20250706_AWSでランサムウェア対策_バックアップが最大の防御_.pdf

Transcript

1. AWSでランサムウェア対策 〜バックアップが最大の防御〜 JAWS-UG 名古屋 JAWSミートの翌日LT大会 豊橋スペシャル 2025年7月6日（日）

2. 自己紹介 加藤 寛士 （かとう ひろし） • JAWSミート 初参加 • JAWS-UG

   名古屋 の運営をしています！ NECソリューションイノベータ株式会社 Xアカウント： @Hircha12

3. 自分で戻せないと「詰み」･･･ episode1 恐怖の侵入 episode2 奪われた価値 episode4 混乱と絶望 episode3 迫りくる脅迫

4. AWSのランサムウェア対策ざっくり 侵入されるのを100%防ぐのは不可能、戻せる設計が重要 侵入・感染 暗号化 要求 • WAF • NACL •

   SG 侵入防止 検知・拡散防止 アクセス制御 権限管理・ログ監視・検知 • IAM、MFA • GuardDuty • CloudTrail • Security Hub 復旧 バックアップ 本資料の メイン

5. バックアップの基本原則 3-2-1ルール 3つのコピー • オリジナルデータを含め、少なくとも 3つのデータのコピーを持つ 1つのオフサイトコピー • 少なくとも1つのバックアップコピーを オフサイト（遠隔地）に保存

   2種類のメディア • 少なくとも2種類の異なるストレージ メディアに保存する

6. バックアップの基本原則 3-2-1ルール 3つのコピー • オリジナルデータを含め、少なくとも 3つのデータのコピーを持つ 1つのオフラインまたは イミュータブルなコピー 1つのオフサイトコピー •

   少なくとも1つのバックアップコピーを オフサイト（遠隔地）に保存 2種類のメディア • 少なくとも2種類の異なるストレージ メディアに保存する 3-2-1-1-0ルール リストア時のエラーが0で あること

7. イミュータブルとエアギャップ イミュータブル エアギャップ 「不変」または「変更不可能」 物理的または論理的な「隔離」 • 設定された期間中は誰にも（管理 者であっても）変更、削除、また は暗号化できない •

   バックアップデータを完全に切り 離すことで、サイバー攻撃がバッ クアップに到達するのを防ぐ 消せない・戻せる・隔離されてる

8. AWSで３−２−１−１−０ ３つの コピー ２種類の メディア ※ １つの オフサイト コピー １つの

   イミュータブルな コピー リストア時の エラーが０ • 本番環境データ (EBS、RDS、S3上 のデータ) • AWS Backup • クロスリージョン、 クロスアカウントの バックアップ • S3 Object Lock • AWS Backup Vault Lock • AWS責任共有モデル におけるバックアッ プの責任は、AWSと ユーザーで分担 • ユーザーは適切にリ ストアをテストする こと • 同一リージョン内の バックアップ • スナップショット (EBS、RDS) • AMI • PITR • 論理バックアップ (DBエクスポート) • クロスリージョン、 クロスアカウントの バックアップ ※異なるバックアップアプローチと捉える

9. S3 Object Lock 保存されたオブジェクトをWORM（Write Once、Read Many）モデルで管理 種類 概要 オブジェクトの変更 ロックの解除

   リテンションモード 期限ありのオブジェクトロック ー ー ガバナンス モード • データ誤削除の防止 • 管理者が必要に応じた対応可能 • 保持期間を経過すれば 変更可能 • s3:BypassGovernanceRete ntionの権限でオブジェクト 変更可能 コンプライアンス モード • ランサムウェアからのデータ保護 • 厳格な規制への準拠 • 監査証跡の保持等 • 絶対的な不変性 • 保持期間を経過すれば 変更可能 • 保持期間が経過するまで、い かなる変更も不可 • 期間を伸ばすことは可能だが、 短縮は不可 リーガルホールド 期限なしのオブジェクトロック • ロックを無効化すれば 変更可能 • s3:PutObjectLegalHoldの権 限でロックの無効化が可能 リテンションモードとリーガルホールドは、個別に設定可能

10. AWS Backup Vault Lock 保存されたオブジェクトをWORM（Write Once、Read Many）モデルで管理 種類 概要 バックアップの変更

    ロックの解除 リテンションモード 期限ありのボールトロック ー ー ガバナンス モード • データ誤削除の防止 • 管理者が必要に応じた対応可能 • 保持期間を経過すれば 変更可能 • backup:DeleteBackupVault LockConfigurationの権限で バックアップ変更可能 コンプライアンス モード • ランサムウェアからのデータ保護 • 厳格な規制への準拠 • 監査証跡の保持等 • 絶対的な不変性 • 保持期間を経過すれば 変更可能 • 保持期間が経過するまで、い かなる変更も不可 • 期間を伸ばすことは可能だが、 短縮は不可 ChangeableForDays (猶予期間) • コンプライアンスモードの場合に設定可能 • この期間中であればVault Lockの設定変更、削除が可能

11. アカウントA クロスアカウントのバックアップ EC2 RDS CMK-A1 AWS Backup Backup vault CMK-A2

    アカウントB Backup vault CMK-B • アカウントAのAWS Backupサービスが、アカウントBのCMK-Bを使い暗号化できる権限が必要 • CMK-Bのキーポリシーで許可する必要があり、キーポリシーの編集はCMKでしかできない • CMKは、管理が煩雑、誤削除するとバックアップから復元ができなくなる 復号 暗号 復号 暗号 コピー

12. アカウントA AWS Backup Logically Air-gapped Vault EC2 RDS CMK-A1 AWS

    Backup Backup vault CMK-A2 アカウントB Logically Air-gapped Backup vault AWS所有キー • コンプライアンスモードの強制（不変性の強制） • AWS所有キーによる暗号化 • コピー専用のVault 復号 暗号 復号 暗号 コピー

13. アカウントA AWS Backup Logically Air-gapped Vault EC2 RDS Backup vault

    CMK アカウントB Logically Air-gapped Backup vault AWS所有キー • RAM を通じてLogically Air-gapped Backup vaultを共有した場合、 特別なKMSキー設定なしに復元することが可能 Resource Access Manager アカウントC Shared Logically Air-gapped Backup vault AWS Backup EC2 RDS Restore

14. まとめ ◆3-2-1-1-0ルールの徹底 複数コピー、多様な保存先、オフサイト保管、イミュータブ ル化、そしてエラー0のリストア確認 ◆AWSの機能をフル活用 S3 Object Lock、AWS Backup Vault

    Lock クロスアカウント構成とLogically Air-gapped Vaultが 強力な「戻せる設計」を支える 自分で戻せる「詰まない」設計をしましょう