Upgrade to Pro
— share decks privately, control downloads, hide ads and more …
Speaker Deck
Features
Speaker Deck
PRO
Sign in
Sign up for free
Search
Search
20250706_AWSでランサムウェア対策_バックアップが最大の防御_.pdf
Search
Hiroshi Kato
July 05, 2025
410
0
Share
Embed
Copy iframe code
Copy JS code
Copy link
Start on current slide
20250706_AWSでランサムウェア対策_バックアップが最大の防御_.pdf
Hiroshi Kato
July 05, 2025
More Decks by Hiroshi Kato
See All by Hiroshi Kato
20260705_ADOTでLambdaを観測してみた.pdf
kahiro
0
51
TelemetryAPIでLambda関数の外側を覗く
kahiro
0
8
20260318_AIによるデザインレビュ〜「画像の美しさ」をスコアに変換する〜
kahiro
0
86
DurableExecutionを実装検証から理解する.pdf
kahiro
1
47
20260110_オンプレ思考からクラウドネイティブ思考への転換レシピ
kahiro
0
15
20251114_Amazon_Q_DeveloperでMCPを使う_最初の一歩__.pdf
kahiro
0
17
20250829_LambdaとStepFunctionsどちらを選ぶべき_コスト視点で考えてみる.pdf
kahiro
1
470
Step_Functions_をはじめよう_JSONataによる進化_.pdf
kahiro
2
160
20250701_VMwareワークロードのAWS移行を学ぶ.pdf
kahiro
0
150
Featured
See All Featured
個人開発の失敗を避けるイケてる考え方 / tips for indie hackers
panda_program
123
22k
The Limits of Empathy - UXLibs8
cassininazir
1
380
How to Get Subject Matter Experts Bought In and Actively Contributing to SEO & PR Initiatives.
livdayseo
0
150
SEOcharity - Dark patterns in SEO and UX: How to avoid them and build a more ethical web
sarafernandez
0
220
The Art of Programming - Codeland 2020
erikaheidi
57
14k
Reflections from 52 weeks, 52 projects
jeffersonlam
356
21k
The World Runs on Bad Software
bkeepers
PRO
72
12k
Principles of Awesome APIs and How to Build Them.
keavy
128
18k
Evolution of real-time – Irina Nazarova, EuRuKo, 2024
irinanazarova
9
1.4k
Measuring & Analyzing Core Web Vitals
bluesmoon
9
870
30 Presentation Tips
portentint
PRO
1
340
More Than Pixels: Becoming A User Experience Designer
marktimemedia
3
460
Transcript
AWSでランサムウェア対策 〜バックアップが最大の防御〜 JAWS-UG 名古屋 JAWSミートの翌日LT大会 豊橋スペシャル 2025年7月6日(日)
自己紹介 加藤 寛士 (かとう ひろし) • JAWSミート 初参加 • JAWS-UG
名古屋 の運営をしています! NECソリューションイノベータ株式会社 Xアカウント: @Hircha12
自分で戻せないと「詰み」・・・ episode1 恐怖の侵入 episode2 奪われた価値 episode4 混乱と絶望 episode3 迫りくる脅迫
AWSのランサムウェア対策ざっくり 侵入されるのを100%防ぐのは不可能、戻せる設計が重要 侵入・感染 暗号化 要求 • WAF • NACL •
SG 侵入防止 検知・拡散防止 アクセス制御 権限管理・ログ監視・検知 • IAM、MFA • GuardDuty • CloudTrail • Security Hub 復旧 バックアップ 本資料の メイン
バックアップの基本原則 3-2-1ルール 3つのコピー • オリジナルデータを含め、少なくとも 3つのデータのコピーを持つ 1つのオフサイトコピー • 少なくとも1つのバックアップコピーを オフサイト(遠隔地)に保存
2種類のメディア • 少なくとも2種類の異なるストレージ メディアに保存する
バックアップの基本原則 3-2-1ルール 3つのコピー • オリジナルデータを含め、少なくとも 3つのデータのコピーを持つ 1つのオフラインまたは イミュータブルなコピー 1つのオフサイトコピー •
