20180124 AWS BlackBelt re:Invent 2017 Security-other-recap

1. © 2018, Amazon Web Services, Inc. or its Affiliates. All rights reserved.
アマゾン ウェブ サービス ジャパン株式会社
シニアマネージャー/プリンシパルソリューションアーキテクト
荒木 靖宏
シニアセキュリティソリューションアーキテクト
桐山 隼人
2018.01.24
【AWS Black Belt Online Seminar】
re:Invent Recap: Security and Other

2. © 2018, Amazon Web Services, Inc. or its Affiliates. All rights reserved.
内容についての注意点
• 本資料では2018年1月24日時点のサービス内容および価格についてご説明しています。最新の情報
はAWS公式ウェブサイト(http://aws.amazon.com)にてご確認ください。
• 資料作成には十分注意しておりますが、資料内の価格とAWS公式ウェブサイト記載の価格に相違が
あった場合、AWS公式ウェブサイトの価格を優先とさせていただきます。
• 価格は税抜表記となっています。日本居住者のお客様が東京リージョンを使用する場合、別途消費
税をご請求させていただきます。
• AWS does not offer binding price quotes. AWS pricing is publicly available and is subject to
change in accordance with the AWS Customer Agreement available at
http://aws.amazon.com/agreement/. Any pricing information included in this document is
provided only as an estimate of usage charges for AWS services based on certain information
that you have provided. Monthly charges will be based on your actual use of AWS services,
and may vary from the estimates provided.

3. © 2018, Amazon Web Services, Inc. or its Affiliates. All rights reserved.
Security update

4. © 2018, Amazon Web Services, Inc. or its Affiliates. All rights reserved.
@hkiriyam1
氏名: 桐山隼人
役割: セキュリティソリューションアーキテクト
業務: 顧客提案、ソリューション開発、市場開拓
プロフィール:
外資系総合IT会社の開発研究所にて開発エンジニア、
セキュリティベンダーにて技術営業を経た後、現職。
CISSP, CISA, ITIL, PMP, MBA, セキュリティ関連特許多数。
クラウドセキュリティに関するセミナー登壇・記事寄稿など。
自己紹介
RSA Conference 2017 APJ
「Cloud Security Strategy」
Session Speaker
AWS Startup Security Talks
「セキュリティ意識が低いCEOは
あり得ない」(ITpro)
AWS Summit Tokyo 2017
「AWSで実現するセキュリティ・オートメー
ション」(マイナビニュース)
「IoTビジネスとセキュリティを
3段階と4要素で理解する」寄
稿

5. © 2018, Amazon Web Services, Inc. or its Affiliates. All rights reserved.
43,000 名以上の参加者
60,000 名以上の
ライブストリーミング視聴者
1,300 以上のセッション
AWS re:Invent 2017 (2017年11月27日-12月1日)

6. © 2018, Amazon Web Services, Inc. or its Affiliates. All rights reserved.
11/28 TUESDAY
NIGHT LIVE

7. © 2018, Amazon Web Services, Inc. or its Affiliates. All rights reserved.
11/28 TUESDAY
NIGHT LIVE
人はソリューションの一部になりたいのであり、問題の一部
になりたい訳ではありません。
人をデータから離すことで問題は起きづらくなります。
リスクに対する良い判断は人間だけができるのであり、私達
がすべきことはそのためのツールを作ることです。

8. © 2018, Amazon Web Services, Inc. or its Affiliates. All rights reserved.
11/29 基調講演

9. © 2018, Amazon Web Services, Inc. or its Affiliates. All rights reserved.
11/29 基調講演
機密情報が第三者のデータセンターにあったとしても、デー
タに対する統制権を失うことは考えられません。
「重要なのは、自分が金庫の鍵を持つことです。」そのことを
AWSに話すと、AWSはすぐさまBYOK (Bring Your Own
Key)アーキテクチャーの要件を定義しました。

10. © 2018, Amazon Web Services, Inc. or its Affiliates. All rights reserved.
11/30 基調講演

