Classmethod Showcase 2022の登壇資料です。 詳細な解説は下記をご確認ください。 https://dev.classmethod.jp/articles/classmethos-showcase-2022-start-aws-with-security/
セキュリティ⾯から考えるAWSの始め⽅2022/10/26クラスメソッド株式会社AWS事業本部⾅⽥佳祐
View Slide
2こんにちは、⾅⽥です。みなさん、AWSのセキュリティ対策してますか︖(挨拶
3⾃⼰紹介⾅⽥佳祐(うすだけいすけ)・クラスメソッド株式会社 / AWS事業本部シニアソリューションアーキテクトセキュリティチームリーダーAWS公認インストラクター2021 APN Ambassador2022 APN AWS Top Engineers (Security)・CISSP・Security-JAWS運営・好きなAWSサービス:GuardDuty / DetectiveSecurity HubみんなのAWS(技術評論社)
4セッションテーマセキュリティ的に安⼼してAWSを利⽤する
5セッション対象者• 所属• AWSをこれから利⽤する企業の⽅• AWS利⽤をあまり促進できていない企業の⽅• 役割• 現場の開発者• 仕組みづくりをしている⽅• 情シス / DX担当• 役員• つまり⼤体全員
6アジェンダ0. ⻑い前説1. AWSとセキュリティの基本2. AWSプロジェクトの始め⽅3. クラウドに対応した組織の作り⽅
70. ⻑い前説
8いきなり質問AWSのセキュリティに不安がありますか︖
9AWSのセキュリティで不安なこと(例)• そもそもの例• クラウド利⽤時の情報漏えい事故を⽿にした• インターネットは危険• データを持ち出したくない• 具体的な例• 正しい設定がわからない• ベストプラクティス通りできているかわからない• もしかしたら不正利⽤されているかも
10いきなり質問2みなさんの会社の機密情報は「今」安全ですか︖
11「今」安全か︖• そもそも機密情報はなんですか︖• どこに保存されていますか︖• 誰がアクセスしていい情報ですか︖• 実際誰がアクセスしていますか︖• 保存場所の設定は意図したとおりになっていますか︖• 今正常に利⽤できますか︖• 誰が責任者ですか︖
12「今」安全か知るためには細かく把握する必要がある
13「今」安全か確認するための要素(⼀例)• 情報分類の定義• データとエンティティの識別• 認証認可• モニタリング• 証跡管理• 責任範囲の定義
14細かく把握できると安全であることを説明できて安⼼できる
15AWSのセキュリティに不安があるのはAWSのセキュリティをよく知らないからあるいは今AWS環境がどうなっているか説明できないから
16AWSではセキュリティの説明が可能• AWSではAPIで各設定を⾏い、設定状況もAPIで確認可能(可視性がある)• API経由で変更されたらそれをすべて記録(監査可能である)• すべてのAPIアクションを細かく制御でき、禁⽌したアクションの実⾏も検知できる(制御可能である)AWSはセキュリティと親和性が⾼い
17説明可能なセキュリティの例• 絶対外部からアクセスできない設定が可能• 設定が保持されていることの確認や変更防⽌・アラートが可能データ保存• SSHポートがグローバルに開放されているか確認可能• 不必要なポート開放の検知・⾃動修復が可能ネットワークアクセス• 操作者の権限を1アクション単位で定義可能• 作成した権限がポリシーを満たしているか⾃動チェック可能管理アクセス制御
18AWSではセキュリティを素早く正確に展開• API経由で定義された設定を正確に、繰り返し同じように展開可能(正確性・再現可能性がある)• 定義通り素早く全環境に⼀括展開可能(⾃動化可能・俊敏性がある)• すべての設定を常に監視し違反をすべて洗い出すことが可能(全数チェック可能)AWSはセキュリティと親和性が⾼い
19AWSのセキュリティを理解して安⼼してAWSを利⽤できるようにしよう
20合わせて読みたいセキュリティ対策はだいたいここに全部あるhttps://dev.classmethod.jp/articles/aws-security-all-in-one-2021/
211. AWSとセキュリティの基本
22AWSの前にセキュリティの基本から
23なぜセキュリティの基本が必要か• AWS上のセキュリティも考え⽅は変わらない• セキュリティの原則に従う必要があるセキュリティの知識+AWSの知識
24セキュリティの基本セキュリティ対策のためにまずやること• 資産を洗い出す• 脅威とリスクを分析する• 責任を明確にする
