0
0

Delete article

Deleted articles cannot be recovered.

Draft of this article would be also deleted.

Are you sure you want to delete this article?

【備忘】【AWS関連】公式ブログ および アップデートまとめ(ネットワーク関連のみ抽出)(2026/07/06)

0
Last updated at Posted at 2026-07-16

この記事について

  • AWS 公式が公表している週刊 AWS やアップデート情報の中から、ネットワークリソース関連の情報を集約して把握するため、Claude を活用してサマリーを生成・出力しています。
  • 週刊 AWS および AWS の最新アップデートを継続的にキャッチアップする習慣をつけるため。
  • 各記事に対する感想は、自身で記載して投稿しています。
  • タイトルに【備忘】と付けているのは、後から見返せるよう記録として残しておきたいためです。

はじめに

2026/07/06 週の AWS アップデートを確認したところ、ネットワーク専業サービス(VPC / NAT Gateway / Transit Gateway / ELB / Direct Connect 等)に関する単独の新機能リリースは確認できませんでした。一方で、周辺サービスの中では AWS Security Hub の Network Scanning 提供開始や AWS WAF の Amazon Bedrock AgentCore Gateway サポート追加など、ネットワークセキュリティ領域に関わるアップデートが含まれていました。生成 AI 関連のアップデートが引き続き多くを占める週となっています。

ネットワーク関連アップデート

今週(2026/07/06 週)および前週(2026/06/29 週)の AWS 公式情報において、VPC / NAT Gateway / Transit Gateway / ELB / Direct Connect などのコアネットワークサービスに関する専用アップデート記事は確認できませんでした。ただし、ネットワークセキュリティに関連する以下のトピックが週刊 AWS の概要に含まれています。

週刊AWS – 2026/7/6週

  • 対象サービス: AWS Security Hub
  • 概要: AWS Security Hub が新機能として Network Scanning の提供を開始しました。Security Hub はクラウド環境のセキュリティ状態を一元管理するサービスであり、Network Scanning の追加により、ネットワーク経路・ポート・エンドポイントの露出状況をセキュリティチェックの文脈で継続的に評価できるようになります。これにより、従来は別ツールで行っていたネットワーク可視性の確認を Security Hub に集約できる可能性があります。
  • ポイント:
    • Security Hub 単一のコンソールからネットワークスキャンの結果を他のセキュリティ検出事項と横断的に確認可能になる
    • 外部に意図せず公開されているポートやエンドポイントの早期検出に活用できる
    • 既存の Security Hub 利用者は追加の大きな設定変更なく恩恵を受けられる可能性がある
    • AWS Config の 191 個のマネージドルール追加と組み合わせることで、コンプライアンス管理がさらに強化される

週刊AWS – 2026/6/29週

  • 対象サービス: AWS WAF
  • 概要: AWS WAF が Amazon Bedrock AgentCore Gateway のサポートを追加しました。AgentCore Gateway は生成 AI エージェントのリクエストを仲介するゲートウェイコンポーネントであり、WAF をその前段に適用できるようになりました。これにより、AI エージェントへの不正リクエストや悪意あるペイロードを WAF のルールで検査・遮断できるようになります。生成 AI ワークロードのネットワークエッジにおけるセキュリティ強化という観点で注目のアップデートです。
  • ポイント:
    • 生成 AI エージェントのエンドポイントに対しても、従来の Web アプリケーションと同様の WAF 保護を適用可能になる
    • SQL インジェクションや XSS、レートリミットといった WAF の既存ルールセットをそのまま活用できる
    • AI エージェントを外部公開する構成を検討している場合、セキュリティ設計の選択肢が広がる
    • AgentCore Gateway を利用したアーキテクチャにおいて、ネットワークレイヤーの防御を追加できる点が実務上メリットになる

感想

AWS Security Hub が Network Scanning を提供開始

こちら確認し掘り下げてみました。

Network Scanning とは
AWS Security Hub のオプトイン機能で、クラウドリソースに対してアカウントの外側(インターネット側)から能動的なネットワーク到達可能性テストを実施するもの

従来は、「ネットワーク到達可能性分析」で、セキュリティグループ・NACL・ルートテーブルの設定を評価し、「理論上、何が到達可能となり得るか」を判定していました。
今回は、これを一歩進めて、AWS所有のIPアドレスから実際にプローブ(調査パケット)を送り「今、実際に何が到達可能か」を検出する。

スキャンは以下の2つの問いに答えるようです。

  1. このリソースはインターネットから到達可能か?
  2. 到達可能なら、何が動いているか?(ポート・サービスの特定)
対応リソースタイプ
クラウド リソースタイプ
AWS EC2 インスタンス(パブリックIP付き)
AWS Elastic IP(EIP)
AWS Network Load Balancer(NLB)
AWS Application Load Balancer(ALB)
AWS Classic Load Balancer(CLB)
Azure Public IP Address(Azure コネクタ設定時

※ ロードバランサーは、DNS名を解決してスキャンする。LB配下のEC2は、自身がパブリックIP/EIP を持つ場合のみ個別にスキャンされるとのこと

スキャンの挙動
  • 有効化後、約24時間以内に既存リソースをスキャン
  • 新規リソースは作成通知の受信後にスキャン
  • スキャン対象リソースへ一定の control-plan 変更があると再スキャン
  • アクティブなリソースは約12時間毎に再スキャンして到達性の変化を検出
  • 短命なリソースは終了前にスキャンされない場合はある
  • スキャンはTCP のみ(UDPなし)、既知の一部ポートを対象。AWS所有インフラから実施する
収集されるエビデンス
  • TCPバナー:接続時にサービスが返す初期バイト列(例:SSH バージョン文字列)
  • HTTPメタデータ:レスポンスヘッダー、HTTPステータスコード
  • TLS証明書:CN、発行者、有効期限、自己署名の有無
  • サービス検出:ポート上で稼働しているアプリケーション/プロトコルの設定

検出結果は、**OCSF形式(AWS OCSF拡張) で発行され、他の Security Hub 検出結果と並んで表示される。
1つの検出結果は「特定リソース × アドレス × ポート」の組み合わせを表す。

追加料金なしで Security Hub Essentials に含まれる とのことで有益な機能が発表されたと思いました。

その他注目リリース

感想

Claude Sonnet 5 が AWS で利用可能に

チームでも導入の準備を進めています。

プライベートでは利用を始めています。
自分が見落としていた部分についての指摘が若干増え(・た感じ)に、改めて見直しの機会を得ることが出来、品質や仕様の改善に役立っています。

参考リンク

0
0
0

Register as a new user and use Qiita more conveniently

  1. You get articles that match your needs
  2. You can efficiently read back useful information
  3. You can use dark theme
What you can do with signing up
0
0

Delete article

Deleted articles cannot be recovered.

Draft of this article would be also deleted.

Are you sure you want to delete this article?