セキュリティ面から考えるAWSの始め方

Transcript

1. セキュリティ⾯から考える AWSの始め⽅ 2022/10/26 クラスメソッド株式会社 AWS事業本部 ⾅⽥佳祐

2. 2 こんにちは、⾅⽥です。 みなさん、 AWSのセキュリティ対策してますか︖(挨拶

3. 3 ⾃⼰紹介 ⾅⽥佳祐(うすだけいすけ) ・クラスメソッド株式会社 / AWS事業本部 シニアソリューションアーキテクト セキュリティチームリーダー AWS公認インストラクター 2021

   APN Ambassador 2022 APN AWS Top Engineers (Security) ・CISSP ・Security-JAWS運営 ・好きなAWSサービス: GuardDuty / Detective Security Hub みんなのAWS (技術評論社)

4. 4 セッションテーマ セキュリティ的に安⼼して AWSを利⽤する

5. 5 セッション対象者 • 所属 • AWSをこれから利⽤する企業の⽅ • AWS利⽤をあまり促進できていない企業の⽅ • 役割

   • 現場の開発者 • 仕組みづくりをしている⽅ • 情シス / DX担当 • 役員 • つまり⼤体全員

6. 6 アジェンダ 0. ⻑い前説 1. AWSとセキュリティの基本 2. AWSプロジェクトの始め⽅ 3. クラウドに対応した組織の作り⽅

7. 7 0. ⻑い前説

8. 8 いきなり質問 AWSのセキュリティに 不安がありますか︖

9. 9 AWSのセキュリティで不安なこと(例) • そもそもの例 • クラウド利⽤時の情報漏えい事故を⽿にした • インターネットは危険 • データを持ち出したくない

   • 具体的な例 • 正しい設定がわからない • ベストプラクティス通りできているかわからない • もしかしたら不正利⽤されているかも

10. 10 いきなり質問2 みなさんの会社の機密情報は 「今」安全ですか︖

11. 11 「今」安全か︖ • そもそも機密情報はなんですか︖ • どこに保存されていますか︖ • 誰がアクセスしていい情報ですか︖ • 実際誰がアクセスしていますか︖

    • 保存場所の設定は意図したとおりになっています か︖ • 今正常に利⽤できますか︖ • 誰が責任者ですか︖

12. 12 「今」安全か知るためには 細かく把握する必要がある

13. 13 「今」安全か確認するための要素(⼀例) • 情報分類の定義 • データとエンティティの識別 • 認証認可 • モニタリング

    • 証跡管理 • 責任範囲の定義

14. 14 細かく把握できると 安全であることを説明できて 安⼼できる

15. 15 AWSのセキュリティに不安があるのは AWSのセキュリティを よく知らないから あるいは今AWS環境がどうなっているか説明できないから

16. 16 AWSではセキュリティの説明が可能 • AWSではAPIで各設定を⾏い、設定状況もAPIで確 認可能(可視性がある) • API経由で変更されたらそれをすべて記録(監査可能 である) • すべてのAPIアクションを細かく制御でき、禁⽌し

    たアクションの実⾏も検知できる(制御可能である) AWSはセキュリティと親和性が⾼い

17. 17 説明可能なセキュリティの例 • 絶対外部からアクセスできない設定が可能 • 設定が保持されていることの確認や変更防⽌・アラートが可能 データ保存 • SSHポートがグローバルに開放されているか確認可能 •

    不必要なポート開放の検知・⾃動修復が可能 ネットワーク アクセス • 操作者の権限を1アクション単位で定義可能 • 作成した権限がポリシーを満たしているか⾃動チェック可能 管理アクセス 制御

18. 18 AWSではセキュリティを素早く正確に展開 • API経由で定義された設定を正確に、繰り返し同じ ように展開可能(正確性・再現可能性がある) • 定義通り素早く全環境に⼀括展開可能(⾃動化可能・ 俊敏性がある) • すべての設定を常に監視し違反をすべて洗い出すこ

    とが可能(全数チェック可能) AWSはセキュリティと親和性が⾼い

19. 19 AWSのセキュリティを理解して 安⼼してAWSを利⽤できるようにしよう

20. 20 合わせて読みたい セキュリティ対策 はだいたいここに 全部ある https://dev.classmethod.jp /articles/aws-security-all- in-one-2021/

