Upgrade to Pro — share decks privately, control downloads, hide ads and more …

AWS re:Inforce 2025 re:Cap Update Pickup & AWS ...

AWS re:Inforce 2025 re:Cap Update Pickup & AWS Control Tower の運用における考慮ポイント

NRIネットコム TECH AND DESIGN STUDY #72 で発表した資料です。
https://nrinetcom.connpass.com/event/363582/

<資料内に載せたリンク>
■AWS re:Inforce 関連
〇AWS re:Inforce 2025 で 3 つの主要セキュリティ機能を発表、お客様のセキュリティ対策の簡素化とスケーリングを支援
https://aws.amazon.com/jp/blogs/news/aws-new-security-features-reinforce/
〇AWS re:Inforce 2025 のまとめ: 主な発表
https://aws.amazon.com/jp/blogs/news/aws-reinforce-roundup-2025-top-announcements/

・Pickup対象
●AWS IAM Access Analyzer
〇Verify internal access to critical AWS resources with new IAM Access Analyzer capabilities
https://aws.amazon.com/jp/blogs/aws/verify-internal-access-to-critical-aws-resources-with-new-iam-access-analyzer-capabilities/
〇AWSマルチアカウント管理の考え方!(40分編)p.36
https://speakerdeck.com/htan/awsmarutiakauntoguan-li-nokao-efang-40fen-bian-marutiakauntoguan-li-dehuo-yong-dekiruawssabisu?slide=36
〇Pricing Calculator:AWS IAM Access Analyzer
https://calculator.aws/#/createCalculator/IAMAccessAnalyzer
●AWS Shield
〇New AWS Shield feature discovers network security issues before they can be exploited (Preview)
https://aws.amazon.com/jp/blogs/aws/new-aws-shield-feature-discovers-network-security-issues-before-they-can-be-exploited-preview/
●AWS WAF
〇Introducing the new console experience for AWS WAF
https://aws.amazon.com/jp/blogs/security/introducing-the-new-console-experience-for-aws-waf/
●AWS Security Hub
〇Unify your security with the new AWS Security Hub for risk prioritization and response at scale (Preview)
https://aws.amazon.com/jp/blogs/aws/unify-your-security-with-the-new-aws-security-hub-for-risk-prioritization-and-response-at-scale-preview/

■AWS Control Tower 運用関連
〇AWS Lambda ランタイム
https://docs.aws.amazon.com/ja_jp/lambda/latest/dg/lambda-runtimes.html
〇AWS Control Tower リリースノート
https://docs.aws.amazon.com/ja_jp/controltower/latest/userguide/release-notes.html
- AWS Control Tower バージョン 2.1 の一般提供
https://docs.aws.amazon.com/ja_jp/controltower/latest/userguide/2019-all.html#Version-2-1
- 3 つの新しい AWS リージョンが利用可能に
https://docs.aws.amazon.com/ja_jp/controltower/latest/userguide/2021-all.html#three-new-regions
- AWS Control Tower が 7 つの追加で利用可能に AWS リージョン
https://docs.aws.amazon.com/ja_jp/controltower/latest/userguide/2023-all.html#seven-regions
〇Compliance notifications by SNS in the audit account
https://docs.aws.amazon.com/ja_jp/controltower/latest/controlreference/receive-notifications.html

・ベースラインでの継承ドリフトの解決
〇有効なベースラインでの継承ドリフト
https://docs.aws.amazon.com/ja_jp/controltower/latest/userguide/governance-drift.html#drift-enabled-baseline
〇list-enabled-baselines(AWS CLI)
https://docs.aws.amazon.com/cli/latest/reference/controltower/list-enabled-baselines.html
・AWSアカウント解約時の AWS Control Tower 登録解除
〇Account Factory で作成されたアカウントを解約する
https://docs.aws.amazon.com/ja_jp/controltower/latest/userguide/delete-account.html
〇アカウントを登録解除する
https://docs.aws.amazon.com/ja_jp/controltower/latest/userguide/unmanage-account.html

Avatar for Hayato Tan

Hayato Tan

July 30, 2025
Tweet

More Decks by Hayato Tan

Other Decks in Technology

Transcript

  1. 2025年7月28日 AWS re:Inforce 2025 re:Cap Update Pickup & AWS Control

    Tower の運用における考慮ポイント NRIネットコム株式会社 クラウド事業推進部 丹 勇人 NRIネットコム TECH & DESIGN STUDY #72
  2. 1 Copyright(C) NRI Netcom, Ltd. All rights reserved. 転載、複製、改変等、および許諾のない二次利用を禁止します 丹

    勇人(たん はやと) 自己紹介 ◼ NRIネットコム株式会社(2015年入社)クラウド事業推進部 主任 ⚫ AWSマルチアカウント環境の組織管理・運用支援 ⚫ AWSアカウント管理サービス(請求代行):サポート/請求/プリセールス ◼ 2024-2025 Japan AWS Ambassador(Technical Leader) ◼ 2024-2025 Japan AWS Top Engineer(Security) ◼ AWS Community Builder(Security)since 2023 ◼ 2022 APN AWS Top Engineer(Service) ◼ AWS Certifications ⚫ 2024 Japan ALL AWS Certifications Engineer ◼ 秋田県出身 ◼ 子供5人
  3. 2 Copyright(C) NRI Netcom, Ltd. All rights reserved. 転載、複製、改変等、および許諾のない二次利用を禁止します #nncstudy

