AWS re:Inforce 2021 re:Cap 1

© 2021, Amazon Web Services, Inc. or its affiliates. All rights reserved.
AWS re:Inforce 2021 re:Cap 1
Hayato Kiriyama
Amazon Web Services Japan
August 30, 2021
AWS Startup Loft Tokyo Security Day Online

自己紹介
氏名: 桐山隼人
役職: シニアセキュリティソリューションアーキテクト
プロフィール:
外資系総合IT会社の開発研究所にて開発エンジニア、セキュリティベンダーにて
技術営業を経た後、現職。CISSP, CISA, ITIL, MBA, セキュリティ関連特許多数。
クラウドセキュリティに関するセミナー登壇・記事寄稿など。
@hkiriyam1
RSA Conference 2017 APJ
「Cloud Security
Strategy」
Session Speaker
AWS Summit Tokyo 2017
「AWSで実現するセキュリティ・オートメー
ション」(マイナビニュース)
「IoTビジネスとセキュリ
ティを3段階と4要素で理解
する」記事寄稿
(ISC)2 Information Security
Leadership Achievements
Asia-Pacific Award 2018

Time Table
Time Session Abstract
13:00-13:05 Opening
13:05-13:45 AWS re:Inforce 2021 re:Cap 1 AWS セキュリティカンファレンスである AWS
re:Inforce 2021 の基調講演及びリーダーシップセッ
ションを日本語でまとめ、意思決定層の方にAWSセ
キュリティの最新情報をお届けします
13:45-14:15 AWS re:Inforce 2021 re:Cap 2
14:15-14:20 Closing
14:20-14:30 Break
14:30-18:00 AWS Security Hub Workshop セキュリティ管理者やアプリケーション開発者が
AWS環境のリスク可視化を行うサービス、AWS
Security Hub の基本機能を網羅したハンズオンを実
施します

AWS re:Inforce セッション動画
https://www.youtube.com/c/AWSEventsChannel

AWS Security Hub Workshop

1. AWS re:Inforce 2021 Keynote
2. AWS re:Inforce 2021 Leadership Session:
Building for the future with AWS Identity
Services
3. AWS re:Inforce 2021 Leadership Session:
Scaling security, one human at a time
re:Cap 1 セッションアジェンダ

AWS re:Inforce 2021 Keynote
re:Cap

Summary (11 things to do today)
Threat Detection and Incident Response
1. 手動でインシデント対応を行わない
Don’t handle incident response manually
2. 根本原因を解決する
Fix the underlying cause
Identity and Access Management
3. 定期的にアクセス許可を確認する
Review Permission Regularly
4. IAMにおいて最小権限を用いる
Use Least Privilege in IAM
Network and Infrastructure Security
5. 定義した仮想ネットワーク内でAWSリソースを起動する
Launch AWS resources in virtual networks that you define
6. Well-architected テストを実行する
Run a well-architected test
Data Protection and Privacy
7. 計画なしに機密データを保存しない
Don’t store sensitive data without a plan
8. 全てを暗号化する
Encrypt everything
Governance, Risk, and Compliance
9. あなたが率先して(セキュリティを学び)始める
Give yourself a head start
10. (セキュリティ組織外に)
セキュリティガーディアンを作る
Security Guardians
11. クラウド監査アカデミーで学ぶ
Cloud audit academy

Agenda
Governance,
risk, and
compliance
Data
protection
and privacy
Network and
infrastructure
security
Identity
and access
management
Threat detection and
incident response

incident response
Agenda

What’schangedoverthepast18months?

W H A T ’ S N E W
Updates for threat
detection and
incident response

No additional cost, no action required
Model API invocations to form predictions
Discern potentially malicious user activity from benign
Decreases alert volume by over 50%
Amazon GuardDuty
and Machine Learning

Quickly identify areas of deviation
Now supports 159 security controls
Also available for PCI & CIS Foundational
Send findings to ticketing, chat, remediation workflows
and Foundational Security
Best Practices

D O T H I S
T O D A Y
incident response

1. 手動でインシデント対応を行わない
• Don't handle incident response manually
2. 根本原因を解決する
• Fix the underlying cause
Do This Today

AmazonGuardDuty
Enhances security incident
investigationworkflows
Enable
GuardDuty
Intelligently
Detect Threats
Take
Action
CloudTrail
Management Events
CloudTrail
S3 Data Events
VPC Flow Logs
DNS Logs
Continuously
Analyze

AWS SecurityHub
Automated Response
and Remediation
Integrated APN solutions
Continuously aggregate and prioritize
Amazon
GuardDuty
Amazon
Inspector
IAM Access
Analyzer
Amazon
Macie
AWS Firewall
Manager
AWS Systems
Manager
Conduct
Automated
Security Checks
Take
Action

Separation of duties
Operational accounts and backup accounts should be different
Amazon S3 versioning + Object lock
Use CloudEndure Disaster Recovery
Ransomware

