AWSセキュリティ系サービスの使いどころを徹底整理！

Transcript

1. AWSセキュリティ系サービスの使いどころを徹底整理！ 2024年9月19日 ＮＲＩネットコム株式会社 デジタルソリューション事業本部 クラウド事業推進部 〒105-7114 東京都港区東新橋1-5-2 汐留シティセンター14F 〒530-0005 大阪府大阪市北区中之島3-2-4

   中之島フェスティバルタワー・ウエスト24F

2. 1 Copyright（C） NRI Netcom, Ltd. All rights reserved. #nncstudy 目次

   AWSセキュリティ系サービスの使いどころを徹底整理！ 自己紹介 01 本勉強会の目的 02 クラウドにおけるセキュリティとは 03 AWSセキュリティ系サービス解説 04 セキュリティサービスクイズ！！ 05 まとめ 05

3. 2 Copyright（C） NRI Netcom, Ltd. All rights reserved. #nncstudy 目次

   AWSセキュリティ系サービスの使いどころを徹底整理！ 自己紹介 01 本勉強会の目的 02 クラウドにおけるセキュリティとは 03 AWSセキュリティ系サービス解説 04 セキュリティサービスクイズ！！ 05 まとめ 05

4. 3 Copyright（C） NRI Netcom, Ltd. All rights reserved. #nncstudy 

   氏名：西内 渓太  経歴 • 兵庫県出身 • 2017年4月～ 日系SIer企業 新卒入社 機械学習でのデータ分析・新規サービス事業立ち上げ(PMO、運用保守)etc. 幅広い業務に従事 • 2022年11月～ NRIネットコム入社 AWSを活用した顧客システムの構築支援業務に従事 • 2024 Japan AWS All Certifications Engineers  趣味 ランニング、スニーカー漁り  好きなAWSサービス AWS Organizations、CloudFormation StackSets  保有AWS資格 AWS Certified Data Engineer – Associate を除くすべて 自己紹介 AWSセキュリティ系サービスの使いどころを徹底整理！ 宣材写真（斜め上見てるVer.）

5. 4 Copyright（C） NRI Netcom, Ltd. All rights reserved. #nncstudy 目次

   AWSセキュリティ系サービスの使いどころを徹底整理！ 自己紹介 01 本勉強会の目的 02 クラウドにおけるセキュリティとは 03 AWSセキュリティ系サービス解説 04 セキュリティサービスクイズ！！ 05 まとめ 05

6. 5 Copyright（C） NRI Netcom, Ltd. All rights reserved. #nncstudy 本勉強会の目的

   AWSセキュリティ系サービスの使いどころを徹底整理！ AWSのセキュリティサービス、たくさんあってややこしくないですか？ 資格試験の学習中は解答の選択肢に迷うこともあるかと思います。 AWS Security Hub

7. 6 Copyright（C） NRI Netcom, Ltd. All rights reserved. #nncstudy 本勉強会の目的

   AWSセキュリティ系サービスの使いどころを徹底整理！ 実際、AWSのセキュリティ系サービスは多岐にわたります。 AWS Certified Security – Specialty の試験ガイドより抜粋 https://d1.awsstatic.com/ja_JP/training-and-certification/docs-security-spec/AWS-Certified-Security-Specialty_Exam-Guide.pdf

8. 7 Copyright（C） NRI Netcom, Ltd. All rights reserved. #nncstudy 本勉強会の目的

   AWSセキュリティ系サービスの使いどころを徹底整理！ 今回の勉強会では、クラウドにおけるセキュリティ対策の話をして、 AWSのセキュリティサービスを解説し、 観点別にセキュリティサービスを整理します！ セキュリティ 全般の話 セキュリティ 観点の話 セキュリティ サービスの話

9. 8 Copyright（C） NRI Netcom, Ltd. All rights reserved. #nncstudy 目次

   AWSセキュリティ系サービスの使いどころを徹底整理！ 自己紹介 01 本勉強会の目的 02 クラウドにおけるセキュリティとは 03 AWSセキュリティ系サービス解説 04 セキュリティサービスクイズ！！ 05 まとめ 05

