Amazon Web Services ブログ

AWS re:Inforce 2023 におけるthe application security sessions のガイド

AWS re:Inforceは、クラウドセキュリティ、コンプライアンス、アイデンティティ、プライバシーに関するスキルと自信を構築するセキュリティ学習カンファレンスです。re:Inforceの参加者は、何百ものテクニカルおよびノンテクニカルのセッション、AWSエキスパートやAWSセキュリティコンピテンシーのセキュリティパートナー、さらにセキュリティリーダーによる基調講演やリーダーシップセッションへのアクセスが期待できます。 aws re:Inforce 2023は、カリフォルニア州のアナハイムで6月13日と14日に、対面にて開催予定です。

Well-Architected FrameworkのSecurity Pillarが最近アップデートされたことに伴い、アプリケーション・セキュリティに関する新トラックが追加されました。この新しいトラックでは、AWS、お客様、AWSパートナーが、構築するソフトウェアのセキュリティを理解しながら迅速に行動する方法を発見することができます。

これらのセッションでは、AWSのリーダーから直接話を聞き、安全な出荷を支援するツールを実際に体験することができます。組織と文化がセキュリティのビジネスをどのように加速させるか、また、機能をより迅速に顧客に提供するためのテクノロジーについて深く掘り下げます。また、開発者の作業を迅速化し、セキュアなデリバリを支援する新しいツールも紹介する予定です。

コンテンツトラック全体のセッションについては、AWS re:Inforce カタログプレビューをご覧ください。

ブレークアウトセッション、チョークトーク、ライトニングトーク

APS221: From code to insight: Amazon Inspector & AWS Lambda in action

このライトニングトークでは、AWS LambdaをサポートするAmazon Inspectorのデモをご覧ください。自動化された継続的な脆弱性評価のために、Amazon InspectorはLambda上で動作するJavaアプリケーションのセキュリティ脆弱性を検査するために使用されます。さらに、Amazon Inspectorがサーバーレスアプリケーションのパッケージとコードの脆弱性の特定にどのように役立つかを探ります。

APS302: From IDE to code review, increasing quality and security

このセッションに参加すると、Amazon Code WhispererAmazon CodeGuru reviewer、Amazon Inspectorを開発ワークフローに統合することで、開発サイクルの早い段階でコードの品質とセキュリティを改善し、潜在的な問題を特定し、コードレビュープロセスを自動化する方法をご紹介します。

APS201: How AWS and MongoDB raise the security bar with distributed ownership

このセッションでは、AWSとMongoDBがどのようにセキュリティガーディアンとセキュリティチャンピオンプログラムの作成に取り組んできたかを探ります。高いセキュリティ基準で開発を加速させることを目的としたプログラムのスコープ、パイロット、測定、スケーリング、管理に関する実践的なアドバイスを学び、セキュリティチームと開発チームの間のギャップを埋める方法に関するヒントを発見します。また、セキュリティチームと開発チームの間のギャップを埋める方法についてのヒントも得られます。プロテクターやチャンピオンのプログラムを組織全体に広く適用することで、開発チームだけでなく会社全体のセキュリティを向上させる方法について学びます。

APS202: AppSec tooling & culture tips from AWS & Toyota Motor North America

このセッションでは、AWSと北米トヨタ自動車(TMNA)が、AppSecのツールと文化を企業組織全体に拡張する方法について学びます。数百のサービスチームにわたる脅威モデリングへのAWSのアプローチから学んだ実践的なアドバイスと教訓を学びます。さらに、TMNAがメインフレームからサーバーレスまで、すべての業務においてセキュリティエンジニアをビジネスユニットに組み込んだ方法についての洞察を得ることができます。成熟度の異なるチームをサポートする方法、リスクと脆弱性を区別することの重要性、クラウドネイティブ、サードパーティ、オープンソースツールの使用をバランスよくスケールアップする方法について学びます。

APS331: Shift security left with the AWS integrated builder experience

組織がAWS上でアプリケーションを構築し始めると、これらのアプリケーションの開発と管理の特定の部分に対処する非常に高性能なビルダーサービスを幅広く使用することになります。AWS統合ビルダー体験(IBEX)は、これらの別々の部分を統合して、AWS上で構築する顧客とAWSパートナーの両方のための革新的ソリューションを作成します。このチョークトークでは、セキュリティのベストプラクティスを組み込んだアプリケーションを設計し、セキュリティの問題やボトルネックを防ぐのに役立つアジャイルソフトウェアを解除することによって、セキュリティをシフトレフトするIBEXを使用する方法を発見します。

ハンズオンセッション(ビルダーズセッション・ワークショップ)

APS271: Threat modeling for builders

このワークショップでは、ワークロードの脅威モデルを作成するハンズオンを行います。脅威モデリングの背景と根拠を学び、システムをモデリングし、脅威を特定し、緩和策を選択するためのツールやテクニックを探求します。また、サーバーレスワークロードのシステムモデルと対応する脅威モデルの作成プロセス、AWSが内部で脅威モデリングを行う方法、自身のワークロードで脅威モデリングを効果的に行うための原則を学びます。

APS371: Integrating open-source security tools with the AWS code services

AWS、オープンソース、パートナーツールは、ソフトウェア開発のライフサイクルを加速するために連携しています。このワークショップでは、オープンソースのアプリケーションセキュリティツールであるAutomated Security Helper(ASH)を使用して、さまざまなセキュリティテストツールをソフトウェアの構築とデプロイのフローに迅速に統合する方法を学びます。AWSのエキスパートが、あなたのマシン上でローカルに、そしてAWS CodeCommitAWS CodeBuildAWS CodePipelineサービス内でセキュリティテストを実行するプロセスについてご案内します。さらに、静的解析、ソフトウェア構成解析、Infrastructure-as-Codeテストを通じて、アプリケーションの潜在的なセキュリティ問題を特定する方法を発見してください。

APS352: Practical shift left for builders

開発ライフサイクルにおける早期のフィードバックは、開発者の生産性を最大化し、エンジニアリングチームが高品質の製品を提供することを可能にします。このビルダーズセッションでは、Amazon CodeGuruAmazon CodeWhispererAmazon DevOps Guruなどのツールは、ソースリポジトリへの各コードコミット時に継続的にリアルタイムフィードバックを提供し、コードレビュー段階に組み込まれたML機能でこれを補完できるなど、開発サイクルの初期段階で開発者が適切なセキュリティ判断を行うためのAWS Developer Toolsの使用方法について学習します。

APS351: Secure software factory on AWS through the DoD DevSecOps lens

規制環境下にある現代の情報システムは、セキュリティを最優先としたソフトウェア開発の必要性に迫られています。組織は、ソフトウェアデリバリライフサイクルのセキュリティを向上させるために、DevSecOpsとセキュアソフトウェアファクトリーのパターンを採用することが増えています。このビルダーズセッションでは、DoD Enterprise DevSecOpsイニシアチブに沿ったセキュアソフトウェアファクトリーを作成するために、AWSで利用できるオプションを探ります。ソースからAmazon Elastic Kubernetes Service(EKS)環境にコードをデプロイする際のソフトウェアのサプライチェーンのセキュリティに焦点を当てます。

これらのセッションに興味を持たれた方は、re:Inforce 2023に登録し、カリフォルニアで私たちと一緒に過ごしませんか?会場でお会いできるのを楽しみにしています!

本blogは、Paul Hawkins, principal in the Office of the CISO, AWS Securityによる原文を元に、松本照吾, Head of Security Assurance, Japan が翻訳しました。