Upgrade to Pro — share decks privately, control downloads, hide ads and more …

AWSセキュリティ対策なら クラスメソッドにおまかせ! 〜クラウドベストプラクティスのご案内〜

Seigo Watanabe
October 09, 2019
1.2k

AWSセキュリティ対策なら クラスメソッドにおまかせ! 〜クラウドベストプラクティスのご案内〜

日経xTECH EXPO 2019 同時開催「セキュリティソリューション 2019」ブースセッション

Seigo Watanabe

October 09, 2019
Tweet

More Decks by Seigo Watanabe

Transcript

  1. SERVICE クラスメソッドの提供する価値 • アマゾン ウェブ サービス(AWS) 総合⽀援サービス • 「クラスメソッドメンバーズ」 •

    モバイルアプリケーション開発 • データ分析基盤構築 • Amazon Alexaスキル⽀援 • EC/CRM構築⽀援 • DevOps⽀援 • GDPR対応⽀援 • サーバーレス開発 • ライセンス製品導⼊ ฐࣾӦۀࢿྉΑΓ
  2. "84੹೚ڞ༗Ϟσϧ  l"84͸ɺ"84Ϋϥ΢υͰఏ ڙ͞ΕΔ͢΂ͯͷαʔϏεΛ࣮ ߦ͢ΔΠϯϑϥετϥΫνϟͷ อޢʹ͍ͭͯ੹೚Λෛ͍·͢l ҎԼʹର͢Δ੹೚ͱ؅ཧ͸
 ͓٬༷ଆʹଐ͠·͢ ɾήετ04
 ɹ

    ߋ৽ͱηΩϡϦςΟύονΛؚΉ 
 ɾͦͷଞͷؔ࿈ΞϓϦέʔγϣϯ
 ɾηΩϡϦςΟάϧʔϓϑΝΠΞ΢Υʔϧ
 ɹɿ https://aws.amazon.com/jp/compliance/shared-responsibility-model/ ੹೚ڞ༗Ϟσϧ | AWS
  3. ͨͱ͑͹ɺ͜Μͳঢ়گΛղܾ͠·͢  ϕϯμʔʹߏஙΛ೚ ͤͨ؀ڥͰɺηΩϡ ϦςΟʹ͍ͭͯߟྀ ͞Ε͍ͯΔͷ͔ෆ҆ ͕͋Δ ηΩϡϦςΟʹؔ͠ ͯ࣌ؒΛׂ͖ͨ͘ͳ ͍ͷͰɺϕετϓϥ

    ΫςΟεΛͬ͘͞ͱ ಋೖ͍ͨ͠ "84ΛॳΊͯߏங ͢ΔͷͰɺηΩϡϦ ςΟରࡦ͕Θ͔Βͳ ͍
 ηΩϡϦςΟͷϊ΢ ϋ΢͕ͳ͍͚Ͳɺ؆ ୯ʹڧԽͰ͖Δͳ ΒऔΓೖΕ͍ͨ
  4. JOTJHIUXBUDIͷͭͷಛ௕  ͝ར༻தͷ"84͕ϕετϓϥ ΫςΟεʹԊͬͨߏ੒ʹͳͬͯ ͍Δ͔νΣοΫ͠·͢ɻݱࡏ ͸ɺ$*4ͷ"84ߏஙϕϯν ϚʔΫΛ໢ཏ͓ͯ͠Γɺࠓޙɺ νΣοΫ߲໨΍ػೳ͸ɺ͞Β ʹ૿΍͍ͯ͘͠༧ఆͰ͢ɻ ෳ਺૊৫ɺෳ਺ϓϩδΣΫ

