2025/6/17 9:00:00 ~ 2025/6/18 9:00:00 (JST)

最近の発表

One Year EC2 Instance Savings Plans are now available for P5 and P5en instances

本日より、EC2 1 年間のインスタンス節約プランは、これらのインスタンスが利用可能なすべてのリージョンの EC2 P5 および P5en インスタンスで利用できるようになりました。\n EC2 インスタンス貯蓄プランは、1 年または 3 年の期間にわたって一貫した使用量(1 時間あたりの料金で測定)と引き換えに、特定のリージョンでの個々のインスタンスファミリーの使用量(たとえば、米国(バージニア北部)リージョンでの P5 の使用量)を最低価格で提供する柔軟な料金モデルです。本日、EC2 P5 および P5en インスタンスに 1 年間のオプションを追加し、既存の 3 年間のオプションを補完して、オンデマンド価格と比較して最大 40% の割引を提供します。 P5 および P5en インスタンスの新しい料金オプションの詳細については、「EC2 インスタンス割引プラン」を参照してください。

Amazon EC2 M8g instances now available in AWS South America (São Paulo)

本日より、Amazon Elastic Compute Cloud (Amazon EC2) M8g インスタンスが AWS 南米 (サンパウロ) リージョンで利用できるようになりました。これらのインスタンスは AWS Graviton4 プロセッサを搭載しており、AWS Graviton3 ベースのインスタンスと比較してパフォーマンスが最大 30% 向上しています。Amazon EC2 M8g インスタンスは、アプリケーションサーバー、マイクロサービス、ゲームサーバー、中規模データストア、キャッシュフリートなどの汎用ワークロード向けに構築されています。これらのインスタンスは AWS Nitro System 上に構築されており、CPU の仮想化、ストレージ、ネットワーキング機能を専用のハードウェアとソフトウェアにロードして、ワークロードのパフォーマンスとセキュリティを強化します。\n AWS Graviton4 ベースの Amazon EC2 インスタンスは、Amazon EC2 で実行される幅広いワークロードに最高のパフォーマンスとエネルギー効率をもたらします。これらのインスタンスは、Graviton3 ベースの Amazon M7g インスタンスと比較して、インスタンスサイズが大きく、vCPU とメモリが最大 3 倍多くなります。AWS Graviton4 プロセッサは、AWS Graviton3 プロセッサに比べて、データベースでは最大 40%、ウェブアプリケーションでは 30%、大規模な Java アプリケーションでは 45% 高速です。M8g インスタンスには、2 つのベアメタルサイズを含む 12 種類のインスタンスサイズがあります。最大 50 Gbps の拡張ネットワーキング帯域幅と Amazon エラスティックブロックストア (Amazon EBS) への最大 40 Gbps の帯域幅を提供します。 詳細については、「Amazon EC2 M8g インスタンス」を参照してください。ワークロードを Graviton ベースのインスタンスに移行する方法については、AWS Graviton ファストスタートプログラムおよび Graviton 用ポーティングアドバイザーを参照してください。開始するには、AWS マネジメントコンソールを参照してください。

AWS Backup launches Multi-party approval support for logically air-gapped vaults

AWS Backup は、データ復旧を強化するために、論理的にエアギャップのある保管庫を対象とした AWS Organizations でのマルチパーティ承認のサポートを発表しました。この新しい AWS Backup 機能により、不注意または悪意のあるイベントによって所有アカウントにアクセスできなくなった場合でも、お客様は論理的に隔離された保管庫にある承認済みアカウントのバックアップへのアクセスを許可できます。\n 複数当事者承認は、AWS リソースで実行する前に複数の権限を持つ個人が重要な操作を承認することを求める新しいガバナンス機能です。この分散型の意思決定プロセスにより、1 人のユーザーが一方的に変更を加えることを防ぐことができるため、セキュリティ層が強化されます。この機能は AWS Backup との統合として現在導入されており、お客様は承認チームを結成して、論理的に隔離された新しい保管庫と既存の保管庫の両方に承認チームを結成して関連付けることで、復旧保護を強化することができます。 論理的に隔離された保管庫と併用すると、お客様はクリーンリカバリアカウントをプロビジョニングし、承認チームを通じてバックアップの共有を許可できます。チームメンバーは、AWS IAM Identity Center 対応の承認ポータルを介して共有リクエストを管理します。これにより、侵害された AWS アカウントのバックアップに AWS ネイティブな安全な方法でアクセスできます。複数当事者承認チームを AWS Backup の論理的に隔離された保管庫と統合して使用しても、お客様に追加費用はかかりません。 AWS Backup による複数当事者承認のサポートは、論理的にエアギャップのある保管庫が現在サポートされているすべてのリージョンで利用できます。このデータ復旧戦略の実装に関する詳細については、AWS Backup 製品ページ、AWS Backup ドキュメント、マルチパーティ承認文書、ニュースブログをご覧ください。

AWS WAF reduces web application security configuration steps and provides expert-level protection

