Security-JAWS#29 AWS Summit Tokyo 2023 オンデマンド配信を楽しむためのセキュリティ関連トピックご紹介

© 2023, Amazon Web Services, Inc. or its affiliates. All rights reserved.
AWS Summit Tokyo 2023
オンデマンド配信を楽しむための
セキュリティ関連トピックご紹介
勝原達也
S E C U R I T Y - J A W S # 2 9
アマゾンウェブサービスジャパン合同会社
技術統括本部セキュリティソリューションアーキテクト
kthrtty

View Slide

勝原達也 (Tatsuya Katsuhara)
セキュリティソリューションアーキテクト
経歴
• コンシューマ向けデジタル・アイデンティティサービスの企画・開発
• Web、⼯場・プラント、IoT・⾃動⾞のセキュリティ診断
• AWS にてお客様のクラウド活⽤に関連するセキュリティ課題解決
⾃⼰紹介
2

View Slide

3
AWS Summit Tokyo 2023
オンデマンド配信はじまりました
（5/22〜6/23）

View Slide

4

View Slide

現地開催ならではのハードウェア展⽰
5

View Slide

6

View Slide

7
本当は全て⾒ていただきたいけれど
みなさん仕事に家庭に趣味に⾊々ある…

View Slide

8
AWS セッション（58） + 事例セッション（52） + パートナーセッション（33）
代わりに眺めておきました
ほぼ全てのセッションでセキュリティに⾔及あり
全て紹介したいけれど、泣く泣く⼀部のみ Pick up

View Slide

AWS セッション
9

View Slide

ストレージ視点でのセキュリティ
AWS-02 性能、コスト、保護すべてがかなう AWS ストレージサービス
ストレージはデータを保護する
アーキテクチャを構成するための
重要コンポーネント
• データ保護
• 災害対策
• ランサムウェア
10
Amazon FSx for
Windows File
Server
Amazon EFS
Amazon FSx
for Lustre
Amazon FSx
for NetApp
ONTAP
Amazon FSx
for OpenZFS
ファイルストレージ
Windows VSS
on EC2
AWS Backup による⼀元保護ストレージ性能
コスト
データ保護
まとめ
はじめに
バックアップ
別リージョン保管
改変不可
Amazon EBS
Amazon Aurora
Amazon RDS
Amazon Neptune
Amazon DocumentDB
Amazon DynamoDB
Amazon S3
VMware Cloud
on AWS
Amazon EC2 AWS Storage
Gateway
Amazon Redshift Amazon Timestream
AWS CloudFormation
VMware
仮想マシン
AWS Outpost
⼀元管理
•1 つのコンソールで管理
•リソースおよびタグ指定の
バックアップポリシー設定
•IAM ポリシーでアクセス制御
⾃動化
•スケジュール
バックアップ
•保持期限を
⾃由に設定
コンプライアンス
•KMS による暗号化
•読み取り専⽤（WORM）
•AWS Backup Audit Manager
でコンプライアンス準拠の確認
ブロックストレージデータベース
オブジェクト
ストレージ
コンピュートデータの移動マネジメント
アプリケーションオンプレミス
SAP HANA
on EC2
クロスリージョンレプリケーション
Amazon EFS
Amazon S3
Amazon FSx
Amazon EFS
Amazon S3
Amazon FSx
東京リージョン⼤阪リージョン
ストレージ性能
コスト
データ保護
まとめ
はじめに
バックアップ
改変不可
AWS Cloud
クロスリージョンレプリケーション
• Amazon EFS レプリケーション
• Amazon S3 クロスリージョンレプリケーション
• AWS DataSync によるレプリケーション
• NetApp SnapMirror によるブロック差分
レプリケーション
AWS Backup
RDS インスタンス
EC2 インスタンス
ファイルシステム
ランサムウェアへの対策ストレージ性能
コスト
データ保護
まとめ
はじめに
バックアップ
改変不可
Vault Lock
S3 Object Lock
業務アカウント
Backup Vault
VPC VPC
保護⽤アカウント
Amazon S3
悪意のある攻撃者
によるデータ暗号化
（新）業務アカウント
EC2
インスタンス
RDS
インスタンス
ファイル
システム
リストア
Amazon S3
Backup
Vault
VPC
暗号化

