ガバメントクラウドのセキュリティ対策事例について

Transcript

1. ©Fusic Co., Ltd. 0 CONFIDENTIAL CONFIDENTIAL ガバメントクラウドから考える クラウドセキュリティ 2024年12月13日 名前:

   藤澤亮平 クラウドセキュリティを再吟味するために

2. ©Fusic Co., Ltd. 1 CONFIDENTIAL CONTENTS 目次 1. はじめに 2.

   今日話す事・話さない事 3. ガバメントクラウドにおける責任共有モデルについて 4. セキュリティ対策を検討する上で必要なフロー 5. 検討したセキュリティ対策について 6. セキュリティ対策事例 7. セキュリティ要件を満たしていくために大切な事（まとめ）

3. ©Fusic Co., Ltd. 2 CONFIDENTIAL はじめに 1

4. ©Fusic Co., Ltd. 3 CONFIDENTIAL 会社概要 はじめに 会 社 名

   株式会社 Fusic （フュージック） 役 員 代表取締役社長 納富 貞嘉 取締役副社長 濱﨑 陽一郎 設立年月日 2003年10月10日 事業内容 - Webシステム ／ スマートフォンアプリ開発 - AI・機械学習 ／ IoTシステム開発 - クラウドインフラ（Amazon Web Services） - プロダクト事業 所 在 地 福岡本社 〒810-0001 福岡県福岡市中央区天神4-1-7 第3明星ビル6F TEL：092-737-2616 FAX：092-737-2617 上場市場 東京証券取引所グロース市場 福岡証券取引所Q-Board

5. ©Fusic Co., Ltd. 4 CONFIDENTIAL Mission × Vision はじめに 人に多様な道を

   世の中に爪跡を “Why” we do. 個性 をか き集め て、 驚き の角度 から 世の中 を アッ プデー トしつ づける 。 Fusion of Society, IT and Culture. テクノロジーカンパニーとして、 技術と社会の架け橋となり課題解決に貢献する。 Mission（存在意義） Vision（あるべき姿） “What” we do.

6. ©Fusic Co., Ltd. 5 CONFIDENTIAL 藤澤 亮平（26） 技術創造部門 チームリーダー Fujisawa

   Ryohei 株式会社 Fusic 所属 新卒から入社して3年は Ruby on Rails や React, Next JS を用いたシステム開発へ従事。 システム開発においてはスクラムを始めとしたアジャイル開 発、DDDやClean Architectureをベースとしたアーキテクチャ 設計に関心がある。 ここ数年は、AWS技術支援案件を主に担当しており、 様々なAWSサービスを用いて、提案・設計・構築を行ってい る。 現在はガバメントクラウドの構築運用補助者として 採択されたベンダーのAWS技術支援案件に努めている。 Twitterはこちら → @potaku_dev 自己紹介 はじめに

7. ©Fusic Co., Ltd. 6 CONFIDENTIAL 今日話す事・話さない事 2

8. ©Fusic Co., Ltd. 7 CONFIDENTIAL 今日話す事・話さない事 ガバメントクラウドで定義されるセキュリティ要件を満たすための 設計検討フロー及び「防御」「検知」におけるセキュリティ対策事例 話す事 ガバメントクラウドに存在する技術的制約及び

   インシデントレスポンス等の「対応」「復旧」における事例について 話さない事 今日話す事・話さない事 セキュリティ対策事例の背景を理解してもらう上で必要な ガバメントクラウドにおける前提知識 話す事

9. ©Fusic Co., Ltd. 8 CONFIDENTIAL ガバメントクラウドにおける 責任共有モデルについて 3

10. ©Fusic Co., Ltd. 9 CONFIDENTIAL ガバメントクラウドと運用管理補助者間の責任共有モデル ガバメントクラウドにおける責任共有モデルについて 1 運用管理補助者の責任範囲 認証、暗号、ファイアウォールなど、ネットワークやサーバー、保管して

    いるデータにおけるリソースアクセス制御において責任が発生する。 例: NetworkFirewall, WAF, Amazon Certificate Manager等の導入検討 2 ガバメントクラウドの責任範囲 デジタル庁から払い出されるAWSアカウントには政府共通で利用するク ラウド環境として必要なガバナンスやガードレールが既に適用されている。 例: SCP, Config, GuardDuty, SecurityHub, CloudTrail の有効化 引用: 「ガバメントクラウド概要解説_3 概要」

