2023年4月20-21日で開催されたAWS Summit Tokyo 2023。 オンデマンド配信が 5/22-6/23 で実施されます。
現地に来た方も来れなかった方も、オンデマンド配信を楽しむためにre:Cap兼、セキュリティセッションpick upしておきました。
AWS セッション(58) 事例セッション(52) パートナーセッション(33)
© 2023, Amazon Web Services, Inc. or its affiliates. All rights reserved.© 2023, Amazon Web Services, Inc. or its affiliates. All rights reserved.AWS Summit Tokyo 2023オンデマンド配信を楽しむためのセキュリティ関連トピックご紹介勝原 達也S E C U R I T Y - J A W S # 2 9アマゾン ウェブ サービス ジャパン合同会社技術統括本部 セキュリティソリューションアーキテクトkthrtty
View Slide
© 2023, Amazon Web Services, Inc. or its affiliates. All rights reserved.勝原 達也 (Tatsuya Katsuhara)セキュリティソリューション アーキテクト経歴• コンシューマ向けデジタル・アイデンティティサービスの企画・開発• Web、⼯場・プラント、IoT・⾃動⾞のセキュリティ診断• AWS にてお客様のクラウド活⽤に関連するセキュリティ課題解決⾃⼰紹介2
© 2023, Amazon Web Services, Inc. or its affiliates. All rights reserved.3AWS Summit Tokyo 2023オンデマンド配信はじまりました(5/22〜6/23)
© 2023, Amazon Web Services, Inc. or its affiliates. All rights reserved.4
© 2023, Amazon Web Services, Inc. or its affiliates. All rights reserved.現地開催ならではのハードウェア展⽰5
© 2023, Amazon Web Services, Inc. or its affiliates. All rights reserved.6
© 2023, Amazon Web Services, Inc. or its affiliates. All rights reserved.7本当は全て⾒ていただきたいけれどみなさん仕事に家庭に趣味に⾊々ある…
© 2023, Amazon Web Services, Inc. or its affiliates. All rights reserved.8AWS セッション(58) + 事例セッション(52) + パートナーセッション(33)代わりに眺めておきましたほぼ全てのセッションでセキュリティに⾔及あり全て紹介したいけれど、泣く泣く⼀部のみ Pick up
© 2023, Amazon Web Services, Inc. or its affiliates. All rights reserved.© 2023, Amazon Web Services, Inc. or its affiliates. All rights reserved.AWS セッション9
© 2023, Amazon Web Services, Inc. or its affiliates. All rights reserved.ストレージ視点でのセキュリティAWS-02 性能、コスト、保護すべてがかなう AWS ストレージサービスストレージはデータを保護するアーキテクチャを構成するための重要コンポーネント• データ保護• 災害対策• ランサムウェア10© 2023, Amazon Web Services, Inc. or its affiliates. All rights reserved.Amazon FSx forWindows FileServerAmazon EFSAmazon FSxfor LustreAmazon FSxfor NetAppONTAPAmazon FSxfor OpenZFSファイルストレージWindows VSSon EC2AWS Backup による⼀元保護 ストレージ性能コストデータ保護まとめはじめにバックアップ別リージョン保管改変不可Amazon EBSAmazon AuroraAmazon RDSAmazon NeptuneAmazon DocumentDBAmazon DynamoDBAmazon S3VMware Cloudon AWSAmazon EC2 AWS StorageGatewayAmazon Redshift Amazon TimestreamAWS CloudFormationVMware仮想マシンAWS Outpost⼀元管理•1 つのコンソールで管理•リソースおよびタグ指定のバックアップポリシー設定•IAM ポリシーでアクセス制御⾃動化•スケジュールバックアップ•保持期限を⾃由に設定コンプライアンス•KMS による暗号化•読み取り専⽤(WORM)•AWS Backup Audit Managerでコンプライアンス準拠の確認ブロックストレージ データベースオブジェクトストレージコンピュート データの移動 マネジメントアプリケーション オンプレミスSAP HANAon EC2© 2023, Amazon Web Services, Inc. or its affiliates. All rights reserved.