「re:Invent2023のセキュリティまとめしてGuardDutyとQとコストの話します」というタイトルでCM re:Growth 2023に登壇しました #AWSreInvent #cmregrowth

こんにちは、臼田です。

みなさん、AWSのセキュリティ対策してますか？(挨拶

今回はクラスメソッドのre:Invent 2023振り返りイベントであるre:Growth 2023の東京で登壇してきた内容の解説です。

動画

資料

解説

re:Invent楽しかったですね！

皆さんはどんな風にre:Invent 2023を楽しみましたか？現地に行った方もリモートで見ていた方も、面白いキーノートや嬉しいアップデートなどで楽しめたと思います。

我々はというと…

すべり台したり

ドラ◯ンボール集めたり(7つのシールを集めるとパーカーと交換してもらえました)

色々楽しんでいました。

私が一番楽しんだのは、LiteZillaという光のドットを打つことができる掲示板があったのですが、以下のような感じでパックマンとか

マリオとかが作られていて良かったので、

設計図をエクセルでこしらえまして、

実際に作ったりしました。社員10人くらいでやりました。

しかしドットアートといえば、今期外せないのがこれですよね！

というわけで16bitセンセーション ANOTHER LAYERをドットで再現しました！これがやりたかっただけです！反省はしていますが後悔はしていません！

セキュリティまとめ

いっぱいありますよ！

• Control Tower
  • APIによるランディングゾーン操作の自動化
  • 65個のコントロール追加(OU単位のリージョン制限等)
• GuardDuty
  • ECS Runtime Monitoring
  • EC2のランタイム保護(プレビュー)
• Security Hub
  • コントロールのパラメータカスタマイズ
  • 組織の設定強化(コントロール設定とカスタマイズ)
  • サマリダッシュボードでフィルタリング機能
  • 検出結果にアカウント名等の新たな項目
• Detective
  • 生成AIで解説
  • IAMリソースの調査とレポート生成
  • Security Lakeとの統合
  • ECS Runtime Monitoringサポート
• Inspector
  • 生成AIで修復コード提示
  • エージェントレススキャン
  • 拡張イメージスキャンCI/CD
• コスト
  • AWS Config定期的記録
  • Cost Optimization Hub
• ログ
  • AWS CloudTrail LakeをAthenaで検索
• その他
  • AWS Fault Injection Serviceがマルチアカウント対応
  • AWS FIS大規模障害シミュレーション
  • Amazon EFSがレプリケーションのフェイルバック対応
  • IAM Access Analyzer自動推論カスタムポリシーチェック

GuardDutyの話

GuardDutyは2つのアップデートがありました。

• ECSランタイム保護
  • ECS Fargateを保護する
  • Fargate上での不正プログラム実行や通信を検知する
  • 自動でエージェント入りサイドカーが立ち上がる
• EC2ランタイム保護
  • EC2インスタンスにエージェントを入れてプロセスレベルの検出を行う
  • オプションで有効化し、VPCフローログ課金は無料になる

このうち、クラスメソッドはECS Fargateのプライベートベータテストに参加してました！良い機能なのでみんな使いましょう！

この結果、EC2/Fargate/Lambdaのすべての実行環境がGuardDutyでカバーされました。GuardDutyを利用しない手は無いですね！

Qの話

生成AIは様々なセキュリティサービスでも活用され始めています。

InspectorはLambdaのコードスキャンで修正案からパッチファイル作成ができるようになりました。

こんな感じで作成されます。

Amazon Detectiveでは検出結果グループでインシデントを要約したメッセージが生成できるようになりました。

ところでこのDetectiveの要約の色とAmazon Qのロゴの色を見てください…似ていませんか？

もしやと思って聞いてみましたが、どうやら別物のようです。

ただ、いずれは統合してくれると嬉しいですよね。私はそのようにフィードバックしました。

コストの話

セキュリティの文脈でコストの話をするのは、コストも守るのがセキュリティだからですね。

地味にすごい大事なアップデートとして、AWS Configでデイリーでの記録をサポートしました。通常変更毎に記録されるため1日に大量の変更がある場合課金が増えていくため、そのリソースの記録をオフにしないとコストを節約できなかったのですが、1日1回の記録に抑えることができるため、セキュリティを保ちつつコストを抑えることができるようになりました。

そして、Cost Optimization Hubもリリースされました。が、私の環境ではうまく検出できませんでした。

こちら、Trusted Advisorとは表示が違ったため、別の指標であると考えられます。

まとめ

今回も様々なアップデートがありました。

ぜひ活用していきましょう！あと、re:Inventサイコー！来年も楽しみましょう！