AWS re:Inforce 2023 re:Cap

Transcript

1. AWS re:Inforce re:Cap ※本資料内容の転載、複製、改変等、および許諾のない二次利用を禁止します。

2. 上野 史瑛（うえの ふみあき） AWS設計・構築、採用、育成、 WEBシステムのインフラ構築、 セキュリティ機能の実装などを担当 AWS re:Inforceは2019年、2023年の2回参加 NRIネットコム /

   Cloud Architect

3. お話すること １ ２ AWS re:Inforceについて Keynote（基調講演）で 印象に残ったメッセージ 3 アップデート情報まとめ

4. AWS re:Inforceについて

5. AWS re:Inforce基本情報 ⚫AWSセキュリティ&コンプライアンスに関するグローバル学習型カンファレンス ⚫セッション数 約400個(re:Inventは約2300個) ⚫期間 2023/6/13（火）～2023/6/14（水） ⚫開催場所 アナハイム（カルフォルニア ディズニーのお隣）

   ⚫セッション数、会場等の規模はre:Inventに比べて小さい ⚫実用的なセッションが多い（個人的な感想）

6. AWS Security Jamの紹介 ※以下「2022年 AWS Security Jam 開催のご案内」より AWS Security

   Jam は、権限管理、ネットワークセキュリティ、暗号化、自動化、 CI/CD、インシデントレスポンスなどに関連するサービスを利用して、参加者が各課 題ごとに AWS 環境を適切に修正しポイントを競うゲーミング形式のイベントです。 出典：2022年 AWS Security Jam 開催のご案内 https://aws.amazon.com/jp/blogs/news/aws-security-jam-2022-intro/ ⚫4~5人程度でイベントで会った方々とチームを組む ⚫AWSアカウント（環境）がイベントから払い出される ⚫環境の修正を行ってポイントを稼ぐ ⚫多く、早く修正を行ったチームが優勝！景品あり ⚫Security Jamはセキュリティ関連の機能、サービスが多い

7. AWS Security Jamの雰囲気 出典：AWS Jam ポータル 出典：AWS Jam ポータル

8. 参加して2位でした これ（赤） 出典：AWS Jam ポータル

9. 参加証、景品が豪華 ⚫参加するだけで色々と貰えた ⚫２位はニット帽、１位はブランケットだった AirTag モバイル バッテリー 靴下 ステッカー ２位の ニット帽

10. Keynote（基調講演）で 印象に残ったメッセージ

11. Security is our top priority (セキュリティは最優先）

12. Security is our top priority ⚫顧客を守ることがAWSの最優先 ⚫セキュリティは常に変化している ⚫AIなどの技術によって脅威や防御方法も多様になってきている ⚫AWSでは常にセキュリティに投資し、深い調査を行なっている

13. WHY 動機、理由 WHO 誰 HOW 方法

14. 犯罪者の特定方法 WHY なぜ殺したのか？ HOW どう殺したのか？ WHO 犯人は誰？

15. サイバーセキュリティにおいては HOWの特定が役立つこともある WHY 動機は？ HOW どうやったのか？ WHO 誰が？

16. サイバーセキュリティにおいては HOWの特定が役立つこともある WHY 動機は？ HOW どうやったのか？ WHO 誰が？ 例： 恨みのある人が

    例： 混乱を招くために いたずら心で 例： データの削除を 実行 ここを特定、予測 して防御

17. Good enough is never good enough (“充分”は常に充分ではない）

18. Good enough is never good enough ⚫毎年数千の機能をリリースし、多くのテストを行なっている ⚫ハイパーバイザーの脆弱性を減らすため、Nitro Systemの開発も続けている ⚫AWSのオペレータでさえもAWS上のデータにはアクセスできない

    ⚫英国のセキュリティコンサルティング会社NCCから第三者評価も獲得している ⚫LambdaやFargateなどのサーバーレスについても、基盤となるFirecrackerが セキュアに実装されており使うだけでそのメリットを享受できる 出典：AWS re:Inforce 2023 - Keynote with CJ Moses https://www.youtube.com/watch?v=_piUB5FrYVE

