メインコンテンツへスキップ

【AWSデイリーアップデート】WAFログ強化&Configタグ追跡でセキュリティ向上!SageMakerも新機能多数

· loading · loading ·
kiitosu
著者
kiitosu
画像処理やデバイスドライバ、データ基盤構築からWebバックエンドまで、多様な領域に携わってきました。地図解析や地図アプリケーションの仕組みにも経験があり、幅広い技術を活かした開発に取り組んでいます。休日は草野球とランニングを楽しんでいます。
目次

はじめに
#

AWSの基礎力をつけるためにAWS What’s Newを毎日目を通す事を始めました。 最初は日本語訳されたものを見ていたのですが、1週間ほど遅れて訳されるようなので、英語の情報を訳して整理することにしました。

本情報が役立つ人もいるかなと思い公開します。 個人的な理解なので、実際の情報は原典をあたってください。

まとめと気づき
#

今回は WAF のログ強化 や SageMaker のブループリント AWS Config の リソースタグ追跡などセキュリティ寄りの発表が目立ちました。基本機能だけではなくそれを支えるセキュリティに関しても最新に追従して適切な方法を選択することは大事ですね。


AWS WAFがAWSアジアパシフィック(台北)リージョンで利用可能に
#

投稿日: 2025年09月08日

何ができるようになったのか
#

AWS WAFが、新たにAWSアジアパシフィック(台北)リージョンで利用可能になりました。

何が嬉しいのか
#

このリージョンでホストされているウェブアプリケーションリソースを、一般的なウェブの脆弱性やボット攻撃から保護できるようになります。これにより、アプリケーションの可用性を維持し、セキュリティを強化し、過剰なリソース消費を防ぐことができます。

これまでとどう変わるのか
#

  • これまで
    • AWSアジアパシフィック(台北)リージョンではAWS WAFが提供されておらず、このリージョン内のリソースを保護するためには、他の方法を検討する必要がありました。
  • これから
    • AWSアジアパシフィック(台北)リージョンで稼働するウェブアプリケーション(Amazon CloudFront、Application Load Balancer、Amazon API Gatewayなど)に対して、直接AWS WAFを適用して保護できるようになります。

具体的なユースケース
#

  • 台湾市場向けのECサイトやオンラインサービスを台北リージョンで展開している企業が、SQLインジェクションやクロスサイトスクリプティング(XSS)などの攻撃から自社のウェブアプリケーションを保護する。
  • 台北リージョンにAPIエンドポイントを設置しているモバイルアプリやSaaSプロバイダーが、悪意のあるボットによる不正なアクセスやリソースの浪費を防ぐ。

Amazon SageMaker HyperPodのマネージド階層型チェックポイント機能を発表
#

投稿日: 2025年09月08日

何ができるようになったのか
#

Amazon SageMaker HyperPodで、マネージド階層型チェックポイント機能が一般利用可能になりました。この機能は、AIモデルのトレーニング中に発生する障害からの復旧時間を短縮し、進捗の損失を最小限に抑えるように設計されています。

何が嬉しいのか
#

大規模なクラスター上で高いスループットを維持しながら、信頼性の高いトレーニングが可能になります。CPUメモリに頻繁にチェックポイントを保存することで、障害からの迅速な復旧を実現しつつ、永続ストレージへの書き込みを減らすことでストレージコストを最小限に抑えることができます。また、PyTorchの分散チェックポイント(DCP)と統合されており、わずか数行のコード変更でこの機能を導入できます。

これまでとどう変わるのか
#

  • これまで
    • 大規模モデルのトレーニングでは、従来のチェックポイント方法は時間がかかり、リソースを大量に消費していました。インフラ障害が発生すると、トレーニングの進捗が大きく失われるリスクがありました。
  • これから
    • CPUメモリに頻繁にチェックポイントを保存して迅速な復旧を可能にし、Amazon S3に定期的にデータを永続化するハイブリッドアプローチを採用します。これにより、トレーニングの損失を最小限に抑え、障害発生後のトレーニング再開時間を大幅に短縮できます。

具体的なユースケース
#

  • 大規模なAIモデルをSageMaker HyperPod上の大規模クラスターでトレーニングする際に、インフラ障害のリスクを低減し、効率的かつ迅速にトレーニングを再開したい場合。

Amazon SageMaker Unified Studioがカスタムブループリントの一般提供を発表
#

投稿日: 2025年09月08日

何ができるようになったのか
#

Amazon SageMaker Unified Studioの新機能「カスタムブループリント」が一般提供されました。これにより、ユーザーは独自のマネージドポリシーやAWS CloudFormationテンプレートを使用して、SageMaker Unified Studioでプロジェクトを作成できるようになります。