View Slide

ネットワークアーキテクチャとセキュリティ
AWS-03 AWS ネットワーク管理をステップアップしたい⽅に送る、次の⼀⼿
AWS-42 AWS Cloud WAN を使⽤したAWS グローバルネットワーク
インフラストラクチャの活⽤
AWS におけるオンプレと VPC の
接続パターンを俯瞰して把握するの
に役⽴つ
• Client VPN
• Site-to-Site VPN
• Direct Connect
• Transit Gateway
11
© 2023, Amazon Web Services, Inc. or its affiliates. All rights reserved. 17
Public subnet
Private subnet
C 要件が異なる拠点からVPCに接続
ユースケース
• ⾃宅勤務者の接続
• セキュアなサイト間接続
• ⼤規模拠点から接続
メリット
• 要件に合わせてコストを最適化
選択肢
• AWS Client VPN
• AWS Site-to-Site VPN
• AWS Direct Connect
本社
VPC
VGW
Security group
Security group
Direct Connect
Site-to-Site
VPN
Client VPN
⽀店
ホーム
オフィス
CGW
VPN
Endpoint
CGW
CGW: Customer Gateway
VGW: Virtual Private Gateway
ELB
VPNソフト
© 2023, Amazon Web Services, Inc. or its affiliates. All rights reserved. 18
Subnet
AWS Direct Connect
ポイント
• オンプレミスから専⽤線でDirect
Connectロケーションに接続
• 1, 10, 100Gbpsのポート速度を
サポート
• 接続の中に仮想インターフェイス
(VIF)を作成
• VIFは接続対象別に3タイプ
トランジット︓TGW⽤のDXGW
プライベート︓VGW⽤のDXGW
パブリック︓AWSクラウド
• パートナー経由の利⽤で多くの選
択肢から要件に合わせて選定
VPC
本社
お客様
ルータ
Direct
Connect
デバイス
パートナー機器
お客様機器
Direct
Connect
ゲートウェイ
S3
リージョン
AWS
Transit
Gateway
Dynamo
DB
DC内構内接続
通信事業者提供
VGW

View Slide

運⽤からセキュリティを考える
AWS-04 インシデントを起点に考える、システム運⽤のユースケースご紹介
セキュリティは予防的統制だけじゃない、
運⽤が回るセキュリティのヒントにして
いただきたい
• インシデント対応
• イベントログ
• ⾃動化ソリューション
• 特権 ID 管理
• セキュアなノードアクセス
12
Incident Manager
⾃動化された対応プランによりアプリケーションの問題をより迅速に解決
!
AWS Chatbot
Amazon Chime
Slack
Incident Manager
Systems Manager
Automation
電話
メール
適切な担当者に
エンゲージメント関係者間の
コミュニケーション円滑化
• インシデント詳細
• 定義済みの対応⼿順
• 連絡先
インシデント対応の効率化・⾃動化
問
題
解
決
後
インシデント
分析
改善項⽬や
根本原因の
振り返り
インシデント
SMS
Teams
27
Diagnosis
(診断)
さらに、AWS 以外のソースの
アクティビティイベントも集約可能
AWS 以外のソース
Ø AWS Conﬁg とも統合されているから、「誰が」「いつ」
「どのリソースで」「何を変更したのか」までわかる
Ø マルチアカウント・マルチリージョンで横断検索
Point
CloudTrail Lake
AWS CloudTrail Lake
イベントに対して SQL ベースのクエリができる
CloudTrail の画⾯上で、
イベントの分析ができる
AWS CloudTrail Lake についてはこちら
58
58
AWS Systems Manager Change Manager
運⽤上の変更をリクエスト、承認、実装、および報告するための
エンタープライズ変更管理フレームワーク
変更
リクエスト
承認者
承認
変更
テンプレート
・作業内容
・承認者
処理実⾏
Automation
Ø AWS リージョン間、複数の
AWS アカウント間で機能する
Point
Mitigation
(緩和)
変更を管理するためのダッシュボードも
変更リクエストの状況
承認者ビュー
AWS Systems Manager Change Manager についてはこちら
68