19. 数字で見るAWSとセキュリティ

20. AWSでは大量の情報量を扱っている 300GB/秒 VPCフローログ 3,500億/日 AWS WAF Managed Rule アクセス 70万/年

    DDoS攻撃を軽減 10億/秒 AWS IAMのAPI実行 数値情報の出典：AWS re:Inforce 2023 - Keynote with CJ Moses https://www.youtube.com/watch?v=_piUB5FrYVE

21. AWSでは大量の情報量を扱っている 300GB/秒 VPCフローログ 3,500億/日 AWS WAF Managed Rule アクセス 70万/年

    DDoS攻撃を軽減 10億/秒 AWS IAMのAPI実行 数値情報の出典：AWS re:Inforce 2023 - Keynote with CJ Moses https://www.youtube.com/watch?v=_piUB5FrYVE Amazon GuardDuty Resolver DNS firewall AWS Shield 大量の情報を分析してサービ スにも取り込んでいる ⇨AWS上の脅威検知は AWSサービスでやると良い

22. Security Aware Culture (セキュリティ意識の高い文化）

23. セキュリティ意識を組織として持つ 出典：AWS re:Inforce 2023 - Keynote with CJ Moses https://www.youtube.com/watch?v=_piUB5FrYVE

    出典：AWS re:Inforce 2023 - Keynote with CJ Moses https://www.youtube.com/watch?v=_piUB5FrYVE ⚫デルタ航空CISO Debbie氏より事例の紹介あり ⚫セキュリティが重要になる航空会社で、組織のセキュリティ文化を育成している

24. AWSの事例 出典：AWS re:Inforce 2023 - Keynote with CJ Moses https://www.youtube.com/watch?v=_piUB5FrYVE

    ⚫AWSではサービスチームがセキュリティのオーナーシップを持つ ⚫コードスキャンツールなどを活用し、自動化も組み合わせる ⚫こうすることでスピーディかつよりセキュアな開発プロセスが実現できる

25. 私個人の経験 ⚫GuardDutyを組織管理者が一括有効にする ⚫アカウント管理者側から見ると一方的に有効にされており、通知が来ても 「なんだこれ？」状態に陥る＝セキュリティ意識がメンバーで持てていない ⚫有効にするのであれば利用者や開発者にも基礎知識、是正意識が必要 Management Account 管理者 全体管理者 Account

    管理者 Account 管理者 Amazon GuardDuty Amazon GuardDuty Amazon GuardDuty Amazon GuardDuty この通知は 何？ GuardDutyを ON

26. Shift Security Left ⚫セキュリティに関する対応を早い段階（左）に移すという考え方 ⚫開発プロセスの最初からセキュリティ検知の機能を組み込み、リスクを低減 ⚫「チームが情報セキュリティを時間軸上の左へ移動すると、 継続的デリバリを実現する能力が向上し、ひいてはパフォーマンスも向上する」 出典：AWS re:Inforce 2023

    - Keynote with CJ Moses https://www.youtube.com/watch?v=_piUB5FrYVE 出典：LeanとDevOpsの科学 https://amzn.asia/d/fwClndw

27. 私個人の経験 ⚫サーバーレスアプリの開発を行っていた ⚫機能の実装を最優先にしており、本格的なセキュリティ対応（チェック）は行わずにリ リース前の第三者のセキュリティ診断を実施 ⚫フレームワークを使う規模でもなかったため独自実装が多かった ⚫結果としては問題なかったが、脆弱性が発生していたら大きな手戻りが発生する、また心 理的にも良くない状況だった 設計 開発 テスト

    セキュリティ 診断 リリース Amazon API Gateway AWS Lambda 大きな指摘が来たら リリースできない

28. AWSサービスの活用 ⚫AWSサービスでも各開発プロセスで使用できるセキュリティ機能がある ⚫re:InforceでもShift Leftに役立つ多くのアップデートが紹介された 出典[GS-1-1] Invent and Simplify - クラウドとAIを活用したソフトウェア開発の未来：

    https://www.youtube.com/watch?v=6Jkn_qaLph8

29. AWS Partners

30. AWSパートナーとの強化も強くなっている 出典：AWS re:Inforce 2023 - Keynote with CJ Moses https://www.youtube.com/watch?v=_piUB5FrYVE

    出典：AWS re:Inforce 2023 - Keynote with CJ Moses https://www.youtube.com/watch?v=_piUB5FrYVE Amazon Security Lake