本日、AWS は、ウェブアプリケーションのセキュリティ設定手順を最大 80% 削減し、アプリケーションセキュリティの最適化に役立つ専門家レベルの保護を提供する AWS WAF 簡易コンソールエクスペリエンスの一般提供を発表しました。AWS WAF は、可用性に影響を与えたり、セキュリティを侵害したり、リソースを過剰に消費したりする可能性のある一般的なウェブエクスプロイトやボットからウェブアプリケーションと API を保護するのに役立ちます。セキュリティチームは、AWS セキュリティの専門知識を組み込んだ、新たな脅威に対応するために継続的に更新される事前設定済みの保護パックを通じて、数分でアプリケーションを包括的に保護できるようになりました。これらのテンプレートは、一般的なウェブの脆弱性、悪意のあるボットトラフィック、アプリケーション層の DDoS イベント、API 固有の脅威に対する保護など、幅広いセキュリティ範囲をカバーし、すべてアプリケーションの種類に合わせてカスタマイズされています。\n 新しいコンソールエクスペリエンスでは、E コマースプラットフォームやトランザクション処理アプリケーションなどのアプリケーションタイプを選択すると、特定のユースケースに最適化された専門家が厳選した保護ルールが自動的に適用されます。統合ダッシュボードには、セキュリティ指標、脅威検出、ルールパフォーマンスデータが統合されているため、セキュリティチームは完全なセキュリティ管理を維持しながら、潜在的な脅威を迅速に特定して対応できます。レート制限、地理的制限、IP レピュテーションフィルタリングなどの主要なセキュリティ管理は、直感的な 1 ページのインターフェイスでカスタマイズできるため、設定にかかる時間を短縮できます。 新しい AWS WAF コンソールエクスペリエンスは、AWS GovCloud (米国) リージョンや中国リージョンを含むすべての AWS リージョンで利用できます。 新しい AWS WAF コンソールエクスペリエンスの詳細については、以下のリソースを参照してください。

機能ページ

AWS WAF の使用を開始する

起動ブログ

Amazon Inspector launches code security to shift security left in development

アマゾンウェブサービス(AWS)は本日、Amazon Inspector のコードセキュリティ機能の一般提供を発表しました。これにより、アプリケーションを本番稼働前に保護できます。この新機能は GitHub や GitLab とネイティブに統合されているため、アプリケーションのソースコード、依存関係、およびコードとしてのインフラストラクチャ (IaC) 全体にわたるセキュリティの脆弱性や設定ミスを迅速に特定し、優先順位を付けるのに役立ちます。ソースコードは、ビルダーがリポジトリや CI/CD パイプライン内、または定期的なスキャンを通じてコードの変更をプッシュまたはプルする際に評価できます。これらのスキャン結果が Amazon Inspector コンソールに表示され、組織全体をまとめて表示したり、開発者への迅速なフィードバックとしてソースコード管理プラットフォーム内に表示したりできます。\n この拡張は、Amazon EC2 インスタンス、Elastic Container Registry (ECR) のコンテナイメージ、AWS Lambda 関数をスキャンする既存の Amazon Inspector 機能、AWS Lambda 関数に基づいて構築されており、AWS 上で稼働するコンピューティングからお客様のコードに至るまで、一貫した脆弱性管理を実現します。Amazon Inspector には、アプリケーションのソースコードを分析するための静的アプリケーションセキュリティテスト (SAST)、サードパーティの依存関係を評価するためのソフトウェアコンポジション分析 (SCA)、インフラストラクチャ定義を検証するためのコードとしてのインフラストラクチャ (IaC) スキャンという 3 つのコア機能があります。 Amazon Inspector のコードスキャンは、米国東部 (バージニア北部)、米国西部 (オレゴン)、米国東部 (オハイオ)、アジアパシフィック (シドニー)、アジアパシフィック (東京)、ヨーロッパ (フランクフルト)、ヨーロッパ (アイルランド)、ヨーロッパ (ロンドン)、ヨーロッパ (ストックホルム)、アジアパシフィック (シンガポール) の 10 のリージョンで利用できます。Inspector コードセキュリティの詳細と使用を開始するには、以下をご覧ください。

Amazon インスペクターの使用を開始する

Amazon インスペクター無料トライアル

Amazon SageMaker AI now supports M7i, C7i, and R7i for SageMaker Model Training and SageMaker Processing

Amazon SageMaker AI は、SageMaker モデルトレーニングと SageMaker プロセッシングのための M7i、C7i、および R7i インスタンスタイプのサポートを発表できることを嬉しく思います。Amazon SageMaker モデルトレーニングでは、パフォーマンスとコストが最適化されたフルマネージド型のインフラストラクチャを使用して、機械学習モデルを簡単に大規模にトレーニングできます。Amazon SageMaker Processing を使用すると、フルマネージド型のインフラストラクチャ上でデータの前処理、後処理、モデル評価のワークロードを簡単に実行できます。\n M7i、C7i、R7i の各インスタンスは、カスタムの第 4 世代インテル Xeon スケーラブルプロセッサーを搭載しており、前世代 (M6i、C6i、R6i) インスタンスと比較して最大 15% 優れた価格パフォーマンスを実現します。M6i、C6i、R6i の各インスタンスは、第 3 世代インテル Xeon スケーラブルプロセッサーを搭載しています。M7i、R7i、C7i の各インスタンスは、CPU ベースの計算集約型機械学習 (ML) ワークロードに最適です。 M7i、C7i、R7i の各インスタンスを使用して、複数の AWS リージョンの Amazon SageMaker AI でトレーニングジョブと処理ジョブを実行できるようになりました。これらのインスタンスの価格とリージョンの可用性については、料金ページをご覧ください。

