奨 [AWS Workshop Studio] Threat modeling the right way for builders https://catalog.workshops.aws/threatmodel/
  15. 15. © 2022, Amazon Web Services, Inc. or its affiliates. All rights reserved. AWS re:Inforce 2022 Keynote NIST (米国立標準技術研究所)が発表したポスト量子暗号標準を AWS はサービス設計 に取り入れている。ハイブリッドポスト量子暗号鍵交換を一部サービスで利用可能 • 量子コンピューティング時代の暗号化 方式を検討する時期に来ている • ハイブリッドポスト量子暗号鍵交換を s2n(signal-to-noise)ライブラリに実装 • TLS 接続オプションとして、このような ポスト量子暗号アルゴリズムを以下、 3サービスで選択可能(今後サポート対象 は拡大予定) • AWS Key Management Service • AWS Certificate Manager • AWS Secrets Manager [GitHub] aws/s2n-tls https://github.com/aws/s2n-tls
  16. 16. © 2022, Amazon Web Services, Inc. or its affiliates. All rights reserved. AWS re:Inforce 2022 Keynote • データ保護要件をスケールする環境で継続的に満たすにはAWS KMSの利用 • 自動推論による証明可能なセキュリティは多くの検証や評価を容易にした* • リソース所有するアカウント自体を保護するにはMFAがベストプラクティス *IAM Access Analyzer, VPC Network Access Analyzer, VPC Reachability Analyzer, CodeGuru, S3 Block Public Access, Inspector Network Reachability
  17. 17. © 2022, Amazon Web Services, Inc. or its affiliates. All rights reserved. © 2022, Amazon Web Services, Inc. or its affiliates. All rights reserved. New Service Update 新サービス紹介
  18. 18. © 2022, Amazon Web Services, Inc. or its affiliates. All rights reserved. © 2022, Amazon Web Services, Inc. or its affiliates. All rights reserved. AWS IAM Roles Anywhere
  19. 19. © 2022, Amazon Web Services, Inc. or its affiliates. All rights reserved. AWS IAM Roles Anywhere とは ▪ AWS 環境外にあるワークロードから AWS リソースにアクセスさせる仕組み ▪ AWS 環境と同じ IAM ポリシーとルールを使用できる ▪ 一時的なクレデンシャルを得るため X.509 証明書を Root of Trust (信頼の基点) として使用する IAM Roles Anywhere IAM roles + = AWS 環境外の ワークロード
  20. 20. © 2022, Amazon Web Services, Inc. or its affiliates. All rights reserved. AWS IAM Roles Anywhere を何故使うべきか? 安全性 一時的クレデンシャルを得る ことで、AWS アクセスキー を長期間保持する必要がなく なる 運用コストの削減 既存 AWS ワークロード と同じアクセス管理、 デプロイパイプライン、 テストプロセス を使用できる 効率的な移行 AWS環境外ワークロードの AWS環境への移行を簡単に する
  21. 21. © 2022, Amazon Web Services, Inc. or its affiliates. All rights reserved. 公開鍵基盤 (Public key infrastructure) Certificate authority (CA) Private key Workloads Issue IAM Roles Anywhere X.509 certificate Use Sign with
  22. 22. © 2022, Amazon Web Services, Inc. or its affiliates. All rights reserved. AWS IAM Roles Anywhere の利用 Outside of AWS AWS Cloud Applications Hybrid cloud use cases Compute Lambda function Bucket Model Container Task Table Data lake Encrypted data Instance Public key infrastructure (PKI) IAM Roles Anywhere
  23. 23. © 2022, Amazon Web Services, Inc. or its affiliates. All rights reserved. © 2022, Amazon Web Services, Inc. or its affiliates. All rights reserved. Amazon Detective
  24. 24. © 2022, Amazon Web Services, Inc. or its affiliates. All rights reserved. Amazon Detective 新機能 • Amazon Detective は Amazon Elastic Kubernetes Service (Amazon EKS) ク ラスタに対するセキュリティ調査において、コンテナワークロードに対する 潜在的な脅威を表す疑わしい振る舞いを分析・調査し、根本原因を特定しま す EKSクラスタにまつわるセキュリティ検出事項、たとえば、暗号通貨マイニング、意図 しない管理者権限の露出、EC2ノードへのアクセスを許す間違ったコンテナ構成、コン テナクラスタの感染時によくある特徴的な振る舞い、などを調査 Amazon EKS 特有の活動、たとえば、Podのボリュームの特徴やコンテナサービスユー ザーアクティビティなどのEKS クラスタ内外の逸脱した振る舞いを確認 [AWS re:Inforce 2022 Session] Using Amazon Detective to improve security investigations https://www.youtube.com/watch?v=vd_VHg6-xWc&t=941s
