AWS Payment Cryptography の HSM アーキテクチャ - PCI DSS 準拠の決済暗号化基盤を深掘りする
AWS Payment Cryptography は決済業界に特化したマネージド HSM サービスであり、PCI DSS 準拠の暗号化・トークナイゼーションをサーバーレスで提供する。本記事では PIN ブロック生成、DUKPT キー管理、CloudHSM との使い分けなど、決済暗号化の技術的な仕組みを掘り下げて解説する。
セキュリティ
IAM 認証、データ暗号化、WAF、コンプライアンス対応、ゼロトラストなど、AWS セキュリティに関する比較記事
AWS アカウント ID の 12 桁に隠された構造 - なぜ 12 桁なのか、何が読み取れるのか
AWS アカウント ID が 12 桁の数字である理由、ARN の構造に埋め込まれた設計意図、アカウント ID から推測できる情報とセキュリティ上の注意点を雑学的に解説します。
IAM ポリシーの評価ロジック完全解説 - 暗黙の Deny が明示的な Allow に勝つ仕組み
IAM がリクエストを許可・拒否する際の評価フローを、暗黙の Deny、明示的な Allow、明示的な Deny の優先順位、SCP・パーミッションバウンダリー・セッションポリシーの交差判定まで段階的に解説します。
AWS Security Hub で一元管理するセキュリティ態勢 - 検出結果の集約と自動対応
GuardDuty・Inspector・Macie の検出結果を ASFF で集約し、セキュリティ標準の自動評価でスコアを定量化する。EventBridge 連携の自動修復も紹介します。
AWS Directory Service で構築するマネージド Active Directory - ハイブリッド環境の ID 管理
AWS Managed Microsoft AD の構築とオンプレミス AD との信頼関係を設計する。WorkSpaces・RDS・FSx との統合によるハイブリッド ID 管理を紹介します。
AWS Shield で DDoS 攻撃から防御 - Standard と Advanced の使い分け
Standard の無料 L3/L4 防御と Advanced の L7 対応・SRT サポートの違いを整理する。コスト保護とプロアクティブエンゲージメントの活用を紹介します。
機密コンピューティング - AWS Nitro Enclaves で処理中のデータを隔離保護する
AWS Nitro Enclaves を使った機密データの隔離処理を解説。暗号化アテステーション、KMS 統合、PII 処理・暗号鍵管理のユースケースを紹介します。
IAM Access Analyzer で検出する過剰なアクセス権限 - 外部アクセスと未使用権限の分析
IAM ロールの未使用権限を CloudTrail ベースで検出し、最小権限ポリシーを自動生成する。外部アクセスの検出と CI/CD へのカスタムポリシーチェック組み込みまでを解説します。
Amazon Macie による機密データの自動検出 - S3 バケットの PII スキャンとデータ保護
Amazon Macie による S3 バケット内の機密データ (PII、金融情報、認証情報) の自動検出と、検出結果に基づくデータ保護戦略を解説します。
監査の自動化 - AWS Audit Manager でコンプライアンス証跡を継続的に収集する
AWS Audit Manager を使った監査証跡の自動収集を解説。フレームワーク (SOC 2、PCI DSS、GDPR 等) に基づく自動評価、エビデンスの一元管理、監査レポートの生成を紹介します。
AWS CloudHSM で実現する専用鍵管理 - FIPS 140-2 Level 3 準拠の暗号化
専有の HSM インスタンスで FIPS 140-2 Level 3 準拠の鍵管理を実現する。KMS との使い分けと、KMS カスタムキーストアによる両者の統合を紹介します。
AWS Artifact でコンプライアンスレポートを取得 - 監査対応と契約管理
SOC・PCI DSS・ISO の監査レポートをオンデマンドで取得し、BAA や GDPR DPA を Organizations 全体に一括適用する手順を紹介します。
SSO とアイデンティティ管理 - AWS IAM Identity Center による一元認証
AWS IAM Identity Center (旧 AWS SSO) を使ったシングルサインオンとマルチアカウントアクセス管理を解説。外部 IdP 連携、権限セット設計、Cognito との使い分けまで紹介します。
Amazon Cognito で実装するユーザー認証 - User Pool と Identity Pool の設計
Cognito User Pool によるユーザー認証、Identity Pool による AWS リソースアクセス、ソーシャルログインの統合を解説します。
AWS Certificate Manager で自動化する SSL/TLS 証明書管理 - 発行からローテーションまで
ACM によるパブリック証明書の無料発行、DNS 検証、自動更新、ALB ・ CloudFront へのデプロイを解説します。
AWS Network Firewall による VPC トラフィック制御 - ステートフルルールとドメインフィルタリング
ステートフル/ステートレスルールとドメインフィルタリングで VPC トラフィックを制御する。Suricata 互換ルールとマネージドルールの活用を紹介します。