View Slide

可⽤性はセキュリティの重要要素 - レジリエンス
AWS-14 Resilience at AWS 回復⼒のあるシステムを作る為の設計指針
AWS-43 ミッションクリティカルシステムを AWS に載せるには︖
AWS-49 ⾦融機関に求められるレジリエンスの AWS 環境での実装⼿法
AWS を活⽤して可⽤性・回復性を⾼めていくためのアーキテクチャ
13
High Availability
設計および運⽤メカニズムに
よる⼀般的な障害に対する耐性
Disaster recovery
まれではあるが影響の⼤きい障害に
ついて、⽬標内に運⽤に戻る
コアサービス、可⽤性の⽬標を達成する
ための設計
バックアップ、データ管理、RTO/RPOの管理
適切に Resilience in the Cloud を設計するには︖
CI/CD、Code の改善、運⽤テスト、Observability / モニタリング、
カオスエンジニアリング
以下の3つの観点で分けて考える
Resilience の継続性
ミッションクリティカルシステムを検討
アーキテ
クチャ
可⽤性
性能・拡張性
運⽤・保守性
移⾏性
セキュリティ
システム環境・
エコロジー
機能要件(プロセス)
機能要件(データ)
機能要件(インター
フェイス)
本セッションの
フォーカス
調整
調整
調整
調整
調整
調整
検討
静的安定性
&冗⻑化
up
クラウドにおける業務中断シナリオ
シナリオ例対応アプローチ例
事業継続
計画発動
アプリケーションが
プライマリリージョ
ンで動作しない
マルチリージョン
構成
顧客
サービス
影響あり
アプリケーションが
1つのAvailability
Zoneで動作しない
Multi-AZ構成
平常時
アプリケーション
コンポーネントの障
害
AutoScaling/
AutoHealing
AWSにおける影響が重⼤で、起きる可能性
は低いものの想定しておくべき中断シナリオ
Time
SLA
RTO
RPO
BCP
DR
耐性度
サービスレベル
Impact
平常時
顧客サービスに影響
(通常の障害回復⼿順)
事業継続計画/
災害復旧計画の発動
お客様へ重⼤な影響
⾦融システムへ重⼤な影響

View Slide

データ活⽤- DWH に関するセキュリティ
AWS-35 AWS でミッションクリティカルなデータウェアハウスを構築する⽅法
データウェアハウスはミッションクリティカル性が求められてきている
Amazon Redshift に備わる「セキュリティ」機能ご紹介
14
データセキュリティレベルの分類とアクセス制御
• データのセキュリティレベルを分類して
適切に保護していくことが重要
üData Analytics Lens : Best practice 3.3 – Understand
data classifications and their protection policies
• データ利⽤者が必要な限られたデータにのみ
アクセスできるよう制御する
ü機密データを不適切なユーザーや下流のシステム
に伝播させない
S
A
B
C 全公開
極秘
ロール単位のアクセス制御 (RBAC) のメリット
ü -------
ü -------
ü -------
ü -------
ü -------
ü -------
ü -------
権限
データサイエン
ティスト
ユーザー
データベース
開発者
ビジネス
アナリスト
…
ロール 1
ロール 2
ロール 3
ロール
データベース権限の管理を簡素化
権限のコレクションを「ロール」
としてまとめ、ユーザーに割当て
ü 複数のロールを割当て可能
ü ロールのネストも可能
きめ細かい権限制御
ロールにはオブジェクト権限だけ
でなくシステム権限も割当て可能
ü ユーザーやロールの作成
ü VACUUM, ANALYZE, TRUNCATE
列および⾏レベルのセキュリティ、
動的データマスキングと組み合わせて利⽤
ロールベースの
アクセスコントロール
⾏および列レベル
セキュリティ
動的データマスキングに
よる機密データ保護
Amazon Redshift のアクセスコントロール
多様なデータアクセス要件に対応
多様なデータアクセス要件に
対応する必要のある
ミッションクリティカルな
データウェアハウスを⽀える機能
アクセスコントロールのために
データの複製やビューの作成など
煩雑な管理は不要