何が嬉しいのか
#

  • セキュリティ要件の遵守: 企業独自のセキュリティ要件に準拠したマネージドポリシーを適用して、プロジェクトロールを作成できます。
  • 標準化の徹底: 独自のCloudFormationテンプレートを使用することで、組織全体で標準化されたインフラストラクチャ(Amazon EMR、AWS Glueデータカタログ、Amazon Redshiftなど)をデプロイできます。
  • 柔軟なカスタマイズ: SageMakerが提供する既存のポリシーを独自のカスタムポリシーで置き換えたり、追加のポリシーを付加して拡張したりすることが可能です。

これまでとどう変わるのか
#

  • これまで
    • SageMaker Unified Studioが提供するマネージドポリシーとブループリントを使用する必要がありました。そのため、企業独自の厳格なセキュリティポリシーや標準化されたインフラ構成を適用することが困難でした。
  • これから
    • 独自のマネージドポリシーやCloudFormationテンプレート(カスタムブループリント)を持ち込むことが可能になります。これにより、セキュリティコンプライアンスを確保しつつ、組織全体で一貫した開発環境を柔軟に構築できます。

具体的なユースケース
#

  • 厳格なセキュリティポリシーを持つ企業が、SageMakerのデフォルトポリシーの代わりに、自社で承認済みのIAMマネージドポリシーを使用してSageMakerプロジェクトを作成する。
  • データ処理スタックを標準化したい組織が、特定の構成のAmazon EMR、Glueデータカタログ、Redshiftをすべての新しいSageMakerプロジェクトで自動的にプロビジョニングするカスタムブループリントを作成する。

Amazon SageMaker Unified StudioにおけるAIアシスタンスの向上
#

投稿日: 2025年09月08日

何ができるようになったのか
#

Amazon SageMaker Unified StudioのJupyterノートブックにおけるAmazon Q Developerのチャット体験が向上し、JupyterノートブックとコードエディタのコマンドラインでAmazon Q Developerが利用可能になりました。Model Context Protocol (MCP) サーバーとの統合により、Amazon Q Developerはデータ、コンピューティング、コードなどのSageMaker Unified Studioプロジェクトリソースを認識し、データエンジニアリングや機械学習開発作業に対してパーソナライズされた支援を提供します。

何が嬉しいのか
#

この新機能により、コードのリファクタリング、ファイルの変更、トラブルシューティングといったタスクに対して、関連性の高い応答が得られるようになります。これにより、データサイエンティストやデータエンジニアは、統合開発環境(IDE)を迅速にセットアップし、AIアシスタントがどのように動作しているかの透明性を保ちながら、より効率的に作業を進めることができます。

これまでとどう変わるのか
#

  • これまで
    • AIアシスタントは、SageMaker Unified Studioの特定のプロジェクトリソースに関するコンテキストが限定的で、提供される支援はより一般的なものでした。
  • これから
    • AIアシスタントがデータ、コンピューティング、コードといったプロジェクトリソースを認識できるようになります。これにより、Jupyterノートブックやコードエディタのコマンドライン内で、コンテキストに応じたパーソナライズされた支援を受けられるようになります。

具体的なユースケース
#

  • データサイエンティストがJupyterノートブック内でコードをリファクタリングする際に、Amazon Qからコンテキストを認識した提案を受ける。
  • データエンジニアがファイルの変更に関する問題をトラブルシューティングする際に、コマンドラインのAIアシスタントを活用して関連性の高いヘルプを得る。
  • 新しいデータサイエンス環境をセットアップする際に、データソースへの接続やコンピューティングリソースの設定について、パーソナライズされたガイダンスを受ける。

Amazon CloudFrontがIPv6オリジンのサポートを発表
#

投稿日: 2025年09月08日

何ができるようになったのか
#

Amazon CloudFrontがオリジンサーバーへのIPv6接続をサポートするようになり、ウェブアプリケーションのエンドツーエンド(利用者からオリジンサーバーまで)でのIPv6コンテンツ配信が可能になりました。

何が嬉しいのか
#

  • IPv6導入に関するアーキテクチャ上および規制上の要件を満たすことができます。
  • IPv6ネットワーク経由で接続するエンドユーザーのネットワークパフォーマンスが向上します。
  • オリジンインフラストラクチャにおけるIPv4アドレス枯渇の懸念がなくなります。

これまでとどう変わるのか
#

  • これまで
    • CloudFrontはエンドユーザーからのIPv6接続は受け付けていましたが、オリジンサーバーへの接続はIPv4のみをサポートしていました。
  • これから
    • カスタムオリジンに対して、IPv4のみ(デフォルト)、IPv6のみ、またはデュアルスタック接続を設定できるようになります。デュアルスタックを使用する場合、CloudFrontはIPv4とIPv6のアドレスを自動的に選択し、両方へのトラフィックを均等に分散させます。

具体的なユースケース
#

  • 規制要件への準拠や、将来のIPv4アドレス枯渇に備えるため、クライアントからオリジンサーバーまで完全にIPv6で通信を行うウェブアプリケーションを構築する。

Amazon Neptune AnalyticsがNetworkXのグラフストアとしてサポートされるようになりました
#

投稿日: 2025年09月08日

何ができるようになったのか
#

オープンソースのPythonライブラリであるNetworkXが、グラフストアとしてAmazon Neptune Analyticsをサポートするようになりました。これにより、開発者は使い慣れたNetworkX APIを使用しながら、グラフアルゴリズムのワークロードをNeptuneのスケーラブルで高性能な分析エンジンに自動的にオフロードできます。