クロスリージョンレプリケーションAmazon EFSAmazon S3Amazon FSxAmazon EFSAmazon S3Amazon FSx東京リージョン ⼤阪リージョンストレージ性能コストデータ保護まとめはじめにバックアップ別リージョン保管改変不可AWS Cloudクロスリージョンレプリケーション• Amazon EFS レプリケーション• Amazon S3 クロスリージョンレプリケーション• AWS DataSync によるレプリケーション• NetApp SnapMirror によるブロック差分レプリケーション© 2023, Amazon Web Services, Inc. or its affiliates. All rights reserved.AWS BackupRDS インスタンスEC2 インスタンスファイルシステムランサムウェアへの対策 ストレージ性能コストデータ保護まとめはじめにバックアップ別リージョン保管改変不可Vault LockS3 Object Lock業務アカウントBackup VaultVPC VPC保護⽤アカウントAmazon S3悪意のある攻撃者によるデータ暗号化(新)業務アカウントEC2インスタンスRDSインスタンスファイルシステムリストアAmazon S3BackupVaultVPC暗号化
© 2023, Amazon Web Services, Inc. or its affiliates. All rights reserved.ネットワークアーキテクチャとセキュリティAWS-03 AWS ネットワーク管理をステップアップしたい⽅に送る、次の⼀⼿AWS-42 AWS Cloud WAN を使⽤したAWS グローバルネットワークインフラストラクチャの活⽤AWS におけるオンプレと VPC の接続パターンを俯瞰して把握するのに役⽴つ• Client VPN• Site-to-Site VPN• Direct Connect• Transit Gateway11© 2023, Amazon Web Services, Inc. or its affiliates. All rights reserved. 17Public subnetPrivate subnetC 要件が異なる拠点からVPCに接続ユースケース• ⾃宅勤務者の接続• セキュアなサイト間接続• ⼤規模拠点から接続メリット• 要件に合わせてコストを最適化選択肢• AWS Client VPN• AWS Site-to-Site VPN• AWS Direct Connect本社VPCVGWSecurity groupSecurity groupDirect ConnectSite-to-SiteVPNClient VPN⽀店ホームオフィスCGWVPNEndpointCGWCGW: Customer GatewayVGW: Virtual Private GatewayELBVPNソフト© 2023, Amazon Web Services, Inc. or its affiliates. All rights reserved. 18SubnetAWS Direct Connectポイント• オンプレミスから専⽤線でDirectConnectロケーションに接続• 1, 10, 100Gbpsのポート速度をサポート• 接続の中に仮想インターフェイス(VIF)を作成• VIFは接続対象別に3タイプトランジット︓TGW⽤のDXGWプライベート︓VGW⽤のDXGWパブリック︓AWSクラウド• パートナー経由の利⽤で多くの選択肢から要件に合わせて選定VPC本社お客様ルータDirectConnectデバイスパートナー機器お客様機器DirectConnectゲートウェイS3リージョンAWSTransitGatewayDynamoDBDC内構内接続通信事業者提供VGW
