AWS re:Inforce 2025 re:Cap Update Pickup & AWS Control Tower の運用における考慮ポイント

2025年7月28日 AWS re:Inforce 2025 re:Cap Update Pickup & AWS Control
Tower の運用における考慮ポイント NRIネットコム株式会社クラウド事業推進部丹勇人 NRIネットコム TECH & DESIGN STUDY #72

1 Copyright（C） NRI Netcom, Ltd. All rights reserved. 転載、複製、改変等、および許諾のない二次利用を禁止します丹
勇人（たんはやと）自己紹介 ◼ NRIネットコム株式会社（2015年入社）クラウド事業推進部主任 ⚫ AWSマルチアカウント環境の組織管理・運用支援 ⚫ AWSアカウント管理サービス（請求代行）：サポート/請求/プリセールス ◼ 2024-2025 Japan AWS Ambassador（Technical Leader） ◼ 2024-2025 Japan AWS Top Engineer（Security） ◼ AWS Community Builder（Security）since 2023 ◼ 2022 APN AWS Top Engineer（Service） ◼ AWS Certifications ⚫ 2024 Japan ALL AWS Certifications Engineer ◼ 秋田県出身 ◼ 子供５人

2 Copyright（C） NRI Netcom, Ltd. All rights reserved. 転載、複製、改変等、および許諾のない二次利用を禁止します #nncstudy
本日の主題 01 AWS re:Inforce 2025からのメッセージ 02 AWS re:Inforce 2025 アップデートピックアップ 03 AWS Control Tower の運用における考慮ポイント 04 Summary, References 05

本日お話すること本日の主題 ◼本日お話すること ⚫AWS re:Inforce 2024, 2025 基調講演について ⚫AWS re:Inforce 2025 アップデートについて ⚫AWS Control Tower の歴史（一部） ⚫AWS Control Tower を運用する上で考慮しておくべきポイント ◼本日お話しないこと ⚫AWS re:Inforce 2024 より前のAWS re:Inforce の話 ⚫AWS Organizations の機能紹介と活用方法

4 Copyright（C） NRI Netcom, Ltd. All rights reserved. 用語本日の主題
◼ AWS Organizations ⚫ 複数のAWSアカウントを一元管理できる無料のAWSサービス ▪組織内のAWSアカウントの一元管理 ▪すべてのメンバーアカウントの一括請求など ◼ マネジメントアカウント ⚫ AWS Organizations の管理に使用する AWSアカウント ⚫ AWS Organizations で発生した料金の支払いを行う ⚫ AWS Organizations 内のアカウント作成や管理 ◼ メンバーアカウント AWS Organizations の組織に所属する管理アカウント以外のアカウント Management account Member accounts AWS Organizations

本日の主題 01 AWS re:Inforce 2025からのメッセージ 02 AWS re:Inforce 2025 Update Pickup 03 AWS Control Tower の運用における考慮ポイント 04 Summary, References 05

6 Copyright（C） NRI Netcom, Ltd. All rights reserved. AWS re:Inforce
2025（2025/6/16 – 6/18）@ペンシルベニア州フィラデルフィア基調講演 AWS の Vice President 兼 CISO (Chief Information Security Officer)である Amy Herzog が基調講演を行い、セキュリティの大規模な簡素化と、組織がクラウドでより回復力の高いアプリケーションを構築できることに重点に置いた追加のセキュリティ機能を発表さまざまな学習機会イノベーショントーク、ブレイクアウトコンテンツ、インタラクティブな学習機会など、セキュリティに関する詳細な学習に焦点を当てた 250 以上のセッションを用意。新しく開始された AWS セキュリティサービスのトレーニングにアクセスして、組織全体での利用方法やインテグレーションの方法を学べる EXPO AWSパートナーが、お客様の取り組み拡大を支援するツールを提供するほか、デモや AWS セキュリティスペシャリストとの 1 on 1 や参加者間のネットワーキング機会も提供。 AWSのエキスパートから、より安全なシステムの構築方法を学び、組織のセキュリティ体制を改善する実用的なソリューションを得ることが可能 AWS のセキュリティソリューション、クラウドセキュリティ、コンプライアンス、アイデンティティに特化したグローバル学習型カンファレンス