Amazon MSK expands Express Brokers to Mexico (Central) and Asia Pacific (Thailand) regions

Amazon マネージドストリーミング for Apache Kafka (Amazon MSK) は、メキシコ (中央) およびアジアパシフィック (タイ) リージョンのエクスプレスブローカーのサポートを追加しました。エクスプレスブローカーは Amazon MSK Provisioned の新しいブローカータイプで、標準の Apache Kafka ブローカーと比較して、ブローカーあたりのスループットが最大 3 倍、スケールが最大 20 倍速くなり、復旧時間が 90% 短縮されるように設計されています。Express Brokersには、デフォルトでKafkaのベストプラクティスが事前設定されており、すべてのKafka APIをサポートし、Amazon MSKのお客様が期待するのと同じ低レイテンシーのパフォーマンスを提供するため、既存のクライアントアプリケーションを変更することなく引き続き使用できます。\n Amazon MSK コンソールから、これらの AWS リージョンの Express ブローカーを含む MSK クラスターを作成できるようになりました。詳細については、このブログをご覧ください。

Amazon EC2 M7i-flex 12xlarge and 16xlarge instances are now available in AWS Europe (London) Region

本日より、カスタムの第4世代インテル Xeon スケーラブルプロセッサー (コードネーム Sapphire Rapids) を搭載した Amazon Elastic Compute Cloud (Amazon EC2) M7i-Flex 12xlarge および 16xlarge インスタンスがヨーロッパ (ロンドン) リージョンで利用できるようになりました。新しいサイズでは EC2 Flex ポートフォリオが拡大し、既存のワークロードをスケールアップしたり、追加のメモリを必要とする大規模なアプリケーションを実行したりするためのコンピューティングオプションが追加されました。これらのインスタンスは、AWS でのみ利用可能なカスタムの第 4 世代 Intel Xeon Scalable プロセッサを搭載しており、他のクラウドプロバイダーが使用している同等の x86 ベースの Intel プロセッサよりもパフォーマンスが最大 15% 向上しています。\n Flex インスタンスは、汎用的で計算量の多いワークロードの大半で、コストパフォーマンスのメリットを得る最も簡単な方法です。M7i-Flex インスタンスは、それぞれ M6i インスタンスと比較してコストパフォーマンスが最大 19% 向上します。これらのインスタンスは、Large から 16 xlarge までの最も一般的なサイズがあり、Web サーバーやアプリケーションサーバー、仮想デスクトップ、バッチ処理、マイクロサービス、データベース、キャッシュなど、すべてのコンピューティングリソースを十分に活用しないアプリケーションに最適な選択肢です。より大きなインスタンスサイズ (最大 192 個の vCPU と 768 GiB のメモリ) または継続的に高い CPU 使用率を必要とするワークロードには、M7i インスタンスを活用できます。 新しい M7i-Flex サイズは、米国東部 (バージニア北部、オハイオ)、米国西部 (北カリフォルニア、オレゴン)、ヨーロッパ (フランクフルト、アイルランド、ロンドン、パリ、スペイン、ストックホルム)、カナダ (中部)、アジア太平洋 (マレーシア、メルボルン、ムンバイ、シンガポール、シドニー、台北、タイ、東京)、メキシコ (中部)、南米 (サンパウロ)、AWS GovCloud でご利用いただけます。(米国東部、米国西部)。

Amazon ECR enhanced scanning now surfaces image use status

Amazon Elastic Container Registry (ECR) の拡張スキャンにより、Amazon Elastic Kubernetes Service (EKS) と Amazon Elastic Container Service (ECS) でイメージがどのように使用されているか (最終使用日、そのイメージが使用されたクラスターの数、クラスター ARN など) が表示されるようになりました。この情報を使用して、現在使用中のイメージの脆弱性修復の優先順位を決めることができます。\n ECR 拡張スキャンは Amazon Inspector との統合であり、コンテナイメージの脆弱性スキャンを行います。ECR Enhanced Scanning は、コンテナイメージをスキャンして、オペレーティングシステムとプログラミング言語パッケージの両方の脆弱性を検出します。本日の発表により、イメージが EKS と ECS で使用されているかどうか、またどこで使用されているかがわかります。ECR または Inspector のコンソールと API を使用して、イメージを最後に使用した日時、そのイメージが使用されたクラスターの数、クラスター ARN を使用してイメージを実行しているクラスターを特定できるようになりました。イメージの使用状況が変化すると、ECR 拡張スキャンは継続的にステータスを更新し、拡張スキャンの結果の一部として新しいステータスを表示します。 画像使用状況に関する ECR サポートは、拡張スキャンのお客様には追加費用なしでご利用いただけます。拡張スキャンが利用できるすべての AWS Commercial および AWS GovCloud (米国) リージョンで一般的にご利用いただけます。ECR 拡張スキャンを開始するには、ECR ドキュメントをご覧ください。

