Upgrade to Pro — share decks privately, control downloads, hide ads and more …

AWSセキュリティ系サービスの使いどころを徹底整理!

Avatar for NRI Netcom NRI Netcom
PRO
September 24, 2024
Technology
0
1.9k

 AWSセキュリティ系サービスの使いどころを徹底整理!

Avatar for NRI Netcom

NRI Netcom
PRO

September 24, 2024
Tweet

More Decks by NRI Netcom

See All by NRI Netcom
AWSマンスリーアップデートピックアップ!! ​ 2025年6月分
Avatar for NRI Netcom nrinetcom
PRO
0
45
ウェブ運用を"無駄ゼロ"に 現場も経営も納得させる5つの工程
Avatar for NRI Netcom nrinetcom
PRO
0
43
IAMのマニアックな話 2025を執筆して、​ 見えてきたAWSアカウント管理の現在
Avatar for NRI Netcom nrinetcom
PRO
14
4.6k
Google Cloud Next 2025 最新トレンドを​ キャッチアップ
Avatar for NRI Netcom nrinetcom
PRO
2
90
「Google Cloud Next '25」で発表されたBigQuery の最新機能を使ってみよう
Avatar for NRI Netcom nrinetcom
PRO
2
87
AWSマンスリーアップデートピックアップ!!​ 2025年3月分
Avatar for NRI Netcom nrinetcom
PRO
0
110
マルチアカウント管理で必須!AWS Organizationsの機能とユースケース解説
Avatar for NRI Netcom nrinetcom
PRO
1
200
IAMのマニアックな話 2025​ ~40分バージョン ~​
Avatar for NRI Netcom nrinetcom
PRO
10
1.3k
IAMのマニアックな話2025
Avatar for NRI Netcom nrinetcom
PRO
10
3.5k

Other Decks in Technology

See All in Technology
公開初日に Gemini CLI を試した話や FFmpeg と組み合わせてみた話など / Gemini CLI 初学者勉強会(#AI道場)
Avatar for you(@youtoy) you
PRO
0
1.3k
安定した基盤システムのためのライブラリ選定
Avatar for KAKEHASHI kakehashi
PRO
3
130
“日本一のM&A企業”を支える、少人数SREの効率化戦略 / SRE NEXT 2025
Avatar for GENDA genda
1
270
サービスを止めるな! DDoS攻撃へのスマートな備えと最前線の事例
Avatar for coconala_engineer coconala_engineer
1
180
How Do I Contact Jetblue Airlines® Reservation Number: Fast Support Guide
Avatar for John thejetblueairhelpsupport
0
150
全部AI、全員Cursor、ドキュメント駆動開発 〜DevinやGeminiも添えて〜
Avatar for Masaya Hayashi rinchsan
10
5.1k
All About Sansan – for New Global Engineers
Avatar for Sansan, Inc. sansan33
PRO
1
1.2k
Autify Company Deck
Avatar for Autify autifyhq
2
44k
[SRE NEXT] ARR150億円_エンジニア140名_27チーム_17プロダクトから始めるSLO.pdf
Avatar for sato-s satos
5
3k
Rethinking Incident Response: Context-Aware AI in Practice
Avatar for rrreeeyyy rrreeeyyy
2
940
データ戦略部門 紹介資料
Avatar for Sansan, Inc. sansan33
PRO
1
3.3k
名刺メーカーDevグループ 紹介資料
Avatar for Sansan, Inc. sansan33
PRO
0
820

Featured

See All Featured
Building Flexible Design Systems
Avatar for Yesenia Perez-Cruz yeseniaperezcruz
328
39k
What’s in a name? Adding method to the madness
Avatar for Product Marketing Alliance productmarketing
PRO
23
3.5k
VelocityConf: Rendering Performance Case Studies
Avatar for Addy Osmani addyosmani
332
24k
Unsuck your backbone
Avatar for Amy Palamountain ammeep
671
58k
Bootstrapping a Software Product
Avatar for Garrett Dimon garrettdimon
PRO
307
110k
Visualization
Avatar for Eitan Lees eitanlees
146
16k
4 Signs Your Business is Dying
Avatar for Josh Pigford shpigford
184
22k
The World Runs on Bad Software
Avatar for Brandon Keepers bkeepers
PRO
70
11k
Reflections from 52 weeks, 52 projects
Avatar for Jefferson Lam jeffersonlam
351
21k
Building a Scalable Design System with Sketch
Avatar for Laura Van Doore lauravandoore
462
33k
No one is an island. Learnings from fostering a developers community.
Avatar for Antonio thoeni
21
3.4k
Producing Creativity
Avatar for Steve Smith orderedlist
PRO
346
40k

