JAWS-UG千葉支部オンライン#20 -AWSではじめるクラウドセキュリティ-_AWS運用におけるクラウドセキュリティを改めて学ぶ

Transcript

1. フォージビジョン株式会社 https://www.forgevision.com/ 読書感想LT①： AWS運用におけるクラウドセキュリティを改めて学ぶ JAWS-UG千葉支部オンライン#20 -AWSではじめるクラウドセキュリティ- 2023年3月23日(木) 北原 雅人

2. 自己紹介 北原 雅人(きたはら まさと) Twitter - @masara0803 所属: フォージビジョン株式会社 カスタマーサクセスチーム

   2 2020 / 2021 APN AWS Top Engineers AWS Community Builders(DevTools) JAWS-UG 千葉支部運営メンバー 好きな AWS サービス: Amazon WorkSpaces 本日はクラウドセキュリティ×運用のお話をします！ 2023/3/23 © 2022 ForgeVision, Inc.

3. 感謝！Thanks！ まずは、松本照吾さん始め著者の方々に感謝！！ 2023/3/23 © 2022 ForgeVision, Inc. 3

4. 「AWSではじめるクラウドセキュリティ」読んでみた感想 • 「セキュリティの基本を学ぶ上で基礎が図解付きでまとめられており、非常に読みやすい」 2023/3/23 © 2022 ForgeVision, Inc. 4 •

   「セキュリティに特化した本では専門用語も多く取り扱われている事が多いが、各用語についても細かく説明さ れており、索引からも振り返りがしやすい」 • 「AWS 認定の資格本と比べるとAWSサービスよりも、あくまでセキュリティが主役となっており、AWS サービス の詳細は深く掘り下げず、ポイントとしてどのサービスを利用したら良いか章別で理解出来る」 • 「読書ターゲットとしては、セキュリティをこれから学ぶ人、AWSをこれから始める人、それぞれの視点でも要望 に答えられる本だと感じた」 • 「座学だけではなく、ハンズオンの手順も交えて体系的に学ぶことが可能」

5. アジェンダ 最近AWS運用を業務で行う事が多い事からクラウドのセキュリティ、 運用について、改めて本著書で学ぶことが出来ました。 これらを踏まえて、本日は以下のテーマでお話が出来ればと思います。 1. クラウドセキュリティの理念について 2. クラウドセキュリティのAWSサービスの選択 3. クラウド運用におけるセキュリティの意識ポイント

   2023/3/23 © 2022 ForgeVision, Inc. 5

6. １．クラウドセキュリティの理念について 2023/3/23 © 2022 ForgeVision, Inc. 6 「１．クラウドセキュリティの理念について」 第１部の名言に沿って振り返ります。

7. １．クラウドセキュリティの理念について 「セキュリティは何かから「守る」ことである」 2023/3/23 © 2022 ForgeVision, Inc. 7 セキュリティはヒーローでは無く裏方志向だが様々な場面で必要となる。 これらの考え方は運用業務でも近しい事が考えられるかと思います。

   お客様の業務を守る上で、セキュリティ、運用はお客様に寄り添い、 サービス維持を務める為には必要な業務です。

8. １．クラウドセキュリティの理念について 「セキュリティはサービスの中心ではない」 2023/3/23 © 2022 ForgeVision, Inc. 8 サービス全体から見た時にセキュリティは付加価値的な要素が多く、 サービスを提供する上でセキュリティは必ず必要なものではありません。

   セキュリティを踏まえたサービス提供はサービスの価値を損なわずに 提供する事で、より良い顧客満足度が得られるものとなり、 サービスの中心では無いですが、必要な要素です。

9. １．クラウドセキュリティの理念について 「脆弱性は人から生まれやすい」 2023/3/23 © 2022 ForgeVision, Inc. 9 人間はミスをしやすく、忘れやすい。また、感情によって判断や発言が変わり、 一貫性がありません。それらの脆弱性を一貫した処理を実現する為にITが

   ガバナンスを高める道具として利用出来ます。 プログラム、ITを利用する事で、正確でかつ早い処理を期待する事が出来ます。 業務処理の効率化、運用においても効率化を図る上で自動化、IT化は 必要不可欠と考えます。これらの考え方もセキュリティ、運用でも同様と考えます。

10. １．クラウドセキュリティの理念について 「ガードレール型のセキュリティを推奨」 2023/3/23 © 2022 ForgeVision, Inc. 10 AWSでは「ゲートキーパー型のセキュリティ」より「ガードレール型のセキュリティ」を 推奨しています。

    ▪ゲートキーパー型：信号機のように定期的に業務を止めてセキュリティに問題が 無いか設計や運用を評価する ▪ガードレール型：セキュリティ要件を明確にし、逸脱があれば発見できるような 仕組みをサービス全体に取り入れる 業務を止めない手法を取り入れて、より効率的なサービス提供を重視する手法が AWSでは重要視されており、これらもクラウド運用業務と近い考え方と感じました。

11. ２．クラウドセキュリティのAWSサービスの選択 2023/3/23 © 2022 ForgeVision, Inc. 11 「２．クラウドセキュリティのAWSサービスの選択」