11. ©Fusic Co., Ltd. 10 CONFIDENTIAL セキュリティ対策を検討する上で 行ったフロー 4

12. ©Fusic Co., Ltd. 11 CONFIDENTIAL ガバメントクラウドのセキュリティ対策を検討する上で行ったフロー セキュリティ対策を検討する上で行ったフロー 対象システムの把握 対象システムの事情により、セキュリ ティ対策としてできる事・できない事

    も発生したケースが存在した。 どんなシステムをホスティングするの か、そこで利用されている技術スタッ クについても把握する。 01 ガバメントクラウドにおける責任共有 モデルを把握し、どこまでがガバメン トクラウドの範囲内なのか、どこまで が運用管理補助者が行うべきかを把握 する。 責任共有モデルの把握 02 GCASガイドの読み込み デジタル庁が公開している GCASガイドの読み込みを行う。 • ガバメントクラウド利用システムに おけるセキュリティ対策(共通) • 地方公共団体情報システムにおける 非機能要件の標準について 03 対策項目を検討 03のGCASガイドを「このシステムで 満たすべきセキュリティ要件なの か？」という観点で読み込み、高い抽 象度で解釈する。その上で高い抽象度 で満たすべきセキュリティ対策項目を 検討していく。 04 高い抽象度で満たすべきセキュリティ 対策項目を検討した後、その項目を満 たす具体的なセキュリティ対策につい て検討する。 セキュリティ対策検討 05

13. ©Fusic Co., Ltd. 12 CONFIDENTIAL 検討したセキュリティ対策項目 5

14. ©Fusic Co., Ltd. 13 CONFIDENTIAL ガバメントクラウド構築支援で検討したセキュリティ対策 検討したセキュリティ対策項目 項目 対策項目 内容

    防御 職務分掌 業務における役割と責任を明確化し、重要なプロセスや権限が一人の担当者に集中 しないようにすることで、リスクの分散と不正防止を図る対策。 最小権限 業務遂行に必要最低限の権限のみを付与することで、過剰な権限によるリスクを低 減し、不正利用や情報漏洩を防止する対策。 多層防御 複数のセキュリティ対策を異なる層に配置し、単一の防御手段が突破された場合で も被害を最小限に抑えることを目的とした対策。 攻撃対象範囲の最小化 システムやネットワークの構成要素を必要最小限に制限することで、攻撃者が利用 できる脆弱性や侵入経路を減少させる対策。 影響範囲の制限 システム内で発生する障害やセキュリティインシデントが全体に波及しないよう、 被害の範囲を局所化することを目的とした対策。 検知 予防的統制・発見的統制 リスクの発生を未然に防ぐ対策と、発生したリスクや異常を早期に検知する仕組み を組み合わせた統制手法。予防的統制は、不正や事故が発生しないよう事前に仕組 みや手順を整備することを指し、発見的統制は、監視や分析を通じて潜在的な問題 を早期に識別する。

15. ©Fusic Co., Ltd. 14 CONFIDENTIAL 実施したセキュリティ対策事例 6

16. ©Fusic Co., Ltd. 15 CONFIDENTIAL 職務分掌 実施したセキュリティ対策事例（職務分掌） No. いつ（When） どこで（Where）

    誰が（Who） 何を（What） 1 毎月25日 サーバールームA ADドメイン管理者 定期サーバーメンテナンス （パッチ適用とログ確認） 2 毎月 第2月曜 サーバールームB ADアカウント管理者 ユーザーアカウントの監査 3 平日9:00-17:00 サーバールームA 自治体Aオペレーター 住民基本台帳データの確認 4 平日13:00-18:00 サーバールームB 自治体Bオペレーター 公共システムへのデータ入力 システム関係者を整理・可視化する際、まず「いつ、どこで、だれが、何をするのか」を具体的に洗い出す。 例えば、毎月25日にデータセンターで運用担当者がバックアップ作業を行う、平日に市職員がデータ入力を行う、といった業務 内容を整理する。その後、「なぜそれをするのか」という背景を明確にし、目的に応じた権限を設計する。運用担当者にはバッ クアップ用S3バケットへのアクセス権限を付与し、市職員にはデータ入力権限のみを付与するなど、最小権限の原則を徹底する。

17. ©Fusic Co., Ltd. 16 CONFIDENTIAL GCAS認証について 実施したセキュリティ対策事例（最小権限） GCAS認証とは令和6年度からガバメントクラウドに導入されたCSP環境へのシングルサインオン機能。 AWSでは、IAM Identity