25セキュリティで守るもの守りたいものはなんですか︖
26守りたいもの(⼀部のざっくりした視点)• データ• 機密情報• 顧客データ• 個⼈情報• クレジットカード• コンテンツ• 利⽤者• 個⼈情報• 投稿したコンテンツ• 会社• 業務システム• 会社⾃体• 企業イメージ• 従業員• 資⾦
27守りたいものはどこにあるか︖(例えば)• サーバー• データベース• ストレージ• PC• 物理的な紙
28守るものを把握する• どこにあるのか• 誰が責任者か• 誰が管理しているのか• 誰がアクセスできるのか• 今すぐに状態がわかるかすべて把握できていないと守れない資産の洗い出し・特定して管理する
29脅威とリスクを理解するどんな脅威がありますか︖
30情報セキュリティで扱う脅威(⼀例)• 情報漏えい• ⾦銭の搾取• サービス停⽌• 改ざん• なりすまし• 権限昇格
31脅威を理解しリスクを理解する• 脅威と脆弱性がかけ合わさりリスクが発⽣する• 資産の価値でリスクの⼤きさが変わる• 脆弱性を減らすことでリスクを⼩さくできる• リスクに応じてどのように対策するか検討する資産脆弱性 脅威リスク
32リスクを知り対策を知る(⼀例)• リスク: サーバーのデータが漏洩する• 根本対策: アクセス制御を徹底する• 補助対策: DLPを導⼊する根本対策と補助対策で順序を間違えないようにする
33設計にセキュリティをリスクがわかれば設計に反映できる• アクセス権限の洗い出し• 許可払い出しフローの管理• 不要なサーバーポートの確認• ソフトウェアの脆弱性管理• ログの収集• 送信元IPの集計• 不審なIPのアラート
34セキュリティの責任は誰にありますか︖
35セキュリティは誰の責任︖• セキュリティ担当者だけではない• 開発者• 運⽤者• 監査⼈• 経営者• などなど• つまり全員セキュリティ担当• 必要な⼈が必要な範囲⾏う(責任範囲)
36セキュリティの原則いろいろ• 最⼩権限• 多層防御• 識別・認証・認可• システムの堅牢化• フェールセーフ• シンプルにする• 職務の分離• Design for Failure• ⼈は間違える• などなど基本はいっしょ
37既存のセキュリティ対策を活かす• セキュリティ対策の根本は変わらない• 原則に従った対応を既存の仕組みやリソースと組み合わせて活⽤する• IDシステム• 情報の分類• 情報セキュリティポリシー• 情報システム部の役割※古いものがあれば更新する
38合わせて読みたい情報セキュリティについて深く知⾒のあるエンジニアの育成には情報処理安全確保⽀援⼠の試験は丁度いいかも網羅的で原理原則と技術のバランスがいい最新の技術もある個⼈的にはこの教科書が好き試験受かってからも何度も読んでるhttps://www.amazon.co.jp/dp/4798173193/
39AWSの基本
40そもそもなぜAWSを利⽤するのかAWSのメリットはなんですか︖
41AWSが選ばれる10の理由メリットを理解して有効に活⽤するhttps://aws.amazon.com/jp/aws-ten-reasons/
42マネージドサービスとは︖• インフラを気にせず機能を利⽤できる• やりたいことに注⼒できる
43責任共有モデル明確な責任範囲がある
44責任共有モデルの詳細サービスによって責任分界点が違うマネージドサービスはAWS管理部分が多くやりたいことに集中できる顧客責任部分も丸投げではなく便利な仕組みが提供されている
452. AWSプロジェクトの始め⽅
46AWSプロジェクトの始め⽅• まずはAWSの特性や使い⽅を理解するところから• 社内で最初にAWSプロジェクトを始める担当者にはこれらをきちんと押さえてもらいましょう
47AWS上で発⽣する脅威• 誤った情報の公開・アクセス許可• AWSはローカルPCの環境や社内の検証環境ではない• 簡単に外部に公開して迅速に展開できる基盤• 権限不備で情報漏えいが起きたり• 不正な攻撃者がアカウントを乗っ取ることも• 資⾦の浪費• 従量課⾦で安く使い始められるけど、適切に管理しないと請求がすごいことに
48適切に脅威を把握し適切に利⽤する
49合わせて読みたい「AWS利⽤開始時に最低限おさえておきたい10のこと」最初に知るべきことがまとまっている公式の資料https://pages.awscloud.com/event_JAPAN_at-least-10-ondemand.html?trk=aws_event_page
