[2024年4月-2024年6月] AWSセキュリティアップデートまとめ

こんにちは、AWS事業本部@福岡オフィスのべこみん(@beco_minn)です。

皆さん、ちゃんとAWSセキュリティサービスのアップデート情報をキャッチアップ出来てますか？
本記事では、直近3ヶ月にリリースされたAWSセキュリティにまつわるサービスアップデート情報をまとめてみました。皆さんもこの機会に是非キャッチアップしましょう！

本記事の前提

• 集計期間
  • 2024/04/01〜2024/06/30
• 情報取得元
  • What's New with AWS?（英語版）
    • ただし、本記事執筆時点で日本語のWhat's Newが更新されているものについては日本語版を掲示
  • カテゴリーフィルターとして Security, Identity, & Compliance を選択
• 分類について
  • 各アップデート情報を セキュリティ と ガバナンス に大別しています
  • 明確な分類基準は無く、AWS CloudTrail や AWS Config など、ログにまつわる機能など環境を統制するような機能のアップデートは ガバナンス に入れています。それ以外は セキュリティ です。ご了承下さい
  • この分類方法は今後変える可能性があります
• 集計項目について
  • 下記アップデートについては集計対象外としていますのでご了承下さい
    • 一部サードパーティ製品に関するアップデート
    • 一部リージョンのアップデート

アップデート一覧

今回はAWS re:Inforce 2024(2024/06/10~2024/06/12)で発表された大きなアップデートもありましたが、件数としては前期間（2024/01〜2024/03）と変わらず約30件でした。ただ、What's Newに掲示されなかったアップデートもいくつかあったようです。
また、本記事執筆時に英語版のページしかないものについては記事名の末尾に (English) というサフィックスを付けています。

セキュリティ系

4月

• AWS IAM Identity Center が効率化された AWS アクセスポータルとショートカットリンクを提供開始
• Amazon Detective が GuardDuty EC2 Runtime Monitoring の調査をサポート
• AWS KMS がより柔軟な自動キーローテーションを発表
• Amazon QuickSight が IAM Identity Center のアカウントインスタンスを新たにサポート
• IAM Roles Anywhere が証明書属性のマッピングの変更を新たにサポート
• Amazon EC2 の Amazon Inspector エージェントレス脆弱性評価が一般提供開始 (GA)
• AWS Firewall Manager が共通の NACL ポリシーによる VPC NACL の一元的なデプロイと管理のサポートを開始
• AWS Security Hub が AWS リソースのタグ付け標準を発表

5月

• Amazon Cognito、マシンツーマシン (M2M) 利用の階層化された料金を導入
• AWS Security Hub が CIS AWS Foundations Benchmark のバージョン 3.0 のサポートを発表
• AWS IAM Identity Center で AWS アプリケーションのための PKCE ベースの認証を追加
• Amazon Detective が Security Lake 統合の EKS 監査ログのサポートを追加
• Amazon Verified Permissions で Cognito トークンのサポートを強化
• AWS Network Firewall でステートフルルールのクォータが増加
• Amazon Cognito ユーザープールがアクセストークンのカスタマイズ機能のサポートを開始
• AWS WAF Bot & Fraud Control マネージドルールグループのバージョニングのご紹介

6月

• Amazon Inspector コンテナイメージスキャンが Amazon CodeCatalyst および GitHub アクションで利用可能に (English)
• Amazon API Gatewayのお客様は、Amazon Verified Permissionsを使用してAPIを簡単に保護できます。 (English)
• AWS プライベート CA がモバイルデバイス用 Connector for SCEP をリリース (プレビュー)
• AWS IAM Access Analyzer が、未使用のアクセスを絞り込むための推奨事項の提供を開始
• Amazon GuardDuty を使用した Amazon S3 に新しいオブジェクトをアップロードする際にマルウェアを検出
• AWS Identity and Access Management が 2 番目の認証要素としてパスキーのサポートを開始
• AWS IAM Access Analyzer が、公開リソースへのアクセスと重要なリソースへのアクセスのポリシーチェックの提供を開始
• Amazon EKS が Pod Identity エージェントをオープンソース化 (English)
• AWS KMS が楕円曲線ディフィー・ヘルマン (ECDH) 鍵共有をサポートするようになりました
• Amazon GuardDuty EC2 ランタイムモニタリングが Ubuntu および Debian OS をサポートするようになりました

ガバナンス系

4月

• AWS Config の高度なクエリが新たに 35 のリソースタイプに対応
• AWS Config で Amazon CloudWatch メトリクスを使用して使用量の分析を簡素化

5月

• Amazon Security Lake が AWS WAF からのログのサポートを開始
• AWS が請求およびコスト管理コンソールアクセス用のコンソールベースの一括ポリシー移行を開始 (English)