Transcript

  1. AWSセキュリティ系サービスの使いどころを徹底整理! 2024年9月19日 NRIネットコム株式会社 デジタルソリューション事業本部 クラウド事業推進部 〒105-7114 東京都港区東新橋1-5-2 汐留シティセンター14F 〒530-0005 大阪府大阪市北区中之島3-2-4

    中之島フェスティバルタワー・ウエスト24F

  2. 1 Copyright(C) NRI Netcom, Ltd. All rights reserved. #nncstudy 目次

    AWSセキュリティ系サービスの使いどころを徹底整理! 自己紹介 01 本勉強会の目的 02 クラウドにおけるセキュリティとは 03 AWSセキュリティ系サービス解説 04 セキュリティサービスクイズ!! 05 まとめ 05

  3. 2 Copyright(C) NRI Netcom, Ltd. All rights reserved. #nncstudy 目次

    AWSセキュリティ系サービスの使いどころを徹底整理! 自己紹介 01 本勉強会の目的 02 クラウドにおけるセキュリティとは 03 AWSセキュリティ系サービス解説 04 セキュリティサービスクイズ!! 05 まとめ 05

  4. 3 Copyright(C) NRI Netcom, Ltd. All rights reserved. #nncstudy 

    氏名:西内 渓太  経歴 • 兵庫県出身 • 2017年4月~ 日系SIer企業 新卒入社 機械学習でのデータ分析・新規サービス事業立ち上げ(PMO、運用保守)etc. 幅広い業務に従事 • 2022年11月~ NRIネットコム入社 AWSを活用した顧客システムの構築支援業務に従事 • 2024 Japan AWS All Certifications Engineers  趣味 ランニング、スニーカー漁り  好きなAWSサービス AWS Organizations、CloudFormation StackSets  保有AWS資格 AWS Certified Data Engineer – Associate を除くすべて 自己紹介 AWSセキュリティ系サービスの使いどころを徹底整理! 宣材写真(斜め上見てるVer.)

  5. 4 Copyright(C) NRI Netcom, Ltd. All rights reserved. #nncstudy 目次

    AWSセキュリティ系サービスの使いどころを徹底整理! 自己紹介 01 本勉強会の目的 02 クラウドにおけるセキュリティとは 03 AWSセキュリティ系サービス解説 04 セキュリティサービスクイズ!! 05 まとめ 05

  6. 5 Copyright(C) NRI Netcom, Ltd. All rights reserved. #nncstudy 本勉強会の目的

    AWSセキュリティ系サービスの使いどころを徹底整理! AWSのセキュリティサービス、たくさんあってややこしくないですか? 資格試験の学習中は解答の選択肢に迷うこともあるかと思います。 AWS Security Hub

  7. 6 Copyright(C) NRI Netcom, Ltd. All rights reserved. #nncstudy 本勉強会の目的

    AWSセキュリティ系サービスの使いどころを徹底整理! 実際、AWSのセキュリティ系サービスは多岐にわたります。 AWS Certified Security – Specialty の試験ガイドより抜粋 https://d1.awsstatic.com/ja_JP/training-and-certification/docs-security-spec/AWS-Certified-Security-Specialty_Exam-Guide.pdf

  8. 7 Copyright(C) NRI Netcom, Ltd. All rights reserved. #nncstudy 本勉強会の目的

    AWSセキュリティ系サービスの使いどころを徹底整理! 今回の勉強会では、クラウドにおけるセキュリティ対策の話をして、 AWSのセキュリティサービスを解説し、 観点別にセキュリティサービスを整理します! セキュリティ 全般の話 セキュリティ 観点の話 セキュリティ サービスの話

  9. 8 Copyright(C) NRI Netcom, Ltd. All rights reserved. #nncstudy 目次

    AWSセキュリティ系サービスの使いどころを徹底整理! 自己紹介 01 本勉強会の目的 02 クラウドにおけるセキュリティとは 03 AWSセキュリティ系サービス解説 04 セキュリティサービスクイズ!! 05 まとめ 05