View Slide

AWS における「ゼロトラスト」の考え⽅
AWS-39 AWS でゼロトラストを実現するためのアプローチ
３つの⼤切な考え⽅
• ネットワーク & アイデンティティ
• ユースケースにフォーカス
• 対象の特性に応じて柔軟に適⽤
代表的なユースケースと
AWS のビルディングブロック
• リモートアクセス (AWS Verified Access)
• マイクロセグメント化 (Amazon VPC Lattice)
• Digital Transformation (AWS IoT)
15
⼀部だけに注⽬せず
俯瞰的にとらえていく
幅広い観点で成熟度を⾼め
総合的なセキュリティ向上を
実現していく機会
データ
デバイス
ワークロード
⾃動化 &
オーケスト
レーション
ネットワーク
& 環境
ユーザー
可視性
& 分析
セキュリティ統制
⽶国防総省 Zero Trust Reference Architecture より翻案
39
VPC
AWS Cloud
Private subnet
ゼロトラストの考え⽅に基づいたシームレスな
リモートアクセス体験を実現
アプリケーション
アイデンティティ
プロバイダ (IdP)
アクセス
ポリシー
ALB, NLB, ENI*
リモートユーザー
AWS Verified Access
SaaS ユーザー体験マネージドセキュリティ認証・認可済みアクセス
強⼒な認証
デバイス
セキュリティ維持
59
デバイス管理
* Application Load Balancer
* Network Load Balancer
* Elastic Network Interface

View Slide

権限管理のグランドデザインと優れたガードレール
AWS-40 デジタルトランスフォーメーション（DX）の成功を⽀える権限管理
DX のための権限管理モダナイズ
• セキュリティ & アジリティ
グランドデザインと標準化の重要性
• マルチアカウント
• データ境界
• Permissions Boundary
• アクセス権限セット共通化
16
今⽇の AWS ではマルチアカウントアーキテクチャ
がベストプラクティス
23
AWS アカウント AWS アカウント
AWS アカウント AWS アカウント
AWS アカウント
本番開発
セキュリティ運⽤管理
アカウント統制 • AWS アカウントは理想的な環境分離の単位
• AWS アカウント毎の独⽴した権限管理、
リソースグループの明⽰的な境界
• 分離そのものがガードレールとして機能
AWS アカウントを環境の単位とする AWS 固有のプラクティス
AWS アカウント群A
AWS アカウント群C
新しい条件キーを活⽤したデータ保護の例
37
組織の
AWS アカウント群
組織外の
AWS アカウント
組織内の意図した範囲と
のみ共有可能とする
AWS アカウント群B
AWS アカウントの
増減に追従する
データ境界

View Slide

AWS Marketplace に関するセキュリティ
AWS-44 [ISV や SaaS 事業者向け] AWS で⾃社ソフトウェアやサービスを販売
しよう︕
AWS マーケットプレイスを取り巻く状況と活⽤に関するご紹介
AMI やコンテナの出品に関連するセキュリティや継続的な⾃動スキャン
セラーとバイヤーの双⽅をセキュリティ・知財の観点で保護
17
セキュリティに関するガイドライン
セキュリティ
イベントの発⽣
(CVE)
セキュリティ
情報の監視
出品の
レビュー
セラーおよびバイヤーに
Marketplace チームから通知
製品を更新
出品を⼀時制限
セラーはチェックリストおよび要件に従って
イメージを構成する必要がある。
特にセキュリティに関する項⽬に準拠していない場合は
出品することができない
• 既知の脆弱性、マルウェア、ウイルスが含まれていないこと
• EoL を迎えた OS やライブラリを使⽤していないこと
• パスワードベースの SSH 認証を禁⽌すること
• クレデンシャルをイメージに含めないこと
• HVM 仮想化および 64-bit アーキテクチャをベースにすること
など
例えば
セキュリティと IP (知的財産権) の保護について
o セラー「⾃社の IP であるモデルを顧客に渡すのは抵抗が...」
Ø Marketplace から購⼊したモデルやアルゴリズムには、SageMaker の機能を
介してのみアクセスできます。バイヤーが直接イメージを pull したり
モデルにアクセスすることはできません
Ø モデルは保存時および転送時に暗号化されます。
Ø モデルが稼働する環境では、アウトバウンドのネットワークアクセスが制限
されています。
o バイヤー「学習のためとはいえ⾃社の機密データを他社に渡すのは抵抗が...」
Ø アルゴリズム製品を選択することで、データを⾃社の環境に保持したまま
学習を⾏いモデルを作成することできます。
Ø 学習はアウトバウンドのネットワークアクセスを持たない環境で実⾏される
ため、データが外部に転送されることはありません。