6月

• AWS が税務登録情報をプログラムで管理する Tax Settings API をリリース (English)
• AWS Audit Manager の共通コントロールライブラリの発表 (English)

個人的に気になったアップデート

以下、個人的に気になったアップデートを抜粋しました。
今回は集計期間中にre:Inforceが開催されたこともあり、機能追加のアップデートが目立ちました。

弊社ブログ記事があるアップデートについては該当の記事リンクを添付しておりますので、良ければそちらも併せてご参照下さい。

Amazon GuardDuty を使用した Amazon S3 に新しいオブジェクトをアップロードする際にマルウェアを検出

本期間中の目玉アップデートですね。
Amazon GuardDutyのマルウェアスキャンがS3のオブジェクトに対応しました。
これまでサードパーティ製品では提供されていたS3のオブジェクトに対するマルウェアスキャンですが、遂にAmazon GuardDutyにも搭載されました。GuardDutyの機能というだけあり使い始めやすいのも魅力の一つですね。

本アップデートはこちらの記事で詳しく紹介されていますので、是非ご参照ください。
https://dev.classmethod.jp/articles/release-guardduty-s3-malware-protection/

AWS IAM Access Analyzer が、未使用のアクセスを絞り込むための推奨事項の提供を開始

今回はAWS IAM Access Analyzerのアップデートが2件ありました。そのうちの1つがこちらです。
IAM Access Analyzerでは使用していないIAMリソースのリストアップを行ってくれるのですが、今回のアップデートでそれらに対する推奨対処方法を表示してくれるようになりました。
棚卸しだけではなく、「次にどうすれば良いか」まで教えてくれるのはありがたいですね。

本アップデートはこちらの記事で詳しく紹介されていますので、是非ご参照ください。
https://dev.classmethod.jp/articles/aws-iam-access-analyzer-refine-unused-access/

AWS IAM Access Analyzer が、公開リソースへのアクセスと重要なリソースへのアクセスのポリシーチェックの提供を開始

昨年のAWS re:Inventで追加されたAWS IAM Access Analyzerのカスタムポリシーチェック機能が更に使いやすくなった、というアップデートです。
「ポリシーがパブリックアクセスを許可していないかどうか」というチェックと「特定リソースへのアクセス権限を持っていないか」というチェックが可能になったようです。

本アップデートはこちらの記事で詳しく紹介されていますので、是非ご参照ください。
https://dev.classmethod.jp/articles/iam-access-analyzer-check-public-access-and-resource-access/

Amazon EC2 の Amazon Inspector エージェントレス脆弱性評価が一般提供開始 (GA)

昨年のAWS re:Inventでプレビューになったエージェントレススキャン機能がGAになりました。
プレビューからの変更点として、利用出来るリージョンがバージニア、オレゴン、アイルランドの3リージョンから全リージョンへと広がりました。
スキャン対象インスタンスのOSやEBSのファイルシステム形式などいくつか制約はあるものの便利な機能です。

本アップデートはこちらの記事で詳しく紹介されていますので、是非ご参照ください。
https://dev.classmethod.jp/articles/amazon-inspector-agentless-assessments-ec2-ga/

Amazon Detective が GuardDuty EC2 Runtime Monitoring の調査をサポート

Amazon DetectiveがEC2 Runtime Monitoringの調査もサポートしました。
昨年のAWS re:InventでAmazon GuardDutyがEC2のランタイム保護に対応（プレビュー）したこともあり、今年4月にDetectiveも対応したようです。

Amazon Security Lake が AWS WAF からのログのサポートを開始

CloudTrailログ、Route 53 Resolverクエリログ、Security Hubログ、VPCフローログだけでなく、先日EKS監査ログにも対応したSecurity Lakeですが、AWS WAFのログも取り込めるようになりました。
WAFのログは分析する機会も多いため、嬉しいアップデートですね。
Security Lakeはこれからも多くのログをサポートしてくれるはずなので、これからのアップデートにも期待です。

AWS KMS がより柔軟な自動キーローテーションを発表

これまで年次でしかローテーション出来なかったKMSの自動キーローテーション機能ですが、今回のアップデートでローテーション間隔を 90日〜7年（2560日） の間で選択出来るようになりました。
また、これまで1年経つごとに増えていた月額料金も上限が 3.00 USD になるということで、長期間使い続けやすい機能になりました。
AWSではどんどん新たなサービスや機能が追加されますが、このように長期期間の利用を見越してのアップデートは地味に嬉しいですね。

本アップデートはこちらの記事で詳しく紹介されていますので、是非ご参照ください。
https://dev.classmethod.jp/articles/aws-kms-automatic-key-rotation/