    本日の主題 01 AWS re:Inforce 2025からのメッセージ 02 AWS re:Inforce 2025 アップデートピックアップ 03 AWS Control Tower の運用における考慮ポイント 04 Summary, References 05
  4. 3 Copyright(C) NRI Netcom, Ltd. All rights reserved. 転載、複製、改変等、および許諾のない二次利用を禁止します #nncstudy

    本日お話すること 本日の主題 ◼本日お話すること ⚫AWS re:Inforce 2024, 2025 基調講演について ⚫AWS re:Inforce 2025 アップデートについて ⚫AWS Control Tower の歴史(一部) ⚫AWS Control Tower を運用する上で考慮しておくべきポイント ◼本日お話しないこと ⚫AWS re:Inforce 2024 より前のAWS re:Inforce の話 ⚫AWS Organizations の機能紹介と活用方法
  5. 4 Copyright(C) NRI Netcom, Ltd. All rights reserved. 用語 本日の主題

    ◼ AWS Organizations ⚫ 複数のAWSアカウントを一元管理できる無料のAWSサービス ▪組織内のAWSアカウントの一元管理 ▪すべてのメンバーアカウントの一括請求 など ◼ マネジメントアカウント ⚫ AWS Organizations の管理に使用する AWSアカウント ⚫ AWS Organizations で発生した料金の支払いを行う ⚫ AWS Organizations 内のアカウント作成や管理 ◼ メンバーアカウント AWS Organizations の組織に所属する管理アカウント以外のアカウント Management account Member accounts AWS Organizations
  6. 5 Copyright(C) NRI Netcom, Ltd. All rights reserved. 転載、複製、改変等、および許諾のない二次利用を禁止します #nncstudy

    本日の主題 01 AWS re:Inforce 2025からのメッセージ 02 AWS re:Inforce 2025 Update Pickup 03 AWS Control Tower の運用における考慮ポイント 04 Summary, References 05
  7. 6 Copyright(C) NRI Netcom, Ltd. All rights reserved. AWS re:Inforce

    2025(2025/6/16 – 6/18)@ペンシルベニア州フィラデルフィア 基調講演 AWS の Vice President 兼 CISO (Chief Information Security Officer)である Amy Herzog が基調講演を 行い、セキュリティの大規模 な簡素化と、組織がクラウド でより回復力の高いアプリ ケーションを構築できることに 重点に置いた追加のセキュリ ティ機能を発表 さまざまな学習機会 イノベーショントーク、ブレイク アウトコンテンツ、インタラク ティブな学習機会など、セキュ リティに関する詳細な学習に 焦点を当てた 250 以上の セッションを用意。 新しく開始された AWS セ キュリティサービスのトレーニン グにアクセスして、組織全体 での利用方法やインテグレー ションの方法を学べる EXPO AWSパートナーが、お客様の 取り組み拡大を支援するツー ルを提供するほか、デモや AWS セキュリティスペシャリス トとの 1 on 1 や参加者間の ネットワーキング機会も提供。 AWSのエキスパートから、より 安全なシステムの構築方法 を学び、組織のセキュリティ体 制を改善する実用的なソ リューションを得ることが可能 AWS のセキュリティソリューション、クラウドセキュリティ、コンプライアンス、アイデンティティに特化した グローバル学習型カンファレンス
  8. 7 Copyright(C) NRI Netcom, Ltd. All rights reserved. AWS re:Inforce

    2025 Keynote by Amy Herzog, AWS CISO 「Simplifying security at scale」 “スケールするセキュリティの簡素化” AWSの重要な戦略(IDとアクセス管理、データとネットワークのセキュリティ、監視とインシデント対応、 マイグレーションとモダナイゼーション)を中心に、多数の新機能と実践的セキュリティソリューションを発表 ⚫AWSの包括的なセキュリティポートフォリオが連携して、どのように大規模なセキュリティを簡素化してい るかを紹介 ⚫顧客事例やアーキテクチャパターンを通して、AWSがいかにして現代の脅威に耐え、ビジネスに合わせて 拡張可能な、回復力の高いアプリケーションの構築を可能にするかを紹介 IDとアクセス管理 データとネットワークの セキュリティ 監視と インシデント対応 マイグレーションと モダナイゼーション
  9. 8 Copyright(C) NRI Netcom, Ltd. All rights reserved. AWS re:Inforce

    2025 Keynote 主要なアップデート 生成AI時代の新たな脅威に対応するため、3つの強化されたセキュリティサービス機能を発表 ⚫AWS Security Hub: 相関分析、コンテキスト化、可視化機能を強化した新しい AWS Security Hub のプレビュー公開 ⚫AWS Shield: SQLインジェクションや分散型サービス拒否(DDoS)攻撃などの脅威に関連する設定上の問題の特 定を簡素化し、改善策を提案する機能をプレビュー公開 ⚫Amazon GuardDuty: Amazon GuardDuty Extended Threat Detection の対象範囲を Amazon Elastic Kubernetes Service (Amazon EKS) に拡大 その他にも、2025年3月24日以降AWSは全てのAWSアカウントにおいて、全ルートユーザーに対して100%の 多要素認証を実行しました。 (出典:AWS re:Inforce 2025 で 3 つの主要セキュリティ機能を発表、お客様のセキュリティ対策の簡素化とスケーリングを支援 https://aws.amazon.com/jp/blogs/news/aws-new-security-features-reinforce/)
  10. 9 Copyright(C) NRI Netcom, Ltd. All rights reserved. AWS re:Inforce