© 2023, Amazon Web Services, Inc. or its affiliates. All rights reserved.運⽤からセキュリティを考えるAWS-04 インシデントを起点に考える、システム運⽤のユースケースご紹介セキュリティは予防的統制だけじゃない、運⽤が回るセキュリティのヒントにしていただきたい• インシデント対応• イベントログ• ⾃動化ソリューション• 特権 ID 管理• セキュアなノードアクセス12© 2023, Amazon Web Services, Inc. or its affiliates. All rights reserved.Incident Manager⾃動化された対応プランによりアプリケーションの問題をより迅速に解決!AWS ChatbotAmazon ChimeSlackIncident ManagerSystems ManagerAutomation電話メール適切な担当者にエンゲージメント 関係者間のコミュニケーション円滑化• インシデント詳細• 定義済みの対応⼿順• 連絡先インシデント対応の効率化・⾃動化問題解決後インシデント分析改善項⽬や根本原因の振り返りインシデントSMSTeams27© 2023, Amazon Web Services, Inc. or its affiliates. All rights reserved.Diagnosis(診断)さらに、AWS 以外のソースのアクティビティイベントも集約可能AWS 以外のソースØ AWS Config とも統合されているから、「誰が」「いつ」「どのリソースで」「何を変更したのか」までわかるØ マルチアカウント・マルチリージョンで横断検索PointCloudTrail LakeAWS CloudTrail Lakeイベントに対して SQL ベースのクエリができるCloudTrail の画⾯上で、イベントの分析ができるAWS CloudTrail Lake についてはこちら5858© 2023, Amazon Web Services, Inc. or its affiliates. All rights reserved.AWS Systems Manager Change Manager運⽤上の変更をリクエスト、承認、実装、および報告するためのエンタープライズ変更管理フレームワーク変更リクエスト承認者承認変更テンプレート・作業内容・承認者処理実⾏AutomationØ AWS リージョン間、複数のAWS アカウント間で機能するPointMitigation(緩和)変更を管理するためのダッシュボードも変更リクエストの状況承認者ビューAWS Systems Manager Change Manager についてはこちら68
© 2023, Amazon Web Services, Inc. or its affiliates. All rights reserved.可⽤性はセキュリティの重要要素 - レジリエンスAWS-14 Resilience at AWS 回復⼒のあるシステムを作る為の設計指針AWS-43 ミッションクリティカルシステムを AWS に載せるには︖AWS-49 ⾦融機関に求められるレジリエンスの AWS 環境での実装⼿法AWS を活⽤して可⽤性・回復性を⾼めていくためのアーキテクチャ13© 2023, Amazon Web Services, Inc. or its affiliates. All rights reserved.High Availability設計および運⽤メカニズムによる⼀般的な障害に対する耐性Disaster recoveryまれではあるが影響の⼤きい障害について、⽬標内に運⽤に戻るコア サービス、可⽤性の⽬標を達成するための設計バックアップ、データ管理、RTO/RPOの管理適切に Resilience in the Cloud を設計するには︖CI/CD、Code の改善、運⽤テスト、Observability / モニタリング、カオスエンジニアリング以下の3つの観点で分けて考えるResilience の継続性© 2023, Amazon Web Services, Inc. or its affiliates. All rights reserved.ミッションクリティカルシステムを検討アーキテクチャ可⽤性性能・拡張性運⽤・保守性移⾏性セキュリティシステム環境・エコロジー機能要件(プロセス)機能要件(データ)機能要件(インターフェイス)本セッションのフォーカス調整調整調整調整調整調整検討静的安定性&冗⻑化up© 2023, Amazon Web Services, Inc. or its affiliates. All rights reserved.クラウドにおける業務中断シナリオシナリオ例 対応アプローチ例事業継続計画発動アプリケーションがプライマリリージョンで動作しないマルチリージョン構成顧客サービス影響ありアプリケーションが1つのAvailabilityZoneで動作しないMulti-AZ構成平常時アプリケーションコンポーネントの障害AutoScaling/AutoHealingAWSにおける影響が重⼤で、起きる可能性は低いものの想定しておくべき中断シナリオTimeSLARTORPOBCPDR耐性度サービスレベルImpact平常時顧客サービスに影響(通常の障害回復⼿順)事業継続計画/災害復旧計画の発動お客様へ重⼤な影響⾦融システムへ重⼤な影響