50合わせて読みたいやることはここにまとまっていますhttps://dev.classmethod.jp/articles/aws-baseline-setting-202206/
51厳密なアクセス制御とロギングAWSの操作はAPI経由APIはIAMによりアクセス制御され、CloudTrailによりロギングされる必ずリクエスト毎検証される(リアルタイムの評価、リプレイ攻撃の防⽌)APIIAMアクセス制御認証認可ユーザー リソースCloudTrailAPIロギング証跡管理整合性管理
52AWS Well-Architectedフレームワーク6つの柱に基づいたベストプラクティスを理解できるセキュリティの柱もあり
53合わせて読みたい初めて読む⼈はこのブログから読むとよく理解できるhttps://dev.classmethod.jp/articles/aws-well-architected-guide2022/
54AWSを利⽤する⼤前提すべてのAWS利⽤者はAWSの基本的なセキュリティを理解する必要がある
55無料のデジタルトレーニングを活⽤する• すべてのAWS利⽤者に以下を受講してもらう• Introduction to AWS Identity and AccessManagement (IAM) (Japanese) (⽇本語吹き替え版)• 10分の簡単なIAMの概要• https://explore.skillbuilder.aws/learn/course/external/view/elearning/5843/introduction-to-aws-identity-and-access-management-iam-japanese-ri-ben-yu-chuiki-tie-ban• AWS Foundations: Securing Your AWS Cloud(Japanese) (⽇本語吹き替え版)• 50分のAWSセキュリティの基本• https://explore.skillbuilder.aws/learn/course/internal/view/elearning/1356/aws-foundations-securing-your-aws-cloud-japanese-ri-ben-yu-chuiki-tie-ban
56合わせて読みたいAWS Skill Builderで無料のEラーニングがたくさんあるので活⽤するhttps://dev.classmethod.jp/articles/aws-skillbuilder/
57全員理解していないとどうなるか
58実際のインシデントの事例GitHubに乗ってから10分で悪⽤されたNo 時間 状況1 00:00お客様がPoweruser権限のアクセスキーをPublicなGitHubリポジトリにPush2 00:10 当該アクセスキーを利⽤した不正な操作が⾏われる3 00:30AWS様からの連絡を受け、弊社からお客様へアクセスキーが漏洩した旨、および、対応⽅法をご連絡(電話、メール)4 01:00 当該キー経由で作成されたリソースを全て削除5 XX:XX IAMユーザーのアクセスキーをローテーション5 XX:XX IAMユーザーのパスワードをローテーション
59実際のインシデントの事例実際にアクセスキーが漏洩したときに何が起きたか記録したブログhttps://dev.classmethod.jp/articles/accesskey-leak/
60便利に活⽤できるセキュリティサービス
61AWSセキュリティのマネージドサービス• 2つのサービス• AWS Security Hub• AWS環境の設定をセキュリティチェックする• 危険な設定に気づいて是正できる• Amazon GuardDuty• AWS上のログから脅威を検知• セキュリティの問題をいち早く発⾒して通知できる• どちらもポチッと有効化するだけ
62AWS Security Hubのセキュリティチェック直感的なスコア表⽰で達成度がわかりやすい
63⾃動修復ソリューションセキュリティ運⽤の発展型として利⽤できる慣れてきてから利⽤する
64合わせて読みたいSecurity Hubの解説とどんな⾵に運⽤したらいいかをまとめていますhttps://dev.classmethod.jp/articles/aws-security-operation-with-securityhub-2021/
65GuardDutyの検知内容(ほんの⼀部)IAMタイプ• 不正ログイン• 漏洩したクレデンシャル利⽤• CloudTrail無効化EC2タイプ• コインマイニング• C&Cサーバー接続• SSHブルートフォース(受信 or 送信)S3タイプ• 不⾃然なバケット公開(情報漏えい)• Torアクセス
