Upgrade to Pro
— share decks privately, control downloads, hide ads and more …
Speaker Deck
Features
Speaker Deck
PRO
Sign in
Sign up for free
Search
Search
AWSのセキュリティサービスを学ぶ
Search
fumiakiueno
February 17, 2023
Technology
1.4k
6
Share
Embed
Copy iframe code
Copy JS code
Copy link
Start on current slide
AWSのセキュリティサービスを学ぶ
fumiakiueno
February 17, 2023
More Decks by fumiakiueno
See All by fumiakiueno
AWS re:Inforce 2023 re:Cap
fu3ak1
1
250
AWS Security Jamのすすめ
fu3ak1
1
420
Learning AWS Security Services
fu3ak1
0
340
re:Invent 2022 re:Cap
fu3ak1
0
420
なぜ我々は現地ラスベガスでreInventに参加するのか
fu3ak1
0
2.1k
AWS Control TowerとAWS Organizationsを活用した組織におけるセキュリティ設定
fu3ak1
6
4.8k
reInventガイドを書いたのでセッションおススメ情報をお伝えしたい
fu3ak1
2
1.5k
Amazon Lookout for Metrics触ってみた
fu3ak1
0
730
なぜ「Infrastructure as Code」が必要なのか
fu3ak1
1
8k
Other Decks in Technology
See All in Technology
從觀望到全公司落地:AI Agentic Coding 導入實戰 — 流程整合與安全治理
appleboy
0
160
Amazon Redshift zero-ETL 統合を活用した軽量なマルチプロダクトデータ可視化基盤 / Lightweight Multi-Product Data Visualization with Amazon Redshift Zero-ETL
kaminashi
0
110
#エンジニアBooks 30分でわかる 「技術記事を書く技術」 / engineer-books 2026-06-30
jnchito
1
130
AIエージェントとPhysical AIが拓く製造業の変革(ハノーバーメッセリキャップ)
iotcomjpadmin
0
160
Lightning近況報告
kozy4324
0
230
4人目のSREはAgent
tanimuyk
0
280
現場のトークンマネジメント
dak2
1
200
AWS Summit 2026で見えたSIerにとっての Amazon Quickの位置づけ
maf_0521
0
110
製造現場での生成AIの活用、およびエージェントAIの実装のあり方、AVEVAの取り組み
iotcomjpadmin
0
180
AI-DLCを “そのまま導入しなかった”話 ~組織に合わせてアジャストした 私たちの実践共有~
hiroramos4
PRO
1
440
打造你的 AI 工作流:Agent Skill + MCP 實戰工作坊
appleboy
0
160
飲食店もAIで。レジ締めやハンディシステムをつくってる話 / Using AI for restaurant management
vtryo
0
200
Featured
See All Featured
Practical Orchestrator
shlominoach
191
11k
Visualizing Your Data: Incorporating Mongo into Loggly Infrastructure
mongodb
49
10k
It's Worth the Effort
3n
188
29k
Docker and Python
trallard
47
3.9k
Rebuilding a faster, lazier Slack
samanthasiow
85
9.5k
State of Search Keynote: SEO is Dead Long Live SEO
ryanjones
0
210
How to audit for AI Accessibility on your Front & Back End
davetheseo
0
450
How to train your dragon (web standard)
notwaldorf
97
6.7k
AI Search: Implications for SEO and How to Move Forward - #ShenzhenSEOConference
aleyda
1
1.3k
The Anti-SEO Checklist Checklist. Pubcon Cyber Week
ryanjones
0
170
The Myth of the Modular Monolith - Day 2 Keynote - Rails World 2024
eileencodes
28
3.5k
Efficient Content Optimization with Google Search Console & Apps Script
katarinadahlin
PRO
1
640
Transcript
AWSのセキュリティ サービスを学ぶ
上野 史瑛 NRIネットコム / Cloud Architect AWS設計、構築プロジェクトを多く担当 採用活動やAWSアライアンス活動も実施 @fu3ak1
セキュリティはAWSで最優先事項 Security is our top priority at AWS(*) *出典:「AWS Security
Incident Response Guide」 https://docs.aws.amazon.com/ja_jp/whitepapers/latest/aws-security-incident-response-guide/introduction.html
セキュリティはどこでも出てくる たとえばこんなアーキテクチャ・・ AWS Cloud VPC Public subnet Private subnet Application
Load Balancer Private subnet Amazon EC2 Amazon Aurora
セキュリティはどこでも出てくる セキュリティ対応やサービスはたくさんある 監査ログ取った?アクセス制御最低限?IAMの権限は最小限? アプリケーション攻撃対策は?など・・ AWS Cloud VPC Public subnet Private
subnet Application Load Balancer Private subnet Amazon EC2 Amazon Aurora AWS WAF Amazon Inspector Amazon GuardDuty AWS CloudTrail AWS Config Flow logs Network access control list Security group Amazon CloudWatch AWS Identity and Access Management (IAM)
クラウド特有のセキュリティ設定がある AWS IAM Long-term security credential Permissions (Bucket Policy) Permissions
(IAM Policy) Amazon S3 クレデンシャル使って大丈夫? 公開しすぎじゃない?
