Upgrade to Pro
— share decks privately, control downloads, hide ads and more …
Speaker Deck
Features
Speaker Deck
PRO
Sign in
Sign up for free
Search
Search
第114回 雲勉【オンライン】セキュリティの『わからない』が『ちょっと分かる』に変わる 60...
Search
iret.kumoben
September 14, 2023
Technology
0
120
第114回 雲勉【オンライン】セキュリティの『わからない』が『ちょっと分かる』に変わる 60分 〜CSPM から始めよう! クラウド環境のセキュリティ〜
下記、勉強会での資料です。
https://youtu.be/zqd0TXlF4MA
iret.kumoben
September 14, 2023
Tweet
Share
More Decks by iret.kumoben
See All by iret.kumoben
第155回 雲勉 サーバレスアーキテクチャを 用いたコスト重視 AI サービス
iret
0
37
第154回 雲勉 AWS Codeシリーズ盛り上げ隊 ~ Codeシリーズは砕けない ~
iret
0
38
第153回 雲勉 トラシューが秒で終わる新機能 Amazon Q Developer operational investigations
iret
0
52
第150回 雲勉 AWS AppSyncではじめるGraphQL体験
iret
0
46
第151回 雲勉 プロジェクトのドキュメントにおける課題をAmazon Bedrockで解決してみる
iret
0
61
第152回 雲勉 シームレスなマルチリージョンへの移行と検討 ~Amazon EKSとAWS Global Acceleratorを使用した環境〜
iret
0
57
第149回 雲勉 AWS ベストプラクティスの最新と実際 AWS Well-Architected
iret
0
89
第148回 雲勉 Web アプリケーションセキュリティ
iret
0
52
第147回 雲勉 Amazon CloudWatchをウォッチ!
iret
0
66
Other Decks in Technology
See All in Technology
Охота на косуль у древних
ashapiro
0
110
実は強い 非ViTな画像認識モデル
tattaka
3
1.3k
Visualize, Visualize, Visualize and rclone
tomoaki0705
9
83k
サイト信頼性エンジニアリングとAmazon Web Services / SRE and AWS
ymotongpoo
7
1.6k
データベースの負荷を紐解く/untangle-the-database-load
emiki
2
520
1行のコードから社会課題の解決へ: EMの探究、事業・技術・組織を紡ぐ実践知 / EM Conf 2025
9ma3r
11
3.8k
EDRの検知の仕組みと検知回避について
chayakonanaika
12
4.9k
遷移の高速化 ヤフートップの試行錯誤
narirou
6
1.2k
技術スタックだけじゃない、業務ドメイン知識のオンボーディングも同じくらいの量が必要な話
niftycorp
PRO
0
110
AI Agent時代なのでAWSのLLMs.txtが欲しい!
watany
2
230
"TEAM"を導入したら最高のエンジニア"Team"を実現できた / Deploying "TEAM" and Building the Best Engineering "Team"
yuj1osm
1
180
Fraxinus00tw assembly manual
fukumay
0
110
Featured
See All Featured
Cheating the UX When There Is Nothing More to Optimize - PixelPioneers
stephaniewalter
280
13k
Performance Is Good for Brains [We Love Speed 2024]
tammyeverts
7
640
Learning to Love Humans: Emotional Interface Design
aarron
273
40k
Visualizing Your Data: Incorporating Mongo into Loggly Infrastructure
mongodb
45
9.4k
BBQ
matthewcrist
87
9.5k
Design and Strategy: How to Deal with People Who Don’t "Get" Design
morganepeng
129
19k
A Tale of Four Properties
chriscoyier
158
23k
実際に使うSQLの書き方 徹底解説 / pgcon21j-tutorial
soudai
175
52k
Faster Mobile Websites
deanohume
306
31k
Code Reviewing Like a Champion
maltzj
521
39k
Why Our Code Smells
bkeepers
PRO
336
57k
The Art of Programming - Codeland 2020
erikaheidi
53
13k
Transcript
第114回 雲勉【オンライン】 CSPMから始めよう︕ クラウド環境のセキュリティ
自己紹介 2 ▪ 佐伯 康浩 • クラウドインテグレーション事業部 セキュリティセクション セキュリティ系サービスの運用保守やサービスの検討をやってます •
2022年 9月 入社 • アイレット歴 = クラウド歴 • 前職は銀行で情シスやセキュリティを担当していました
アジェンダ 3 1. クラウド環境の設定不備、管理できてますか? 2. CSPM (Cloud Security Posture Management)
とは 3. AWS Security Hub について 4. Security Command Center について 5. サードパーティの CSPM 6. CSPM の活用とセキュリティ強化 7. おわりに
本日のゴール 4 • クラウド環境の設定不備の重大性を理解する • CSPM の概要を理解する • CSPM やってみよう!と感じる
• 詳細な運用方法の説明 • CSPM 以外のセキュリティの話 やらないこと
5 クラウド環境の設定不備、管理できてますか?