66合わせて読みたいGuardDutyの解説とどんな⾵に運⽤したらいいかをまとめていますhttps://dev.classmethod.jp/articles/aws-security-operation-with-guardduty-2021/
67合わせて読みたいどのようにAWSセキュリティを学んで活かしていくかという話https://dev.classmethod.jp/articles/220408-training-webinar-aws-security-management/
68AWSのメリットを活かして始める• セキュリティ上のメリットはたくさんある• まずは様々なリソースを活⽤して把握する• 便利なマネージドサービスを使う
693. クラウドに対応した組織の作り⽅
70クラウドに対応した組織• AWSの全体管理の仕組みを活⽤する• 組織の形もクラウドに合わせる• 監査・品質管理もクラウドを利⽤する
71AWS全体管理のセキュリティ⼿動の運⽤ではなく⾃動化された仕組みで対応する
72AWSの全体管理AWSでは全体管理をするための仕組みも充実• AWS環境の払い出し時も⾃動化され最初からセキュアにする• AWSアカウント全体にガバナンスを適⽤• 違反を防⽌や検知しもれなく対応
73正しいAWSセキュリティの⽅針• 何でも禁⽌する(ゲートを設ける)と俊敏性を損なう• 危なく無いようにガードレールを設けて、その中で⾃由にしてもらうようにする
74AWS Organizationsとは• 複数のAWSアカウントを束ねる仕組み• OUを定義して配下にアカウントをまとめられる• Service ControlPolicy(SCP)を利⽤して強制的なアクセス制御が可能
75SCPを利⽤したガードレール• SCPの例• 特定リージョン使⽤禁⽌• CloudTrail無効化禁⽌• GuardDuty無効化禁⽌• S3バケット公開禁⽌• タグのないリソース作成禁⽌• https://docs.aws.amazon.com/ja_jp/organizations/latest/userguide/orgs_manage_policies_scps_examples.html• 開発環境 / 本番環境 / 共⽤環境などで使い分けるガバナンスの維持に必要な設定は操作させない
76合わせて読みたいOrganizationsについて必要な知識や関連サービスについて⼀通り説明ありhttps://dev.classmethod.jp/articles/lets-study-aws-organizations-basic/
77AWS Identity Center(旧AWS SSO)AWSアカウントの認証情報を集約できるシングルサインオンの仕組み
78合わせて読みたいよく分かる(かもしれない)図解https://dev.classmethod.jp/articles/aws-sso-wakewakame/
79AWS Control TowerAWSのベストプラクティスに従った構成でガードレールを効かせる仕組みAWSOrganizationsと連携する
80合わせて読みたいControl Towerの必要性や背景、代替案などは全部ここで説明していますhttps://dev.classmethod.jp/articles/jaws-days-2021-control-tower/
81クラウドに最適化するためにCCoEを⽴ち上げる
82CCoEの例
83合わせて読みたいCCoEの1つの実装例⽴ち上げ過程やどのような⽅針で推進したか解説されていますhttps://dev.classmethod.jp/articles/shionogi-devshow/
84合わせて読みたいクラウド推進する組織に必要なことが書いてある責任者も担当者も必読https://dev.classmethod.jp/articles/bookreview-ccoe-best-practice/
85無料のデジタルトレーニングを活⽤する• AWSセキュリティ仕組みづくりに役⽴つコース• AWS Security Fundamentals (Second Edition)(Japanese)• AWSセキュリティ管理の2時間コース• https://explore.skillbuilder.aws/learn/course/external/view/elearning/602/aws-security-fundamentals-second-edition-japanese• Getting Started with AWS Security, Identity, andCompliance (Japanese)• 権限管理や統制の3時間コース• https://explore.skillbuilder.aws/learn/course/external/view/elearning/953/getting-started-with-aws-security-identity-and-compliance-japanese
