Upgrade to Pro — share decks privately, control downloads, hide ads and more …

AWS re:Inforce 2024 re:Cap - Learnings & Actions -

Sponsored · Your Podcast. Everywhere. Effortlessly. Share. Educate. Inspire. Entertain. You do you. We'll handle the rest.
Avatar for Hiroshi Hayakawa (p0n) Hiroshi Hayakawa (p0n)
August 26, 2024
Technology
81
0

AWS re:Inforce 2024 re:Cap - Learnings & Actions -

2024/08/26 某所登壇資料

Avatar for Hiroshi Hayakawa (p0n)

Hiroshi Hayakawa (p0n)

August 26, 2024

More Decks by Hiroshi Hayakawa (p0n)

See All by Hiroshi Hayakawa (p0n)
Amazon S3 20周年セッション@Storage-JAWS#8
Avatar for Hiroshi Hayakawa (p0n) p0n
0
89
Dr. Werner Vogelsの14年のキーノートから紐解くエンジニアリング組織への処方箋@JAWS DAYS 2026
Avatar for Hiroshi Hayakawa (p0n) p0n
1
190
S3成長記録 in 2024 - オレたちのS3はどこに向かうのか?- @Storage-JAWS#7
Avatar for Hiroshi Hayakawa (p0n) p0n
1
720
AWS re:Invent 2024 re:Cap - Declarative policies & GameDay
Avatar for Hiroshi Hayakawa (p0n) p0n
0
180
Project “Instance Lottery"@JAWS PANKRATION 2024
Avatar for Hiroshi Hayakawa (p0n) p0n
0
1.1k
S3成長記録@Storage-JAWS#3
Avatar for Hiroshi Hayakawa (p0n) p0n
0
700
待ち人来る?CloudWatch Application Signals
Avatar for Hiroshi Hayakawa (p0n) p0n
0
880

Other Decks in Technology

See All in Technology
PHP と TypeScript の型システム比較:AI 時代の「型」は誰のためにあるのか? #frontend_phpcon_do / frontend_phpcon_do_2026
Avatar for shogogg shogogg
1
250
個人の発見を、組織の知恵に 〜生成AI活用を"探索"から"組織の仕組み"へ〜
Avatar for KintoTech_Dev kintotechdev
2
980
Sony_KMP_Journey_KotlinConf2026
Avatar for ソニー株式会社 sony
2
210
新規事業を牽引する技術選定 〜フルスタックTypeScript開発の実践事例〜
Avatar for Katsuma Narisawa nullnull
3
350
「嘘をつくテスト」の失敗例から学ぶ 良いテストコード #frontend_phpcon_do
Avatar for asumikam asumikam
0
460
そのPoC、何を検証したつもりでしたか? AIプロダクトの価値検証で陥った落とし穴
Avatar for PERSOL CAREER Dev | techtekt techtekt
PRO
0
150
Oracle Cloud Infrastructure IaaS 新機能アップデート 2026/3 - 2026/5
Avatar for oracle4engineer oracle4engineer
PRO
1
190
AI駆動開発が変える、大規模開発の前提 ーHuman in the Loop から Human on the Loop へ / AIE2026
Avatar for Visional Engineering & Design visional_engineering_and_design
7
4.8k
先取りMaven4 ~16年ぶりのメジャーアップデート、その進化とは?~
Avatar for 荻原利雄 ogiwarat
0
140
MIERUNE JCT 発表資料「宇宙から伊能忠敬ごっこ」
Avatar for じゃらしまる syuchimu
0
180
「速く作る」から「正しく作る」へ ─ 生成AI時代の開発フロー改革の ロードマップと実行 ─
Avatar for starfish719 starfish719
0
7.6k
AI Adaptable なテストを整える工夫 / Ways to Make Your Tests AI-Adaptable
Avatar for 株式会社ビットキー / Bitkey Inc. bitkey
PRO
3
210

