Slide 1
Slide 1 text
ネットワーク保護はどう変わるのか?:re:Inforce 2025
最新アップデート解説
クラスメソッド クラウド事業本部
トクヤマシュン
Session 5
1
Slide 2
Slide 2 text
⾃⼰紹介
トクヤマシュン
● 所属:クラウド事業本部コンサルティング部
● 役割:AWSソリューションアーキテクト
● 好きなAWSサービス:AWS Fargate
● 2025 Japan All AWS Certifications Engineer
● 副業
○ 兵庫県明石市でカレー屋をやっています
■ CURRY HOUSE Babbulkund
(カレーハウス バブルクンド)
■ 土曜日のみ営業
■ @babbulkund @babbulkund
2
re:Inforceには2024現地
2025オンライン参加
re:Inforceはいいぞ!!
Slide 3
Slide 3 text
アジェンダ
3
● ネットワーク関連セキュリティアップデート紹介
● AWS Network Firewallのアップデート紹介
● AWS Shieldsのアップデート紹介
Slide 4
Slide 4 text
アジェンダ
4
● ネットワーク関連セキュリティアップデート紹介
● AWS Network Firewallのアップデート紹介
● AWS Shieldのアップデート紹介
Slide 5
Slide 5 text
re:Inforce 2025 で発表されたNW関連のアップデートを紹介するぜ!
5
サービス アップデート内容 本日の発表者
AWS WAF 新しいコンソール体験 arap
AWS WAF 自動アプリケーションレイヤー分散型サービス拒否 (DDoS) 保護をサポート arap
AWS Network
Firewall
AWS Transit Gatewayとの統合 トクヤマ
AWS Network
Firewall
アクティブ脅威防御のサポート トクヤマ
AWS Shield AWS Shield Network Security Directorの提供(Preview) トクヤマ
Slide 6
Slide 6 text
re:Inforce 2025 で発表されたNW関連のアップデートを紹介するぜ!
6
サービス アップデート内容 本日の発表者
AWS WAF 新しいコンソール体験 arap
AWS WAF 自動アプリケーションレイヤー分散型サービス拒否 (DDoS) 保護をサポート arap
AWS Network
Firewall
AWS Transit Gatewayとの統合 トクヤマ
AWS Network
Firewall
アクティブ脅威防御のサポート トクヤマ
AWS Shield AWS Shield Network Security Directorの提供(Preview) トクヤマ
本日は赤枠の3つの内容 について語ります!
Slide 7
Slide 7 text
アジェンダ
7
● ネットワーク関連セキュリティアップデート紹介
● AWS Network Firewallのアップデート紹介
● AWS Shieldのアップデート紹介
Slide 8
Slide 8 text
AWS Network Firewallとは?
8
参考:AWS Network Firewall 応用編1
(https://d1.awsstatic.com/webinars/jp/pdf/services/202110_AWS_Black_Belt_Network_Firewall_advanced01.pdf)
● EC2 から Network Firewall経由でインター
ネット通信を行うフロー例
● サブネット単位で Network Firewall を経由
するようルーティングテーブルを設定
● Network Firewallは独立したサブネットに構
築する必要あり
Slide 9
Slide 9 text
AWS Network Firewall のアップデート
9
● 今回2つのアップデートがありました!
● AWS Transit Gatewayとの統合
○ AWS Transit Gateway と AWS Network Firewall を紐づけて設定できるように
なりました!
○ これまでは専用のVPCを用意していたのが不要となり、ルート設計がシン
プル・簡単に!
● アクティブ脅威防御のサポート
○ AWSがこれまで蓄積してきた脅威インテリジェンスを元にしたマネージド
ルールグループを提供!
○ ユーザーは Network Firewall で有効化するだけで利用でき、
AWS側で自動メンテされる
○ Amazon GuardDuty で検知できていた一部項目が
AWS マネージドな仕組みでブロック可能に!
Slide 10
Slide 10 text
AWS Transit Gatewayとの統合
10
Network Firewall構築時にアタッチメントタイプに「 Transit Gateway」が選択可能に!
Slide 11
Slide 11 text
AWS Transit Gatewayとの統合
11
Before:トラフィック検査用の VPC を構築することが一般的だった
→VPCが増えるたびにルートテーブルの管理が必要
参考:AWS Network Firewallのデプロイモデル
(https://aws.amazon.com/jp/blogs/news/networking-and-content-delivery-deployment-models-for-aws-network-firewall/)
Slide 12
Slide 12 text
AWS Transit Gatewayとの統合
12
After:TransitGatewayに Network Firewall をアタッチするだけで OK!
→Firewall用VPCが不要になりシンプル化。 VPC増やMulti-AZ対応も楽チン!
