Upgrade to Pro — share decks privately, control downloads, hide ads and more …

AWSセキュリティ系サービスの使いどころを徹底整理!

Avatar for NRI Netcom NRI Netcom
PRO
September 24, 2024
Technology
0
1.9k

 AWSセキュリティ系サービスの使いどころを徹底整理!

Avatar for NRI Netcom

NRI Netcom
PRO

September 24, 2024
Tweet

More Decks by NRI Netcom

See All by NRI Netcom
IAMのマニアックな話 2025を執筆して、​ 見えてきたAWSアカウント管理の現在
Avatar for NRI Netcom nrinetcom
PRO
14
4.3k
Google Cloud Next 2025 最新トレンドを​ キャッチアップ
Avatar for NRI Netcom nrinetcom
PRO
2
87
「Google Cloud Next '25」で発表されたBigQuery の最新機能を使ってみよう
Avatar for NRI Netcom nrinetcom
PRO
2
84
AWSマンスリーアップデートピックアップ!!​ 2025年3月分
Avatar for NRI Netcom nrinetcom
PRO
0
110
マルチアカウント管理で必須!AWS Organizationsの機能とユースケース解説
Avatar for NRI Netcom nrinetcom
PRO
1
190
IAMのマニアックな話 2025​ ~40分バージョン ~​
Avatar for NRI Netcom nrinetcom
PRO
10
1.3k
IAMのマニアックな話2025
Avatar for NRI Netcom nrinetcom
PRO
10
3.5k
役員・マネージャー・著者・エンジニアそれぞれの立場から見たAWS認定資格
Avatar for NRI Netcom nrinetcom
PRO
5
7.2k
Amazon Q Developerの無料利用枠を使い倒してHello worldを表示させよう!
Avatar for NRI Netcom nrinetcom
PRO
2
220

Other Decks in Technology

See All in Technology
Yahoo!しごとカタログ 新しい境地を創るエンジニア募集!
Avatar for LINEヤフーTech (LY Corporation Tech) lycorptech_jp
PRO
0
110
CDKTFについてざっくり理解する!!~CloudFormationからCDKTFへ変換するツールも作ってみた~
Avatar for モブエンジニア masakiokuda
1
150
Flutter向けPDFビューア、pdfrxのpdfium WASM対応について
Avatar for Takashi Kawasaki espresso3389
0
130
Delegating the chores of authenticating users to Keycloak
Avatar for Alexander Schwartz ahus1
0
140
生成AI活用の組織格差を解消する 〜ビジネス職のCursor導入が開発効率に与えた好循環〜 / Closing the Organizational Gap in AI Adoption
Avatar for upamune / Yu SERIZAWA upamune
7
5.3k
AWS認定を取る中で感じたこと
Avatar for Siromi siromi
1
190
2025-07-06 QGIS初級ハンズオン「はじめてのQGIS」
Avatar for kou_kita kou_kita
0
170
LangChain Interrupt & LangChain Ambassadors meetingレポート
Avatar for os1ma os1ma
2
320
赤煉瓦倉庫勉強会「Databricksを選んだ理由と、絶賛真っ只中のデータ基盤移行体験記」
Avatar for 株式会社IVRy(社員登壇資料) ivry_presentationmaterials
2
370
Tokyo_reInforce_2025_recap_iam_access_analyzer
Avatar for h-ashisan hiashisan
0
190
開発生産性を測る前にやるべきこと - 組織改善の実践 / Before Measuring Dev Productivity
Avatar for 株式会社カオナビ kaonavi
10
4.6k
Sansanのデータプロダクトマネジメントのアプローチ
Avatar for SansanTech sansantech
PRO
0
160