AWS Backup Audit Manager is now available in six additional regions

AWS Backup Audit Manager は、アジアパシフィック (ハイデラバード、ジャカルタ、メルボルン)、ヨーロッパ (スペイン、チューリッヒ)、および中東 (UAE) リージョンで利用できるようになりました。AWS Backup Audit Manager は AWS Backup の機能の 1 つで、データ保護ポリシーの遵守状況を監査および報告できるため、ビジネスや規制上のニーズを満たすのに役立ちます。AWS Backup を使用すると、組織のベストプラクティスと規制基準に基づいて AWS サービス全体のデータ保護ポリシーを一元化および自動化できます。AWS Backup Audit Manager は、これらのポリシーの遵守を維持および実証するのに役立ちます。\n AWS Backup Audit Manager を利用できる AWS リージョンの一覧については、AWS Backup のリージョナル提供状況を参照してください。AWS Backup Audit Manager の詳細については、製品ページとドキュメントをご覧ください。開始するには、AWS Backup コンソールにアクセスしてください。

Express.js developers can now add authorization in minutes with Amazon Verified Permissions

本日、AWS は @verifiedpermissions /authorization-clients-js のリリースを発表しました。これは、開発者が Express.js ウェブアプリケーション API に認証を数分で実装できるようにするオープンソースパッケージです。これにより、認証ロジックがアプリケーションに埋め込まれていた従来の方法と比較して、カスタム認証コードが大幅に削減されるため、開発が簡素化され、アプリケーションのセキュリティが向上します。\n このパッケージを使用すると、Express.js アプリケーションの開発者は、認証ロジックをコードの外部で管理される Cedar ポリシーに移行できます。たとえば、ペットストアのアプリケーションでは、複雑な認証ロジックをアプリケーションコードに埋め込むことなく、ユーザーに表示のみの操作を制限しながら、管理者はユーザーロールに基づいて API アクセスを制限し、管理者はフルアクセスを許可できます。アプリケーションの進化に合わせて、アプリケーションコードを 1 行も変更せずに新しいポリシーを追加するだけで、従業員がペットの作成や更新は許可するが削除はできないなど、これらの権限を簡単に拡張できます。 Amazon Verified Permissions は、構築するアプリケーションのためのスケーラブルなアクセス権限管理ときめ細かな認証サービスです。この統合は、開発者が自分の Express.js アプリケーション用の Cedar スキーマを生成し、アクセスルールを定義する認証ポリシーを作成し、Express アプリケーションにミドルウェアコンポーネントを追加するという単純なワークフローに従います。ユーザーが API リクエストを行うと、ミドルウェアは Verified Permissions による承認を自動的に検証してから処理を続行します。 @verifiedpermissions /authorization-clients-js パッケージは Apache 2.0 ライセンスの下で GitHub で入手可能で、NPM を通じて配布されています。この統合は、Amazon 検証済みアクセス権限がサポートされているすべての AWS リージョンで利用できます。標準の検証済み権限料金を超える追加料金はありません。開始するには、ExpressJS ブログをフォローするか、検証済みアクセス許可 github リポジトリを参照してください。

AWS Marketplace now provides an enhanced selling authorization experience for Independent Software Vendors

AWS Marketplace は、独立系ソフトウェアベンダー (ISV) が販売承認を通じて AWS Marketplace チャネルパートナーとの関係を管理できるよう支援し、チャネルパートナーが ISV 製品を再販できるようにします。本日より、ISV は AWS Marketplace 管理ポータルを通じて強化された販売承認エクスペリエンスにアクセスできるようになります。今回の更新によりプロセスが合理化され、チャネル運営の管理がより効率的になりました。\n 再設計されたエクスペリエンスでは、ISV がチャネルパートナーの販売承認を作成および管理するためのステップバイステップガイドが提供され、進行状況を保存して後で再開することもできます。詳細なセクションを組み合わせて必要な手順の数を減らすことで、承認プロセスが簡素化されました。「パートナー」タブは「販売承認」に名前が変更され、インターフェースはプライベートオファーのエクスペリエンスに合わせたものになりました。さらに、オーソライズテーブルが改良され、追跡しやすくなるように、ステータスフィールドが統合されました。これらの機能強化により、チャネルパートナーを通じた販売プロセスが合理化され、ISV が AWS Marketplace を通じてチャネル販売を拡大し、ビジネスの成長を加速することがより効率的になります。

これらの機能は、AWS Marketplace でサービスとしてのソフトウェア (SaaS)、Amazon マシンイメージ (AMI)、プロフェッショナルサービス、コンテナ製品を AWS Marketplace で販売している ISV が AWS Marketplace を利用できるすべての AWS リージョンで利用できます。詳細については、AWS Marketplace セラーガイドをご覧になるか、AWS Marketplace 管理ポータルにアクセスして新機能を試してください。

Amazon EC2 M7g instances are now available in additional regions

本日より、Amazon Elastic Compute Cloud (Amazon EC2) M7g インスタンスは AWS アフリカ (ケープタウン) リージョンと AWS アジアパシフィック (香港) リージョンでご利用いただけます。これらのインスタンスは、AWS Graviton2 プロセッサと比較して最大 25% 優れたコンピューティングパフォーマンスを提供する AWS Graviton3 プロセッサを搭載し、分離されたマルチテナンシー、プライベートネットワーク、高速ローカルストレージを備えた効率的で柔軟で安全なクラウドサービスを提供する AWS が設計したイノベーションの集まりである AWS Nitro System 上に構築されています。\n また、Amazon EC2 Graviton3 インスタンスは、同等の EC2 インスタンスと同じパフォーマンスで、消費電力が最大 60% 少ないため、クラウドの二酸化炭素排出量を削減できます。スケーラビリティ向上のため、これらのインスタンスはベアメタルを含む 9 種類のインスタンスサイズで利用可能で、最大 30 Gbps のネットワーク帯域幅と Amazon Elastic Block Store (EBS) に最大 20 Gbps の帯域幅を提供します。 詳細については、「Amazon EC2 M7g」を参照してください。ワークロードを Graviton ベースのインスタンスに移行する方法については、AWS Graviton ファストスタートプログラムおよび Graviton 用ポーティングアドバイザーを参照してください。開始するには、AWS マネジメントコンソールを参照してください。