何が嬉しいのか
#

  • コードをリファクタリングすることなく、グラフ計算をオンデマンドで簡単にスケールできます。
  • ローカル開発の容易さと、フルマネージドAWSサービスのパフォーマンスおよび弾力性を両立できます。
  • インフラの自動プロビジョニングと破棄により、コスト効率の高いサーバーレスのような体験が得られます。
  • 慣れ親しんだPythonのワークフローを離れる必要がありません。

これまでとどう変わるのか
#

  • これまで
    • データセットがローカル環境の限界を超えると、サードパーティのサービスを利用する必要がありました。そのために、グラフモデルの再構築、データのインポート/エクスポート、新しいシステムの学習が必要でした。
  • これからn - nx-neptune統合により、グラフデータのモデリング、データ移動(Zero-ETL)、インフラ管理が自動的に処理されます。Neptune Analyticsインスタンスのプロビジョニング、アルゴリズムの実行、結果の返却、インフラの破棄までが自動で行われます。

具体的なユースケース
#

  • 研究者、データサイエンティスト、開発者が、NetworkXを使用してグラフベースのアプリケーションのプロトタイピングや実験を行う際に、ローカル環境の制約を超えて大規模なデータセットでグラフ計算をスケールさせるケース。

AWS WAF、リクエスト量に応じた無料のWAF Vended Logsを提供開始
#

投稿日: 2025年09月08日

何ができるようになったのか
#

AWS WAFで処理される100万リクエストごとに、500MBのCloudWatch Logs Vended Logsの取り込みが追加費用なしで利用できるようになりました。

何が嬉しいのか
#

包括的なセキュリティ可視性を維持しながら、WAFのロギングコストをより適切に管理できるようになります。CloudWatchの高度な分析機能(Log Insightsクエリ、異常検出、ダッシュボードなど)を活用して、ウェブアプリケーショントラフィックのパターンやセキュリティイベントを監視・分析できます。

これまでとどう変わるのか
#

  • これまで
    • WAFのログ(CloudWatch, S3, FirehoseへのVended Logs)は、使用量に応じて課金されていました。
  • これから
    • WAFの100万リクエストごとに500MBのログが無料で提供されます。この無料枠を超えた分のみが課金対象となります。この割り当ては月末にAWSの請求書に自動的に適用されます。

具体的なユースケース
#

  • セキュリティ分析、コンプライアンス、トラブルシューティングのために、CloudWatch Log Insightsクエリ、異常検出、ダッシュボードを使用して、ウェブアプリケーションのトラフィックパターンとセキュリティイベントを監視・分析する際に、初期のロギングコストを抑えることができます。

AWS ConfigがIAMポリシーのリソースタグをサポート
#

投稿日: 2025年09月05日

何ができるようになったのか
#

AWS ConfigがIAMポリシーリソースタイプのリソースタグを追跡できるようになりました。これにより、IAMポリシーの設定を評価、監査、審査するためにキャプチャできるメタデータの粒度が向上します。

何が嬉しいのか
#

この機能強化により、ConfigレコーダーでIAMポリシーのリソースタグとその変更を直接追跡できるようになります。これにより、リソースタグに基づいてConfigマネージドルールとカスタムルールの両方の評価範囲を定めることができ、IAMポリシーが望ましい設定を維持していることを保証できます。さらに、Configアグリゲーターを活用して、タグを使用して複数のアカウントにまたがるIAMポリシーを選択的に集約し、マルチアカウントのガバナンスを効率化できます。

これまでとどう変わるのか
#

  • これまで
    • AWS ConfigでIAMポリシーのリソースタグを直接追跡することはできませんでした。そのため、タグに基づいたIAMポリシーの設定評価や監査が困難でした。
  • これから
    • ConfigレコーダーでIAMポリシーのリソースタグとその変更を追跡できるようになります。これにより、タグに基づいたルール評価や、複数アカウントにまたがるIAMポリシーの集約的なガバナンスが可能になります。

具体的なユースケース
#

  • 特定のタグ(例:「project:critical」)を持つIAMポリシーを監査する。
  • タグによって識別される特定の部門に関連するすべてのIAMポリシーが、AWS Configルールを使用して会社の基準に準拠していることを確認する。
  • タグを使用して特定プロジェクトの複数アカウントにわたるIAMポリシー設定データを集約し、コンプライアンスを中央で監視する。
Reply by Email

関連記事

AWS What's New 2025年8月02日 公平キューイング地味に便利そう
· loading · loading
AWS What's New 2025年8月01日 Lambdaのレスポンスストリーミング知らなかった
· loading · loading
AWS What's New 2025年7月17日 クラウドで実行されているlambda関数のデバッグが可能に
· loading · loading