こんにちは、臼田です。 みなさん、エレベーターに閉じ込められたことありますか？(挨拶 私はつい先程海外のホテルでエレベーターに1時間ばかし閉じ込められました。 その状況に陥ったときのエマージェンシーコールで使ったとっさに出てきた英語が、正しく伝わっていたのか、より英語として適切な文章にできないかと思い、Claude 3.5 Sonnetに校正をしてもらいました。 状況説明 現地時間だいたい午前1時。部屋飲みから自分の部屋に戻る途中で、乗り合いの他の方が降りて再びエレベーターが上昇し始めた直後のことでした。 「ガコーン！」 という激しい音と揺れと共に、エレベーターが止まり、先程まで点灯していた行き先階のランプもすべて消灯しました。 幸いにもエレベーター内の電気や液晶は無事で、一瞬上の階に表示が変わっていたのに、一つ下の階の表示に戻って停止しました。 しばらく音沙汰がないことを確認した後、再び

こんにちは、臼田です。 みなさん、ユーザーガイド読んでますか？(挨拶 ふとGuardDutyのユーザーガイドを見ていたら、このアップデートを発見しました。御覧ください。 めっちゃ良くないですか？説明には以下のように書かれています。 Introducing recently added Find new pages added to this guide in the last 30 days. 最近追加されたものの紹介 過去 30 日間にこのガイドに追加された新しいページを見つけます。 日々新しい情報をキャッチアップしたい我々としては、これ以上嬉しいものはないでしょう！私は推すぞ、この機能を！ ちなみにSecurity Hubのユーザーガイドも以下のようになっています。 良い感じですね。 しかし、まだ日本語のユーザーガイドではこれが反映されていないようです。日本語でも来てほしいですね！ ま

Amazon Bedrockのワークショップをやるために新しいSageMaker StudioのCode Editorを使ってみました こんにちは、臼田です。 みなさん、生成AIしてますか？(挨拶 本日は7月7日ということで七夕ですね。ポニーテールの日でもあります。(・ω・｀)乙　 これは乙じゃなくてポニーテールなんだからね！ そして、クラスメソッドの創立記念日でもあります。なのでブログを書きます。 たまには新しいことをやってみようと思い、普段直接触らないAmazon Bedrockのワークショップを探していたら、このワークショップを見つけました。ワークショップスタジオ製ですが、セルフスペースでも実施できるということでチャレンジすることにしました。 git clone してごにょごにょするとなっていたのですが、ちょうどSageMaker StudioでCode Editorが利用できるよう

Amazon DetectiveのFinding Group Visualizationで4つ目のレイアウトとしてラジアルレイアウトをサポートしました。ガリガリ活用したい可視化機能です。 こんにちは、臼田です。 みなさん、インシデントの可視化してますか？(挨拶 今回は、Amazon DetectiveのFinding Groupsによる可視化が新しくラジアルレイアウトに対応したので試してみます。 Document history for Detective User Guide - Amazon Detective Detective added a new Radial layout to the finding group Visualization panel, to provide improved visualization for easier data interpretat

こんにちは、臼田です。 みなさん、AWSの最新情報はキャッチアップできていますか？(挨拶 社内で行っている__AWSトレンドチェック勉強会__の資料をブログにしました。 AWSトレンドチェック勉強会とは、「日々たくさん出るAWSの最新情報とかをブログでキャッチアップして、みんなでトレンディになろう」をテーマに実施している社内勉強会です。 このブログサイトであるDevelopersIOには日々ありとあらゆるブログが投稿されますが、その中でもAWSのアップデートを中心に私の独断と偏見で面白いと思ったもの(あと自分のブログの宣伝)をピックアップして、だいたい月1で簡単に紹介しています。 6月は58本ピックアップしました。今月はre:Inforce 2024もありセキュリティ系のアップデートが多めです。 ちなみにAWSの最新情報をキャッチアップするだけなら週刊AWS、生成AIについては週刊生成AI

AWS Summit JapanのCommunity Stageで登壇した「AWSセキュリティを「日本語で」学習していくための良いコンテンツをまとめてみた」の解説です。 こんにちは、臼田です。 みなさん、AWSセキュリティの勉強してますか？(挨拶 今回はAWS Summit JapanのCommunity Stageで登壇した内容の解説です。 資料 解説 AWSとセキュリティの勉強をしていく時、嬉しいことにAWS関連の情報はたくさんあります。しかし、どの情報から勉強していくか迷いますよね？そこで、AWS Security Heroである私がオススメする「日本語で」学習するための良いAWSセキュリティのコンテンツたちを紹介します。 紹介するコンテンツは、最近実施しているAWSセキュリティ初心者がステップアップしていくことを目的としたmini Security-JAWSにてまとめたmini S