86合わせて読みたいAWS上級者となって会社全体のセキュリティを向上する仕組みづくりをするヒントはこちら参照https://dev.classmethod.jp/articles/devio-2022-how2make-strongest-aws-secure-accounts/
87監査もクラウド対応する
88セキュリティチェックリストもクラウド対応今までできなかったことが可能• 担当者でブレる条件• サンプリングしてチェック• 低い監査頻度従来の監査• 設定値レベルの明確な条件• 全数チェック• リアルタイムの監査AWSでの監査
89Cloud Audit Academy無料のデジタルトレーニングありますhttps://explore.skillbuilder.aws/learn/course/internal/view/elearning/9931/Cloud-Audit-Academy-%E2%80%93-%E3%82%AF%E3%83%A9%E3%82%A6%E3%83%89%E3%81%AB%E3%81%A8%E3%82%89%E3%82%8F%E3%82%8C%E3%81%AA%E3%81%84-Japanese-クラウドの監査について学ぶためのコンテンツhttps://aws.amazon.com/jp/compliance/auditor-learning-path/
90まとめ
91まとめ• AWSとセキュリティの基本と特徴を押さえて安⼼して利⽤できるよう取り組む• マネージドサービスを活かし楽に全体のセキュリティを強化する• クラウドを利⽤する組織と仕組みを作りよりセキュアな運⽤を⽬指す
92追加の参考情報
93参考セッション1AWS利⽤ガイドラインの策定事例
94参考セッション2クラウド利⽤の促進⽀援
95ガイドライン作成の参考情報汎⽤的に利⽤できるガイドライン参考資料Classmethod Cloud Guidebook作りました• AWS全体管理のガイドライン• AWS利⽤のガイドライン• AWSセキュリティチェックの対応⽅針提供予定です︕
96参考セッション3AWS Control Towerなど全体管理の⽀援
97AWS全体管理の参考情報AWS Organizationsの⽀援してますAWS全体管理の設計から、AWS Control Towerを利⽤したガードレールの整備、運⽤への落とし込みなど⽀援しています。
98AWS⼈材育成参考情報AWS認定トレーニング提供しています初めてAWSを触るところから、具体的なAWSのベストプラクティスを⼿を動かしたりワークショップしながら学習します。セキュリティ管理者向けのコースもあります。
99合わせて読みたい初⼼者から上級者まで様々な⽅が利⽤できるコースを提供していますhttps://dev.classmethod.jp/articles/aws-training-guide2022/
100セキュアアカウントの構成最初からセキュアな状態でAWSアカウントを提供するセキュアアカウントオプションあります最初からこんな感じ
101合わせて読みたいセキュアなAWS設定と実運⽤の例デフォルトでセキュリティを強化したAWSアカウント発⾏も無償でしてます(宣伝)https://dev.classmethod.jp/articles/aws-security-operation-bestpractice-on-secure-account/
102セキュアアカウントの維持セキュアアカウントを既存の環境にも適⽤し、意図しない変更があると⾃動修復するサービスありますポータルより任意で設定可能
cmusudakeisuke
korodroid
fixstars
sbtechnight
kako351
carta_engineering
dskst
xibuka
orgachem
makamaka
colinfay
teckl
iamctodd
philhawksworth
zakiyama
shlominoach
eileencodes
mclloyd
lara
jakevdp
mraible
davidbonilla
scottboms
mza