少なくとも1つのバックアップコピーを オフサイト(遠隔地)に保存 2種類のメディア • 少なくとも2種類の異なるストレージ メディアに保存する 3-2-1-1-0ルール リストア時のエラーが0で あること
イミュータブルとエアギャップ イミュータブル エアギャップ 「不変」または「変更不可能」 物理的または論理的な「隔離」 • 設定された期間中は誰にも(管理 者であっても)変更、削除、また は暗号化できない •
バックアップデータを完全に切り 離すことで、サイバー攻撃がバッ クアップに到達するのを防ぐ 消せない・戻せる・隔離されてる
AWSで3−2−1−1−0 3つの コピー 2種類の メディア ※ 1つの オフサイト コピー 1つの
イミュータブルな コピー リストア時の エラーが0 • 本番環境データ (EBS、RDS、S3上 のデータ) • AWS Backup • クロスリージョン、 クロスアカウントの バックアップ • S3 Object Lock • AWS Backup Vault Lock • AWS責任共有モデル におけるバックアッ プの責任は、AWSと ユーザーで分担 • ユーザーは適切にリ ストアをテストする こと • 同一リージョン内の バックアップ • スナップショット (EBS、RDS) • AMI • PITR • 論理バックアップ (DBエクスポート) • クロスリージョン、 クロスアカウントの バックアップ ※異なるバックアップアプローチと捉える
S3 Object Lock 保存されたオブジェクトをWORM(Write Once、Read Many)モデルで管理 種類 概要 オブジェクトの変更 ロックの解除
リテンションモード 期限ありのオブジェクトロック ー ー ガバナンス モード • データ誤削除の防止 • 管理者が必要に応じた対応可能 • 保持期間を経過すれば 変更可能 • s3:BypassGovernanceRete ntionの権限でオブジェクト 変更可能 コンプライアンス モード • ランサムウェアからのデータ保護 • 厳格な規制への準拠 • 監査証跡の保持等 • 絶対的な不変性 • 保持期間を経過すれば 変更可能 • 保持期間が経過するまで、い かなる変更も不可 • 期間を伸ばすことは可能だが、 短縮は不可 リーガルホールド 期限なしのオブジェクトロック • ロックを無効化すれば 変更可能 • s3:PutObjectLegalHoldの権 限でロックの無効化が可能 リテンションモードとリーガルホールドは、個別に設定可能
AWS Backup Vault Lock 保存されたオブジェクトをWORM(Write Once、Read Many)モデルで管理 種類 概要 バックアップの変更
ロックの解除 リテンションモード 期限ありのボールトロック ー ー ガバナンス モード • データ誤削除の防止 • 管理者が必要に応じた対応可能 • 保持期間を経過すれば 変更可能 • backup:DeleteBackupVault LockConfigurationの権限で バックアップ変更可能 コンプライアンス モード • ランサムウェアからのデータ保護 • 厳格な規制への準拠 • 監査証跡の保持等 • 絶対的な不変性 • 保持期間を経過すれば 変更可能 • 保持期間が経過するまで、い かなる変更も不可 • 期間を伸ばすことは可能だが、 短縮は不可 ChangeableForDays (猶予期間) • コンプライアンスモードの場合に設定可能 • この期間中であればVault Lockの設定変更、削除が可能
アカウントA クロスアカウントのバックアップ EC2 RDS CMK-A1 AWS Backup Backup vault CMK-A2
アカウントB Backup vault CMK-B • アカウントAのAWS Backupサービスが、アカウントBのCMK-Bを使い暗号化できる権限が必要 • CMK-Bのキーポリシーで許可する必要があり、キーポリシーの編集はCMKでしかできない • CMKは、管理が煩雑、誤削除するとバックアップから復元ができなくなる 復号 暗号 復号 暗号 コピー
アカウントA AWS Backup Logically Air-gapped Vault EC2 RDS CMK-A1 AWS
Backup Backup vault CMK-A2 アカウントB Logically Air-gapped Backup vault AWS所有キー • コンプライアンスモードの強制(不変性の強制) • AWS所有キーによる暗号化 • コピー専用のVault 復号 暗号 復号 暗号 コピー
アカウントA AWS Backup Logically Air-gapped Vault EC2 RDS Backup vault
CMK アカウントB Logically Air-gapped Backup vault AWS所有キー • RAM を通じてLogically Air-gapped Backup vaultを共有した場合、 特別なKMSキー設定なしに復元することが可能 Resource Access Manager アカウントC Shared Logically Air-gapped Backup vault AWS Backup EC2 RDS Restore
まとめ ◆3-2-1-1-0ルールの徹底 複数コピー、多様な保存先、オフサイト保管、イミュータブ ル化、そしてエラー0のリストア確認 ◆AWSの機能をフル活用 S3 Object Lock、AWS Backup Vault
Lock クロスアカウント構成とLogically Air-gapped Vaultが 強力な「戻せる設計」を支える 自分で戻せる「詰まない」設計をしましょう