11. © 2018, Amazon Web Services, Inc. or its Affiliates. All rights reserved.
11/30 基調講演
もはやセキュリティチームなんてないのです。
実際、全員がセキュリティエンジニアであり、
その中心は開発者なのです。
イノベーションのスピードにはセキュリティのスピードが必要
であり、その最良なやり方は自動化です。

12. © 2018, Amazon Web Services, Inc. or its Affiliates. All rights reserved.
お客様の
データ
IDと
アクセス管理
発見的統制
インフラ
ストラクチャー
保護
データ
保護
インシデント
レスポンス
リスクと
コンプライアンス
お客様のデータを守るAWSセキュリティ

13. © 2018, Amazon Web Services, Inc. or its Affiliates. All rights reserved.
IDとアクセス管理

14. © 2018, Amazon Web Services, Inc. or its Affiliates. All rights reserved.
新しいIAMポリシーのビジュアルエディタで
ポリシー記述が容易に
• AWS IAMのコンソールにてGUIによる操作でルールを記述できるポ
リシーエディタが新たに利用可能に
• 許可・拒否するアクションの指定や条件を定義するconditionの設定
も可能なので、最小権限付与の原則を守りやすくなる
https://aws.amazon.com/jp/about-aws/whats-new/2017/11/use-the-new-visual-editor-to-create-and-modify-your-aws-iam-policies/

15. © 2018, Amazon Web Services, Inc. or its Affiliates. All rights reserved.
AWS Single Sign-On (SSO) の提供開始
• AWS アカウントとビジネスアプリケーションへの
シングルサインオン (SSO) を提供するマネージドサービス
複数 AWS アカウントのコ
ンソールに
SSO アクセス
簡単に利用を
始めれる
既存の社内 ID 基盤
（Active Directory）
を活用する
ビジネス
アプリケーションに
SSO アクセス
[AWS Single Sign-On (SSO)] https://aws.amazon.com/jp/single-sign-on/

16. © 2018, Amazon Web Services, Inc. or its Affiliates. All rights reserved.
発見的統制

17. © 2018, Amazon Web Services, Inc. or its Affiliates. All rights reserved.
Amazon CloudWatch アラームのアップデート
https://aws.amazon.com/jp/about-aws/whats-new/2017/12/amazon-cloudwatch-alarms-now-alerts-you-when-any-m-out-of-n-metric-datapoints-in-an-interval-are-above-your-threshold/
• 今回の発表により、メトリクスの N 個のデータポイントのうち
M 個が所定のしきい値を超えた場合に警告する CloudWatch
アラームを作成可能に
• 例えば、5 分間隔でメトリックスを取得している場合、データ
ポイント 5 回のうち 3 回が閾値を超えた場合、アラートを上げる、という
設定が可能

18. © 2018, Amazon Web Services, Inc. or its Affiliates. All rights reserved.
Amazon CloudWatch ログが KMS 暗号化をサポート
https://aws.amazon.com/jp/about-aws/whats-new/2017/12/amazon-cloudwatch-logs-now-supports-kms-encryption/
• CloudWatch Logs に保存されたログデータを AWS Key Management
Service (KMS) を使って暗号化可能に
• CMK (カスタマーマスターキー)とロググループを関連付けることにより
ロググループレベルで暗号化を有効化可能
• ロググループの新たに取り込まれたすべてのデータが CMK を使用し
て暗号化

19. © 2018, Amazon Web Services, Inc. or its Affiliates. All rights reserved.
Amazon CloudWatch とAWS Systems Manager の
エージェントが統合
https://aws.amazon.com/jp/about-aws/whats-new/2017/12/amazon-cloudwatch-introduces-a-new-cloudwatch-agent-with-aws-systems-manager-integration-for-unified-metrics-and-logs-collection/
• Cross-Platform / Cross-Environment
• Cloud/Onprem/Windows/Linux 等の環境に依存しない共通な Agent
• Single Agent
• Metrics, Logs も単一の Agent から CloudWatch に送信可能
• 同時に AWS Systems Manager との連携も可能
• CloudWatch-Friendly (親和性)
• 標準の 1 分間隔メトリクスも、新しい 1 秒間隔の高解像度メトリクスもサポート
• Migration
• 簡単に新しいエージェントに移行できるプロセス