© 2023, Amazon Web Services, Inc. or its affiliates. All rights reserved.データ活⽤- DWH に関するセキュリティAWS-35 AWS でミッションクリティカルなデータウェアハウスを構築する⽅法データウェアハウスはミッションクリティカル性が求められてきているAmazon Redshift に備わる「セキュリティ」機能ご紹介14© 2023, Amazon Web Services, Inc. or its affiliates. All rights reserved.データセキュリティレベルの分類とアクセス制御• データのセキュリティレベルを分類して適切に保護していくことが重要üData Analytics Lens : Best practice 3.3 – Understanddata classifications and their protection policies• データ利⽤者が必要な限られたデータにのみアクセスできるよう制御するü機密データを不適切なユーザーや下流のシステムに伝播させないSABC 全公開極秘© 2023, Amazon Web Services, Inc. or its affiliates. All rights reserved.ロール単位のアクセス制御 (RBAC) のメリットü -------ü -------ü -------ü -------ü -------ü -------ü -------権限データサイエンティストユーザーデータベース開発者ビジネスアナリスト…ロール 1ロール 2ロール 3ロールデータベース権限の管理を簡素化権限のコレクションを「ロール」としてまとめ、ユーザーに割当てü 複数のロールを割当て可能ü ロールのネストも可能きめ細かい権限制御ロールにはオブジェクト権限だけでなくシステム権限も割当て可能ü ユーザーやロールの作成ü VACUUM, ANALYZE, TRUNCATE列および⾏レベルのセキュリティ、動的データマスキングと組み合わせて利⽤© 2023, Amazon Web Services, Inc. or its affiliates. All rights reserved.ロールベースのアクセスコントロール⾏および列レベルセキュリティ動的データマスキングによる機密データ保護Amazon Redshift のアクセスコントロール多様なデータアクセス要件に対応多様なデータアクセス要件に対応する必要のあるミッションクリティカルなデータウェアハウスを⽀える機能アクセスコントロールのためにデータの複製やビューの作成など煩雑な管理は不要
© 2023, Amazon Web Services, Inc. or its affiliates. All rights reserved.AWS における「ゼロトラスト」の考え⽅AWS-39 AWS でゼロトラストを実現するためのアプローチ3つの⼤切な考え⽅• ネットワーク & アイデンティティ• ユースケースにフォーカス• 対象の特性に応じて柔軟に適⽤代表的なユースケースとAWS のビルディングブロック• リモートアクセス (AWS Verified Access)• マイクロセグメント化 (Amazon VPC Lattice)• Digital Transformation (AWS IoT)15© 2023, Amazon Web Services, Inc. or its affiliates. All rights reserved.⼀部だけに注⽬せず俯瞰的にとらえていく幅広い観点で成熟度を⾼め総合的なセキュリティ向上を実現していく機会データデバイスワークロード⾃動化 &オーケストレーションネットワーク& 環境ユーザー可視性& 分析セキュリティ統制⽶国防総省 Zero Trust Reference Architecture より翻案39© 2023, Amazon Web Services, Inc. or its affiliates. All rights reserved.VPCAWS CloudPrivate subnetゼロトラストの考え⽅に基づいたシームレスなリモートアクセス体験を実現アプリケーションアイデンティティプロバイダ (IdP)アクセスポリシーALB, NLB, ENI*リモートユーザーAWS Verified AccessSaaS ユーザー体験 マネージドセキュリティ 認証・認可済みアクセス強⼒な認証デバイスセキュリティ維持59デバイス管理* Application Load Balancer* Network Load Balancer* Elastic Network Interface