オンプレミス環境のセキュリティ 6 • ファイアウォールによる明確な境界 • 境界を監視・防御すること一定の安全を確保 出入口はここだけ
クラウド環境のセキュリティ 7 • 明確な境界は存在しない • さまざまな場所からいつでも簡単にリソースが公開可能 公開可能 公開可能 公開可能 公開可能
公開可能
クラウド環境の設定不備によるインシデント事例 8 • オブジェクトストレージの設定が公開設定となっており、長期間 にわたって機密情報が公開されていた ➢ 不正にアクセスされ、機密情報が漏洩した • ネットワークの設定不備で、仮想マシンへのパブリックアクセス が許可されていた
➢ 不正にアクセスされ、コンテンツが不正に書き換えられた • 不要なIAMアクセスキーを発行していた ➢ アクセスキーを不正利用され、高額なインスタンスを起動された
クラウド環境の設定不備によるインシデント事例 9 クラウド環境の設定不備が重大なインシデントに繋がるのはわかった。 それをうまいことばーっとチェックしてくれてなんかええ感じに見やすく管理で きるといいんやけど難しそうやなぁ・・・ CSPM を利用しましょう!
10 CSPM (Cloud Security Posture Management) とは
11 CSPM とは? Cloud Security Posture Management (クラウドセキュリティ態勢管理) クラウド環境のセキュリティに不備がないか(設定ミス、過剰な 権限、過剰な公開範囲等)、標準的なコンプライアンスに準拠し
ているかなどを継続的にチェックし、管理する機能です。
12 CSPM とは 各リソースの設定内容をチェック
13 CSPM の主な機能 CIS、NIST、PCIDSS 等の各種セキュリティ標準に 準拠しているかを評価し、クラウド環境の設定不備を検出する 設定不備の検出結果を通知する クラウド環境の各種セキュリティアラートを可視化する
14 主なCSPMサービス(製品) TIPS それぞれのサービス(製品)で備えている機能に差はありますが、前ページで示したような CSPM の機能を備えています。 AWS Google Cloud サードパーティ製品
AWS Security Hub Security Command Center Sysdig Prisma Cloud etc.
15 AWS Security Hub について
16 AWS Security Hub の概要 AWS Security Hub • AWSリソースの設定がセキュリティのベストプラクティスから逸脱し
ていないかを自動的にチェックするサービス • GuardDuty と並び、AWS を使い始めたら、まず有効化しておきたい セキュリティサービスのひとつ • その他のセキュリティサービスと統合することにより、検出結果を一 元的に可視化することが可能 • Organizations と統合することで、組織内アカウントの検出結果を集約 することも可能
17 AWS Security Hub の主な機能 • 各種セキュリティ標準ごとに評価結果を表示 • 検出結果をスコア化して表示 •
AWS のセキュリティ関連サービスの検出結果 を集約 • 数クリックで簡単に有効化 • 検出除外の設定もコンソールから簡単に可能 TIPS 最近のアップデートで、指定した条件を満たす検出を自動的に抑制したりする設定も可能 となっています。
AWS Security Hub の有効化 18
19 AWS Security Hub の活用例(通知例) ・通知条件を設定 ・ターゲットの設定 ・通知先の設定 ・Security Hubへ統合
20 Security Command Center について
21 Security Command Center の概要 Security Command Center • Google
Cloud のセキュリティ・リスク管理サービス • Google Cloud 環境の構成ミスや脆弱性、脅威を検出し、可視化する ことが可能 • 無料のスタンダードティア、有料のプレミアムティアがあり、使え る機能に差がある。 TIPS 従来はプレミアムティアを有効にする場合、組織単位でのサブスクリプション契約が必要 でしたが、現在は使用量ベースでの課金が基本となり、組織単位に加え、プロジェクトレ ベルでの有効化も可能となりました。
22 Security Command Center の主な機能 機能 概要 スタンダード プレミアム Security
Health Analytics 構成ミスの検出 一部の検出のみ ・すべての検出 ・各種セキュリティ 標準のチェック Web Security Scanner Webアプリケーションに対して簡易的な 脆弱性診断を行う 一部の検出のみ すべての検出 Event Threat Detection マルウェアの活動等、異常な挙動を検知 - ◯ Container Threat Detection コンテナに関する不審な挙動を検知 - ◯ Virtual Machine Threat Detection 仮想通貨マイニングの検知 - ◯ TIPS Security Command Center は CSPM というよりも、その他の機能も含んだ包括的なセキュ リティ管理サービスというイメージです。
Security Command Center の有効化 23
Security Command Center の有効化 24