10. 9 Copyright（C） NRI Netcom, Ltd. All rights reserved. #nncstudy クラウドにおけるセキュリティとは

    AWSセキュリティ系サービスの使いどころを徹底整理！  責任共有モデル • オンプレミスとクラウドの大きな違いの一つに責任共有モデルがある • 自由度の高いサービスほどユーザ側の責任範囲が大きい AWS 責任共有モデルを GxP ソリューションに適用する より抜粋 https://aws.amazon.com/jp/blogs/news/applying-the-aws-shared-responsibility-model-to-your-gxp-solution/ 例） Amazon EC2の場合： ユーザは顧客データ、アプリケーション管理、OSや ネットワークの設定etc.の責任を負う AWS S3の場合： ユーザは顧客データ、クライアントサイド暗号化の 責任を負う

11. 10 Copyright（C） NRI Netcom, Ltd. All rights reserved. #nncstudy クラウドにおけるセキュリティとは

    AWSセキュリティ系サービスの使いどころを徹底整理！ AWSが全ての責任を負うわけではありません。 ユーザ側でもセキュリティ対策を入れる必要があります！！

12. 11 Copyright（C） NRI Netcom, Ltd. All rights reserved. #nncstudy クラウドにおけるセキュリティとは

    AWSセキュリティ系サービスの使いどころを徹底整理！  クラウド開発におけるより良いセキュリティの置き方 厳重なセキュリティと開発の自由度はトレードオフの関係にある。 両者の落としどころを探るのが重要。 厳重なセキュリティ 自由な開発 • クラウドの利点・・・素早いスピードで開発・検証が行えること（＝アジリティが高い） • そのアジリティを妨げず、且つセキュリティの統制を利かせることが必要

13. 12 Copyright（C） NRI Netcom, Ltd. All rights reserved. #nncstudy クラウドにおけるセキュリティとは

    AWSセキュリティ系サービスの使いどころを徹底整理！  重要になってくるのがガードレール型セキュリティという考え方 • セキュリティ対策の方針としてゲートキーパー型とガードレール型という考え方がある • ゲートキーパー型・・・開発者に極力権限は与えず、必要なものは都度承認を行う • ガードレール型・・・許容できない権限のみ禁止し、それ以外は許容する ゲートキーパー型のイメージ 追加で権限が必要 な場合、都度確認 ガードレール型のイメージ あらかじめ敷いたガードレール内 なら好きなことしてOK

14. 13 Copyright（C） NRI Netcom, Ltd. All rights reserved. #nncstudy クラウドにおけるセキュリティとは

    AWSセキュリティ系サービスの使いどころを徹底整理！  ガードレール型セキュリティ実現のカギは「防御」と「検知」の併用 • 防御・・・「予防的統制」とも言う。インシデントが起きないよう、制限をかけること。 • 検知・・・「発見的統制」とも言う。インシデントや予兆が発生した際に通知を行い、対処を行うこと。 • ガードレール型では最低限の防御を導入しつつ、インシデントや予兆が発生した際に担当者へ 通知を行うように組み合わせをする。 ゲートキーパー型における防御と検知の割合 ガードレール型における防御と検知の割合 防御 検知 防御 検知 ※上図はイメージで、必ずしも大小関係が成り立つわけではありません。

15. 14 Copyright（C） NRI Netcom, Ltd. All rights reserved. #nncstudy クラウドにおけるセキュリティとは

    AWSセキュリティ系サービスの使いどころを徹底整理！  ここまでのまとめ • AWSはユーザ側でのセキュリティ対策も必要 • クラウドの利点であるアジリティの高さを損なわないようなセキュリティ対策が必要 • そのためにもガードレール型セキュリティの導入が推奨される 検知の割合 防御の割合 厳重性 自由度 対策方針 小 大 高 超低 ゲートキーパー型 大 小 中 高 ガードレール型

16. 15 Copyright（C） NRI Netcom, Ltd. All rights reserved. #nncstudy 目次

    AWSセキュリティ系サービスの使いどころを徹底整理！ 自己紹介 01 本勉強会の目的 02 クラウドにおけるセキュリティとは 03 AWSセキュリティ系サービス解説 04 セキュリティサービスクイズ！！ 05 まとめ 05

