わたしがセキュアにAWSを使えるわけないじゃん、ムリムリ！(※ムリじゃなかった!?)

Transcript

1. JAWS DAYS 2026 Mashup for the Future [C10]楽しく学ぼう！ セキュリティ 入門

   臼田佳祐(Security-JAWS)

2. #jawsug #jawsdays2026 #jawsdays2026_c •ハッシュタグ •#jawsug •#jawsdays2026 •#jawsdays2026_c •写真撮影OK！ •スライドは公開してます いっぱいつぶやこう！！！

   これは #jawsdays2026 のQRコード
3. None

4. #jawsug #jawsdays2026 #jawsdays2026_c セッション概要: 「AWSも難しいのにAWSのセキュリティなんてぜったいにムリ！」と いう方でも「ムリじゃなかった!?」となるくらいわかりやすくAWSの セキュリティについて楽しく説明します。 <中略> これであなたもWelcome to

   Security Side...

5. #jawsug #jawsdays2026 #jawsdays2026_c 臼田佳祐(うすだけいすけ) クラスメソッド株式会社 / クラウド事業本部 シニアソリューションアーキテクト セキュリティチームリーダー 2021

   APN Ambassador 2024 APN AWS Top Engineers (Security) AWS Security Hero (2023~) ・CISSP ・Security-JAWS運営 ・好きなサービス: Amazon GuardDuty AWS Security Hub Amazon Detective 自己紹介 みんなのAWS (技術評論社) AWS Security Hub Amazon Detective Amazon GuardDuty ブログ本数 784

6. #jawsug #jawsdays2026 #jawsdays2026_c 1. セキュリティとか、ぜったいにムリ！ 2. 初めてのアクセス制御はやばいムリ！ 3. 256個もあるAWSサービスのセキュリ ティなんてムリムリ！

   (※ムリじゃな かった!?) アジェンダ

7. 1. セキュリティとか、 ぜったいにムリ！

8. #jawsug #jawsdays2026 #jawsdays2026_c • 初心者向けにAWSセキュリティの話をしてい くのですが、そもそもAWS初心者とはどんな 方？ • 物理インフラやってきてAWSは初心者 •

   アプリやってきてAWSは初心者 • 学生や新卒で実務経験は無い • セキュリティとかムリ！という初心者にも安 心なように優しめにスタート AWS初心者の定義とは？ 1.セキュリティとか、ぜったいにムリ！

9. #jawsug #jawsdays2026 #jawsdays2026_c • 例えば鍵が存在しない家には住めない • セキュリティは物事の基本的な機能の1つ セキュリティが無いのは、ムリ！ 1.セキュリティとか、ぜったいにムリ！

10. #jawsug #jawsdays2026 #jawsdays2026_c • とは言え通常は「監視カメラ」「警備員」は 過剰かも？ • 著名人なら話は別 • だいじなのは守るものに対するバランス

    100%守るのは、ムリ！ 1.セキュリティとか、ぜったいにムリ！

11. #jawsug #jawsdays2026 #jawsdays2026_c • 企業における情報セキュリティは基本的だが 守るものに合わせてバランスを取る • 収益に見合わなければ意味がない ビジネスにおける情報セキュリティ 1.セキュリティとか、ぜったいにムリ！

12. #jawsug #jawsdays2026 #jawsdays2026_c • 機密性(Confidentiality) • 情報を許可された人だけが見られるようにすること • パスワードを設定したり、データを暗号化したりして、情報を守ること •

    完全性(Integrity) • 情報が正しく伝わり、改ざんされていないことを確認すること • ウイルスや不正アクセスによる情報の書き換えを防ぐこと • 可用性(Availability) • 必要な時に、情報にすぐにアクセスできるようにしておくこと • システムの障害や攻撃で、情報が使えなくならないように対策すること 情報セキュリティの3要素 1.セキュリティとか、ぜったいにムリ！

13. #jawsug #jawsdays2026 #jawsdays2026_c • 初期費用ゼロ / 低価格 • 従量課金で必要な分だ け調達できる

    • セキュリティも必要な 分だけ柔軟に調整可能 クラウドのメリット 1.セキュリティとか、ぜったいにムリ！ AWS の クラウドが選ばれる 10 の理由 https://aws.amazon.com/jp/aws-ten-reasons/

14. #jawsug #jawsdays2026 #jawsdays2026_c • 情報セキュリティの責任は誰が持つ？ • 経営者？ • 情シス？ •

    開発者？ • 一般従業員？ A. 全員(ただし責任範囲が違う) 情報セキュリティの責任 1.セキュリティとか、ぜったいにムリ！

15. #jawsug #jawsdays2026 #jawsdays2026_c • 責任共有モデルでAWSの責任範囲が明確 AWSにおけるセキュリティの責任 1.セキュリティとか、ぜったいにムリ！ https://aws.amazon.com/jp/compliance/shared-responsibility-model/

16. #jawsug #jawsdays2026 #jawsdays2026_c • セキュリティは難しいけど基本は難しくない • 守るものに対するバランスがだいじ • クラウドならセキュリティはやりやすい セキュリティムリじゃなかった!?