2025 Keynote by Amy Herzog, AWS CISO 「Simplifying security at scale」 “スケールするセキュリティの簡素化” AWSの重要な戦略（IDとアクセス管理、データとネットワークのセキュリティ、監視とインシデント対応、マイグレーションとモダナイゼーション）を中心に、多数の新機能と実践的セキュリティソリューションを発表 ⚫AWSの包括的なセキュリティポートフォリオが連携して、どのように大規模なセキュリティを簡素化しているかを紹介 ⚫顧客事例やアーキテクチャパターンを通して、AWSがいかにして現代の脅威に耐え、ビジネスに合わせて拡張可能な、回復力の高いアプリケーションの構築を可能にするかを紹介 IDとアクセス管理データとネットワークのセキュリティ監視とインシデント対応マイグレーションとモダナイゼーション

2025 Keynote 主要なアップデート生成AI時代の新たな脅威に対応するため、３つの強化されたセキュリティサービス機能を発表 ⚫AWS Security Hub：相関分析、コンテキスト化、可視化機能を強化した新しい AWS Security Hub のプレビュー公開 ⚫AWS Shield： SQLインジェクションや分散型サービス拒否（DDoS）攻撃などの脅威に関連する設定上の問題の特定を簡素化し、改善策を提案する機能をプレビュー公開 ⚫Amazon GuardDuty： Amazon GuardDuty Extended Threat Detection の対象範囲を Amazon Elastic Kubernetes Service (Amazon EKS) に拡大その他にも、2025年3月24日以降AWSは全てのAWSアカウントにおいて、全ルートユーザーに対して100%の多要素認証を実行しました。（出典：AWS re:Inforce 2025 で 3 つの主要セキュリティ機能を発表、お客様のセキュリティ対策の簡素化とスケーリングを支援 https://aws.amazon.com/jp/blogs/news/aws-new-security-features-reinforce/)

2025 アップデート IDとアクセス管理 ⚫ 新しい IAM Access Analyzer 機能を使用して、重要な AWS リソースへの内部アクセスを検証 ⚫ AWS IAM がすべてのアカウントタイプでルートユーザーに MFA を強制するようになりましたデータとネットワークのセキュリティ ⚫ AWS Certificate Manager がどこでも使用できるエクスポート可能なパブリック SSL/TLS 証明書を導入 ⚫ 新しい AWS Shield 機能が、ネットワークセキュリティの問題が悪用される前に検出 (プレビュー) ⚫ AWS WAF の簡素化されたコンソールエクスペリエンス（+DDoS攻撃からの自動保護機能） ⚫ Amazon CloudFront が新しいユーザーフレンドリーなインターフェイスでウェブアプリケーションの配信とセキュリティを簡素化（AWS re:Inforce 2025 のまとめ: 主な発表 https://aws.amazon.com/jp/blogs/news/aws-reinforce-roundup-2025-top-announcements/)

2025 アップデート監視とインシデント対応 ⚫ AWS Network Firewall で Amazon 脅威インテリジェンスを使用してセキュリティ体制を強化 ⚫ Amazon GuardDuty が Extended Threat Detection（拡張脅威検出）の対象範囲を Amazon EKS クラスターに拡張 ⚫ 新しい AWS Security Hub を利用してセキュリティを統合し、リスクの優先順位付けと対応を大規模に実現 (プレビュー) その他 ⚫ AWS MSSP コンピテンシーの新しいカテゴリ ⚫ Amazon Verified Permissions を利用して Express アプリケーション API を数分で保護（認可を実装） ⚫ Amazon Inspector のコードセキュリティで脆弱性検出（CDK、CloudFormation、Terraform のスキャン） ⚫ AWS Backup が論理エアギャップボールトのためにマルチパーティー承認機能を追加（AWS re:Inforce 2025 のまとめ: 主な発表 https://aws.amazon.com/jp/blogs/news/aws-reinforce-roundup-2025-top-announcements/)

