Upgrade to Pro — share decks privately, control downloads, hide ads and more …

AWS環境のセキュリティどうやってチェックしてる?

cm-usuda-keisuke
August 18, 2022
Technology
2
5.6k

 AWS環境のセキュリティどうやってチェックしてる?

「セキュリティエンジニア勉強会​~社内のセキュリティ環境ってどうしてる!?知見・課題を共有​~」というイベントの登壇資料
https://www.tech-street.jp/entry/2022/08/02/185649
資料の詳細な解説は下記を参照してください。
https://dev.classmethod.jp/articles/how2security-check-on-aws/

cm-usuda-keisuke

August 18, 2022
Tweet

More Decks by cm-usuda-keisuke

See All by cm-usuda-keisuke
セキュリティ系まとめと地味だけど今すぐ設定すべきモニタリングアップデート
cmusudakeisuke
0
1.4k
APN AWS Top Engineersが語るAWSの最新セキュリティ
cmusudakeisuke
0
1.4k
セキュリティ面から考えるAWSの始め方
cmusudakeisuke
2
1.8k
2022年秋の最新GuardDuty攻略ガイド〜裏技封じとマルウェアスキャン〜
cmusudakeisuke
1
2.6k
[目指せ上級者] 最強にセキュアなAWSアカウントの作り方
cmusudakeisuke
2
7.8k
AWS全体のセキュリティ管理と快適なセキュリティ運用
cmusudakeisuke
3
14k
Security HubとGuardDutyで予防的統制と発見的統制を運用する
cmusudakeisuke
1
3.6k
セキュリティ系アップデートまとめ - CM re:Growth 2021 Online
cmusudakeisuke
0
1.6k
攻撃し続けた僕と検知したりしなかったりするツンデレの君(GuardDuty)の歴史
cmusudakeisuke
0
1.2k

Other Decks in Technology

See All in Technology
AWS Lambda PHPのProduction利用を続ける僕がAWS App Runnerの可能性を探る
seike460
PRO
3
410
データの民主化はじめました 俺たちの民主化はこれからだ
akki_megane
0
140
ビギナー向け エッジランタイムのすすめ | エッジランタイムを意識した開発をはじめよう
aiji42
1
620
数年先の金融DX/AI活用
abenben
1
280
様々な環境へコマンドラインツールを提供する上での苦労とその対策 / YAPC::Kyoto 2023
konboi
0
2.4k
Managing Test Data
eliasnogueira
0
150
QMファンネルとQAキャリア
gen519
PRO
1
170
ローコード自動テストを1ヶ月半で導入した話
sumiren
0
150
Software Craftsmanship against Nova Era
koic
0
300
Tackle the infodemic of misinformation from LINE
line_developers_tw
PRO
0
130
PHP で学ぶ Cache の距離の話 / study_cache_with_php
hanhan1978
3
790
GitHub Actionsと"仲良くなる"ための練習方法
tsubakimoto_s
10
2.8k

Featured

See All Featured
Creatively Recalculating Your Daily Design Routine
revolveconf
207
11k
Fontdeck: Realign not Redesign
paulrobertlloyd
74
4.4k
Facilitating Awesome Meetings
lara
34
4.7k
What’s in a name? Adding method to the madness
productmarketing
PRO
13
2k
Agile that works and the tools we love
rasmusluckow
321
20k
Designing the Hi-DPI Web
ddemaree
273
33k
Pencils Down: Stop Designing & Start Developing
hursman
114
10k
How New CSS Is Changing Everything About Graphic Design on the Web
jensimmons
214
12k
How STYLIGHT went responsive
nonsquared
89
4.2k
Building a Scalable Design System with Sketch
lauravandoore
451
31k
No one is an island. Learnings from fostering a developers community.
thoeni
12
1.6k
A better future with KSS
kneath
230
16k