    1.セキュリティとか、ぜったいにムリ！

17. 2. 初めてのアクセス制御は やばいムリ！

18. #jawsug #jawsdays2026 #jawsdays2026_c 設定ミスによる 誤った情報公開 インターネットを経由す るサービスのため設定を 誤ると外部に情報がさら されるリスク 不正利用による金銭被害

    外部から侵入されてコイ ンマイニングされるなど、 際限無く金銭コストを浪 費するリスク クラウドにおけるセキュリティリスク 2. 初めてのアクセス制御はやばいムリ！

19. #jawsug #jawsdays2026 #jawsdays2026_c • 機密性を守るためにもアクセス制御が必要 • AWSで最初に知っておきたい3つのアクセス制 御を学ぼう • AWS環境へのIAMによるアクセス制御

    • S3に保存されているデータへのアクセス制御 • EC2に対するネットワークのアクセス制御 最初はアクセス制御から 2. 初めてのアクセス制御はやばいムリ！

20. #jawsug #jawsdays2026 #jawsdays2026_c • AWS上の操作はIAMで行う • AWSのセキュリティは IAMに始まりIAMに終わる • 誰が何をどう操作できるか、

    細かく制御できるのでやる • アクセスキーが漏洩すると 無事終了します AWS環境へのIAMによるアクセス制御 2. 初めてのアクセス制御はやばいムリ！ IAM各種リソースの関連性

21. #jawsug #jawsdays2026 #jawsdays2026_c • ルートユーザーは通常利用しない • アクセスキーをプログラムに直接埋め込まない • 最小権限の原則を意識する •

    IAMユーザーには必ずMFAを設定する • IAMユーザーは一意に払い出す • 複数AWSアカウントで一人のIAMユーザーを複数発行 しない • IDは集約管理する • アクセスキーは極力利用しない IAMアクセス制御のポイント 2. 初めてのアクセス制御はやばいムリ！ IAM でのセキュリティのベストプラクティス - AWS Identity and Access Management https://docs.aws.amazon.com/ja_jp/IAM/latest/UserGuide/best-practices.html

22. #jawsug #jawsdays2026 #jawsdays2026_c • ありとあらゆるデータの保存 先S3バケットのアクセスはIAM ポリシーとバケットポリシーで 制御できる • 重要なデータへ誰がどのよう

    にアクセスできるかを意識して 管理する • S3を公開すると世界中の人が 見れます S3に保存されているデータへのアクセス制御 2. 初めてのアクセス制御はやばいムリ！ IAMポリシーとバケットポリシーの関係

23. #jawsug #jawsdays2026 #jawsdays2026_c • データを分類し適切なアクセス制御を施す • 機密情報を扱うAWSアカウントを分割する • ブロックパブリックアクセスでS3バケットの公開を防止する •

    バケットポリシーで最小権限を実現する • 重要なデータはバックアップを取得する • 機密情報など誰が閲覧・変更したかが重要なS3バケットではアク セスログを記録する S3アクセス制御のポイント 2. 初めてのアクセス制御はやばいムリ！ Amazon S3 のセキュリティのベストプラクティス - Amazon Simple Storage Service https://docs.aws.amazon.com/ja_jp/AmazonS3/latest/userguide/security-best-practices.html

24. #jawsug #jawsdays2026 #jawsdays2026_c • EC2などのVPCサービスは ネットワークとしてのアクセ ス制御が必要 • セキュリティグループや NACLでアクセスを制御する

    • セキュリティグループで SSH(port 22)が0.0.0.0/0で開 いていると危険が危ない EC2に対するネットワークのアクセス制御 2. 初めてのアクセス制御はやばいムリ！

25. #jawsug #jawsdays2026 #jawsdays2026_c • SSHを0.0.0.0/0で許可しない(ダメ絶対) • 脆弱なプロトコルを利用しない • セキュリティグループのルールにはセキュリ ティグループIDを活用する

