Upgrade to Pro — share decks privately, control downloads, hide ads and more …

クラウド利用者の「責任」をどう果たす?AWSセキュリティ対策のススメ #AWSSummit

クラウド利用者の「責任」をどう果たす?AWSセキュリティ対策のススメ #AWSSummit

h-ashisan

July 19, 2024
Tweet

More Decks by h-ashisan

Other Decks in Technology

Transcript

  1. 2 自己紹介 芦沢 広昭 (ASHIZAWA Hiroaki) ❖ 所属 AWS事業本部 コンサルティング部

    / ソリューションアーキテクト ❖ 担当業務 AWS設計構築・コンサルティング ★ 好きなAWSサービス AWS Control Tower、Amazon Security Lake
  2. 5 情報セキュリティ対策の基本 攻撃の糸 口 情報セキュリティ対策の基本 目的 ソフトウェアの脆弱性 ソフトウェアの更新 脆弱性を解消し攻撃によるリ スクを低減する

    ウイルス感染 セキュリティソフトの利用 攻撃をブロックする パスワード窃取 パスワードの管理・認証の強化 パスワード窃取によるリスクを 低減する 設定不備 設定の見直し 誤った設定を攻撃に利用さ れないようにする 誘導(罠に嵌める) 脅威・手口を知る 手口から重要視すべき対策 を理解する 引用: IPA - 情報セキュリティ10大脅威 2024 簡易説明資料 [組織編] P6 ➢ 多数の脅威はあるが「攻撃の糸口」は似通っている ➢ 基本的な対策は 長年変わらず 、基本を意識することが重要
  3. 6 情報セキュリティ対策の基本 +α 備える対象 情報セキュリティ対策の基本 +α 目的 インシデント全般 責任範囲の明確化 (理解)

    インシデント発生時に誰(どの組 織)が対応する責任があるのかを 明確化(理解)する クラウドの停止 代替案の準備 業務が停止しないように代替策 を準備する クラウドの仕様変更 設定の見直し 仕様変更により意図せず変更さ れた設定を適切な設定に直す (設定不備による情報漏洩や攻 撃への悪用を防止する) 引用: IPA - 情報セキュリティ10大脅威 2024 簡易説明資料 [組織編] P7 ➢ クラウドサービスを利用を想定した +αの対策を行い備える必要がある
  4. 14 包括的なクラウドセキュリティ対策の実装 責任範囲の すべてのレイヤー への対策の実装が必須! • AWSレイヤーのセキュリティ ◦ AWS IAM、Amazon

    S3、Amazon EC2などAWSリソース • OS / アプリケーションレイヤー のセキュリティ ◦ ネットワーク、OS/ミドルウェア、アプリケーション、コンテナなど 引用: 「コンテナもサーバーレスも、 AWSの各レイヤーの最新セキュリティ」というタイトルで登壇しました | DevelopersIO
  5. Amazon GuardDuty AWSレイヤーの脅威検知を 実装できる 例) Amazon S3上のオブジェクトへの 不正アクセス を検知 AWSアカウント上の異常なAPIリ

    クエストを検知 15 AWSレイヤーの対策サービス AWS Security Hub セキュリティ違反が含まれる AWSリソースの設定を検知で きる 例) ルートユーザー のAWS IAM アクセスキー の存在を検知 誤ってパブリック公開 された Amazon RDSを検知 AWS Key Management Service (KMS) クラウド上のストレージを独自 のキーを利用して暗号化で きる 例) Amazon EC2上のコンテンツを保 存したAmazon EBSを暗号化 S3バケット上のオブジェクトを AWS側で暗号化する
  6. Amazon GuardDuty OS/アプリ・コンテナ等の脅威 検知を実装できる 例) Amazon EC2からの コインマイニング通信 を検知 Amazon

    EC2上の OSのマルウェア感染 を検知 Amazon ECSのコンテナランタイ ムの異常な振る舞い を検知 16 OS / アプリレイヤーの対策サービス AWS WAF Web通信を監視/ブロックでき るAWSマネージドなWAFを 実装できる 例) SQLインジェクション、XSSなど脆 弱性を悪用した攻撃 や、 不正なBotによるアクセス を 遮断する Amazon Inspector Amazon EC2やコンテナ、 AWS Lambda上の脆弱性を スキャンできる 例) Amazon EC2にインストールされ たパッケージの脆弱性 を検知 AWS Lambda関数のコード内に 含まれる脆弱性 を検知
  7. 17 その他やるべきセキュリティ対策設定 • AWS CloudTrail証跡の設定 • AWS Configのすべてのリソースの記録 • Amazon

    S3 アカウントレベルのブロックパブリックアクセス の有効化 • Amazon EBSのデフォルト暗号化 • デフォルトVPCの削除 • 各種セキュリティサービスの通知設定
  8. 22 負荷の少ないセキュリティ運用の実施 • コスパの良い AWSのセキュリティサービスの運用から始 めるべき ◦ 悩んだらAmazon GuardDuty、AWS Security

    Hubの運用から始 めよう ◦ 各種AWSセキュリティサービスのアラートを Slack・メールへ通知させるところがスタートライン ◦ セキュリティアラート通知時の担当者や是正・調査を行うための 対応フローを事前に決めておけるとベスト
  9. 24 弊社サービス : インシデント自動調査のご紹介 引用: インシデント自動調査 | AWS総合支援 | クラスメソッド株式会社

    • Amazon GuardDutyの検出結果を自動で調査、概要の可視化、 判断に役立つレコメンドを合わせて日本語で通知します • 「クラスメソッドメンバーズプレミアムサービス」の加入特典
  10. 26 弊社サービス : Classmethod Cloud Guidebookのご紹介 引用: クラスメソッドメンバーズのお客様向けに公開している「 Classmethod Cloud

    Guidebook (CCG)」の使い方 | DevelopersIO • 「クラスメソッドメンバーズ」のお客様向けに無償公開している AWS活用のノウハウが詰まったナレッジ集 • AWS Security Hubガイドでは、AWS Security Hubの各検知項目の解 説、無効化/抑制する場合の判断基準がまとめられています
  11. 29 セキュリティ対策状況の可視化 • 簡易的なもので十分であればAWS Security Hubの有効 化でOK ◦ AWS Security

    Hubによるチェック範囲はAWS上の設定値のみ である点に注意 • 広範囲のセキュリティをどのように可視化すべきか? が課題となる ◦ 手段の1つとして『AWSセキュリティ成熟度モデル 』 を活用した可視化がオススメ
  12. 30 AWSセキュリティ成熟度モデルとは • 正式名称: AWS Security Maturity Model (英語) •

    AWSから提供されている、組織においてAWSセキュリティ対 策がどの程度実現できているか定量的に測るためのフレーム ワーク • AWS公式ドキュメントではないが活用実績がある ◦ 100人以上の AWS SAによる使用例、過去12ヶ月で40000人超のユニーク ユーザー • 公式のアセスメントツール(Excel)が提供されており、項目を埋めていく ことで対策状況を可視化できる ◦ ※日本語対応していないため、英語から翻訳する必要あり
  13. 33 まとめ • セキュリティ対策を始める ◦ AWSレイヤー、OS/アプリレイヤーのすべてで対策しよう • セキュリティを運用する ◦ まずはAWS

    Security Hub、Amazon GuardDutyの運用から始め よう • セキュリティ対策状況を可視化する ◦ 簡易的なチェックであればAWS Security HubでOK ◦ より広範囲なチェックは AWSセキュリティ成熟度モデルの活用 をオススメ
  14. 34