    2025 アップデート IDとアクセス管理 ⚫ 新しい IAM Access Analyzer 機能を使用して、重要な AWS リソースへの内部アクセスを検証 ⚫ AWS IAM がすべてのアカウントタイプでルートユーザーに MFA を強制するようになりました データとネットワークのセキュリティ ⚫ AWS Certificate Manager がどこでも使用できるエクスポート可能なパブリック SSL/TLS 証明書を導入 ⚫ 新しい AWS Shield 機能が、ネットワークセキュリティの問題が悪用される前に検出 (プレビュー) ⚫ AWS WAF の簡素化されたコンソールエクスペリエンス(+DDoS攻撃からの自動保護機能) ⚫ Amazon CloudFront が新しいユーザーフレンドリーなインターフェイスでウェブアプリケーションの配信と セキュリティを簡素化 (AWS re:Inforce 2025 のまとめ: 主な発表 https://aws.amazon.com/jp/blogs/news/aws-reinforce-roundup-2025-top-announcements/)
  11. 10 Copyright(C) NRI Netcom, Ltd. All rights reserved. AWS re:Inforce

    2025 アップデート 監視とインシデント対応 ⚫ AWS Network Firewall で Amazon 脅威インテリジェンスを使用してセキュリティ体制を強化 ⚫ Amazon GuardDuty が Extended Threat Detection(拡張脅威検出)の対象範囲を Amazon EKS クラ スターに拡張 ⚫ 新しい AWS Security Hub を利用してセキュリティを統合し、リスクの優先順位付けと対応を大規模に実現 (プレビュー) その他 ⚫ AWS MSSP コンピテンシーの新しいカテゴリ ⚫ Amazon Verified Permissions を利用して Express アプリケーション API を数分で保護(認可を実装) ⚫ Amazon Inspector のコードセキュリティで脆弱性検出(CDK、CloudFormation、Terraform のスキャン) ⚫ AWS Backup が論理エアギャップボールトのためにマルチパーティー承認機能を追加 (AWS re:Inforce 2025 のまとめ: 主な発表 https://aws.amazon.com/jp/blogs/news/aws-reinforce-roundup-2025-top-announcements/)
  12. 11 Copyright(C) NRI Netcom, Ltd. All rights reserved. 転載、複製、改変等、および許諾のない二次利用を禁止します #nncstudy

    本日の主題 01 AWS re:Inforce 2025からのメッセージ 02 AWS re:Inforce 2025 Update Pickup 03 AWS Control Tower の運用における考慮ポイント 04 Summary, References 05
  13. 12 Copyright(C) NRI Netcom, Ltd. All rights reserved. 転載、複製、改変等、および許諾のない二次利用を禁止します #nncstudy

    (2025/6/17以前) AWS Identity and Access Management(IAM)Access Analyzer AWS re:Inforce 2025 Update Pickup AWS IAM Access Analyzerは、IAMポリシーの検証やパブリックアクセスおよびクロスアカウントアクセスを検出する ことができるサービスです。組織内部のアクセスリソース検知は別途実装が必要でした。 AWS Organizations Management account Account Account IAM Access Analyzer 外部の組織 アクセス元 Resources アクセス 集約 AWS Organizations Management account Account Account IAM Access Analyzer Resources 集約 ◼組織外からのアクセスリソース検知/集約 ※IAM Access Analyzerの機能により実装可能 ◼組織内のアクセスリソース検知/集約 ※別途実装が必要 Resources 検知 検知 Resources Resources (AWSマルチアカウント管理の考え方!(40分編)p.36 https://speakerdeck.com/htan/awsmarutiakauntoguan-li-nokao-efang-40fen-bian-marutiakauntoguan-li-dehuo-yong-dekiruawssabisu?slide=36)
  14. 13 Copyright(C) NRI Netcom, Ltd. All rights reserved. 転載、複製、改変等、および許諾のない二次利用を禁止します #nncstudy

    新しい IAM Access Analyzer 機能を使用して、重要な AWS リソースへの内部アクセスを 検証 AWS re:Inforce 2025 Update Pickup AWS IAM Access Analyzer の機能によって、組織内アカウントの特定のリソースタイプに対して検知が可能になり ました。自動推論を使用して、サービスコントロールポリシー(SCP)、リソースコントロールポリシー(RCP)、アイデン ティティベースのポリシーを含めた複数のポリシーをまとめて評価する機能です。 ◼ 監視対象アカウント ⚫ Organization(組織)からアカウントを指定 または ⚫ AWSアカウントIDを入力して指定 ◼ 監視対象リソースタイプ ⚫ DynamoDB Stream ⚫ DynamoDB Table ⚫ RDS DB Cluster Snapshot ⚫ RDS DB Snapshot ⚫ S3 Bucket ⚫ S3 Express Bucket ◼ 料金 ⚫ 監視対象リソースごとに、$9.00/月 https://calculator.aws/#/createCalculator/IAMAccessAnalyzer AWS Organizations Management account Account Account IAM Access Analyzer 集約 ◼組織内のアクセスリソース検知/集約 ※IAM Access Analyzerの機能により 特定のリソースタイプ検知が可能に Resources 検知 Resources
  15. 14 Copyright(C) NRI Netcom, Ltd. All rights reserved. 転載、複製、改変等、および許諾のない二次利用を禁止します #nncstudy

