AWS Control TowerとAWS Organizationsを活用した組織におけるセキュリティ設定

Transcript

1. AWS Control TowerとAWS Organizationsを
   活用した組織におけるセキュリティ設定
   2022年3月1日
   NRIネットコム株式会社
   Webネット事業本部
   ITSデザイン事業部
   上野 史瑛
   

   View Slide

2. 1
   Copyright（C） NRI Netcom, Ltd. All rights reserved.
   ＳＯＭＰＯグループ様における活動とアーキテクチャ概要
   01
   アーキテクチャ Deep Dive
   02
   ガイドラインの作成について
   03
   まとめ、今後に向けて
   04
   本日お話すること
   

   View Slide

3. 2
   Copyright（C） NRI Netcom, Ltd. All rights reserved.
   自己紹介
   名前： 上野 史瑛（うえの ふみあき）
   所属： NRIネットコム株式会社
   経歴：
   ・多くのAWSプロジェクトに参画
   ・AWSセキュリティガードレール導入
   ・CCoE（内製化）支援
   ・AWS最適化、Well-Architectedレビュー
   ・2020/2021 APN Ambassadors
   ・2020/2021 APN AWS Top Engineers
   ・2020/2021 APN ALL AWS Certifications Engineer
   @fu3ak1
   

   View Slide

4. 3
   Copyright（C） NRI Netcom, Ltd. All rights reserved.
   ＳＯＭＰＯグループ様における活動とアーキテクチャ概要
   

   View Slide

5. 4
   Copyright（C） NRI Netcom, Ltd. All rights reserved.
   ビジネスを高速かつ柔軟に進めるため、クラウドの活用が必須となってきている
   ビジネスを始めたい！
   刷新したい！
   クラウド？
   オンプレミス？
   ビジネスを進めるにあたり、
   クラウドの活用が必須に
   なってきてる
   #nncwebinar
   

   View Slide

6. 5
   Copyright（C） NRI Netcom, Ltd. All rights reserved.
   クラウド、特にAWSはサービス数や機能が多く、不安を持つ方もまだ多い
   ビジネスを始めたい！
   刷新したい！
   クラウド難しい・・
   特にセキュリティが不安・・
   クラウド？
   オンプレミス？
   ビジネスを進めるにあたり、
   クラウドの活用が必須に
   なってきてる
   #nncwebinar
   

   View Slide

7. 6
   Copyright（C） NRI Netcom, Ltd. All rights reserved.
   セキュリティ面における不安をできるだけ減らしていきたい
   ビジネスを始めたい！
   刷新したい！
   クラウド難しい・・
   特にセキュリティが不安・・
   クラウド？
   オンプレミス？
   ビジネスを進めるにあたり、
   クラウドの活用が必須に
   なってきてる
   （CCoEとして）
   これを減らしたい！
   #nncwebinar
   

   View Slide

8. 7
   Copyright（C） NRI Netcom, Ltd. All rights reserved.
   AWSにはセキュリティレベルを向上するサービスが多くある
   AWS CloudTrail AWS Config Amazon GuardDuty AWS Security Hub
   監査証跡 設定履歴 不正検知
   集約・検知
   （CSPM）
   ⇒セキュリティサービスを組織内で自動設定できれば、
   組織のセキュリティ向上となる
   共通セキュリティ機能を作成
   #nncwebinar
   

   View Slide

9. 8
   Copyright（C） NRI Netcom, Ltd. All rights reserved.
   ＳＯＭＰＯグループ様の特徴①
   Control Tower導入前から本番稼働しているAWSアカウントが多数あった
   マネジメント（管理者）
   アカウント
   Organizations
   各社アカウント
   元々利用していたのは
   請求管理のみ
   各社アカウント 各社アカウント
   一般利用者 一般利用者 一般利用者
   本番サービスを提供している
   AWSアカウントが多数
   全アカウント数は200以上
   #nncwebinar
   

   View Slide

10. 9
    Copyright（C） NRI Netcom, Ltd. All rights reserved.
    ＳＯＭＰＯグループ様の特徴②
    AWSアカウント作成後の管理・運用は各社の管理者が実施する
    マネジメント（管理者）
    アカウント
    Organizations
    各社アカウント 各社アカウント 各社アカウント
    各社
    管理者
    各社
    管理者
    各社
    管理者
    請求
    管理者
    AWSアカウント、システムの
    管理は各社で実施する
    #nncwebinar
    