    Centerにて「SwitchOnlyRole」という名前の権限が各アカウントに対して払い出される。 名前の通り、スイッチロールのみの権限が付与されている。 このユーザーからスイッチロールして各アカウントの使用する流れとなるため、ロールの権限付与について検討する必要がある。 ※ IAMユーザーの作成は禁止されているため、アクセス経路はGCAS-SSOに絞られている。 引用: 「ガバメントクラウド利用システムにおけるセキュリティ対策(共通)」 図: GCAS全体像 図: AWSとGCAS

18. ©Fusic Co., Ltd. 17 CONFIDENTIAL 最小権限 実施したセキュリティ対策事例（最小権限） 一元的なユーザー管理の導入 GCAS-SSO +

    IAM Identity Centerの適切利用 IAM Identity Centerから「SwitchOnlyRole」でスイッチロールするために 利用システム側で必要なIAMロールを作成。 信頼関係ポリシーにて、IdCユーザーを指定しつつ、最小権限を設定。 AWS Managed Microsoft ADの導入 多数のWindows Server、WorkSpacesなど様々なユーザー管理対象のエンティティ が存在。そのため、MSADを導入することで、ユーザーアカウントの作成、削除、 更新を一元化し、ドメインコントローラーを通じてアクセス制御やポリシー管理を 効率化。グループポリシー（GPO）を利用することで、業務ごとに異なるセキュ リティ設定や権限を柔軟になおかつ一元的に最小権限を適用することが可能に。 IAM Role 整備 IAM Roleに付与するポリシーの最小権限設定 IAM Roleの整理は、リソースやユーザーごとに必要最小限の権限を付与し、 セキュリティリスクを軽減するために重要。 具体例として、EC2インスタンスやLambdaにおいて必要な操作のみを許可する IAM Roleを設計し、不要なアクセスを排除。 また、IAM Identity Centerのユーザーに対しては、業務内容に応じたスイッチロー ル先のIAM Roleを割り当てることで、役割に応じたアクセス権限の管理を実現する。 これにより、環境全体のセキュリティ向上と効率的な運用が可能。 引用: 「ユーザー管理方法（AWS編）」

19. ©Fusic Co., Ltd. 18 CONFIDENTIAL 攻撃対象範囲の最小化 実施したセキュリティ対策事例（攻撃対象範囲の最小化） インターネット接続の必要な箇所を1箇所に 閉域網環境において攻撃対象範囲を最小化するためには、インターネット接続が必 要な箇所を1箇所に集約することが有効。

    具体例として、Patch ManagerとWSUSを組み合わせることで、Windows Update の適用を効率化しながらセキュリティリスクを低減した。 この方法では、WSUSサーバーがインターネットから更新プログラムを取得し、 閉域網内のクライアント端末に配信するため、クライアント端末が直接インター ネットに接続する必要がなくなる。 これにより、閉域網の安全性が向上し、攻撃対象範囲を効果的に限定できる。 アウトバウンドトラフィックの集約 アウトバウンドトラフィックを集約し、一元的に管理することが重要である。 具体例として、AWS Transit Gatewayを活用したルーティングの整備を行った。 各VPCやオンプレミス環境からのアウトバウンドトラフィックをTransit Gateway 経由で特定の出口に集約することで、不必要な外部接続を防止できる。 さらに、ネットワーク監視やセキュリティポリシーの適用が容易になるため、ネッ トワーク全体の安全性が向上し、攻撃対象範囲の効果的な限定が可能となる。

20. ©Fusic Co., Ltd. 19 CONFIDENTIAL 多層防御 実施したセキュリティ対策事例（多層防御） PrivateLinkを用いたセキュア通信の確立 AWS PrivateLinkを利用することで、外部インターネットを介さずに閉域環境内で

    セキュアな接続を確立。本構成により、外部からの不正アクセスを防ぎつつ、プラ イベートネットワーク内での通信を保護することを実現。 また、参加団体側のIPアドレス設計との兼ね合いでCIDRが重複することが想定さ れたため、PrivateLinkを採用し、サービス側でIPアドレスの重複を回避できる設計 とした。団体ごとのネットワークをVPCエンドポイントで分離し、異なる団体間で の干渉を排除することで、円滑なサービス提供を実現している。 この設計は、閉域網のセキュリティと柔軟性の向上に大きく寄与している。 NetworkFirewallを利用したドメインフィルタリング インターネットゲートウェイ（IGW）の手前にAWS Network Firewall（NWFW） を設置し、ドメインフィルタリングを行うことで外部への不正通信を防ぐ構成とし た。これにより、クライアントやサーバーから許可されたドメイン以外への通信を 制限し、セキュリティを強化している。また、クライアントからサーバー間の通信 は閉域環境内で完結しインターネットに出ることがないため、Web Application Firewall（WAF）は不要と判断した。