IntroducingAWS Backup
AuditManager
Monitor,evaluate,and
demonstrateyourbackup
complianceposturefor centralized
datagovernance Continuously track
your backup
activities
Automatically audit
your backup practices

Audit compliance of backup policies
Centralize and automate data protection across AWS services
Built-in dashboards and auditor-ready reports
Access through AWS Backup console, CLI, API or AWS SDK
AWS Backup AuditManager

Identity
and access
management
Agenda

80% of incidents occur due to compromised or weak credentials
30% of employees use personal emails to share work materials
1/3rd of workers use the same password across devices
45% of employees use personal devices for work purposes
Identityand
AccessManagement

IAM is a feature of your AWS account offered at no additional charge
Specific conditions can be enabled around time, location, and services
Require a physical device along with a password (Multi-factor Auth)
No need for long-term credentials with intentional IAM policies
Identityand
AccessManagement

Updates for identity
and access management
W H A T ’ S N E W

100+ policy checks
Set fine-grained permissions
Available at no additional cost in all regions
Includes recommendations for scoping down roles
IAM AccessAnalyzer

D O T H I S
T O D A Y
Identity and
access management

3. 定期的にアクセス許可を確認する
• Review permissions regularly
4. IAMにおいて最小権限を用いる
• Use least privilege in IAM
Do This Today

Network and
infrastructure
security
Agenda

We wanted well-documented, hardened APIs so that teams
collaborated without having to talk to each other.
It took us years … but once
complete we moved much faster.”
ANDYJASSY
CEO,AMAZON
“

Updates for network
and infrastructure security
W H A T ’ S N E W

Confidential computing

Collect data in a way that doesn’t expose the network to Internet
Resolve a private IP address within VPC subnet
Restrict access to only allow VPC endpoint connections
AWS IoT Core
and VPCEndpoints

Network and
infrastructure security
D O T H I S
T O D A Y

5. 定義した仮想ネットワーク内でAWSリソース
を起動する
• Launch AWS resources in
virtual networks that you define
6. Well-architected テストを実行する
• Run a well-architected test
Do This Today
https://aws.amazon.com/well-architected-tool/

Data protection
and privacy
Agenda

Data Privacy Zero Trust Strategies

Updates for data
protection and privacy
W H A T ’ S N E W

Strengthened contractual commitments
https://aws.amazon.com/compliance/privacy-features/
https://aws.amazon.com/compliance/sub-processors/
Data Privacy

Data protection
and privacy
D O T H I S
T O D A Y

7. 計画なしに機密データを保持しない
• Don'tstoresensitivedatawithoutaplan
8. 全てを暗号化する
• Encrypteverything
Do This Today

Governance, risk,
and compliance
Agenda

130+ services in scope for HITRUST CSF
130+ services in scope for SOC 1
130+ services in scope for PCI
Governance, Risk
and Compliance

AWS Marketplace
An industry first baseline standard
aws.amazon.com/mssp
Level 1 MSSP

Level 1 MSSP Competency
Launch Partners
Marketplace MSSP
Category Launch Sellers

Security
Competency
Partners
Announcements

Governance, risk
and compliance
D O T H I S
T O D A Y

9. あなたが率先して(セキュリティを学び)始める
• Give yourself a head start
10. (セキュリティ組織外に)セキュリティガーディアンを作る
• Security Guardians
11. クラウド監査アカデミーで学ぶ
• Cloud audit academy
Do This Today
https://aws.amazon.com/compliance/auditor-learning-path/

Upcoming Leadership Sessions
Transformingcompliancetomeetthespeedofdigital
HowAWSintegratesacultureofprivacytoprotectandenablecustomers
Scalingsecurity,onehumanatatime
BuildingforthefuturewithAWSIdentityServices
Evolvingbeyondheroicsforthreatdetectionandincidentresponse
W H A T ’ S
N E X T

Leadership Session:
Building for the future
with AWS Identity Services
re:Cap

Agenda
Organize
your AWS
environment
1
Centralize
identity
management
2
Establish
a data
perimeter
3
Journey to
least privilege
4
Identity
specialist
panel
5

Organize your AWS environment

Multi-account management with AWS Organizations
Share common resources
between teams
Centrally provision
accounts
Organize accounts
and workloads
Automate infrastructure
management
Implement
security controls
Organize costs and
identify cost savings
Assign delegates for
different functions

Centralize identity management

AWS Single Sign-On – The identity hub for AWS
Centrally manage access
to AWS accounts, business
applications, or both
Accounts Applications
Users

Establishing a data perimeter

What is a data perimeter?
A set of preventive guardrails
that ensures that access to
trusted resources is restricted
to trusted identities from
expected network locations

Tools for your data perimeter
Service control policies
Permissions guardrails
for identities
“Prevent users from copying data to Amazon SNS topics
that do not belong to my AWS Organizations organization.”
1

“Prevent users from outside my organization from moving my customer
data through this VPC endpoint to an Amazon S3 bucket that I don’t own.”
VPC endpoint policies
Ensure network access only
from trusted identities
2