  10. 9 Copyright(C) NRI Netcom, Ltd. All rights reserved. #nncstudy クラウドにおけるセキュリティとは

    AWSセキュリティ系サービスの使いどころを徹底整理!  責任共有モデル • オンプレミスとクラウドの大きな違いの一つに責任共有モデルがある • 自由度の高いサービスほどユーザ側の責任範囲が大きい AWS 責任共有モデルを GxP ソリューションに適用する より抜粋 https://aws.amazon.com/jp/blogs/news/applying-the-aws-shared-responsibility-model-to-your-gxp-solution/ 例) Amazon EC2の場合: ユーザは顧客データ、アプリケーション管理、OSや ネットワークの設定etc.の責任を負う AWS S3の場合: ユーザは顧客データ、クライアントサイド暗号化の 責任を負う

  11. 10 Copyright(C) NRI Netcom, Ltd. All rights reserved. #nncstudy クラウドにおけるセキュリティとは

    AWSセキュリティ系サービスの使いどころを徹底整理! AWSが全ての責任を負うわけではありません。 ユーザ側でもセキュリティ対策を入れる必要があります!!

  12. 11 Copyright(C) NRI Netcom, Ltd. All rights reserved. #nncstudy クラウドにおけるセキュリティとは

    AWSセキュリティ系サービスの使いどころを徹底整理!  クラウド開発におけるより良いセキュリティの置き方 厳重なセキュリティと開発の自由度はトレードオフの関係にある。 両者の落としどころを探るのが重要。 厳重なセキュリティ 自由な開発 • クラウドの利点・・・素早いスピードで開発・検証が行えること(=アジリティが高い) • そのアジリティを妨げず、且つセキュリティの統制を利かせることが必要

  13. 12 Copyright(C) NRI Netcom, Ltd. All rights reserved. #nncstudy クラウドにおけるセキュリティとは

    AWSセキュリティ系サービスの使いどころを徹底整理!  重要になってくるのがガードレール型セキュリティという考え方 • セキュリティ対策の方針としてゲートキーパー型とガードレール型という考え方がある • ゲートキーパー型・・・開発者に極力権限は与えず、必要なものは都度承認を行う • ガードレール型・・・許容できない権限のみ禁止し、それ以外は許容する ゲートキーパー型のイメージ 追加で権限が必要 な場合、都度確認 ガードレール型のイメージ あらかじめ敷いたガードレール内 なら好きなことしてOK

  14. 13 Copyright(C) NRI Netcom, Ltd. All rights reserved. #nncstudy クラウドにおけるセキュリティとは

    AWSセキュリティ系サービスの使いどころを徹底整理!  ガードレール型セキュリティ実現のカギは「防御」と「検知」の併用 • 防御・・・「予防的統制」とも言う。インシデントが起きないよう、制限をかけること。 • 検知・・・「発見的統制」とも言う。インシデントや予兆が発生した際に通知を行い、対処を行うこと。 • ガードレール型では最低限の防御を導入しつつ、インシデントや予兆が発生した際に担当者へ 通知を行うように組み合わせをする。 ゲートキーパー型における防御と検知の割合 ガードレール型における防御と検知の割合 防御 検知 防御 検知 ※上図はイメージで、必ずしも大小関係が成り立つわけではありません。

  15. 14 Copyright(C) NRI Netcom, Ltd. All rights reserved. #nncstudy クラウドにおけるセキュリティとは

    AWSセキュリティ系サービスの使いどころを徹底整理!  ここまでのまとめ • AWSはユーザ側でのセキュリティ対策も必要 • クラウドの利点であるアジリティの高さを損なわないようなセキュリティ対策が必要 • そのためにもガードレール型セキュリティの導入が推奨される 検知の割合 防御の割合 厳重性 自由度 対策方針 小 大 高 超低 ゲートキーパー型 大 小 中 高 ガードレール型

  16. 15 Copyright(C) NRI Netcom, Ltd. All rights reserved. #nncstudy 目次

    AWSセキュリティ系サービスの使いどころを徹底整理! 自己紹介 01 本勉強会の目的 02 クラウドにおけるセキュリティとは 03 AWSセキュリティ系サービス解説 04 セキュリティサービスクイズ!! 05 まとめ 05