View Slide

仮想デスクトップによるセキュリティ確保のヒント
AWS-47 仮想デスクトップ環境の運⽤を⾒直そう︕新たな仮想デスクトップ
サービスの選択肢とAmazon AppStream 2.0 運⽤管理の Dive Deep
データ保護、コンプライアンス、BYOD リスクへの考慮
Web 分離やアプリケーションのストリーミングなど⽤途別の複数選択肢
18
現代の働き⽅の変化
“雇⽤主の83%が、リモートワークが会社の成功に寄
与したと述べている” – PwC study, January 2021
仮想コミュニケーション⽤
ツール
72%
安全な仮想環境
への接続
70%
投資を計画している
⽶国企業エグゼクティブの割合
分散型ワークモデルは今後も続く傾向
幅広い職務
ナレッジ
ワーカー
映像 /
視覚化
タスク
ワーカー
M&A後の
従業員
派遣
労働⼒
BYOD
ワーカー
エンジニア /
データ
サイエンティスト
トレーニング
ラボ
⼯場と営業
出展︓PWC Remote Work Survey, January 2021
ユーザーの利⽤イメージ
①アプリケーション
②デスクトップ
のどちらかを選択
①アプリケーションをストリーミング
ブラウザまたは
クライアントアプリから
AppStream 2.0 にアクセス
②デスクトップをストリーミング
①
②
Amazon WorkSpaces Web
低コストで利⽤することができるフルマネージド仮想ブラウザサービス
クライアント端末クラウド上の仮想ブラウザ
Amazon
WorkSpaces Web
暗号化されたピクセルストリーム
(AES 256 による強⼒な暗号化)

View Slide

必要な技術︓③セキュリティ
1. 責任共有モデル
2. ISMAP, NIST SP800-53に関する理解
3. AWSが提供するリファレンスアーキテクチャの理解
4. ゼロトラスト
5. 予防的統制と、発⾒的統制
6. セキュリティ対策の⾃動化
7. サーバレスアーキテクチャの理解
8. IaCテンプレートの適⽤とセキュリティ対策のデフォルト化
9. AWS GuardDuty, AWS Security Hubなどの理解
10. パッチ、アップデートに柔軟なシステム運⽤
11. クラウドに適した監査
第1段階第2段階
アプリケーションの変更を最⼩限に、
マネージドサービスを活⽤
インフラとアプリケーションを刷新してクラウドサービスをフル活⽤
ガバメントクラウドへの移⾏パターン
Network
運⽤/Security
Storage
DB
AP
Network
運⽤/Security
Storage
DB
AP
マイクロ
サービス
マイクロ
サービス
マイクロ
サービス
• 単純なリホストによる移⾏ではなく、インフラとアプリケーションの同時刷新
を検討する
• 同時刷新が困難な場合、第1段階の状態を経由する2段階移⾏の計画を⽴てる
出展︓デジタル庁「政府情報システムにおけるクラウドサービスの適切な利⽤に係る基本⽅針」
https://www.digital.go.jp/assets/contents/node/basic_page/field_ref_resources/e2a06143-ed29-4f1d-9c31-
0f06fca67afc/17ef852e/20221228_resources_standard_guidelines_guideline_01.pdf
スタディログの可視化・分析
政府・⾃治体におけるクラウド利⽤とセキュリティ
AWS-50 政府が求めるクラウドを適切（スマート）に利⽤するための設計原則
AWS-51 ⾃治体がガバメントクラウド利⽤に向けておさえておきたい 10 のこと
AWS-52 教育データ利活⽤と教育ダッシュボードの構築
AWS-53 国の DX を⽀えるデジタル⼈材の育成
19
15
どういった仕組みなのか︖
AWS CloudTrail AWS Config
・AWSアカウント作成
・SSO User作成
・操作ログ改竄防⽌
・予防的統制（SCP)
・発⾒的統制（Config Rule)
・不正アクセス脅威検出
・セキュリティ⾃動チェック
デジタル庁がAWS Control Towerで
AWSアカウントを⾃治体へ払い出す。
⾃治体利⽤に必要な機能が事前設定
Amazon GuardDuty AWS Security Hub
テンプレート
通知への対応
設定されているサービス
※代表的なもの
利⽤開始時からセキュリティ基準が⾼い
AWSアカウ
ント
1
AWS Trusted Advisor AWS Budgets
⾃治体
デジタル庁が設定