    新しい AWS Shield 機能が、ネットワークセキュリティの問題が悪用される前に検出 (プレビュー) AWS re:Inforce 2025 Update Pickup AWS Shield Network Security Director(Preview)により、SQLインジェクションやDDoS攻撃などの脅威に関 連する設定上の問題特定を簡素化し、改善策を確認することができます。 (New AWS Shield feature discovers network security issues before they can be exploited (Preview) https://aws.amazon.com/jp/blogs/aws/new-aws-shield-feature-discovers-network-security-issues-before-they-can-be-exploited-preview/)
  16. 15 Copyright(C) NRI Netcom, Ltd. All rights reserved. 転載、複製、改変等、および許諾のない二次利用を禁止します #nncstudy

    AWS Shield Network Security Director AWS re:Inforce 2025 Update Pickup AWS Shield Network Security Director の主要な機能 ⚫ 包括的な分析によるAWSアカウント全体のリソース検出、 リソース間の接続性、ネットワークセキュリティサービス設定の特定 ⚫ 重要度レベルに応じてリソースの優先順位付け ⚫ 適切なAWSセキュリティサービスを実装するための 具体的な修復推奨事項を提供 ◼ 対象リージョン ⚫ 全てのリージョンで検出可能 ⚫ 特定のリージョンのみでの検出も可能 ◼ ネットワークトポロジマップ ⚫ 他リソースとの接続状況と関連する検出結果を可視化 ◼ Amazon Q との連携 ⚫ Amazon Q に対する質問の表示 ⚫ ネットワークセキュリティ設定の分析と セキュリティ評価に基づいた応答 (New AWS Shield feature discovers network security issues before they can be exploited (Preview) https://aws.amazon.com/jp/blogs/aws/new-aws-shield-feature-discovers-network-security-issues-before-they-can-be-exploited-preview/)
  17. 16 Copyright(C) NRI Netcom, Ltd. All rights reserved. 転載、複製、改変等、および許諾のない二次利用を禁止します #nncstudy

    AWS WAF の簡素化されたコンソールエクスペリエンス AWS re:Inforce 2025 Update Pickup ◼ ウェブアプリケーションの セキュリティ実装手順を80%削減 ⚫ 設定手順が1ページに統合 ⚫ 直感的なワークフロー ◼ 保護パックによるAWS WAFルールの 導入簡素化 ⚫ Recommended ▪推奨される保護を有効 ⚫ Essentials ▪基本的な保護を有効 ⚫ You build it ▪利用可能なオプションから ニーズに合わせて保護を選択して カスタマイズ (Introducing the new console experience for AWS WAF https://aws.amazon.com/jp/blogs/security/introducing-the-new-console-experience-for-aws-waf/)
  18. 17 Copyright(C) NRI Netcom, Ltd. All rights reserved. 転載、複製、改変等、および許諾のない二次利用を禁止します #nncstudy

    AWS Threat Intelligence monitors AWS re:Inforce 2025 Update Pickup AWS Threat Intelligence は、2週間の許可されたトラフィックパターンを分析し、潜在的な脆弱性をプロアクティ ブに特定することで、監視機能を強化します。 ◼ トラフィック特性 ⚫ 脆弱なアプリケーション ⚫ ボット ⚫ IPレピュテーション ⚫ 匿名IPソース ⚫ DDoS攻撃 (Introducing the new console experience for AWS WAF https://aws.amazon.com/jp/blogs/security/introducing-the-new-console-experience-for-aws-waf/)
  19. 18 Copyright(C) NRI Netcom, Ltd. All rights reserved. 転載、複製、改変等、および許諾のない二次利用を禁止します #nncstudy

    新しい Outcome-driven Dashboard AWS re:Inforce 2025 Update Pickup 新しいダッシュボードには、ビジネスへの影響に基づいたセキュリティ指標が表示されます。 ◼ 主要カテゴリ ⚫ Traffic characteristics ▪国 ▪攻撃タイプ ▪デバイスタイプ ⚫ Rule characteristics ▪上位10件の管理対象ルール ⚫ Bots ▪検出率 ▪カテゴリ ▪トークン情報 ▪シグナル ▪セッションしきい値, etc. ⚫ Anti-DDoS (Introducing the new console experience for AWS WAF https://aws.amazon.com/jp/blogs/security/introducing-the-new-console-experience-for-aws-waf/)
  20. 19 Copyright(C) NRI Netcom, Ltd. All rights reserved. 転載、複製、改変等、および許諾のない二次利用を禁止します #nncstudy

    新しい AWS Security Hub を利用してセキュリティを統合し、リスクの優先順位付けと対応を 大規模に実現 (プレビュー) AWS re:Inforce 2025 Update Pickup BEFORE NEW AWS Security Hub CSPM へ名前変更 新しい AWS Security Hub Cloud Security Posture Management Security 検出結果の一元管理 AWS Security Hub CSPM 自動相関付け リスクの優先順位付け 自動対応機能
  21. 20 Copyright(C) NRI Netcom, Ltd. All rights reserved. 転載、複製、改変等、および許諾のない二次利用を禁止します #nncstudy

    新しい AWS Security Hub:Exposure summary AWS re:Inforce 2025 Update Pickup 相関分析、コンテキスト化、可視化機能を強化した新しい AWS Security Hub をプレビューリリース。新しい Exposure summary ウィジェットは、リソース関係とシグナルを分析することで、Security Exposure を特定し、優先 順位付けするのに役立ちます。 ◼ シグナル(分析ソース) ⚫ AWS Security Hub CSPM ⚫ Amazon GuardDuty ⚫ Amazon Inspector ⚫ Amazon Macie, etc. (Unify your security with the new AWS Security Hub for risk prioritization and response at scale (Preview) https://aws.amazon.com/jp/blogs/aws/unify-your-security-with-the-new-aws-security-hub-for-risk-prioritization-and-response-at-scale-preview/)
  22. 21 Copyright(C) NRI Netcom, Ltd. All rights reserved. 転載、複製、改変等、および許諾のない二次利用を禁止します #nncstudy

