AWSセキュリティアップデートとAWSを育てる話

Transcript

1. 1 AWSセキュリティアップデートと AWSを育てる話 うすだけいすけ ハッシュタグ: #cmregrowth

2. 2 こんにちは、臼田です。 みなさん、 AWSのセキュリティ対策してますか？(挨拶

3. 3 自己紹介 臼田佳祐(うすだけいすけ) ・クラスメソッド株式会社 / クラウド事業本部 シニアソリューションアーキテクト セキュリティチームリーダー 2021 APN

   Ambassador 2025 APN AWS Top Engineers (Security) AWS Security Hero (2023~) ・CISSP ・Security-JAWS運営 ・好きなサービス: Amazon GuardDuty AWS Security Hub Amazon Detective みんなのAWS (技術評論社) Amazon GuardDuty AWS Security Hub Amazon Detective

4. 4 今日のテーマ とりあえずセキュリティ系の アップデート全般を押さえつつ その他の話もするよ

5. 5 アジェンダ • アップデート一覧 • AWS Security Agentで育てよう • IAM

   Policy Autopilotを使おう • Amazon GuardDuty Extended Threat Detectionでまとめよう • (新しい)AWS Security Hubの正式料金 • 育てる話

6. 6 アップデート一覧

7. 7 メインのアップデート • OSSでIAM Policy Autopilotがリリース • AWS Security Agentリリース（プレビュー）

   • Amazon GuardDuty Extended Threat Detectionリリース • AWS Security Hubリリース（リアルタイム分析・ リスク優先順位付け）

8. 8 その他のアップデート 1/3 • CloudWatch統合管理 • AWS Security Incident Response

   AI調査機能 • Amazon GuardDuty Malware Protection for AWS Backup • AWS DevOps Agentリリース • WAF Web Bot Authサポート • VPC暗号化制御リリース • Payments Cryptographyポスト量子暗号対応

9. 9 その他のアップデート 2/3 • Network Firewall Proxyリリース（プレビュー） • S3 Block

   Public Access組織レベル適用 • Route 53 Global Resolverリリース（プレビュ ー） • ALB/NLBポスト量子鍵交換対応 • AWS Support Plans AI機能追加 • Clean Rooms合成データ生成 • Route 53 Accelerated Recoveryリリース • S3 ABAC対応

10. 10 その他のアップデート 3/3 • IAM Outbound Identity Federation • Lambda

    Tenant Isolation Mode • Control Tower Controls専用エクスペリエンス • Control Tower自動アカウント登録 • Secrets Manager Managed External Secrets • Amazon Detective PrivateLink対応 • CloudTrailイベント集約とインサイト • Control Tower Landing Zone 4.0

11. 11 AWS Security Agentで育てよう

12. 12 AWS Security Agent 機能は3つ • 設計書のセキュリティレ ビュー • アプリケーションコード

    のセキュリティレビュー • 侵入テスト https://dev.classmethod.jp/articles/aws-security-agent-public-preview-reinvent-2025/

13. 13 AWS Security Agentで育てる セキュリティ診断を年に1回の外部診断だけにしないで 開発サイクルの中でセキュリティのチェックをしてアプ リを育てていこう

14. 14 IAM Policy Autopilotを使おう

15. 15 IAM Policy Autopilot OSSでGitHub公開 機能は2つ • generate-policies(ア プリケーションコード からポリシー生成)

    • fix-access- denied(エラーメッセ ージからポリシー修正) https://dev.classmethod.jp/articles/iam-policy-autopilot-generate-iam-policies-code/

16. 16 IAM Policy Autopilotを使おう • generate-policies(アプリケーションコードからポ リシー生成) • Python、TypeScript、Goのコードからポリシー生成 •

    ガンガン使おう • fix-access-denied(エラーメッセージからポリシー 修正) • エラーメッセージだけ渡せば修正案の提示と修正もでき る • ガンガン使おう

17. 17 Amazon GuardDuty Extended Threat Detection でまとめよう

18. 18 Amazon GuardDuty Extended Threat Detection 複数のセキュリティイ ベントをまとめる拡張 脅威検出の追加機能 •

    ECSクラスター • EC2グループ https://dev.classmethod.jp/articles/amazon-guardduty-ecs-ec2-extended-threat-detection/

19. 19 Amazon GuardDuty Extended Threat Detectionでまとめよう 特にEC2については複数台のインスタンスで発生した同 じ事象を下記法則でグルーピングできるようになった いい感じにまとめられるので活用しよう AutoScaling

    グループ IAM instance profile role AWS CloudFormation Stack Amazon EC2 起動テンプレート AMI or VPC ID

20. 20 (新しい) AWS Security Hubの 正式料金

21. 21 AWS Security Hubが正式リリース 真の意味でセキュリテ ィサービスをまとめる 追加機能 • ダッシュボードの機 能追加

    • ニアリアルタイムの リスク分析 • パートナー統合機能 の拡張 https://dev.classmethod.jp/articles/aws-reinvent-2025-aws-securityhub-ga/

22. 22 料金と料金試算に注意 連携するGuardDutyや Inspectorの料金も Security Hub側で計算され る リソース数で高くなったり安 くなったりする 試算はめっちゃ高く見えるが

    実際の価格ではない https://dev.classmethod.jp/articles/new-aws-security-hub-usoyaro-price/

23. 23 育てる話

24. 24 育てる話 • AWS Security AgentやAWS Security Hubを検 証していて思ったこと •

    「レポートをPDFにしたい」「日本語化はよ」「攻 撃的なリクエスト無しにしたい」 • 「料金試算もっとちゃんとしてほしい」「可視化の 相関付けを強化してほしい」「修復までの一連の運 用をできるようにしてほしい」 • いっぱい要望が上がる

25. 25 育てる話 • 「たいした機能じゃないから使わない」ではなく使 ってガンガンフィードバックするのが大事 • AWSはフィードバックを非常に大事にする • 「自分の色に染める」くらいフィードバックしよう •

    日本のユーザーの声を沢山届けよう • 例えば診断結果レポートにロゴを入れたいとか日本企業 っぽい

26. 26 みんなで AWSサービスを育てよう

27. 27