View Slide

お客様セッション（抜粋）
20

View Slide

AWS を活⽤した全社共通クラウド基盤 (1 of 2)
21
CUS-02 中外製薬様
• 全てのバリューチェーンで AWS を活⽤
• 次期クラウド基盤を超短期間でリリース実現
• アジリティとセキュリティ（ガードレール）
• アカウント⾃動⽣成、セルフサービス化
CUS-05 三菱マテリアル様
• DX - データとデジタル技術活⽤による改⾰
• セキュリティを維持しながらも不確実なニーズ
に対応できる基盤 “MMCG クラウド”
• 全社共通環境 (IT部⾨) と各カンパニー向け環境

View Slide

AWS を活⽤した全社共通クラウド基盤 (2 of 2)
22
CUS-33 住友⽣命保険様
• クラウドファーストの次世代アーキテクチャ構想
• ゼロトラストネットワーク (SASE)
• 認証・ID連携
• クラウド間接続・データ HUB
• API 連携基盤

View Slide

セキュアなリモートメンテナンス構成事例
23
CUS-11 KINTO テクノロジーズ様
• DBRE(DB Reliability Engineer) の活動紹介
• アジリティ & セキュリティとガバナンス
• DB にフォーカスした本番アクセス管理
• Slack を⽤いた申請・承認、⾃動化・監査

View Slide

府省クラウド CoE としての取り組み・歩み
24
CUS-16 デジタル庁／農林⽔産省様
• ガバメントクラウドの先⾏事例（R.2 年稼働）
• 共通機能（セキュリティ含む）を管理アカウン
トに集約
• 現⾏踏襲を望む個別システム管理者に
改善の意思決定させるには、CoEに勇気が必要

View Slide

⾦融機関におけるセキュリティ確保とデータ活⽤
25
CUS-31 三菱UFJ銀⾏様
• 銀⾏セキュリティ・ガバナンス要件に応え、
素早く AI を活⽤する開発基盤を内製
• 「数⼈で⾦融機関⽔準のセキュリティを満たす
分析基盤が構築可能」

View Slide

⼤規模オンプレ活⽤から⼤規模 AWS 活⽤へ
26
CUS-36 ドワンゴ様
• テーマは「地⽅分権とガバナンス」
• 裁量と責任を持った個々の開発チーム
• 課題解決、制度設計で地⽅分権を推進
• アカウント戦略 (AWS Control Tower)
• セキュリティガイドラインや⽅針の整備

View Slide

AWS セキュリティサービスと
マネージドサービス活⽤のねらい・効果
27
CUS-46 パナソニック様
• 差別化に繋がらない実⾏基盤は、AWS サービス
を活⽤して省⼒化 → 顧客価値に集中
• AWS Fargate
• AWS セキュリティサービス
• AWS Code シリーズ
CUS-49 弥⽣様
• AWS セキュリティサービスの活⽤
• マネージドサービスでセキュリティ考慮点削減
• セキュリティガードレール
• 運⽤チーム作業量 60% 減
• マネージドサービス⽐率 30 → 70%

View Slide

SaaS ビジネスのセキュリティ / Marketplace 活⽤
28
CUS-52 サイバーセキュリティクラウド様
• AWS WAF Managed Rules のグローバル展開
• 累計 90 カ国以上、グローバル⽐率は 50% 超
• AWS WAF ⾃動運⽤サービス「WafCharm」の
グローバル展開開始
CUS-48 Works Human Intelligence 様
• 第三者機関の認証を取得し、クラウドサービス
の信頼性のアピール
• P マーク、ISO27001、ISO27017、ISO27701、
ISMAP

View Slide

サービス成⻑フェーズこそ継続的な改善が⼤切
29
CUS-51 セーフィー様
• 環境変更に抵抗あれど、⻑期的な⽬線で判断
• 強い権限をもった IAM アクセスキーのリスク削減
• スイッチロールでクロスアカウントアクセス
• direnv や aws-vault で⼀時クレデンシャル活⽤
• Session Manager でセキュア＆監査可能なメンテ