21. 21 1. AWSとセキュリティの基本

22. 22 AWSの前にセキュリティの基本から

23. 23 なぜセキュリティの基本が必要か • AWS上のセキュリティも考え⽅は変わらない • セキュリティの原則に従う必要がある セキュリティの知識 + AWSの知識

24. 24 セキュリティの基本 セキュリティ対策のためにまずやること • 資産を洗い出す • 脅威とリスクを分析する • 責任を明確にする

25. 25 セキュリティで守るもの 守りたいものはなんですか︖

26. 26 守りたいもの(⼀部のざっくりした視点) • データ • 機密情報 • 顧客データ • 個⼈情報

    • クレジットカード • コンテンツ • 利⽤者 • 個⼈情報 • 投稿したコンテンツ • 会社 • 業務システム • 会社⾃体 • 企業イメージ • 従業員 • 資⾦

27. 27 守りたいものはどこにあるか︖(例えば) • サーバー • データベース • ストレージ • PC

    • 物理的な紙

28. 28 守るものを把握する • どこにあるのか • 誰が責任者か • 誰が管理しているのか • 誰がアクセスできるのか

    • 今すぐに状態がわかるか すべて把握できていないと守れない 資産の洗い出し・特定して管理する

29. 29 脅威とリスクを理解する どんな脅威がありますか︖

30. 30 情報セキュリティで扱う脅威(⼀例) • 情報漏えい • ⾦銭の搾取 • サービス停⽌ • 改ざん

    • なりすまし • 権限昇格

31. 31 脅威を理解しリスクを理解する • 脅威と脆弱性がかけ合わさり リスクが発⽣する • 資産の価値でリスクの⼤きさ が変わる • 脆弱性を減らすことでリスク

    を⼩さくできる • リスクに応じてどのように対 策するか検討する 資産 脆弱性 脅威 リスク

32. 32 リスクを知り対策を知る(⼀例) • リスク: サーバーのデータが漏洩する • 根本対策: アクセス制御を徹底する • 補助対策:

    DLPを導⼊する 根本対策と補助対策で順序を間違えないようにする

33. 33 設計にセキュリティを リスクがわかれば設計に反映できる • アクセス権限の洗い出し • 許可払い出しフローの管理 • 不要なサーバーポートの確認 •

    ソフトウェアの脆弱性管理 • ログの収集 • 送信元IPの集計 • 不審なIPのアラート

34. 34 セキュリティの責任は誰にありますか︖

35. 35 セキュリティは誰の責任︖ • セキュリティ担当者だけではない • 開発者 • 運⽤者 • 監査⼈

    • 経営者 • などなど • つまり全員セキュリティ担当 • 必要な⼈が必要な範囲⾏う(責任範囲)

36. 36 セキュリティの原則いろいろ • 最⼩権限 • 多層防御 • 識別・認証・認可 • システムの堅牢化

    • フェールセーフ • シンプルにする • 職務の分離 • Design for Failure • ⼈は間違える • などなど 基本はいっしょ

37. 37 既存のセキュリティ対策を活かす • セキュリティ対策の根本は変わらない • 原則に従った対応を既存の仕組みやリソースと組み 合わせて活⽤する • IDシステム •

    情報の分類 • 情報セキュリティポリシー • 情報システム部の役割 ※古いものがあれば更新する

38. 38 合わせて読みたい 情報セキュリティについて深く知⾒の あるエンジニアの育成には情報処理安 全確保⽀援⼠の試験は丁度いいかも 網羅的で原理原則と技術のバランスが いい 最新の技術もある 個⼈的にはこの教科書が好き 試験受かってからも何度も読んでる

    https://www.amazon.co.jp/dp/4798173193/

39. 39 AWSの基本

40. 40 そもそもなぜAWSを利⽤するのか AWSのメリットはなんですか︖

41. 41 AWSが選ばれる10の理由 メリットを理解して有効に活⽤する https://aws.amazon.com/jp/aws-ten-reasons/

42. 42 マネージドサービスとは︖ • インフラを気にせず機能を利⽤できる • やりたいことに注⼒できる

43. 43 責任共有モデル 明確な責任範囲がある

44. 44 責任共有モデルの詳細 サービスによって責任 分界点が違う マネージドサービスは AWS管理部分が多くや りたいことに集中でき る 顧客責任部分も丸投げ ではなく便利な仕組み

