Upgrade to Pro
— share decks privately, control downloads, hide ads and more …
Speaker Deck
Features
Speaker Deck
PRO
Sign in
Sign up for free
Search
Search
Classmethod_regrowth_2024_tokyo_security_identi...
Search
h-ashisan
December 10, 2024
Technology
1.7k
0
Share
Embed
Copy iframe code
Copy JS code
Copy link
Start on current slide
Classmethod_regrowth_2024_tokyo_security_identity_governance_summary
h-ashisan
December 10, 2024
More Decks by h-ashisan
See All by h-ashisan
regrowth_tokyo_2025_securityagent
hiashisan
0
710
Tokyo_reInforce_2025_recap_iam_access_analyzer
hiashisan
0
490
OpsJAWS34_CloudTrailLake_for_Organizations
hiashisan
0
940
2024/11/29_失敗談から学ぶ! エンジニア向けre:Invent攻略アンチパターン集
hiashisan
0
870
20241015 Toranomon Tech Hub#1 Service Catalog使ってみた
hiashisan
0
880
Practical-AWS-Security-measures-you-can-implement-now
hiashisan
0
910
20240724_cm_odyssey_hibiyatech
hiashisan
0
660
[2024最新版]AWS Control Towerを使ったセキュアなマルチアカウント環境の作り方
hiashisan
0
1.6k
クラウド利用者の「責任」をどう果たす?AWSセキュリティ対策のススメ #AWSSummit
hiashisan
0
960
Other Decks in Technology
See All in Technology
AIDLC_ヤフーショッピングの取り組み
lycorptech_jp
PRO
0
520
“ID沼入口” - 基本とセキュリティから始める、考え続けるためのID管理技術勉強会 告知&イントロ
ritou
0
390
そのハーネス、本当に境界になっていますか? AIエージェント時代の実行環境設計【MEGU-Meet #4】
cscengineer
PRO
0
110
End-to-Endで考える信頼性 —LINEアプリにおけるクライアント開発×SRE連携の実践
maruloop
3
460
LiDAR SLAMの実装とセンサ融合 ~Lie群からContinuous-Time LIOまで~
naokiakai
1
960
グローバルチームと挑むプロダクト開発
sansantech
PRO
1
150
MySQL & MySQL HeatWave Report - June 2026
freshdaz
0
310
フルカイテン株式会社 エンジニア向け採用資料
fullkaiten
0
11k
Keeping applications secure by evolving OAuth 2.0 and OpenID Connect
ahus1
PRO
1
140
金融の未来を考える / Thinking About the Future of Finance
ks91
PRO
0
150
RAGの精度向上とエージェント活用
kintotechdev
2
130
最近評価が難しくなった
maroon8021
0
220
Featured
See All Featured
ReactJS: Keep Simple. Everything can be a component!
pedronauck
666
130k
Ten Tips & Tricks for a 🌱 transition
stuffmc
0
150
The Power of CSS Pseudo Elements
geoffreycrofte
82
6.3k
So, you think you're a good person
axbom
PRO
2
2.1k
Evolution of real-time – Irina Nazarova, EuRuKo, 2024
irinanazarova
9
1.4k
I Don’t Have Time: Getting Over the Fear to Launch Your Podcast
jcasabona
34
2.8k
HU Berlin: Industrial-Strength Natural Language Processing with spaCy and Prodigy
inesmontani
PRO
0
440
How to make the Groovebox
asonas
2
2.3k
New Earth Scene 8
popppiees
3
2.4k
How to build an LLM SEO readiness audit: a practical framework
nmsamuel
1
800
Discover your Explorer Soul
emna__ayadi
2
1.2k
10 Git Anti Patterns You Should be Aware of
lemiorhan
PRO
659
62k
Transcript
2024/12/10 芦沢 広昭 クラスメソッド re:Growth 2024 東京 5分でわかる最新のAWSセキュリティガバナンス 〜Security, Identity
& Governance関連アプデまとめ〜
注意事項 ‧5分LTにつきスライドは早めに送ります ‧スライドは既にブログで公開済みです(多分)
⾃⼰紹介 芦沢 広昭 (あしざわひろあき) • 所属 ◦ AWS事業本部コンサルティング部 • ⼊社
◦ 2021年 9⽉ • ⼀番興奮したアップデート ◦ declarative policy for EC2 • 楽しかったイベント ◦ AWS re:Play
今年のre:Invent の セキュリティ系アップデートは6個! • [新サービス] AWS Security Incident Response •
[新機能] GuardDuty Extended Threat Detection(拡張脅威検出) • [機能拡張] Verified Access がTCP経由での接続をサポート(Preview) • [新機能] OpenSearch ServiceとSecurity LakeがZero-ETL 統合をサポート • [新機能] Orgnaizationsに宣⾔型ポリシー(declarative policies) が登場 • [新機能] Control Towerが宣⾔型ポリシー(declarative policies) をサポート ※2024/12/1〜2024/12/6(現地時間)までのアップデート ⾚字は個⼈的イチオシアップデート
今年のre:Invent予選落ち セキュリティ系アップデートは9個! • [新機能] Orgnaizations にRCP(resource control policies) が登場 •
[新機能] CloudTrail Lake のAI を活⽤した⾃然⾔語によるクエリ⽣成機能がGA • [新機能] Control Tower がRCP(resource control policies) をサポート • [新機能] Orgnaizations にRoot access management が登場 • [新機能] CloudTrail Lake のダッシュボード追加、イベントデータストアのアカウント共有 • [機能拡張] Resource Explorer でセキュリティ‧運⽤などの追加項⽬が確認可能に • [機能拡張] Control Tower にコントロールドリフトを解決するAPI が追加 • [機能拡張] Control Tower ランディングゾーン設定にAWS Backup が追加 • [新機能] AWS Artifact に対するきめ細かなアクセス許可が利⽤可能に ⾚字は個⼈的イチオシアップデート ※2024/11/14〜2024/11/31(現地時間)までのアップデート
本セッションでやること 制限時間(5分)内に re:Inventアプデ + おすすめの予選落ちアプデ を 時間の許す限り紹介します!