    • システムごとVPCレベルで分割する • 最新のパッチを適用する ネットワークのアクセス制御のポイント 2. 初めてのアクセス制御はやばいムリ！ Amazon EC2 でのインフラストラクチャセキュリティ - Amazon Elastic Compute Cloud https://docs.aws.amazon.com/ja_jp/AWSEC2/latest/UserGuide/infrastructure-security.html VPC のセキュリティのベストプラクティス - Amazon Virtual Private Cloud https://docs.aws.amazon.com/ja_jp/vpc/latest/userguide/vpc-security-best-practices.html

26. #jawsug #jawsdays2026 #jawsdays2026_c • アクセス制御はセキュリティの基本 • IAMで誰が何をどう操作できるか意識する • S3の公開には気をつける •

    EC2のセキュリティグループでSSHは開けない • 責任範囲を意識して1つ1つの設定を決める 初めてのアクセス制御ムリじゃなかった!? 2. 初めてのアクセス制御はやばいムリ！

27. #jawsug #jawsdays2026 #jawsdays2026_c • ここまでの内容は大体 クラソルにも寄稿して います • 1時間ぐらいで読めて 初心者が繰り返し学習

    できるので使ってね 合わせて読みたい 2. 初めてのアクセス制御はやばいムリ！ 初めてAWSを使うときのセキュリティ覚書〜利用者編〜 https://business.ntt-east.co.jp/content/cloudsolution/ihcm_column-04.html

28. 3. 256個もあるAWSサービスの セキュリティなんてムリムリ！ (※ムリじゃなかった!?)

29. #jawsug #jawsdays2026 #jawsdays2026_c • アクセス制御からセキュリティを 考えていくといいが、実際にはそれ 以外のセキュリティもある • AWSのサービスは256個もあり、 実際にセキュリティの観点もたくさ

    んある • たくさんのサービスをスミズミま で管理するなんてムリムリ！ AWSのサービスは256個もある(諸説あり) 3. 256個もあるAWSサービスのセキュリティなんてムリムリ！ (※ムリじゃなかった!?) サービスの数え方は色々あるがこの記事では256個 https://dev.classmethod.jp/articles/aws-summary-2026/

30. #jawsug #jawsdays2026 #jawsdays2026_c Amazon GuardDuty AWS上で発生した様々な脅 威を検出する 危険なことが起きた事を素 早く気づいて対処できる AWS

    Security Hub CSPM AWS上の各サービスの設定 ミスを検出する 危険なことが起きる前に対 処できる 俺達の救世主！2つのセキュリティサービス 3. 256個もあるAWSサービスのセキュリティなんてムリムリ！ (※ムリじゃなかった!?)

31. #jawsug #jawsdays2026 #jawsdays2026_c • EC2のマルウェア感染、IAM不正利用、S3デー タ漏洩などAWS上で発生する様々なインシデン トやその前兆をいち早く検出して通知する • ポチッと有効化するだけでリージョン全体の 脅威を検出できるようになる

    Amazon GuardDutyは最後の番人！ 3. 256個もあるAWSサービスのセキュリティなんてムリムリ！ (※ムリじゃなかった!?)

32. #jawsug #jawsdays2026 #jawsdays2026_c Finding Types 説明 UnauthorizedAccess:EC2/SSHBruteForce EC2インスタンスへのSSHブルートフォース UnauthorizedAccess:IAMUser/MaliciousIPCaller 不審なアドレスからのAWS操作

    UnauthorizedAccess:IAMUser/InstanceCredential Exfiltration.InsideAWS 漏洩したクレデンシャルの悪用 Discovery:S3/AnomalousBehavior 通常と違うS3アクセス Execution:EC2/MaliciousFile EC2インスタンスでマルウェアを検出 Execution:ECS/SuspiciousFile ECSクラスターで怪しいファイルを検出 Object:S3/MaliciousFile S3オブジェクトでマルウェアを検出 Persistence:Kubernetes/SuccessfulAnonymous Access 認証されていないユーザーのKubernetesアクセス CryptoCurrency:Lambda/BitcoinTool.B Lambda関数でコインマイニング CredentialAccess:RDS/AnomalousBehavior. SuccessfulLogin 不審なユーザーのRDSログイン成功 検出できる脅威の一例 3. 256個もあるAWSサービスのセキュリティなんてムリムリ！ (※ムリじゃなかった!?)