    が提供されている

45. 45 2. AWSプロジェクトの始め⽅

46. 46 AWSプロジェクトの始め⽅ • まずはAWSの特性や使い⽅を理解するところから • 社内で最初にAWSプロジェクトを始める担当者に はこれらをきちんと押さえてもらいましょう

47. 47 AWS上で発⽣する脅威 • 誤った情報の公開・アクセス許可 • AWSはローカルPCの環境や社内の検証環境ではない • 簡単に外部に公開して迅速に展開できる基盤 • 権限不備で情報漏えいが起きたり

    • 不正な攻撃者がアカウントを乗っ取ることも • 資⾦の浪費 • 従量課⾦で安く使い始められるけど、適切に管理しない と請求がすごいことに

48. 48 適切に脅威を把握し 適切に利⽤する

49. 49 合わせて読みたい 「AWS利⽤開始時に 最低限おさえておきた い10のこと」 最初に知るべきことが まとまっている公式の 資料 https://pages.awscloud.com/eve nt_JAPAN_at-least-10-

    ondemand.html?trk=aws_event_ page

50. 50 合わせて読みたい やることはこ こにまとまっ ています https://dev.clas smethod.jp/arti cles/aws- baseline- setting-202206/

51. 51 厳密なアクセス制御とロギング AWSの操作はAPI経由 APIはIAMによりアクセ ス制御され、CloudTrail によりロギングされる 必ずリクエスト毎検証さ れる(リアルタイムの評価、 リプレイ攻撃の防⽌) API

    IAM アクセス制御 認証認可 ユーザー リソース CloudTrail APIロギング 証跡管理 整合性管理

52. 52 AWS Well-Architectedフレームワーク 6つの柱に基づいたベストプラクティスを理解できる セキュリティの柱もあり

53. 53 合わせて読みたい 初めて読む⼈はこのブ ログから読むとよく理 解できる https://dev.classmetho d.jp/articles/aws-well- architected-guide2022/

54. 54 AWSを利⽤する⼤前提 すべてのAWS利⽤者は AWSの基本的なセキュリティを 理解する必要がある

55. 55 無料のデジタルトレーニングを活⽤する • すべてのAWS利⽤者に以下を受講してもらう • Introduction to AWS Identity and

    Access Management (IAM) (Japanese) (⽇本語吹き替え版) • 10分の簡単なIAMの概要 • https://explore.skillbuilder.aws/learn/course/external/view/elearning/5843/introduction-to- aws-identity-and-access-management-iam-japanese-ri-ben-yu-chuiki-tie-ban • AWS Foundations: Securing Your AWS Cloud (Japanese) (⽇本語吹き替え版) • 50分のAWSセキュリティの基本 • https://explore.skillbuilder.aws/learn/course/internal/view/elearning/1356/aws-foundations- securing-your-aws-cloud-japanese-ri-ben-yu-chuiki-tie-ban

56. 56 合わせて読みたい AWS Skill Builderで 無料のEラーニングが たくさんあるので活⽤ する https://dev.classmetho d.jp/articles/aws-

    skillbuilder/

57. 57 全員理解していないと どうなるか

58. 58 実際のインシデントの事例 GitHubに乗ってから10分で悪⽤された No 時間 状況 1 00:00 お客様がPoweruser権限のアクセスキーをPublicなGitHubリポジ トリにPush

    2 00:10 当該アクセスキーを利⽤した不正な操作が⾏われる 3 00:30 AWS様からの連絡を受け、弊社からお客様へアクセスキーが 漏洩した旨、および、対応⽅法をご連絡（電話、メール） 4 01:00 当該キー経由で作成されたリソースを全て削除 5 XX:XX IAMユーザーのアクセスキーをローテーション 5 XX:XX IAMユーザーのパスワードをローテーション

59. 59 実際のインシデントの事例 実際にアクセス キーが漏洩した ときに何が起き たか記録したブ ログ https://dev.class method.jp/article s/accesskey-

    leak/

60. 60 便利に活⽤できる セキュリティサービス

61. 61 AWSセキュリティのマネージドサービス • 2つのサービス • AWS Security Hub • AWS環境の設定をセキュリティチェックする

    • 危険な設定に気づいて是正できる • Amazon GuardDuty • AWS上のログから脅威を検知 • セキュリティの問題をいち早く発⾒して通知 できる • どちらもポチッと有効化するだけ

