初めてAWSを使うときのセキュリティ覚書〜初心者支部編〜

Transcript

1. 初めてAWSを使うときの セキュリティ覚書 〜初心者支部編〜 2025/09/11 1

2. 2 こんにちは、臼田です。 みなさん、 AWSのセキュリティ対策してますか？(挨拶

3. 3 自己紹介 臼田佳祐(うすだけいすけ) ・クラスメソッド株式会社 / クラウド事業本部 シニアソリューションアーキテクト セキュリティチームリーダー 2021 APN

   Ambassador 2024 APN AWS Top Engineers (Security) AWS Security Hero (2023~) ・CISSP ・Security-JAWS運営 ・好きなサービス: Amazon GuardDuty AWS Security Hub Amazon Detective みんなのAWS (技術評論社) Amazon GuardDuty AWS Security Hub Amazon Detective

4. 4 セキュリティ初心者向けの内容 というわけで参加者アンケート！

5. 5 参加者アンケート 1. 普段からセキュリティに関わっている方 2. JAWS-UG初心者支部に初参加の方 3. JAWS-UGのイベント自体始めての方

6. 6 セッションの聞き方 思ったことをガンガンつぶやこう！ ハッシュタグ: #jawsug_bgnr

7. 7 概要

8. 8 AWSセキュリティの基礎の話 AWSのセキュリティ対策をしていくには まず基礎が大切 初めての方もそうでない方も AWSとセキュリティの基礎を押さえよう

9. 9 本日の内容 初めてAWSを使うとき のセキュリティ覚書 〜利用者編〜を 抜粋して解説します 詳細は記事があるので 聞くのに集中しておｋ

10. 10 アジェンダ 1. AWSセキュリティとは 2. AWSセキュリティの基礎 3. 最初に知っておくAWSの安全な使い方

11. 11 1. AWSセキュリティとは

12. 12 AWSセキュリティ = AWS + セキュリティ セキュリティはすべての物事に 基本的に備わっている機能 AWSはたくさんのIT技術を活用しているので まずはIT技術の基礎を学習するところから始める

    必要がある

13. 13 そもそもセキュリティとは すべての物事に基本的に備わっている機能 つまり、セキュリティが無いとそのものが破綻する 例えば、鍵のない家に住めますか？ セキュリティは必要な機能 一方で、防犯カメラは必要ですか？警備員は？ 必要なレベル感はある 守るべきものによってそれは変わる

14. 14 情報セキュリティの目的 ITのセキュリティは情報セキュリティという ITの目的はビジネス セキュリティの目的はビジネス(企業の場合)

15. 15 情報セキュリティの目的 守るべきものを守り、守るべきものにあったセキ ュリティ対策を行う 例えばビジネスの収益が少ない仕組みに高額なセ キュリティソリューションは必要ない

16. 16 なぜクラウドを使うのか 従来のオンプレミスと比較して すぐにリソース調達できる俊敏性 使った分だけ従量課金 様々な機能を組み合わせて作れる サイジング不要 展開・運用の自動化 など様々なメリットがある！ 詳細は10の理由を参照

17. 17 2. AWSセキュリティの基礎

18. 18 情報セキュリティの3要素 • 機密性 • 守るべきものが第三者から見られないようにする • パスワード設定や暗号化で情報を守る • 完全性

    • 守るべきものが破壊や改ざんされないようにする • ウイルスや不正アクセスによる改ざんを防ぐ • 可用性 • 守るべきものを必要なときに利用できるようにする • システム障害により使えなくならないよう対策する

19. 19 情報セキュリティの責任 情報セキュリティの責任は すべての人 が持たなければならない

20. 20 情報セキュリティの責任 具体的に考えてみる • 情報システムを使う人の責任は？ • システムにログインするパスワードをメモした紙をうっ かり落としたりしたらダメ • 経営者の責任は？

    • 必要なコストを掛けてセキュリティ対策を行わせる責任 を持つ • 経営者が直接実施する必要はないが必要な時間やコスト を当てる必要がある • それぞれの範囲ですべての人が責任を持つ

21. 21 AWSにおけるセキュリティの責任 責任共有モデルで利用者と AWSで責任を持つ範囲を明 確化している AWSはプラットフォームと してのAWS自体のセキュリ ティに責任を持つ OS/ミドルウェア/アプリケ ーションの設定や維持運用、

    その上に保存されるデータの セキュリティも利用者の責任

22. 22 AWSでできることは広い 様々なサービスがあり何でもできる これはメリットだが気をつけることも増える Amazon SES メールを送る Amazon S3 オブジェクトを

    保管する Amazon RDS リレーショナル データベース

23. 23 AWSの特性からくるリスク 1. インターネットを経由して利用するサービスである ため、常に外部にさらされるリスクがある • 設定を誤ってしまうと、AWSのアカウント自体や、 AWS上に作成したリソースに第三者が侵入できる可能 性がある 2.