    View Slide

11. 10
    Copyright（C） NRI Netcom, Ltd. All rights reserved.
    共通セキュリティ機能で使用するサービス
    AWS Control Tower
    AWS CloudTrail AWS Config SCP
    Amazon GuardDuty AWS Security Hub
    AWS IAM Access
    Analyzer
    Amazon SNS
    （通知用）
    AWS Organizations
    AWSアカウントで設定するセキュリティサービスを中心に、利用するサービスを選定
    #nncwebinar
    

    View Slide

12. 11
    Copyright（C） NRI Netcom, Ltd. All rights reserved.
    共通セキュリティ機能で使用するサービス
    ⇒これらのサービスが、AWSアカウント発行時に自動設定される
    AWSアカウント内の操作履歴が自動で保存され、
    不正な操作が拒否または検知されるようになる
    AWS Control Tower
    AWS CloudTrail AWS Config SCP
    Amazon GuardDuty AWS Security Hub
    AWS IAM Access
    Analyzer
    Amazon SNS
    （通知用）
    AWS Organizations
    AWSアカウントで設定するセキュリティサービスを中心に、利用するサービスを選定
    #nncwebinar
    

    View Slide

13. 12
    Copyright（C） NRI Netcom, Ltd. All rights reserved.
    アーキテクチャ Deep Dive
    

    View Slide

14. 13
    Copyright（C） NRI Netcom, Ltd. All rights reserved.
    構成詳細（AWSアカウント、機能実現方法を含む）
    サービスや設定内容に応じて実行方法を使い分け、共通セキュリティ機能を実装している
    ◼AWS CloudTrail、AWS Config→ AWS Control Towerにより自動設定
    ◼Amazon GuardDuty、AWS Security Hub、IAM Access Analyzer、SNSトピック
    →CloudFormation StackSetsまたは
    Step Functions経由のLambda実行により自動設定
    Service Control Policy（SCP）
    各社アカウント
    各社アカウント
    CloudTrail
    GuardDuty
    Security Hub
    Config
    Access
    Analyzer
    マネジメント
    （管理者）アカウント
    Control Tower
    SNS
    CloudFormation
    StackSets
    自動設定
    自動設定
    監査アカウント
    GuardDuty
    Security Hub
    Config
    Access
    Analyzer
    SNS
    ログアーカイブアカウント
    S3
    ・CloudTrail証跡ログ
    ・Configログ
    全アカウント分
    全アカウント分
    HD管理者
    管理、設定
    確認
    各社
    管理者
    Lambda
    Step Functions
    #nncwebinar
    

    View Slide

15. 14
    Copyright（C） NRI Netcom, Ltd. All rights reserved.
    アーキテクチャ Deep Dive①
    組織単位 (OU)
    

    View Slide

16. 15
    Copyright（C） NRI Netcom, Ltd. All rights reserved.
    組織単位 (OU) の考え方
    Control Tower利用にあたっては、どの単位でルール（予防・検知ガードレール）を
    適用したいかがポイント
    OU どの単位でOUを
    作成すべきか Control Towerのガードレールを設定する単位
    （独自の）SCPを設定する単位
    ⇒適用したい単位＝OU
    SCPはOU単位で設定できる
    Control Towerのガードレール
    はOU単位で設定
    #nncwebinar
    

    View Slide

17. 16
    Copyright（C） NRI Netcom, Ltd. All rights reserved.
    組織単位 (OU) の構成例①
    扱う情報レベルによって、設定するガードレールをOUごとに分ける
    機密情報OU 一般OU
    ・SSH公開を検知
    ・S3バケット公開を検知
    ・SSH公開を検知
    ・S3バケット公開を検知
    ・S3暗号化設定変更拒否
    ・EBS非暗号化検知
    #nncwebinar
    