AWS Lambda now supports SnapStart for Python and .NET functions in 23 additional regions

本日より、さらに 23 の AWS リージョンで AWS Lambda SnapStart を Python 関数および.NET 関数に使用できるようになりました。Lambda SnapStart はオプトイン機能で、起動時のパフォーマンスを数秒単位から 1 秒未満という短い時間まで短縮できます。SnapStart を使用すると、リソースをプロビジョニングしたり、複雑なパフォーマンス最適化を実装したりすることなく、応答性が高くスケーラブルなアプリケーションを簡単に構築できます。\n 予測できないトラフィックの急増に対応する、遅延の影響を受けやすいアプリケーションでは、コールドスタートと呼ばれる起動時の待ち時間が長くなると、ユーザーエクスペリエンスに遅延が発生する可能性があります。Lambda SnapStart では、事前に関数のコードを初期化し、初期化された実行環境のスナップショットを取得してキャッシュすることで、起動時間を短縮できます。関数が呼び出されてからスケールアップすると、Lambda SnapStart は新しい実行環境を一から初期化するのではなく、キャッシュされたスナップショットから再開するため、起動時のレイテンシーが大幅に改善されます。Lambda SnapStart は、同期 API、インタラクティブなマイクロサービス、データ処理、ML 推論などのアプリケーションに最適です。 本日のリリースにより、Python および .NET 用の AWS Lambda SnapStart を、アフリカ (ケープタウン)、アジアパシフィック (香港、ソウル、大阪、ムンバイ、ジャカルタ、ハイデラバード、メルボルン、マレーシア、タイ)、カナダ (中部、西部)、ヨーロッパ (チューリッヒ、ミラノ、スペイン、ロンドン、パリ)、イスラエル (テルアビブ)、中東 (UAE、バーレーン)、メキシコ (23) で使用できます。中部)、南米(サンパウロ)、および米国西部(北カリフォルニア)。 AWS Lambda API、AWS マネジメントコンソール、AWS コマンドラインインターフェイス (AWS CLI)、AWS クラウドフォーメーション、AWS サーバーレスアプリケーションモデル (AWS SAM)、AWS SDK、AWS クラウド開発キット (AWS CDK) を使用して、Python 3.12 (およびそれ以降) および.NET 8 (およびそれ以降) で実行される新規または既存の Lambda 関数に対して SnapStart をアクティベートできます。詳細については、Lambda SnapStart のドキュメントまたはリリースブログ投稿を参照してください。Python および.NET での SnapStart の料金の詳細については、AWS Lambda 料金表をご覧ください。

AWS Shield introduces network security director (preview)

本日、AWS Shield はネットワークセキュリティディレクターのプレビューを発表しました。これは、ネットワーク内の AWS リソースを可視化し、ネットワークセキュリティサービスの不足や設定ミスを特定し、修復手順を推奨する新機能です。脅威が進化し続ける中、AWS Shield はネットワークとアプリケーションの保護を必要とするリソースを簡単に特定して適切に保護できるように、その機能を DDoS 防御だけにとどまらないように拡張しました。\n AWS Shield では、ネットワークセキュリティディレクターとともに 3 つの方法でネットワークセキュリティ管理を簡素化できます。1 つ目は、ネットワークトポロジを可視化して、アカウント内のリソースと、それらが相互に、またインターネットにどのように接続されているかを示すことです。AWS WAF、VPC セキュリティグループ、VPC ネットワークアクセスコントロールリスト (NACL) など、有効な AWS ネットワークセキュリティサービスを検出し、それらが AWS ベストプラクティスや脅威インテリジェンスに照らしてどの程度適切に設定されているかを判断します。次に、AWS Shield では、リソースに関するネットワークセキュリティの結果を重大度別に優先順位付けして表示することで、どのファイアウォールが見つからない、または誤って設定されているかをすぐに特定できます。

最後に、調査結果ごとに、使用しているネットワークセキュリティサービスの設定を正しく実装または更新するための実行可能な修復推奨事項を確認できます。 ネットワークセキュリティ設定に関する質問への回答は、Amazon Q Developer 内の AWS Shield ネットワークセキュリティディレクターから、AWS マネジメントコンソールとチャットアプリケーションで、自然言語で簡単に得ることができます。たとえば、「インターネットに直接接続しているリソースに DDoS 攻撃を受けやすいものはありますか?」と尋ねることができます。また、Amazon Q では、特定のリソースに関するネットワークセキュリティの調査結果と推奨される修復手順が表示されます。この機能は、一部の AWS リージョン (米国東部 (バージニア北部) とヨーロッパ (ストックホルム) ではプレビュー中に追加料金なしで利用できます。Amazon Q Developer によるネットワークセキュリティ設定の分析機能は、米国東部 (バージニア北部) でプレビュー段階にあります。 詳細については、概要ページをご覧ください。