個⼈的なイチオシアップデートから紹介 • [新機能] Orgnaizationsに宣⾔型ポリシー(declarative policies) が登場 • [新機能] Orgnaizations にRCP(resource
control policies) が登場 • [新機能] Orgnaizations にRoot access management が登場 • [機能拡張] Control Tower ランディングゾーン設定にAWS Backup が追加 re:Invent 予選落ち 予選落ち 予選落ち
[新機能] Orgnaizationsに宣⾔型ポリシー(declarative policies) が登場 • サービスのベースライン構成を指定して組織全体に適⽤できる新しいガバ ナンス機能。現在はEC2系のサービス(EC2,VPC,EBS)のみをサポート。 • APIレベルでアクセスを制限する承認ポリシー(SCPやRCP)と異なり、 サービスのコントロールプレーンで直接構成を指定するため、新機能やAPI
追加時に抜け漏れがない柔軟性の⾼さが強み。 リンク:https://dev.classmethod.jp/articles/aws-organizations-declarative-policies-available/ re:Invent
[新機能] Orgnaizations にRCP(resource control policies) が登場 • 組織内のアカウントに対するリソースへのアクセスを制限する新しい承認 ポリシーの1つ。 •
従来のSCPは組織内のIAMプリンシパルのAPI実⾏を制限する⼀⽅、RCPは 組織内のAWSリソースへのAPI実⾏を制限する。 • 現在はS3、STS、KMS、SQS、Secrets Managerをサポート。 リンク:https://dev.classmethod.jp/articles/organizations-resource-control-policies-rcps/ 予選落ち
[新機能] Orgnaizations にRoot access management が登場 • Organizations管理アカウントからメンバーアカウントに対し 「ルートユーザー認証情報の削除」「S3バケットポリシーの削除」 「SQSキューポリシーの削除」というルートユーザー特有の操作が実⾏で
きるようになった。 リンク:https://dev.classmethod.jp/articles/root-access-management/ 予選落ち
[機能拡張] Control Tower ランディングゾーン設定にAWS Backup が追加 • Control Towerランディングゾーンの設定に「AWS Backup」の項⽬が追加
• 初期設定時、Security OUに新しく中央バックアップアカウントと バックアップ管理者アカウントを追加する必要がある • 頻度を表すタグを付与するとリソースのバックアップが取得される(はず) リンク :https://docs.aws.amazon.com/controltower/latest/userguide/backup.ht ml 予選落ち
本セッションでやること イチオシはここまで ここからre:Inventアプデの残り
[新サービス] AWS Security Incident Response • AWS上のセキュリティインシデント発⽣時に、AWSのCIRTチームが 24時間365⽇の有⼈サポートを提供するサービス。 • GuardDutyや3rd
Party製品(CrowdStrike, TrendMicroなど)からの情報を AWS Security Hub経由で収集、インシデント対応に利⽤。 • 料⾦は⽉額7,000 USDから、ハイエンドなサポートサービス。 リンク:https://dev.classmethod.jp/articles/released-aws-security-incident-response/ re:Invent
[新機能] GuardDuty Extended Threat Detection(拡張脅威検出) • 従来は単独で検出されていたイベントを、時系列にまとめて 攻撃のシナリオとして理解できるようになる。 • 具体的には、"Attack
sequence"と呼ばれる新しい脅威タイプの追加。 IAMクレデンシャルの漏洩やS3データ漏洩などの攻撃シナリオを検出可能。 • 攻撃の全体像の把握、対応の迅速化に役⽴つ。 リンク:https://dev.classmethod.jp/articles/released-amazon-guardduty-extended-threat-detection/ re:Invent
[機能拡張] Verified Access がTCP経由での接続をサポート(Preview) • 過去2年間はHTTP/HTTPSのみだったが、新しくTCP接続をサポートすることで SSH / RPD /
データベース接続 / SMTPなどが利⽤可能に。 • 従来VPNを必要としていた場⾯で、セキュアでシンプルなアクセスが実現可能 に。 • クライアントへの構成ファイル配布 & Clientインストールが別途必要な点に注意。 リンク :https://dev.classmethod.jp/articles/aws-verified-access-secure-access-resources-non-https-protocols-previ ew/ re:Invent
