MENU
AWSを中心としたクラウドインフラ技術サイト
  1. ホーム
  2. AWS
  3. 【AWS】SCS-C03 Security Specialty の学習帳

【AWS】SCS-C03 Security Specialty の学習帳

AWS AWS認定試験 セキュリティ セキュリティ監査

IAM Identity Center

旧称は、AWS Single Sign-On です。IAM Identity Center を利用すると既存の ID プロバイダー (IdP) と連携することができます。

Amazon GuardDuty

Amazon GuardDutyは、AWS 環境内のデータソースとログを継続的に監視、分析、処理する脅威検出サービスです。

RDS Protection

GuardDuty は Aurora MySQL、 Aurora PostgreSQL、および RDS for PostgreSQL への潜在的なアクセス脅威について、ログインアクティビティを分析およびプロファイリングします。疑わしいログインを特定するのに役立ちます。

Guardrails for Amazon Bedrock

最近は業務で生成AIを利用しているケースがあると思います。意図せず、もしくは意図的に企業の機密情報や個人情報が入力される可能性があります。そのような時にガードレールが働きます。

Organizations

SCP

SCP は、組織内の IAM ユーザーと IAM ロールが実行できるアクションに対するアクセス許可ガードレールを定義するか、制限を設定します。ガードレールなのでIAMポリシーとは異なり権限の最大範囲を制限することが目的となります。

S3

データの改変や削除を防ぐ

S3でもS3 Glacierでもロックはできますが、Glacierの方がコストが安いです。試験ではコストも考慮に入れる必要があります。

■Amazon Glacier Vault Lock(ボールトロック)

ボールトロックポリシーを使用できます。ボールトロックポリシーで「write once read many」(WORM) などの管理を指定してポリシーをロックし、今後編集できないようにします。

S3 Object Lock

S3 オブジェクトロックは、Amazon S3 オブジェクトが一定期間または無期限に削除または上書きされるのを防ぐのに役立ちます。セキュリティ要件があり、データを後ほど変更されたり削除されたりすることを防止します。

コンプライアンスモードとガバナンスモードの2つのモードがあります。

AWS Signer

AWS Signer は、コードの信頼性と整合性を保証するのに役立つ、完全に管理されたコード署名サービスです。ガバナンスとして利用できます。AWS Signer を AWS Lambda と併用して、AWS 環境へのデプロイ前に機能やレイヤーが変更されていないことを確認できます。これにより、認証情報を取得して新しい機能を作成したり、既存の機能を更新したりする悪意のある攻撃者から組織を保護できます。

Amazon Security Lake

以下は PDF 形式での AWS 公式の説明です。

Amazon Security Lake とは

  • セキュリティに特化したデータレイクサービスです。
  • AWSサービスのログのみに限らず、クラウド・オンプレミスおよびカスタムソースからのセキュリティデータをデータレイクに集約できます。
  • マルチアカウント、マルチリージョンをサポートします。

オンプレミスのセキュリティデータも集約できると言うことで試験には出やすいサービスと思います。

PII(Personally Identifiable Information)

PII(Personally Identifiable Information、個人識別用情報)とは、氏名、性別、生年月日のほか、住所、メールアドレス、電話番号などの連絡先情報や、顔写真、身分証番号など、個人を識別するために使用される又はされ得る情報のことです。

攻撃について

クレデンシャル・スタッフィング攻撃(Credential Stuffing Attack)

流出したID・パスワードのリストを自動化ツールで他のWebサービスに大量に試行し、不正ログインを試みる攻撃です。

ブルートフォースアタック(総当たり攻撃)

IDとパスワードのあらゆる組み合わせを高速な自動プログラムで試行し、不正ログインや暗号解読を試みるサイバー攻撃です。VPN機器は意外とベンダーが導入した際のパスワードを一切変更せずに、また定期的にパスワードを変更することもできずにブルートフォースアタックにさらされやすいと言えます。実際に私も業務でネットワーク機器周りの導入や運用の経験がありますが、定期的にVPN装置やファイアウォールやルーターやスイッチなどのパスワードを更新するといったことはほぼほぼなかったのが現状です。

DDos攻撃

Route 53 は AWS Shield Standard の保護対象で、DNS フラッド攻撃(DNS クエリフラッド、DNS query flood)を検知・緩和する機能を持っています。ただし、特定のDNSクエリだけをブロックするといったようなWAFのような機能はありません。

フォレンジック(Forensic)

Forensic とは「法医学、鑑識」という意味です。フォレンジックとは、簡単にいうと「何が起きたのかを証拠ベースで調べること」 です。特に IT やセキュリティのコンテキストでは、不正アクセス、情報漏えい、マルウェア感染、内部不正 などが起きたときに、以下の各項目を、ログやデータを証拠として調査する作業を指します。

  • いつ起きたのか
  • 誰が関与したのか
  • どの端末やアカウントが使われたのか
  • 何をされたのか
  • 被害範囲はどこまでか

フォレンジックの目的は「復旧」ではなく「解明」です。

AWS AWS認定試験 セキュリティ セキュリティ監査
よかったらシェアしてね!
  • URLをコピーしました!
  • URLをコピーしました!

この記事を書いた人

サイト管理人

関連記事

コメント

コメントする

AlphaOmega Captcha Classica  –  Enter Security Code
      
 

このサイトはスパムを低減するために Akismet を使っています。コメントデータの処理方法の詳細はこちらをご覧ください