Practical-AWS-Security-measures-you-can-implement-now

Transcript

1. 今すぐ実践できる！ AWSセキュリティ対策のススメ クラスメソッド株式会社 AWS事業本部 コンサルティング部 芦沢広昭 1

2. 2 自己紹介 芦沢 広昭 (ASHIZAWA Hiroaki) ❖ 所属 クラスメソッド株式会社 AWS事業本部

   コンサルティング部 / ソリューションアーキテクト ❖ 担当業務 ・AWS設計構築 / コンサルティング ・プリセールス ❖ その他 ・技術コミュニティ運営 (Hibiya Tech) ・2023〜2024 Japan AWS All Certifications Engineers ・2024 Japan AWS Top Engineers (Security)

3. 3 セキュリティ対策やっていますか？

4. 4 なぜセキュリティ対策をするのか？

5. 自宅の防犯対策をしない ↓ 泥棒が来たとき 大切な個人の財産が奪われる 5 なぜセキュリティ対策をするのか

6. 自宅の防犯対策をする ↓ 泥棒が来ても 大切な資産が奪われない 6 なぜセキュリティ対策をするのか

7. 7 なぜ情報セキュリティ対策をするのか 企業の情報資産のセキュリティ対策をしない ↓ 攻撃されたとき 大切な企業の情報資産が奪われる

8. 8 なぜ情報セキュリティ対策をするのか 企業の情報資産のセキュリティ対策をする ↓ 攻撃されても 大切な企業の情報資産が奪われない

9. 9 攻撃の糸口とセキュリティ対策

10. 10 情報セキュリティ対策の基本 ソフトウェアの脆弱性 ソフトウェアの更新　　　： 脆弱性を解消し攻撃によるリスクを低減する ウイルス感染 セキュリティソフトの利用： 攻撃をブロックする パスワード窃取 パスワード管理

    / 認証強化： パスワード窃取によるリスクを低減する 設定不備 設定の見直し　　　　　　： 誤った設定を攻撃に利用されないようにする 誘導(罠に嵌める) 脅威・手口を知る　　　　： 手口から重要視すべき対策を理解する ➢ 多数の脅威はあるが「攻撃の糸口」は似通っている ➢ 基本的な対策は 長年変わらず 、基本を意識することが重要 攻撃の糸口 情報セキュリティ対策の基本：目的 参考: IPA - 情報セキュリティ10大脅威 2024 簡易説明資料 [組織編] P6

11. 11 情報セキュリティ対策の基本 +α インシデント全般 責任範囲の明確化 (理解)：インシデント発生時に誰(どの組織)が対応する責任　　　　　　 があるのかを明確化(理解)する クラウドの停止 代替案の準備： 業務が停止しないように代替策を準備する

    クラウドの仕様変更 設定の見直し： 仕様変更により意図せず変更された設定を適切な設定に直す　　　　　　　 (設定不備による情報漏洩や攻撃への悪用を防止する) 備える対象 情報セキュリティ対策の基本 +α：目的 引用: IPA - 情報セキュリティ10大脅威 2024 簡易説明資料 [組織編] P7 ➢ クラウドサービス利用を想定した +αの対策を行い備える必要がある

12. 12 ＋αの対策、できていますか？

13. 13 AWSセキュリティの基本的な考え方 引用: AWS - クラウドセキュリティ - 責任共有モデル

14. 14 AWSセキュリティの基本的な考え方 引用: AWS - クラウドセキュリティ - 責任共有モデル この範囲すべてを 対策する責任がある

15. 15 AWS Summitで紹介したこと クラスメソッド流 AWSセキュリティの 「責任」の果たし方 をご紹介します ※概要のみ

16. 16 本セッションでは ... クラスメソッド流 AWSセキュリティの 「責任」の果たし方 をご紹介します ※概要 + 具体的な対応方法

17. 17 アジェンダ 1. はじめに　←ここまで話したこと 2. AWSセキュリティ対策の始め方と運用方法 3. AWSセキュリティ対策状況の可視化 4. まとめ

18. 18 2. セキュリティ対策の始め方と運用方法

19. 19 AWSセキュリティの考え方の1つ セキュリティを階層（レイヤー） で分けて考える

20. 20 レイヤー別に分ける AWSセキュリティ 大きく2つのレイヤーに分けて考えると... • AWSレイヤーのセキュリティ ◦ IAM、S3、EC2などのAWSリソース • OS

    / アプリケーションレイヤー のセキュリティ ◦ ネットワーク、OS、ミドルウェア、アプリケーション、コンテナなど 引用: 「コンテナもサーバーレスも、 AWSの各レイヤーの最新セキュリティ」というタイトルで登壇しました | DevelopersIO