62. 62 AWS Security Hubのセキュリティチェック 直感的な スコア表 ⽰で達成 度がわか りやすい

63. 63 ⾃動修復ソリューション セキュリテ ィ運⽤の発 展型として 利⽤できる 慣れてきて から利⽤す る

64. 64 合わせて読みたい Security Hubの解 説とどんな⾵に運⽤ したらいいかをまと めています https://dev.classmethod .jp/articles/aws- security-operation-with-

    securityhub-2021/

65. 65 GuardDutyの検知内容(ほんの⼀部) IAMタイプ • 不正ログイン • 漏洩したクレデン シャル利⽤ • CloudTrail無効化

    EC2タイプ • コインマイニング • C&Cサーバー接続 • SSHブルートフォ ース(受信 or 送信) S3タイプ • 不⾃然なバケット 公開(情報漏えい) • Torアクセス

66. 66 合わせて読みたい GuardDutyの解説と どんな⾵に運⽤した らいいかをまとめて います https://dev.classmethod.jp/articl es/aws-security-operation-with- guardduty-2021/

67. 67 合わせて読みたい どのようにAWS セキュリティを学 んで活かしていく かという話 https://dev.classm ethod.jp/articles/2 20408-training- webinar-aws-

    security- management/

68. 68 AWSのメリットを活かして始める • セキュリティ上のメリットはたくさんある • まずは様々なリソースを活⽤して把握する • 便利なマネージドサービスを使う

69. 69 3. クラウドに対応した組織の作り⽅

70. 70 クラウドに対応した組織 • AWSの全体管理の仕組みを活⽤する • 組織の形もクラウドに合わせる • 監査・品質管理もクラウドを利⽤する

71. 71 AWS全体管理のセキュリティ ⼿動の運⽤ではなく ⾃動化された仕組みで対応する

72. 72 AWSの全体管理 AWSでは全体管理をするための仕組みも充実 • AWS環境の払い出し時も⾃動化され最初からセキュ アにする • AWSアカウント全体にガバナンスを適⽤ • 違反を防⽌や検知しもれなく対応

73. 73 正しいAWSセキュリティの⽅針 • 何でも禁⽌する(ゲートを設ける)と俊敏性を損なう • 危なく無いようにガードレールを設けて、その中で ⾃由にしてもらうようにする

74. 74 AWS Organizationsとは • 複数のAWSアカウント を束ねる仕組み • OUを定義して配下に アカウントをまとめら れる

    • Service Control Policy(SCP)を利⽤し て強制的なアクセス制 御が可能

75. 75 SCPを利⽤したガードレール • SCPの例 • 特定リージョン使⽤禁⽌ • CloudTrail無効化禁⽌ • GuardDuty無効化禁⽌

    • S3バケット公開禁⽌ • タグのないリソース作成禁⽌ • https://docs.aws.amazon.com/ja_jp/organizations/latest/user guide/orgs_manage_policies_scps_examples.html • 開発環境 / 本番環境 / 共⽤環境などで使い分ける ガバナンスの維持に 必要な設定は 操作させない

76. 76 合わせて読みたい Organizationsについて 必要な知識や関連サービ スについて⼀通り説明あ り https://dev.classmethod.jp/articles/le ts-study-aws-organizations-basic/

77. 77 AWS Identity Center(旧AWS SSO) AWSアカウントの認証情報を集約できる シングルサインオンの仕組み

78. 78 合わせて読みたい よく分かる(かもし れない)図解 https://dev.classmetho d.jp/articles/aws-sso- wakewakame/

79. 79 AWS Control Tower AWSのベストプラ クティスに従った構 成でガードレールを 効かせる仕組み AWS Organizationsと

    連携する

80. 80 合わせて読みたい Control Towerの必要 性や背景、代替案などは 全部ここで説明していま す https://dev.classmethod.jp/art icles/jaws-days-2021-control- tower/