    View Slide

18. 17
    Copyright（C） NRI Netcom, Ltd. All rights reserved.
    組織単位 (OU) の構成例②
    2021年11月に、Control TowerがネストされたOUもサポート
    機密情報OU
    共通OU
    ・ルートユーザーのアクション拒否
    ・S3暗号化設定変更拒否
    ・EBS非暗号化検知
    親OUで設定したガードレールは、
    子OUに引き継がれる。
    ※ただし予防のみで検知は対象外
    #nncwebinar
    

    View Slide

19. 18
    Copyright（C） NRI Netcom, Ltd. All rights reserved.
    SOMPOグループ様における組織単位 (OU) の構成
    ◼各社ごとにProd、Devの2つずつOUを用意
    ◼ネスト（階層）は無しですべてフラット
    （導入時にControl Towerが未サポートだったため）
    ◼グループ会社固有の要件に対応できるよう、会社ごとにOUを設定
    [会社A]-Prod OU [会社A]-Dev OU
    [会社A]-Prod OU [会社A]-Dev OU
    #nncwebinar
    

    View Slide

20. 19
    Copyright（C） NRI Netcom, Ltd. All rights reserved.
    SOMPOグループ様における組織単位 (OU) の構成
    ◼各社ごとにProd、Devの2つずつOUを用意
    ◼ネスト（階層）は無しですべてフラット（導入時に未サポートだったため）
    ◼グループ会社固有の要件に対応できるよう、会社ごとにOUを設定
    ◼Control Towerで作成される共通のOU（Security）を使用
    ◼これらをマネジメントアカウントで管理
    [会社A]-Prod OU [会社A]-Dev OU
    [会社A]-Prod OU [会社A]-Dev OU
    Security OU
    ログアーカイブ
    S3
    Cloud Trail Logs
    Config Logs
    監査
    Config CloudTrail
    その他
    セキュリティ
    サービス
    マネジメント
    Control Tower Organizations
    #nncwebinar
    

    View Slide

21. 20
    Copyright（C） NRI Netcom, Ltd. All rights reserved.
    アーキテクチャ Deep Dive②
    SCP
    

    View Slide

22. 21
    Copyright（C） NRI Netcom, Ltd. All rights reserved.
    SOMPOグループ様におけるSCPの基本方針
    ◼SCPは強力であり、拒否した設定は一律操作不可能となるため
    利用者へ影響が出ないよう以下方針で設定
    ⚫Control Towerや共通セキュリティ機能の設定内容を変更させない
    ⚫ルートユーザーのアクセスキーを使用させない
    ⚫使用していない、使用予定のないリージョンは使用させない
    #nncwebinar
    

    View Slide

23. 22
    Copyright（C） NRI Netcom, Ltd. All rights reserved.
    Control Towerで設定されるSCP
    Control Towerを使用して以下2種類のSCPをまず設定
    各社アカウント
    Config
    「aws-controltower-」
    で始まる証跡の変更
    以下のIAMロールの変更
    「aws-controltower-」で始まる
    「AWSControlTower」を含む
    「stacksets-exec-」を含む
    ルートユーザーの
    アクセスキーの作成
    ルートユーザーの
    アクセスキー
    SNS
    Configの設定変更
    CloudWatch Logs
    Lambda
    CloudTrail
    IAMロール
    Control Towerで作成される
    Configルールの変更
    「aws-controltower」
    を含むロググループの変更
    「aws-controltower-」
    で始まるイベントの変更
    「aws-controltower-」
    で始まる関数の変更
    「aws-controltower-」
    で始まるトピックの変更
    トピック「aws-controltower-SecurityNotifications」
    のサブスクリプションの変更
    EventBridge
    Control Towerで自動設定されるSCP（必須の予防ガードレール、自動設定されるSCP）
    Control Towerから追加設定できるSCP（推奨、選択的予防ガードレール）
    #nncwebinar
    