Featured

See All Featured
Producing Creativity
Avatar for Steve Smith orderedlist
PRO
348
40k
HDC tutorial
Avatar for Michiel Stock michielstock
2
690
Max Prin - Stacking Signals: How International SEO Comes Together (And Falls Apart)
Avatar for Tech SEO Connect techseoconnect
PRO
0
170
How to Get Subject Matter Experts Bought In and Actively Contributing to SEO & PR Initiatives.
Avatar for Liv Day livdayseo
0
130
Building Experiences: Design Systems, User Experience, and Full Site Editing
Avatar for Michelle Schulp Hunt marktimemedia
0
520
Data-driven link building: lessons from a $708K investment (BrightonSEO talk)
Avatar for Szymon Słowik szymonslowik
1
1.1k
A brief & incomplete history of 
UX Design for the World Wide Web: 1989–2019
Avatar for Jason CranfordTeague jct
2
390
The SEO identity crisis: Don't let AI make you average
Avatar for Varn varn
0
480
Improving Core Web Vitals using Speculation Rules API
Avatar for Sergey Chernyshev sergeychernyshev
21
1.5k
Site-Speed That Sticks
Avatar for Harry Roberts csswizardry
13
1.2k
Design in an AI World
Avatar for tapps tapps
1
220
Into the Great Unknown - MozCon
Avatar for Noah Learner thekraken
41
2.5k

Transcript

  1. SLIDESMANIA.COM 2024-08-26 AWS Community Builders集合!

  2. SLIDESMANIA.COM 早川裕志 (Hiroshi Hayakawa) Senior Cloud Architect AWS Community Builders

    (Security & Identity) AWS Ambassadors Japan AWS Top Engineers (Services) Japan AWS All Certifications Engineers 好きなサービス: GuardDuty, Step Functions GameDay中毒: 🥇 x2 🥈 x1 🥉 x3 2 Photo from AWS Blog

  3. はじめに • 免責事項 ◦ re:Inforce どころか re:Invent も現地参加経験ナシ ◦ オンライン視聴&YouTube&re:Capイベント等で情報収集

    • 今⽇の⽬的 ◦ すばらしいキーノートを掘り下げ ◦ re:Inforce に参加したい&させなきゃ!を増やしたい 3

  4. AWS re:Inforceとは? • AWSが主催するクラウドセキュリティやコンプライアンスに特化した 学習型カンファレンス • AWS セキュリティのエキスパートやパートナーとともに、最先端の セキュリティ情報を短時間で効率的に収集可能 ◦

    250を超えるセッション(上級者向けが70%以上) ◦ AWSのセキュリティリーダーシップによるセッション ◦ 100を超えるインタラクティブセッション (GameDay, JAM等) ◦ トップマネジメントとのクローズドセッション (Japan Tour限定) • 今年は 6/10-12にフィラデルフィアで開催 (通算5回⽬) • re:Inventと⽐較すると⼩規模&セキュリティにフォーカス AWS re:Inforce 2024⽇本語紹介ページ: https://aws.amazon.com/jp/events/reinforce-2024/ 4

  5. re:Inforce 2024のリアルタイム配信 • Keynote • Innovation Talks ◦ Explorations of

    cryptography research | SEC204 ◦ The building blocks of a culture of security | SEC202 ◦ Securely accelerating generative AI innovation | SEC203 ◦ Provably secure authorization | SEC201 現在はBreakoutも含めオンデマンドで視聴可能 (ワークショップ等は除く) AWS re:Inforce Watch on demand: https://reinforce.awsevents.com/on-demand/ 東海岸&夏時間 のおかげで-13h 5

  6. Keynote 6 • Key speakers ◦ Chris Betz (CISO@AWS[2023-]) ◦

    Steve Schmidt (CSO@Amazon, CISO@AWS[2010-2022]) • Top Themes: ◦ Culture of Security ◦ Secure by Deisgn ◦ Zero-trust ◦ GenAIの活⽤促進

  7. Culture of Security 組織全体でセキュリティを優先していく “カルチャー ” • セキュリティについて CEOやリーダーシップチームと毎週会議を実施 •

    Security Guardian program ◦ セキュリティ意識の高い開発者がチーム内でセキュリティを推進することを自発的に表明し、セキュ リティの考慮をより早く(シフトレフト)、より頻繁に行われるようにすることで、セキュリティ所有権を 分散し、ボトルネックを解消する ”メカニズム ” ◦ セキュリティのオーナーシップはプロダクトチーム (inc. Security Guardian)が保有し、脅威モデリ ングからテストまで積極的に主導。 💡DevSecOpsの実装事例。組織文化論をメカニズムとして実装している点がポイント • Secure by Design(詳細後述) ◦ 最初からセキュリティを考える。 • 一夜で構築できるものではなく、一貫した強化と継続的な努力・投資がなければ失われる 7 Security Guardians program: https://aws.amazon.com/blogs/security/how-aws-built-the-security-guardians-program-a-mechanism-to-distribute-security-ownership/