証明書管理と HTTPS 化 - AWS Certificate Manager による TLS 証明書の自動運用
AWS Certificate Manager (ACM) を使った TLS/SSL 証明書の発行・自動更新・デプロイを解説。CloudFront ・ ALB ・ API Gateway との統合、DNS 検証、プライベート CA の活用まで紹介します。
Amazon GuardDuty で実現する脅威検出 - ML ベースの異常検知とインシデント対応
GuardDuty による脅威検出の仕組み、検出結果の分類、Security Hub との統合によるインシデント対応を解説します。
AWS Secrets Manager によるシークレット管理 - 自動ローテーションとアプリケーション統合
RDS・Aurora のパスワードを Lambda 関数で自動ローテーションし、SDK キャッシュライブラリでアプリケーションからシームレスに取得する。Parameter Store との使い分けも紹介します。
Active Directory 連携 - AWS Directory Service でオンプレミス ID 基盤をクラウドに拡張する
AWS Directory Service を使った Active Directory のクラウド統合を解説。AWS Managed Microsoft AD、AD Connector、Simple AD の使い分けと、WorkSpaces ・ RDS ・ FSx との連携を紹介します。
ハードウェアセキュリティモジュール - AWS CloudHSM による暗号鍵の専有管理
AWS CloudHSM を使った暗号鍵の専有管理を解説。KMS との使い分け、FIPS 140-2 Level 3 準拠、TLS オフロード、Oracle TDE 統合など高度なユースケースを紹介します。
DDoS 対策 - AWS Shield による多層防御の設計と運用
AWS Shield Standard と Shield Advanced による DDoS 防御を解説。CloudFront ・ Route 53 ・ ALB との統合、WAF との組み合わせ、コスト保護機能まで実践的に紹介します。
AWS IAM Identity Center で実現するシングルサインオン - マルチアカウントアクセス管理
マルチアカウント環境のシングルサインオンを実現し、権限セットで各アカウントへのアクセスレベルを制御する。外部 IdP との統合と ABAC の活用を紹介します。
AWS Firewall Manager で一元管理するセキュリティルール - WAF と Security Group の組織展開
Organizations 全体の WAF ルール、Security Group、Network Firewall ポリシーを一元管理し、新規アカウントへの自動適用で組織全体のセキュリティベースラインを維持する方法を解説します。
Amazon Inspector で脆弱性を自動スキャン - EC2、Lambda、ECR の継続的セキュリティ評価
EC2 インスタンス、ECR コンテナイメージ、Lambda 関数の脆弱性を自動スキャンし、CVE ベースのリスクスコアで優先順位を付ける。Systems Manager エージェントとの統合でエージェントレススキャンも実現する方法を解説します。
AWS Private CA で構築するプライベート PKI - 証明書の自動発行とローテーション
プライベート認証局を構築し、内部サービス間の mTLS 証明書を自動発行する。証明書のライフサイクル管理と CRL の設計を紹介します。
Amazon Detective でセキュリティインシデントを調査 - グラフ分析による根本原因の特定
Detective による GuardDuty 検出結果の調査、エンティティプロファイル、行動グラフの活用を解説します。
ゼロトラストネットワークアクセス - AWS Verified Access で VPN なしのセキュアアクセスを実現する
AWS Verified Access を使った VPN レスのゼロトラストアクセスを解説。ID プロバイダー統合、デバイストラスト、ポリシーベースのアクセス制御、従来の VPN との比較を紹介します。
AWS Nitro Enclaves で実現する機密データ処理 - 隔離環境での暗号化と認証
Nitro Enclaves の隔離環境で機密データを処理し、KMS との統合とアテステーションで暗号鍵のアクセスを制御する手法を紹介します。
AWS WAF の Bot Control と不正防止 - ボット対策とアカウント乗っ取り防止の実装
Bot Control でスクレイパーや自動化ツールを検出し、ATP でクレデンシャルスタッフィングを防止する。チャレンジと CAPTCHA のユーザー体験設計も紹介します。
Amazon Macie で S3 の機密データを自動検出 - PII 検出とデータセキュリティ態勢の管理
Macie による S3 バケットの機密データ検出、カスタムデータ識別子、Security Hub 統合を解説します。
Amazon Security Lake で構築するセキュリティデータレイク - OCSF 形式での統合分析
Security Lake による CloudTrail、VPC フローログ、Route 53 ログの自動集約、OCSF 正規化、サブスクライバーとの統合を解説します。
AWS Secrets Manager のマルチリージョン戦略 - レプリケーションとクロスアカウント共有