    新しい AWS Security Hub:Potential attack path AWS re:Inforce 2025 Update Pickup 複雑なセキュリティ関係を理解するのに特に役立つ攻撃パスの可視化も表示されます。Network exposure path は、パスに関するすべてのコンポーネントを確認できるため、セキュリティ制御を実装する場所を正確に特定できます。 IAMの関係も強調表示され、権限設定によって権限昇格やデータアクセスがどのように許可されるかが示されます。 ◼ Network exposure path ⚫ Virtual Private Clouds (VPCs) ⚫ Subnets ⚫ Security Groups ⚫ Network Access Control Lists (ACLs) ⚫ Load Balancers, etc. (Unify your security with the new AWS Security Hub for risk prioritization and response at scale (Preview) https://aws.amazon.com/jp/blogs/aws/unify-your-security-with-the-new-aws-security-hub-for-risk-prioritization-and-response-at-scale-preview/)
  23. 22 Copyright(C) NRI Netcom, Ltd. All rights reserved. AWS re:Inforce

    2024 Keynote by Chris Betz, ex - AWS CISO 「Culture of Security」 “セキュリティの文化” 革新をリードするため、セキュリティを最優先事項にしている。セキュリティを優先させる慣習が必要になる。 ⚫AWS がクラウドをどのように保護しているか、組織が迅速かつ安全に移行する方法を紹介 ⚫AWS Organizationsや AWS Control Towerを利用し、フレームワークを使うことによって、ベストプラク ティスを活用した事例の紹介(Eli Lilly) Trustをクラウドで実装することが重要である。Trustを得ることを日々の業務として、ガードレールを構築。 セキュリティフィードバックを受けながら、透明性を確保して、継続的に学ぶ。 ⚫全ての中心は文化であり、セキュリティを優先する習慣を浸透させることの重要性。初めからセキュリティ を考えることの必要性を説明
  24. 23 Copyright(C) NRI Netcom, Ltd. All rights reserved. 転載、複製、改変等、および許諾のない二次利用を禁止します #nncstudy

    本日の主題 01 AWS re:Inforce 2025からのメッセージ 02 AWS re:Inforce 2025 Update Pickup 03 AWS Control Tower の運用における考慮ポイント 04 Summary, References 05
  25. 24 Copyright(C) NRI Netcom, Ltd. All rights reserved. 転載、複製、改変等、および許諾のない二次利用を禁止します #nncstudy

    AWSアカウントのマルチアカウント運用の必要性 組織において必要な環境 AWS Control Tower の運用における考慮ポイント セキュリティ & コンプライアンス 拡張性 & 高可用性 柔軟性 組織のセキュリティや 監査要件に適合する スケーラブルで安定した システムである ビジネス要件の変更に 柔軟な対応が可能
  26. 25 Copyright(C) NRI Netcom, Ltd. All rights reserved. 転載、複製、改変等、および許諾のない二次利用を禁止します #nncstudy

    近年より一層求められるアジリティとセキュリティの両立 AWS Control Tower の運用における考慮ポイント 昨今デジタルトランスフォーメーションによる変化が求められ、アジャイル開発の導入も進み、 よりアジリティとセキュリティの両立が開発者に求められるようになっています。 ◼アジリティ ⚫ 市場環境のデジタル化に伴いビジネス要件の 変更に素早く対応する動きが求められる ⚫ 大小規模に関わらずシステム開発の効率や 生産性の高い、対応スピードが求められる ◼セキュリティ ⚫ Security is our top priority (セキュリティは最優先事項) ⚫ 日々変化するセキュリティ状況に柔軟に対応 する設定が必要
  27. 26 Copyright(C) NRI Netcom, Ltd. All rights reserved. 転載、複製、改変等、および許諾のない二次利用を禁止します #nncstudy

    GateKeeper vs Guardrail AWS Control Tower の運用における考慮ポイント セキュリティ統制に求められるのは、GateKeeperではなく、セキュリティ制約を逸脱せずに必 要に応じて正常な状態に戻すことができるGuardrailです。 各システムの利用を事前承認制(GateKeeper)にすると管理業務がボトルネックとなります。 各システムで自由に利用してもらう一方で、開発者を守るため2種類のガードレール(Guardrail)を用意します。 • やってはいけない操作を未然に防ぐこと(予防的統制)= AWS Organizations の Service Control Policy(SCP) • 逸脱を検知すること(発見的統制)= AWS Config ◼GateKeeper(門番) ◼Guardrail(防護柵) VS
  28. 27 Copyright(C) NRI Netcom, Ltd. All rights reserved. 転載、複製、改変等、および許諾のない二次利用を禁止します #nncstudy