Transcript

  1. AWS環境のセキュリティ
    どうやってチェックしてる︖
    2022/08/18
    セキュリティエンジニア勉強会
    〜社内のセキュリティ環境ってどうしてる︕︖知⾒・課題を共有〜
    ハッシュタグ: #テックストリート

    View Slide

  2. 2
    ⾃⼰紹介
    ⾅⽥佳祐(うすだけいすけ)
    ・クラスメソッド株式会社
    AWS事業本部
    シニアソリューションアーキテクト
    セキュリティチームリーダー
    AWS公認インストラクター
    APN Ambassador
    ・CISSP
    ・Security-JAWS運営
    ・好きなサービス:
    Amazon Detective
    みんなのAWS
    (技術評論社)

    View Slide

  3. 3
    セッションテーマ
    クラウドセキュリティの
    恩恵を最⼤限受け
    ポジティブに取り組もう

    View Slide

  4. 4
    対象者
    • AWSのセキュリティ対策はまだガッツリ取り組
    めていない情シスとかセキュリティエンジニア
    • AWS触っている⼈
    • 触っていない⼈
    • 社内セキュリティの⼈
    • セキュリティに興味がある⼈
    • だいたいAWSの初級から中級くらい

    View Slide

  5. 5
    持ち帰ってもらう事
    • とにかく最強のAWS基礎セキュリティベストプ
    ラクティスを使う
    • 全員巻き込んでポジティブにセキュリティを強
    化する
    • 中級以降からAWSの知識は必須

    View Slide

  6. 6
    アジェンダ
    1. AWSセキュリティどこからやるの︖
    2. AWS Security Hubを使ったセキュリティチェッ

    3. クラウドセキュリティのメリットを最⼤限享受する
    には

    View Slide

  7. 7
    合わせて読みたい
    セキュリティ対策
    はだいたいここに
    全部ある
    https://dev.classmethod.jp
    /articles/aws-security-all-
    in-one-2021/

    View Slide

  8. 8
    合わせて読みたい
    セキュアアカウ
    ントの仕組みの
    説明とコツはこ
    ちらにあります
    https://dev.classmet
    hod.jp/articles/2204
    08-training-webinar-
    aws-security-
    management/

    View Slide

  9. 9
    1. AWSセキュリティ
    どこからやるの︖

    View Slide

  10. 10
    クラウド特有の
    セットアップをしていく

    View Slide

  11. 11
    最初にやること抜粋
    • IAMユーザーを作ってルートユーザーをMFAで封印
    • 必要なサービス有効化
    • CloudTrail
    • Config
    • GuardDuty
    • Security Hub
    • IAM Access Analyzer
    • Detective
    • Well-Architectedフレームワーク読む

    View Slide

  12. 12
    合わせて読みたい
    やることはこ
    こにまとまっ
    ています
    https://dev.clas
    smethod.jp/arti
    cles/aws-
    baseline-
    setting-202206/

    View Slide

  13. 13
    IAM
    • Identity and Access Management
    • AWSにおけるアクセス制御の基本であり極意
    • セキュリティの原則に従い利⽤
    • 個別のIDを発⾏する
    • 最⼩権限
    • MFA設定
    • アクセスキーの利⽤は注意
    • すべてのAWS利⽤者が理解する必要がある

    View Slide

  14. 14
    合わせて読みたい
    IAM再⼊⾨
    やや古いがよくまと
    まっている
    https://dev.classmethod.jp/ar
    ticles/cm-advent-calendar-
    2015-getting-started-again-
    aws-iam/

    View Slide

  15. 15
    合わせて読みたい
    すべての開発者はgit-
    secretsを導⼊する
    意図せずアクセス
    キーをGitにコミット
    することを防⽌でき

    https://dev.classmethod.jp/artic
    les/startup-git-secrets/

    View Slide

  16. 16
    CloudTrail
    • CloudTrailはAWS上の操作であるAPIを記録する
    • 誰がいつ何をどうしたか、全て記録される
    • いつログインしたか
    • 誰がサーバーを作成したか
    • いつ削除したか
    • ログはS3に保存しておく

