Slide 1

Slide 1 text

クラスメソッド株式会社 
 たかくに
 2024.06.18 
 1
 AWS re:Inforce 2024 
 個人的推しアップデート総まとめ(仮) 


Slide 2

Slide 2 text

2
 自己紹介
 たかくに
 • 所属:クラスメソッド株式会社
 • 部署:AWS 事業本部コンサルティング部
 • ロール:ソリューションアーキテクト
 • 最近の推し:Amazon Bedrock 周り


Slide 3

Slide 3 text

3
 re:Inforce 2024 楽しかったです 


Slide 4

Slide 4 text

4
 アップデート追えてますか? 


Slide 5

Slide 5 text

5
 個人的主観がかなり混じった
 推しアップデートをご紹介


Slide 6

Slide 6 text

6 re:Inforce 2024 概要 
 ● AWS セキュリティに特化したカンファレンス
 ● フィラデルフィア(ペンシルベニア州)で 06/10 - 06/12
 ● オンライン(※一部セッション)とオフラインの同時開催
 ● オフラインセッションは Youtube にて公開中
 ○ https://www.youtube.com/@AWSEventsChannel/playlists


Slide 7

Slide 7 text

7
 お品書き
 ● IAM Access Analyzer unused access findings recommendation (Preview)
 ● AWS IAM Access Analyzer policy checks for public and critical resource access(Preview)
 ● GuardDuty S3 Malware Protection


Slide 8

Slide 8 text

8
 IAM Access Analyzer unused access findings recommendation(Preview) 


Slide 9

Slide 9 text

9
 未使用の許可/エンティティに対するレコメンド


Slide 10

Slide 10 text

10
 未使用の許可/エンティティに対するレコメンド


Slide 11

Slide 11 text

11
 びっくりするくらい、シンプル! 


Slide 12

Slide 12 text

12
 ここからがすごい 


Slide 13

Slide 13 text

13
 未使用の許可/エンティティに対するレコメンド


Slide 14

Slide 14 text

14
 未使用の許可/エンティティに対するレコメンド


Slide 15

Slide 15 text

15
 未使用の許可/エンティティに対するレコメンド


Slide 16

Slide 16 text

16
 AWS IAM Access Analyzer policy checks for public and critical resource access 
 (Preview) 


Slide 17

Slide 17 text

17
 追加されたチェック項目 
 ● CheckNoPublicAccess 
 ○ リソースベースポリシーがパブリックになってないか
 ○ S3 Bucket, Assume Role Policy Document etc…
 ● CheckAccessNotGranted 
 ○ IAM ポリシーが指定リソースにアクセス可能かどうか


Slide 18

Slide 18 text

18
 追加されたチェック項目 


Slide 19

Slide 19 text

19
 追加されたチェック項目 


Slide 20

Slide 20 text

20
 GuardDuty S3 Malware Protection 


Slide 21

Slide 21 text

● AWS アカウント内の悪意のあるアクティビティや異常な動作を モニタリングし、AWS のアカウント、ワークロード、データを保護 する脅威検出サービス
 検出例
 ● EC2 インスタンスがコインマイニングしている
 ● RDS へいつもと違うログインが発生している
 21
 GuardDuty 


Slide 22

Slide 22 text

22
 GuardDuty 
 https://youtu.be/nuMOaQctNgE

Slide 23

Slide 23 text

23
 GuardDuty 
 あらゆる地域、業界、規模の顧客が利用可能な
 多くの機能を備えたクラウドネイティブな
 脅威検出サービスを作りたい


Slide 24

Slide 24 text

24
 ついにブロックまでしてきた! 


Slide 25

Slide 25 text

25
 GuardDuty S3 Malware Protection 


Slide 26

Slide 26 text

26
 GuardDuty 
 ● EKS(Audit Log アクティビティ)
 ● Lambda(ネットワークアクティビティ)
 ● S3(API アクティビティ)
 ● Malware
 ○ EC2
 ○ S3(今日はココ)
 ● Runtime
 ○ EC2
 ○ 〇〇〇
 ○ EKS


Slide 27

Slide 27 text

27
 GuardDuty 
 ● EKS(Audit Log アクティビティ)
 ● Lambda(ネットワークアクティビティ)
 ● S3(API アクティビティ)
 ● Malware
 ○ EC2
 ○ S3(今日はココ)
 ● Runtime
 ○ EC2
 ○ ECS(大事!)
 ○ EKS


Slide 28

Slide 28 text

● S3 に保管されたオブジェクトに対してマルウェアの判定
 ● 体感数秒ほどでチェック完了
 ● オブジェクトにタグ付け可能
 ○ NO_THREATS_FOUND
 ○ THREATS_FOUND
 ○ UNSUPPORTED
 ○ ACCESS_DENIED
 ○ DFAILED
 28
 GuardDuty 


Slide 29

Slide 29 text

● S3 に保管されたオブジェクトに対してマルウェアの判定
 ● 体感数秒ほどでチェック完了
 ● オブジェクトにタグ付け可能
 ○ NO_THREATS_FOUND
 ○ THREATS_FOUND
 ○ UNSUPPORTED
 ○ ACCESS_DENIED
 ○ DFAILED
 29
 GuardDuty 


Slide 30

Slide 30 text

30
 ブロックのイメージ 


Slide 31

Slide 31 text

31