Featured

See All Featured
The Myth of the Modular Monolith - Day 2 Keynote - Rails World 2024
Avatar for Eileen M. Uchitelle eileencodes
26
2.9k
Code Reviewing Like a Champion
Avatar for maltzj maltzj
524
40k
Testing 201, or: Great Expectations
Avatar for Joseph Mastey jmmastey
43
7.6k
The Straight Up "How To Draw Better" Workshop
Avatar for Dennis Kardys denniskardys
234
140k
What’s in a name? Adding method to the madness
Avatar for Product Marketing Alliance productmarketing
PRO
23
3.5k
Understanding Cognitive Biases in Performance Measurement
Avatar for Philip Tellis bluesmoon
29
1.8k
Design and Strategy: How to Deal with People Who Don’t "Get" Design
Avatar for Morgane Peng morganepeng
130
19k
Bash Introduction
Avatar for André Augusto Costa Santos 62gerente
613
210k
Easily Structure & Communicate Ideas using Wireframe
Avatar for Afnizar Nur Ghifari afnizarnur
194
16k
Bootstrapping a Software Product
Avatar for Garrett Dimon garrettdimon
PRO
307
110k
Fireside Chat
Avatar for paigeccino paigeccino
37
3.5k
Making the Leap to Tech Lead
Avatar for Ryan Cromwell cromwellryan
134
9.4k

Transcript

  1. AWSセキュリティ系サービスの使いどころを徹底整理! 2024年9月19日 NRIネットコム株式会社 デジタルソリューション事業本部 クラウド事業推進部 〒105-7114 東京都港区東新橋1-5-2 汐留シティセンター14F 〒530-0005 大阪府大阪市北区中之島3-2-4

    中之島フェスティバルタワー・ウエスト24F

  2. 1 Copyright(C) NRI Netcom, Ltd. All rights reserved. #nncstudy 目次

    AWSセキュリティ系サービスの使いどころを徹底整理! 自己紹介 01 本勉強会の目的 02 クラウドにおけるセキュリティとは 03 AWSセキュリティ系サービス解説 04 セキュリティサービスクイズ!! 05 まとめ 05

  3. 2 Copyright(C) NRI Netcom, Ltd. All rights reserved. #nncstudy 目次

    AWSセキュリティ系サービスの使いどころを徹底整理! 自己紹介 01 本勉強会の目的 02 クラウドにおけるセキュリティとは 03 AWSセキュリティ系サービス解説 04 セキュリティサービスクイズ!! 05 まとめ 05

  4. 3 Copyright(C) NRI Netcom, Ltd. All rights reserved. #nncstudy 

    氏名:西内 渓太  経歴 • 兵庫県出身 • 2017年4月~ 日系SIer企業 新卒入社 機械学習でのデータ分析・新規サービス事業立ち上げ(PMO、運用保守)etc. 幅広い業務に従事 • 2022年11月~ NRIネットコム入社 AWSを活用した顧客システムの構築支援業務に従事 • 2024 Japan AWS All Certifications Engineers  趣味 ランニング、スニーカー漁り  好きなAWSサービス AWS Organizations、CloudFormation StackSets  保有AWS資格 AWS Certified Data Engineer – Associate を除くすべて 自己紹介 AWSセキュリティ系サービスの使いどころを徹底整理! 宣材写真(斜め上見てるVer.)

  5. 4 Copyright(C) NRI Netcom, Ltd. All rights reserved. #nncstudy 目次

    AWSセキュリティ系サービスの使いどころを徹底整理! 自己紹介 01 本勉強会の目的 02 クラウドにおけるセキュリティとは 03 AWSセキュリティ系サービス解説 04 セキュリティサービスクイズ!! 05 まとめ 05

  6. 5 Copyright(C) NRI Netcom, Ltd. All rights reserved. #nncstudy 本勉強会の目的

    AWSセキュリティ系サービスの使いどころを徹底整理! AWSのセキュリティサービス、たくさんあってややこしくないですか? 資格試験の学習中は解答の選択肢に迷うこともあるかと思います。 AWS Security Hub

  7. 6 Copyright(C) NRI Netcom, Ltd. All rights reserved. #nncstudy 本勉強会の目的

    AWSセキュリティ系サービスの使いどころを徹底整理! 実際、AWSのセキュリティ系サービスは多岐にわたります。 AWS Certified Security – Specialty の試験ガイドより抜粋 https://d1.awsstatic.com/ja_JP/training-and-certification/docs-security-spec/AWS-Certified-Security-Specialty_Exam-Guide.pdf

