Classmethod_regrowth_2024_tokyo_security_identity_governance_summary

Transcript

1. 2024/12/10 芦沢 広昭 クラスメソッド re:Growth 2024 東京 5分でわかる最新のAWSセキュリティガバナンス 〜Security, Identity

   & Governance関連アプデまとめ〜

2. 注意事項 ‧5分LTにつきスライドは早めに送ります ‧スライドは既にブログで公開済みです（多分）

3. ⾃⼰紹介 芦沢 広昭 (あしざわひろあき) • 所属 ◦ AWS事業本部コンサルティング部 • ⼊社

   ◦ 2021年 9⽉ • ⼀番興奮したアップデート ◦ declarative policy for EC2 • 楽しかったイベント ◦ AWS re:Play

4. 今年のre:Invent の セキュリティ系アップデートは6個！ • [新サービス] AWS Security Incident Response •

   [新機能] GuardDuty Extended Threat Detection(拡張脅威検出) • [機能拡張] Verified Access がTCP経由での接続をサポート(Preview) • [新機能] OpenSearch ServiceとSecurity LakeがZero-ETL 統合をサポート • [新機能] Orgnaizationsに宣⾔型ポリシー(declarative policies) が登場 • [新機能] Control Towerが宣⾔型ポリシー(declarative policies) をサポート ※2024/12/1〜2024/12/6(現地時間)までのアップデート ⾚字は個⼈的イチオシアップデート

5. 今年のre:Invent予選落ち セキュリティ系アップデートは9個！ • [新機能] Orgnaizations にRCP(resource control policies) が登場 •

   [新機能] CloudTrail Lake のAI を活⽤した⾃然⾔語によるクエリ⽣成機能がGA • [新機能] Control Tower がRCP(resource control policies) をサポート • [新機能] Orgnaizations にRoot access management が登場 • [新機能] CloudTrail Lake のダッシュボード追加、イベントデータストアのアカウント共有 • [機能拡張] Resource Explorer でセキュリティ‧運⽤などの追加項⽬が確認可能に • [機能拡張] Control Tower にコントロールドリフトを解決するAPI が追加 • [機能拡張] Control Tower ランディングゾーン設定にAWS Backup が追加 • [新機能] AWS Artifact に対するきめ細かなアクセス許可が利⽤可能に ⾚字は個⼈的イチオシアップデート ※2024/11/14〜2024/11/31(現地時間)までのアップデート

6. 本セッションでやること 制限時間(5分)内に re:Inventアプデ + おすすめの予選落ちアプデ を 時間の許す限り紹介します！

7. 個⼈的なイチオシアップデートから紹介 • [新機能] Orgnaizationsに宣⾔型ポリシー(declarative policies) が登場 • [新機能] Orgnaizations にRCP(resource

   control policies) が登場 • [新機能] Orgnaizations にRoot access management が登場 • [機能拡張] Control Tower ランディングゾーン設定にAWS Backup が追加 re:Invent 予選落ち 予選落ち 予選落ち

8. [新機能] Orgnaizationsに宣⾔型ポリシー(declarative policies) が登場 • サービスのベースライン構成を指定して組織全体に適⽤できる新しいガバ ナンス機能。現在はEC2系のサービス(EC2,VPC,EBS)のみをサポート。 • APIレベルでアクセスを制限する承認ポリシー（SCPやRCP）と異なり、 サービスのコントロールプレーンで直接構成を指定するため、新機能やAPI

   追加時に抜け漏れがない柔軟性の⾼さが強み。 リンク：https://dev.classmethod.jp/articles/aws-organizations-declarative-policies-available/ re:Invent

9. [新機能] Orgnaizations にRCP(resource control policies) が登場 • 組織内のアカウントに対するリソースへのアクセスを制限する新しい承認 ポリシーの1つ。 •

   従来のSCPは組織内のIAMプリンシパルのAPI実⾏を制限する⼀⽅、RCPは 組織内のAWSリソースへのAPI実⾏を制限する。 • 現在はS3、STS、KMS、SQS、Secrets Managerをサポート。 リンク：https://dev.classmethod.jp/articles/organizations-resource-control-policies-rcps/ 予選落ち

10. [新機能] Orgnaizations にRoot access management が登場 • Organizations管理アカウントからメンバーアカウントに対し 「ルートユーザー認証情報の削除」「S3バケットポリシーの削除」 「SQSキューポリシーの削除」というルートユーザー特有の操作が実⾏で

    きるようになった。 リンク：https://dev.classmethod.jp/articles/root-access-management/ 予選落ち

11. [機能拡張] Control Tower ランディングゾーン設定にAWS Backup が追加 • Control Towerランディングゾーンの設定に「AWS Backup」の項⽬が追加

    • 初期設定時、Security OUに新しく中央バックアップアカウントと バックアップ管理者アカウントを追加する必要がある • 頻度を表すタグを付与するとリソースのバックアップが取得される(はず) リンク ：https://docs.aws.amazon.com/controltower/latest/userguide/backup.ht ml 予選落ち

12. 本セッションでやること イチオシはここまで ここからre:Inventアプデの残り

13. [新サービス] AWS Security Incident Response • AWS上のセキュリティインシデント発⽣時に、AWSのCIRTチームが 24時間365⽇の有⼈サポートを提供するサービス。 • GuardDutyや3rd

