Upgrade to Pro
— share decks privately, control downloads, hide ads and more …
Speaker Deck
Features
Speaker Deck
PRO
Sign in
Sign up for free
Search
Search
Classmethod_regrowth_2024_tokyo_security_identi...
Search
h-ashisan
December 10, 2024
Technology
1.7k
0
Share
Embed
Copy iframe code
Copy JS code
Copy link
Start on current slide
Classmethod_regrowth_2024_tokyo_security_identity_governance_summary
h-ashisan
December 10, 2024
More Decks by h-ashisan
See All by h-ashisan
regrowth_tokyo_2025_securityagent
hiashisan
0
680
Tokyo_reInforce_2025_recap_iam_access_analyzer
hiashisan
0
460
OpsJAWS34_CloudTrailLake_for_Organizations
hiashisan
0
900
2024/11/29_失敗談から学ぶ! エンジニア向けre:Invent攻略アンチパターン集
hiashisan
0
840
20241015 Toranomon Tech Hub#1 Service Catalog使ってみた
hiashisan
0
820
Practical-AWS-Security-measures-you-can-implement-now
hiashisan
0
890
20240724_cm_odyssey_hibiyatech
hiashisan
0
630
[2024最新版]AWS Control Towerを使ったセキュアなマルチアカウント環境の作り方
hiashisan
0
1.5k
クラウド利用者の「責任」をどう果たす?AWSセキュリティ対策のススメ #AWSSummit
hiashisan
0
940
Other Decks in Technology
See All in Technology
Socrates × Looker 〜セマンティックレイヤーで進化するデータ分析エージェント〜
hanon52_
3
2.1k
AI-DLCを活用した高品質・安全なAI駆動開発実践 / AI Driven Development with AI-DLC
yoshidashingo
0
170
フロンティアAIのゲート化と地政学リスク
nagatsu
0
130
protovalidate-es を導入してみた
bengo4com
0
170
2026TECHFRESH畢業分享會 - 葬送的通靈師:化系統與用戶雜訊成行動訊號
line_developers_tw
PRO
0
830
日本 Fintech 未来予測レポート 2027〜2028年(オリジナル版)
8maki
0
1.9k
On-behalf-of Token exchange with AgentCore Identity
hironobuiga
2
150
EventBridge Connection
_kensh
5
690
Android の公式 Skill / Android skills
yanzm
0
130
攻撃者視点で考えるDetection Engineering
cryptopeg
1
1.2k
AmazonRoute 53ではじめてのドメイン取得!HTTPS化までの道のりを整理してみた
usanchuu
3
130
機械学習を「社会実装」するということ 2026年夏版 / Social Implementation of Machine Learning June 2026 Version
moepy_stats
4
1.5k
Featured
See All Featured
エンジニアに許された特別な時間の終わり
watany
107
250k
How to Build an AI Search Optimization Roadmap - Criteria and Steps to Take #SEOIRL
aleyda
1
2.1k
Organizational Design Perspectives: An Ontology of Organizational Design Elements
kimpetersen
PRO
1
720
Navigating the moral maze — ethical principles for Al-driven product design
skipperchong
2
390
Believing is Seeing
oripsolob
1
140
Mind Mapping
helmedeiros
PRO
1
240
Principles of Awesome APIs and How to Build Them.
keavy
128
17k
Highjacked: Video Game Concept Design
rkendrick25
PRO
1
390
Building Adaptive Systems
keathley
44
3k
How to Get Subject Matter Experts Bought In and Actively Contributing to SEO & PR Initiatives.