20. © 2018, Amazon Web Services, Inc. or its Affiliates. All rights reserved.
AWS CloudTrail にAWS Lambda 関数の
実行ログ機能を追加
• CloudTrail Lambda データイベント機能にてLambda関数の実行ログを取得可能に
– 関数がいつ誰によって作成、変更、削除されたかという情報
– Lambdaデータイベントの記録
– どの関数が実行されたか
– いつ誰がどのAPIコールを呼び出したのか
• 全てのLambdaデータイベントは S3 や CloudWatch Events に送出可能
• 設定
– AWS CloudTrailコンソールやAWS CLI、SDKを使うことで、AWS Lambdaデータイベント機能を有効化可能
– 既存のトレールを編集することで設定可能
• リージョン
– 全てのリージョン（GovCloud, 中国リージョン含む）
https://aws.amazon.com/jp/blogs/news/aws-cloudtrail-adds-logging-of-execution-activity-for-aws-lambda-functions/

21. © 2018, Amazon Web Services, Inc. or its Affiliates. All rights reserved.
継続的なセキュリティ監視と脅威の検知を実現する
Amazon GuardDutyを発表
• CloudTrailやDNSのログ、VPC Flow Logs等の
データから疑わしいアクティビティを検知する
• GuardDutyはAWSが管理する基盤で動作し、エー
ジェント等の導入は不要。性能影響もない
• サービスが検知したイベントは重要度に応じて3レ
ベルにラベリングされ、推奨される対策とともに提
示される
• 処理したログ量に応じた課金体系。30日の無料試
用により実績量を測定できる
• 東京を含む各リージョンで利用可能に
[Amazon GuardDuty] https://aws.amazon.com/jp/guardduty/

22. © 2018, Amazon Web Services, Inc. or its Affiliates. All rights reserved.
インフラストラクチャー保護

23. © 2018, Amazon Web Services, Inc. or its Affiliates. All rights reserved.
AWS WAFでパートナーの提供による
マネージドルールが利用可能に
• パートナーが管理するマネージドルールを利用す
ることで、ウェブアプリやAPIの保護を即座に開始
することができるように
• 現時点でAlert Logic, Fortinet, Imperva, Trend
Micro, TrustWaveなどセキュリティのエキスパート
がルールを提供
• AWS Marketplaceを通じて調達でき、従量制の料
金で利用可能。長期契約は必要ない
• ルールの適用はAWS WAFのコンソールからも
[AWS WAF Managed Rules] https://aws.amazon.com/jp/mp/security/WAFManagedRules/

24. © 2018, Amazon Web Services, Inc. or its Affiliates. All rights reserved.
AWS Shieldグローバル脅威環境ダッシュボードでAWS
全体における DDoS 攻撃の傾向を把握
https://aws.amazon.com/jp/about-aws/whats-new/2017/11/global-threat-environment-dashboard-view-ddos-attack-trends-across-aws/
グローバル脅威環境
Global threat environment
を選択

25. © 2018, Amazon Web Services, Inc. or its Affiliates. All rights reserved.
AWS Shield Advanced の保護対象に
NLB と EC2 が追加
• 従来の CloudFront, CLB/ALB, Route 53 に加えて NLB と EC2 もAWS
Shield Advanced による DDoS 保護が可能に
• EC2 によりホストされている UDP 等のアプリケーションにもAmazon
DDoS Response Team (DRT) のサポートや経済的保護等の利点を活用
可能に
https://aws.amazon.com/jp/about-aws/whats-new/2017/11/aws-shield-adds-advanced-ddos-protection-for-ec2-and-network-load-balancer/

26. © 2018, Amazon Web Services, Inc. or its Affiliates. All rights reserved.
データ保護

