AWSセキュリティ成熟度モデルで自分たちのAWSセキュリティレベルを説明できるようにしてみよう

Transcript

1. AWSセキュリティ成熟度モデルで ⾃分たちのAWSセキュリティレベルを 説明できるようにしてみよう 2023/09/26 1

2. 2 こんにちは、⾅⽥です。 みなさん、 AWSのセキュリティ対策してますか︖(挨拶

3. 3 ⾃⼰紹介 ⾅⽥佳祐(うすだけいすけ) ・クラスメソッド株式会社 / AWS事業本部 シニアソリューションアーキテクト セキュリティチームリーダー 2021 APN

   Ambassador 2023 APN AWS Top Engineers (Security) AWS Security Hero (2023~) ・CISSP ・Security-JAWS運営 ・好きなサービス: Amazon GuardDuty AWS Security Hub Amazon Detective みんなのAWS (技術評論社) Amazon GuardDuty AWS Security Hub Amazon Detective

4. 4 アジェンダ • セキュリティ対策頑張ってるってどうやっ て⾔えばいいんだ︖ • AWSセキュリティ成熟度モデルとは • 使い⽅・コツ •

   説明できたら次のステップ • まとめ

5. 5 セキュリティ対策頑張ってるって どうやって⾔えばいいんだ︖

6. 6 「AWSセキュリティ対策ちゃんとやってる︖」 • どうやって答える︖ • 「CloudTrail / Config設定してます」 • 「GuardDuty

   / Security Hub有効化してます」 • 「S3公開してません」 • 「IAM最⼩権限を意識してます(できてない)」 • 「アラート受け取って運⽤してます」 • 「セキュリティスコア維持しています」 • 網羅性やできている度合いを表現するのは難しい

7. 7 こんな指標があるといいよね

8. 8 ⾜りないところがよく分かる すぐ強化する ポイント

9. 9 合わせて読みたい 「AWSセキュリ ティ成熟度モデ ル」によってこの グラフを作れる AWSセキュリテ ィ対策の現在地を 確認できる https://dev.classmeth

   od.jp/articles/intro- aws-security- maturity-model/

10. 10 AWSセキュリティ成熟度モデルとは

11. 11 AWSセキュリティ成熟度モデルとは AWSから提供されている (AWS Security Maturity Model) 9つのセキュリティカテゴリ と4段階のフェーズに区切っ てセキュリティ対策をマッ

    ピングしたフレームワーク https://maturitymodel. security.aws.dev/en/m odel/

12. 12 CAF9つのセキュリティカテゴリ AWS クラウド導⼊フレームワーク(CAF)セキュリティ: https://docs.aws.amazon.com/ja_jp/whitepapers/latest/overview-aws- cloud-adoption-framework/security-perspective.html セキュリティ ガバナンス セキュリティ保証 アイデンティティと

    アクセス管理 脅威検出 脆弱性管理 インフラ保護 データ保護 アプリケーション セキュリティ インシデント対応

13. 13 4段階のフェーズ Phase1: クイック ウィン Phase2: 基礎 Phase3: 効率化 Phase4:

    最適化 Phase2: 基礎のレベルまでできていれば ⼀通り最低限はできているとしてOK(⾅⽥の感覚) Phase1: クイックウィンは⽂字通りすぐに実施できる 設定やサービスの有効化がメイン まずはこれをすぐ完了させましょう

14. 14 AWSセキュリティ成熟度モデルのいいところ • マトリクス表で俯瞰して確認しやすい • AWSに最適化されている • Phase1はクラウドらしくすぐできる効果の⾼いもの • 幅広いセキュリティのカテゴリを扱っている

    • セキュリティガバナンス・IAM・アプリケーションも • 4段階と現実的に使いやすい • アセスメント⽤のExcelなどが公開されている

15. 15 アセスメント⽤Excel⼊⼿⽅法 https://maturitymodel.security.aws.dev/en/assessment-tools/ クリックして ダウンロード

16. 16 使い⽅・コツ

17. 17 具体的な項⽬(推奨事項) 取り組むべき推奨事項は例えばこんなものがある アイデンティティと アクセス管理 Phase1: 多要素認証 データ保護 Phase1: Amazon