（2025/6/17以前） AWS Identity and Access Management（IAM）Access Analyzer AWS re:Inforce 2025 Update Pickup AWS IAM Access Analyzerは、IAMポリシーの検証やパブリックアクセスおよびクロスアカウントアクセスを検出することができるサービスです。組織内部のアクセスリソース検知は別途実装が必要でした。 AWS Organizations Management account Account Account IAM Access Analyzer 外部の組織アクセス元 Resources アクセス集約 AWS Organizations Management account Account Account IAM Access Analyzer Resources 集約 ◼組織外からのアクセスリソース検知/集約 ※IAM Access Analyzerの機能により実装可能 ◼組織内のアクセスリソース検知/集約 ※別途実装が必要 Resources 検知検知 Resources Resources （AWSマルチアカウント管理の考え方！（40分編）p.36 https://speakerdeck.com/htan/awsmarutiakauntoguan-li-nokao-efang-40fen-bian-marutiakauntoguan-li-dehuo-yong-dekiruawssabisu?slide=36)

新しい IAM Access Analyzer 機能を使用して、重要な AWS リソースへの内部アクセスを検証 AWS re:Inforce 2025 Update Pickup AWS IAM Access Analyzer の機能によって、組織内アカウントの特定のリソースタイプに対して検知が可能になりました。自動推論を使用して、サービスコントロールポリシー（SCP）、リソースコントロールポリシー（RCP）、アイデンティティベースのポリシーを含めた複数のポリシーをまとめて評価する機能です。 ◼ 監視対象アカウント ⚫ Organization（組織）からアカウントを指定または ⚫ AWSアカウントIDを入力して指定 ◼ 監視対象リソースタイプ ⚫ DynamoDB Stream ⚫ DynamoDB Table ⚫ RDS DB Cluster Snapshot ⚫ RDS DB Snapshot ⚫ S3 Bucket ⚫ S3 Express Bucket ◼ 料金 ⚫ 監視対象リソースごとに、$9.00/月 https://calculator.aws/#/createCalculator/IAMAccessAnalyzer AWS Organizations Management account Account Account IAM Access Analyzer 集約 ◼組織内のアクセスリソース検知/集約 ※IAM Access Analyzerの機能により特定のリソースタイプ検知が可能に Resources 検知 Resources

新しい AWS Shield 機能が、ネットワークセキュリティの問題が悪用される前に検出 (プレビュー) AWS re:Inforce 2025 Update Pickup AWS Shield Network Security Director（Preview）により、SQLインジェクションやDDoS攻撃などの脅威に関連する設定上の問題特定を簡素化し、改善策を確認することができます。（New AWS Shield feature discovers network security issues before they can be exploited (Preview) https://aws.amazon.com/jp/blogs/aws/new-aws-shield-feature-discovers-network-security-issues-before-they-can-be-exploited-preview/）

AWS Shield Network Security Director AWS re:Inforce 2025 Update Pickup AWS Shield Network Security Director の主要な機能 ⚫ 包括的な分析によるAWSアカウント全体のリソース検出、リソース間の接続性、ネットワークセキュリティサービス設定の特定 ⚫ 重要度レベルに応じてリソースの優先順位付け ⚫ 適切なAWSセキュリティサービスを実装するための具体的な修復推奨事項を提供 ◼ 対象リージョン ⚫ 全てのリージョンで検出可能 ⚫ 特定のリージョンのみでの検出も可能 ◼ ネットワークトポロジマップ ⚫ 他リソースとの接続状況と関連する検出結果を可視化 ◼ Amazon Q との連携 ⚫ Amazon Q に対する質問の表示 ⚫ ネットワークセキュリティ設定の分析とセキュリティ評価に基づいた応答（New AWS Shield feature discovers network security issues before they can be exploited (Preview) https://aws.amazon.com/jp/blogs/aws/new-aws-shield-feature-discovers-network-security-issues-before-they-can-be-exploited-preview/）