27. © 2018, Amazon Web Services, Inc. or its Affiliates. All rights reserved.
Amazon Lightsailで証明書管理機能を持った
ロードバランサーを利用可能に
• ロードバランサーを利用することで、HTTPSベース
のセキュアなアプリを簡単に構築可能に
• SSL/TLS証明書は無料でリクエストでき、有効期限
が近づいたら自動的に更新処理が行われる
• Lightsailのロードバランサは自動化されたヘルス
チェック結果に従い、正常に動作しているインスタ
ンスにトラフィックを振り分ける
• ロードバランサの料金は月額18ドル(US価格)。東
京を含む各リージョンで利用可能
https://aws.amazon.com/jp/about-aws/whats-new/2017/11/amazon-lightsail-adds-load-balancers-with-integrated-certificate-management/

28. © 2018, Amazon Web Services, Inc. or its Affiliates. All rights reserved.
Amazon S3の新しい暗号化と
セキュリティ機能を発表
• Amazon S3で暗号化とセキュリティに関わる5つの
機能が追加された
– デフォルト暗号化
バケットポリシーを定義することなく、バケットに格納するオブジェクトの暗号化を
強制することが可能に
– アクセス許可チェック
S3コンソールで公開アクセスが許可されたバケットが容易に分かるようなインジ
ケータを表示するようになった
– クロスリージョンレプリケーションのACL上書き
AWSアカウント間でオブジェクトのレプリケーションをする際に、受け取り側アカウ
ントのACLを適用し直すよう設定できるようになった
– KMSで暗号化されたオブジェクトのクロスリージョンレプリケーション
レプリケーション実行時に送信先で利用するキーを指定可能に
– インベントリレポートで暗号化ステータスを出力
日次または週次で出力するインベントリレポートにオブジェクトの暗号化状態を出
力できるようになった
https://aws.amazon.com/jp/blogs/news/new-amazon-s3-encryption-security-features/

29. © 2018, Amazon Web Services, Inc. or its Affiliates. All rights reserved.
インシデントレスポンス

30. © 2018, Amazon Web Services, Inc. or its Affiliates. All rights reserved.
クラウドとハイブリッドリソースの統合管理
AWS Systems Managerを発表
• ハイブリッド環境のリソースやアプリケーションを管
理するための統合インタフェースを提供
• EC2やELBなどタグ付け可能なリソースをグルーピ
ングし、ダッシュボード形式でオペレーションに必要
な情報を可視化する
• 運用自動化やパッチ適用、パラメータストアとの連
携も可能に
• AWS Systems Managerは無料。東京を含む全て
のパブリックなリージョンで利用できる
[AWS Systems Manager] https://aws.amazon.com/jp/systems-manager/

31. © 2018, Amazon Web Services, Inc. or its Affiliates. All rights reserved.
リスクとコンプライアンス

32. © 2018, Amazon Web Services, Inc. or its Affiliates. All rights reserved.
Amazon Inspector の利用開始とセキュリティ評価がより
簡単になる 3 つの新しい拡張機能
• AWS CloudFormation のサポート
• Inspector のリソースグループ、評価ターゲット、評価テンプレートを作成可
• AWS::Inspector::ResourceGroup
• AWS::Inspector::AssessmentTarget
• AWS::Inspector::AssessmentTemplate
• Amazon Inspector Agent が事前インストールされた Amazon Linux AMI
• Marketplaceから入手可能な Amazon Linux 2017.09 AMI でデプロイを更にすばやく
• Service-linked Role
• Inspector の IAM ロールを作成して登録する必要がなくなる
{
"Effect": "Allow",
"Action": [
"iam:CreateServiceLinkedRole",
],
"Resource": "arn:aws:iam::*:role/aws-service-role/inspector.amazonaws.com/AWSServiceRoleForAmazonInspector “
}
https://aws.amazon.com/jp/about-aws/whats-new/2017/12/amazon-inspector-announces-aws-cloudformation-support--a-new-ami-pre-installed-with-the-inspector-agent--and-use-of-service-linked-roles/