    τɺෳ਺"84ΞΧ΢ϯτΛ ౷߹తʹ؅ཧͰ͖·͢ɻϓϩ δΣΫτຖͷϨϙʔτग़ྗ͸ ΋ͪΖΜɺνʔϜ಺Ͱͷ৘ใ ڞ༗ʹ΋͝ར༻͍ͩ͘͞ɻ ϝʔϧΞυϨε͕͋Ε͹؆୯ ʹ࢝ΊΒΕ·͢ɻ೉͍͠ઃఆ ͸ඞཁ͋Γ·ͤΜɻը໘ͷ Ҋ಺ʹԊͬͯɺӡ༻தͷ "84ΞΧ΢ϯτΛ࿈ܞͤ͞ Δ͚ͩͰ͢ɻ ͝ར༻ྉۚ͸͢΂ͯແྉͰ͢
  5. JOTJHIUXBUDIϨϙʔταϯϓϧ  Copyright © Classmethod, Inc. 2018/10/29 セキュリティチェック結果レポート CONFIDENTIAL insightwatch

    CIS Amazon Web Service Foundations Benchmarkは、Amazon Web Servicesのセキュリティに関するベストプラク ティスのガイダンスを提供します。 チェック対象のサービスは以下になります。 - AWS Identity and Access Management (IAM) - AWS Config - AWS CloudTrail - Amazon CloudWatch - Amazon Simple Notification Service (SNS) - Amazon Simple Storage Service (S3) - Amazon VPC (Default) CIS Amazon Web Service Foundations Benchmark バージョン:v1.1.0 - 11-09-2016 ガイドは以下からダウンロードできます。 正常 異常が検出されなかった項目です。 https://learn.cisecurity.org/benchmarks クラスメソッドメンバーズにご契約いただいたAWSアカウントにのみ表示されます。 クラスメソッドにて管理している項目で、お客さまの対応は不要です。 重要 CIS Amazon Web Service Foundations Benchmark マネージド https://www.cisecurity.org/cybersecurity-best-practices/ CIS(Center for Internet Security)に関する情報は以下をご覧ください。 注意 結果の重要度について CISの構成プロファイルLevel2が適用された項目で異常が検出されたことを示します。 対応することでさらにセキュリティを強化できます。 CISの構成プロファイルLevel1が適用された項目で異常が検出されたことを示します。 重要な項目です。すぐに対応を検討してください。 Copyright © Classmethod, Inc. (3 / 16)
  6. JOTJHIUXBUDIϨϙʔταϯϓϧ DPOU  insightwatch insightwatchデモ環境 チェック結果サマリー 新サービス開発 2018/10/29 22:03:39 (JST)