AWS Security Hub が CIS AWS Foundations Benchmark のバージョン 3.0 のサポートを発表

2022年11月に CIS AWS Foundations Benchmark v1.4.0 が追加されて以来のアップデートで、まさかの v1.5.0 や v2.0.0 を飛ばしての v3.0.0 がサポートされました。
v1.4.0に比べて、CloudWatch系のコントロールが全て削除されていたり、13個の新規コントロールが追加されているなど、様々な変更があります。
現在v1.4.0を利用されている方はよく変更点を理解した上で、切り替えをご検討下さい。

本アップデートはこちらの記事で詳しく紹介されていますので、是非ご参照ください。
https://dev.classmethod.jp/articles/aws-security-hub-cis-aws-foundations-benchmark-v3-0-0-released/

AWS Security Hub が AWS リソースのタグ付け標準を発表

AWS Security Hubに新たな標準（スタンダード）が追加されました。久しぶりですね。
その名の通り、標準内の各コントロールで「AWSのリソースに特定のタグが付与されているか」を確認出来るようです。もちろんチェックするタグはユーザーがカスタムパラメータで指定可能です。
タグベースでリソースの管理を行っている組織では使ってみたい標準なのではないでしょうか。

本アップデートはこちらの記事で詳しく紹介されていますので、是非ご参照ください。
https://dev.classmethod.jp/articles/security-hub-resource-tagging-standard/

AWS IAM Identity Center が効率化された AWS アクセスポータルとショートカットリンクを提供開始

IAM Identity Centerに2つのアップデートが来たようです。
1つは「アクセスポータルUIの改善」、もう1つは「ショートカットリンク機能の追加」です。
Identity Centerのユーザーが利用するアクセスポータルがより使いやすいUIに変わったのは良いですね。
また、ショートカットリンク機能で任意のURLを指定してリンクを発行出来るため、Identity Centerのユーザー向け手順書などを簡素化出来るのではないでしょうか。

本アップデートはこちらの記事で詳しく紹介されていますので、是非ご参照ください。
https://dev.classmethod.jp/articles/iam-identity-center-shortcut-links-aws-access-portal/

AWS Identity and Access Management が 2 番目の認証要素としてパスキーのサポートを開始

IAMがPasskeyに対応！と一瞬喜んだのですが、今回のアップデートは「ログイン時のMFAとしてPasskeyが使えるようになった」というものでした。相変わらずログイン時のパスワードは必須のようです。
最近のサービスによくあるPasskeyのみでの実質パスワードレスなログイン方法もいつか実装されると嬉しいですね。

本アップデートはこちらの記事で詳しく紹介されていますので、是非ご参照ください。
https://dev.classmethod.jp/articles/aws-iam-supported-passkey/

AWS が税務登録情報をプログラムで管理する Tax Settings API をリリース

これまでは請求コンソール上からしか更新が出来なか税務情報について、操作可能なAPIが公開されたようです。
これは個人的にはあまり使う機会が無いですが、面白いアップデートですね。AWSではマネジメントコンソール上からしか叩けないAPIがいくつかありますが、税務情報の更新周りもそのうちの1つだったのでしょう。
今回のアップデートで税務情報の登録もAPI経由で行えるようになったことで、アカウント初期設定の自動化がさらに進むのではないでしょうか。

おまけ〜What's Newに載らなかったアップデートたち〜

実はWhat's Newに載らなかったものの、クォータ上限緩和などのアップデートが本期間中にあったサービスもあります。
私は下記2件しか把握出来てませんが、他にもあればX等で私に教えて下さい。

https://dev.classmethod.jp/articles/update-guarduty-rds-protection-to-rds-for-postgresql/

https://dev.classmethod.jp/articles/update-quotas-for-scp-to-2000/

また、何故か Security, Identity, & Compliance のカテゴリではなかったのですが、昨年のAWS re:Inventでプレビューが発表された下記機能のGAも発表されました。

Amazon CloudWatch が AI を活用した自然言語クエリ生成を発表 (English)

プレビュー時の弊社記事がありますので、詳しくはこちらをご参照ください。

https://dev.classmethod.jp/articles/amazon-cloudwatch-ai-powered-natural-language-query-generation-preview/

最後に

今年の目玉アップデートはやはりAmazon GuardDutyのS3マルウェアスキャン対応ですね。非常に有用な機能ではないでしょうか。
さらに、昨年のAWS re:Inventに引き続きAWS IAM Access Analyzerにも複数のアップデートが来ていました。より便利なサービスになったため、お財布と相談しつつ積極的に使っていきたいですね。

また、本期間中に開催されたAWS re:Inforce 2024のセッションアーカイブも実はYouTubeに上がっています。
動画自体は英語ですが、日本語字幕等を活用し、気になるセッションを是非見てみて下さい。

カテゴリー別に再生リストが作成されているため、「AWS re:Inforce 2024」というプレフィックスの再生リストを探してみて下さい。

https://www.youtube.com/@AWSEventsChannel/playlists

本記事が皆さんのキャッチアップの場となれば幸いです。

以上、べこみんでした。