【発見的統制・予防的統制周りのおさらい】 JAWS-UG東京 ランチタイムLT会 #27

Transcript

1. クラウドで「ワクワク」を。 Excitement with the Cloud. 発見的統制・予防的統制周りのおさらい 2025年9月25日 クラウドセントリック株式会社 濱口莉生

2. © Cloud Centric Corporation 2 クラウドで「ワクワク」を。 自己紹介 濱口莉生 クラウドセントリック株式会社 インテグレーション技術部

   @awswakaran 社会人3年目 AWS歴1年ちょい データ連携基盤、マルチアカウント環境の設計、構築、テスト等を担当 ↓今年のJapan AWS Jr. Championsに選出されました

3. © Cloud Centric Corporation 3 クラウドで「ワクワク」を。 1. なぜ統制が必要か 2. 予防的統制の例

   3. 発見的統制の例 4. Control Towerで始めるスモールスタート統制 5. 導入時、運用時の注意点 6. まとめ

4. © Cloud Centric Corporation 4 クラウドで「ワクワク」を。 1. なぜ統制が必要か 自分が新人の頃にやってしまっていたミス ・

   色んなアカウントにIAMユーザ、アクセスキーを作りまくる。 ・ 開発環境で権限周りをおろそかにする（全操作をAdmin権限で行うなど） ・ S3のパブリックアクセスが意図せず有効になってしまっている。 ・ とりあえずSecurity Groupは0.0.0.0/0で公開。 ・・・など

5. © Cloud Centric Corporation 5 クラウドで「ワクワク」を。 1. なぜ統制が必要か 予防的統制 ・・・

   やっちゃいけないこと、やらない方がいいことを未然に防ぐ 発見的統制 ・・・ やっちゃったことをすぐに見つける この二つを組み合わせることで、ミスを未然に防ぎ、被害を最小化することができる。

6. © Cloud Centric Corporation 6 クラウドで「ワクワク」を。 2. 予防的統制の例 予防的統制とは・・・ セキュリティインシデントの原因となる問題を取り除く、もしくは、軽減させるための対策

   ・ IAMの最小権限化 ・ SCP、RCP、宣言型ポリシー等による組織レベル、アカウントレベルでの制御など これは絶対やっちゃダメ！

7. © Cloud Centric Corporation 7 クラウドで「ワクワク」を。 3. 発見的統制の例 発見的統制とは・・・ インシデントが発生した際に、早期検知と記録を行い、関係者にアラートをあげるような統制

   ・ GuardDuty、Security Hub、Config、CloudTrailで検出した結果、イベントを関係者に通知する。 ・ 検出結果を分析し、予防的統制を改善するサイクルにつなげる。 これやったの誰？

8. © Cloud Centric Corporation 8 クラウドで「ワクワク」を。 4. Control Towerで始めるスモールスタート統制 ①

   アカウント/OUごとに、「どのようなワークロードが動くか」、「要件は何か」を整理する。 OUの構成をセキュリティ要件や業務目的に基づいて設計する。 ② コンプライアンスフレームワークとの連携を検討する。 NISTやCIS AWS Benchmark、PCI-DSS等の標準と、Control Towerが提供するコントロールを比較し、何をすればコ ンプライアンスを満たせるかを明らかにする。 ③ 検出コントロールを先に適用し、その後予防コントロールを適用する。 検出コントロールにより、現在どこにギャップがあるのか、どのようなリスクが頻発しているかを把握する。 その結果に基づいて、どの予防/プロアクティブコントロールを優先して選ぶかを決める。 これにより、過剰な制限や開発の阻害を最小限に抑えることが出来る。 ④ 非本番用OUでテストを行ってから本番OUに適用する。 本番環境に適用する前に、開発環境や検証環境で適用し、テストを行う。 ⑤ 多層防御アプローチをとる 予防コントロール、検出コントロール、プロアクティブコントロールのすべてを組み合わせる。 参考 : https://aws.amazon.com/jp/blogs/news/best-practices-for-applying-controls-with-aws-control-tower/ https://docs.aws.amazon.com/ja_jp/securityhub/latest/userguide/standards-reference.html

9. © Cloud Centric Corporation 9 クラウドで「ワクワク」を。 5. 導入時、運用時の注意点 導入時の注意点 ・

   最初から完璧を目指さない ガードレールをすべて有効化してしまうと、制限が過剰になり開発スピードが遅くなる。 まずは、要件に沿って必要最低限のルールで始める。 ・ AFT（Account Factory for Terraform）の導入を検討する 統制の効いた複数アカウント、複数IICユーザの作成を自動化できる。 Terraformを使用してAWS環境を一元管理できる。

10. © Cloud Centric Corporation 10 クラウドで「ワクワク」を。 5. 導入時、運用時の注意点 運用時の注意点 ・

    アラートの優先度を決める 例えば、Security Hubだと[Critical]、[High]、[Medium]、[Low]、[Informational]の5つの重要度がある。 通知が多すぎても重要なインシデントを見逃す可能性がある。 ・ コンプライアンス違反の検出と修復の自動化を行う Control Towerの検出コントロールとSystems Manager Automationを組み合わせて修復タスクを自動化することで、 運用負荷を軽減できる。 ・ ルールやガードレールの定期的なメンテナンスや変更確認 ルールやガードレールは適用したら終わりではなく、定期的に影響範囲や検出結果の分析を行う。 Control TowerのガードレールやSecurity Hubのコントロールは頻繁にアップデートが入る。

11. © Cloud Centric Corporation 11 クラウドで「ワクワク」を。 6. まとめ ・ 統制はミスを未然に防ぎ、何か起きたとしても被害を最小限に抑えることが出来る。

    ・ Control Towerでコントロールを適用する際は、スモールスタートで始めて徐々に範囲を拡大していく。 ・ 予防的統制、発見的統制を上手く組み合わせることが重要。

12. クラウドで「ワクワク」を。 Excitement with the Cloud.