参考:AWS re:Inforce 2025 - AWS Network Firewall: Latest features and deployment options (NIS201-NEW)
(https://www.youtube.com/watch?v=nauTd9uOtsU&list=PL2yQDdvlhXf9XkXzO5bXvtMaio6gAcdmN&index=8)
Slide 13
Slide 13 text
AWS Transit Gatewayとの統合
13
2025/07/02時点では、利用可能リージョンに制約があるのでご注意ください。
● 利用可能リージョン
○ アフリカ (ケープタウン )
○ アジアパシフィック (ハイデラバード )
○ 欧州 (ストックホルム )
○ 欧州 (チューリッヒ )
○ 中東 (UAE)
Slide 14
Slide 14 text
AWS Transit Gatewayとの統合
14
実際の構築方法などはこちらのブログをご参照ください。
(https://dev.classmethod.jp/articles/aws-network-firewall-transit-gateway-native-integration/)
Slide 15
Slide 15 text
アクティブ脅威防御のサポート
15
AWS が MadPot と呼ばれる独自のグローバル honeypot を運用した知見を利用した
脅威防御ルールを AWSマネージドルールグループとして提供!
参考:AWS re:Inforce 2025 - AWS Network Firewall: Latest features and deployment options (NIS201-NEW)
(https://www.youtube.com/watch?v=nauTd9uOtsU&list=PL2yQDdvlhXf9XkXzO5bXvtMaio6gAcdmN&index=8)
Slide 16
Slide 16 text
アクティブ脅威防御のサポート
16
ルールは自動でメンテナンスされるので、ユーザーが意識する必要はありません。
参考:AWS re:Inforce 2025 - AWS Network Firewall: Latest features and deployment options (NIS201-NEW)
(https://www.youtube.com/watch?v=nauTd9uOtsU&list=PL2yQDdvlhXf9XkXzO5bXvtMaio6gAcdmN&index=8
Slide 17
Slide 17 text
アクティブ脅威防御のサポート
17
2025/7/2時点で実に 7080ものルールを含むグループが提供されています。
URL、IP、ドメインといった情報を元に脅威トラフィックを検出します。
Slide 18
Slide 18 text
アクティブ脅威防御のサポート
18
下記のAWS GuardDuty の検知内容と重複があります。
Network Firewallでは対象の脅威トラフィックをブロックできるのが強みです!
(ただし私の環境ではブロックが成功しませんでした。またトライしてブログ化します(白目) )
Command and control related findings
● Backdoor:EC2/C&CActivity.B
● Backdoor:EC2/C&CActivity.B!DNS
● Backdoor:Lambda/C&CActivity.B
● Backdoor:Runtime/C&CActivity.B
● Backdoor:Runtime/C&CActivity.B!DNS
Cryptocurrency related findings
● CryptoCurrency:EC2/BitcoinTool.B
● CryptoCurrency:EC2/BitcoinTool.B!DNS
● CryptoCurrency:Lambda/BitcoinTool.B
● CryptoCurrency:Runtime/BitcoinTool.B
● CryptoCurrency:Runtime/BitcoinTool.B!DNS
● Impact:EC2/BitcoinDomainRequest.Reputation
Other threat findings
● Trojan:EC2/BlackholeTraffic!DNS
● Trojan:Runtime/BlackholeTraffic!DNS
● UnauthorizedAccess:EC2/MaliciousIPCaller.Custom
Slide 19
Slide 19 text
アジェンダ
19
● ネットワーク関連セキュリティアップデート紹介
● Network Firewallのアップデート紹介
● AWS Shieldのアップデート紹介
Slide 20
Slide 20 text
AWS Shieldのアップデート
20
● 今回1つのアップデートがありました!
● AWS Shield Network Security Directorの提供(Preview)
○ アカウント内のリソースを自動的に検出して、セキュリティ構成の評価を行ってくれ
ます。
■ ある意味、AWS Security Hub や AWS Trusted Advisor といったサービスと似て
いるといえそう
■ いままでの AWS Shield Standard や Advancedとは少し気色が違う??
■ ダッシュボードが直感的で使いやすい! Amazon Qと密接に結合!
○ プレビュー版は無料で利用可能なのでとりあえず有効化してみましょう!
習うより慣れろ!
ここからは実際のレポート画面のキャプチャをお見せします。
Slide 21
Slide 21 text
AWS Shield Network Security Director 解析作成
21
Slide 22
Slide 22 text
AWS Shield Network Security Director 解析作成
22
Slide 23
Slide 23 text
AWS Shield Network Security Director Dashoboard(全体)
23
Slide 24
Slide 24 text
AWS Shield Network Security Director Dashoboard(1/2)
24
Slide 25
Slide 25 text
AWS Shield Network Security Director Dashoboard(2/2)
25
Slide 26
Slide 26 text
AWS Shield Network Security Director Resource
26
検出リソース一覧はリソース確認画面から見ることも可能
Slide 27
Slide 27 text
AWS Shield Network Security Director Findings
27
Findings一覧はFindings確認画面から見ることも可能
Slide 28
Slide 28 text
AWS Shield Network Security Director Amazon Q
28
Slide 29
Slide 29 text
おわり
29
ネットワーク保護はどう変わるのか?
→より高いセキュリティレベルを、より楽に。
今後もネットワーク保護の進化に期待したいですね!!