AWS WAF の簡素化されたコンソールエクスペリエンス AWS re:Inforce 2025 Update Pickup ◼ ウェブアプリケーションのセキュリティ実装手順を80%削減 ⚫ 設定手順が１ページに統合 ⚫ 直感的なワークフロー ◼ 保護パックによるAWS WAFルールの導入簡素化 ⚫ Recommended ▪推奨される保護を有効 ⚫ Essentials ▪基本的な保護を有効 ⚫ You build it ▪利用可能なオプションからニーズに合わせて保護を選択してカスタマイズ（Introducing the new console experience for AWS WAF https://aws.amazon.com/jp/blogs/security/introducing-the-new-console-experience-for-aws-waf/）

AWS Threat Intelligence monitors AWS re:Inforce 2025 Update Pickup AWS Threat Intelligence は、２週間の許可されたトラフィックパターンを分析し、潜在的な脆弱性をプロアクティブに特定することで、監視機能を強化します。 ◼ トラフィック特性 ⚫ 脆弱なアプリケーション ⚫ ボット ⚫ IPレピュテーション ⚫ 匿名IPソース ⚫ DDoS攻撃（Introducing the new console experience for AWS WAF https://aws.amazon.com/jp/blogs/security/introducing-the-new-console-experience-for-aws-waf/）

新しい Outcome-driven Dashboard AWS re:Inforce 2025 Update Pickup 新しいダッシュボードには、ビジネスへの影響に基づいたセキュリティ指標が表示されます。 ◼ 主要カテゴリ ⚫ Traffic characteristics ▪国 ▪攻撃タイプ ▪デバイスタイプ ⚫ Rule characteristics ▪上位10件の管理対象ルール ⚫ Bots ▪検出率 ▪カテゴリ ▪トークン情報 ▪シグナル ▪セッションしきい値, etc. ⚫ Anti-DDoS （Introducing the new console experience for AWS WAF https://aws.amazon.com/jp/blogs/security/introducing-the-new-console-experience-for-aws-waf/）

新しい AWS Security Hub を利用してセキュリティを統合し、リスクの優先順位付けと対応を大規模に実現 (プレビュー) AWS re:Inforce 2025 Update Pickup BEFORE NEW AWS Security Hub CSPM へ名前変更新しい AWS Security Hub Cloud Security Posture Management Security 検出結果の一元管理 AWS Security Hub CSPM 自動相関付けリスクの優先順位付け自動対応機能

新しい AWS Security Hub：Exposure summary AWS re:Inforce 2025 Update Pickup 相関分析、コンテキスト化、可視化機能を強化した新しい AWS Security Hub をプレビューリリース。新しい Exposure summary ウィジェットは、リソース関係とシグナルを分析することで、Security Exposure を特定し、優先順位付けするのに役立ちます。 ◼ シグナル（分析ソース） ⚫ AWS Security Hub CSPM ⚫ Amazon GuardDuty ⚫ Amazon Inspector ⚫ Amazon Macie, etc. （Unify your security with the new AWS Security Hub for risk prioritization and response at scale (Preview) https://aws.amazon.com/jp/blogs/aws/unify-your-security-with-the-new-aws-security-hub-for-risk-prioritization-and-response-at-scale-preview/）

新しい AWS Security Hub：Potential attack path AWS re:Inforce 2025 Update Pickup 複雑なセキュリティ関係を理解するのに特に役立つ攻撃パスの可視化も表示されます。Network exposure path は、パスに関するすべてのコンポーネントを確認できるため、セキュリティ制御を実装する場所を正確に特定できます。 IAMの関係も強調表示され、権限設定によって権限昇格やデータアクセスがどのように許可されるかが示されます。 ◼ Network exposure path ⚫ Virtual Private Clouds (VPCs) ⚫ Subnets ⚫ Security Groups ⚫ Network Access Control Lists （ACLs） ⚫ Load Balancers, etc. （Unify your security with the new AWS Security Hub for risk prioritization and response at scale (Preview) https://aws.amazon.com/jp/blogs/aws/unify-your-security-with-the-new-aws-security-hub-for-risk-prioritization-and-response-at-scale-preview/）