    重要 正常 注意 AWSアカウント マネージド 33 40 148091380307 | デモ環境アカウント 10 11 Copyright © Classmethod, Inc. (2 / 16) insightwatch CIS Amazon Web Service Foundations Benchmark AWS総合支援サービス「クラスメソッドメンバーズ」で安心・安全をサポート! 詳しくは、ホームページをご覧ください。 insightwatchデモ環境 AWSアカウント 新サービス開発 CIS 2. Logging 2018/10/29 22:03:39 (JST) 148091380307 | デモ環境アカウント # 項目 結果 2.1 全リージョンでCloudTrailが有効であること 正常 2.2 CloudTrailログファイルの検証が有効化されていること 注意 2.3 CloudTrailログのS3バケットが公開設定となっていないこと 正常 2.4 CloudTrailログがCloudWatch Logsに配信設定されていること 重要 重要 2.5 全リージョンでAWS Configが有効であること 重要 重要 2.6 CloudTrailログが格納されているS3バケットでログ記録が有効になっ ていること 重要 重要 2.7 CloudTrailログがSSE-KMSで暗号化設定されていること 注意 2.8 KMSマスタキーがローテーション設定されていること 正常 https://classmethod.jp/services/members/ Copyright © Classmethod, Inc. (6 / 16) insightwatch CIS Amazon Web Service Foundations Benchmark AWS総合支援サービス「クラスメソッドメンバーズ」で安心・安全をサポート! 詳しくは、ホームページをご覧ください。 insightwatchデモ環境 AWSアカウント 新サービス開発 CIS 3. Monitoring 2018/10/29 22:03:39 (JST) 148091380307 | デモ環境アカウント # 項目 結果 3.1 許可されていないAPIコールに対して、アラーム通知設定されている こと 重要 重要 3.2 MFAなしでのAWSマネージメントコンソールログインに対して、アラ ーム通知設定されていること 重要 重要 3.3 rootアカウントの利用に対して、アラーム通知設定されていること 重要 重要 3.4 IAMポリシーの変更に対して、アラーム通知設定されていること 重要 重要 3.5 CloudTrail設定の変更に対して、アラーム通知設定されていること 重要 重要 3.6 AWSマネージメントコンソールのログイン失敗に対して、アラーム通 知設定されていること 注意 3.7 KMSマスターキーの無効化またはスケジュール削除に対して、アラー ム通知設定されていること 注意 3.8 S3バケットポリシー変更に対して、アラーム通知設定されていること 重要 重要 3.9 AWS Config変更に対して、アラーム通知設定されていること 注意 3.10 セキュリティグループ変更に対して、アラーム通知設定されているこ と 注意 3.11 ネットワークACL変更に対して、アラーム通知設定されていること 注意 3.12 インターネットゲートウェイ変更に対して、アラーム通知設定されて いること 重要 重要 3.13 ルートテーブル変更に対して、アラーム通知設定されていること 重要 重要 3.14 VPC変更に対して、アラーム通知設定されていること 重要 重要 3.15 SNS TopicのSubscriberに適切な連絡先が設定されていること 重要 重要 https://classmethod.jp/services/members/ Copyright © Classmethod, Inc. (7 / 16)
  7. AWS環境が最適な状況になっているか、 AWS Well-Architected フレームワーク を利⽤し把握します。 Ϋϥ΢υ࠷దԽΞηεϝϯτ 21 Ϋϥ΢υར༻ঢ়گͷΞηεϝϯτ͔Βվળܭը·ͰΛ͝ࢧԉ AWSͷϕετϓϥΫςΟεΛϕʔεʹݱঢ়՝୊Λ೺Ѳ͠ɺվળܭըͷΠϯϓοτͱͳΔϨϙʔτΛ͝ఏڙ AWSベストプラクティスとの

    ギャップが把握できる 改善に必要な アクションを明確化 クラスメソッドが持つ豊富な知⾒から課 題に対する優先順位付けと必要となるア クションを提⽰します。 システム⾯だけはなく、ビジネス上の⽬ 的を踏まえ最適化を⾏えます。 ビジネス課題として捉えることで、ゴー ルや優先順位付などが⾏えます。 AWSをビジネス視点で 考えることができる ΦϦΤϯςʔγϣϯͷ࣮ࢪ
 Ϋϥ΢υ࠷దԽΞηεϝϯτ ͷྲྀΕʹ͍ͭͯઆ໌͠είʔ ϓΛܾఆ͠·͢ɻ ώΞϦϯάγʔτΛ ׆༻͠ݱঢ়೺Ѳ
 ݱঢ়೺ѲͷͨΊʹώΞϦϯ άγʔτʹهೖ͍͖ͨͩ· ͢ɻ 8FMM"SDIJUFDUFEϑϨʔ ϜϫʔΫΛར༻ͨ͠
 ϨϏϡʔͷ࣮ࢪ
 ʮηΩϡϦςΟʯʮίετʯ ʮՄ༻ੑʯʮύϑΥʔϚϯεʯ ʮӡ༻ʯͷࢹ఺ͰΞηεϝ ϯτΛ࣮ࢪ͠·͢ɻ վળϨϙʔτͷఏࣔ
 ༏ઌॱҐ෇͚ͱඞཁͱͳΔΞ ΫγϣϯΛ͝ఏࣔ͠·͢ɻ クラスメソッドは、AWSパートナーネットワークにおけるAWS Well-Architectedパートナープログラムに関し、AWSの公式認定を受けています。 ϓϨϛΞϜαʔϏε STEP1 STEP2 STEP3 STEP4 ͝ར༻ͷྲྀΕ ฐࣾӦۀࢿྉΑΓ
  8. Ϋϥεϝιουͷ"84ύʔτφʔ࣮੷͓Αͼٕज़ೝఆ  ʮ"1/$POTVMUJOH1BSUOFSPGUIF:FBSʯΛड৆ ೥ؒΛ௨ͯ͡Ӧۀɾٕज़ɾϚʔ έςΟϯά෼໺ͳͲɺύʔτ φʔͱͯ͠ͷ૯߹ྗͰ"84ͷ ࠃ಺Ϗδωεʹ࠷΋ߩݙͨ͠ "1/ίϯαϧςΟϯάύʔτ φʔʹ༩͑ΒΕΔʮ"1/ $POTVMUJOH1BSUOFSPGUIF

