re:Growth 2020にて登壇した資料です。 https://dev.classmethod.jp/news/201218-regrowth-online/ 詳細は下記ブログで https://dev.classmethod.jp/articles/aws-security-2020-with-business/
セキュリティの新サービスアップデート紹介(仮)2020/12/18AWS事業本部 コンサルティング部⾅⽥佳祐#cmregrowth
View Slide
2⾃⼰紹介⾅⽥佳祐クラスメソッド株式会社・AWS事業本部ソリューションアーキテクトセキュリティチームリーダーAWS公認インストラクター・Security-JAWS運営・好きなサービス:Amazon DetectiveAmazon Detective
3なんで(仮)なのか︖今年のセキュリティ系アップデートは渋い
4ざっくり新サービス・アップデート⼀覧• 事前• AWS Nitro Enclaves• AWS Gateway Load Balancer• AWS Network Firewall• AWS Transfer FamilyのAWS WAFサポート• AWS Control Tower v2.5• AWS SignerによるAWS Lambdaのコード署名• re:Invent• Amazon CodeGuru Security Detector• Amazon DevOps Guru• AWS Audit Manager• Amazon HealthLake• Amazon Route 53がDNSSECに対応
5マネジメント・ガバナンスまで広げるともう少し• CloudTrailイベント⽐較• AWS IAMセルフペースラボ• VPC Reachability Analyzer• AWS SSOのWebAuthn対応• AWS SSO RBAC対応• Amazon S3 強い整合性のある読み込み• AWS SaaS Boost• AWS CloudShell• AWS Systems Manager Change Manager• Fault Injection Simulator• Amazon Managed Service for Grafana• Amazon Managed Service for Prometheus
6去年はどうだったか︖• AWS WAF v2• IMDSv2• S3 Access Point• IAM Access Analyzer• Amazon Detective• Amazon Fraud Detector• などなど
7Amazon Detective• インシデントの調査がめっちゃ捗る• すべての環境で利⽤する無くてはならないサービス• GuardDutyと連携するまだ有効化してない⼈がいたらすぐに有効化
8渋いけどAWS Audit Managerの説明• PCI DSSなどの監査⽤の評価レポート作成ができる• Security HubやCloudTrailなどの証跡を⾃動集約• 収集対象やレポートはカスタマイズ可能
9そもそもみんな監査してる︖(されてる︖)AWS環境を正しく評価されていますか︖
10ここで思い出す事がある
11Andy JassyのキーノートにてクラウドはIT⽀出のうちわずか4%
12うわっ…クラウド利⽤率、低すぎ…
13あなたの会社、クラウド使えてますか︖• 全てのシステムにおいてクラウドの採⽤が可能ですか︖• セキュリティ部⾨・監査部⾨などがクラウド活⽤を抑制していませんか︖
14⼤事なこと• クラウドはビジネスを加速するもの• セキュリティもビジネスを加速するもの• セキュリティがビジネスを遮ってはならない• クラウドでは俊敏性と⾼セキュリティを両⽴できる
15クラウドを活⽤してみんな変わってきている
16事例: ⽇本銀⾏様• (クラウドは)多くの⾦融機関においてシステムを構築する上で不可⽋なもの• (クラウド利⽤のリスク管理は)基本的な点を把握すれば決してハードルの⾼いものではない⾦融システムレポート別冊「クラウドサービス利⽤におけるリスク管理上の留意点」 : ⽇本銀⾏ Bank of Japanhttps://www.boj.or.jp/research/brp/fsr/fsrb201126.htm/
17事例: 塩野義製薬様• 創薬研究でのクラウドHPC環境活⽤• CCoEを⽴ち上げ、セキュリティ・ガバナンスはAWSの各種セキュリティサービスやサードパーティを活⽤ 塩野義製薬の事例から⾒るCCoEの⽴ち上げとDX推進https://dev.classmethod.jp/articles/shionogi-devshow/
18様々な機械学習と物理の新サービス• Amazon Monitron• AWS Panorama Appliance• Amazon Lookout for Equipment• Amazon Lookout for VisionMachine Learning Keynote - AWS re:Invent 2020 01:30:00あたりからのデモ必⾒https://virtual.awsevents.com/media/t/1_07cg4srl/186983933
19圧倒的に変われる⼿段がある
20というわけで本物のタイトル「クラウドを活⽤するための最新のAWSセキュリティ2020」
21アジェンダ• AWSセキュリティのための10のこと• ヘルスケアのデータレイク• クラウドの監査
22まずはSecurityリーダーシップセッションからAWSセキュリティのための10のこと
232020年版: AWSセキュリティのための10のこと⾊々変わった AWS security: Where we’ve been, where we’re going - AWS re:Invent 2020https://virtual.awsevents.com/media/t/1_0y7tcdgx/189146863
242020年版: AWSセキュリティのための10のこと1. AWS Organizationsを利⽤する2. (セキュリティサービスを駆使して)使⽤状況を理解する(改善する)3. 暗号サービスを利⽤する(通信経路・保管時の暗号化をする、全てを暗号化する)4. ⼈のアクセスのためにフェデレーションを利⽤する(新規・既存のユーザーDBとSSOする)5. 全てのS3でブロックパブリックアクセスを利⽤する
252020年版: AWSセキュリティのための10のこと6. エッジを保護する(CloudFront / WAF / Shieldなど)7. パッチを適⽤する(セキュリティの野菜︕)8. 多層防御する(内部が緩いのもだめ)9. 透明性のあるリーダーシップ(ビジネスを阻害しないセキュリティを実践する)10.様々な採⽤とトレーニングを⾏う(セキュリティ⼈材へ投資する)
26Amazon HealthLake(プレビュー)• さまざまなシステム (電⼦カルテ、検査システム、医療画像リポジトリなど) の互換性のないフォーマットを取り込んでFHIRに対応したタグ付けや構造化• 機械学習などの適⽤を簡単に クラウドにヘルスデータを格納し、変換と分析を⾏う Amazon HealthLake |Amazon Web Services ブログhttps://aws.amazon.com/jp/blogs/news/new-amazon-healthlake-to-store-transform-and-analyze-petabytes-of-health-and-life-sciences-data-in-the-cloud/
27Cloud Audit Academy(クラウド監査アカデミー)• クラウドのセキュリティを監査するためのスキルとベストプラクティスを学ぶコンテンツ• クラウドおよび業界にとらわれない学習から始まる• 無料のデジタルトレーニングもある(3時間、英語)• ⽇本語化待ってます• https://aws.amazon.com/compliance/auditor-learning-path/• ⽇本語のページはまだ古いから⾔語をEnglishに
28Compliance as Code(CaC)• Infrastructure as Code(IaC)の監査版• 監査をプログラムで管理・⾃動化する• 例:• AWS ConfigでSecurity Groupのチェック• SSHのポート開放を検知• ⾃動修復• セッションあるよ• Achieve compliance as code using AWS Config• https://virtual.awsevents.com/media/1_92m30ogx
29まとめクラウドを使って⾼いセキュリティを保ちつつビジネスを加速しよう