Upgrade to Pro — share decks privately, control downloads, hide ads and more …

Security-JAWS#29 AWS Summit Tokyo 2023 オンデマンド配信を楽しむためのセキュリティ関連トピックご紹介

Security-JAWS#29 AWS Summit Tokyo 2023 オンデマンド配信を楽しむためのセキュリティ関連トピックご紹介

2023年4月20-21日で開催されたAWS Summit Tokyo 2023。
オンデマンド配信が 5/22-6/23 で実施されます。

現地に来た方も来れなかった方も、オンデマンド配信を楽しむためにre:Cap兼、セキュリティセッションpick upしておきました。

AWS セッション(58)
事例セッション(52)
パートナーセッション(33)

More Decks by 勝原達也(Tatsuya Katsuhara)

Other Decks in Technology

Transcript

  1. © 2023, Amazon Web Services, Inc. or its affiliates. All rights reserved.
    © 2023, Amazon Web Services, Inc. or its affiliates. All rights reserved.
    AWS Summit Tokyo 2023
    オンデマンド配信を楽しむための
    セキュリティ関連トピックご紹介
    勝原 達也
    S E C U R I T Y - J A W S # 2 9
    アマゾン ウェブ サービス ジャパン合同会社
    技術統括本部 セキュリティソリューションアーキテクト
    kthrtty

    View Slide

  2. © 2023, Amazon Web Services, Inc. or its affiliates. All rights reserved.
    勝原 達也 (Tatsuya Katsuhara)
    セキュリティソリューション アーキテクト
    経歴
    • コンシューマ向けデジタル・アイデンティティサービスの企画・開発
    • Web、⼯場・プラント、IoT・⾃動⾞のセキュリティ診断
    • AWS にてお客様のクラウド活⽤に関連するセキュリティ課題解決
    ⾃⼰紹介
    2

    View Slide

  3. © 2023, Amazon Web Services, Inc. or its affiliates. All rights reserved.
    3
    AWS Summit Tokyo 2023
    オンデマンド配信はじまりました
    (5/22〜6/23)

    View Slide

  4. © 2023, Amazon Web Services, Inc. or its affiliates. All rights reserved.
    4

    View Slide

  5. © 2023, Amazon Web Services, Inc. or its affiliates. All rights reserved.
    現地開催ならではのハードウェア展⽰
    5

    View Slide

  6. © 2023, Amazon Web Services, Inc. or its affiliates. All rights reserved.
    6

    View Slide

  7. © 2023, Amazon Web Services, Inc. or its affiliates. All rights reserved.
    7
    本当は全て⾒ていただきたいけれど
    みなさん仕事に家庭に趣味に⾊々ある…

    View Slide

  8. © 2023, Amazon Web Services, Inc. or its affiliates. All rights reserved.
    8
    AWS セッション(58) + 事例セッション(52) + パートナーセッション(33)
    代わりに眺めておきました
    ほぼ全てのセッションでセキュリティに⾔及あり
    全て紹介したいけれど、泣く泣く⼀部のみ Pick up

    View Slide

  9. © 2023, Amazon Web Services, Inc. or its affiliates. All rights reserved.
    © 2023, Amazon Web Services, Inc. or its affiliates. All rights reserved.
    AWS セッション
    9