livdayseo
0
140
Automating Front-end Workflow
addyosmani
1370
210k
How to build an LLM SEO readiness audit: a practical framework
nmsamuel
1
770
Transcript
2024/12/10 芦沢 広昭 クラスメソッド re:Growth 2024 東京 5分でわかる最新のAWSセキュリティガバナンス 〜Security, Identity
& Governance関連アプデまとめ〜
注意事項 ‧5分LTにつきスライドは早めに送ります ‧スライドは既にブログで公開済みです(多分)
⾃⼰紹介 芦沢 広昭 (あしざわひろあき) • 所属 ◦ AWS事業本部コンサルティング部 • ⼊社
◦ 2021年 9⽉ • ⼀番興奮したアップデート ◦ declarative policy for EC2 • 楽しかったイベント ◦ AWS re:Play
今年のre:Invent の セキュリティ系アップデートは6個! • [新サービス] AWS Security Incident Response •
[新機能] GuardDuty Extended Threat Detection(拡張脅威検出) • [機能拡張] Verified Access がTCP経由での接続をサポート(Preview) • [新機能] OpenSearch ServiceとSecurity LakeがZero-ETL 統合をサポート • [新機能] Orgnaizationsに宣⾔型ポリシー(declarative policies) が登場 • [新機能] Control Towerが宣⾔型ポリシー(declarative policies) をサポート ※2024/12/1〜2024/12/6(現地時間)までのアップデート ⾚字は個⼈的イチオシアップデート
今年のre:Invent予選落ち セキュリティ系アップデートは9個! • [新機能] Orgnaizations にRCP(resource control policies) が登場 •
[新機能] CloudTrail Lake のAI を活⽤した⾃然⾔語によるクエリ⽣成機能がGA • [新機能] Control Tower がRCP(resource control policies) をサポート • [新機能] Orgnaizations にRoot access management が登場 • [新機能] CloudTrail Lake のダッシュボード追加、イベントデータストアのアカウント共有 • [機能拡張] Resource Explorer でセキュリティ‧運⽤などの追加項⽬が確認可能に • [機能拡張] Control Tower にコントロールドリフトを解決するAPI が追加 • [機能拡張] Control Tower ランディングゾーン設定にAWS Backup が追加 • [新機能] AWS Artifact に対するきめ細かなアクセス許可が利⽤可能に ⾚字は個⼈的イチオシアップデート ※2024/11/14〜2024/11/31(現地時間)までのアップデート
本セッションでやること 制限時間(5分)内に re:Inventアプデ + おすすめの予選落ちアプデ を 時間の許す限り紹介します!
個⼈的なイチオシアップデートから紹介 • [新機能] Orgnaizationsに宣⾔型ポリシー(declarative policies) が登場 • [新機能] Orgnaizations にRCP(resource
control policies) が登場 • [新機能] Orgnaizations にRoot access management が登場 • [機能拡張] Control Tower ランディングゾーン設定にAWS Backup が追加 re:Invent 予選落ち 予選落ち 予選落ち
[新機能] Orgnaizationsに宣⾔型ポリシー(declarative policies) が登場 • サービスのベースライン構成を指定して組織全体に適⽤できる新しいガバ ナンス機能。現在はEC2系のサービス(EC2,VPC,EBS)のみをサポート。 • APIレベルでアクセスを制限する承認ポリシー(SCPやRCP)と異なり、 サービスのコントロールプレーンで直接構成を指定するため、新機能やAPI
追加時に抜け漏れがない柔軟性の⾼さが強み。 リンク:https://dev.classmethod.jp/articles/aws-organizations-declarative-policies-available/ re:Invent
[新機能] Orgnaizations にRCP(resource control policies) が登場 • 組織内のアカウントに対するリソースへのアクセスを制限する新しい承認 ポリシーの1つ。 •
従来のSCPは組織内のIAMプリンシパルのAPI実⾏を制限する⼀⽅、RCPは 組織内のAWSリソースへのAPI実⾏を制限する。 • 現在はS3、STS、KMS、SQS、Secrets Managerをサポート。 リンク:https://dev.classmethod.jp/articles/organizations-resource-control-policies-rcps/ 予選落ち
[新機能] Orgnaizations にRoot access management が登場 • Organizations管理アカウントからメンバーアカウントに対し 「ルートユーザー認証情報の削除」「S3バケットポリシーの削除」 「SQSキューポリシーの削除」というルートユーザー特有の操作が実⾏で