  17. 16 Copyright(C) NRI Netcom, Ltd. All rights reserved. #nncstudy AWSセキュリティ系サービス解説

    AWSセキュリティ系サービスの使いどころを徹底整理!  本勉強会では下記のサービスに絞って解説します。 • AWS Shield • AWS WAF • AWS Network Firewall • Amazon GuardDuty • AWS Config • AWS Security Hub なお、上記サービスを紹介する中で「防御」と「検知」のどちらに分類されるかを解説しますが、AWSから 公式に分類が行われているわけではありません。 登壇者の主観に基づく旨をご認識ください。

  18. 17 Copyright(C) NRI Netcom, Ltd. All rights reserved. #nncstudy AWSセキュリティ系サービス解説

    AWSセキュリティ系サービスの使いどころを徹底整理! AWS Shield  AWS Shield • マネージド型のDDoS保護サービス • AWS上のアプリケーションを保護する • AWS Shield Standardはインターネットに面するサービスの全てで自動有効化される • AWS Shield Advancedではより高度な攻撃に対応でき、AWSのDDoS専門チームの サポートを受けることが出来る • Standardは無料、Advancedは有料 →防御を実現するサービス

  19. 18 Copyright(C) NRI Netcom, Ltd. All rights reserved. #nncstudy AWSセキュリティ系サービス解説

    AWSセキュリティ系サービスの使いどころを徹底整理! AWS WAF  AWS WAF • WAF機能を提供するマネージドサービス • WAF・・・Web Application Firewallの略で、SQLインジェクション等を防ぐ • ウェブアクセスコントロールリストというリソースでIP制限や不正コマンドの防御のルールを管理して、 AWSサービスに適用する • Application Load BalancerやAmazon CloudFrontに適用して保護を行う →防御を実現するサービス

  20. 19 Copyright(C) NRI Netcom, Ltd. All rights reserved. #nncstudy AWSセキュリティ系サービス解説

    AWSセキュリティ系サービスの使いどころを徹底整理! AWS Network Firewall  AWS Network Firewall • Amazon VPCを跨ぐ通信に対して、ファイアウォールの役割を果たす マネージドサービス • IPアドレスやポート番号の指定による通信の許可/拒否を管理し、ドメイン指定などにも対応する • 通信を許可しつつアラートを上げるという設定もできる • 通信料に応じてスケールをするため可用性が非常に高い →防御/検知を実現するサービス

  21. 20 Copyright(C) NRI Netcom, Ltd. All rights reserved. #nncstudy AWSセキュリティ系サービス解説

    AWSセキュリティ系サービスの使いどころを徹底整理! Amazon GuardDuty  Amazon GuardDuty • AWS上で発生する不正な動作や悪意のある操作などの脅威を 検出するサービス • ほとんどの機能がワンクリックで有効化出来る • 不審な操作はAWS CloudTrail、VPCフローログ、DNS Logsやインスタンスにインストールした エージェントをもとに検出する • 具体的な検知内容は「ルートユーザの使用」「IAMアクセスキーの大量使用」「通常と異なるIP からのアクセス」「攻撃に利用されることの多い操作」など →検知を実現するサービス

  22. 21 Copyright(C) NRI Netcom, Ltd. All rights reserved. #nncstudy AWSセキュリティ系サービス解説

    AWSセキュリティ系サービスの使いどころを徹底整理! AWS Config  AWS Config • AWS上のリソースの設定情報とその変更履歴を残してくれるサービス • 画面上から有効化するだけで自動的にサポートされるAWSリソースの設定情報が 収集される • Configルールという機能で各設定状態がルールに準拠しているかを確認してくれる • Configルールの例は「EBSが暗号化されているか」「CloudTrailが有効になっているか」など • Configルールへの非準拠が見つかった場合、ユーザへ通知したり自動修復させることも出来る →検知を実現するサービス

  23. 22 Copyright(C) NRI Netcom, Ltd. All rights reserved. #nncstudy AWSセキュリティ系サービス解説