    AWS Organizations(SCP) AWS Control Tower の運用における考慮ポイント AWS Organizationsには、大きく分けて2つの主な機能があります。そのうち、Service Control Policy(SCP)を利用することで、組織ユニット単位での権限に関するガードレールを作成することができ、 コンプライアンスからはみ出してしまうようなアクションを防ぐことができます。 ◼ 一括請求機能 ⚫ 組織内のAWSアカウントに対する請求をまとめて管理 ⚫ 組織内のAWSアカウントの請求設定を一元管理 ◼ Service Control Policy(SCP)機能 ⚫ 組織ユニット単位で複数のAWSアカウントに適用するポリシーを集中管理 ガードレール AWS Organizations SCP適用イメージ 拒否 拒否 許可 IAM SCP SCPサンプル { "Version": "2012-10-17", "Statement": [ { "Effect": "Deny", "Action": [ "iam:CreateAccessKey" ], "Resource": "*" } ・・・ Management account Organizational unit Organizational unit Accounts Account SCP SCP
  29. 28 Copyright(C) NRI Netcom, Ltd. All rights reserved. 転載、複製、改変等、および許諾のない二次利用を禁止します #nncstudy

    AWS Config AWS Control Tower の運用における考慮ポイント AWS Configは、AWS上のリソースの構成(設定と関係)を継続的に評価、監査、診断するサービスです。 マルチアカウント管理において、AWS Configは組織単位で集約設定をすることで、監査用途のアカウントに各リージョ ン・各アカウントのConfigデータを集約することができます。一方で、各アカウントのConfig有効化自体は個々に設定 する必要があり、AWS CloudFormation StackSetsを活用できます。 AWS Configには、自動修復機能もあり、一部のAWS Configルールに対して、コンプライアンスを逸脱した設定を自 動的に正しい設定に戻すことも可能です。 ガードレール
  30. 29 Copyright(C) NRI Netcom, Ltd. All rights reserved. 転載、複製、改変等、および許諾のない二次利用を禁止します #nncstudy

    AWSサービスによるマルチアカウントの自動設定とガバナンス~AWS Control Tower~ AWS Control Tower の運用における考慮ポイント ◼AWS Control Towerを利用した、ベースラインセキュリティの設定が必要 ⚫ AWS推奨のマルチアカウント環境を自動セットアップ ⚫ AWS Config、SCPによる発見的ガードレール、予防的ガードレールの一元管理、簡単な設定 AWS Control Tower Management Amazon S3 • CloudTrail Logs • Config Logs Log Archive Audit AWS Config Aggregator AWS Organizations AWS IAM Identity Center Amazon Simple Notification Service (Amazon SNS) Security OU Workloads OU Amazon Virtual Private Cloud (Amazon VPC) … Network Baseline AWS CloudFormation … Security Baseline
  31. 30 Copyright(C) NRI Netcom, Ltd. All rights reserved. 転載、複製、改変等、および許諾のない二次利用を禁止します Control

    Towerによる管理されたコントロール(ガードレール)の実装と各種設定 AWS Control Tower の運用における考慮ポイント ◼ AWS CloudFormation テンプレートや AWS Organizations の機能を使用して、 Control Towerでは自動設定 がサポートされていない下記機能の自動設定が必要となります。 ⚫ Amazon GuardDuty(脅威検出) ⚫ AWS Security Hub(セキュリティのベストプラクティス状況評価) ⚫ AWS IAM Access Analyzer(外部へのアクセス許可リソース検知) ⚫ 予算アラートの作成 ⚫ コスト異常検出の設定 AWS CloudTrail Amazon GuardDuty AWS Config AWS Security Hub AWS IAM Access Analyzer Control Towerによる自動設定 自動設定 (テンプレートまたは AWS Organizations による設定が必要) AWS Budgets AWS Cost Explorer
  32. 31 Copyright(C) NRI Netcom, Ltd. All rights reserved. 転載、複製、改変等、および許諾のない二次利用を禁止します #nncstudy

    AWS Control Tower の運用で考慮する観点 AWS Control Tower を導入してAWSアカウント発行を運用上、考慮しておきたい観点を 紹介します。 ◼ランディングゾーンのバージョン管理による AWS Lambda ランタイム更新 ◼AWS Control Tower 管理のマネージド Config によるコントロール ◼監査アカウントに集約されている通知の管理 ◼ベースラインでの継承ドリフトの解決 ◼AWSアカウント解約時の AWS Control Tower 登録解除 AWS Control Tower の運用における考慮ポイント AWS Control Tower
  33. 32 Copyright(C) NRI Netcom, Ltd. All rights reserved. 転載、複製、改変等、および許諾のない二次利用を禁止します #nncstudy

    ランディングゾーンのバージョン管理による AWS Lambda ランタイム更新 AWS Lambda のランタイムは定期的に更新が必要です。 https://docs.aws.amazon.com/ja_jp/lambda/latest/dg/lambda-runtimes.html AWS Control Tower は、Landing Zone によってコントールが管理されています。 AWS Control Tower の Landing Zone は、バージョン2.9以降 Python 3.9 ランタイムが利用 されていますが、Python runtime バージョンアップに対応した Landing Zone は現時点でリ リースされていません。 新しいランタイムに対応した Landing Zone リリース後、バージョンアップ対応が必要です。 AWS Control Tower の運用における考慮ポイント
  34. 33 Copyright(C) NRI Netcom, Ltd. All rights reserved. 転載、複製、改変等、および許諾のない二次利用を禁止します #nncstudy

    マネージド Config によるコントロール AWS Control Tower の主なリリースノート • 2018年 AWS re:Invent プレビュー公開 • 2019年6月24日 AWS Control Tower バージョン 2.1 のGA(General availability) • 2021年4月8日 AWS Control Tower バージョン 2.7 で東京リージョン利用可能 • 2023年5月11日 大阪リージョン利用可能(Landing Zone の更新なし) AWS Control Tower が東京リージョンで利用可能になってから、大阪リージョンでも利用可能 になるまで約2年かかっています。その間、大阪リージョンでのコントロール実装は、AWS Control Tower 外での独自実装が必要でした。 AWS Control Tower の運用における考慮ポイント
  35. 34 Copyright(C) NRI Netcom, Ltd. All rights reserved. 転載、複製、改変等、および許諾のない二次利用を禁止します #nncstudy