きるようになった。 リンク:https://dev.classmethod.jp/articles/root-access-management/ 予選落ち
[機能拡張] Control Tower ランディングゾーン設定にAWS Backup が追加 • Control Towerランディングゾーンの設定に「AWS Backup」の項⽬が追加
• 初期設定時、Security OUに新しく中央バックアップアカウントと バックアップ管理者アカウントを追加する必要がある • 頻度を表すタグを付与するとリソースのバックアップが取得される(はず) リンク :https://docs.aws.amazon.com/controltower/latest/userguide/backup.ht ml 予選落ち
本セッションでやること イチオシはここまで ここからre:Inventアプデの残り
[新サービス] AWS Security Incident Response • AWS上のセキュリティインシデント発⽣時に、AWSのCIRTチームが 24時間365⽇の有⼈サポートを提供するサービス。 • GuardDutyや3rd
Party製品(CrowdStrike, TrendMicroなど)からの情報を AWS Security Hub経由で収集、インシデント対応に利⽤。 • 料⾦は⽉額7,000 USDから、ハイエンドなサポートサービス。 リンク:https://dev.classmethod.jp/articles/released-aws-security-incident-response/ re:Invent
[新機能] GuardDuty Extended Threat Detection(拡張脅威検出) • 従来は単独で検出されていたイベントを、時系列にまとめて 攻撃のシナリオとして理解できるようになる。 • 具体的には、"Attack
sequence"と呼ばれる新しい脅威タイプの追加。 IAMクレデンシャルの漏洩やS3データ漏洩などの攻撃シナリオを検出可能。 • 攻撃の全体像の把握、対応の迅速化に役⽴つ。 リンク:https://dev.classmethod.jp/articles/released-amazon-guardduty-extended-threat-detection/ re:Invent
[機能拡張] Verified Access がTCP経由での接続をサポート(Preview) • 過去2年間はHTTP/HTTPSのみだったが、新しくTCP接続をサポートすることで SSH / RPD /
データベース接続 / SMTPなどが利⽤可能に。 • 従来VPNを必要としていた場⾯で、セキュアでシンプルなアクセスが実現可能 に。 • クライアントへの構成ファイル配布 & Clientインストールが別途必要な点に注意。 リンク :https://dev.classmethod.jp/articles/aws-verified-access-secure-access-resources-non-https-protocols-previ ew/ re:Invent
[新機能] OpenSearch ServiceとSecurity LakeがZero-ETL 統合をサポート • 従来のデータ抽出‧変換‧ロード(ETL)プロセスを省略、OpenSearch ServiceからSecurity Lakeのセキュリティデータを直接クエリして分析でき るようになった。あまりクエリされないデータの分析に適している。
• 似た機能の「Amazon OpenSearch Ingestion」はリアルタイム分析と頻繁 にクエリされるデータの分析に適している。 リンク:https://dev.classmethod.jp/articles/amazon-opensearch-zeroetl-securitylake-ga/ re:Invent
[新機能] Control Towerが宣⾔型ポリシー(declarative policies) をサポート • Control Towerコントロールとして宣⾔型ポリシーが早速利⽤可能に • 「VPC
/ EBSスナップショット / シリアルコンソール / AMI」の公開範囲を 制御する4つの宣⾔型ポリシーをサポート ※残り2つは未サポート リンク:https://dev.classmethod.jp/articles/aws-organizations-declarative-policies-available/ re:Invent
re:Invent予選落ちアップデート を簡潔に紹介 (1/2) [新機能] CloudTrail Lake のAI を活⽤した⾃然⾔語によるクエリ⽣成機能がGA • クエリ⽣成だけでなくクエリ結果の要約もできるように。対応⾔語は英語のみ。
[新機能] Control Tower がRCP(resource control policies) をサポート • Control TowerコントロールでもRCPが登場。 [新機能] CloudTrail Lake のダッシュボード追加、イベントデータストアのアカウント共有 • 事前定義されたダッシュボードウィジェットが14個追加(Preview)、リソースベースポリシー を使ったイベントデータストアのクロスアカウント共有が可能に