    S3の パブリックアクセスの 禁⽌ セキュリティガバナンス Phase 2: Cloud Securityの トレーニングプラン 脆弱性管理 Phase 3: アプリケーションの 脆弱性管理 アプリケーション セキュリティ Phase 2: コードに シークレットを 埋め込まない インシデント対応 Phase 4: プレイブックの ⾃動化

18. 18 AWSセキュリティ成熟度モデルとの付き合い⽅ • AWSセキュリティ成熟度モデルはあくまで指標 • 組織単位の作りだがプロジェクト単位でも使える • Phase3,4は必ずしも満たす必要はない • 「⼀般的な⽬指すべき理想の状態の1つ」と考える

    • 各推奨事項を詳細まで理解しようとするとある程度 AWSセキュリティの専⾨性が必要 • 社内にいるAWS Certified Security - Specialty有資格者 などが⽀援するといい • 有資格者がいなければ取得する(重要)

19. 19 アセスメントツールの使い⽅ 英語なので翻訳してから使う コメントは できてない部分の 状況を記述して 改善時にわかる ようにする

20. 20 アセスメントのやり⽅ • 最初にどのようなスコープを対象にして評価するか を定義する • 組織全体 or プロジェクトどちらか •

    対象のAWSアカウントはどれか • Phase順に並んでいるので上から順に進めて、 「Phase 2: 基礎」まで⼀通り⼊⼒できればそこで ⽌めても問題ない • だいたいここまでで問題があれば、それに対応していく ことを優先する

21. 21 アセスメント結果の確認 ⼊⼒するとリザルトシートでこんな感じに⾒れる このままでもいいけどアレンジすると分かりやすい

22. 22 こんな感じ(再掲)

23. 23 より細かいコツ • 各推奨事項について熟知していくと、項⽬を調整し たくなる • 私の推奨する変更例 • 4.9.2 Amazon

    Detective: 根本原因の分析はPhase 2へ • 2.5.2 アプリケーションの脆弱性管理はPhase 3へ • 3.6.3 送信トラフィックの制御はPhase 4へ • 脆弱性管理のPhase 1が無いので、Amazon Inspector の有効化を追加する • インフラ保護にコンテナセキュリティの観点が無いので Phase 3に追加する

24. 24 説明できたら次のステップ

25. 25 アセスメントが終わったらどうする • 分かりやすいグラフが出⼒できて、どこが強くどこ が弱いか、セキュリティ対策の現在地を確認できた • 基本は弱い部分をまず補うところから • Phase 2までは⼀通り上げることを推奨

    • その後は⾃由 • Phase 3や4を⽬指してもいい • 組織やプロジェクトの特性を考え伸ばしたいところに取 り組む考えもある • 別プロジェクトに横展開したり、全体の仕組整備もあり • ⼀回取り組めば全体感を理解し、⾊々改善に取り組める

26. 26 次のステップ例 • Phase 1: クイックウィンをすべての環境ですぐに 対応する • 新規環境を作るときのベースラインにもする •

    セットアップの⼿順やスクリプトも⽤意する • ガイドラインや教育環境を整備する • 基準を作って整えて⾏きたくなる • 対策はAWSの設定だけではなく、各プロジェクトにもビ ジネスを理解したAWSセキュリティの有識者を増やして いく必要性を感じる

27. 27 まとめ

28. 28 まとめ • AWSセキュリティ成熟度モデルを活⽤して、組織や プロジェクトのセキュリティの現在地を確認しよう • 幅広いセキュリティについて確認できる • 細かいアレンジなどは必要なのでアセスメントシートを 育てるとより良い

    • 特にグラフはわかりやすくしよう • 現在地を把握して説明できるようになったら次へ • 予算も確保しやすくなる • 強化するのはもちろん、全体で標準化したり仕組みづく りしたりと改善に繋げよう

29. 29 宣伝

30. 30 AWSセキュリティ強化プログラム始めました • AWSセキュリティ成熟度モデルのアセスメントから ⼀緒にやります(推奨項⽬の完了条件など調整済み) • 未達成の推奨項⽬を達成する⽅法がまとまっており 次のステップも⽀援します(詳しくはウェブで) AWSセキュリティ強化プログラム: https://classmethod.jp/aws/services/security-enhancement-program/

31. 31