21. 21 AWSにおけるセキュリティレイヤーの考え方 引用: AWS - クラウドセキュリティ - 責任共有モデル

22. 22 AWSにおけるセキュリティレイヤーの考え方 引用: AWS - クラウドセキュリティ - 責任共有モデル

23. 23 どこから始めたらいい？

24. 24 Q. どこから始めたらいい？ まずはAWSレイヤーのセキュリティから

25. 25 なぜAWSレイヤーからなのか？

26. 26 Q. なぜAWSレイヤーからなのか？ 答え： 今すぐ始められるから & 費用対効果が高いから

27. Amazon GuardDuty 27 代表的なAWSレイヤーの対策サービス AWS Security Hub

28. Amazon GuardDuty 28 代表的なAWSレイヤーの対策サービス AWS Security Hub

29. 29 Amazon GuardDutyとは • AWSアカウントやAWSリソースに対する脅威をリアルタイムで検知 • 検知したアラートをメールやチャットツールに通知できる • 従量課金 &

    30日間の無料期間(初回有効化時のみ)がある

30. 30 Amazon GuardDutyの始め方 • AWSマネジメントコンソールから数クリックで有効化 ※利用中のすべてのリージョンで有効化してほしい

31. 31 Amazon GuardDutyの運用方法 1. アラート通知時の対応フローをあらかじめ決めておく →誰が対応するのか、初動調査の手順の整備、など ※参考：[2021年版]Amazon GuardDutyによるAWSセキュリティ運用を考える 2. EventBridge

    + SNSを作成してアラートを任意のツールへ通知させる ※参考：GuardDutyの検出結果通知をCloudFormationで設定してみた ※参考：Amazon GuardDutyの通知をカスタマイズしてSlackに通知してみた 3. GuardDutyサンプルイベントを発行して対応フローを試してみる ※参考：Amazon GuardDutyで1つのサンプルイベントのみ発生させる方法 4. 日々の運用の中で対応フローをメンテ・改善していく

32. 32 参考：セキュアアカウントサービスのご紹介 AWSセキュリティの初期設定と設定維持をサポートするサービスです • 各種必要なセキュリティ設定(※)を有効化した状態でAWSアカウントを払い出 し、誤って設定変更しても元のセキュアな設定に戻します • 「クラスメソッドメンバーズ」の加入特典です（無料） ※全リージョンのAmazon GuardDuty、AWS

    Security Hubの有効化を含む 引用: AWSアカウントセキュリティ | AWS総合支援 | クラスメソッド株式会社

33. 33 参考：インシデント自動調査機能のご紹介 引用: インシデント自動調査 | AWS総合支援 | クラスメソッド株式会社 GuardDutyの運用をサポートするサービスです •

    Amazon GuardDutyの検出結果を自動で調査、概要の可視化、 判断に役立つレコメンドを合わせて日本語で通知します • 「クラスメソッドメンバーズプレミアムサービス」の加入特典（有償）

34. 34 参考：インシデント自動調査サービスの概要

35. Amazon GuardDuty 35 代表的なAWSレイヤーの対策サービス AWS Security Hub

36. • AWSリソースの設定値を自動でチェック、セキュリティ観点で 誤った設定となっていないか確認できる (= Cloud Security Posture Management, CSPM) •

    チェック結果はマネジメントコンソールから一覧で確認でき、 全体の結果に基づいてセキュリティスコアが表示される • 従量課金 & 30日間の無料期間(初回有効化時のみ)がある 36 AWS Security Hubとは

37. 37 AWS Security Hubの始め方 • AWSマネジメントコンソールから数クリックで有効化 ※セキュリティ標準は『AWS 基礎セキュリティのベストプラクティス v1.0.0』がおすすめ ※有効化後、数時間以内に完全なチェック結果が表示される

    ※利用中のすべてのリージョンで有効化してほしい

38. 38 AWS Security Hubの運用方法 1. コントロールID毎に重要度などを基準に優先度・対応方針を決める 例) 重要度Critical/High優先、重要度Lowはやらない、IAM.8は無効化 ※参考：[Security Hub]

    ワークフローステータス「抑制済み」を使ってセキュリティチェックのリソース例外を 登録する 2. 方針に基づいてコントロールを整理する（抑制・無効化） 3. 違反している AWSリソースの修正対応を進める 　→できればスコア100%を目指す 4. 定期的なSecurity Hubチェック結果の棚卸しを行う

39. 39 参考：Classmethod Cloud Guidebookのご紹介 引用: クラスメソッドメンバーズのお客様向けに公開している「 Classmethod Cloud Guidebook (CCG)」の使い方

    | DevelopersIO • 「クラスメソッドメンバーズ」のお客様向けに無償公開している AWS活用のノウハウが詰まったナレッジ集 • AWS Security Hubガイドでは、AWS Security Hubの各検知項目の解 説、無効化/抑制する場合の判断基準がまとめられています