[新機能] OpenSearch ServiceとSecurity LakeがZero-ETL 統合をサポート • 従来のデータ抽出‧変換‧ロード(ETL)プロセスを省略、OpenSearch ServiceからSecurity Lakeのセキュリティデータを直接クエリして分析でき るようになった。あまりクエリされないデータの分析に適している。
• 似た機能の「Amazon OpenSearch Ingestion」はリアルタイム分析と頻繁 にクエリされるデータの分析に適している。 リンク:https://dev.classmethod.jp/articles/amazon-opensearch-zeroetl-securitylake-ga/ re:Invent
[新機能] Control Towerが宣⾔型ポリシー(declarative policies) をサポート • Control Towerコントロールとして宣⾔型ポリシーが早速利⽤可能に • 「VPC
/ EBSスナップショット / シリアルコンソール / AMI」の公開範囲を 制御する4つの宣⾔型ポリシーをサポート ※残り2つは未サポート リンク:https://dev.classmethod.jp/articles/aws-organizations-declarative-policies-available/ re:Invent
re:Invent予選落ちアップデート を簡潔に紹介 (1/2) [新機能] CloudTrail Lake のAI を活⽤した⾃然⾔語によるクエリ⽣成機能がGA • クエリ⽣成だけでなくクエリ結果の要約もできるように。対応⾔語は英語のみ。
[新機能] Control Tower がRCP(resource control policies) をサポート • Control TowerコントロールでもRCPが登場。 [新機能] CloudTrail Lake のダッシュボード追加、イベントデータストアのアカウント共有 • 事前定義されたダッシュボードウィジェットが14個追加(Preview)、リソースベースポリシー を使ったイベントデータストアのクロスアカウント共有が可能に
re:Invent予選落ちアップデート を簡潔に紹介 (2/2) [機能拡張] Resource Explorer でセキュリティ‧運⽤などの追加項⽬が確認可能に • リソースのプロパティ情報、コスト、AWS Security
Hub の検出結果、 AWS Config のコンプライアンス、タイムライン、リソースの関係グラフが確認可能に [機能拡張] Control Tower にコントロールドリフトを解決するAPI が追加 • ResetEnabledControl API が追加され、コントールドリフトをプログラムで解決したり、 API経由でコントロールを再デプロイできるようになった。 [新機能] AWS Artifact に対するきめ細かなアクセス許可が利⽤可能に • これまでは「artifact:Get」というAPIアクションのみだったが、 より細かく分けられるオプションが追加された
セキュリティ系アップデート全体像 ◼ re:Invent アップデート(6) • [新サービス] AWS Security Incident Response
• [新機能] GuardDuty Extended Threat Detection(拡張脅 威検出) • [機能拡張] Verified Access がTCP経由での接続をサポー ト(Preview) • [新機能] OpenSearch ServiceとSecurity Lakeが Zero-ETL 統合をサポート • [新機能] Orgnaizationsに宣⾔型ポリシー(declarative policies) が登場 • [新機能] Control Towerが宣⾔型ポリシー(declarative policies) をサポート ◼ 予選落ち アップデート(9) • [新機能] Orgnaizations にRCP(resource control policies) が 登場 • [新機能] CloudTrail Lake のAI を活⽤した⾃然⾔語によるクエ リ⽣成機能がGA • [新機能] Control Tower がRCP(resource control policies) を サポート • [新機能] Orgnaizations にRoot access management が登場 • [新機能] CloudTrail Lake のダッシュボード追加、イベント データストアのアカウント共有 • [機能拡張] Resource Explorer でセキュリティ‧運⽤などの追 加項⽬が確認可能に • [機能拡張] Control Tower にコントロールドリフトを解決する API が追加 • [機能拡張] Control Tower ランディングゾーン設定にAWS Backup が追加 • [新機能] AWS Artifact に対するきめ細かなアクセス許可が利⽤ 可能に
締めの⾔葉 re:Invent 2024のセキュリティ系アップデートは 早め(年内)にキャッチアップして、 来年6⽉のre:Inforce 2025に備えよう!
None