    View Slide

  10. © 2023, Amazon Web Services, Inc. or its affiliates. All rights reserved.
    ストレージ視点でのセキュリティ
    AWS-02 性能、コスト、保護すべてがかなう AWS ストレージサービス
    ストレージはデータを保護する
    アーキテクチャを構成するための
    重要コンポーネント
    • データ保護
    • 災害対策
    • ランサムウェア
    10
    © 2023, Amazon Web Services, Inc. or its affiliates. All rights reserved.
    Amazon FSx for
    Windows File
    Server
    Amazon EFS
    Amazon FSx
    for Lustre
    Amazon FSx
    for NetApp
    ONTAP
    Amazon FSx
    for OpenZFS
    ファイルストレージ
    Windows VSS
    on EC2
    AWS Backup による⼀元保護 ストレージ性能
    コスト
    データ保護
    まとめ
    はじめに
    バックアップ
    別リージョン保管
    改変不可
    Amazon EBS
    Amazon Aurora
    Amazon RDS
    Amazon Neptune
    Amazon DocumentDB
    Amazon DynamoDB
    Amazon S3
    VMware Cloud
    on AWS
    Amazon EC2 AWS Storage
    Gateway
    Amazon Redshift Amazon Timestream
    AWS CloudFormation
    VMware
    仮想マシン
    AWS Outpost
    ⼀元管理
    •1 つのコンソールで管理
    •リソースおよびタグ指定の
    バックアップポリシー設定
    •IAM ポリシーでアクセス制御
    ⾃動化
    •スケジュール
    バックアップ
    •保持期限を
    ⾃由に設定
    コンプライアンス
    •KMS による暗号化
    •読み取り専⽤(WORM)
    •AWS Backup Audit Manager
    でコンプライアンス準拠の確認
    ブロックストレージ データベース
    オブジェクト
    ストレージ
    コンピュート データの移動 マネジメント
    アプリケーション オンプレミス
    SAP HANA
    on EC2
    © 2023, Amazon Web Services, Inc. or its affiliates. All rights reserved.
    クロスリージョンレプリケーション
    Amazon EFS
    Amazon S3
    Amazon FSx
    Amazon EFS
    Amazon S3
    Amazon FSx
    東京リージョン ⼤阪リージョン
    ストレージ性能
    コスト
    データ保護
    まとめ
    はじめに
    バックアップ
    別リージョン保管
    改変不可
    AWS Cloud
    クロスリージョンレプリケーション
    • Amazon EFS レプリケーション
    • Amazon S3 クロスリージョンレプリケーション
    • AWS DataSync によるレプリケーション
    • NetApp SnapMirror によるブロック差分
    レプリケーション
    © 2023, Amazon Web Services, Inc. or its affiliates. All rights reserved.
    AWS Backup
    RDS インスタンス
    EC2 インスタンス
    ファイルシステム
    ランサムウェアへの対策 ストレージ性能
    コスト
    データ保護
    まとめ
    はじめに
    バックアップ
    別リージョン保管
    改変不可
    Vault Lock
    S3 Object Lock
    業務アカウント
    Backup Vault
    VPC VPC
    保護⽤アカウント
    Amazon S3
    悪意のある攻撃者
    によるデータ暗号化
    (新)業務アカウント
    EC2
    インスタンス
    RDS
    インスタンス
    ファイル
    システム
    リストア
    Amazon S3
    Backup
    Vault
    VPC
    暗号化

    View Slide

  11. © 2023, Amazon Web Services, Inc. or its affiliates. All rights reserved.
    ネットワークアーキテクチャとセキュリティ
    AWS-03 AWS ネットワーク管理をステップアップしたい⽅に送る、次の⼀⼿
    AWS-42 AWS Cloud WAN を使⽤したAWS グローバルネットワーク
    インフラストラクチャの活⽤
    AWS におけるオンプレと VPC の
    接続パターンを俯瞰して把握するの
    に役⽴つ
    • Client VPN
    • Site-to-Site VPN
    • Direct Connect
    • Transit Gateway
    11
    © 2023, Amazon Web Services, Inc. or its affiliates. All rights reserved. 17
    Public subnet
    Private subnet
    C 要件が異なる拠点からVPCに接続
    ユースケース
    • ⾃宅勤務者の接続
    • セキュアなサイト間接続
    • ⼤規模拠点から接続
    メリット
    • 要件に合わせてコストを最適化
    選択肢
    • AWS Client VPN
    • AWS Site-to-Site VPN
    • AWS Direct Connect
    本社
    VPC
    VGW
    Security group
    Security group
    Direct Connect
    Site-to-Site
    VPN
    Client VPN
    ⽀店
    ホーム
    オフィス
    CGW
    VPN
    Endpoint
    CGW
    CGW: Customer Gateway
    VGW: Virtual Private Gateway
    ELB
    VPNソフト
    © 2023, Amazon Web Services, Inc. or its affiliates. All rights reserved. 18
    Subnet
    AWS Direct Connect
    ポイント
    • オンプレミスから専⽤線でDirect
    Connectロケーションに接続
    • 1, 10, 100Gbpsのポート速度を
    サポート
    • 接続の中に仮想インターフェイス
    (VIF)を作成
    • VIFは接続対象別に3タイプ
    トランジット︓TGW⽤のDXGW
    プライベート︓VGW⽤のDXGW
    パブリック︓AWSクラウド
    • パートナー経由の利⽤で多くの選
    択肢から要件に合わせて選定
    VPC
    本社
    お客様
    ルータ
    Direct
    Connect
    デバイス
    パートナー機器
    お客様機器
    Direct
    Connect
    ゲートウェイ
    S3
    リージョン
    AWS
    Transit
    Gateway
    Dynamo
    DB
    DC内構内接続
    通信事業者提供
    VGW

    View Slide

  12. © 2023, Amazon Web Services, Inc. or its affiliates. All rights reserved.
    運⽤からセキュリティを考える
    AWS-04 インシデントを起点に考える、システム運⽤のユースケースご紹介
    セキュリティは予防的統制だけじゃない、
    運⽤が回るセキュリティのヒントにして
    いただきたい
    • インシデント対応
    • イベントログ
    • ⾃動化ソリューション
    • 特権 ID 管理
    • セキュアなノードアクセス
    12
    © 2023, Amazon Web Services, Inc. or its affiliates. All rights reserved.
    Incident Manager
    ⾃動化された対応プランによりアプリケーションの問題をより迅速に解決
    !
    AWS Chatbot
    Amazon Chime
    Slack
    Incident Manager
    Systems Manager
    Automation
    電話
    メール
    適切な担当者に
    エンゲージメント 関係者間の
    コミュニケーション円滑化
    • インシデント詳細
    • 定義済みの対応⼿順
    • 連絡先
    インシデント対応の効率化・⾃動化