こんにちは、臼田です。 みなさん、AWSで持続性のあるシステム組んでますか？(挨拶 今回は現在開催中のAWS Summit Japanで展示されているブースの紹介です。 ブースレポート AWSの様々な展示ブースがあるAWS Villageにレジリエンス(回復力)に関する内容を扱うAWS Resilienceブースがありました。 この画面を見てください。いい感じの画面が見えませんか？ これですこれ！かっこいい…！ この画面はGrafanaを使って、現在のAWSのヘルス状況を可視化したダッシュボードだそうですが、まずかっこいいのがいいですよね。 もちろん実用性もバッチリですよね。ギリギリ左の端っこに緑のバーが少しだけ黄色くなっているところが写っていますけど、障害が発生したことがニアリアルタイムに確認できてどこで何が動いていないかなどが把握できそうです！ 私が気になったのはこのダッシュボードがど

こんにちは、臼田です。 みなさん、EC2のマルウェア対策してますか？(挨拶 AWS Summit Japan真っ只中ですが、それとは関係なく今回はAmazon GuardDutyのEC2 Runtime Monitoring機能で新しくUbuntuとDebianがサポートされたので試してみます。 Prerequisites for Amazon EC2 instance support - Amazon GuardDuty 概要 Amazon GuardDutyは脅威検出のサービスです。AWS上で発生する様々な脅威を検出できますが、EC2を含むRuntime Monitoringでは実行環境で動作するマルウェアを検出することが可能です。詳細は以下をご確認ください。 既存では既存では下記OSに対応していました。 Amazon Linux 2 Amazon Linux 2023 今回はこれに加

初めてAWSのサーバレスサービスを学習するときに利用できる「基本的なェブアプリケーションを構築する」の内容を2024年現在でも実行できる手順にしてみました こんにちは、臼田です。 みなさん、AWSのチュートリアル活用してますか？(挨拶 今回はAWSの初心者向けハンズオンコンテンツである基本的なウェブアプリケーションを構築するを2024年の現在版の手順としてまとめてみました。 このコンテンツはAWSのサーバレスなサービスを利用して、簡単にウェブアプリケーションを作成する体験ができるチュートリアルとなっており、登場するAWSの各サービスを理解するのにちょうどよい内容でした。しかし、リリースされてしばらく経っているのもあり、特に今回のAmplify Gen2リリースもあってだいぶ画面や操作方法などが変わってしまいました。 実現できる事自体は変わらないので、現時点でこのチュートリアルを初心者でも完

こんにちは、臼田です。 みなさん、IAMのセキュリティ意識してますか？(挨拶 今回はAWS re:Inforce 2024で行われた下記ワークショップセッションのレポートです。一時的な認証情報を発行するIAM Role(とAWS STS)を調査していく際にAmazon Detectiveを活用するだけでなく、更に深い調査をAmazon Neptuneを利用してグラフDBを構築しNotebookで調査していく内容です。 TDR444 | IAM Roleの一時的な認証情報におけるアイデンティティフォレンジック AWS セキュリティトークンサービス (AWS STS) は、ユーザーが AWS サービスにアクセスする一般的な方法であり、ロールチェーンを利用して AWS アカウントをナビゲートできます。セキュリティインシデントを調査する場合、履歴と潜在的な影響を理解することが重要です。最初に悪用さ

[アップデード]IAM Access Analyzerのカスタムポリシーチェックでパブリックアクセスと重要リソースアクセスのチェックが追加されました！ #AWSreInforce IAM Access Analyzerの自動推論を利用したチェックが強化されました！単純なdiffが難しいポリシーの設定で間違いないかという担保を得るために活用しましょう！ こんにちは、臼田です。 みなさん、アクセス権限のチェックしてますか？(挨拶 今回はAWS re:Infore 2024にてIAM Access Analyzerのカスタムポリシーチェックが拡張されたので解説します。 AWS IAM Access Analyzer now offers policy checks for public and critical resource access - AWS IAM Access Analyzer

「10分で完全に理解するGuardDutyのS3マルウェア保護」というタイトルでJAWS-UG千葉支部#37(オンライン) 世界最速 re:Inforce re:capイベントに登壇しました #jawsug #secjaws #jawsugchiba #AWSreinforce

こんにちは、シマです。 皆さんはS3のファイルにマルウェアスキャンをしていますか？先日、S3に対するネイティブなマルウェア検出と保護の機能である「Amazon GuardDuty Malware Protection for Amazon S3」がリリースされました。 従来、S3のマルウェアスキャンを実現するための選択肢としては、サードパーティ製品で実現する必要がありました。その一例として、トレンドマイクロ社が提供するセキュリティサービスの「Trend Cloud One - File Storage Security(以降C1FSS)」があります。 今回はこの2つについて、導入の際にまず比較対象になるコストについて比較していこうと思います。 いきなり結論 対象Bucketは1つ、1か月は730時間、東京リージョンと仮定して金額を試算しました。試算結果はグラフとして出力しており、横軸は1フ

あしざわです。 現在開催されているAWS re:Inforce 2024 のKeynote にて、AWS IAMのrootユーザーおよびIAMユーザーのMFA(多要素認証)としてPasskeyのサポートが発表されました。 AWS What's newブログ、AWS Blogの両方で発表されています。 概要 本アップデートによって、AWSのrootユーザー、IAMユーザーのMFAデバイスとしてPasskeyが利用できるようになります！ AWS側で発行したPasskeyをGoogleアカウントや1passwordなどのクラウドサービスに登録することで、MFA認証としてPasskeyを利用してAWSアカウントにログインできるようになります。 AWS Blogに以下のように記載があるため、初回のリリース時はPasskey+パスワード認証のみでパスワードの利用は必須であるようです。今後のリリースでP