12. ２．クラウドセキュリティのAWSサービスの選択 2023/3/23 © 2022 ForgeVision, Inc. 12 「クラウドセキュリティの管理策の考え方」として NISTが策定した「CSF（Cyber Security

    Framework）」の5つの 考え方に順守した形で第2部は説明されています。 ・識別（Identify）：リスクの特定 ・防御（Protect）：リスクからの防御策の適用 ・検知（Detect）：発生したリスクの検知 ・対応（Respond）：検知されたリスクへの対応 ・復旧（Recover）：元の状態への速やかな復帰 その中でも特に「防御」と「検知」について、参考になるポイントが多かったです。

13. ２．クラウドセキュリティのAWSサービスの選択 2023/3/23 © 2022 ForgeVision, Inc. 13 「防御における代表的なAWSサービス」 AWS で「防御」を実施する上で代表的なサービスは以下になります。

    ・VPC におけるネットワーク分離 ・セキュリティグループにおけるファイアウォール機能 ・IAM におけるアクセス制御 ・Organization の SCP を利用したアカウント制御 ・KMS を利用した暗号化 ・ACM を利用した証明書の管理 それぞれ、AWSにおける「防御」では基本的な実装方針であっても クラウドセキュリティの考え方と併せて読んで見ると、とても参考になります。

14. ２．クラウドセキュリティのAWSサービスの選択 2023/3/23 © 2022 ForgeVision, Inc. 14 「検知における代表的なAWSサービス」 ガードレール型の「検知」を実装する上で代表的なサービスは以下になります。 ・AWS

    Trusted Advisor を利用したAWSリソースの最適化 ・Amazon GuardDuty を利用した脅威検知 ・AWS WAF を利用したセキュリティ侵害の検知、ブロック ・AWS Config を利用したリソースの評価、監査、検知 ・AWS Security Hub を利用したセキュリティのベストプラクティスのチェック これらのサービスは導入する事自体はそこまで難しいものでは無いですが、 効果的に利用されているケースも少ないため、積極的に利用して、 まずはこれらのサービスでAWSのクラウドセキュリティを始めてみましょう！

15. ３．クラウド運用におけるセキュリティの意識ポイント 2023/3/23 © 2022 ForgeVision, Inc. 15 「３．クラウド運用におけるセキュリティの意識ポイント」 クラウド運用を行うにあたり本著書で改めて 意識すべきポイントについて、3点記載します。

16. ３．クラウド運用におけるセキュリティの意識ポイント ①「セキュリティ文化」 2023/3/23 © 2022 ForgeVision, Inc. 16 インシデントレスポンスを実際に正しく機能させるには組織のセキュリティ文化 がとても重要です。報告を全く受け取らないよりも過剰に報告されることが

    望ましいことをメンバーに伝えて、それを文化にする。 報告後の対応や評価を気にされない風通しの良い会社内の雰囲気が重要。 これも中々実現出来ていないケースが多いですが、セキュリティと運用を 考える上でとても重要な要素、文化が必要であると感じました。

17. ３．クラウド運用におけるセキュリティの意識ポイント ②「インシデントレスポンスの訓練」 2023/3/23 © 2022 ForgeVision, Inc. 17 定期的にインシデントレスポンスの訓練およびシミュレーションし、 結果を評価し、フィードバックを行う。賞、特典などがあればなお良い。

    AWSのイベントである Security JAMに参加する事で訓練の一環になる。 ドキュメントにこれまでのインシデントの対応内容などはまとめていますが、 インシデントレスポンスの訓練を定期的には実施出来ていないので、 こちらも是非採用して行っていきたいです。 早速ですが、今月セキュリティインシデントワークショップ参加します！

18. ３．クラウド運用におけるセキュリティの意識ポイント ③「インシデントレスポンスの自動化」 2023/3/23 © 2022 ForgeVision, Inc. 18 インシデントレスポンスの訓練に併せて、人が介在せずに自動化、IT化が 出来る部分は積極的に進めるべき。

    自動化が想定できる範囲については自動化し、工数削減を実施する。 自動化によって迅速に対応する事で被害を最小限に抑える事が可能になる。 脆弱性は人から生まれやすい事から最もだと感じました。 自動化、IT化と併せてインシデントレスポンスの訓練を行う事で より、安定したサービス提供が出来るかと考えます！

19. 所感 2023/3/23 © 2022 ForgeVision, Inc. 19 さいごに所感となります。 AWS運用を業務で実施するにあたり、本著書で クラウドにおけるセキュリティを学ぶことでより理解が深まりました。

    また、近年では「DevOps」や「SecOps」、「DevSecOps」と言う言葉を 良く聞きます。クラウドにおけるセキュリティの考え方は、クラウド運用でも 同様に当てはまる事が改めて分かりました。 セキュリティと運用の効率化や最適化など、目指す先は同じだと感じ、 本著書を繰り返し読んで、その考え方を深く理解し、 エンジニアとしてもっと成長したいと感じました。 本著書との出会いに感謝！

20. さいごに 2023/3/23 © 2022 ForgeVision, Inc. 20 ご清聴ありがとうございました。