40. 40 OS・アプリケーションレイヤーの セキュリティはどうやったらいいの？

41. Amazon GuardDuty OS/アプリ・コンテナ等の脅 威検知を実装できる 例) Amazon EC2からの コインマイニング通信 を検知 Amazon

    EC2上の OSのマルウェア感染 を検知 Amazon ECSのコンテナランタイ ムの異常な振る舞い を検知 41 OS / アプリレイヤーの対策サービス AWS WAF Web通信を監視 /ブロックで きるAWSマネージドなWAFを 実装できる 例) SQLインジェクション、XSSなど脆 弱性を悪用した攻撃 や、 不正なBotによるアクセス を 遮断する Amazon Inspector Amazon EC2やコンテナ、 AWS Lambda上の脆弱性ス キャンができる 例) Amazon EC2にインストールされ たパッケージの脆弱性 を検知 AWS Lambda関数のコード内に 含まれる脆弱性 を検知

42. 42 Q. OS / アプリレイヤーのセキュリティ対策方法 答え： AWSサービスと 3rd Party製品を 組み合わせた対応をおすすめしたい

43. 43 OSアプリレイヤーのAWS-SaaS 比較・組み合わせ

44. 44 3. セキュリティ対策状況の可視化

45. 45 御社のAWSセキュリティ対策は 今、どの程度できていますか？

46. 46 回答の例 年に1回脆弱性診断をやっている が、今どうなっているかはわからない ...

47. 47 回答の例 AWS Security HubのAFSBPを活用して セキュリティスコアを 100%に維持するような 運用をしています GuardDutyやInspectorの運用もしている ただ、今どこまでできているのか自信がない

48. 48 AWSセキュリティ対策における悩み • AWSセキュリティ対策に漠然とした不安がある • やれることがたくさんあるがどこから手をつけたらいいか わからない • セキュリティに強い会社がどんなことをやっているのか知 りたい

49. 49 つまり... より広範囲の AWSセキュリティを俯瞰し 可視化できる解決策が必要

50. 50 AWSセキュリティ成熟度モデル • AWSセキュリティ対策がどの程度実現できて いるか定量的に測るためのフレームワーク • AWS公式ドキュメントではないが、多くの ユーザーによる活⽤実績がある • 9つのセキュリティカテゴリと4段階のフェー

    ズに区切ってセキュリティ対策がマッピング されている 引⽤ ：https://maturitymodel.security.aws.dev/en/model/

51. 51 4段階のフェーズ • 「クイックウィン」〜「最適化」まで、4 段階のフェーズ分け • はじめに⽬指す指針としてはフェーズ 2 の「基礎」 クイックウィン

    基礎 効率化 最適化 フェーズ 1 フェーズ 2 フェーズ 3 フェーズ 4 はじめの⽬標 今すぐできる

52. ツール(Excel)が利用可能 52 ダウンロード 引⽤：https://maturitymodel.security.aws.dev/en/assessment-tools/

53. ツールを利用した評価方法 53 ①チェック ②必要に応じてコメント ※日本語化しています（元は英語）

54. 54 評価結果 カテゴリごとに達成レベルが可視化！ 不⾜部分のセキュリティ 対策を強化！ ※日本語化しています（元は英語）

55. 使用する際の注意点 55 • AWSセキュリティ成熟度モデルはあくまで指標 • フェーズ3,4は、より高度なセキュリティ対策のため必ずしも満たす必要はない ◦ 実際に運用する場合には実現が難しいことがある ◦ 「一般的な目指すべき理想の状態の1つ」と捉える

    • 各推奨事項を深く理解するためには、 AWSセキュリティに関する専門的な知識が必 要 ◦ AWS Certified Security - Specialty有資格者 ◦ 有資格者がいなければ取得を推進する

56. 56 （参考）AWSセキュリティ強化プログラムの紹介 • AWSセキュリティ成熟度モデルを独自にチューニングし、日本語化した ツールを利用してセキュリティ状況をヒアリング・可視化します • 対策が不十分 or 強化したい項目の対策の提案まで対応します (別途見積もり)

57. 57 4. まとめ

58. 58 まとめ • AWSのセキュリティをレイヤー別 に考えてみよう ◦ OS / アプリケーションレイヤー、AWSレイヤー •

    まずは費用対効果の高いAWSレイヤーのセキュリティから 始め ることをお勧めします ◦ Amazon GuardDuty、AWS Security Hubを全リージョン有効化 ◦ 通知設定を忘れずに、できれば運用フロー作成まで • より広範囲のセキュリティ対策を可視化したい場合は AWSセキュリティ成熟度モデル を活用したい

59. 59