    従量課金であるため、際限なく金銭コストを浪費し てしまうリスクがある • AWS上で非常によくある事故の例としては、1つ目のリ スクが顕在化し第三者がAWSアカウントに侵入した後、 大量のサーバーを作成されコインマイニングされる

24. 24 AWSにおけるリスクの低減・防止 この2つのリスクはいずれも、セキュリティの基本であ り原理原則の1つであるアクセス制御によってリスクを 低減し事故を防止できる アクセス制御は当たり前に感じられるかもしれませんが あたりまえのことを適切に実施することがセキュリティ の基本 しかし具体的にどう実現するかは知識と経験が必要

25. 25 3. 最初に知っておくAWSの安全な使い方

26. 26 最初に知っておくべき3つのアクセス制御 まず初めは下記3つのアクセス制御から覚えよう 3.1. AWS環境へのIAMによるアクセス制御 3.2. S3に保存されているデータへのアクセス制御 3.3. EC2に対するネットワークのアクセス制御

27. 27 3.1. AWS環境への IAMによるアクセス制御

28. 28 AWSのセキュリティは IAMに始まり IAMに終わる by 臼田

29. 29 AWSアカウント • AWSアカウントはAWSアカウントID(12桁の数字) で識別する • AWSアカウントは論理的な境界となりアカウント間 の操作やデータの移動がデフォルトでできない AWS Cloud

    AWS Cloud S3バケット ユーザー デフォルトでアクセスできない

30. 30 2つのユーザー ルートユーザーに関するベストプラクティスは下記参照 AWSアカウントのルートユーザーのベストプラクティス - AWS Identity and Access Management

31. 31 IAMの4つのリソース • IAMユーザー • IAMグループ • IAMポリシー • IAMロール

    ロールだけ少し 分かりづらい

32. 32 IAMロールはAWSリソースが使う IAMロールは人と同 じようにEC2インス タンスやLambda関 数などのAWSリソー スが使う その人が「何をして いいか」を設定する のと同じように考え

    て作る ※例外あり

33. 33 AWSの2つの操作方法 それぞれ使うクレデ ンシャルが違う 目的に応じて使い分 ける

34. 34 IAM利用時のよくある事故 1番よくある事故: IAMユーザーのアクセスキー /シークレットアクセスキー をプログラムに直接埋め込み、 そのプログラムをGitHubな どパブリックな場所に公開し てしまう 公開後10分で攻撃が始まった

    事例があります

35. 35 最初に知っておくIAMベストプラクティス • アクセスキーをプログラムに直接埋め込んではいけない • 認証情報をプログラムに直接埋め込んではいけない • 最小権限の原則を意識する • IAMユーザーには必ずMFAを設定する

    • IAMユーザーは一意に払い出す • 複数AWSアカウントで一人のIAMユーザーを複数発行しない • IDは集約管理する • アクセスキーは極力利用しない その他IAMのベストプラクティスについてより詳しく知りたい方はIAM でのセキュリティのベスト プラクティス - AWS Identity and Access Managementを参照

36. 36 3.2. S3に保存されている データへのアクセス制御

37. 37 S3のよくある事故 S3バケットはデフォルトでは非公開だが公開可能 アップロードミス/設定ミスで情報漏洩するリスクあり Webコンテンツ配信用 S3バケット Webコンテンツ 機密情報 ユーザー 機密情報保管用

    S3バケット 機密情報 ユーザー 公開されたS3バケットに誤って 機密情報をアップロードする 非公開のS3バケットを 誤って公開する

38. 38 S3におけるデータのアクセス制御 S3のデータには2種類の アクセス制御が混在する • IAMによるアイデンテ ィティベースアクセス 制御 • S3によるリソースベー

    スアクセス制御

39. 39 最初に知っておくS3ベストプラクティス • データを分類し適切なアクセス制御を施す • 機密情報を扱うAWSアカウントを分割する • ブロックパブリックアクセスでS3バケットの公開を防止す る •

    バケットポリシーで最小権限を実現する • 重要なデータはバックアップを取得する • 機密情報など誰が閲覧・変更したかが重要なS3バケットで はアクセスログを記録する その他Amazon S3 のセキュリティのベストプラクティス - Amazon Simple Storage Serviceも参照

40. 40 3.3. EC2に対する ネットワークのアクセス制御

41. 41 EC2利用時のよくある事故 • EC2をパブリックなネット ワークに配置 • ネットワークのアクセス制 御を誤る 第三者にサーバーへの侵入を 許し、マルウェアに感染させ

    られたり、さらなる攻撃の踏 み台にされる場合がある

42. 42 EC2におけるネットワークのアクセス制御 VPC上で EC2など に利用で きるアク セス制御 は • SG

    • NACL

43. 43 最初に知っておくEC2ベストプラクティス • SSHを0.0.0.0/0で許可しない • 脆弱なプロトコルを利用しない • セキュリティグループのルールにはセキュリティグ ループIDを活用する •

    システムごとVPCレベルで分割する • 最新のパッチを適用する その他Amazon EC2 でのインフラストラクチャセキュ リティ /Amazon EC2 のベストプラクティス/VPC の セキュリティのベストプラクティスも参照

44. 44 まとめ

45. 45 まとめ • AWSとセキュリティの目的を理解する • ビジネスのためにクラウドを使い、ビジネスのためにセ キュリティ対策する(企業の場合) • AWSとセキュリティの基礎から理解する •

    機密性・完全性・可用性を保つためすべての人が責任を 持って取り組む • AWSのアクセス制御からセキュリティを考える • 利用するものの原理原則を理解し適切に使う • AWSの情報はたくさんあるので調べてから使う

46. 46 おまけ

47. 47 管理者編もあるよ AWSの管理者側の方は こちらも参照してくだ さい https://dev.classmethod. jp/articles/aws-security- guide-for-beginners- admin/

48. 48 宣伝: AWSセキュリティの初心者向け勉強会 Security-JAWSでは定常的なAWSセキュリティ 学習の場としてmini Security-JAWSを開催しています だいたい隔週土曜日10-12時開催 https://s-jaws.connpass.com/