33. #jawsug #jawsdays2026 #jawsdays2026_c Amazon GuardDutyの機能とおすすめ 3. 256個もあるAWSサービスのセキュリティなんてムリムリ！ (※ムリじゃなかった!?) 基本機能 保護プラン(オプション)

    EC2 IAM S3 Lambda S3 RDS マルウェア保護 ランタイム保護 拡張脅威検出 おす すめ おす すめ EC2(EBS) S3 AWS Backup EC2 ECS EKSランタイム EKS監査

34. #jawsug #jawsdays2026 #jawsdays2026_c • ちょっと古いけど初め てAmazon GuardDuty を触るときに知るべき ところと勘所がまと まっている

    • まずはポチッと有効化 しよう 合わせて読みたい 3. 256個もあるAWSサービスのセキュリティなんてムリムリ！ (※ムリじゃなかった!?) https://dev.classmethod.jp/articles/aws-security-operation-with-guardduty-2021/

35. #jawsug #jawsdays2026 #jawsdays2026_c • セキュリティグループのSSH開放、S3バケッ トの公開設定、MFAの設定されていないIAMな ど危険な設定や不十分な設定を見つけてくれる • ポチッと有効化するだけでリージョンまたは アカウント全体の設定ミスを検出できるように

    なる • ※2025年６月にサービス名称がAWS Security Hubから AWS Security Hub CSPMに変わりました AWS Security Hub CSPMは監視役！ 3. 256個もあるAWSサービスのセキュリティなんてムリムリ！ (※ムリじゃなかった!?)

36. #jawsug #jawsdays2026 #jawsdays2026_c • AWS Security Hub CSPMは多数のサービスと 設定をカバー •

    全部じゃないけど主要なサービスと設定は バッチリ押さえている AWS Security Hub CSPMのカバレッジ 3. 256個もあるAWSサービスのセキュリティなんてムリムリ！ (※ムリじゃなかった!?) AWSサービス数 80個 コントロール数 563個

37. #jawsug #jawsdays2026 #jawsdays2026_c • 11カテゴリ(臼田分類)のチェック観点 • 本番環境以外は可用性・ログ取得・バックアップは任意 様々なセキュリティの観点 3. 256個もあるAWSサービスのセキュリティなんてムリムリ！

    (※ムリじゃなかった!?) 通信の 暗号化 保管時の 暗号化 ログ取得 可用性 バックアップ アクセス 制御 保護 脆弱性管理 設定 チェック コスト 最適化 認証情報 管理

38. #jawsug #jawsdays2026 #jawsdays2026_c • AWS Security Hub CSPMの各コントロール のカテゴライズ方法と対 応方針の立て方を解説し

    た記事 合わせて読みたい 3. 256個もあるAWSサービスのセキュリティなんてムリムリ！ (※ムリじゃなかった!?) https://dev.classmethod.jp/articles/aws-security-hub-control-categorize/

39. #jawsug #jawsdays2026 #jawsdays2026_c • AWS Security Hub CSPMの利用実態調 査レポート作りまし た

    • みんなのお悩みと 解決方法を解説した 全84ページ 合わせて読みたい 3. 256個もあるAWSサービスのセキュリティなんてムリムリ！ (※ムリじゃなかった!?) https://bit.ly/sjaws-security-hub-cspm-report

40. #jawsug #jawsdays2026 #jawsdays2026_c • リージョンやアカウント全体に適用する Amazon GuardDutyとAWS Security Hub CSPMを活用する

    • ポチッと有効化する • 一個ずつ触りながらセキュリティを学習して いこう AWS全体のカバーもムリじゃなかった!? 3. 256個もあるAWSサービスのセキュリティなんてムリムリ！ (※ムリじゃなかった!?)

41. まとめ

42. #jawsug #jawsdays2026 #jawsdays2026_c • セキュリティは基本的なことから • まずアクセス制御だけでも意識する • 便利なセキュリティサービスを使いながら勉 強する

    →これであなたもWelcome to Security Side... ※AWSセキュリティ、ムリじゃなかった!? まとめ

43. #jawsug #jawsdays2026 #jawsdays2026_c • Security-JAWSでは初心者向 け勉強会として「mini Security-JAWS」シリーズを 展開中 • だいたい隔週土曜日午前10時

    から • 詳しくはSecurity-JAWSの Connpassで • 4月から新しい人向けの内容 やります 勉強会宣伝 https://s-jaws.connpass.com/
44. None

45. #jawsug #jawsdays2026 #jawsdays2026_c • イラストストック様 • https://illust-stock.com/ • 家（住宅） •

    ニコニ・コモンズ • 8bitサングラス • https://commons.nicovideo.jp/works/agreement/nc176354 使用素材・参考リンク