一番大事なセキュリティを学び、 AWSを幅広く知り、 安全にAWSを楽しもう
AWSを学ぶ前に・・ セキュリティってなんだっけ?
(情報)セキュリティの3要素 情報 機密情報、ソースコード、 財務情報など
(情報)セキュリティの3要素 機密性 完全性 可用性 情報 機密情報、ソースコード、 財務情報など この3要素を確保する
(情報)セキュリティの3要素 機密性 完全性 可用性 情報 機密情報、ソースコ ード、財務情報など 侵入 破壊 ウイ
ルス 盗聴 被害の可能性 =リスク 設定不備など 脆弱性 を減らしていく 脅威へ対策する
(情報)セキュリティの3要素 機密性 完全性 可用性 正当な権利を持った人(許可された人)が 情報資産を使用できること 情報資産が(正当な権利を持っていない人によって) 修正されていないこと 情報資産を必要なときに使用できること
AWS内の情報を守る セキュリティサービス 分類別に見ていく
IDおよびアクセス管理 AWSのセキュリティ関連サービス 検出 ネットワークと アプリケーションの保護 データ保護 コンプライアンス IAM Amazon Cognito
AWS Directory Service AWS Organizations AWS Resource Access Manager AWS IAM Identity Center AWS CloudTrail Amazon GuardDuty Amazon Inspector AWS Config AWS Security Hub Amazon CloudWatch AWS Shield AWS WAF Amazon Detective AWS Network Firewall Amazon Route 53 Amazon VPC Amazon Macie AWS CloudHSM AWS KMS AWS Secrets Manager AWS Certificate Manager (ACM) AWS Artifact AWS Systems Manager AWS Trusted Advisor AWS Control Tower インシデント対応 Amazon S3 Amazon Athena Amazon EventBridge Amazon OpenSearch Service
IDおよびアクセス管理
AWS Identity and Access Management (IAM) • そのユーザーは誰?という認証と、何が使えるの?という認可を管理するサービス • 基本項目をまずは理解する
• IAMユーザー:個人ごとに作成し認証、ID/PWまたはアクセスキーを使用 • IAMグループ:複数ユーザーをまとめて管理するもの • IAMポリシー:何にアクセスできるか認可情報をまとめたもの、 ユーザー、グループ、ロールに設定できる • IAMロール:AWSリソースに付与する形でリソースがAWS操作権限を持つ ユーザーが引き受け(assume)し、ロールの権限を使用することも可能 IAMユーザー IAMグループ IAMロール IAMポリシー IAMユーザー 所属 Instance IAMロール IAMポリシー IAMポリシー 引き受け (assume)
AWS Identity and Access Management (IAM) • IAMポリシーの書き方 ⇒何(Resource)に、どの操作(Action)を、許可/拒否(Effect)するのか指定する 必要に応じて条件(Condition)を追加する
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "s3:Get*" ], "Resource": [ "arn:aws:s3:::test-data”, “arn:aws:s3:::test-data/*" ], "Condition": {"Bool": {"aws:MultiFactorAuthPresent": "true"}} } ] } ①test-dataバケット 内のデータに ②Get~で始まる操作を ③許可する ④条件:MFAが有効な場合
AWS Identity and Access Management (IAM) • IAMロールの信頼関係やS3バケットポリシーには、「誰が」というPrincipalも指定する { "Version":
"2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "sts:AssumeRole" ], "Principal": { "Service": [ "ec2.amazonaws.com" ] } } ] } IAMロール IAMポリシー 信頼関係 どこからアクセスできるのか指定 (この例ではEC2) • Resource、Action、Effect、Condition、Principalという基本を知っていると、 バケットポリシーやキーポリシーなどAWSに関するポリシーを幅広く理解できる Instance 引き受け (assume)
AWS Identity and Access Management (IAM) • 以下は基本的にアンチパターン(やらないほうが良い) • ルートユーザー(アカウントメールアドレスのユーザー)の使用
対策:IAMユーザーを使う • アクセスキー/シークレットアクセスキーの使用 対策:IAMロールを使う
AWS Organizations • 複数アカウントをまとめて管理するサービス • 組織単位(OU)というグループを使用してグループごとに管理できる • 各アカウントのセキュリティ情報集約機能、自動設定機能もある • Service