“Prevent access to this Amazon SQS queue from identities outside
my accounts in AWS Organizations unless they are AWS services.”
Resource-based policies
Ensure access only by your
identities and AWS services
3

Journey to least privilege

Refine
Set Verify
Data perimeter
Getting to the right permissions

Set permissions: Policy generation
with AWS IAM Access Analyzer
Helps you get to the right
permissions more quickly by
analyzing your access activity
Refine
Set Verify
Data perimeter
NEW

Set permissions: Policy validation
Makes it easier to author
secure and functional policies
with over 100 checks
Refine
Set Verify
Data perimeter
NEW

Verify permissions: Policy preview
Verify access to critical resources
meets your intent with provable
security – before you deploy
permissions changes
Refine
Set Verify
Data perimeter
NEW

Refine permissions: Action last accessed
Identify unused permissions
to tighten access
Refine
Set Verify
Data perimeter
NEW

Leadership Session
Scaling security,
one human at a time
re:Cap

culture (n)
– the customs, arts, social institutions, and achievements
of a particular nation, people, or other social group
– the attitudes and behaviors characteristic of a
particular social group

tenet (n)
– one of the principles on which
a belief or theory is based
– an axiom

Our tenets
(unless you know better ones)

Our tenets (unless you know better ones)
私達はお客様と私たちのAWSリソースへの不
正アクセスを率先して防ぎます。継続的にシ
ステムを評価し、露出を特定し、リスクを定
量化し緩和することを妥協しません
私達は、データに基づき、注意深く優先順位
付けされた最も大きい潜在的リスクを可視化
し、常に企業幹部に提供します
私達は適切に、積極的にエスカレーション(上
位層へ報告)し、セキュリティ課題を迅速に、
高い判断力で解決します。まだ疑わしい状況
であってもエスカレーションします
私達はお客様のプライバシーと信頼の守護者
(ガーディアン)です。セキュリティに関連す
る全てでお客様を支持します
私達は、サードパーティーやオープンソースの
ソフトウェア含め、全てのAWSのセキュリ
ティに責任を持ちます。たとえ、同じ企業で作
られたものでも、当然とは思わず、全てのコン
ポーネントを広くテストします。もし何かが機
能しなければ、使用を取りやめます
私達はAWSにおいて全てのセキュリティに関
する質問に対応します。私達が答えを知らない
場合でも、回答が得られるまで責任を持ちます
私達はビジネスにとって最も重要なセキュリ
ティリスクに業務を集中させます。ビジネスが
最優先であり、サービス開発チームの優先度は
その次です。私達はそれぞれの思いを良く理解
し、行動可能にし、適切なツールで支援します

私達はお客様と私たちのAWSリソースへの
不正アクセスを率先して防ぎます。継続的
にシステムを評価し、露出を特定し、リス
クを定量化し緩和することを妥協しません

私達は、データに基づき、注意深く優先順
位付けされた最も大きい潜在的リスクを可
視化し、常に企業幹部に提供します

私達は適切に、積極的にエスカレーション
(上位層へ報告)し、セキュリティ課題を迅速
に、高い判断力で解決します。まだ疑わし
い状況であってもエスカレーションします

私達はお客様のプライバシーと信頼の守護
者(ガーディアン)です。セキュリティに関連
する全てでお客様を支持します

私達は、サードパーティーやオープンソー
スのソフトウェア含め、全てのAWSのセ
キュリティに責任を持ちます。たとえ、同
じ企業で作られたものでも、当然とは思わ
ず、全てのコンポーネントを広くテストし
ます。もし何かが機能しなければ、使用を
取りやめます

私達はAWSにおいて全てのセキュリティに
関する質問に対応します。私達が答えを知
らない場合でも、回答が得られるまで責任
を持ちます

私達はビジネスにとって最も重要なセキュリ
ティリスクに業務を集中させます。ビジネス
が最優先であり、サービス開発チームの優先
度はその次です。私達はそれぞれの思いを良
く理解し、行動可能にし、適切なツールで支
援します

Thank you!

AWS Security Event APJ 2021
https://pages.awscloud.com/anz-aws-security-event_reg.html

AWS Security Workshops on 9/9 10:00-14:00
https://workshops.aws/

AWS Security JAM on 9/16 10:00-14:00
Play
AWSのよくあるユースケースや運用にまつわる
課題をチームで解決し、ポイントを獲得します。
リーダーボードのトップを目指してライバル
チームと競い合いましょう！
Learn
セキュリティ、クラウド移行、DevOps、AI/ML
などのAWSベストプラクティスを学べます。課
題を解決してクラウドジャーニーを推進しま
しょう！
https://jam.awsevents.com/

AWS re:Inforce 2021 re:Cap 1

Recommended

Recommended

More Related Content

What's hot

What's hot (20)

Similar to AWS re:Inforce 2021 re:Cap 1

Similar to AWS re:Inforce 2021 re:Cap 1 (20)

More from Hayato Kiriyama

More from Hayato Kiriyama (20)

Recently uploaded

Recently uploaded (20)

AWS re:Inforce 2021 re:Cap 1