2024 Keynote by Chris Betz, ex - AWS CISO 「Culture of Security」 “セキュリティの文化” 革新をリードするため、セキュリティを最優先事項にしている。セキュリティを優先させる慣習が必要になる。 ⚫AWS がクラウドをどのように保護しているか、組織が迅速かつ安全に移行する方法を紹介 ⚫AWS Organizationsや AWS Control Towerを利用し、フレームワークを使うことによって、ベストプラクティスを活用した事例の紹介（Eli Lilly） Trustをクラウドで実装することが重要である。Trustを得ることを日々の業務として、ガードレールを構築。セキュリティフィードバックを受けながら、透明性を確保して、継続的に学ぶ。 ⚫全ての中心は文化であり、セキュリティを優先する習慣を浸透させることの重要性。初めからセキュリティを考えることの必要性を説明

AWSアカウントのマルチアカウント運用の必要性組織において必要な環境 AWS Control Tower の運用における考慮ポイントセキュリティ＆コンプライアンス拡張性＆高可用性柔軟性組織のセキュリティや監査要件に適合するスケーラブルで安定したシステムであるビジネス要件の変更に柔軟な対応が可能

近年より一層求められるアジリティとセキュリティの両立 AWS Control Tower の運用における考慮ポイント昨今デジタルトランスフォーメーションによる変化が求められ、アジャイル開発の導入も進み、よりアジリティとセキュリティの両立が開発者に求められるようになっています。 ◼アジリティ ⚫ 市場環境のデジタル化に伴いビジネス要件の変更に素早く対応する動きが求められる ⚫ 大小規模に関わらずシステム開発の効率や生産性の高い、対応スピードが求められる ◼セキュリティ ⚫ Security is our top priority （セキュリティは最優先事項） ⚫ 日々変化するセキュリティ状況に柔軟に対応する設定が必要

GateKeeper vs Guardrail AWS Control Tower の運用における考慮ポイントセキュリティ統制に求められるのは、GateKeeperではなく、セキュリティ制約を逸脱せずに必要に応じて正常な状態に戻すことができるGuardrailです。各システムの利用を事前承認制（GateKeeper）にすると管理業務がボトルネックとなります。各システムで自由に利用してもらう一方で、開発者を守るため２種類のガードレール（Guardrail）を用意します。 • やってはいけない操作を未然に防ぐこと（予防的統制）= AWS Organizations の Service Control Policy（SCP） • 逸脱を検知すること（発見的統制）= AWS Config ◼GateKeeper（門番） ◼Guardrail（防護柵） VS

AWS Organizations（SCP） AWS Control Tower の運用における考慮ポイント AWS Organizationsには、大きく分けて２つの主な機能があります。そのうち、Service Control Policy（SCP）を利用することで、組織ユニット単位での権限に関するガードレールを作成することができ、コンプライアンスからはみ出してしまうようなアクションを防ぐことができます。 ◼ 一括請求機能 ⚫ 組織内のAWSアカウントに対する請求をまとめて管理 ⚫ 組織内のAWSアカウントの請求設定を一元管理 ◼ Service Control Policy（SCP）機能 ⚫ 組織ユニット単位で複数のAWSアカウントに適用するポリシーを集中管理ガードレール AWS Organizations SCP適用イメージ拒否拒否許可 IAM SCP SCPサンプル { "Version": "2012-10-17", "Statement": [ { "Effect": "Deny", "Action": [ "iam:CreateAccessKey" ], "Resource": "*" } ・・・ Management account Organizational unit Organizational unit Accounts Account SCP SCP

AWS Config AWS Control Tower の運用における考慮ポイント AWS Configは、AWS上のリソースの構成（設定と関係）を継続的に評価、監査、診断するサービスです。マルチアカウント管理において、AWS Configは組織単位で集約設定をすることで、監査用途のアカウントに各リージョン・各アカウントのConfigデータを集約することができます。一方で、各アカウントのConfig有効化自体は個々に設定する必要があり、AWS CloudFormation StackSetsを活用できます。 AWS Configには、自動修復機能もあり、一部のAWS Configルールに対して、コンプライアンスを逸脱した設定を自動的に正しい設定に戻すことも可能です。ガードレール