  25. 25. © 2022, Amazon Web Services, Inc. or its affiliates. All rights reserved. Detective がサポートする EKS リソース EKS audit logs CloudTrail Flow logs GuardDuty findings EKS cluster X X X X Kubernetes pod X X Container image X X Kubernetes subject X X AWS account X X X X IAM user X X X IAM role X X X Role session X X X X EC2 instance X X X X IP address X X X X User agent X X S3 bucket X X 新しい 検出結果 タイプ
  26. 26. © 2022, Amazon Web Services, Inc. or its affiliates. All rights reserved. © 2022, Amazon Web Services, Inc. or its affiliates. All rights reserved. Amazon GuardDuty
  27. 27. © 2022, Amazon Web Services, Inc. or its affiliates. All rights reserved. エージェントインストール、 更新、管理の必要なし パフォーマンス影響や EC2分の隠れたコスト増 も無い ワンクリックで組織全体 にマルウェアファイル 検知を有効化 統合された 自動的な 監視・調査 コンテキストベースの検出で 疑わしい振る舞いを検証 コンテナ対応 Amazon GuardDuty Malware Protection D E L I V E R S A G E N T L E S S D E T E C T I O N O F M A L W A R E O N A W S W O R K L O A D S [AWS re:Inforce 2022 Session] Introducing Amazon GuardDuty Malware Protection https://www.youtube.com/watch?v=9wCxAZtrjpw
  28. 28. © 2022, Amazon Web Services, Inc. or its affiliates. All rights reserved. GuardDuty Malware Protection の対象範囲 • GuardDuty が潜在的に感染した可能 性のある Amazon EC2 インスタンス の活動を検知すると自動的にスキャ ン開始 • 一つのEC2インスタンスにおけるス キャン間隔は24時間。GuardDuty に よる検出が複数回あったとしても、 前回のスキャンから24時間未満であ れば追加のスキャンは開始されない マルウェアスキャンの 実行タイミング Amazon EC2 instances Amazon EC2 対象範囲 Amazon ECS Amazon EKS Amazon EC2 上で独自に 管理しているコンテナ
  29. 29. © 2022, Amazon Web Services, Inc. or its affiliates. All rights reserved. AWS Security Hub でのデータの流れ GuardDuty Malware Protection 検出結果も統合 その他、AWS パートナーソリューション その他、AWS サービス 修正アクション Findings 対応パートナー その他、AWS パートナー ソリューション その他、AWS セキュリティサービス
  30. 30. © 2022, Amazon Web Services, Inc. or its affiliates. All rights reserved. © 2022, Amazon Web Services, Inc. or its affiliates. All rights reserved. Amazon Macie
  31. 31. © 2022, Amazon Web Services, Inc. or its affiliates. All rights reserved. © 2022, Amazon Web Services, Inc. or its affiliates. All rights reserved. Amazon Macie : Amazon S3 オブジェクト内の機微なデータ をワンクリックで一時的に参照可能に • セキュアに Amazon S3 オブジェクト内の機微データを調査・検証し、必要な アクションを素早く取れる • この新機能で取得される全ての機微データは、 AWS Key Management Service (AWS KMS) のカスタマーマネージドキーで暗号化され、Amazon Macie 管理 画面から一時的に参照できる
  32. 32. © 2022, Amazon Web Services, Inc. or its affiliates. All rights reserved. © 2022, Amazon Web Services, Inc. or its affiliates. All rights reserved. Wickr