    インシデント
    分析
    改善項⽬や
    根本原因の
    振り返り
    インシデント
    SMS
    Teams
    27
    © 2023, Amazon Web Services, Inc. or its affiliates. All rights reserved.
    Diagnosis
    (診断)
    さらに、AWS 以外のソースの
    アクティビティイベントも集約可能
    AWS 以外のソース
    Ø AWS Config とも統合されているから、「誰が」「いつ」
    「どのリソースで」「何を変更したのか」までわかる
    Ø マルチアカウント・マルチリージョンで横断検索
    Point
    CloudTrail Lake
    AWS CloudTrail Lake
    イベントに対して SQL ベースのクエリができる
    CloudTrail の画⾯上で、
    イベントの分析ができる
    AWS CloudTrail Lake についてはこちら
    58
    58
    © 2023, Amazon Web Services, Inc. or its affiliates. All rights reserved.
    AWS Systems Manager Change Manager
    運⽤上の変更をリクエスト、承認、実装、および報告するための
    エンタープライズ変更管理フレームワーク
    変更
    リクエスト
    承認者
    承認
    変更
    テンプレート
    ・作業内容
    ・承認者
    処理実⾏
    Automation
    Ø AWS リージョン間、複数の
    AWS アカウント間で機能する
    Point
    Mitigation
    (緩和)
    変更を管理するためのダッシュボードも
    変更リクエストの状況
    承認者ビュー
    AWS Systems Manager Change Manager についてはこちら
    68

    View Slide

  13. © 2023, Amazon Web Services, Inc. or its affiliates. All rights reserved.
    可⽤性はセキュリティの重要要素 - レジリエンス
    AWS-14 Resilience at AWS 回復⼒のあるシステムを作る為の設計指針
    AWS-43 ミッションクリティカルシステムを AWS に載せるには︖
    AWS-49 ⾦融機関に求められるレジリエンスの AWS 環境での実装⼿法
    AWS を活⽤して可⽤性・回復性を⾼めていくためのアーキテクチャ
    13
    © 2023, Amazon Web Services, Inc. or its affiliates. All rights reserved.
    High Availability
    設計および運⽤メカニズムに
    よる⼀般的な障害に対する耐性
    Disaster recovery
    まれではあるが影響の⼤きい障害に
    ついて、⽬標内に運⽤に戻る
    コア サービス、可⽤性の⽬標を達成する
    ための設計
    バックアップ、データ管理、RTO/RPOの管理
    適切に Resilience in the Cloud を設計するには︖
    CI/CD、Code の改善、運⽤テスト、Observability / モニタリング、
    カオスエンジニアリング
    以下の3つの観点で分けて考える
    Resilience の継続性
    © 2023, Amazon Web Services, Inc. or its affiliates. All rights reserved.
    ミッションクリティカルシステムを検討
    アーキテ
    クチャ
    可⽤性
    性能・拡張性
    運⽤・保守性
    移⾏性
    セキュリティ
    システム環境・
    エコロジー
    機能要件(プロセス)
    機能要件(データ)
    機能要件(インター
    フェイス)
    本セッションの
    フォーカス
    調整
    調整
    調整
    調整
    調整
    調整
    検討
    静的安定性
    &冗⻑化
    up
    © 2023, Amazon Web Services, Inc. or its affiliates. All rights reserved.
    クラウドにおける業務中断シナリオ
    シナリオ例 対応アプローチ例
    事業継続
    計画発動
    アプリケーションが
    プライマリリージョ
    ンで動作しない
    マルチリージョン
    構成
    顧客
    サービス
    影響あり
    アプリケーションが
    1つのAvailability
    Zoneで動作しない
    Multi-AZ構成
    平常時
    アプリケーション
    コンポーネントの障

    AutoScaling/
    AutoHealing
    AWSにおける影響が重⼤で、起きる可能性
    は低いものの想定しておくべき中断シナリオ
    Time
    SLA
    RTO
    RPO
    BCP
    DR
    耐性度
    サービスレベル
    Impact
    平常時
    顧客サービスに影響
    (通常の障害回復⼿順)
    事業継続計画/
    災害復旧計画の発動
    お客様へ重⼤な影響
    ⾦融システムへ重⼤な影響