AWSサービスによるマルチアカウントの自動設定とガバナンス~AWS Control Tower~ AWS Control Tower の運用における考慮ポイント ◼AWS Control Towerを利用した、ベースラインセキュリティの設定が必要 ⚫ AWS推奨のマルチアカウント環境を自動セットアップ ⚫ AWS Config、SCPによる発見的ガードレール、予防的ガードレールの一元管理、簡単な設定 AWS Control Tower Management Amazon S3 • CloudTrail Logs • Config Logs Log Archive Audit AWS Config Aggregator AWS Organizations AWS IAM Identity Center Amazon Simple Notification Service (Amazon SNS) Security OU Workloads OU Amazon Virtual Private Cloud (Amazon VPC) … Network Baseline AWS CloudFormation … Security Baseline

30 Copyright（C） NRI Netcom, Ltd. All rights reserved. 転載、複製、改変等、および許諾のない二次利用を禁止します Control
Towerによる管理されたコントロール（ガードレール）の実装と各種設定 AWS Control Tower の運用における考慮ポイント ◼ AWS CloudFormation テンプレートや AWS Organizations の機能を使用して、 Control Towerでは自動設定がサポートされていない下記機能の自動設定が必要となります。 ⚫ Amazon GuardDuty（脅威検出） ⚫ AWS Security Hub（セキュリティのベストプラクティス状況評価） ⚫ AWS IAM Access Analyzer（外部へのアクセス許可リソース検知） ⚫ 予算アラートの作成 ⚫ コスト異常検出の設定 AWS CloudTrail Amazon GuardDuty AWS Config AWS Security Hub AWS IAM Access Analyzer Control Towerによる自動設定自動設定（テンプレートまたは AWS Organizations による設定が必要） AWS Budgets AWS Cost Explorer

AWS Control Tower の運用で考慮する観点 AWS Control Tower を導入してAWSアカウント発行を運用上、考慮しておきたい観点を紹介します。 ◼ランディングゾーンのバージョン管理による AWS Lambda ランタイム更新 ◼AWS Control Tower 管理のマネージド Config によるコントロール ◼監査アカウントに集約されている通知の管理 ◼ベースラインでの継承ドリフトの解決 ◼AWSアカウント解約時の AWS Control Tower 登録解除 AWS Control Tower の運用における考慮ポイント AWS Control Tower

ランディングゾーンのバージョン管理による AWS Lambda ランタイム更新 AWS Lambda のランタイムは定期的に更新が必要です。 https://docs.aws.amazon.com/ja_jp/lambda/latest/dg/lambda-runtimes.html AWS Control Tower は、Landing Zone によってコントールが管理されています。 AWS Control Tower の Landing Zone は、バージョン2.9以降 Python 3.9 ランタイムが利用されていますが、Python runtime バージョンアップに対応した Landing Zone は現時点でリリースされていません。新しいランタイムに対応した Landing Zone リリース後、バージョンアップ対応が必要です。 AWS Control Tower の運用における考慮ポイント

マネージド Config によるコントロール AWS Control Tower の主なリリースノート • 2018年 AWS re:Invent プレビュー公開 • 2019年6月24日 AWS Control Tower バージョン 2.1 のGA（General availability） • 2021年4月8日 AWS Control Tower バージョン 2.7 で東京リージョン利用可能 • 2023年5月11日大阪リージョン利用可能（Landing Zone の更新なし） AWS Control Tower が東京リージョンで利用可能になってから、大阪リージョンでも利用可能になるまで約２年かかっています。その間、大阪リージョンでのコントロール実装は、AWS Control Tower 外での独自実装が必要でした。 AWS Control Tower の運用における考慮ポイント

AWS Control Tower 管理のマネージド Config によるコントロール 2025年現在、大阪リージョンの AWS Control Tower でも多くのコントロールが実装されています。AWS Control Tower 管理外での独自実装に対する運用メンテナンスは、運用にかかる負荷が大きいです。 AWS Control Tower の運用における考慮ポイント AWS Control Tower 管理のマネージド Config によるコントロール設定を念頭におきましょう