33. © 2018, Amazon Web Services, Inc. or its Affiliates. All rights reserved.
Amazon Inspector のルールパッケージが OS カーネル
バージョンに依存しないで評価可能に
• Inspector エージェントがインストールされるカーネルのバージョンに関係なく、サ
ポートされる OS 上で以下のルールパッケージが実行可能に
• 共通脆弱性識別子 (CVE)
• Center for Internet Security (CIS) ベンチマーク
• AWS セキュリティのベストプラクティス
• 実行時振る舞い分析(Runtime Behavior Analysis)ルールパッケージは、依然としてカーネ
ル依存
• サポートする OS カーネルバージョンのリストはこちら
https://docs.aws.amazon.com/inspector/latest/userguide/inspector_supported_os_regions.html#inspector_supported-linux-os
• サポート対象の Linux OS であれば、デフォルトでないカーネル、古いカーネル、
カスタムカーネルであっても、その評価を実行可能に
https://aws.amazon.com/jp/about-aws/whats-new/2018/01/amazon-inspector-no-longer-requires-a-compatible-kernel-for-rules-packages-like-common-vulnerabilities-and-exposures-cve/

34. © 2018, Amazon Web Services, Inc. or its Affiliates. All rights reserved.
お客様の
データ
IDと
アクセス管理
発見的統制
インフラ
ストラクチャー
保護
データ
保護
インシデント
レスポンス
リスクと
コンプライアンス
お客様のデータを守るAWSセキュリティ
OrganizationsIAM
CloudWatch
CloudTrail
VPC flow logs
WAFsecurity groupKMS CloudHSM
Lambda
AWS Step Functions
Config
Service CatalogTrusted Advisor

35. © 2018, Amazon Web Services, Inc. or its Affiliates. All rights reserved.
お客様の
データ
セキュリティもマネージドサービスへ
OrganizationsIAM
CloudWatch
CloudTrail
VPC flow logs
WAFsecurity groupKMS CloudHSM
Lambda
AWS Step Functions
Config
Service CatalogTrusted Advisor
AWS Single Sign-On
(SSO)
Amazon
GuardDuty
AWS Shield
Amazon Macie
AWS Systems
Manager
Amazon
Inspector

36. © 2018, Amazon Web Services, Inc. or its Affiliates. All rights reserved.
[AWS re:Invent 2017 Security re:Cap セミナー開催報告] http://aws.typepad.com/sajp/2017/12/aws-reinvent-2017-security-recap-seminar-report.html

37. © 2018, Amazon Web Services, Inc. or its Affiliates. All rights reserved.
IoTセキュリティ

38. © 2018, Amazon Web Services, Inc. or its Affiliates. All rights reserved.
Amazon Cogintoの認証機能を強化する
Advanced Security Features(ASF)を発表
• アプリケーションのユーザアカウント保護をさ
らに強化する機能をベータで提供開始
– 通常と異なるアクセスパターンを検知した際にリスク
スコアを設定。それに基づいてアクセスを拒否したり
追加認証を要求できる
– Google AuthenticatorやAuthyのような時刻ベースの
ワンタイムパスワードを利用可能に
– アカウント情報が漏洩したと推測される際に、ユーザ
にパスワード変更を促すことができる
• バージニア、オハイオ、オレゴン、フランクフ
ルト、アイルランド、ロンドンで利用可能
https://aws.amazon.com/jp/about-aws/whats-new/2017/11/announcing-advanced-security-features-beta-for-amazon-cognito/

39. © 2018, Amazon Web Services, Inc. or its Affiliates. All rights reserved.
AWS IoT Coreの認証機能を強化
• OAuthなどのトークベンースの認証システムを利用することで、X.509
証明書をデバイスに配置することなくクラウドに接続できるように
• X.509証明書で認証を行うとAWS IoT CoreがIAM Roleと紐付いたIAM
のクレデンシャルを取得するようになった。これによって複数の認証情
報を管理する必要がなくなり管理がシンプルに
• 東京をはじめ、バージニア、オハイ
オ、オレゴン、ソウル、シンガポー
ル、シドニー、フランクフルト、ダ
ブリン、ロンドンで利用可能
[AWS IoT Core] https://aws.amazon.com/jp/iot-core/