© 2023, Amazon Web Services, Inc. or its affiliates. All rights reserved.権限管理のグランドデザインと優れたガードレールAWS-40 デジタルトランスフォーメーション(DX)の成功を⽀える権限管理DX のための権限管理モダナイズ• セキュリティ & アジリティグランドデザインと標準化の重要性• マルチアカウント• データ境界• Permissions Boundary• アクセス権限セット共通化16© 2023, Amazon Web Services, Inc. or its affiliates. All rights reserved.今⽇の AWS ではマルチアカウントアーキテクチャがベストプラクティス23AWS アカウント AWS アカウントAWS アカウント AWS アカウントAWS アカウント本番 開発セキュリティ 運⽤管理アカウント統制 • AWS アカウントは理想的な環境分離の単位• AWS アカウント毎の独⽴した権限管理、リソースグループの明⽰的な境界• 分離そのものがガードレールとして機能AWS アカウントを環境の単位とする AWS 固有のプラクティス© 2023, Amazon Web Services, Inc. or its affiliates. All rights reserved.AWS アカウント群AAWS アカウント群C新しい条件キーを活⽤したデータ保護の例37組織のAWS アカウント群組織外のAWS アカウント組織内の意図した範囲とのみ共有可能とするAWS アカウント群BAWS アカウントの増減に追従するデータ境界
© 2023, Amazon Web Services, Inc. or its affiliates. All rights reserved.AWS Marketplace に関するセキュリティAWS-44 [ISV や SaaS 事業者向け] AWS で⾃社ソフトウェアやサービスを販売しよう︕AWS マーケットプレイスを取り巻く状況と活⽤に関するご紹介AMI やコンテナの出品に関連するセキュリティや継続的な⾃動スキャンセラーとバイヤーの双⽅をセキュリティ・知財の観点で保護17© 2023, Amazon Web Services, Inc. or its affiliates. All rights reserved.セキュリティに関するガイドラインセキュリティイベントの発⽣(CVE)セキュリティ情報の監視出品のレビューセラーおよびバイヤーにMarketplace チームから通知製品を更新出品を⼀時制限セラーはチェックリストおよび要件に従ってイメージを構成する必要がある。特にセキュリティに関する項⽬に準拠していない場合は出品することができない• 既知の脆弱性、マルウェア、ウイルスが含まれていないこと• EoL を迎えた OS やライブラリを使⽤していないこと• パスワードベースの SSH 認証を禁⽌すること• クレデンシャルをイメージに含めないこと• HVM 仮想化および 64-bit アーキテクチャをベースにすることなど例えば© 2023, Amazon Web Services, Inc. or its affiliates. All rights reserved.セキュリティと IP (知的財産権) の保護についてo セラー「⾃社の IP であるモデルを顧客に渡すのは抵抗が...」Ø Marketplace から購⼊したモデルやアルゴリズムには、SageMaker の機能を介してのみアクセスできます。バイヤーが直接イメージを pull したりモデルにアクセスすることはできませんØ モデルは保存時および転送時に暗号化されます。Ø モデルが稼働する環境では、アウトバウンドのネットワークアクセスが制限されています。o バイヤー「学習のためとはいえ⾃社の機密データを他社に渡すのは抵抗が...」Ø アルゴリズム製品を選択することで、データを⾃社の環境に保持したまま学習を⾏いモデルを作成することできます。Ø 学習はアウトバウンドのネットワークアクセスを持たない環境で実⾏されるため、データが外部に転送されることはありません。
© 2023, Amazon Web Services, Inc. or its affiliates. All rights reserved.仮想デスクトップによるセキュリティ確保のヒントAWS-47 仮想デスクトップ環境の運⽤を⾒直そう︕新たな仮想デスクトップサービスの選択肢とAmazon AppStream 2.0 運⽤管理の Dive Deepデータ保護、コンプライアンス、BYOD リスクへの考慮Web 分離やアプリケーションのストリーミングなど⽤途別の複数選択肢18© 2023, Amazon Web Services, Inc. or its affiliates. All rights reserved.現代の働き⽅の変化“雇⽤主の83%が、リモートワークが会社の成功に寄与したと述べている” – PwC study, January 2021仮想コミュニケーション⽤ツール72%安全な仮想環境への接続70%投資を計画している⽶国企業エグゼクティブの割合分散型ワークモデルは今後も続く傾向幅広い職務ナレッジワーカー映像 /視覚化タスクワーカーM&A後の従業員派遣労働⼒BYODワーカーエンジニア /データサイエンティストトレーニングラボ⼯場と営業出展︓PWC Remote Work Survey, January 2021© 2023, Amazon Web Services, Inc. or its affiliates. All rights reserved.