    AWS Control Tower 管理のマネージド Config によるコントロール 2025年現在、大阪リージョンの AWS Control Tower でも多くのコントロールが実装されていま す。AWS Control Tower 管理外での独自実装に対する運用メンテナンスは、運用にかかる負 荷が大きいです。 AWS Control Tower の運用における考慮ポイント AWS Control Tower 管理の マネージド Config による コントロール設定を念頭におきましょう
  36. 35 Copyright(C) NRI Netcom, Ltd. All rights reserved. 転載、複製、改変等、および許諾のない二次利用を禁止します #nncstudy

    監査アカウントに集約されている通知の管理 監査アカウントに集約されている通知は非常に多く、AWS公式ドキュメントでも SNSトピックに 関する考慮点として記載されています。 > SNS topics in AWS Control Tower are extremely noisy, by design. For example, AWS Config sends a notification every time AWS Config discovers a new resource. https://docs.aws.amazon.com/ja_jp/controltower/latest/controlreference/receive- notifications.html AWSアカウント数が増えると1日あたりの通知数も多くなります。 AWS Control Tower でのAWSアカウント新規作成に伴う通知に絞る。 AWS Control Tower によって作成されている AWS Config や独自実装の通知に限定する等、 AWS Lambda でのフィルタリング実装を行うことをお勧めします。 AWS Control Tower の運用における考慮ポイント
  37. 36 Copyright(C) NRI Netcom, Ltd. All rights reserved. 転載、複製、改変等、および許諾のない二次利用を禁止します #nncstudy

    AWS Control Tower の運用トラブルシューティング AWS Control Tower の運用上たまに発生するトラブルに対する解消方法を紹介します。 ◼ベースラインでの継承ドリフトの解決 ⚫ OUに対して継承ドリフトが発生した場合は、OUの再登録で解消しましょう https://docs.aws.amazon.com/ja_jp/controltower/latest/userguide/governance-drift.html#drift-enabled-baseline ⚫ OUの再登録でも解消しない場合は、“list-enabled-baselines (AWS CLI)” のコマンド実行結果をAWSサポー トに連携して状態を確認しましょう(OUの再登録日時、発生したエラーのスクリーンショットもセット) ◼AWSアカウント解約時の AWS Control Tower 登録解除 ⚫ AWSアカウントの解約だけしてしまうと、90日が経過する前にOUの再登録をしようとした際にエラーが発生します ⚫ AWS Control Tower(Account Factory)で作成したAWSアカウントを解約する場合は、 Suspended OU に移動してから解約するか、アカウントの登録解除をしてから解約しましょう AWS Control Tower の運用における考慮ポイント
  38. 37 Copyright(C) NRI Netcom, Ltd. All rights reserved. 転載、複製、改変等、および許諾のない二次利用を禁止します #nncstudy

    本日の主題 01 AWS re:Inforce 2025からのメッセージ 02 AWS re:Inforce 2025 Update Pickup 03 AWS Control Tower の運用における考慮ポイント 04 Summary, References 05
  39. 38 Copyright(C) NRI Netcom, Ltd. All rights reserved. 転載、複製、改変等、および許諾のない二次利用を禁止します #nncstudy

    Summary Summary, References ◼ AWS re:Inforce 2025 からのメッセージ “スケールするセキュリティの簡素化”をテーマに、新CISOのAmy Herzog氏が基調講演で登壇。 AWSの重要な戦略(IDとアクセス管理、データとネットワークのセキュリティ、監視とインシデント対応、マイグレーションとモダナイ ゼーション)を中心に、多数の新機能と実践的セキュリティソリューションを発表 ◼ AWS re:Inforce 2025 Update Pickup ⚫ AWSの重要な戦略(IDとアクセス管理、データとネットワークのセキュリティ、監視とインシデント対応)を中心に多数のAWS サービスアップデートを発表 ⚫ サービスアップデートの一部をピックアップ ▪新しい IAM Access Analyzer 機能を使用して、重要な AWS リソースへの内部アクセスを検証 ▪新しい AWS Shield 機能が、ネットワークセキュリティの問題が悪用される前に検出 (プレビュー) ▪AWS WAF の簡素化されたコンソールエクスペリエンス ▪新しい AWS Security Hub を利用してセキュリティを統合し、リスクの優先順位付けと対応を大規模に実現 (プレビュー) ◼ AWS Control Tower の運用における考慮ポイント ⚫ AWS Control Tower は、Landing Zone によって AWS Lambda のランタイムが管理されている ⚫ AWS Control Tower 管理のマネージド Config ルールを活用しましょう ⚫ Audit アカウントからの監査通知を AWS Lambda でフィルタリングしましょう ⚫ ベースラインでの継承ドリフトの解決(AWS Control Tower 運用トラブルシューティング) ⚫ AWSアカウント解約時の AWS Control Tower 登録解除(AWS Control Tower 運用トラブルシューティング)
  40. 39 Copyright(C) NRI Netcom, Ltd. All rights reserved. 転載、複製、改変等、および許諾のない二次利用を禁止します #nncstudy

