Slide 1
Slide 1 text
AWSセキュリティサービス
最新アップデート
AWS re:Inforce参加者から⾒るクラウドセキュリティの最新動向と応⽤
1
Slide 2
Slide 2 text
2
こんにちは、⾅⽥です。
みなさん、
AWSのセキュリティ対策してますか︖(挨拶
Slide 3
Slide 3 text
3
⾃⼰紹介
⾅⽥佳祐(うすだけいすけ)
・クラスメソッド株式会社 / AWS事業本部
シニアソリューションアーキテクト
セキュリティチームリーダー
AWS公認インストラクター
2021 APN Ambassador
2023 APN AWS Top Engineers (Security)
・CISSP
・Security-JAWS運営
・好きなサービス:
Amazon GuardDuty
AWS Security Hub
Amazon Detective
みんなのAWS
(技術評論社)
Amazon GuardDuty AWS Security Hub Amazon Detective
Slide 4
Slide 4 text
4
re:Inforce 2023に参加してきました
ちょー楽しかったです
みなさんも来年は是⾮⾏きましょう︕
Slide 5
Slide 5 text
5
アジェンダ
• アップデート⼀覧
• 個⼈的に話したいアップデートの掘り下げ
Slide 6
Slide 6 text
6
アップデート⼀覧
Slide 7
Slide 7 text
7
アップデート⼀覧 (1/3)
• Amazon Verified Permissions
• Amazon EC2 Instance Connect Endpoint
• Amazon Inspector code scanning of Lambda
functions
• Amazon Inspector SBOM export
• Amazon ECR Basic Scan supports CVSS v3
• Amazon CodeGuru Security
Slide 8
Slide 8 text
8
アップデート⼀覧(2/3)
• Amazon GuardDuty Summary View
• Amazon Detective finding groups
• AWS Security Hub Automation Rules
• AWS WAF Account Creation Fraud
Prevention
• AWS Payment Cryptography
• AWS Database Encryption SDK
Slide 9
Slide 9 text
9
アップデート⼀覧(3/3)
• AWS DRS VPC configurations recovery
• AWS Audit Manager third-party risk
assessment / CSV
• AWS IAM Identity Center supports Google
Workspace
• AWS CloudTrail Lake dashboard for top
trends
• Amazon S3 announces dual-layer server-
side encryption
Slide 10
Slide 10 text
10
個⼈的に話したい
アップデートの掘り下げ
Slide 11
Slide 11 text
11
Amazon Verified Permissions
アプリケーションの認可を制御できる
Slide 12
Slide 12 text
12
合わせて読みたい
動作の説明など
はこちら
https://dev.class
method.jp/articles
/reinvent2022-
sec335-report/
Slide 13
Slide 13 text
13
Amazon EC2 Instance Connect Endpoint
EC2にSSHで接続できる。SSHポートを公開せずに。
Session
Managerと違
い作成するエン
ドポイントが1
つで済む
エンドポイント
無料
Slide 14
Slide 14 text
14
Amazon EC2 Instance Connect Endpoint
EC2 Instance Connect Endpointタグの記事15本
https://dev.classmethod.jp/tags/ec2-instance-connect-endpoint/
Slide 15
Slide 15 text
15
合わせて読みたい
設定⽅法の説明
はこちら
https://dev.classmet
hod.jp/articles/upda
te-ec2-instance-
connect-endpoint/
Slide 16
Slide 16 text
16
Amazon Inspectorコードスキャン
脆弱性を作り込ん
だLambdaのコ
ードを検出してく
れる
⼤体脆弱性スキャ
ンとしての
Inspectorのカ
バレッジが満たさ
れた
Slide 17
Slide 17 text
17
合わせて読みたい
OSコマンドイン
ジェクションを
実際に検知させ
てみたよ
https://dev.classmet
hod.jp/articles/lamb
da-os-command-
injection-detect-
inspector/
Slide 18
Slide 18 text
18
GuardDutyのサマリーダッシュボード
Slide 19
Slide 19 text
19
ダッシュボードのウィジェットの種類
• 概要
• 重⼤度別の検出結果
• 最も⼀般的な検出結果タイプ
• 最も多い検出結果を含むリソース
• 最も多く検出したアカウント
• 最も低頻度の検出結果
それぞれ活⽤のポイントがある
Slide 20
Slide 20 text
20
概要
• まずは⾼の検知があるか確認する
• ⾼のイベントは特に危険なものが多い、実際にやら
れている可能性が⾼い
• AWSアカウントの重要度をベースにチェックしてい
こう
Slide 21
Slide 21 text
21
最も低頻度の検出結果
特にこれは要チェック
定常的に検知がある環境
ではノイズを減らしてよ
り重要なものを確認でき
る
Slide 22
Slide 22 text
22
最も⼀般的な検出結果タイプ
特に多いタイプのグラフ
おそらく問題のある設定
やアーキテクチャにより
検知されている
例えばSecurity Groupで
SSHを開放している
堅牢化する必要がある項
⽬を⾒つけられる
Slide 23
Slide 23 text
23
最も多い検出結果を含むリソース
これらのリソースは格好の的
重要なリソースであれば即対応
Slide 24
Slide 24 text
24
Detectiveの検出結果グループ
Slide 25
Slide 25 text
25
検出結果グループを使った調査
繋げて攻撃の流れがMITRE ATT&CKの戦術にマッピングして
表⽰される
⾼のイベントがあったら、特にグループが作られていないか確
認する
例えばEC2に対するポートプローブから始まって、SSHブルー
トフォース成功、Outsideでクレデンシャル漏洩
S3漏洩などのシナリオで簡単に流れを確認しRoot Causeが
確認できる
Slide 26
Slide 26 text
26
合わせて読みたい
GuardDuty / Detectiveアップデート
https://dev.classmethod.jp/articles/guardduty-summry-
dashboard/
https://dev.classmethod.jp/articles/detective-support-
finding-group-visualization/
Slide 27
Slide 27 text
27
AWS Security Hub automation rules
Security Hubで検出したFindingsのコントロールが
直接機能でできる
Slide 28
Slide 28 text
28
合わせて読みたい
設定⽤法や説明
はこちら
https://dev.cl
assmethod.jp
/articles/secu
rity-hub-
automation-
rules/
Slide 29
Slide 29 text
29