Security JAWS AWS reInvent 2022 Security reCap 20230228

Hayato Kiriyama
February 28, 2023
AWS re:Invent 2022
Security re:Cap

© 2023, Amazon Web Services, Inc. or its Affiliates. All rights reserved.
氏名：桐山隼人
所属：アマゾンウェブサービスジャパン合同会社
役職：Head of Security Sales, Japan, Worldwide Specialist Organization
自己紹介
@hkiriyam1
2

AWS re:Invent 2022 セキュリティセッション
[基調講演]
Keynote with Adam Selipsky
Adam Selipsky, Chief Executive Officer, AWS
https://www.youtube.com/watch?v=Xus8C2s5K9A
Keynote with Swami Sivasubramanian
Vice President of Data and Machine Learning, AWS
https://www.youtube.com/watch?v=TL2HtX-FmiQ
[リーダーシップセッション]
What we can learn from customers: Accelerating
innovation at AWS Security
C.J. Moses, Chief Information Security Officer, AWS
https://www.youtube.com/watch?v=8MIULUh75v8
[ブレイクアウトセッション]
セキュリティ関連セッションリスト
https://www.youtube.com/playlist?list=PL_EDAAla3DXWe
uauFOzfSdWsyuyaUbW_L
[AWS Security Blog]
Recap to security, identity, and compliance sessions at
AWS re:Invent 2022
https://aws.amazon.com/blogs/security/recap-to-
security-identity-and-compliance-sessions-at-aws-
reinvent-2022/

経済が不確実だからこそのクラウド
インフレ、サプライチェーンの混乱、
半導体不足、エネルギー価格高騰、
パンデミックにより、経済は不確実
費用対効果の高いクラウドでコスト削
減を実現したお客様がたくさんいる
"If you're looking to tighten your belt,
the cloud is the place to do it.“
- Adam Selipsky, CEO, AWS

AWS セキュリティサービス利用の3つの視点

セキュリティデータの標準フォーマットを定義
元来、セキュリティベンダー製品は、
独自の、互換性のないフォーマットで
ログを生成していた
標準データフォーマットを定義するこ
とで、データの分析しやすくなり、
脅威特定の早期化などにつながる

セキュリティチームが簡単に利用できるデータレイク
セキュリティデータは通常、アプリ、
ファイアウォール、IDプロバイダー、
など、環境全体に散らばって存在
Security Lake により、ペタバイト
スケールのセキュリティデータを
自動的に収集し、結合し、分析する
ことを容易にする

Amazon Security Lake 概要
AWS
分析サービス
Open Cybersecurity
Schema Framework
Amazon Security Lake
ツールによる
分析
AWS サービス
取り込みと
データの正規化顧客管理の
データレイク
Subscriber
管理
パートナー
セキュリティ
ソリューション
分析
プラットフォーム
ログデータ

Amazon Security Lake パートナー

N E W
Amazon
Verified
Permissions

Permissions のモデル
Role-based access control (RBAC)
• 直感的で分析しやすい
• きめ細かい権限管理をしようとすると、ロールが意図せず増加
Attribute-based access control (ABAC)
• 柔軟性が高い
• 監査やトップダウンの把握が難しく、一元管理が困難

Policy-based access control (PBAC)
Fine-grained
リソースとユーザーの組み合わせによる細かな制御
Real time
プリンシパルやリソースの現在の属性値に基づくアクセス判断
Scalable
理解しやすく、容易にメンテナンス可能なルール
アプリケーションからの独立性
User-managed access (UMA)
ユーザーによるアクセス管理

PBAC を実現するための言語
直感的で読みやすい
拡張可能でスケーラブル
Cedar 言語を開発
高速で機械的な構文解析に向く
Role based
Attribute
based

ポリシーベースの認可モデル
フロントエンドとバックエンドの分離
アプリケーションの迅速な構築
組み込みの型チェック
データ監視
Application
Application
Amazon Verified Permissions
Application

一元化されたポリシー管理
ポリシーベースの
アクセスコントロール
アプリケーションに基づくスキーマ
アイデンティティプロバイダーから
プロファイルのインポート
サービスのスケーリング
Application
Application

ランタイム認可
少ないリクエストによる
パフォーマンス向上
サービスキャッシュによる
応答時間の短縮
監査証跡
顧客データの
アップデート
Application Amazon Verified
Permissions
権限の確認
{Decision: allow}
Database
Update
database