Control Policy(SCP)によって、予防ガードレールを設定できる • AWS Resource Access Manager(RAM)で組織内リソース共有ができる AWS Organizations Management Organizational unit (OU) Organizational unit (OU) SCP IAM Policy SCP IAM Policy 有効なポリシー IAM Policy 1アカウントに自動集約 &各アカウント自動ON GuardDuty GuardDuty GuardDuty GuardDuty GuardDuty
AWS Control Tower • ベストプラクティスなマルチアカウント 環境を自動セットアップするサービス • IAM Identity Center、CloudTrail、
Config、通知用SNS Topicを自動設定 してくれる • 予防的、発見的ガードレール(コントロ ール)を簡単に設定、管理できる • マルチリージョン設定にも対応している AWS Control Tower Management S3 • CloudTrail Logs • Config Logs Log Archive Audit AWS Config Aggregator AWS Organizations AWS IAM Identity Center Prod Security Baseline Amazon VPC (Network Baseline) Amazon SNS Security OU Workloads OU CloudTrail AWS Config
検出
AWS CloudTrail • AWSの操作履歴(誰が、いつ、何を)を保存するサービス • S3等のデータイベントは追加で設定して保存する必要がある • デフォルトで90日分のイベントをサービス側で保存、 それ以上は証跡という形でS3バケットまたはCloudWatch Logsに保存する
プログラム AWS Management Console Instance IAM CloudTrail S3 ログ 操作履歴を記録
AWS Config • AWSの設定履歴(何が、いつ、どう)を保存するサービス • デフォルトで7年間(2557日)分保存される プログラム AWS Management Console
t3.small S3 履歴 配信 設定履歴を記録 AWS Config t3.large IAMポリシー IAMポリシー 変更 変更
AWS Config • 設定がルールに準拠しているかチェックするConfigルールという機能もある • たとえば以下のようなチェックが可能 • CloudTrailの証跡が有効か • Security
GroupでSSHポートが公開されていないか • 修復アクションを設定して、自動修復も可能 • Systems ManagerのAutomation機能が修復アクションとして使用できる AWS Config Rule Security group Instance ①チェック Automation (修復アクション) ②修復
Amazon CloudWatch • メトリクス収集、ログ、監視ができるAWSのモニタリングサービス • 基本機能であるメトリクス(指標)、ログ、アラームをまずは覚える • イベントはより新しいEventBridgeの利用を推奨 • Synthetics、RUM、Evidentlyという比較的新しい機能もある
• Agentをインストールすることで、オンプレミス環境のサーバも使用可能 Instance または ログ Amazon CloudWatch サーバ アプリ Amazon Aurora メトリクス CloudWatch (Agent) アラーム 通知
Amazon EventBridge • AWS上で何かイベントが起きたら、通知や処理を実行できるサービス • イベントドリブンなアプリケーションにも使われるが、 セキュリティ関連でも通知やインシデント対応に多く使われる • 後に紹介するGuarDutyなどのセキュリティサービスもEventBridgeで通知する 通知
CloudTrail Event EventBridge SNS Topic Lambda function 特定の操作 をイベントとして連携 通知する場合は SNS Topicを指定 Lambda関数で 処理の実行も可能
Amazon GuardDuty • AWS環境内の脅威を検知してくれるサービス、有効にするだけで使用可能 • インプット情報はVPC Flow Logs、 CloudTrail、S3データアクセスログ、 DNSログ、Kubernetes
auditログ、EBS(マルウェア)、RDSログインで、 年々増えている • 通知をしたい場合はEventBridgeを使用する GuardDuty Flow logs CloudTrail Amazon RDS Amazon EKS S3 Amazon EBS DNS Logs 検知 Event EventBridge 通知 SNS Topic 2022年1月 2020年7月 2022年7月 2022年11月 (Preview)
AWS Security Hub • 各種AWSセキュリティサービスの集約場所(Hub)として機能するサービス • サードパーティのセキュリティサービスも合わせて集約できる • 業界標準およびベストプラクティスに照らした環境チェックもできる •
CIS AWS Foundations Benchmark • Payment Card Industry Data Security Standard (PCI DSS) • AWS Foundational Security Best Practices GuardDuty Amazon Macie Amazon Inspector AWS Config AWS Security Hub 集約 など AWS Config (ルール) 標準チェックとして Configルール(コントロール) を自動展開 ルール展開