    View Slide

24. 23
    Copyright（C） NRI Netcom, Ltd. All rights reserved.
    Control Towerで設定されるSCP＋ＳＯＭＰＯグループ様独自のSCP
    Control Towerを使用して以下2種類のSCPをまず設定
    各社アカウント
    Config
    「aws-controltower-」
    で始まる証跡の変更
    以下のIAMロールの変更
    「aws-controltower-」で始まる
    「AWSControlTower」を含む
    「stacksets-exec-」を含む
    ルートユーザーの
    アクセスキーの作成
    ルートユーザーの
    アクセスキー
    SNS
    Configの設定変更
    CloudWatch Logs
    Lambda
    CloudTrail
    IAMロール
    Control Towerで作成される
    Configルールの変更
    「aws-controltower」
    を含むロググループの変更
    「aws-controltower-」
    で始まるイベントの変更
    「aws-controltower-」
    で始まる関数の変更
    「aws-controltower-」
    で始まるトピックの変更
    トピック「aws-controltower-SecurityNotifications」
    のサブスクリプションの変更
    EventBridge
    Control Towerで自動設定されるSCP（必須の予防ガードレール、自動設定されるSCP）
    Control Towerから追加設定できるSCP（推奨、選択的予防ガードレール）
    「（独自Prefix）-」
    で始まるイベントの変更
    「 （独自Prefix） -」
    で始まる関数の変更
    GuardDuty
    Security Hub
    GurardDuty、SecurityHub
    の無効化拒否
    「 （独自Prefix） -」
    で始まるトピックの変更
    「 （独自Prefix） -」で始まる
    Region
    一部リージョンの
    利用
    ＳＯＭＰＯグループ様独自で設定したSCP
    #nncwebinar
    

    View Slide

25. 24
    Copyright（C） NRI Netcom, Ltd. All rights reserved.
    使用可能としたリージョン
    # コード リージョン名
    1 us-east-1 米国東部（バージニア北部）
    2 us-east-2 米国東部 (オハイオ)
    3 us-west-2 米国西部 (オレゴン)
    4 ap-northeast-1 アジアパシフィック (東京)
    5 ap-northeast-2 アジアパシフィック (ソウル)
    6 ap-northeast-3 アジアパシフィック (大阪)
    7 ap-southeast-1 アジアパシフィック (シンガポール)
    8 ap-southeast-2 アジアパシフィック (シドニー)
    9 eu-central-1 欧州 (フランクフルト)
    10 eu-west-1 欧州 (アイルランド)
    11 eu-west-2 欧州 (ロンドン)
    12 eu-north-1 欧州 (ストックホルム)
    ◼Control Towerがサポートしており、利用実績のあるリージョンを利用対象
    ◼大阪リージョンはControl Towerサポート外だが、DR対応としてすでに活用が進んでいるため利用許可
    #nncwebinar
    

    View Slide

26. 25
    Copyright（C） NRI Netcom, Ltd. All rights reserved.
    アーキテクチャ Deep Dive③
    既存環境へのControl Tower導入について
    

    View Slide

27. 26
    Copyright（C） NRI Netcom, Ltd. All rights reserved.
    Control Tower導入前の状態
    1つのOrganizations配下に、OUなしで多数のアカウントが存在
    マネジメント（管理者）
    Organizations
    B社既存アカウント
    A社既存アカウント
    OUなし
    ROOT直下にフラット
    #nncwebinar
    

    View Slide

28. 27
    Copyright（C） NRI Netcom, Ltd. All rights reserved.
    Control Tower導入直後の状態
    Security OUと新規アカウント２つ、空のSandbox OUが1つできる
    既存アカウントには影響しない（SCPやConfigルールは適用されない）
    マネジメント（管理者）
    Organizations
    B社既存アカウント
    A社既存アカウント
    監査アカウント
    Config SNS
    ログアーカイブアカウント
    S3
    ・CloudTrail証跡ログ
    ・Configログ
    Security OU Sandbox OU
    既存は影響なし
    Control Tower
    #nncwebinar
    

    View Slide

29. 28
    Copyright（C） NRI Netcom, Ltd. All rights reserved.
    Control Tower導入後、既存アカウントの適用
    Control Tower経由でOUを作成し、アカウントを登録することで
    ガードレール（SCP、Configルール）が適用される
    アカウントは1つずつ登録できるので、段階的な移行が可能
    既存環境でもControl Towerの導入は可能
    マネジメント（管理者）
    Organizations
    C社既存アカウント
    B社既存アカウント
    監査アカウント
    Config SNS
    ログアーカイブアカウント
    S3
    ・CloudTrail証跡ログ
    ・Configログ
    Security OU Sandbox OU
    Control Tower
    A社 Prod OU
    A社既存アカウント
    段階的に移行できる
    #nncwebinar
    