きめ細やかな権限の監査
AWS CloudTrailで監査証跡を取得
異常なアクティビティの検知
権限管理 API を持つ
監査ツールの提供
外部監査人によるポリシーの評価
AWS
CloudTrail
Amazon Verified
Permissions
ガバナンス
ツール

ユーザー管理のアクセス許可
分散型管理によるスケーリング
アプリケーション権限の割当
権限の変更や利用に関する
完全な監査証跡
読み取り権限を
チームメンバに追加
チームメンバ
権限のアップデート
Application Amazon Verified Permissions
読み取り
アクションの
権限確認

外部化
ポリシーベースの認可モデル
管理
きめ細かな権限設定
簡素化
監査や監視フローの簡素化が可能
分析
アプリケーションの権限を分析
統合
アイデンティティプロバイダー
との同期
アプリケーション構築
動的でリアルタイムな認可
によりゼロトラストを実現

AWS Wickr
メッセージ、ビデオ通話、ファイル共有
など、あらゆるコラボレーション機能を提供
低帯域環境でも利用可能な
マルチデバイスアクセス（モバイル、PC）
エンタープライズレベルの管理統制機能
SaaS、自社ホスト、ネットワーク隔離など
多様な導入オプション
データ保持とデータを永続化しない構成
を備えたデータ保護のサポート
高度なエンドツーエンドの暗号化
特別なソフトウェアや VPN は不要
ID 連携を利用した Single Sign-On 構成可能

VPC flow logs
DNS Logs
CloudTrail Events
データソース
S3 Data Plane Events
EKS control plane logs
Security Analytics
Machine
Learning
Threat
Intelligence
Continuous
learning
Security Findings
Actionable
Accurate
Contextual
統合
Amazon EventBridge
AWS
Security Hub
Amazon
Detective
AWS
Partner
Network
Amazon GuardDuty RDS Protection
Login Events
機械学習技術による、
不審なログインを検出
コンテキスト含む検出結果
- どこからアクセスされた
- ユーザーはデータベースに
過去アクセスしたか

Amazon Inspector for Lambda functions
Lambda 関数と Lambda Layers で使用されるパッケージの依存関係にあるソフトウェア脆弱性 (CVE) を特定
シンプルなワンクリック有効化と
AWS Organizations による
マルチアカウントサポート
脆弱性の一元管理を実現
自動検出と継続的な監視（エージェントレス）
デプロイ時の自動検出
アップデート時
新規 CVE が登録されたとき
Amazon Inspector
注:90 日以内に呼び出されていない古い関数の自動除外に加えて、タグベースの手動除外も可能
Amazon EventBridge
との統合による自動化
検出結果の提供により、
優先順位付けと修復が容易に

Amazon Macie Automated Sensitive Data Discovery
特定の Amazon S3 バケット
を対象とする調査を行う際
の判断指針の可視化
Amazon S3 に保存されている
機微情報を各 AWS アカウント
にわたって費用対効果の高い
方法で幅広く可視化
Amazon S3 バケット内の
オブジェクトを自動的に
サンプリングして分析し、
機微情報がないか検査し、
インタラクティブな
データマップを作成

AWS KMS External Key Store (XKS)

AWS Config Proactive Compliance
• リソースをプロビジョニングする前に、
AWS Config ルールへの準拠をチェック
(発見的統制から予防的統制へ)
• プロビジョニング前にいつでも実行できるた
め、準拠していないリソースの修正に費やす
時間を節約
• AWS Config ルールを、CI/CD パイプラインに組
み込むことで、プロビジョニング前に準拠し
ていないリソースを特定
• AWS コンソールまたは API を使用して
ルールをプロアクティブに実行

AWS re:Invent 2022 Security re:Cap 資料 | 動画
AWS re:Invent Recap アーカイブ
https://aws.amazon.com/jp/events/reinvent-recap/

Security JAWS AWS reInvent 2022 Security reCap 20230228

Recommended

Recommended

More Related Content

Similar to Security JAWS AWS reInvent 2022 Security reCap 20230228

Similar to Security JAWS AWS reInvent 2022 Security reCap 20230228 (20)

More from Hayato Kiriyama

More from Hayato Kiriyama (18)

Recently uploaded

Recently uploaded (14)

Security JAWS AWS reInvent 2022 Security reCap 20230228