AWS Security Hub と Security Hub CSPM、結局どっちを使えばいいの?
AWS Security Hub と Security Hub CSPM、結局どっちを使えばいいの? AWS Security Hub と Security Hub CSPM、結局どっちを使えばいいの? そもそもどういう関係? Security Hub CSPM とは(旧 Security Hub) 主な機能 データフォーマット EventBridge 連携 前提条件 Security Hub(統合プラットフォーム)とは エクスポージャー検出(Exposure Findings) 攻撃経路分析(Attack Path Analysis) 重大度の自動計算 未使用 IAM アクセス分析 その他の…
- AWS
- セキュリティ
- IAM
検証で理解する、AWS KMSエンベロープ暗号化とBYOKの仕組み
はじめに 概要 エンベロープ暗号化とは?基礎から理解する エンベロープ暗号化の基本概念 AWS KMSにおける鍵の階層構造 なぜ二重に暗号化するのか? S3におけるSSE-KMSの動作フロー BYOK(Bring Your Own Key)とは? 基本概念と通常のKMSキーとの違い インポートに必要なラッピングキーとインポートトークン ラッピングキー(Wrapping Key / 公開鍵)とは インポートトークン(Import Token)とは 今回の検証:キーマテリアルを削除してファイルへのアクセスを遮断する 検証の目的 検証の流れ 前提条件 実装手順 【1. 鍵の準備とインポート】 Ste…
- AWS
- セキュリティ
AWS アカウントの組織への参加または離脱をどのように監視すれば良いのか?
セキュリティサービス部 佐竹です。2026年5月28日に AWS Organizations の運用に関連して、メンバーアカウントの参加および離脱(脱退)に関する新しい CloudTrail イベントが追加されました。これらを踏まえたアカウント監視設計をどうすべきかについて詳細に記述しています。
- AWS
- CloudTrail
- セキュリティ
- AWS Organizations
AWS Configレコーダー不要でCSPM即稼働?検証してみた
はじめに 今月誕生日の人、おめでとうございます🎉 エデュケーショナルサービス課の森純子です。 AWS Summit Japan 2026まであと3週間ですね!気になるセッションの予約は完了してますか? ハンズオンセッションやGameDayは速攻で満席になりましたね…来年こそは!と思っています。 さて、2026年6月2日、AWS ConfigがInternal Service-Linked Rulesをサポートしました。 aws.amazon.com このアップデートにより、Security Hub CSPM(Cloud Security Posture Management、以下CSPM)が、…
- AWS
- セキュリティ
- AWS Config
- Security Hub
AWS IAM Identity Center をマルチリージョン化する方法と注意点
こんにちは!イーゴリです。 背景 AWS IAM Identity Center (旧 AWS SSO)はデフォルトでは単一リージョンで動作します。例えば、東京リージョンで障害が発生した場合、AWS アクセスポータルにアクセスできなくなり、すべての AWS アカウントへのログインが不可能になります。DR 要件がある環境では、追加リージョン(大阪など)を設定することで、東京リージョン障害時でも継続してアクセスできるようになります。 本記事では、IAM Identity Center のマルチリージョン設定手順を紹介します。 イメージ図 背景 イメージ図 前提条件 作業の大まかな流れ AWS IA…
- AWS
- セキュリティ
- IAM
Git シークレット検出ツールを比較してみる(2026 年版)
Git リポジトリへのシークレット混入を防ぐツール git-secrets、gitleaks、Betterleaks を 2026 年時点の情報で比較。導入手順、検出精度、CI/CD 統合、メンテナンス状況の観点から選定の判断軸を整理しました。
- Git
- セキュリティ
- GitHub
- AWS
AWS Organizations の「管理ポリシー」が「宣言型ポリシー」に名称変更されました
セキュリティサービス部 佐竹です。2026年5月6日に AWS 公式ドキュメントがアップデートされ、AWS Organizations のポリシーに関する名称変更が行われました。まず、管理ポリシー (Management policies) の名称が変更され、宣言型ポリシー (Declarative policies) となりました。
- AWS
- セキュリティ
- ガバナンス
Claude Code更新 脆弱性を自動検知・スキル自動ロード【5/24〜30】
はじめに サーバーワークスの池田です。 今週(5/24〜5/30)の Claude Code は v2.1.152 から v2.1.158 まで6バージョンがリリースされました(v2.1.151 と v2.1.155 は npm に公開されていない欠番です)。 期間中には Claude Opus 4.8 と dynamic workflows という大型のリリースもありました。これらは別記事で詳しく扱っているため、本記事では CLI 本体とプラグイン周りの実務的な変更を中心にまとめます。 なかでも注目は、コードの脆弱性をその場で検知・修正する security-guidance プラグインと、…