    View Slide

30. 29
    Copyright（C） NRI Netcom, Ltd. All rights reserved.
    参考：Control Towerで見えるアカウントの状態
    Root所属で「未登録」のアカウント
    は共通セキュリティ機能 未適用
    #nncwebinar
    

    View Slide

31. 30
    Copyright（C） NRI Netcom, Ltd. All rights reserved.
    アーキテクチャ Deep Dive④
    アカウント作成（移行）時の自動設定
    

    View Slide

32. 31
    Copyright（C） NRI Netcom, Ltd. All rights reserved.
    CloudFormation StackSetsによる自動展開
    OUにあらかじめCloudFormation StackSetsをデプロイしておくことで、
    アカウント追加時にCloudFormationスタックが自動作成される。
    ※大阪リージョン用の設定も実施
    Control Tower
    新規アカウント
    アカウント
    作成
    OU所属を検知
    自動実行
    スタック展開
    OU
    マネジメント（管理者）
    CloudFormation
    StackSets
    Stack
    IAM Access Analyzerや
    通知用SNSトピックなどを設定
    #nncwebinar
    

    View Slide

33. 32
    Copyright（C） NRI Netcom, Ltd. All rights reserved.
    EventBridgeとStepFunctionsによるアカウント設定自動実行
    Control TowerのAccount Factoryでアカウント作成後、
    「CreateManagedAccount」というイベントが発行されるので、
    それをEventBridgeに渡してStep Functionsのステートマシンを自動実行
    ※大阪リージョン用の設定も実施
    Control Tower
    新規アカウント
    アカウント
    作成
    作成完了後
    イベント発行
    GuardDutyの集約、
    Security Hubの基準無効など
    CloudFormationでできない処理を実行
    設定
    EventBridge
    Step Functions
    ステートマシン起動
    #nncwebinar
    

    View Slide

34. 33
    Copyright（C） NRI Netcom, Ltd. All rights reserved.
    アカウント管理者はアカウント作成をやれば良いだけ
    アカウント管理者は、Account Factoryからアカウント作成のみ実施すれば、
    あとはCloudFormation StackSetsとStep Functionsが良い感じに設定してくれる
    Step Functionsから送信される完了メールを待つのみ
    各社アカウント
    CloudTrail
    GuardDuty
    Security Hub
    Config
    Access
    Analyzer
    マネジメント
    （管理者）
    Control Tower
    SNS
    CloudFormation
    StackSets
    自動設定
    自動設定
    HD管理者
    アカウント
    作成
    Lambda
    Step Functions
    手動作業はアカウント作成だけ
    #nncwebinar
    

    View Slide

35. 34
    Copyright（C） NRI Netcom, Ltd. All rights reserved.
    アーキテクチャ Deep Dive⑤
    イベント通知のカスタマイズ
    

    View Slide

36. 35
    Copyright（C） NRI Netcom, Ltd. All rights reserved.
    Control Tower初期状態の通知設定
    Configルールの準拠/非準拠の通知が、各リージョンのSNSトピックに通知される
    各リージョンに
    サブスクリプションができる
    非準拠だけでなく準拠も
    通知される
    #nncwebinar
    

    View Slide

37. 36
    Copyright（C） NRI Netcom, Ltd. All rights reserved.
    Control Tower通知内容を変更
    サブスクリプションは全リージョン共通の1つとし、Configルールは非準拠のみ通知
    サブスクリプションは1つ
    Configルールは非準拠のみ
    検知できるよう絞り込み
    HD
    管理者
    #nncwebinar
    

    View Slide

38. 37
    Copyright（C） NRI Netcom, Ltd. All rights reserved.
    SecurityHub経由で、GuardDutyの検知内容も通知
    HD
    管理者
    #nncwebinar
    

    View Slide

39. 38
    Copyright（C） NRI Netcom, Ltd. All rights reserved.
    各社（各アカウント）へも通知機能を実装
    各社
    管理者
    #nncwebinar
    