監査アカウントに集約されている通知の管理監査アカウントに集約されている通知は非常に多く、AWS公式ドキュメントでも SNSトピックに関する考慮点として記載されています。 > SNS topics in AWS Control Tower are extremely noisy, by design. For example, AWS Config sends a notification every time AWS Config discovers a new resource. https://docs.aws.amazon.com/ja_jp/controltower/latest/controlreference/receive- notifications.html AWSアカウント数が増えると１日あたりの通知数も多くなります。 AWS Control Tower でのAWSアカウント新規作成に伴う通知に絞る。 AWS Control Tower によって作成されている AWS Config や独自実装の通知に限定する等、 AWS Lambda でのフィルタリング実装を行うことをお勧めします。 AWS Control Tower の運用における考慮ポイント

AWS Control Tower の運用トラブルシューティング AWS Control Tower の運用上たまに発生するトラブルに対する解消方法を紹介します。 ◼ベースラインでの継承ドリフトの解決 ⚫ OUに対して継承ドリフトが発生した場合は、OUの再登録で解消しましょう https://docs.aws.amazon.com/ja_jp/controltower/latest/userguide/governance-drift.html#drift-enabled-baseline ⚫ OUの再登録でも解消しない場合は、“list-enabled-baselines (AWS CLI)” のコマンド実行結果をAWSサポートに連携して状態を確認しましょう（OUの再登録日時、発生したエラーのスクリーンショットもセット） ◼AWSアカウント解約時の AWS Control Tower 登録解除 ⚫ AWSアカウントの解約だけしてしまうと、90日が経過する前にOUの再登録をしようとした際にエラーが発生します ⚫ AWS Control Tower（Account Factory）で作成したAWSアカウントを解約する場合は、 Suspended OU に移動してから解約するか、アカウントの登録解除をしてから解約しましょう AWS Control Tower の運用における考慮ポイント

Summary Summary, References ◼ AWS re:Inforce 2025 からのメッセージ “スケールするセキュリティの簡素化”をテーマに、新CISOのAmy Herzog氏が基調講演で登壇。 AWSの重要な戦略（IDとアクセス管理、データとネットワークのセキュリティ、監視とインシデント対応、マイグレーションとモダナイゼーション）を中心に、多数の新機能と実践的セキュリティソリューションを発表 ◼ AWS re:Inforce 2025 Update Pickup ⚫ AWSの重要な戦略（IDとアクセス管理、データとネットワークのセキュリティ、監視とインシデント対応）を中心に多数のAWS サービスアップデートを発表 ⚫ サービスアップデートの一部をピックアップ ▪新しい IAM Access Analyzer 機能を使用して、重要な AWS リソースへの内部アクセスを検証 ▪新しい AWS Shield 機能が、ネットワークセキュリティの問題が悪用される前に検出 (プレビュー) ▪AWS WAF の簡素化されたコンソールエクスペリエンス ▪新しい AWS Security Hub を利用してセキュリティを統合し、リスクの優先順位付けと対応を大規模に実現 (プレビュー) ◼ AWS Control Tower の運用における考慮ポイント ⚫ AWS Control Tower は、Landing Zone によって AWS Lambda のランタイムが管理されている ⚫ AWS Control Tower 管理のマネージド Config ルールを活用しましょう ⚫ Audit アカウントからの監査通知を AWS Lambda でフィルタリングしましょう ⚫ ベースラインでの継承ドリフトの解決（AWS Control Tower 運用トラブルシューティング） ⚫ AWSアカウント解約時の AWS Control Tower 登録解除（AWS Control Tower 運用トラブルシューティング）

References（AWS re:Inforce 関連 1/2） Summary, References ◼AWS re:Inforce 2025 で 3 つの主要セキュリティ機能を発表、お客様のセキュリティ対策の簡素化とスケーリングを支援 https://aws.amazon.com/jp/blogs/news/aws-new-security-features-reinforce/ ◼AWS re:Inforce 2025 のまとめ: 主な発表 https://aws.amazon.com/jp/blogs/news/aws-reinforce-roundup-2025-top- announcements/ Pickup対象 ⚫ AWS IAM Access Analyzer ▪Verify internal access to critical AWS resources with new IAM Access Analyzer capabilities https://aws.amazon.com/jp/blogs/aws/verify-internal-access-to-critical-aws-resources-with- new-iam-access-analyzer-capabilities/ ▪AWSマルチアカウント管理の考え方！（40分編）p.36 https://speakerdeck.com/htan/awsmarutiakauntoguan-li-nokao-efang-40fen-bian- marutiakauntoguan-li-dehuo-yong-dekiruawssabisu?slide=36 ▪Pricing Calculator：AWS IAM Access Analyzer https://calculator.aws/#/createCalculator/IAMAccessAnalyzer