  8. Secure by Design #1 物理DCからソフトウェアアーキテクチャまで、あらゆるレベルでセキュリティを実装 • AWS Graviton ◦ クラウドワークロードのためにデザインされたプロセッサ

    ◦ Graviton4ではセキュリティにより高い基準を設定 ▪ DRAM、PCIeを含む高速物理バス全てを暗号化 ▪ PAC (Pointer Authentication Code)とBTI (Branch Target Identification) (Amazon Linux 2023ではカーネル・全ソフトウェアパッケージでこれらを使用) ▪ SMT (Simultaneous Multi-Threading) の排除 8

  9. Secure by Design #2 物理DCからソフトウェアアーキテクチャまで、あらゆるレベルでセキュリティを実装 • Nitro System ◦ HardwareとFirmwareレベルで、AWS

    オペレーターのアクセスから顧客コンテンツを保護 ◦ AI/MLワークロードでは学習データやモデルを保護 • Nitro Enclaves ◦ 高度な機密データを EC2内で分離処理する仕組み ◦ 強固に分離・制限された仮想マシン ▪ ペアレントインスタンスとのローカルソケットのみ ▪ 永続化ストレージ、外部ネットワーク接続なし ◦ Attestation(認証されたコードのみを実行)のサポート ◦ KMSとの統合 💡多レイヤを横断する統合的なセキュリティ機能( MF化) 9 https://research.nccgroup.com/wp-content/uploads/2023/05/NCC_Group_AWS_Nitro_System_API_Security_Claims_Report_2023-04-11_v1.0.pdf

  10. Secure by Design #3 物理DCからソフトウェアアーキテクチャまで、あらゆるレベルでセキュリティを実装 • メモリと型セーフなプログラミング言語 (Rustなど) の使用 ◦

    メモリ関連やスレッド関連の問題を排除しアタックサーフェースを削減 ◦ Rust は AWS で最も急速に成長している言語 ▪ 多くのチームが重要なコンポーネントをその言語に書き直したか書き直し中 ▪ 98%以上のワークロードをメモリ安全な言語で実装 ▪ [事例] S3 ShardStore(S3の新ストレージエンジン) • 暗号技術の開発・研究 ◦ AWS Libcrypto for Rust ▪ OSSのRust用暗号化ライブラリ ▪ FIPSをサポート ▪ ポスト量子暗号の実験的サポート ▪ 形式検証のための自動推論による正確性とセキュリティを強化 ◦ 最先端暗号技術の研究( c.f. SEC204-IN: Explorations of cryptography reseach) 10

  11. Secure by Design #4 自動推論によるガードレール • 証明可能な形式論理に基づいて、システムの望ましくない振る舞いを特定 • テストは重要だが入力に制限される ◦

    IAMポリシーの*指定 ◦ IPv6アドレスの組み合わせは 10^94(観測可能な宇宙の原子の数 10^82より多い) • 暗号プロトコルの正確性、ストレージシステムの一貫性、 FW, 侵入検知システム、セキュアコーディング の実践などで活用 ◦ IAM新認可エンジン ▪ 従来比65%の高速化(1秒間に1億リクエスト) ▪ c.f. SEC201-INT: Provably secure authorization ◦ CEDAR ▪ アプリケーションの認可ポリシーを記述するための言語( OSSで公開) ▪ Verfied PermissionsやVerified Accessで使用 ▪ ユーザは自身のアプリケーションで FGACを実現可能 11

  12. Key Takeaways • Inherit a world-class security team ◦ あらゆるレイヤに組み込まれた緩むことのないセキュリティ

    (Security Ratchet) に乗っかる ◦ AWSというプラットフォームを活⽤して、⾃社のコアコンピタンスを強化 • セキュリティを浸透させることでビジネスを加速する ◦ セキュリティとアジリティ&スケールは両⽴可能 ◦ Ownershipの共有と責任の分散させ、セキュリティチームをゲートにしない 💡 DevOps, DevSecOps, FinOps, Platform Engineeringなどの本質に通じる • SDLCにおける横断的関⼼事を誰かに押し付けない • そのためには「広く深く」が求められる 12

  13. さいごに • 時間があれば紹介したかったこと ◦ GenAIのセキュリティ ◦ Zero-trust ◦ 脅威インテリジェンス(⾃⾝を知る+敵を知る) ▪

    TDR305 Cyber threat intelligence sharing on AWS • re:Inforceは2025年もフィラデルフィアで6/16-18に開催! 13

  14. SLIDESMANIA.COM