    View Slide

  14. © 2023, Amazon Web Services, Inc. or its affiliates. All rights reserved.
    データ活⽤- DWH に関するセキュリティ
    AWS-35 AWS でミッションクリティカルなデータウェアハウスを構築する⽅法
    データウェアハウスはミッションクリティカル性が求められてきている
    Amazon Redshift に備わる「セキュリティ」機能ご紹介
    14
    © 2023, Amazon Web Services, Inc. or its affiliates. All rights reserved.
    データセキュリティレベルの分類とアクセス制御
    • データのセキュリティレベルを分類して
    適切に保護していくことが重要
    üData Analytics Lens : Best practice 3.3 – Understand
    data classifications and their protection policies
    • データ利⽤者が必要な限られたデータにのみ
    アクセスできるよう制御する
    ü機密データを不適切なユーザーや下流のシステム
    に伝播させない
    S
    A
    B
    C 全公開
    極秘
    © 2023, Amazon Web Services, Inc. or its affiliates. All rights reserved.
    ロール単位のアクセス制御 (RBAC) のメリット
    ü -------
    ü -------
    ü -------
    ü -------
    ü -------
    ü -------
    ü -------
    権限
    データサイエン
    ティスト
    ユーザー
    データベース
    開発者
    ビジネス
    アナリスト

    ロール 1
    ロール 2
    ロール 3
    ロール
    データベース権限の管理を簡素化
    権限のコレクションを「ロール」
    としてまとめ、ユーザーに割当て
    ü 複数のロールを割当て可能
    ü ロールのネストも可能
    きめ細かい権限制御
    ロールにはオブジェクト権限だけ
    でなくシステム権限も割当て可能
    ü ユーザーやロールの作成
    ü VACUUM, ANALYZE, TRUNCATE
    列および⾏レベルのセキュリティ、
    動的データマスキングと組み合わせて利⽤
    © 2023, Amazon Web Services, Inc. or its affiliates. All rights reserved.
    ロールベースの
    アクセスコントロール
    ⾏および列レベル
    セキュリティ
    動的データマスキングに
    よる機密データ保護
    Amazon Redshift のアクセスコントロール
    多様なデータアクセス要件に対応
    多様なデータアクセス要件に
    対応する必要のある
    ミッションクリティカルな
    データウェアハウスを⽀える機能
    アクセスコントロールのために
    データの複製やビューの作成など
    煩雑な管理は不要

    View Slide

  15. © 2023, Amazon Web Services, Inc. or its affiliates. All rights reserved.
    AWS における「ゼロトラスト」の考え⽅
    AWS-39 AWS でゼロトラストを実現するためのアプローチ
    3つの⼤切な考え⽅
    • ネットワーク & アイデンティティ
    • ユースケースにフォーカス
    • 対象の特性に応じて柔軟に適⽤
    代表的なユースケースと
    AWS のビルディングブロック
    • リモートアクセス (AWS Verified Access)
    • マイクロセグメント化 (Amazon VPC Lattice)
    • Digital Transformation (AWS IoT)
    15
    © 2023, Amazon Web Services, Inc. or its affiliates. All rights reserved.
    ⼀部だけに注⽬せず
    俯瞰的にとらえていく
    幅広い観点で成熟度を⾼め
    総合的なセキュリティ向上を
    実現していく機会
    データ
    デバイス
    ワークロード
    ⾃動化 &
    オーケスト
    レーション
    ネットワーク
    & 環境
    ユーザー
    可視性
    & 分析
    セキュリティ統制
    ⽶国防総省 Zero Trust Reference Architecture より翻案
    39
    © 2023, Amazon Web Services, Inc. or its affiliates. All rights reserved.
    VPC
    AWS Cloud
    Private subnet
    ゼロトラストの考え⽅に基づいたシームレスな
    リモートアクセス体験を実現
    アプリケーション
    アイデンティティ
    プロバイダ (IdP)
    アクセス
    ポリシー
    ALB, NLB, ENI*
    リモートユーザー
    AWS Verified Access
    SaaS ユーザー体験 マネージドセキュリティ 認証・認可済みアクセス
    強⼒な認証
    デバイス
    セキュリティ維持
    59
    デバイス管理
    * Application Load Balancer
    * Network Load Balancer
    * Elastic Network Interface