    :FBSʯΛड৆͠·ͨ͠ɻ ϓϨϛΞίϯαϧςΟϯά ύʔτφʔ͸ɺ ࣾΛ ௒͑Δ"84ύʔτφʔͷதͰ ࠷΋༏Εͨޭ੷Λ࢒ͨ͠اۀ ͕બఆ͞ΕΔ΋ͷͰɺ ೥݄࣌఺ͰੈքͰࣾɺ೔ ຊͰࣾೝఆ͞Ε͍ͯ·͢ɻ ೥࿈ଓͰ"84ͷ࠷্ҐίϯαϧςΟϯάύʔτφʔೝఆ શΤϯδχΞ͕"84ೝఆࢿ֨Λอ༗ ੈքτοϓΫϥεͷٕज़ೝఆ਺ ΫϥεϝιουͰ͸"84ࣄ ۀ෦໳ʹॴଐ͢ΔશΤϯδχ Ξ͕"84ೝఆࢿ֨Λอ༗͠ ͍ͯ·͢ɻࣾ಺ͷ"84ೝఆࢿ ֨อ༗਺͕Λ௒͑Δاۀ ͱͯ͠ʮ"1/$FSUJpDBUJPO %JTUJODUJPOʯͷೝఆΛड͚ ·ͨ͠ɻ ίϯαϧςΟϯάɺٕज़ࢧԉͷ ࣮੷͕ධՁ͞Εͨ͜ͱʹΑ Γɺʮ"84ҠߦʯʮϞόΠϧʯ ʮϏοάσʔλʯͳͲͷʮί ϯϐςϯγʔʯͱɺੈք࠷ଟ ͱͳΔछྨͷαʔϏε͝ͱ ͷٕज़ೝఆʮ"84αʔϏεσ ϦόϦʔϓϩάϥϜʯΛऔಘ͠ ͍ͯ·͢ɻ https://classmethod.jp/about/aws/
  9. FY %FTJHOGPSGBJMVSF  l&WFSZUIJOHGBJMTz શͯ͸ো֐Λى͜͢΋ͷɺ
 ͱ͍͏લఏ͔Βٯࢉͨ͠ઃܭ ɾ410'ͷഉআ
 ɾ)8͕ނোͯ͠΋"QQʹ͸
 ɹӨڹΛٴ΅͞ͳ͍Α͏ʹ ͦ͏͢Ε͹ɺ


    ਅʹյΕΔ΋ͷ͸ͳ͘ͳΔ https://www.slideshare.net/AmazonWebServices/best-practices-for-architecting-in-the-cloud-jeff-barr/9-1_Design_for_Failure_and Best Practices for Architecting in the Cloud - Jeff Barr - Aug 1,2012
  10. AW アカウント 123456789012 内容 データ連携システム A N arn:aws:wellarchitected:us-east-1:123456789012:workload/xxxxxx 作成日 2019/06/17