- Claude
- 生成AI
- セキュリティ
- CLI
Security Hub Essentials で IAM Access Analyzer Unused Access が自動的に利用可能になりました
セキュリティサービス部 佐竹です。本ブログでは、新しい AWS Security Hub の Essentials plan で自動的に有効化されるようになった「IAM Access Analyzer Unused Access」について詳細を解説しています。本アップデートにより、これまで単体では高額になりがちだった Unused Access が AWS Security Hub の料金に内包されての提供となる嬉しいアップデートです。
- AWS
- セキュリティ
- コスト最適化
- IAM
Claude Code に .env などの機密ファイルを読ませない設定ガイド — permissions と hooks の 2 パターン
Claude Code に .env などの機密ファイルを読ませない設定ガイド — permissions と hooks の 2 パターン こんにちは、サーバーワークスで生成AIの活用推進を担当している針生です。 本記事では、Claude Code に .env などの機密ファイルを読ませないようにする方法として、2 つのパターンを紹介します。 設定ファイルに拒否ルールを宣言的に書く permissions ツール実行直前にスクリプトを差し込んで判定する hooks それぞれ単体でも使えますが、組み合わせることで多層に守れます。本記事では両方を順に取り上げ、最後に使い分けの目安をまとめます。…
- Claude Code
- セキュリティ
【プレビュー版】AWS Security Agent のフルリポジトリコードスキャン機能をSAST・SCAと比較してみる
こんにちは。 アプリケーションサービス本部、DevOps担当の兼安です。 5月中旬にAWS Security Agent(以降、Security Agentと記載)の新しい機能、リポジトリ全体のコードレビューが発表されました。 aws.amazon.com Security Agentは以前からプルリクエストに対してはコードレビューができていましたが、今回のアップデートで、リポジトリ全体に対してコードレビューができるようになりました。 今回はこの新機能を試してみます。 同機能は、本記事執筆時点(2026年5月下旬)ではプレビュー版です。 プレビュー版での検証内容であることをご了承ください。 こ…
- AWS
- DevOps
- セキュリティ
- Python
AWS WAF 動的ラベル補間(Dynamic Label Interpolation)の解説とヘッダー・レスポンスへの動的展開を確認してみた
AWS WAFの『動的ラベル補間』機能詳細。ラベルをヘッダーやレスポンスに動的追加し、アプリケーション連携を向上。AWS CDKサンプルで実動作を確認。
- AWS WAF
- AWS
- CDK
- セキュリティ
- CloudFront
やさしい AIF(ドメイン 5)
おなかが痛くてもコーヒーは飲む、近藤恭平です。 前回は責任ある AI の原則・バイアス・透明性・人間中心の AI を整理しました。今回は、AI システムを守るためのセキュリティ・ガバナンス・コンプライアンスの実装方法を解説します。試験ガイドのドメイン5に対応した内容です。 AI システムを保護する ここで紹介するサービスは AI システムに限定されない、AWS 上のシステム全般に共通するセキュリティの基盤でもあります。AI の文脈では「トレーニングデータの保護」「モデルへのアクセス制御」「推論ログの監査」といった用途で活用されます。 アクセス制御:IAM と SageMaker Role Ma…
- AWS
- セキュリティ
- ガバナンス
- 生成AI
AWS Organizations の SCP における仕様が最大 10 及び 10,240 文字へと緩和されました
セキュリティサービス部 佐竹です。本日は、AWS Organizations の SCP における制限(SCP アタッチ上限数、SCP 文字数上限)が倍に緩和されたことについて、運用を踏まえてどのような嬉しいことがあるのかをわかりやすく記述します。
- AWS Organizations
- セキュリティ
情報セキュリティ10大脅威2026[組織編]に対するAWSサービス (3位〜1位編)
はじめに こんにちは!CC2課の滝澤です!! はじめて続きのある記事を書きましたが、早く書かねばという強迫観念で夜しか眠れませんでした。 先日の記事では4〜10位の脅威とAWSサービスをご紹介しました。 blog.serverworks.co.jp 本記事では、いよいよ1〜3位の脅威に焦点を当て、IPAの解説書に記載されている<対策と対応>をベースに、「AWSを使っている組織としてどのサービスで実現できるか」を解説します。 特に1位のランサム攻撃については、NIST CSF(米国国立標準技術研究所のサイバーセキュリティフレームワーク)のフェーズごとに整理しています。 また、3位のAIのサイバー…
- AWS
- セキュリティ
- 生成AI
- ランサムウェア