    View Slide

  16. © 2023, Amazon Web Services, Inc. or its affiliates. All rights reserved.
    権限管理のグランドデザインと優れたガードレール
    AWS-40 デジタルトランスフォーメーション(DX)の成功を⽀える権限管理
    DX のための権限管理モダナイズ
    • セキュリティ & アジリティ
    グランドデザインと標準化の重要性
    • マルチアカウント
    • データ境界
    • Permissions Boundary
    • アクセス権限セット共通化
    16
    © 2023, Amazon Web Services, Inc. or its affiliates. All rights reserved.
    今⽇の AWS ではマルチアカウントアーキテクチャ
    がベストプラクティス
    23
    AWS アカウント AWS アカウント
    AWS アカウント AWS アカウント
    AWS アカウント
    本番 開発
    セキュリティ 運⽤管理
    アカウント統制 • AWS アカウントは理想的な環境分離の単位
    • AWS アカウント毎の独⽴した権限管理、
    リソースグループの明⽰的な境界
    • 分離そのものがガードレールとして機能
    AWS アカウントを環境の単位とする AWS 固有のプラクティス
    © 2023, Amazon Web Services, Inc. or its affiliates. All rights reserved.
    AWS アカウント群A
    AWS アカウント群C
    新しい条件キーを活⽤したデータ保護の例
    37
    組織の
    AWS アカウント群
    組織外の
    AWS アカウント
    組織内の意図した範囲と
    のみ共有可能とする
    AWS アカウント群B
    AWS アカウントの
    増減に追従する
    データ境界

    View Slide

  17. © 2023, Amazon Web Services, Inc. or its affiliates. All rights reserved.
    AWS Marketplace に関するセキュリティ
    AWS-44 [ISV や SaaS 事業者向け] AWS で⾃社ソフトウェアやサービスを販売
    しよう︕
    AWS マーケットプレイスを取り巻く状況と活⽤に関するご紹介
    AMI やコンテナの出品に関連するセキュリティや継続的な⾃動スキャン
    セラーとバイヤーの双⽅をセキュリティ・知財の観点で保護
    17
    © 2023, Amazon Web Services, Inc. or its affiliates. All rights reserved.
    セキュリティに関するガイドライン
    セキュリティ
    イベントの発⽣
    (CVE)
    セキュリティ
    情報の監視
    出品の
    レビュー
    セラーおよびバイヤーに
    Marketplace チームから通知
    製品を更新
    出品を⼀時制限
    セラーはチェックリストおよび要件に従って
    イメージを構成する必要がある。
    特にセキュリティに関する項⽬に準拠していない場合は
    出品することができない
    • 既知の脆弱性、マルウェア、ウイルスが含まれていないこと
    • EoL を迎えた OS やライブラリを使⽤していないこと
    • パスワードベースの SSH 認証を禁⽌すること
    • クレデンシャルをイメージに含めないこと
    • HVM 仮想化および 64-bit アーキテクチャをベースにすること
    など
    例えば
    © 2023, Amazon Web Services, Inc. or its affiliates. All rights reserved.
    セキュリティと IP (知的財産権) の保護について
    o セラー「⾃社の IP であるモデルを顧客に渡すのは抵抗が...」
    Ø Marketplace から購⼊したモデルやアルゴリズムには、SageMaker の機能を
    介してのみアクセスできます。バイヤーが直接イメージを pull したり
    モデルにアクセスすることはできません
    Ø モデルは保存時および転送時に暗号化されます。
    Ø モデルが稼働する環境では、アウトバウンドのネットワークアクセスが制限
    されています。
    o バイヤー「学習のためとはいえ⾃社の機密データを他社に渡すのは抵抗が...」
    Ø アルゴリズム製品を選択することで、データを⾃社の環境に保持したまま
    学習を⾏いモデルを作成することできます。
    Ø 学習はアウトバウンドのネットワークアクセスを持たない環境で実⾏される
    ため、データが外部に転送されることはありません。

    View Slide

  18. © 2023, Amazon Web Services, Inc. or its affiliates. All rights reserved.
    仮想デスクトップによるセキュリティ確保のヒント
    AWS-47 仮想デスクトップ環境の運⽤を⾒直そう︕新たな仮想デスクトップ
    サービスの選択肢とAmazon AppStream 2.0 運⽤管理の Dive Deep
    データ保護、コンプライアンス、BYOD リスクへの考慮
    Web 分離やアプリケーションのストリーミングなど⽤途別の複数選択肢
    18
    © 2023, Amazon Web Services, Inc. or its affiliates. All rights reserved.
    現代の働き⽅の変化
    “雇⽤主の83%が、リモートワークが会社の成功に寄
    与したと述べている” – PwC study, January 2021
    仮想コミュニケーション⽤
    ツール
    72%
    安全な仮想環境
    への接続
    70%
    投資を計画している
    ⽶国企業エグゼクティブの割合
    分散型ワークモデルは今後も続く傾向
    幅広い職務
    ナレッジ
    ワーカー
    映像 /
    視覚化
    タスク
    ワーカー
    M&A後の
    従業員
    派遣
    労働⼒
    BYOD
    ワーカー
    エンジニア /
    データ
    サイエンティスト
    トレーニング
    ラボ
    ⼯場と営業
    出展︓PWC Remote Work Survey, January 2021
    © 2023, Amazon Web Services, Inc. or its affiliates. All rights reserved.
    ユーザーの利⽤イメージ
    ①アプリケーション
    ②デスクトップ
    のどちらかを選択
    ①アプリケーションをストリーミング
    ブラウザまたは
    クライアントアプリから
    AppStream 2.0 にアクセス
    ②デスクトップをストリーミング