    Party製品(CrowdStrike, TrendMicroなど)からの情報を AWS Security Hub経由で収集、インシデント対応に利⽤。 • 料⾦は⽉額7,000 USDから、ハイエンドなサポートサービス。 リンク：https://dev.classmethod.jp/articles/released-aws-security-incident-response/ re:Invent

14. [新機能] GuardDuty Extended Threat Detection(拡張脅威検出) • 従来は単独で検出されていたイベントを、時系列にまとめて 攻撃のシナリオとして理解できるようになる。 • 具体的には、"Attack

    sequence"と呼ばれる新しい脅威タイプの追加。 IAMクレデンシャルの漏洩やS3データ漏洩などの攻撃シナリオを検出可能。 • 攻撃の全体像の把握、対応の迅速化に役⽴つ。 リンク：https://dev.classmethod.jp/articles/released-amazon-guardduty-extended-threat-detection/ re:Invent

15. [機能拡張] Verified Access がTCP経由での接続をサポート(Preview) • 過去2年間はHTTP/HTTPSのみだったが、新しくTCP接続をサポートすることで SSH / RPD /

    データベース接続 / SMTPなどが利⽤可能に。 • 従来VPNを必要としていた場⾯で、セキュアでシンプルなアクセスが実現可能 に。 • クライアントへの構成ファイル配布 & Clientインストールが別途必要な点に注意。 リンク ：https://dev.classmethod.jp/articles/aws-verified-access-secure-access-resources-non-https-protocols-previ ew/ re:Invent

16. [新機能] OpenSearch ServiceとSecurity LakeがZero-ETL 統合をサポート • 従来のデータ抽出‧変換‧ロード（ETL）プロセスを省略、OpenSearch ServiceからSecurity Lakeのセキュリティデータを直接クエリして分析でき るようになった。あまりクエリされないデータの分析に適している。

    • 似た機能の「Amazon OpenSearch Ingestion」はリアルタイム分析と頻繁 にクエリされるデータの分析に適している。 リンク：https://dev.classmethod.jp/articles/amazon-opensearch-zeroetl-securitylake-ga/ re:Invent

17. [新機能] Control Towerが宣⾔型ポリシー(declarative policies) をサポート • Control Towerコントロールとして宣⾔型ポリシーが早速利⽤可能に • 「VPC

    / EBSスナップショット / シリアルコンソール / AMI」の公開範囲を 制御する4つの宣⾔型ポリシーをサポート ※残り2つは未サポート リンク：https://dev.classmethod.jp/articles/aws-organizations-declarative-policies-available/ re:Invent

18. re:Invent予選落ちアップデート を簡潔に紹介 (1/2) [新機能] CloudTrail Lake のAI を活⽤した⾃然⾔語によるクエリ⽣成機能がGA • クエリ⽣成だけでなくクエリ結果の要約もできるように。対応⾔語は英語のみ。

    [新機能] Control Tower がRCP(resource control policies) をサポート • Control TowerコントロールでもRCPが登場。 [新機能] CloudTrail Lake のダッシュボード追加、イベントデータストアのアカウント共有 • 事前定義されたダッシュボードウィジェットが14個追加(Preview)、リソースベースポリシー を使ったイベントデータストアのクロスアカウント共有が可能に

19. re:Invent予選落ちアップデート を簡潔に紹介 (2/2) [機能拡張] Resource Explorer でセキュリティ‧運⽤などの追加項⽬が確認可能に • リソースのプロパティ情報、コスト、AWS Security

    Hub の検出結果、 AWS Config のコンプライアンス、タイムライン、リソースの関係グラフが確認可能に [機能拡張] Control Tower にコントロールドリフトを解決するAPI が追加 • ResetEnabledControl API が追加され、コントールドリフトをプログラムで解決したり、 API経由でコントロールを再デプロイできるようになった。 [新機能] AWS Artifact に対するきめ細かなアクセス許可が利⽤可能に • これまでは「artifact:Get」というAPIアクションのみだったが、 より細かく分けられるオプションが追加された

20. セキュリティ系アップデート全体像 ◼ re:Invent アップデート(6) • [新サービス] AWS Security Incident Response

    • [新機能] GuardDuty Extended Threat Detection(拡張脅 威検出) • [機能拡張] Verified Access がTCP経由での接続をサポー ト(Preview) • [新機能] OpenSearch ServiceとSecurity Lakeが Zero-ETL 統合をサポート • [新機能] Orgnaizationsに宣⾔型ポリシー(declarative policies) が登場 • [新機能] Control Towerが宣⾔型ポリシー(declarative policies) をサポート ◼ 予選落ち アップデート(9) • [新機能] Orgnaizations にRCP(resource control policies) が 登場 • [新機能] CloudTrail Lake のAI を活⽤した⾃然⾔語によるクエ リ⽣成機能がGA • [新機能] Control Tower がRCP(resource control policies) を サポート • [新機能] Orgnaizations にRoot access management が登場 • [新機能] CloudTrail Lake のダッシュボード追加、イベント データストアのアカウント共有 • [機能拡張] Resource Explorer でセキュリティ‧運⽤などの追 加項⽬が確認可能に • [機能拡張] Control Tower にコントロールドリフトを解決する API が追加 • [機能拡張] Control Tower ランディングゾーン設定にAWS Backup が追加 • [新機能] AWS Artifact に対するきめ細かなアクセス許可が利⽤ 可能に

21. 締めの⾔葉 re:Invent 2024のセキュリティ系アップデートは 早め(年内)にキャッチアップして、 来年6⽉のre:Inforce 2025に備えよう！

22. None