31. AWS Digital Audit Symposium

32. AWS Digital Audit Symposium ⚫データセンターの監査にはコストやセキュリティリスクがある ⚫デジタルツアーによってコスト、リスク共に下げることができる 出典：AWS re:Inforce 2023 -

    Keynote with CJ Moses https://www.youtube.com/watch?v=_piUB5FrYVE

33. アップデートまとめ

34. Amazon Verified Permissionsが一般提供開始 ⚫ 従来アプリケーションで実装していた権限管理をAWSサービスに外出しする という特徴を持つ ⚫ Cedarと呼ばれるAWSが開発した言語を使用してポリシーを記載する Verified Permission

    写真シェアアプリ 写真 ①アップ Alice Bob ②シェア ③閲覧 Permission Permission 管理を外出し

35. Amazon CodeGuru Security ⚫ static application security testing (SAST) ツール

    ⚫ コードの脆弱性を検知してくれる ⚫ MLベースで誤検知（False Positive）を減らす 出典：AWSマネジメントコンソール CodeGuru

36. Amazon Inspector Code Scans for AWS Lambda function ⚫ Inspectorから有効にすることでLambaのコードを自動スキャン

    ⚫ 検出内容はCodeGuruがベースになっている ⚫ 影響を受けているコード箇所や修正案の提示まで行ってくれる ⚫ 料金は0.36USD+0.65USD/1関数（スタンダード+コードスキャン） 出典：AWSマネジメントコンソール Inspector

37. Amazon Detective extends finding groups ⚫ GuardDutyの検出結果と関連リソースをDetectiveがグループ化して 可視化してくれる 出典：Analyzing finding

    groups https://docs.aws.amazon.com/detective/latest/userguide/groups-about.html

38. Amazon GuardDuty Summary機能 出典：AWSマネジメントコンソール GuardDuty ⚫ これまでは検出結果の一覧が表示されていた ⚫ 時間経過に伴う傾向や結果件数の内訳が表示されるようになった

39. CloudTrail Lake dashboards 出典：Announcing AWS CloudTrail Lake Dashboards – Visualize

    and Analyze CloudTrail data https://aws.amazon.com/jp/blogs/mt/announcing-aws-cloudtrail-lake-dashboards-visualize-and-analyze-cloudtrail-data/ ⚫CloudTrail Lakeを有効にすることで自動的にダッシュボードを表示

40. Amazon EC2 Instance Connect Endpoint ⚫プライベートなEC2インスタンスへSSH/RDPアクセスが可能に ⚫Session Managerと比べて、VPCエンドポイントやSSMエージェントが不要と いう特徴がある ⚫Session

    Managerの持つ操作ログ出力機能は無い 出典：Security groups for EC2 Instance Connect Endpoint https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/eice-security-groups.html

41. AWS Security Hub automation rules ⚫これまで手動もしくは開発した処理で変更が必要だったSecurity Hubの結果を、 簡単かつ柔軟に自動設定できる機能 ⚫うまく活用してSecurity Hubのスコア向上と健全化が目指しやすくなった

    出典：AWSマネジメントコンソール Security Hub

42. アップデート所感① アプリケーション、コードに関する 新機能が多い

43. ちょっと前までのAWSの提供機能イメージ ハードウェア、 ネットワーク OS ミドルウェア ライブラリ アプリケーション

44. 最近のAWSの提供機能イメージ ハードウェア、 ネットワーク OS ミドルウェア ライブラリ アプリケーション 最近はコードを含む アプリケーションに関わる新機能が多い

45. アップデート所感② 可視化関連のアップデート 今後の期待

46. AWSセキュリティサービスの運用課題 初期設定 検知内容の理解 修正対応 難しさ ⚫初期設定は割と簡単にできるが、実運用になるとハードルが高くなる （GuardDutyなど） 理解、対応のハードルが 初期設定に比べ高い

47. AWSセキュリティサービスの運用課題 初期設定 検知内容の理解 修正対応 難しさ ⚫AWSによる可視化機能が多く発表された ⚫修正対応までのハードルが下がってくれると嬉しい 可視化により 興味を持つ、ハードルが下 がる

    自動可視化

48. 最終的には・・セキュリティ運用を楽にしたい 出典：AWS re:Inforce 2023 - Keynote with CJ Moses https://www.youtube.com/watch?v=_piUB5FrYVE

49. ありがとうございました