ユーザーの利⽤イメージ①アプリケーション②デスクトップのどちらかを選択①アプリケーションをストリーミングブラウザまたはクライアントアプリからAppStream 2.0 にアクセス②デスクトップをストリーミング①②© 2023, Amazon Web Services, Inc. or its affiliates. All rights reserved.Amazon WorkSpaces Web低コストで利⽤することができるフルマネージド仮想ブラウザサービスクライアント端末 クラウド上の仮想ブラウザAmazonWorkSpaces Web暗号化されたピクセルストリーム(AES 256 による強⼒な暗号化)
© 2023, Amazon Web Services, Inc. or its affiliates. All rights reserved.© 2023, Amazon Web Services, Inc. or its affiliates. All rights reserved.必要な技術︓③セキュリティ1. 責任共有モデル2. ISMAP, NIST SP800-53に関する理解3. AWSが提供するリファレンスアーキテクチャの理解4. ゼロトラスト5. 予防的統制と、発⾒的統制6. セキュリティ対策の⾃動化7. サーバレスアーキテクチャの理解8. IaCテンプレートの適⽤とセキュリティ対策のデフォルト化9. AWS GuardDuty, AWS Security Hubなどの理解10. パッチ、アップデートに柔軟なシステム運⽤11. クラウドに適した監査© 2023, Amazon Web Services, Inc. or its affiliates. All rights reserved.第1段階 第2段階アプリケーションの変更を最⼩限に、マネージドサービスを活⽤インフラとアプリケーションを刷新してクラウドサービスをフル活⽤ガバメントクラウドへの移⾏パターンNetwork運⽤/SecurityStorageDBAPNetwork運⽤/SecurityStorageDBAPマイクロサービスマイクロサービスマイクロサービス• 単純なリホストによる移⾏ではなく、インフラとアプリケーションの同時刷新を検討する• 同時刷新が困難な場合、第1段階の状態を経由する2段階移⾏の計画を⽴てる出展︓デジタル庁「政府情報システムにおけるクラウドサービスの適切な利⽤に係る基本⽅針」https://www.digital.go.jp/assets/contents/node/basic_page/field_ref_resources/e2a06143-ed29-4f1d-9c31-0f06fca67afc/17ef852e/20221228_resources_standard_guidelines_guideline_01.pdf© 2023, Amazon Web Services, Inc. or its affiliates. All rights reserved.スタディログの可視化・分析政府・⾃治体におけるクラウド利⽤とセキュリティAWS-50 政府が求めるクラウドを適切(スマート)に利⽤するための設計原則AWS-51 ⾃治体がガバメントクラウド利⽤に向けておさえておきたい 10 のことAWS-52 教育データ利活⽤と教育ダッシュボードの構築AWS-53 国の DX を⽀えるデジタル⼈材の育成19© 2023, Amazon Web Services, Inc. or its affiliates. All rights reserved.15どういった仕組みなのか︖AWS CloudTrail AWS Config・AWSアカウント作成・SSO User作成・操作ログ改竄防⽌・予防的統制(SCP)・発⾒的統制(Config Rule)・不正アクセス脅威検出・セキュリティ⾃動チェックデジタル庁がAWS Control TowerでAWSアカウントを⾃治体へ払い出す。⾃治体利⽤に必要な機能が事前設定Amazon GuardDuty AWS Security Hubテンプレート通知への対応設定されているサービス※代表的なもの利⽤開始時からセキュリティ基準が⾼いAWSアカウント1AWS Trusted Advisor AWS Budgets⾃治体デジタル庁が設定
© 2023, Amazon Web Services, Inc. or its affiliates. All rights reserved.© 2023, Amazon Web Services, Inc. or its affiliates. All rights reserved.お客様セッション(抜粋)20