マルチリージョンレプリケーションで DR 対策を実現し、クロスアカウントアクセスでセキュリティアカウントからの一元管理を構築する手法を紹介します。
AWS Signer で実現するコード署名 - Lambda 関数とコンテナイメージの信頼性保証
Lambda 関数とコンテナイメージにコード署名を適用し、CI/CD パイプラインで署名検証を強制する。署名のリボケーションによる侵害対応も紹介します。
AWS Payment Cryptography で実現するクラウド決済処理 - 暗号鍵管理と PIN 検証
Payment Cryptography による決済用暗号鍵の管理、PIN ブロックの暗号化・復号、PCI DSS 準拠を解説します。
AWS Verified Access で実現するゼロトラストアクセス - VPN 不要のアプリケーション接続
VPN を排除し、ユーザー ID とデバイスのセキュリティ状態を毎回検証するゼロトラストアクセスを実現する。Cedar ポリシーによるきめ細かい制御を紹介します。
Amazon Verified Permissions で実装するきめ細かい認可 - Cedar ポリシーによるアクセス制御
Cedar ポリシー言語で認可ロジックをアプリケーションコードから外部化し、Cognito 統合でトークンベースの認可判定を実現する手法を紹介します。
AWS アカウントのルートユーザーはなぜ危険なのか - 権限分離の設計思想と封印の実践
AWS ルートユーザーが IAM では制限できない特権を持つ理由、ルートユーザーでしかできない操作の一覧、MFA の設定方法、Organizations のルートアクセス管理による封印戦略を解説します。
KMS の暗号鍵はどこに保存されているのか - エンベロープ暗号化と HSM の仕組み
KMS のマスターキーが FIPS 140-2 認定の HSM 内に保存される仕組み、エンベロープ暗号化でデータキーを二重に保護する設計、キーローテーションの内部動作を解説します。
ユーザー認証の実装 - Cognito によるセキュアな認証基盤の構築
Amazon Cognito を活用したユーザー認証基盤の設計と実装を解説し、ユーザープール、ID プール、外部 ID プロバイダー連携による認証フローの構築方法を紹介します。
ID とアクセス管理の設計 - IAM によるゼロトラストセキュリティの実現
AWS IAM を活用したアクセス管理の設計手法を解説し、最小権限の原則、ポリシー設計、Cognito との連携によるゼロトラストセキュリティの実現方法を紹介します。
CloudTrail はすべてを見ている - API 呼び出しの記録メカニズムとフォレンジック調査の実践
CloudTrail が AWS API 呼び出しを記録する仕組み、管理イベントとデータイベントの違い、CloudTrail Lake による SQL 分析、セキュリティインシデント発生時のフォレンジック調査手法を解説します。
EC2 のメタデータ 169.254.169.254 の正体 - リンクローカルアドレスと IMDSv2 の設計
EC2 インスタンスメタデータサービスのエンドポイント 169.254.169.254 がリンクローカルアドレスである理由、SSRF 攻撃で悪用された歴史、IMDSv2 のトークンベース認証が生まれた経緯を解説します。
AWS の署名バージョン 4 (SigV4) はどう動いているのか - API 認証の暗号学的な仕組み
AWS API の認証に使われる SigV4 署名プロセスの 4 ステップ (正規リクエスト作成、署名文字列構築、署名キー導出、署名計算) を暗号学的な観点から解説し、SigV4A やプリサインド URL の仕組みも紹介します。
データプライバシー保護 - Amazon Macie と GuardDuty で実現する機密データの自動検出と脅威防御
Amazon Macie による S3 内の機密データ自動検出と、Amazon GuardDuty による脅威インテリジェンスを組み合わせたデータプライバシー保護の実践手法を解説します。個人情報の特定からリアルタイムの脅威検知まで、包括的なセキュリティ対策を紹介します。
ネットワークトラフィックフィルタリング - AWS Network Firewall で実現する高度なネットワーク防御
AWS Network Firewall によるステートフルなネットワークトラフィックフィルタリングと、AWS WAF との組み合わせによる多層防御の構築方法を解説します。VPC レベルのトラフィック制御と脅威防御の実践手法を紹介します。
脆弱性評価と脅威検知 - Amazon Inspector と GuardDuty で実現する継続的セキュリティ監視
Amazon Inspector と Amazon GuardDuty を活用した脆弱性評価と脅威検知の設計・運用方法を解説します。
セキュリティ調査と脅威分析 - Amazon Detective で実現するインシデント対応の効率化
Amazon Detective を活用したセキュリティインシデントの調査と脅威分析の手法を解説します。GuardDuty との連携による検出から調査までのワークフローと、グラフベースの分析による根本原因の特定方法を紹介します。
セキュリティポスチャー管理 - AWS Security Hub で実現する統合セキュリティ監視基盤
AWS Security Hub による統合セキュリティ監視と、GuardDuty との連携による脅威検知の自動化を解説します。セキュリティベストプラクティスへの準拠状況の可視化とマルチアカウント環境のセキュリティガバナンスを紹介します。