40. © 2018, Amazon Web Services, Inc. or its Affiliates. All rights reserved.
IoTデバイスの管理運用を容易にする
AWS IoT Device Managementを発表
• 膨大な数のIoTデバイス群のセットアップや監
視、更新、リタイアをまとめて実行可能にする
– デバイス登録：工場出荷状態のデバイスを登録するワーク
フローをコントロールできる
– 管理：大量のデバイス管理のためIoT Device Registoryを
拡張し、階層による管理機能を追加
– 監視：デバイスからのテレメトリ情報をAmazon
CloudWatchに連携し、メトリクスの収集や例外値の調査
に活用できる
– 遠隔管理：デバイスに対してセットアップや、ソフトウェ
アアップデート、工場出荷状態へのリセット、再起動など
を実行
[AWS IoT Device Management] https://aws.amazon.com/jp/iot-device-management/

41. © 2018, Amazon Web Services, Inc. or its Affiliates. All rights reserved.
IoTデバイス群をさらにセキュアにする
AWS IoT Device Defenderの開発が進行中
• IoTデバイスのセキュリティを担保するための
新たなサービスを開発中。詳細は今後発表
• 主に以下のような機能を提供する
– 継続的な監査
デバイスがあらかじめ設定したセキュリティポリシーに合致しているか
モニタリングする。定期的な実行と任意のタイミングでの実行の双方を
サポート
– リアルタイムの検知と警告
疑わしいデバイスの挙動を迅速に検知し、アラートを発報する。通常時
のデバイスの振る舞いや通信パターンなどのデータを元に機械学習のテ
クノロジを活用
– 迅速な調査と緩和
デバイスの基礎情報や分析結果、自己診断ログなどの情報が提供される。
これを利用して異常なデバイスに対して再起動やアクセス権限の剥奪、
セキュリティパッチの配信やファクトリーリセットが可能に
[AWS IoT Device Defender] https://aws.amazon.com/jp/iot-device-defender/

42. © 2018, Amazon Web Services, Inc. or its Affiliates. All rights reserved.
Other update

43. © 2018, Amazon Web Services, Inc. or its Affiliates. All rights reserved.
自己紹介
荒木靖宏
技術スペシャリストのリーダーをしています
Linux、IPネットワークからWebサービスまで

44. © 2017, Amazon Web Services, Inc. or its Affiliates. All rights reserved.
AWS Media Services
ストリーミングワークロード向けの
マネージドサービス

45. AWS Media Servicesを発表
• 放送品質レベルのメディアワークロード向け
マネージドサービス発表
– AWS Elemental MediaConvert
様々なフォーマットとコーデックをサポートし、ブロードキャストおよびマルチスク
リーン配信用ファイルベースのトランスコーディングサービス
– AWS Elemental MediaLive
ブロードキャストやストリーミング配信用のライブエンコーディングサービス
– AWS Elemental MediaPackage
単一の元素材から多種類のデバイスに対してセキュアなストリーミングを行うための
ジャストインタイムパッケージサービス。DRMや広告挿入もサポート
– AWS Elemental MediaTailor
サーバサイド・クライアントサイドにおいて、コンテンツへパーソナライズされた広告
挿入を可能にするサービス
– AWS Elemental MediaStore
Amazon S3をベースとしたライブおよびオンデマンドビデオ用の高性能
メディア最適化ストレージサービス
全て冗長化済みのマネージドサービス
現在MediaConvert
とMediaPackageが
Tokyo Regionで利
用可能

46. © 2017, Amazon Web Services, Inc. or its Affiliates. All rights reserved.
Amazon Sumerian
VR・AR・3D コンテンツの開発を容易に

47. © 2017, Amazon Web Services, Inc. or its Affiliates. All rights reserved.
Amazon Sumerian
VR・AR・3D コンテンツの開発を容易に
マルチプラットフォームに向けたVR/AR/3Dコ
ンテンツを開発するためのツールキット
3Dグラフィクスや特殊なプログラミングの知識
がなくても、リッチなユーザエクスペリエンスを
提供することが可能に
UnityのプロジェクトやFBX/OBJ形式のオブ
ジェクトをインポートして利用できる

48. © 2018, Amazon Web Services, Inc. or its Affiliates. All rights reserved.