© 2023, Amazon Web Services, Inc. or its affiliates. All rights reserved.AWS を活⽤した全社共通クラウド基盤 (1 of 2)21CUS-02 中外製薬 様• 全てのバリューチェーンで AWS を活⽤• 次期クラウド基盤を超短期間でリリース実現• アジリティとセキュリティ(ガードレール)• アカウント⾃動⽣成、セルフサービス化CUS-05 三菱マテリアル 様• DX - データとデジタル技術活⽤による改⾰• セキュリティを維持しながらも不確実なニーズに対応できる基盤 “MMCG クラウド”• 全社共通環境 (IT部⾨) と各カンパニー向け環境
© 2023, Amazon Web Services, Inc. or its affiliates. All rights reserved.AWS を活⽤した全社共通クラウド基盤 (2 of 2)22CUS-33 住友⽣命保険 様• クラウドファーストの次世代アーキテクチャ構想• ゼロトラストネットワーク (SASE)• 認証・ID連携• クラウド間接続・データ HUB• API 連携基盤
© 2023, Amazon Web Services, Inc. or its affiliates. All rights reserved.セキュアなリモートメンテナンス構成事例23CUS-11 KINTO テクノロジーズ 様• DBRE(DB Reliability Engineer) の活動紹介• アジリティ & セキュリティとガバナンス• DB にフォーカスした本番アクセス管理• Slack を⽤いた申請・承認、⾃動化・監査
© 2023, Amazon Web Services, Inc. or its affiliates. All rights reserved.府省クラウド CoE としての取り組み・歩み24CUS-16 デジタル庁/農林⽔産省 様• ガバメントクラウドの先⾏事例(R.2 年稼働)• 共通機能(セキュリティ含む)を管理アカウントに集約• 現⾏踏襲を望む個別システム管理者に改善の意思決定させるには、CoEに勇気が必要
© 2023, Amazon Web Services, Inc. or its affiliates. All rights reserved.⾦融機関におけるセキュリティ確保とデータ活⽤25CUS-31 三菱UFJ銀⾏ 様• 銀⾏セキュリティ・ガバナンス要件に応え、素早く AI を活⽤する開発基盤を内製• 「数⼈で⾦融機関⽔準のセキュリティを満たす分析基盤が構築可能」
© 2023, Amazon Web Services, Inc. or its affiliates. All rights reserved.⼤規模オンプレ活⽤から⼤規模 AWS 活⽤へ26CUS-36 ドワンゴ 様• テーマは「地⽅分権とガバナンス」• 裁量と責任を持った個々の開発チーム• 課題解決、制度設計で地⽅分権を推進• アカウント戦略 (AWS Control Tower)• セキュリティガイドラインや⽅針の整備
© 2023, Amazon Web Services, Inc. or its affiliates. All rights reserved.AWS セキュリティサービスとマネージドサービス活⽤のねらい・効果27CUS-46 パナソニック 様• 差別化に繋がらない実⾏基盤は、AWS サービスを活⽤して省⼒化 → 顧客価値に集中• AWS Fargate• AWS セキュリティサービス• AWS Code シリーズCUS-49 弥⽣ 様• AWS セキュリティサービスの活⽤• マネージドサービスでセキュリティ考慮点削減• セキュリティガードレール• 運⽤チーム作業量 60% 減• マネージドサービス⽐率 30 → 70%
© 2023, Amazon Web Services, Inc. or its affiliates. All rights reserved.SaaS ビジネスのセキュリティ / Marketplace 活⽤28CUS-52 サイバーセキュリティクラウド 様• AWS WAF Managed Rules のグローバル展開• 累計 90 カ国以上、グローバル⽐率は 50% 超• AWS WAF ⾃動運⽤サービス「WafCharm」のグローバル展開開始CUS-48 Works Human Intelligence 様• 第三者機関の認証を取得し、クラウドサービスの信頼性のアピール• P マーク、ISO27001、ISO27017、ISO27701、ISMAP
© 2023, Amazon Web Services, Inc. or its affiliates. All rights reserved.サービス成⻑フェーズこそ継続的な改善が⼤切29CUS-51 セーフィー 様• 環境変更に抵抗あれど、⻑期的な⽬線で判断• 強い権限をもった IAM アクセスキーのリスク削減• スイッチロールでクロスアカウントアクセス• direnv や aws-vault で⼀時クレデンシャル活⽤• Session Manager でセキュア&監査可能なメンテ