    View Slide

  17. 17
    合わせて読みたい
    最初にCloudTrailを
    有効化する
    全リージョンで⼀括
    の設定が可能で必須
    https://dev.classmethod.jp
    /articles/aws-cloudtrail-
    all-regions-on/

    View Slide

  18. 18
    Config
    • 各種AWSリソースの変更を記録・管理する
    • 時系列に変更を辿れる
    • セキュリティグループがいつ作られたか
    • いつどのように変更されたか
    • 関連性を辿れる
    • どのEC2と紐付いているか
    • どのVPCと紐付いているか
    • 問題ある設定を是正する

    View Slide

  19. 19
    合わせて読みたい
    AWS Configも最初
    に有効化する
    リージョン毎の設定
    なので全リージョン
    回す
    グローバルリソース
    記録は1つでいい
    https://dev.classmethod.
    jp/articles/aws-config-
    start/

    View Slide

  20. 20
    Well-Architectedフレームワーク
    5つの柱に基づいたベストプラクティスを
    理解できる

    View Slide

  21. 21
    合わせて読みたい
    初めて読む⼈はこのブ
    ログから読むとよく理
    解できる
    熟練者もこのブログで
    早引きできる
    つまり全員使うと良い
    ブログ
    https://dev.classmetho
    d.jp/articles/aws-well-
    architected-guide/

    View Slide

  22. 22
    AWSを利⽤する⼤前提
    すべてのAWS利⽤者は
    AWSの基本的なセキュリティを
    理解する必要がある

    View Slide

  23. 23
    とはいえ
    いっぱいあってやっぱり⼤変では︖

    View Slide

  24. 24
    2. AWS Security Hubを使った
    セキュリティチェック

    View Slide

  25. 25
    AWSの良さ
    マネージドサービスで楽できる

    View Slide

  26. 26
    マネージドサービスとは︖
    • インフラを気にせず機能を利⽤できる
    • やりたいことに注⼒できる

    View Slide

  27. 27
    AWS Security Hub
    セキュリティチェック

    View Slide

  28. 28
    合わせて読みたい
    セキュリティチェックの
    概念から様々な⼿法のメ
    リットデメリットなどま
    とまっています
    https://dev.classmethod.jp/art
    icles/2020-strongest-aws-
    securitycheck-practice/

    View Slide

  29. 29
    セキュリティチェック⽅法
    • Security Hubはセキュリティチェック運⽤の理想形
    • 直感的なスコア表⽰
    • 無効化・例外の設定管理
    • AWSが最新のベストプラクティスを適⽤
    • 「AWS の基本的なセキュリティのベストプラクティスコント
    ロール(AWS Foundational Security Best Practices)」の
    ルールが優秀
    • 現状38リソースタイプ・190種類のチェック
    • 更新頻度が⾼い(リリースから約2年半で31回更新)
    • ⾃動修復ソリューション
    • マルチアカウント・マルチリージョンの集約

    View Slide

  30. 30
    AWS Security Hubのセキュリティチェック
    直感的な
    スコア表
    ⽰で達成
    度がわか
    りやすい

    View Slide

  31. 31
    対応リソースタイプ
    •ACM
    •APIGateway
    •AutoScaling
    •CloudFormation
    •CloudFront
    •CloudTrail
    •CodeBuild
    •Config
    •DMS
    •DynamoDB
    •EC2
    •ECR
    •ECS
    •EFS
    •EKS
    •ElasticBeanstalk
    •ELB
    •ELBv2
    •EMR
    •ES
    •GuardDuty
    •IAM
    •Kinesis
    •KMS
    •Lambda
    •Network Firewall
    •NetworkFirewall
    •OpenSearch
    •RDS
    •PCI
    •Redshift
    •S3
    •SageMaker
    •SecretsManager
    •SNS
    •SQS
    •SSM
    •WAF 38種類︕