Introducing AWS Security Hub for risk prioritization and response at scale (Preview)

AWS は、セキュリティ上の重大な問題に優先順位を付け、大規模に対応してセキュリティリスクを軽減し、チームの生産性を高め、クラウド環境を保護できるように、強化された AWS Security Hub を発表しました。脅威の検出や脆弱性管理などから得られるセキュリティシグナルを相互に関連付け、強化することで、重大な問題を検出します。これにより、クラウド環境内のアクティブなリスクを迅速に特定し、優先順位を付けることができます。この統合ソリューションでは、複数のセキュリティツールからの情報を手作業でつなぎ合わせる煩わしさを軽減しながら、セキュリティ体制をより包括的に可視化できます。\n Security Hubは、直感的な視覚化とコンテキスト分析を通じて、相関関係のあるセキュリティシグナルを実用的な洞察に変換し、重要なパターンや傾向を特定し、環境内のセキュリティ運用を一元化するのに役立ちます。たとえば、一般に公開されている非常に悪用されやすい脆弱性を持つリソースが、機密データを含むストレージにアクセスするシナリオを検出し、関連付けます。これらの洞察によってリスクコンテキストが強化されるため、より多くの情報に基づいた意思決定を行い、セキュリティ問題に対して直ちに行動を起こすことができます。強化された機能には、リスク調査結果、セキュリティに焦点を当てた資産インベントリ、攻撃経路の視覚化、チケットシステム統合による自動対応ワークフローなどがあります。この一元管理により、潜在的な業務の中断を最小限に抑えながら、大規模な修復を合理化できます。

Security Hub を利用できる AWS リージョンの詳細については、AWS リージョンの表を参照してください。Security Hub は個々のアカウントで有効にすることも、デプロイと管理を一元化して AWS 組織全体で有効にすることもできます。このサービスは、Amazon GuardDuty、Amazon Inspector、AWS セキュリティハブ CSPM、Amazon Macie などの既存の AWS セキュリティ機能と統合されているため、運用上のオーバーヘッドを増やすことなく、より包括的なセキュリティ体制を実現できます。

強化されたセキュリティハブの詳細とプレビューへの参加については、AWS Security Hub コンソールまたは AWS Security Hub 製品ページをご覧ください。

Amazon GuardDuty Extended Threat Detection now supports Amazon EKS

本日、AWS は Amazon GuardDuty 拡張脅威検知機能のさらなる強化を発表しました。この機能には、AWS 環境内の Amazon Elastic Kubernetes Service (EKS) クラスターを標的とするマルチステージ攻撃への対応が含まれるようになりました。GuardDuty は Amazon EKS 監査ログ、プロセスの実行時の動作、マルウェアの実行、AWS API アクティビティにわたる複数のセキュリティシグナルを相互に関連付け、他の方法では気付かれないような高度な攻撃パターンを検出します。これらの新しい攻撃シーケンスの調査結果は、長期間にわたって複数のリソースとデータソースを対象としているため、第1レベルの分析に費やす時間を減らし、重大な脅威への対応により多くの時間を費やすことができるため、ビジネスへの影響を最小限に抑えることができます。 \n GuardDuty Extended Threat Detection は、AWS 規模でトレーニングされた人工知能と機械学習アルゴリズムを使用して、セキュリティシグナルを自動的に関連付けて重大な脅威を検出します。たとえば、特権コンテナの異常デプロイ後にパーシスタンスの試み、クリプトマイニング、リバースシェルの作成が行われた場合に、これらの関連イベントを 1 つの重大度調査結果として表すことができます。その後、新しい攻撃シーケンスの検出タイプがクリティカルな重大度に基づいてアクションを実行できます。各調査結果には、インシデントの概要、詳細なイベントタイムライン、MITRE ATT&CK® の戦術と手法へのマッピング、および修復の推奨事項が含まれています。

この機能は、GuardDuty を利用できるすべての地域で、追加料金なしですべての GuardDuty のお客様に自動的に有効になります。Amazon EKS クラスターが関与する攻撃シーケンスを検出するには、GuardDuty EKS Protection を有効にする必要があります。GuardDuty では、より包括的なセキュリティ対策のために EKS 用 GuardDuty ランタイムモニタリングも有効にすることを推奨しています。GuardDuty コンソールから直接、または AWS セキュリティハブや Amazon EventBridge とのインテグレーションを通じて、検出された結果に対してアクションを実行してください。