81. 81 クラウドに最適化するために CCoEを⽴ち上げる

82. 82 CCoEの例

83. 83 合わせて読みたい CCoEの1つの実装 例 ⽴ち上げ過程やどの ような⽅針で推進し たか解説されていま す https://dev.classmethod. jp/articles/shionogi-

    devshow/

84. 84 合わせて読みたい クラウド推進する 組織に必要なこと が書いてある 責任者も担当者も 必読 https://dev.classmetho d.jp/articles/bookrevie w-ccoe-best-practice/

85. 85 無料のデジタルトレーニングを活⽤する • AWSセキュリティ仕組みづくりに役⽴つコース • AWS Security Fundamentals (Second Edition)

    (Japanese) • AWSセキュリティ管理の2時間コース • https://explore.skillbuilder.aws/learn/course/external/view/elearning/602/aws-security- fundamentals-second-edition-japanese • Getting Started with AWS Security, Identity, and Compliance (Japanese) • 権限管理や統制の3時間コース • https://explore.skillbuilder.aws/learn/course/external/view/elearning/953/getting-started- with-aws-security-identity-and-compliance-japanese

86. 86 合わせて読みたい AWS上級者となっ て会社全体のセキュ リティを向上する仕 組みづくりをするヒ ントはこちら参照 https://dev.classmet hod.jp/articles/devio -2022-how2make-

    strongest-aws- secure-accounts/

87. 87 監査もクラウド対応する

88. 88 セキュリティチェックリストもクラウド対応 今までできなかったことが可能 • 担当者でブレる条件 • サンプリングしてチェック • 低い監査頻度 従来の監査

    • 設定値レベルの明確な条件 • 全数チェック • リアルタイムの監査 AWSでの監査

89. 89 Cloud Audit Academy 無料のデジタルトレーニングあります https://explore.skillbuilder.aws/learn/course/internal/view/elearning/9931/Cloud-Audit-Academy- %E2%80%93- %E3%82%AF%E3%83%A9%E3%82%A6%E3%83%89%E3%81%AB%E3%81%A8%E3%82%89%E3% 82%8F%E3%82%8C%E3%81%AA%E3%81%84-Japanese- クラウドの監査につ

    いて学ぶためのコン テンツ https://aws.amazon.com/jp/c ompliance/auditor-learning- path/

90. 90 まとめ

91. 91 まとめ • AWSとセキュリティの基本と特徴を押さえ て安⼼して利⽤できるよう取り組む • マネージドサービスを活かし楽に全体のセ キュリティを強化する • クラウドを利⽤する組織と仕組みを作りよ

    りセキュアな運⽤を⽬指す

92. 92 追加の参考情報

93. 93 参考セッション1 AWS利⽤ガイドラインの策定事例

94. 94 参考セッション2 クラウド利⽤の促進⽀援

95. 95 ガイドライン作成の参考情報 汎⽤的に利⽤できるガイドライン参考資料 Classmethod Cloud Guidebook作りました • AWS全体管理のガイドライン • AWS利⽤のガイドライン

    • AWSセキュリティチェックの対応⽅針 提供予定です︕

96. 96 参考セッション3 AWS Control Towerなど全体管理の⽀援

97. 97 AWS全体管理の参考情報 AWS Organizationsの⽀援してます AWS全体管理の設計から、AWS Control Towerを利 ⽤したガードレールの整備、運⽤への落とし込みなど⽀ 援しています。

98. 98 AWS⼈材育成参考情報 AWS認定トレーニング提供しています 初めてAWSを触るところから、 具体的なAWSのベストプラクティスを⼿を動かしたり ワークショップしながら学習します。 セキュリティ管理者向けのコースもあります。

99. 99 合わせて読みたい 初⼼者から上級 者まで様々な⽅ が利⽤できるコ ースを提供して います https://dev.classmet hod.jp/articles/aws- training-guide2022/

100. 100 セキュアアカウントの構成 最初からセキュアな状態でAWSアカウントを提供する セキュアアカウントオプションあります 最初から こんな感じ

101. 101 合わせて読みたい セキュアなAWS設定 と実運⽤の例 デフォルトでセキュ リティを強化した AWSアカウント発⾏ も無償でしてます(宣 伝) https://dev.classmethod.j

     p/articles/aws-security- operation-bestpractice-on- secure-account/

102. 102 セキュアアカウントの維持 セキュアアカウントを既存の環境にも適⽤し、意図しな い変更があると⾃動修復するサービスあります ポータルより 任意で設定可能

103. None