    View Slide

  32. 32
    Security Hubの運⽤ポイント
    • 全AWSアカウント全リージョンで有効化
    • 東京リージョンに集約
    • 「AWSの基本的なセキュリティのベストプラクティス」
    を適⽤する
    • ⾒つかる問題を解決する
    • 新しい問題が出たら通知する
    • みんなが⾒える場所に通知してみんなで直す
    • スコアが⾒えるのでみんなで達成しやすい

    View Slide

  33. 33
    合わせて読みたい
    Security Hubの解
    説とどんな⾵に運⽤
    したらいいかをまと
    めています
    https://dev.classmethod.
    jp/articles/aws-security-
    operation-with-
    securityhub-2021/

    View Slide

  34. 34
    ⾃動修復ソリューション
    マルチアカ
    ウント連携
    した修復の
    仕組みを展
    開できる

    View Slide

  35. 35
    3. クラウドセキュリティの
    メリットを最⼤限享受するには

    View Slide

  36. 36
    AWSセキュリティの考え⽅
    AWSに関わる全ての⼈が
    セキュリティ担当者
    全員でセキュリティの課題に取り組む

    View Slide

  37. 37
    AWS Security Hubのセキュリティチェック
    このスコアを良くし
    ていくのは開発者を
    中⼼に取り組む
    AWSアカウント単
    位で修正してもらう
    通知はみんなの⾒え
    るところで⾏う
    同じ違反を防ぐ事が
    できる

    View Slide

  38. 38
    周りの巻き込み⽅
    セキュリティスコアの
    全体通知

    View Slide

  39. 39
    セキュリティスコアはAPIで取得できない
    ので無理やり取
    得してみた
    https://dev.class
    method.jp/article
    s/get-control-
    finding-
    summary-by-
    boto3/

    View Slide

  40. 40
    セキュリティスコアランキングを掲載
    スコアが低い順じゃなくて、⾼い順Top10とかポジ
    ティブなランキングにする

    View Slide

  41. 41
    100%達成を盛⼤に祝う
    ベースラインが100%の場合は達成した時に盛⼤に祝

    View Slide

  42. 42
    合わせて読みたい
    AWS上級者となっ
    て会社全体のセ
    キュリティを向上
    する仕組みづくり
    をするヒントはこ
    ちら参照
    https://dev.classme
    thod.jp/articles/dev
    io-2022-how2make-
    strongest-aws-
    secure-accounts/

    View Slide

  43. 43
    クラウド利⽤が広範囲になってきたら
    CCoEなどクラウドを推進する
    組織づくりを頑張る

    View Slide

  44. 44
    CCoEの例

    View Slide

  45. 45
    合わせて読みたい
    CCoEの1つの実装例
    ⽴ち上げ過程やどの
    ような⽅針で推進し
    たか解説されていま

    https://dev.classmethod.j
    p/articles/shionogi-
    devshow/

    View Slide

  46. 46
    合わせて読みたい
    クラウド推進する
    組織に必要なこと
    が書いてある
    責任者も担当者も
    必読
    https://dev.classmetho
    d.jp/articles/bookrevie
    w-ccoe-best-practice/

    View Slide

  47. 47
    合わせて読みたい
    セキュアなAWS設
    定と実運⽤の例
    デフォルトでセキュ
    リティを強化した
    AWSアカウント発
    ⾏も無償でしてます
    (宣伝)
    https://dev.classmethod.
    jp/articles/aws-security-
    operation-bestpractice-
    on-secure-account/

    View Slide

  48. 48
    セキュアアカウントの構成

    View Slide

  49. 49
    まとめ

    View Slide

  50. 50
    まとめ
    • 基本のセットアップをやる
    • Security Hubをポチッと有効化してAWS
    基礎セキュリティのベストプラクティスを
    超絶活⽤する
    • 全員で取り組める仕組みを作り巻き込む

    View Slide

  51. 51

    View Slide