re:Invent予選落ちアップデート を簡潔に紹介 (2/2) [機能拡張] Resource Explorer でセキュリティ‧運⽤などの追加項⽬が確認可能に • リソースのプロパティ情報、コスト、AWS Security
Hub の検出結果、 AWS Config のコンプライアンス、タイムライン、リソースの関係グラフが確認可能に [機能拡張] Control Tower にコントロールドリフトを解決するAPI が追加 • ResetEnabledControl API が追加され、コントールドリフトをプログラムで解決したり、 API経由でコントロールを再デプロイできるようになった。 [新機能] AWS Artifact に対するきめ細かなアクセス許可が利⽤可能に • これまでは「artifact:Get」というAPIアクションのみだったが、 より細かく分けられるオプションが追加された
セキュリティ系アップデート全体像 ◼ re:Invent アップデート(6) • [新サービス] AWS Security Incident Response
• [新機能] GuardDuty Extended Threat Detection(拡張脅 威検出) • [機能拡張] Verified Access がTCP経由での接続をサポー ト(Preview) • [新機能] OpenSearch ServiceとSecurity Lakeが Zero-ETL 統合をサポート • [新機能] Orgnaizationsに宣⾔型ポリシー(declarative policies) が登場 • [新機能] Control Towerが宣⾔型ポリシー(declarative policies) をサポート ◼ 予選落ち アップデート(9) • [新機能] Orgnaizations にRCP(resource control policies) が 登場 • [新機能] CloudTrail Lake のAI を活⽤した⾃然⾔語によるクエ リ⽣成機能がGA • [新機能] Control Tower がRCP(resource control policies) を サポート • [新機能] Orgnaizations にRoot access management が登場 • [新機能] CloudTrail Lake のダッシュボード追加、イベント データストアのアカウント共有 • [機能拡張] Resource Explorer でセキュリティ‧運⽤などの追 加項⽬が確認可能に • [機能拡張] Control Tower にコントロールドリフトを解決する API が追加 • [機能拡張] Control Tower ランディングゾーン設定にAWS Backup が追加 • [新機能] AWS Artifact に対するきめ細かなアクセス許可が利⽤ 可能に
締めの⾔葉 re:Invent 2024のセキュリティ系アップデートは 早め(年内)にキャッチアップして、 来年6⽉のre:Inforce 2025に備えよう!
None
hiashisan
hanon52_
yoshidashingo
nagatsu
bengo4com
line_developers_tw
8maki
hironobuiga
_kensh
yanzm
cryptopeg
usanchuu
moepy_stats
watany
aleyda
kimpetersen
skipperchong
oripsolob
helmedeiros
keavy
rkendrick25
keathley
livdayseo
addyosmani
nmsamuel
![今年のre:Invent の セキュリティ系アップデートは6個! • [新サービス] AWS Security Incident Response •](https://files.speakerdeck.com/presentations/7fd2593f67714f50bd700ce35fe7e203/slide_3.jpg){kind=link}
![今年のre:Invent予選落ち セキュリティ系アップデートは9個! • [新機能] Orgnaizations にRCP(resource control policies) が登場 •](https://files.speakerdeck.com/presentations/7fd2593f67714f50bd700ce35fe7e203/slide_4.jpg){kind=link}
![個⼈的なイチオシアップデートから紹介 • [新機能] Orgnaizationsに宣⾔型ポリシー(declarative policies) が登場 • [新機能] Orgnaizations にRCP(resource](https://files.speakerdeck.com/presentations/7fd2593f67714f50bd700ce35fe7e203/slide_6.jpg){kind=link}
![[新機能] Orgnaizationsに宣⾔型ポリシー(declarative policies) が登場 • サービスのベースライン構成を指定して組織全体に適⽤できる新しいガバ ナンス機能。現在はEC2系のサービス(EC2,VPC,EBS)のみをサポート。 • APIレベルでアクセスを制限する承認ポリシー(SCPやRCP)と異なり、 サービスのコントロールプレーンで直接構成を指定するため、新機能やAPI](https://files.speakerdeck.com/presentations/7fd2593f67714f50bd700ce35fe7e203/slide_7.jpg){kind=link}