開始するには、Amazon GuardDuty 製品ページにアクセスするか、AWS 無料利用枠で GuardDuty を 30 日間無料でお試しください。

AWS IAM now enforces MFA for root users across all account types

本日、AWS Identity and Access Management (IAM) は、メンバーアカウントへの拡大に伴い、すべてのアカウントタイプのルートユーザーを対象とした包括的な多要素認証 (MFA) 要件を発表しました。新しい MFA の施行は、Secure by Design の原則に基づくセキュリティへの継続的な取り組みにおける重要なマイルストーンであり、お客様のデフォルトのセキュリティ体制に高い基準を設け、以前のセキュリティ強化をさらに発展させたものです。私たちのセキュリティへの取り組みは、2024 年 5 月に AWS 組織の管理アカウントのルートユーザーに MFA を義務付けることから始まり、続いて 2024 年 6 月に MFA 要件をスタンドアロンアカウントのルートユーザーに拡大し、2024 年 11 月に AWS 組織の集中型ルートアクセス管理を導入しました。\n IAM は、ID を安全に管理し、AWS のサービスとリソースへのアクセスを制御するのに役立ちます。MFA は IAM のセキュリティベストプラクティスであり、ユーザー名とパスワードのサインイン認証情報に加えて 2 つ目の認証要素が必要になります。MFA は追加料金なしで利用でき、パスワード関連の攻撃の 99% 以上を防止します。AWS アカウントへのアクセスを強化するための FIDO 認定のセキュリティキーなど、サポートされているさまざまな IAM MFA 方法を使用できます。AWS は、ユーザーフレンドリーな MFA 実装のための FIDO2 パスキーをサポートしており、お客様はルートと IAM ユーザー 1 人あたり最大 8 台の MFA デバイスを登録できます。AWS Organizations のお客様には、管理アカウントによるアクセスアカウント管理を一元化し、メンバーアカウントからルートユーザー認証情報を削除することをおすすめします。これにより、セキュリティ体制がさらに強化されます。 さらに詳しく知るには:

ルートユーザー MFA ガイド

一元化されたルートアクセス

Introducing the reimagined AWS MSSP Competency

組織がクラウドセキュリティに取り組む方法を変革するターンキーセキュリティソリューションを提供するパートナー向けに、更新された AWS MSSP コンピテンシー (以前は AWS レベル 1 MSSP コンピテンシー) をご紹介します。このアップデートには、インフラストラクチャセキュリティ、ワークロードセキュリティ、アプリケーションセキュリティ、データ保護、ID とアクセス管理、インシデント対応、サイバーリカバリーなど、特定の分野におけるパートナーのセキュリティ専門知識を検証するための新しいカテゴリが含まれています。これらのカテゴリーは、ネイティブの AWS サービスと最善のセキュリティツールを活用して包括的なセキュリティ成果をもたらすサービスパートナーの能力を検証するものです。\n パートナーは中核的な MSSP 要件を満たし、技術的検証を通じて少なくとも 1 つのカテゴリーに関する専門知識を示さなければなりません。さらに、MSSP コンピテンシーパートナーは、検証済みの AWS セキュリティコンピテンシー ISV ソリューションを自社のマネージドセキュリティサービスにどのように統合するかを紹介することもできます。この可視性により、AWS のお客様は、どの MSSP コンピテンシーパートナーが包括的なセキュリティソリューションの一部として既存のサードパーティセキュリティツールを効果的に管理できるかを特定できます。 AWS が検証した完全マネージド型セキュリティソリューションの詳細については、AWS MSSP コンピテンシーページにアクセスし、パートナーに連絡してセキュリティニーズを評価してください。

Amazon CloudFront streamlines CDN setup with smart defaults and automation

Amazon CloudFront では、安全で高性能なアプリケーションをインターネット上のユーザーに簡単に配信できる新しいコンソールエクスペリエンスが導入されています。従来、コンテンツ配信ネットワーク (CDN) をセットアップするには、CDN 設定、ドメイン管理、およびセキュリティのベストプラクティスに関する深い専門知識が必要でした。新しい CloudFront コンソールエクスペリエンスでは、コンテンツ配信とセキュリティへの統一されたアプローチにより、このプロセス全体が合理化されます。新しいエクスペリエンスでは、Amazon Route 53 を使用して DNS レコードを自動的にプロビジョニングおよび管理し、AWS 証明書マネージャー (ACM) を使用して TLS 証明書を自動的にプロビジョニングおよび管理します。ユーザーは CDN の専門知識レベルに関係なく、安全で最適化されたディストリビューションをわずか 30 秒で作成できるようになりました。\n ディストリビューションを作成する際、CloudFront は特定のオリジンタイプに基づいて最適化された設定を自動的に適用するようになりました。たとえば、Amazon S3 から静的ウェブサイトを提供する場合、CloudFront はバケットへの直接アクセスを防ぐようにオリジンアクセスコントロールを自動的に構成し、キャッシュ設定を最適化してパフォーマンスを向上させ、推奨セキュリティ設定を有効にします。これらすべてにおいて、これらのコンポーネントの基礎となる技術的な詳細を理解する必要はありません。 この新しいオンボーディングエクスペリエンスにより、AWS のグローバルエッジネットワークの活用、エンドユーザーのレイテンシーの削減、アプリケーションのセキュリティ体制の強化が容易になります。新しいエクスペリエンスは、追加費用なしで世界中で利用できます。新しい CloudFront エクスペリエンスの使用を開始するには、Amazon CloudFront コンソールにアクセスするか、ドキュメントをご覧ください。

IAM Access Analyzer now identifies who in your AWS organization can access your AWS resources