17. 16 Copyright（C） NRI Netcom, Ltd. All rights reserved. #nncstudy AWSセキュリティ系サービス解説

    AWSセキュリティ系サービスの使いどころを徹底整理！  本勉強会では下記のサービスに絞って解説します。 • AWS Shield • AWS WAF • AWS Network Firewall • Amazon GuardDuty • AWS Config • AWS Security Hub なお、上記サービスを紹介する中で「防御」と「検知」のどちらに分類されるかを解説しますが、AWSから 公式に分類が行われているわけではありません。 登壇者の主観に基づく旨をご認識ください。

18. 17 Copyright（C） NRI Netcom, Ltd. All rights reserved. #nncstudy AWSセキュリティ系サービス解説

    AWSセキュリティ系サービスの使いどころを徹底整理！ AWS Shield  AWS Shield • マネージド型のDDoS保護サービス • AWS上のアプリケーションを保護する • AWS Shield Standardはインターネットに面するサービスの全てで自動有効化される • AWS Shield Advancedではより高度な攻撃に対応でき、AWSのDDoS専門チームの サポートを受けることが出来る • Standardは無料、Advancedは有料 →防御を実現するサービス

19. 18 Copyright（C） NRI Netcom, Ltd. All rights reserved. #nncstudy AWSセキュリティ系サービス解説

    AWSセキュリティ系サービスの使いどころを徹底整理！ AWS WAF  AWS WAF • WAF機能を提供するマネージドサービス • WAF・・・Web Application Firewallの略で、SQLインジェクション等を防ぐ • ウェブアクセスコントロールリストというリソースでIP制限や不正コマンドの防御のルールを管理して、 AWSサービスに適用する • Application Load BalancerやAmazon CloudFrontに適用して保護を行う →防御を実現するサービス

20. 19 Copyright（C） NRI Netcom, Ltd. All rights reserved. #nncstudy AWSセキュリティ系サービス解説

    AWSセキュリティ系サービスの使いどころを徹底整理！ AWS Network Firewall  AWS Network Firewall • Amazon VPCを跨ぐ通信に対して、ファイアウォールの役割を果たす マネージドサービス • IPアドレスやポート番号の指定による通信の許可/拒否を管理し、ドメイン指定などにも対応する • 通信を許可しつつアラートを上げるという設定もできる • 通信料に応じてスケールをするため可用性が非常に高い →防御/検知を実現するサービス

21. 20 Copyright（C） NRI Netcom, Ltd. All rights reserved. #nncstudy AWSセキュリティ系サービス解説

    AWSセキュリティ系サービスの使いどころを徹底整理！ Amazon GuardDuty  Amazon GuardDuty • AWS上で発生する不正な動作や悪意のある操作などの脅威を 検出するサービス • ほとんどの機能がワンクリックで有効化出来る • 不審な操作はAWS CloudTrail、VPCフローログ、DNS Logsやインスタンスにインストールした エージェントをもとに検出する • 具体的な検知内容は「ルートユーザの使用」「IAMアクセスキーの大量使用」「通常と異なるIP からのアクセス」「攻撃に利用されることの多い操作」など →検知を実現するサービス

22. 21 Copyright（C） NRI Netcom, Ltd. All rights reserved. #nncstudy AWSセキュリティ系サービス解説

    AWSセキュリティ系サービスの使いどころを徹底整理！ AWS Config  AWS Config • AWS上のリソースの設定情報とその変更履歴を残してくれるサービス • 画面上から有効化するだけで自動的にサポートされるAWSリソースの設定情報が 収集される • Configルールという機能で各設定状態がルールに準拠しているかを確認してくれる • Configルールの例は「EBSが暗号化されているか」「CloudTrailが有効になっているか」など • Configルールへの非準拠が見つかった場合、ユーザへ通知したり自動修復させることも出来る →検知を実現するサービス

23. 22 Copyright（C） NRI Netcom, Ltd. All rights reserved. #nncstudy AWSセキュリティ系サービス解説