    © 2023, Amazon Web Services, Inc. or its affiliates. All rights reserved.
    Amazon WorkSpaces Web
    低コストで利⽤することができるフルマネージド仮想ブラウザサービス
    クライアント端末 クラウド上の仮想ブラウザ
    Amazon
    WorkSpaces Web
    暗号化されたピクセルストリーム
    (AES 256 による強⼒な暗号化)

    View Slide

  19. © 2023, Amazon Web Services, Inc. or its affiliates. All rights reserved.
    © 2023, Amazon Web Services, Inc. or its affiliates. All rights reserved.
    必要な技術︓③セキュリティ
    1. 責任共有モデル
    2. ISMAP, NIST SP800-53に関する理解
    3. AWSが提供するリファレンスアーキテクチャの理解
    4. ゼロトラスト
    5. 予防的統制と、発⾒的統制
    6. セキュリティ対策の⾃動化
    7. サーバレスアーキテクチャの理解
    8. IaCテンプレートの適⽤とセキュリティ対策のデフォルト化
    9. AWS GuardDuty, AWS Security Hubなどの理解
    10. パッチ、アップデートに柔軟なシステム運⽤
    11. クラウドに適した監査
    © 2023, Amazon Web Services, Inc. or its affiliates. All rights reserved.
    第1段階 第2段階
    アプリケーションの変更を最⼩限に、
    マネージドサービスを活⽤
    インフラとアプリケーションを刷新してクラウドサービスをフル活⽤
    ガバメントクラウドへの移⾏パターン
    Network
    運⽤/Security
    Storage
    DB
    AP
    Network
    運⽤/Security
    Storage
    DB
    AP
    マイクロ
    サービス
    マイクロ
    サービス
    マイクロ
    サービス
    • 単純なリホストによる移⾏ではなく、インフラとアプリケーションの同時刷新
    を検討する
    • 同時刷新が困難な場合、第1段階の状態を経由する2段階移⾏の計画を⽴てる
    出展︓デジタル庁「政府情報システムにおけるクラウドサービスの適切な利⽤に係る基本⽅針」
    https://www.digital.go.jp/assets/contents/node/basic_page/field_ref_resources/e2a06143-ed29-4f1d-9c31-
    0f06fca67afc/17ef852e/20221228_resources_standard_guidelines_guideline_01.pdf
    © 2023, Amazon Web Services, Inc. or its affiliates. All rights reserved.
    スタディログの可視化・分析
    政府・⾃治体におけるクラウド利⽤とセキュリティ
    AWS-50 政府が求めるクラウドを適切(スマート)に利⽤するための設計原則
    AWS-51 ⾃治体がガバメントクラウド利⽤に向けておさえておきたい 10 のこと
    AWS-52 教育データ利活⽤と教育ダッシュボードの構築
    AWS-53 国の DX を⽀えるデジタル⼈材の育成
    19
    © 2023, Amazon Web Services, Inc. or its affiliates. All rights reserved.
    15
    どういった仕組みなのか︖
    AWS CloudTrail AWS Config
    ・AWSアカウント作成
    ・SSO User作成
    ・操作ログ改竄防⽌
    ・予防的統制(SCP)
    ・発⾒的統制(Config Rule)
    ・不正アクセス脅威検出
    ・セキュリティ⾃動チェック
    デジタル庁がAWS Control Towerで
    AWSアカウントを⾃治体へ払い出す。
    ⾃治体利⽤に必要な機能が事前設定
    Amazon GuardDuty AWS Security Hub
    テンプレート
    通知への対応
    設定されているサービス
    ※代表的なもの
    利⽤開始時からセキュリティ基準が⾼い
    AWSアカウ
    ント
    1
    AWS Trusted Advisor AWS Budgets
    ⾃治体
    デジタル庁が設定

    View Slide

  20. © 2023, Amazon Web Services, Inc. or its affiliates. All rights reserved.
    © 2023, Amazon Web Services, Inc. or its affiliates. All rights reserved.
    お客様セッション(抜粋)
    20

    View Slide

  21. © 2023, Amazon Web Services, Inc. or its affiliates. All rights reserved.
    AWS を活⽤した全社共通クラウド基盤 (1 of 2)
    21
    CUS-02 中外製薬 様
    • 全てのバリューチェーンで AWS を活⽤
    • 次期クラウド基盤を超短期間でリリース実現
    • アジリティとセキュリティ(ガードレール)
    • アカウント⾃動⽣成、セルフサービス化
    CUS-05 三菱マテリアル 様
    • DX - データとデジタル技術活⽤による改⾰
    • セキュリティを維持しながらも不確実なニーズ
    に対応できる基盤 “MMCG クラウド”
    • 全社共通環境 (IT部⾨) と各カンパニー向け環境