    AWSセキュリティ系サービスの使いどころを徹底整理! AWS Security Hub  AWS Security Hub • AWSアカウント全体に対して、セキュリティのベストプラクティスのチェックを 行うサービス • CIS(Center for Internet Security)という団体の定めた基準やAWSが決めた基準などを もとにチェックをしてくれる • 先述のチェック機能は実際はConfigがチェックを行い、Security Hubに結果を連携している • 他のセキュリティ系サービス(GuardDutyやConfig)の検知結果を統合して表示してくれる • リソースの状態を見てベストプラクティスのを行う+他サービスの結果を集約して可視化を行う の大きく2機能を持つ →検知を実現するサービス

  24. 23 Copyright(C) NRI Netcom, Ltd. All rights reserved. #nncstudy AWSセキュリティ系サービス解説

    AWSセキュリティ系サービスの使いどころを徹底整理! 検知の割合 防御の割合 厳重性 自由度 対策方針 小 大 高 超低 ゲートキーパー型 大 小 中 高 ガードレール型 防御を行うサービス • AWS Shield • AWS WAF • AWS Network Firewall 検知を行うサービス • Amazon GuardDuty • AWS Config • AWS Security Hub  サービス分類まとめ

  25. 24 Copyright(C) NRI Netcom, Ltd. All rights reserved. #nncstudy 目次

    AWSセキュリティ系サービスの使いどころを徹底整理! 自己紹介 01 本勉強会の目的 02 クラウドにおけるセキュリティとは 03 AWSセキュリティ系サービス解説 04 セキュリティサービスクイズ!! 05 まとめ 05

  26. 25 Copyright(C) NRI Netcom, Ltd. All rights reserved. #nncstudy セキュリティサービスクイズ!!

    AWSセキュリティ系サービスの使いどころを徹底整理!  Q. あるサービスによって、IAMユーザの多要素認証が有効になっていないことが検知されました。 何のサービスでしょうか?  Amazon GuardDuty  AWS Config  AWS Shield ヒント:検知を行うサービス。リソースの状態を確認している。  A. AWS Config →Configルールによって、IAMユーザの多要素認証有効が順守されているかを確認できます

  27. 26 Copyright(C) NRI Netcom, Ltd. All rights reserved. #nncstudy セキュリティサービスクイズ!!

    AWSセキュリティ系サービスの使いどころを徹底整理!  Q. SQLインジェクションを防ぐためにはどのサービスを適用したら良いでしょうか?  AWS WAF  AWS Security Hub  AWS Shield ヒント:防御を行うサービス。アプリケーションへの攻撃を防ぐ。  A. AWS WAF(Web Application Firewall) →SQLインジェクションを防ぐことが出来る。AWS ShieldはDDoS攻撃を防ぐので不正解。

  28. 27 Copyright(C) NRI Netcom, Ltd. All rights reserved. #nncstudy セキュリティサービスクイズ!!

    AWSセキュリティ系サービスの使いどころを徹底整理!  Q. あるサービスによって、Amazon Simple Storage Service (Amazon S3) への不審なデータアクセス イベントが検出されました。どのサービスでしょうか?  AWS Config  AWS Security Hub  Amazon GuardDuty ヒント:検知を行うサービス。不審なアクティビティを検出している。  A. Amazon GuardDuty →GuardDuty S3 ProtectionによりS3への不審なアクティビティを検出できる。 AWS Configはアクティビティよりも状態を見て、良くない状態になっていたら検知を行う。

  29. 28 Copyright(C) NRI Netcom, Ltd. All rights reserved. #nncstudy 目次

    AWSセキュリティ系サービスの使いどころを徹底整理! 自己紹介 01 本勉強会の目的 02 クラウドにおけるセキュリティとは 03 AWSセキュリティ系サービス解説 04 セキュリティサービスクイズ!! 05 まとめ 05

  30. 29 Copyright(C) NRI Netcom, Ltd. All rights reserved. #nncstudy まとめ

    AWSセキュリティ系サービスの使いどころを徹底整理!  AWSでは責任共有モデルに基づいて、ユーザ側でセキュリティ対策が必要な部分がある  クラウドのアジリティを失わないためには、ガードレール型セキュリティが良い  ガードレール型セキュリティは予防と検知を組み合わせて実現される  セキュリティ系サービスは予防と検知のどちらかを念頭に置いて、整理することがおすすめ
  31. None