    View Slide

40. 39
    Copyright（C） NRI Netcom, Ltd. All rights reserved.
    ガイドラインの作成について
    

    View Slide

41. 40
    Copyright（C） NRI Netcom, Ltd. All rights reserved.
    各アカウントにセキュリティ機能が設定された
    Service Control Policy（SCP）
    各社アカウント
    各社アカウント
    CloudTrail
    GuardDuty
    Security Hub
    Config
    Access
    Analyzer
    マネジメント
    （管理者）アカウント
    Control Tower
    SNS
    CloudFormation
    StackSets
    自動設定
    自動設定
    監査アカウント
    GuardDuty
    Security Hub
    Config
    Access
    Analyzer
    SNS
    ログアーカイブアカウント
    S3
    ・CloudTrail証跡ログ
    ・Configログ
    全アカウント分
    全アカウント分
    HD管理者
    管理、設定
    確認
    各社
    管理者
    Lambda
    Step Functions
    #nncwebinar
    めでたく各アカウントに共通セキュリティ機能が自動設定されるようになった
    

    View Slide

42. 41
    Copyright（C） NRI Netcom, Ltd. All rights reserved.
    各アカウントにセキュリティ機能が設定された
    Service Control Policy（SCP）
    各社アカウント
    各社アカウント
    CloudTrail
    GuardDuty
    Security Hub
    Config
    Access
    Analyzer
    マネジメント
    （管理者）アカウント
    Control Tower
    SNS
    CloudFormation
    StackSets
    自動設定
    自動設定
    監査アカウント
    GuardDuty
    Security Hub
    Config
    Access
    Analyzer
    SNS
    ログアーカイブアカウント
    S3
    ・CloudTrail証跡ログ
    ・Configログ
    全アカウント分
    全アカウント分
    HD管理者
    管理、設定
    確認
    各社
    管理者
    Lambda
    Step Functions
    #nncwebinar
    めでたく各アカウントに共通セキュリティ機能が自動設定されるようになった
    めでたしめでたし
    

    View Slide

43. 42
    Copyright（C） NRI Netcom, Ltd. All rights reserved.
    各アカウントにセキュリティ機能が設定された
    めでたく各アカウントに共通セキュリティ機能が自動設定されるようになった
    めでたしめでたし
    ではない！
    Service Control Policy（SCP）
    各社アカウント
    各社アカウント
    CloudTrail
    GuardDuty
    Security Hub
    Config
    Access
    Analyzer
    マネジメント
    （管理者）アカウント
    Control Tower
    SNS
    CloudFormation
    StackSets
    自動設定
    自動設定
    監査アカウント
    GuardDuty
    Security Hub
    Config
    Access
    Analyzer
    SNS
    ログアーカイブアカウント
    S3
    ・CloudTrail証跡ログ
    ・Configログ
    全アカウント分
    全アカウント分
    HD管理者
    管理、設定
    確認
    各社
    管理者
    Lambda
    Step Functions
    #nncwebinar
    

    View Slide

44. 43
    Copyright（C） NRI Netcom, Ltd. All rights reserved.
    共通セキュリティ機能で守れる範囲は一部のみ
    AWSの
    セキュリティ
    機能を使って
    対策する範囲
    AWSが対策を
    実施している範囲
    AWS以外の
    サービスを
    利用する範囲
    AWSが責任を持つ範囲
    AWSの機能でセキュリティを保てる範囲
    CloudTrail Config Trusted
    Advisor
    Security Hub GuardDuty
    一部を共通セキュリティ機能で対策
    Personal
    Health
    Dashboard
    IAM
    Access
    Analyzer
    • AWSが提供していないセキュリティ機能
    • 運用負荷を軽減するための機能
    • 開発スピードを加速させるための機能
    など
    法規制体制 物理冗長性
    施設 ハイパーバイザ
    ネットワーク ストレージ サーバ
    セキュリティ診断 アクセス制御
    ファイアウォール ユーザー認証
    フォレンジック データ暗号化
    AWS以外のサービスを利用する範囲
    セキュリティ診断 フォレンジック
    アンチマルウェア IPS/IDS, WAF
    インシデント・レスポンス
    この範囲の一部だけ
    #nncwebinar
    