Amazon Inspector • 脆弱性スキャンサービス • EC2インスタンス、ECR(コンテナイメージ)、Lambda関数(New!)に対応 • CVE等のパッケージ脆弱性スキャンとネットワーク到達性スキャンの2種類あり • EC2のパッケージ脆弱性スキャンにはSystems
Manager(SSM)エージェント が必要 Amazon Inspector SSM Agent Amazon EC2 Amazon ECR Image AWS Lambda 脆弱性 スキャン 2022年12月
AWS Trusted Advisor • AWSのベストプラクティスに従って、コスト、パフォーマンス、セキュリティ、 耐障害性、サービス制限の5項目で自動チェックしてくれるサービス • 利用にはビジネスサポート以上のサポートプランが必要 • サポート条件を満たせば自動有効&無料のため、積極的に見ることを推奨
• 2022年1月に、Security Hubのチェック結果も見れるようになった
ネットワークと アプリケーションの保護
Amazon VPC • AWS上にプライベート仮想ネットワークを構築できるサービス • インターネットと直接通信ができるパブリックサブネットと、 直接通信できないプライベートサブネットがある • アクセス制御はネットワークACL(NACL)とセキュリティグループで行う •
通信のログはVPC Flow Logsを設定しS3またはCloudWatch Logsに保存可能 • AWSサービスとプライベートに通信する場合はVPCエンドポイントを使用 Virtual private cloud (VPC) Public subnet Private subnet Security group Instance Security group ALB NACL NACL Flow logs S3 Logs Endpoints S3 比較項目 セキュリティグループ ネットワークACL 設定対象 リソース (EC2インスタンス等) サブネット デフォルト状態 すべて拒否 すべて許可 許可/拒否 許可のみ設定可 許可/拒否の設定可 ステートフル/ ステートレス ステートフル (行き通信のみ許可でOK) ステートレス (行き戻り両方の設定) 「セキュリティグループとネットワークACLの違い」
AWS WAF • AWSマネージドなWeb Application Firewall(WAF)サービス • SQLインジェクションやクロスサイトスクリプティングといったアプリケーションへの攻 撃を防御できる •
Amazon CloudFront、Amazon API Gateway、ALB、AWS AppSync、 Amazon Cognitoユーザープールへ作成したWAF(WEB ACL)を適用できる • WEB ACLという箱のようなリソースを作成し、WEB ACLの中にルールやルールグループ (ルール群)を追加していく • AWSやセキュリティ企業が用意したマネージドルールがあり、ユーザーが独自に設定で きるルール(IP制限など)もある Managed rule Rule WEB ACL ALB API Gateway CloudFront AppSync Cognito アタッチ 2022年8月 2020年10月
データ保護
AWS Key Management Service (AWS KMS) • AWS上でデータを暗号化するときに使用する鍵を管理するサービス • 知らず知らずのうちに他のサービスから呼び出して使用していることも多い
• キーポリシーによって鍵へのアクセス制御ができる • 自動ローテーション機能もある • 暗号化にはサーバーサイド暗号化とクライアントサイド暗号化がある • 専用のハードウェア、VPC内で鍵管理を使用できるCloud HSMという別サービスもある 「S3バケットの暗号化設定」 アプリ 暗号化 S3 「クライアントサイド暗号化」 アプリ 暗号化 S3 「サーバーサイド暗号化」
AWS Key Management Service (AWS KMS) • AWSでは、エンベロープ暗号化というやり方で鍵も暗号化している • KMSキーでデータキーを暗号化し、データキーでデータを暗号化する
• KMSキーが無ければ復号できないので、暗号化されたデータキーとデータは 一緒にデータベースに保存しておいてOK • データを復号するときにKMS内のKMSキーを呼び出す データキー 暗号化 データ AWS KMS KMSキー 暗号化 暗号化
Amazon S3 • 耐久性の高いオブジェクトストレージサービス • アクセス制御はIAMポリシー、バケットポリシー、アクセスコントロールリス ト(ACL)の3種類 • 現在はACLは非推奨となっており、オブジェクト単位で制御したい場合に使用 https://docs.aws.amazon.com/AmazonS3/latest/userguide/access-policy-alternatives-guidelines.html
• オブジェクトのデフォルト暗号化設定があり、有効にするだけで暗号化でき、 KMSキーも指定可能 IAMポリシー S3 Bucket Object オブジェクト ACL アクセス バケット ポリシー 暗号化
AWS Secrets Manager • パスワードなどの認証情報を管理するサービス • アプリケーションはSecrets Managerに登録されている認証情報を使用してデータベース に接続できる •