21. ©Fusic Co., Ltd. 20 CONFIDENTIAL 多層防御 実施したセキュリティ対策事例（多層防御） 通信の限定 各サーバーで発生するアウトバウンドトラフィックとインバウンドトラフィックの 通信経路を詳細に把握し、セキュリティグループを活用して通信を限定する構成と

    した。これにより、許可されたポートやプロトコルのみを通過させ、不正な通信や 意図しない通信のリスクを排除している。セキュリティグループの設定には厳密な ルールを適用し、必要最小限の範囲でのアクセスのみを許可している。本設計は、 ネットワークのセキュリティを強化するだけでなく、トラフィックを可視化するこ とで効率的な運用管理を実現している。 通信の暗号化 通信のセキュリティを強化するため、AWS Private Certificate Authority（Private CA）を用いて発行したプライベート証明書を利用し、通信暗号化を必須化した。 本構成により、内部ネットワーク内の通信をエンドツーエンドで暗号化し、第三者 によるデータの傍受や改ざんのリスクを排除している。プライベート証明書を利用 することで、内部環境における証明書の管理や更新が効率化され、外部に依存しな い安全な通信基盤を構築している。 この設計は、セキュリティポリシーの遵守と信頼性の向上に寄与している。 データ暗号化の必須化 データのセキュリティを確保するため、利用するストレージサービスに対して暗号 化を必須化した。 具体的には、Amazon S3やAmazon RDSなどのストレージサービスで、それぞれ のデフォルト暗号化機能を利用し、保存データを暗号化している。 これにより、データが保存されている間も暗号化状態が維持され、不正アクセスや 盗難による情報漏洩リスクを軽減している。 本設計は、暗号化の実装をシンプルに保ちつつ、データセキュリティを確保するこ とに寄与している。 脆弱性管理 システムのセキュリティを向上させるため、AWS Inspectorを導入し、脆弱性管理 を実施している。 Inspectorを活用することで、EC2インスタンスやコンテナイメージに潜む脆弱性や 設定上のリスクを自動的に検出し、レポートとして提供している。 これにより、脆弱性の早期発見と迅速な対処が可能となり、攻撃リスクを大幅に低 減している。

22. ©Fusic Co., Ltd. 21 CONFIDENTIAL 影響範囲の制限 実施したセキュリティ対策事例（影響範囲の制限） 全インスタンスを論理的なネットワークレベルで隔離 インスタンス間の直接的な通信を防止 全てのインスタンスを「1インスタンス1サブネット」の構成で設置することにより、

    インスタンス間の直接的な通信を防止している。 この分離により、インスタンスが外部から攻撃を受けたり内部で障害が発生した場 合でも、その影響が他のリソースやシステム全体に波及するリスクを大幅に低減し ている。これにより、攻撃や障害時の被害範囲が局所化され、セキュリティの強化 とシステムの信頼性向上を実現している。 通信経路の厳密な制御 さらに、セキュリティグループやルートテーブルを活用し、インスタンス間および 外部ネットワークとの通信経路を厳密に制御している。 このアプローチにより、許可された通信のみを明確に管理し、不必要な通信を完全 に排除することが可能となる。これにより、通信経路の可視性が向上するとともに、 設定ミスや不要なトラフィックによるリスクを最小化している。運用効率の向上と セキュリティ管理の簡素化にも寄与する設計である。

23. ©Fusic Co., Ltd. 22 CONFIDENTIAL 必須適用テンプレートについて 実施したセキュリティ対策事例（予防的統制・発見的統制） テンプレート名 実行者 AWSサービス

    役割 自動適用テンプレート（BLEA） デジタル庁 SecurityHub AWS BestPractices, CIS BenchMark の Findings を収集 GuardDuty VPC Flow Logs, DNS クエリログ, CloudTrail 管理イベントログ, Findings を収集 Config 変更管理 CloudTrail API Callなどの管理イベントログのロギング EventBridge GuardDuty, SecurityHub, Config のコンプライアンスステータス監視 SNS,Lambda EventBridgeの発火先, ChatBotへメッセージ通知する ChatBot 運用者メールアドレスへ通知 必須適用テンプレート ガバメントクラウド 運用管理補助者 SNS Slackへのセキュリティイベントの通知 ChatBot CDK実行時のパラメーターに基づいてSlack or メールアドレスへ通知 デジタル庁から払い出されたAWSアカウントではガバメントクラウドでは、CDKベースの 自動適用・必須適用テンプレートでガードレール適用やイベント検出・通知機能を提供している。