References（AWS re:Inforce 関連 2/2） Summary, References ◼AWS re:Inforce 2025 のまとめ: 主な発表 https://aws.amazon.com/jp/blogs/news/aws-reinforce-roundup-2025-top- announcements/ Pickup対象（続き） ⚫ AWS Shield ▪New AWS Shield feature discovers network security issues before they can be exploited (Preview) https://aws.amazon.com/jp/blogs/aws/new-aws-shield-feature-discovers-network-security- issues-before-they-can-be-exploited-preview/ ⚫ AWS WAF ▪Introducing the new console experience for AWS WAF https://aws.amazon.com/jp/blogs/security/introducing-the-new-console-experience-for- aws-waf/ ⚫ AWS Security Hub ▪Unify your security with the new AWS Security Hub for risk prioritization and response at scale (Preview) https://aws.amazon.com/jp/blogs/aws/unify-your-security-with-the-new-aws-security- hub-for-risk-prioritization-and-response-at-scale-preview/

References（AWS Control Tower 運用関連 1/2） Summary, References ◼AWS Lambda ランタイム https://docs.aws.amazon.com/ja_jp/lambda/latest/dg/lambda-runtimes.html ◼AWS Control Tower リリースノート https://docs.aws.amazon.com/ja_jp/controltower/latest/userguide/release-notes.html ⚫ AWS Control Tower バージョン 2.1 の一般提供 https://docs.aws.amazon.com/ja_jp/controltower/latest/userguide/2019-all.html#Version-2-1 ⚫ 3 つの新しい AWS リージョンが利用可能に https://docs.aws.amazon.com/ja_jp/controltower/latest/userguide/2021-all.html#three-new- regions ⚫ AWS Control Tower が 7 つの追加で利用可能に AWS リージョン https://docs.aws.amazon.com/ja_jp/controltower/latest/userguide/2023-all.html#seven-regions ◼Compliance notifications by SNS in the audit account https://docs.aws.amazon.com/ja_jp/controltower/latest/controlreference/receive- notifications.html

References（AWS Control Tower 運用関連 2/2） Summary, References ◼ベースラインでの継承ドリフトの解決 ⚫ 有効なベースラインでの継承ドリフト https://docs.aws.amazon.com/ja_jp/controltower/latest/userguide/governance-drift.html#drift- enabled-baseline ⚫ list-enabled-baselines（AWS CLI） https://docs.aws.amazon.com/cli/latest/reference/controltower/list-enabled-baselines.html ◼AWSアカウント解約時の AWS Control Tower 登録解除 ⚫ Account Factory で作成されたアカウントを解約する https://docs.aws.amazon.com/ja_jp/controltower/latest/userguide/delete-account.html ⚫ アカウントを登録解除する https://docs.aws.amazon.com/ja_jp/controltower/latest/userguide/unmanage-account.html

43 Copyright（C） NRI Netcom, Ltd. All rights reserved. NRIネットコムウェビナー
7/29 12:00～開催プロジェクトを成功に導く！ノンデザイナーのためのUI/UXデザイン【アジェンダ】 ⚫ システムとUI/UX ⚫ 開発に役立つデザインの3ステップ ⚫ 良いUIデザインの鉄則 8/8 16:00～開催システムを止めずに挑むクラウド移行戦略段階移行でリスクを最小化【アジェンダ】 ⚫ クラウドマイグレーションが行われる背景と課題 ⚫ クラウドマイグレーションの進め方 ⚫ 大規模システムを止めずにクラウド移行する ⚫ 先行企業の実践事例と成果 connpass よりお申込み受付中！

AWS re:Inforce 2025 re:Cap Update Pickup & AWS ...

AWS re:Inforce 2025 re:Cap Update Pickup & AWS Control Tower の運用における考慮ポイント

More Decks by Hayato Tan

Other Decks in Technology

Featured

Transcript