    確認者 千葉 High risks 10 Medium risks 15 項目 優先度 工数 ソース 課題 アクション セキュリティ 認証情報と認証 管理(IAM) 高 中 W-A EC 1 - IAMアクセス要件に関するガイドラインがない - 定期的に認証情報 ローテーションや監査が行えて いない - ユーザー管理、権限など IAMに関するガイドラインを用意する - insightwatchを利用し定期的なIAM 棚卸しを実施する 権限 最小化(ユーザー) 高 中 W-A EC 2 - 人為的なアクセス要件を適切に定義している(不要な 特権アクセス リスクを軽減) - 最小限 アクセスを付与できていない - 退職者を考慮したユーザー 棚卸しを行えていない - ユーザー管理、権限など IAMに関するガイドラインを用意する - 操作用と参照用 権限を分ける - insightwatchを利用し定期的なIAM 棚卸しを実施する 権限 最小化(プログラム) 高 高 W-A EC 3 - 認証 ローテーションができていない - 定期的なローテーションまた IAMロール利用に変更する セキュリティイベント 監視 中 高 W-A EC 4 - セキュリティに関するログ要件が規定されていない - ど ようなログを取得し通知するかを規定する - CloudWatch Logsなどを利用しログ 一元管理を行う - ログ 分析を行う - Guard Dutyによる脅威検知 - AW WAFによるAPI 保護(検知モード > 防御モード) 継続的な脆弱性評価 低 中 W-A EC 5 - 継続的な脆弱性評価を実施できていない - ecurity HubやInsightwatchによるAW リソース セキュリティ評価(ア クセス権や認証情報などを評価) - Inspectorによるプラットフォームレベル 脆弱性評価(脆弱性を含む パッケージ・ミドルウェア 把握とアップデート) - ペネトレーションテストによるアプリケーションレベル 脆弱性評価 ネットワーク 保護 低 高 W-A EC 6 - ネットワークアクセス要件を適切(法令、ガイドライン、 社内ルールなどに合わせて)がない - ガイドラインを作成し、設計時に取り込む コンピュートリソース 保護 中 低 W-A EC 7 - 脆弱性 スキャンを定期的に実施できていない - 脆弱性スキャンを定期的に実施する(Inspector) データ 分類 中 中 W-A EC 8 - 文書規定があるが、設計時に取り込めていない - ガイドライン 見直しと設計・実装へ 取り込みを行う - 定義されているデータ 分類に合わせ、ネットワークで 分離、暗号 化などを行う - EB や 3にデータ識別用 タグを付与する 保管データ 保護 W-A EC 9 - 文書規定があるが、設計時に取り込めていない - ガイドライン 見直しと設計・実装へ 取り込みを行う - 保護レベルによりデータ 暗号化を行う(パスワード 保存など) - 保護レベルによりデータ アクセスを制限する - KM などを用いて、データ保護要件に合わせて鍵を利用する 転送データ 保護 W-A EC 10 - 転送データ 管理と保護に関してガイドラインがない - ガイドラインを作成する - 鍵や証明書 管理を規定している( Hキーや証明書) - 転送データ 暗号化(H P や F Pを必須化) - データ漏洩 自動検出する仕組み 実装(未知ホストへ データ転 送など) - 転送データ 改ざんや紛失帽子するネットワーク 利用 インシデント対応 W-A EC 11 - ゲームデーを実施し、事故発生時 フローや対応 見直しが行えていない - セキュリティインシデント時にフォレンジック調査を外部 専門家へ依 頼する - ゲームデーを実施し、事故発生時 計画や対応 改善を行う コスト最適化 使用量 把握 W-A CO 1 - AW 利用量に関して社内ルールを定義できていない - 構成検討、見積もり、稟議というフローがあり、現在 コスト 事前に 確認できているため問題ない。ただし、引き継ぎなどを考慮しフローとし て明文化して明文化するとベター。 AW コスト モニタリング W-A CO 2 - 課題なし - モニタリングを行い、タグによるコスト分析も行なって いる 問題なし Ϋϥ΢υ࠷దԽΞηεϝϯταϯϓϧ