24. ©Fusic Co., Ltd. 23 CONFIDENTIAL BLEA（Baseline Environment on AWS） 実施したセキュリティ対策事例（予防的統制・発見的統制）

    デジタル庁払い出しのAWSアカウントでは、Control Towerにより予防的・発見的ガードレールが適用 され、BLEAによるガードレールのカスタマイズが可能。 引用: 「AWS環境にセキュアなベースラインを提供するテンプレート「Baseline Environment on AWS」のご紹 介」

25. ©Fusic Co., Ltd. 24 CONFIDENTIAL 予防的統制・発見的統制 実施したセキュリティ対策事例（予防的統制・発見的統制） 必須適用テンプレートの導入 BLEAを利用して検知可能となったセキュリティイベントをハンドリングし、通知 を行うための、LambdaやSNSが定義されたCDKテンプレートを導入した。

    このテンプレートにより、検知結果を自動的に処理し、指定された通知先へ迅速に アラートを送信する仕組みを実現している。この構成により、セキュリティイベン トの可視化と対応速度が向上し、システム全体の安全性を強化する運用が可能と なっている。 SIEM on OpenSearch Servicesを用いたログの可視化 AWSのSIEM（Security Information and Event Management）ソリューションを 活用し、CloudTrail Logs、VPC Flow Logs、ALB Access Logsを収集して可視化を 実現した。これらのログデータを基に、セキュリティや運用状況を分析するための OpenSearch Dashboardを作成し、直感的で詳細な可視化を可能にしている。 この構成により、システムの状況把握が容易となり、異常や潜在的な脅威を迅速に 検出できるようになった。 これにより、運用効率の向上とセキュリティリスクの軽減に大きく寄与している。

26. ©Fusic Co., Ltd. 25 CONFIDENTIAL SIEM on Amazon OpenSearch Services

    について 実施したセキュリティ対策事例（予防的統制・発見的統制） SIEM on AOSは、セキュリティインシデント調査のため、AWS環境でログを収集・分析・可視化するソリューショ ンである。デプロイはAWS CloudFormationまたはAWS CDKで行い、約30分で完了する。Amazon S3に保存された ログは自動でETL処理され、AOSに取り込まれ、ダッシュボードで可視化や相関分析が可能となる。 引用: 「aws-samples/siem-on-amazon-opensearch-service」

27. ©Fusic Co., Ltd. 26 CONFIDENTIAL セキュリティ要件を満たしていくため に大切な事（まとめ） 7

28. ©Fusic Co., Ltd. 27 CONFIDENTIAL ガバメントクラウドにおけるセキュリティ要件を満たしていくために大切な事 セキュリティ要件を満たしていくために大切な事（まとめ） ガバメントクラウドにおいて求められる非機能要件はセキュリティ面 に関わらず様々存在する。 Point

    01 その非機能要件の多くを占めるのがセキュリティ要件。 Point 02 そのため包括的なセキュリティ対策が求められる。 Point 03

29. ©Fusic Co., Ltd. 28 CONFIDENTIAL 包括的なセキュリティ対策を行うためには？ セキュリティ要件を満たしていくために大切な事（まとめ） 第一に対策対象のシステムへの理解を行う。 Point 01

    全体を把握するためにGCASガイドを読み込む。 Point 02 このシステムで満たすべきセキュリティ要件なのか？という観点から 読み込む事で、高い抽象度で解釈する。 Point 03 解釈した抽象度から対策すべき項目を並べて、漏れがないか確認。 対象システムを考慮して具体的なセキュリティ対策へ落とし込む事を検討・実施する。 Point 04

30. ©Fusic Co., Ltd. 29 CONFIDENTIAL お問い合わせ先 部門 ：技術創造部門 担当 ：藤澤

    亮平 Mail ： [email protected] TEL ： 050-5236-4891 ガバメントクラウドにおけるご相談お待ちしております！ ご相談内容に応じて柔軟な技術支援方法についてのご提案が可能です。 気軽にお問い合わせください。

31. ©Fusic Co., Ltd. 30 CONFIDENTIAL Thank You We are Hiring!

    https://recruit.fusic.co.jp/ ご清聴いただきありがとうございました