    View Slide

  22. © 2023, Amazon Web Services, Inc. or its affiliates. All rights reserved.
    AWS を活⽤した全社共通クラウド基盤 (2 of 2)
    22
    CUS-33 住友⽣命保険 様
    • クラウドファーストの次世代アーキテクチャ構想
    • ゼロトラストネットワーク (SASE)
    • 認証・ID連携
    • クラウド間接続・データ HUB
    • API 連携基盤

    View Slide

  23. © 2023, Amazon Web Services, Inc. or its affiliates. All rights reserved.
    セキュアなリモートメンテナンス構成事例
    23
    CUS-11 KINTO テクノロジーズ 様
    • DBRE(DB Reliability Engineer) の活動紹介
    • アジリティ & セキュリティとガバナンス
    • DB にフォーカスした本番アクセス管理
    • Slack を⽤いた申請・承認、⾃動化・監査

    View Slide

  24. © 2023, Amazon Web Services, Inc. or its affiliates. All rights reserved.
    府省クラウド CoE としての取り組み・歩み
    24
    CUS-16 デジタル庁/農林⽔産省 様
    • ガバメントクラウドの先⾏事例(R.2 年稼働)
    • 共通機能(セキュリティ含む)を管理アカウン
    トに集約
    • 現⾏踏襲を望む個別システム管理者に
    改善の意思決定させるには、CoEに勇気が必要

    View Slide

  25. © 2023, Amazon Web Services, Inc. or its affiliates. All rights reserved.
    ⾦融機関におけるセキュリティ確保とデータ活⽤
    25
    CUS-31 三菱UFJ銀⾏ 様
    • 銀⾏セキュリティ・ガバナンス要件に応え、
    素早く AI を活⽤する開発基盤を内製
    • 「数⼈で⾦融機関⽔準のセキュリティを満たす
    分析基盤が構築可能」

    View Slide

  26. © 2023, Amazon Web Services, Inc. or its affiliates. All rights reserved.
    ⼤規模オンプレ活⽤から⼤規模 AWS 活⽤へ
    26
    CUS-36 ドワンゴ 様
    • テーマは「地⽅分権とガバナンス」
    • 裁量と責任を持った個々の開発チーム
    • 課題解決、制度設計で地⽅分権を推進
    • アカウント戦略 (AWS Control Tower)
    • セキュリティガイドラインや⽅針の整備

    View Slide

  27. © 2023, Amazon Web Services, Inc. or its affiliates. All rights reserved.
    AWS セキュリティサービスと
    マネージドサービス活⽤のねらい・効果
    27
    CUS-46 パナソニック 様
    • 差別化に繋がらない実⾏基盤は、AWS サービス
    を活⽤して省⼒化 → 顧客価値に集中
    • AWS Fargate
    • AWS セキュリティサービス
    • AWS Code シリーズ
    CUS-49 弥⽣ 様
    • AWS セキュリティサービスの活⽤
    • マネージドサービスでセキュリティ考慮点削減
    • セキュリティガードレール
    • 運⽤チーム作業量 60% 減
    • マネージドサービス⽐率 30 → 70%

    View Slide

  28. © 2023, Amazon Web Services, Inc. or its affiliates. All rights reserved.
    SaaS ビジネスのセキュリティ / Marketplace 活⽤
    28
    CUS-52 サイバーセキュリティクラウド 様
    • AWS WAF Managed Rules のグローバル展開
    • 累計 90 カ国以上、グローバル⽐率は 50% 超
    • AWS WAF ⾃動運⽤サービス「WafCharm」の
    グローバル展開開始
    CUS-48 Works Human Intelligence 様
    • 第三者機関の認証を取得し、クラウドサービス
    の信頼性のアピール
    • P マーク、ISO27001、ISO27017、ISO27701、
    ISMAP

    View Slide

  29. © 2023, Amazon Web Services, Inc. or its affiliates. All rights reserved.
    サービス成⻑フェーズこそ継続的な改善が⼤切
    29
    CUS-51 セーフィー 様
    • 環境変更に抵抗あれど、⻑期的な⽬線で判断
    • 強い権限をもった IAM アクセスキーのリスク削減
    • スイッチロールでクロスアカウントアクセス
    • direnv や aws-vault で⼀時クレデンシャル活⽤
    • Session Manager でセキュア&監査可能なメンテ

    View Slide

  30. © 2023, Amazon Web Services, Inc. or its affiliates. All rights reserved.
    © 2023, Amazon Web Services, Inc. or its affiliates. All rights reserved.
    Appendix.
    パートナーセッション(抜粋)
    30