AWS アイデンティティおよびアクセス管理 (IAM) アクセスアナライザーは、AWS 組織内の誰が Amazon S3、Amazon DynamoDB、または Amazon リレーショナルデータベースサービス (RDS) リソースにアクセスできるかを識別できるようになりました。自動推論を使用してすべての ID ポリシー、リソースポリシー、サービスコントロールポリシー (SCP)、リソースコントロールポリシー (RCP) を評価し、選択した重要なリソースにアクセスできるすべての IAM ユーザーとロールを明らかにします。\n IAM コンソールで新しい内部アクセスアナライザーを有効にすると、アナライザーは選択したリソースを毎日監視し、その結果を統合ダッシュボードに表示します。更新されたダッシュボードでは、社内と社外のアクセス結果を組み合わせて、重要なリソースに付与されたすべてのアクセスを 360 度見渡すことができます。セキュリティチームは、意図しないアクセスを修正するために直ちに行動を起こす方法、もう 1 つは Amazon EventBridge を通じて自動通知を設定して開発チームに修正を依頼する方法の 2 つです。 内部アクセスの調査結果により、セキュリティチームは重要なリソースに対するアクセス制御を強化するための可視性を得ることができ、コンプライアンスチームはアクセス制御監査要件を実証できるようになります。内部アクセスの調査結果は、すべての AWS 商用リージョンで入手できます。IAM アクセスアナライザーの内部アクセス結果の詳細については、以下をご覧ください。

AWS ニュースのブログ投稿を読む

料金ページを確認

IAM アクセスアナライザーのドキュメントをご覧ください。

AWS Certificate Manager introduces public certificates you can use anywhere

AWS Certificate Manager (ACM) は、AWS 内外を問わず、パブリック TLS 証明書を必要とするあらゆるワークロードで使用できるエクスポート可能なパブリック証明書を発表しました。今回のリリースでは、パブリック証明書を発行してエクスポートし、証明書のプライベートキーにアクセスして、あらゆるコンピューティングワークロードの TLS トラフィックを安全に終了できるようになりました。これには EC2 インスタンス、コンテナ、オンプレミスホストが含まれます。\n ACM のお客様は、AWS、ハイブリッド、マルチクラウドのワークロードで使用するパブリック証明書を手頃な価格で発行、管理、自動化できるようになりました。以前は、ACM が発行したパブリック証明書は Amazon CloudFront などの統合された AWS サービスでのみ使用できました。現在は、証明書のリクエスト時に、証明書をエクスポート可能としてマークして、統合サービス以外でも使用できるようになりました。必要なドメイン認証を完了して、証明書を受け取る権限があることを証明すれば、これらの証明書を数秒で取得できます。 エクスポート可能な公開証明書は 395 日間有効で、料金は FQDN あたり 15 USD、ワイルドカード名あたり 149 USD です。一括発行契約にサインアップする必要はなく、証明書の有効期間中に 1 回のみ支払うことができます。ネットワーク管理者とセキュリティ管理者は、ACM の証明書ライフサイクル CloudWatch イベントを通じてこれらの証明書の使用を監視し、自動化できます。 セキュリティは AWS の最優先事項であり、エンドユーザーは今回のリリース前に発行された公開証明書をエクスポートできません。AWS 管理者は IAM ポリシーを設定して、エクスポート可能な公開証明書をリクエストできるロールとユーザーに権限を与えることができます。この機能は、AWS GovCloud (米国) や中国リージョンなど、ACM を利用できるすべてのリージョンで利用できます。この機能の詳細については、こちらをご覧ください。

AWS Network Firewall launches support for active threat defense

AWS Network Firewall は、Amazon 脅威インテリジェンスを使用して AWS グローバルインフラストラクチャ全体で観察される脅威アクティビティから Amazon Virtual Private Cloud (VPC) ワークロードを保護するのに役立つ新しいセキュリティ機能であるアクティブ脅威防御機能を提供するようになりました。\n AWS Network Firewall はアクティブな脅威防御機能を備えており、AWS インフラストラクチャ全体で観察される動的で継続的な脅威活動に対して、インテリジェンス主導型の保護を自動的に行います。有効にすると、ファイアウォールポリシーのマネージドルールグループを設定して、コマンドアンドコントロール (C2) 通信、埋め込み URL、悪意のあるドメインなどの不審なトラフィックを自動的にブロックできます。この機能は、現在の脅威アクティビティに基づいてルールを継続的に更新することで保護を提供します。AWS Network Firewall では、アクティブな脅威防御ルールグループの可視性が向上し、保護対象の指標グループ、タイプ、脅威名を確認できるようになりました。Amazon GuardDuty のお客様でもある場合、関連する脅威インテリジェンスの結果には、今後脅威リストに「Amazon Active Threat Defense」という名前が付きます。これらのアクティブな脅威は、AWS Network Firewall のアクティブ脅威防御マネージドルールグループを使用して自動的にブロックできます。 AWS Network Firewall でアクティブな脅威対策を始めるには、AWS Network Firewall コンソールにアクセスするか、ドキュメントを参照してください。この機能は、AWS GovCloud (米国) リージョンや中国リージョンなど、現在 AWS Network Firewall が利用可能なすべての AWS リージョンでサポートされています。AWS ネットワークファイアウォールとその機能の詳細については、AWS ネットワークファイアウォール製品ページの AWS ネットワークファイアウォールをご覧ください。

AWS Blogs

Amazon Web Services ブログ (日本語)

AWS News Blog

AWS Open Source Blog

AWS Database Blog

Artificial Intelligence and Machine Learning

AWS Security Blog

AWS Storage Blog

Open Source Project

AWS CLI

Amplify for JavaScript

Amplify for Flutter

Amazon Chime SDK for Android