Systems ManagerのParameter Storeと似たような機能になるが、 以下のような差がある 比較項目 Secrets Manager Parameter Store 対象データ 認証情報 設定値など幅広いデータ SecureString機能で暗号化可能 自動ローテーション 有り 無し データベース統合機能 RDS、Redshiftなどに対応 対応なし 料金 有料 スタンダードは無料 ※KMS暗号化分や、アドバンストは有料 Instance アプリ AWS Secrets Manager パスワード Amazon RDS ①認証情報取得 ②接続
Amazon Macie • S3バケット上にある個人情報などの機密データを発見できるサービス • 2023年2月現在で日本語データには非対応 • 以下のようなデータを検知できる • AWSの認証情報(アクセスキー)
• クレジットカード番号、有効期限、認証データ • 生年月日 • 電話番号 • 運転免許証識別番号 • ユーザー独自のカスタム識別子も設定可能 • 2022年のre:Inventで、機密データの多いバケットを自動検出する機能が追加 Amazon Macie S3 Bucket スキャン、発見
コンプライアンス
AWS Artifact • AWSのコンプライアンスレポートと特定の規制対象となる顧客のための契約、 が用意されているサービス • コンプライアンスはISO認定、PCI、SOCレポートなどに対応している • 内部統制や監査などで指定のコンプライアンスに対応しているか確認できる •
契約では、Health Insurance Portability and Accountability Act (HIPAA) で必要な事業提携契約 (BAA) が可能 • 組織(Organizations)レベルの契約も対応している AWS Artifact コンプライアンス 契約 確認 確認、受諾、 追跡
インシデント対応
AWS Systems Manager • 元々はEC2の機能としてサーバーを管理するサービスとして生まれたが、 現在はAWS内のシステムやアプリケーションを管理するための多くの機能を 持っている • セキュリティにも関連する主要機能は以下のとおり •
Patch Manager:サーバーのパッチ適用を自動管理 • Inventory:サーバー上のソフトウェアメタ情報を収集 • Session Manager:EC2インスタンスへIAM認証、SG公開無しで接続 • Parameter Store:パスワードはDB接続文字列などをパラメータとして管理 • OpsCenter:AWS上で発生するイベント(アラーム等)をOpsItemsとして管理 • Incident Manager:イベント、連絡先、エスカレーションフローを管理 • Automation:Documentとして登録されている一連の操作を実行できる • ここではすべて紹介しきれないので、詳細は公式ドキュメントを参照 https://docs.aws.amazon.com/systems-manager/latest/userguide/what-is-systems-manager.html
Amazon Athena • S3などのデータソースに対し、SQLクエリでデータを分析できるサービス • S3等の低コストなストレージにデータを格納しながら、任意のタイミングで 開発者が慣れているSQLクエリでデータの確認ができる • セキュリティの観点では、CloudTrailやVPC Flow
Logsの分析で使用される • テーブル定義はAWS Glueのデータカタログで管理される Flow logs CloudTrail ALB Amazon CloudFront S3 Athena ログ SQLクエリ AWS Glue Data Catalog
Amazon Detective • Detective=探偵、セキュリティ問題に関する調査用のサービス • IAM ユーザーやロール、IPアドレス別に、時系列情報と共に関連情報を確認で きる • たとえば特定のIAMユーザーが10:00~12:00でどういう操作をしていたのか
といった確認ができる 9:00 10:00 11:00 12:00 13:00 GuardDuty 攻撃 Security Hub Detective ある時点の 脅威検知 ある時点の評価 ある期間 の調査
Amazon OpenSearch Service • リアルタイムのアプリケーションモニタリング、ログ分析、ウェブサイト検索(全文検 索)などで使われるOpenSearchを、AWSマネージドで使用できるサービス • セキュリティ観点では、各種ログを収集してインシデント調査の目的で使用できる • 複数のログを取り込んで相関分析やグラフ化もできる
• 「SIEM on Amazon OpenSearch Service」というソリューションもある • 2022年のre:Inventでサーバーレスが登場 出典:SIEM on Amazon OpenSearch Service https://github.com/aws-samples/siem-on-amazon-opensearch-service/blob/main/README_ja.md
セキュリティサービスを理解した 上で、良い設計をする
AWS Well-Architected フレームワーク セキュリティの柱 設計原則 • 強力なアイデンティティ基盤の実装 • トレーサビリティの実現 •
全レイヤーでセキュリティを適用する • セキュリティのベストプラクティスを自動化する • 伝送中および保管中のデータの保護 • データに人の手を入れない • セキュリティイベントに備える 出典:AWS Well-Architected フレームワーク セキュリティ https://wa.aws.amazon.com/wellarchitected/2020-07-02T19-33-23/wat.pillar.security.ja.html
ありがとうございました