![[新機能] Orgnaizations にRCP(resource control policies) が登場 • 組織内のアカウントに対するリソースへのアクセスを制限する新しい承認 ポリシーの1つ。 •](https://files.speakerdeck.com/presentations/7fd2593f67714f50bd700ce35fe7e203/slide_8.jpg){kind=link}
![[新機能] Orgnaizations にRoot access management が登場 • Organizations管理アカウントからメンバーアカウントに対し 「ルートユーザー認証情報の削除」「S3バケットポリシーの削除」 「SQSキューポリシーの削除」というルートユーザー特有の操作が実⾏で](https://files.speakerdeck.com/presentations/7fd2593f67714f50bd700ce35fe7e203/slide_9.jpg){kind=link}
![[機能拡張] Control Tower ランディングゾーン設定にAWS Backup が追加 • Control Towerランディングゾーンの設定に「AWS Backup」の項⽬が追加](https://files.speakerdeck.com/presentations/7fd2593f67714f50bd700ce35fe7e203/slide_10.jpg){kind=link}
![[新サービス] AWS Security Incident Response • AWS上のセキュリティインシデント発⽣時に、AWSのCIRTチームが 24時間365⽇の有⼈サポートを提供するサービス。 • GuardDutyや3rd](https://files.speakerdeck.com/presentations/7fd2593f67714f50bd700ce35fe7e203/slide_12.jpg){kind=link}
![[新機能] GuardDuty Extended Threat Detection(拡張脅威検出) • 従来は単独で検出されていたイベントを、時系列にまとめて 攻撃のシナリオとして理解できるようになる。 • 具体的には、"Attack](https://files.speakerdeck.com/presentations/7fd2593f67714f50bd700ce35fe7e203/slide_13.jpg){kind=link}
![[機能拡張] Verified Access がTCP経由での接続をサポート(Preview) • 過去2年間はHTTP/HTTPSのみだったが、新しくTCP接続をサポートすることで SSH / RPD /](https://files.speakerdeck.com/presentations/7fd2593f67714f50bd700ce35fe7e203/slide_14.jpg){kind=link}
![[新機能] OpenSearch ServiceとSecurity LakeがZero-ETL 統合をサポート • 従来のデータ抽出‧変換‧ロード(ETL)プロセスを省略、OpenSearch ServiceからSecurity Lakeのセキュリティデータを直接クエリして分析でき るようになった。あまりクエリされないデータの分析に適している。](https://files.speakerdeck.com/presentations/7fd2593f67714f50bd700ce35fe7e203/slide_15.jpg){kind=link}
![[新機能] Control Towerが宣⾔型ポリシー(declarative policies) をサポート • Control Towerコントロールとして宣⾔型ポリシーが早速利⽤可能に • 「VPC](https://files.speakerdeck.com/presentations/7fd2593f67714f50bd700ce35fe7e203/slide_16.jpg){kind=link}
![re:Invent予選落ちアップデート を簡潔に紹介 (1/2) [新機能] CloudTrail Lake のAI を活⽤した⾃然⾔語によるクエリ⽣成機能がGA • クエリ⽣成だけでなくクエリ結果の要約もできるように。対応⾔語は英語のみ。](https://files.speakerdeck.com/presentations/7fd2593f67714f50bd700ce35fe7e203/slide_17.jpg){kind=link}
![re:Invent予選落ちアップデート を簡潔に紹介 (2/2) [機能拡張] Resource Explorer でセキュリティ‧運⽤などの追加項⽬が確認可能に • リソースのプロパティ情報、コスト、AWS Security](https://files.speakerdeck.com/presentations/7fd2593f67714f50bd700ce35fe7e203/slide_18.jpg){kind=link}
![セキュリティ系アップデート全体像 ◼ re:Invent アップデート(6) • [新サービス] AWS Security Incident Response](https://files.speakerdeck.com/presentations/7fd2593f67714f50bd700ce35fe7e203/slide_19.jpg){kind=link}