© 2023, Amazon Web Services, Inc. or its affiliates. All rights reserved.© 2023, Amazon Web Services, Inc. or its affiliates. All rights reserved.Appendix.パートナーセッション(抜粋)30
© 2023, Amazon Web Services, Inc. or its affiliates. All rights reserved.パートナーセッション抜粋 (1 of 2)31# タイトル キーワードAP-02トヨタCCoEチームの挑戦オブザーバビリティの活⽤とDevSecOpsの実現(New Relic 様、トヨタ⾃動⾞ 様)オブザーバビリティ、トヨタ CCoE、セキュリティ設定⼯数 96% 減、ガードレールAP-03明⽇のセキュリティの課題をパロアルトネットワークスで解決︕今ならまだ間に合うセキュリティ対策(パロアルトネットワークス様)最新の脅威情報、Cloud NGFW、SASE、FWaaS、Prisma CloudAP-07デモで分かる︕AWS 環境をランサムウェアから守るには︖(トレンドマイクロ様)AWS 環境のランサムウェア対策、設定不備可視化、ワークロード保護、ストレージのスキャンAP-09NTT データが8 年間⼀緒に歩んだリクルート様のAWS 共通基盤での挑戦の軌跡(NTTデータ 様、リクルート 様)ID/認証とアカウント設計、権限設計、監査/リスク検知システム、AWS Organizations 活⽤AP-10官公庁・⾃治体が取り組むべきスマートモダナイゼーションと実例(⽇本電気 様)モダナイゼーション、マネージドサービステンプレート、クラウド統制運⽤PF、デザインアプローチAP-11Amazon VPC のネットワークセキュリティをより堅牢にするアプローチ(フォーティネットジャパン 様)統合ネットワークセキュリティプラットフォーム、SaaS 型ファイヤウォール
© 2023, Amazon Web Services, Inc. or its affiliates. All rights reserved.パートナーセッション抜粋 (2 of 2)32# タイトル キーワードAP-12事例から学ぶ、データ利活⽤の現実と将来像〜AWS 上でデータ利活⽤を実現するベストプラクティスとは〜(TIS 様)決済関連・⾼セキュリティクラウド基盤、SIEM onAmazon OpenSearch Service、インシデント検知AP-22専⽤AWS Organizations 環境提供から獲得したマルチアカウント分割⽅針とガイドライン準拠ソリューション事例(野村総合研究所 様、ニューリジェンセキュリティ 様)マルチアカウント管理サービス、予防的・発⾒的ガードレール、AWS WAF・AWS NetworkFirewall・CSPM・脆弱性管理AP-24Gunosy(グノシー)が選んだ開発者に負担をかけないスマートなセキュリティ対策(Snyk 様、Gunosy 様)SDLC 全体でのセキュリティ対策、DevSecOps、⼈⼒総⼒戦からの脱却、定期的・⾃動的なスキャンAP-25サイバー空間の安全を保つために ︕AWS WAF を最⼩限の⼯数で最⼤限に使いこなす術とは(サイバーセキュリティクラウド様)AWS WAF ⾃動運⽤サービス、WafCharm、強⼒な防御と楽な運⽤、AWS Marketplace での購⼊、Web サイト改ざん検知AP-27エンドポイントだけでは終わらない︕最新の脅威が狙う「クラウド」のセキュリティ対策(クラウドストライク 様)Falcon Platform、エンドポイントセキュリティ、脅威インテリジェンス、CIEM、CSPM/CWP、アイデンティティ保護、可視化、オペレーションAP-32三菱UFJ銀⾏様の活⽤事例にみるRed Hat OpenShift Serviceon AWS の価値(レッドハット様、三菱UFJインフォメーションテクノロジー様)AWS 上での OpenShift、ROSA を使う理由、銀⾏システムとしての安全安⼼安定のためのガイド、ブラックボックスにしないための追加実装
© 2023, Amazon Web Services, Inc. or its affiliates. All rights reserved.オンデマンド配信、本セッションも活⽤いただき、引き続きお楽しみください33
© 2023, Amazon Web Services, Inc. or its affiliates. All rights reserved.Thank you!© 2023, Amazon Web Services, Inc. or its affiliates. All rights reserved.勝原 達也(Katsuhara Tatsuya)アマゾン ウェブ サービス ジャパン合同会社技術統括本部 セキュリティソリューションアーキテクトkthrtty