View Slide

Appendix.
パートナーセッション（抜粋）
30

View Slide

パートナーセッション抜粋 (1 of 2)
31
# タイトルキーワード
AP-02
トヨタCCoEチームの挑戦オブザーバビリティの活⽤と
DevSecOpsの実現（New Relic 様、トヨタ⾃動⾞様）
オブザーバビリティ、トヨタ CCoE、
セキュリティ設定⼯数 96% 減、ガードレール
AP-03
明⽇のセキュリティの課題をパロアルトネットワークスで
解決︕今ならまだ間に合うセキュリティ対策
（パロアルトネットワークス様）
最新の脅威情報、Cloud NGFW、SASE、FWaaS、
Prisma Cloud
AP-07
デモで分かる︕AWS 環境をランサムウェアから守るには︖
（トレンドマイクロ様）
AWS 環境のランサムウェア対策、設定不備可視化、
ワークロード保護、ストレージのスキャン
AP-09
NTT データが8 年間⼀緒に歩んだリクルート様のAWS 共通
基盤での挑戦の軌跡（NTTデータ様、リクルート様）
ID/認証とアカウント設計、権限設計、監査/リスク
検知システム、AWS Organizations 活⽤
AP-10
官公庁・⾃治体が取り組むべきスマートモダナイゼーション
と実例（⽇本電気様）
モダナイゼーション、マネージドサービステンプ
レート、クラウド統制運⽤PF、デザインアプローチ
AP-11
Amazon VPC のネットワークセキュリティをより堅牢にする
アプローチ（フォーティネットジャパン様）
統合ネットワークセキュリティプラットフォーム、
SaaS 型ファイヤウォール

View Slide

パートナーセッション抜粋 (2 of 2)
32
# タイトルキーワード
AP-12
事例から学ぶ、データ利活⽤の現実と将来像〜AWS 上でデー
タ利活⽤を実現するベストプラクティスとは〜（TIS 様）
決済関連・⾼セキュリティクラウド基盤、SIEM on
Amazon OpenSearch Service、インシデント検知
AP-22
専⽤AWS Organizations 環境提供から獲得したマルチアカウ
ント分割⽅針とガイドライン準拠ソリューション事例
（野村総合研究所様、ニューリジェンセキュリティ様）
マルチアカウント管理サービス、予防的・発⾒的
ガードレール、AWS WAF・AWS Network
Firewall・CSPM・脆弱性管理
AP-24
Gunosy（グノシー）が選んだ開発者に負担をかけないスマー
トなセキュリティ対策（Snyk 様、Gunosy 様）
SDLC 全体でのセキュリティ対策、DevSecOps、
⼈⼒総⼒戦からの脱却、定期的・⾃動的なスキャン
AP-25
サイバー空間の安全を保つために ︕AWS WAF を最⼩限の⼯
数で最⼤限に使いこなす術とは
（サイバーセキュリティクラウド様）
AWS WAF ⾃動運⽤サービス、WafCharm、強⼒な
防御と楽な運⽤、AWS Marketplace での購⼊、
Web サイト改ざん検知
AP-27
エンドポイントだけでは終わらない︕最新の脅威が狙う
「クラウド」のセキュリティ対策（クラウドストライク様）
Falcon Platform、エンドポイントセキュリティ、
脅威インテリジェンス、CIEM、CSPM/CWP、アイ
デンティティ保護、可視化、オペレーション
AP-32
三菱UFJ銀⾏様の活⽤事例にみるRed Hat OpenShift Service
on AWS の価値（レッドハット様、
三菱UFJインフォメーションテクノロジー様）
AWS 上での OpenShift、ROSA を使う理由、銀⾏
システムとしての安全安⼼安定のためのガイド、ブ
ラックボックスにしないための追加実装

View Slide

オンデマンド配信、
本セッションも活⽤いただき、
引き続きお楽しみください
33

View Slide

Thank you!
勝原達也（Katsuhara Tatsuya）
アマゾンウェブサービスジャパン合同会社
技術統括本部セキュリティソリューションアーキテクト
kthrtty

View Slide

Security-JAWS#29 AWS Summit Tokyo 2023オンデマンド配信を楽しむためのセキュリティ関連トピックご紹介

Security-JAWS#29 AWS Summit Tokyo 2023 オンデマンド配信を楽しむためのセキュリティ関連トピックご紹介

勝原達也(Tatsuya Katsuhara)

More Decks by 勝原達也(Tatsuya Katsuhara)

Other Decks in Technology

Featured

Transcript