  33. 33. © 2022, Amazon Web Services, Inc. or its affiliates. All rights reserved. 多機能のコラボレーション製品 低帯域幅環境も考慮した多種デバイス(モバイル、 デスクトップ)アクセス エンタープライズ向け管理者用コントロールや IT統合 データ保持やプライバシー保護などの コンプライアンスサービス 認証連携したSaaS、独自ホスト、エア ギャップなどのデプロイオプション 最先端のエンドツーエンド暗号化 VPNや特別なソフトウェアがなくても 個人端末からセキュアに運用 AWS Wickr [AWS re:Inforce 2022 Session] Using AWS Wickr (preview) for secure communications https://www.youtube.com/watch?v=nbHPWK5NR-4
  34. 34. © 2022, Amazon Web Services, Inc. or its affiliates. All rights reserved. 更に 拡張性高く アクセスしやすく 使いやすく サービス品質 サポート デリバリー の向上 進化した セキュリティ機能 開発者ツール データ駆動型の ツールと システム 利用者が データアクセス を完全に統制 Better together. ゼロトラスト に対する より強力な サポート 効果的な インシデント レスポンス
  35. 35. © 2022, Amazon Web Services, Inc. or its affiliates. All rights reserved. © 2022, Amazon Web Services, Inc. or its affiliates. All rights reserved. AWS WAF
  36. 36. © 2022, Amazon Web Services, Inc. or its affiliates. All rights reserved. AWS WAF SQLi ルールの感度レベル追加 • 高・低 2種類の感度レベルを提供 • 現行 SQLi ルールのデフォルト値は低感度 • 高感度ルールはより多くのSQLi シグニチャが有効 • 高感度ルールを推奨 [AWS Japan Blog] AWS WAF で SQL インジェクションルールステートメントの感度レベルを追加 https://aws.amazon.com/jp/about-aws/whats-new/2022/07/aws-waf-sensitivity-alevels-sql-injection-rule-statements/
  37. 37. © 2022, Amazon Web Services, Inc. or its affiliates. All rights reserved. © 2022, Amazon Web Services, Inc. or its affiliates. All rights reserved. AWS Network Firewall
  38. 38. © 2022, Amazon Web Services, Inc. or its affiliates. All rights reserved. AWS Network Firewall Prefix Lists [AWS Japan Blog] AWS Network Firewall が VPC プレフィックスリストのサポートを開始 https://aws.amazon.com/jp/about-aws/whats-new/2022/07/aws-network-firewall-vpc-prefix-lists/
  39. 39. © 2022, Amazon Web Services, Inc. or its affiliates. All rights reserved. © 2022, Amazon Web Services, Inc. or its affiliates. All rights reserved. AWS IAM Identity Center
  40. 40. © 2022, Amazon Web Services, Inc. or its affiliates. All rights reserved. AWS SSO は AWS IAM Identity Center へ • 従業員のIDの作成や接続を一元的に管理 し、AWS 環境に安全にアクセスさせる • 使用する IDソース は自由に選択可能 • マルチアカウント環境にて、拡張性に富 んだきめ細かいアクセス許可を管理 • AWS やその他クラウドのアプリケー ションへ割り当てるアクセスを管理 変更されたもの サービス名 コンソール名 コンソールナビゲー ションの改善 変更されていないもの 技術的な変更無し API の変更無し
  41. 41. © 2022, Amazon Web Services, Inc. or its affiliates. All rights reserved. AWS IAM Identity Center 動作概要 One place for workforce identities Identity Center directory Microsoft Active Directory Domain Services Okta Universal Directory Microsoft Azure Active Directory Other SAML 2.0 & SCIM 2.0 compatible IdP One place to manage permissions Access AWS accounts One place to manage application access Access AWS integrated apps SAML 2.0 apps Authenticate Sync Multi-account permissions Application assignments Choose your identity source
  42. 42. © 2022, Amazon Web Services, Inc. or its affiliates. All rights reserved. Top 5 Attended Sessions • AWS Identity and Access Management (IAM) deep dive • Crawl, walk, run: Accelerating security maturity • What’s new with AWS threat detection services • An overview of AWS firewall services and where to use them • Automating patch management and compliance using AWS

×