    AWSセキュリティ系サービスの使いどころを徹底整理！ AWS Security Hub  AWS Security Hub • AWSアカウント全体に対して、セキュリティのベストプラクティスのチェックを 行うサービス • CIS（Center for Internet Security）という団体の定めた基準やAWSが決めた基準などを もとにチェックをしてくれる • 先述のチェック機能は実際はConfigがチェックを行い、Security Hubに結果を連携している • 他のセキュリティ系サービス（GuardDutyやConfig）の検知結果を統合して表示してくれる • リソースの状態を見てベストプラクティスのを行う＋他サービスの結果を集約して可視化を行う の大きく2機能を持つ →検知を実現するサービス

24. 23 Copyright（C） NRI Netcom, Ltd. All rights reserved. #nncstudy AWSセキュリティ系サービス解説

    AWSセキュリティ系サービスの使いどころを徹底整理！ 検知の割合 防御の割合 厳重性 自由度 対策方針 小 大 高 超低 ゲートキーパー型 大 小 中 高 ガードレール型 防御を行うサービス • AWS Shield • AWS WAF • AWS Network Firewall 検知を行うサービス • Amazon GuardDuty • AWS Config • AWS Security Hub  サービス分類まとめ

25. 24 Copyright（C） NRI Netcom, Ltd. All rights reserved. #nncstudy 目次

    AWSセキュリティ系サービスの使いどころを徹底整理！ 自己紹介 01 本勉強会の目的 02 クラウドにおけるセキュリティとは 03 AWSセキュリティ系サービス解説 04 セキュリティサービスクイズ！！ 05 まとめ 05

26. 25 Copyright（C） NRI Netcom, Ltd. All rights reserved. #nncstudy セキュリティサービスクイズ！！

    AWSセキュリティ系サービスの使いどころを徹底整理！  Q. あるサービスによって、IAMユーザの多要素認証が有効になっていないことが検知されました。 何のサービスでしょうか？  Amazon GuardDuty  AWS Config  AWS Shield ヒント：検知を行うサービス。リソースの状態を確認している。  A. AWS Config →Configルールによって、IAMユーザの多要素認証有効が順守されているかを確認できます

27. 26 Copyright（C） NRI Netcom, Ltd. All rights reserved. #nncstudy セキュリティサービスクイズ！！

    AWSセキュリティ系サービスの使いどころを徹底整理！  Q. SQLインジェクションを防ぐためにはどのサービスを適用したら良いでしょうか？  AWS WAF  AWS Security Hub  AWS Shield ヒント：防御を行うサービス。アプリケーションへの攻撃を防ぐ。  A. AWS WAF（Web Application Firewall） →SQLインジェクションを防ぐことが出来る。AWS ShieldはDDoS攻撃を防ぐので不正解。

28. 27 Copyright（C） NRI Netcom, Ltd. All rights reserved. #nncstudy セキュリティサービスクイズ！！

    AWSセキュリティ系サービスの使いどころを徹底整理！  Q. あるサービスによって、Amazon Simple Storage Service (Amazon S3) への不審なデータアクセス イベントが検出されました。どのサービスでしょうか？  AWS Config  AWS Security Hub  Amazon GuardDuty ヒント：検知を行うサービス。不審なアクティビティを検出している。  A. Amazon GuardDuty →GuardDuty S3 ProtectionによりS3への不審なアクティビティを検出できる。 AWS Configはアクティビティよりも状態を見て、良くない状態になっていたら検知を行う。

29. 28 Copyright（C） NRI Netcom, Ltd. All rights reserved. #nncstudy 目次

    AWSセキュリティ系サービスの使いどころを徹底整理！ 自己紹介 01 本勉強会の目的 02 クラウドにおけるセキュリティとは 03 AWSセキュリティ系サービス解説 04 セキュリティサービスクイズ！！ 05 まとめ 05

30. 29 Copyright（C） NRI Netcom, Ltd. All rights reserved. #nncstudy まとめ

    AWSセキュリティ系サービスの使いどころを徹底整理！  AWSでは責任共有モデルに基づいて、ユーザ側でセキュリティ対策が必要な部分がある  クラウドのアジリティを失わないためには、ガードレール型セキュリティが良い  ガードレール型セキュリティは予防と検知を組み合わせて実現される  セキュリティ系サービスは予防と検知のどちらかを念頭に置いて、整理することがおすすめ
31. None