    View Slide

  31. © 2023, Amazon Web Services, Inc. or its affiliates. All rights reserved.
    パートナーセッション抜粋 (1 of 2)
    31
    # タイトル キーワード
    AP-02
    トヨタCCoEチームの挑戦オブザーバビリティの活⽤と
    DevSecOpsの実現(New Relic 様、トヨタ⾃動⾞ 様)
    オブザーバビリティ、トヨタ CCoE、
    セキュリティ設定⼯数 96% 減、ガードレール
    AP-03
    明⽇のセキュリティの課題をパロアルトネットワークスで
    解決︕今ならまだ間に合うセキュリティ対策
    (パロアルトネットワークス様)
    最新の脅威情報、Cloud NGFW、SASE、FWaaS、
    Prisma Cloud
    AP-07
    デモで分かる︕AWS 環境をランサムウェアから守るには︖
    (トレンドマイクロ様)
    AWS 環境のランサムウェア対策、設定不備可視化、
    ワークロード保護、ストレージのスキャン
    AP-09
    NTT データが8 年間⼀緒に歩んだリクルート様のAWS 共通
    基盤での挑戦の軌跡(NTTデータ 様、リクルート 様)
    ID/認証とアカウント設計、権限設計、監査/リスク
    検知システム、AWS Organizations 活⽤
    AP-10
    官公庁・⾃治体が取り組むべきスマートモダナイゼーション
    と実例(⽇本電気 様)
    モダナイゼーション、マネージドサービステンプ
    レート、クラウド統制運⽤PF、デザインアプローチ
    AP-11
    Amazon VPC のネットワークセキュリティをより堅牢にする
    アプローチ(フォーティネットジャパン 様)
    統合ネットワークセキュリティプラットフォーム、
    SaaS 型ファイヤウォール

    View Slide

  32. © 2023, Amazon Web Services, Inc. or its affiliates. All rights reserved.
    パートナーセッション抜粋 (2 of 2)
    32
    # タイトル キーワード
    AP-12
    事例から学ぶ、データ利活⽤の現実と将来像〜AWS 上でデー
    タ利活⽤を実現するベストプラクティスとは〜(TIS 様)
    決済関連・⾼セキュリティクラウド基盤、SIEM on
    Amazon OpenSearch Service、インシデント検知
    AP-22
    専⽤AWS Organizations 環境提供から獲得したマルチアカウ
    ント分割⽅針とガイドライン準拠ソリューション事例
    (野村総合研究所 様、ニューリジェンセキュリティ 様)
    マルチアカウント管理サービス、予防的・発⾒的
    ガードレール、AWS WAF・AWS Network
    Firewall・CSPM・脆弱性管理
    AP-24
    Gunosy(グノシー)が選んだ開発者に負担をかけないスマー
    トなセキュリティ対策(Snyk 様、Gunosy 様)
    SDLC 全体でのセキュリティ対策、DevSecOps、
    ⼈⼒総⼒戦からの脱却、定期的・⾃動的なスキャン
    AP-25
    サイバー空間の安全を保つために ︕AWS WAF を最⼩限の⼯
    数で最⼤限に使いこなす術とは
    (サイバーセキュリティクラウド様)
    AWS WAF ⾃動運⽤サービス、WafCharm、強⼒な
    防御と楽な運⽤、AWS Marketplace での購⼊、
    Web サイト改ざん検知
    AP-27
    エンドポイントだけでは終わらない︕最新の脅威が狙う
    「クラウド」のセキュリティ対策(クラウドストライク 様)
    Falcon Platform、エンドポイントセキュリティ、
    脅威インテリジェンス、CIEM、CSPM/CWP、アイ
    デンティティ保護、可視化、オペレーション
    AP-32
    三菱UFJ銀⾏様の活⽤事例にみるRed Hat OpenShift Service
    on AWS の価値(レッドハット様、
    三菱UFJインフォメーションテクノロジー様)
    AWS 上での OpenShift、ROSA を使う理由、銀⾏
    システムとしての安全安⼼安定のためのガイド、ブ
    ラックボックスにしないための追加実装

    View Slide

  33. © 2023, Amazon Web Services, Inc. or its affiliates. All rights reserved.
    オンデマンド配信、
    本セッションも活⽤いただき、
    引き続きお楽しみください
    33

    View Slide

  34. © 2023, Amazon Web Services, Inc. or its affiliates. All rights reserved.
    Thank you!
    © 2023, Amazon Web Services, Inc. or its affiliates. All rights reserved.
    勝原 達也(Katsuhara Tatsuya)
    アマゾン ウェブ サービス ジャパン合同会社
    技術統括本部 セキュリティソリューションアーキテクト
    kthrtty

    View Slide