    References(AWS re:Inforce 関連 1/2) Summary, References ◼AWS re:Inforce 2025 で 3 つの主要セキュリティ機能を発表、お客様のセキュリティ対策の簡素化と スケーリングを支援 https://aws.amazon.com/jp/blogs/news/aws-new-security-features-reinforce/ ◼AWS re:Inforce 2025 のまとめ: 主な発表 https://aws.amazon.com/jp/blogs/news/aws-reinforce-roundup-2025-top- announcements/ Pickup対象 ⚫ AWS IAM Access Analyzer ▪Verify internal access to critical AWS resources with new IAM Access Analyzer capabilities https://aws.amazon.com/jp/blogs/aws/verify-internal-access-to-critical-aws-resources-with- new-iam-access-analyzer-capabilities/ ▪AWSマルチアカウント管理の考え方!(40分編)p.36 https://speakerdeck.com/htan/awsmarutiakauntoguan-li-nokao-efang-40fen-bian- marutiakauntoguan-li-dehuo-yong-dekiruawssabisu?slide=36 ▪Pricing Calculator:AWS IAM Access Analyzer https://calculator.aws/#/createCalculator/IAMAccessAnalyzer
  41. 40 Copyright(C) NRI Netcom, Ltd. All rights reserved. 転載、複製、改変等、および許諾のない二次利用を禁止します #nncstudy

    References(AWS re:Inforce 関連 2/2) Summary, References ◼AWS re:Inforce 2025 のまとめ: 主な発表 https://aws.amazon.com/jp/blogs/news/aws-reinforce-roundup-2025-top- announcements/ Pickup対象(続き) ⚫ AWS Shield ▪New AWS Shield feature discovers network security issues before they can be exploited (Preview) https://aws.amazon.com/jp/blogs/aws/new-aws-shield-feature-discovers-network-security- issues-before-they-can-be-exploited-preview/ ⚫ AWS WAF ▪Introducing the new console experience for AWS WAF https://aws.amazon.com/jp/blogs/security/introducing-the-new-console-experience-for- aws-waf/ ⚫ AWS Security Hub ▪Unify your security with the new AWS Security Hub for risk prioritization and response at scale (Preview) https://aws.amazon.com/jp/blogs/aws/unify-your-security-with-the-new-aws-security- hub-for-risk-prioritization-and-response-at-scale-preview/
  42. 41 Copyright(C) NRI Netcom, Ltd. All rights reserved. 転載、複製、改変等、および許諾のない二次利用を禁止します #nncstudy

    References(AWS Control Tower 運用関連 1/2) Summary, References ◼AWS Lambda ランタイム https://docs.aws.amazon.com/ja_jp/lambda/latest/dg/lambda-runtimes.html ◼AWS Control Tower リリースノート https://docs.aws.amazon.com/ja_jp/controltower/latest/userguide/release-notes.html ⚫ AWS Control Tower バージョン 2.1 の一般提供 https://docs.aws.amazon.com/ja_jp/controltower/latest/userguide/2019-all.html#Version-2-1 ⚫ 3 つの新しい AWS リージョンが利用可能に https://docs.aws.amazon.com/ja_jp/controltower/latest/userguide/2021-all.html#three-new- regions ⚫ AWS Control Tower が 7 つの追加で利用可能に AWS リージョン https://docs.aws.amazon.com/ja_jp/controltower/latest/userguide/2023-all.html#seven-regions ◼Compliance notifications by SNS in the audit account https://docs.aws.amazon.com/ja_jp/controltower/latest/controlreference/receive- notifications.html
  43. 42 Copyright(C) NRI Netcom, Ltd. All rights reserved. 転載、複製、改変等、および許諾のない二次利用を禁止します #nncstudy

    References(AWS Control Tower 運用関連 2/2) Summary, References ◼ベースラインでの継承ドリフトの解決 ⚫ 有効なベースラインでの継承ドリフト https://docs.aws.amazon.com/ja_jp/controltower/latest/userguide/governance-drift.html#drift- enabled-baseline ⚫ list-enabled-baselines(AWS CLI) https://docs.aws.amazon.com/cli/latest/reference/controltower/list-enabled-baselines.html ◼AWSアカウント解約時の AWS Control Tower 登録解除 ⚫ Account Factory で作成されたアカウントを解約する https://docs.aws.amazon.com/ja_jp/controltower/latest/userguide/delete-account.html ⚫ アカウントを登録解除する https://docs.aws.amazon.com/ja_jp/controltower/latest/userguide/unmanage-account.html
  44. 43 Copyright(C) NRI Netcom, Ltd. All rights reserved. NRIネットコム ウェビナー

    7/29 12:00~開催 プロジェクトを成功に導く! ノンデザイナーのためのUI/UXデザイン 【アジェンダ】 ⚫ システムとUI/UX ⚫ 開発に役立つデザインの3ステップ ⚫ 良いUIデザインの鉄則 8/8 16:00~開催 システムを止めずに挑むクラウド移行戦略 段階移行でリスクを最小化 【アジェンダ】 ⚫ クラウドマイグレーションが行われる背景と課題 ⚫ クラウドマイグレーションの進め方 ⚫ 大規模システムを止めずにクラウド移行する ⚫ 先行企業の実践事例と成果 connpass よりお申込み受付中!
  45. 44 Copyright(C) NRI Netcom, Ltd. All rights reserved. NRIネットコム 勉強会

    8/5 12:00~開催 AWSマンスリーアップデートピックアップ!! 2025年7月分 connpass よりお申込み受付中!