こんにちは、臼田です。 みなさん、AWS re:Inforce 2024楽しんでますか？(挨拶 re:Inforce 2024会場の4階Content Hubを歩いていたら、こんな光景が飛び込んできました！ 大量のテディベアの抜け殻です。(写真ぶれてましたorz なにかと思っていたら近くのスタッフから「テディベアを作るボランティアをしませんか？」とのこと。 どうやらフィラデルフィアの子供に配布するテディベアを作っているらしいです。 テディベア作ってみた というわけでやってみました！まずは気になる子を選びます。私はローズ色のこの子にしてみました。かわいいですが、抜け殻でくたびれている感じですね。 背中のチャックを開けて元気にしてあげます。私は個人的にふわふわよりしっかりしている方が好きなので、たくさん元気をあげていたら、スタッフが大量に補充してくれました。無限に詰め放題です。 端っこまでいっ

ついにブロックができるようになった！Amazon GuardDuty Malware Protection for Amazon S3が発表されました！ #AWSreInforce Amazon GuardDutyで待望のマルウェアに対する保護機能がリリースされました！信頼できないオブジェクトをS3にアップロードする環境ならガンガン活用していきましょう！ こんにちは、臼田です。 みなさん、AWS上でのマルウェアチェックしてますか？(挨拶 AWS re:Inforce 2024で待望のS3に対するネイティブなマルウェア検出と保護の機能である「Amazon GuardDuty Malware Protection for Amazon S3」がリリースされました！ Detect malware in new object uploads to Amazon S3 with Amazon Gua

こんにちは、臼田です。 みなさん、AWS re:Inforce 2024楽しんでますか？(挨拶 今回はre:Inforce 2024イベント会場で開催されているセルフペースで自由な時間に利用できるAWS Builder LabsとAWS Jamについて紹介します。 会場にいる人向けなので、いま会場にいない人は、是非来年来てくださいね！ 概要 re:Inforce 2024会場の4階Content Hubスペースに以下が設置されています！ 一部モザイクで伏せましたが、こちらにre:Inforce期間中に限定で利用できる無料の学習スペースのリンクがあります。 アクセスすると以下のポータルサイトが開きます。 利用できる期間は以下のとおりです。 AWS Jam: 6月10 - 12日 AWS Builder Labs: 6月10 - 14日 ちなみにこれらのコンテンツは、通常は有償のサブスクリプシ

re:Inforce 2024で行われた「IAM373-R | Unleash the power of IAM Access Analyzer unused access」のレポートです。いいセキュリティ自動化のヒントになります！ こんにちは、臼田です。 みなさん、IAMのセキュリティ意識してますか？(挨拶 今回はAWS re:Inforce 2024で行われた下記ワークショップセッションのレポートです。リスクの高くなったIAMリソースを自動で無効化していくパワフルなセキュリティ運用の実装ヒントをつかめるワークショップでした。 IAM373-R | IAM アクセス アナライザーの未使用アクセスのパワーを解き放つ AWS Identity and Access Management Access Analyzer の未使用アクセスの検出結果に基づいて、最小権限のジャーニーをサポートする方

こんにちは、臼田です。 みなさん、AWSの最新情報はキャッチアップできていますか？(挨拶 社内で行っているAWSトレンドチェック勉強会の資料をブログにしました。 AWSトレンドチェック勉強会とは、「日々たくさん出るAWSの最新情報とかをブログでキャッチアップして、みんなでトレンディになろう」をテーマに実施している社内勉強会です。 このブログサイトであるDevelopersIOには日々ありとあらゆるブログが投稿されますが、その中でもAWSのアップデートを中心に私の独断と偏見で面白いと思ったもの(あと自分のブログの宣伝)をピックアップして、だいたい月1で簡単に紹介しています。 5月は69本ピックアップしました。IPv6のアップデートなどはチェックしていきたいですね。 ちなみにAWSの最新情報をキャッチアップするだけなら週刊AWS、生成AIについては週刊生成AI with AWSがおすすめですが

IAM Access Analyzerなどの全リージョンに展開するサービスをSCPで制限するとどうなるのか検証して考察してみました。 こんにちは、臼田です。 みなさん、SCPでリージョン制限してますか？(挨拶 AWS Organizationsを利用してリージョンを制限する場合には、全リージョンに展開しているIAM Access Analyzerなどについて停止したほうがいいのか、確認して検証してみました。 3行まとめ SCPはサービスリンクドロールは制限しない 全リージョンに展開するIAM Access Analyzerなどは利用料金などかからなければそのままでもいい CloudTrailのログなどの余分なものが出ることを気にするなら外してもいい 背景 AWS Organizationsを利用している時に、ガバナンスのために利用できるリージョンを制限することがあります。 例えば日本向けに