    View Slide

45. 44
    Copyright（C） NRI Netcom, Ltd. All rights reserved.
    共通セキュリティ機能で実現できないこと
    # 実現できないこと 実施手段例
    1 アプリの脆弱性の検知 セキュアコーディング,SAST,DAST,アプリ脆弱性診断
    2 アプリの脆弱性の緩和 WAF (AWSであればAWS WAFやWafCharmなど)
    3 OSレイヤー／コンテナ／サーバレス特有のセキュリ
    ティ
    Contrast , Vuls , Amazon Inspector ,Dome9 等
    プラットフォーム/コンテナ脆弱性診断
    4 ネットワークのセキュリティ
    (共通セキュリティ機能で実現できる部分もあり)
    VPC Flow logs、IDSの導入
    ネットワーク脆弱性診断
    5 保持しているデータの機密情報検知 Amazon Macie (日本語未対応)
    6 ウィルススキャン・マルウェア検知 TrendMicro Cloud One,F-Secure
    7 検知した設定上の不備の自動是正 AWS Config Conformance Packs ,Dome9 等
    8 AWS SSOによるシングルサインオン環境提供 各社毎踏み台アカウントとIdPを構築
    9 IAMのユーザー、権限設定 〔最小特権の原則〕
    (IAM Access Analyzerで実現できる部分もあり)
    ガイドラインを参考に各社要件に従い設定
    ※共通セキュリティ機能の運用も、利用者（各社管理者）が実施する必要がある
    #nncwebinar
    

    View Slide

46. 45
    Copyright（C） NRI Netcom, Ltd. All rights reserved.
    実現できない部分を知識で補うため、ガイドラインの作成、説明を実施
    共通セキュリティ機能の使い方、実装方針を書いたガイドラインを作成し、各社へ説明、配布
    各社
    管理者
    CCoEメンバー
    各社
    管理者
    各社
    管理者
    ガイド
    ライン
    #nncwebinar
    

    View Slide

47. 46
    Copyright（C） NRI Netcom, Ltd. All rights reserved.
    ガイドラインの内容例：セキュリティ機能の説明
    Security Hubの確認方法と、ルールの対応方法を説明
    ※ＳＯＭＰＯグループ様では「AWS の基本的なセキュリティのベストプラクティス標準」基準を有効にした
    #nncwebinar
    

    View Slide

48. 47
    Copyright（C） NRI Netcom, Ltd. All rights reserved.
    ガイドラインを作成、配布してみて・・
    ◼AWSのセキュリティサービスへの理解を深めてもらえた
    ◼自分たちで運用していく必要性も理解していただいた
    改善ポイントも・・
    ◼200ページ超えの大作となり、すべて読むのはツライボリューム
    （実装方針が多いので、そこは辞書的に使ってもらえると嬉しい）
    ◼AWS側でアップデートが多いと追従がツライ・・
    基本方針だけ記載し、あとは利用者側で学習できる組織になるのが理想と考えているが、
    現状まだ難しい部分も多い
    #nncwebinar
    

    View Slide

49. 48
    Copyright（C） NRI Netcom, Ltd. All rights reserved.
    まとめ、今後に向けて
    

    View Slide

50. 49
    Copyright（C） NRI Netcom, Ltd. All rights reserved.
    まとめ、今後に向けて
    まとめ
    ◼組織全体でAWSアカウントのセキュリティ基礎設定ができた（一部予定）
    ◼情報集約も行い、各社のセキュリティ状況を可視化できた
    ◼ガイドラインにより、セキュリティサービスの概要と必要性を各社に理解していただいた
    今後に向けて
    ◼まだ状況が見えてきた程度なので、実際のセキュリティレベル向上を進めたい
    ◼課題となるのはシステム構築や計画が多い、CCoEとして何ができるか検討したい
    ◼Control Towerの機能アップデートにも期待
    ⚫ 大阪リージョン未対応
    ⚫ ログの保存期間（現状1年間）
    ⚫ アカウント作成に時間がかかる（直列実行が必要）
    #nncwebinar
    

    View Slide

51. 50
    Copyright（C） NRI Netcom, Ltd. All rights reserved.
    ありがとうございました
    

    View Slide