Security Command Center の有効化 25
Security Command Center の有効化 26
27 Security Command Center の活用例(通知例) ・Pub/Subトピック設定 ・通知条件の設定 ・サブスクリプションの設定 ・指定したチャンネル にpostする関数
28 サードパーティの CSPM
この後のページで、CSPM とは別のクラウドセキュリティの機能・概念が出てきます 。 サードパーティ製品の説明の前に、クラウドセキュリティの機能・概念について少し 説明します。 サードパーティ製品の説明の前に 29 CNAPP CSPM CWPP
CIEM
30 CSPM とは? (再掲) Cloud Security Posture Management (クラウドセキュリティ態勢管理) クラウド環境のセキュリティに不備がないか(設定ミス、過剰な
権限、過剰な公開範囲等)、標準的なコンプライアンスに準拠し ているかなどを継続的にチェックし、管理する機能です。
TIPS 31 CWPP とは? Cloud Workload Protection Platform (クラウドワークロード保護プラットフォーム) クラウド環境の仮想マシンやコンテナ、サーバーレス等、多様なワークロードに対し
て、セキュリティ確保のための様々な機能を提供するものです。 クラウドワークロード ➢ クラウド環境で動作するプログラムやアプリケーションのことです。
TIPS 32 CIEM とは? Cloud Infrastructure Entitlement Management (クラウドインフラストラクチャエンタイトルメント管理) クラウドエンタイトルメント
➢ クラウド環境において、特定のユーザーやリソースに割り当てられるアクセス 権限のことです。 クラウド環境におけるアクセス権限を可視化・管理することにより、過剰なアクセス 権限の付与を防止し、アクセス権限の適切な設定を可能にする機能です。
33 CNAPP とは? Cloud Native Application Protection Platform (クラウドネイティブアプリケーション保護プラットフォーム) クラウドアプリケーションのセキュリティを確保するためのフレームワークです。
CSPM、CWPP、CIEM など様々なクラウドセキュリティ機能を統合したものを指し ます。 CNAPP = CSPM + CWPP + CIEM
34 サードパーティ製品の特徴 • クラウドネイティブアプリケーション保護プラットフォーム (CNAPP) 製品として提供 • 複数のクラウド環境を1つのコンソールで管理できる • 複数のクラウドを横断したレポート機能
35 アイレットで取扱う製品を少しご紹介
36 sysdig • マルチクラウド ◦ AWS、Google Cloud、Azure、Oracle Cloud、etc. • リスクを1箇所で可視化
◦ クラウド・コンテナをまとめて保護 • 脆弱性対応の時間を節約 ◦ ランタイム情報に基づき自動で優先順位付け • コンテナランタイム保護 ◦ オープンソースの技術をベースとして、コンテナ / Kubernetes 環境の脅威を検出
37 Prisma Cloud • マルチクラウド ◦ AWS、Google Cloud、Azure、Oracle Cloud、etc. •
コンプライアンス ◦ 400項目以上の構成チェックCIS 等の準拠確認 • ワークロードセキュリティ ◦ ホスト・コンテナ・サーバーレス環境へ対応 • オンデマンドサービスの提供 ◦ アイレット独自のサービスとして、オンデマンドサービスを提供
38 サードパーティのメリット・デメリット • 複数のクラウド環境を1箇所で管理できる • 複数のクラウドを横断したレポート機能 • クラウドワークロード保護 (CWPP) も合わせて対策可能
• デフォルトで多くのフレームワークに対応したテンプレートが使用可能 • カスタムルールが作成がしやすい etc. • 製品の運用・学習コスト • 製品としての費用が必要 デメリット メリット
39 CSPM の活用とセキュリティ強化
40 CSPM の活用に向けて① • マネージドサービスの CSPM (Security Hub、Security Command Center)
を まずは有効化 • 何が検出されるか見る • 検出されたアラートの対応方法を考える TIPS 検出されたアラートに全て対応するのではなく、重要度や自社環境における影響等、リス クに応じた対応を検討する必要があります。
41 CSPM の活用に向けて② • 運用を考える ◦ アラートを検知した場合の対応方針 ◦ 対応するアラートの範囲(Critical /
High は対応する等) • 単一アカウント・プロジェクトだけでなく、組織全体の管理方法を考える • サードパーティ製品の利用も検討する TIPS 今回は CSPM 中心の話をしていますが、CWPP の機能を使用したいということを目的に サードパーティ製品を利用することも多いです。
42 おわりに
おわりに 43 クラウド上でシステムを安全に利用するためには、クラウドの特性を理解しながら、オン プレミスとは異なるセキュリティ管理体制を強化することが必要です。 CSPM を利用することで、クラウド環境の設定不備を可視化し、継続的に管理することが 可能です。 CSPM を軸に、クラウド環境のセキュリティの管理を進めてみてはいかがでしょうか?