  8. 7 Copyright(C) NRI Netcom, Ltd. All rights reserved. #nncstudy 本勉強会の目的

    AWSセキュリティ系サービスの使いどころを徹底整理! 今回の勉強会では、クラウドにおけるセキュリティ対策の話をして、 AWSのセキュリティサービスを解説し、 観点別にセキュリティサービスを整理します! セキュリティ 全般の話 セキュリティ 観点の話 セキュリティ サービスの話

  9. 8 Copyright(C) NRI Netcom, Ltd. All rights reserved. #nncstudy 目次

    AWSセキュリティ系サービスの使いどころを徹底整理! 自己紹介 01 本勉強会の目的 02 クラウドにおけるセキュリティとは 03 AWSセキュリティ系サービス解説 04 セキュリティサービスクイズ!! 05 まとめ 05

  10. 9 Copyright(C) NRI Netcom, Ltd. All rights reserved. #nncstudy クラウドにおけるセキュリティとは

    AWSセキュリティ系サービスの使いどころを徹底整理!  責任共有モデル • オンプレミスとクラウドの大きな違いの一つに責任共有モデルがある • 自由度の高いサービスほどユーザ側の責任範囲が大きい AWS 責任共有モデルを GxP ソリューションに適用する より抜粋 https://aws.amazon.com/jp/blogs/news/applying-the-aws-shared-responsibility-model-to-your-gxp-solution/ 例) Amazon EC2の場合: ユーザは顧客データ、アプリケーション管理、OSや ネットワークの設定etc.の責任を負う AWS S3の場合: ユーザは顧客データ、クライアントサイド暗号化の 責任を負う

  11. 10 Copyright(C) NRI Netcom, Ltd. All rights reserved. #nncstudy クラウドにおけるセキュリティとは

    AWSセキュリティ系サービスの使いどころを徹底整理! AWSが全ての責任を負うわけではありません。 ユーザ側でもセキュリティ対策を入れる必要があります!!

  12. 11 Copyright(C) NRI Netcom, Ltd. All rights reserved. #nncstudy クラウドにおけるセキュリティとは

    AWSセキュリティ系サービスの使いどころを徹底整理!  クラウド開発におけるより良いセキュリティの置き方 厳重なセキュリティと開発の自由度はトレードオフの関係にある。 両者の落としどころを探るのが重要。 厳重なセキュリティ 自由な開発 • クラウドの利点・・・素早いスピードで開発・検証が行えること(=アジリティが高い) • そのアジリティを妨げず、且つセキュリティの統制を利かせることが必要

  13. 12 Copyright(C) NRI Netcom, Ltd. All rights reserved. #nncstudy クラウドにおけるセキュリティとは

    AWSセキュリティ系サービスの使いどころを徹底整理!  重要になってくるのがガードレール型セキュリティという考え方 • セキュリティ対策の方針としてゲートキーパー型とガードレール型という考え方がある • ゲートキーパー型・・・開発者に極力権限は与えず、必要なものは都度承認を行う • ガードレール型・・・許容できない権限のみ禁止し、それ以外は許容する ゲートキーパー型のイメージ 追加で権限が必要 な場合、都度確認 ガードレール型のイメージ あらかじめ敷いたガードレール内 なら好きなことしてOK

  14. 13 Copyright(C) NRI Netcom, Ltd. All rights reserved. #nncstudy クラウドにおけるセキュリティとは

    AWSセキュリティ系サービスの使いどころを徹底整理!  ガードレール型セキュリティ実現のカギは「防御」と「検知」の併用 • 防御・・・「予防的統制」とも言う。インシデントが起きないよう、制限をかけること。 • 検知・・・「発見的統制」とも言う。インシデントや予兆が発生した際に通知を行い、対処を行うこと。 • ガードレール型では最低限の防御を導入しつつ、インシデントや予兆が発生した際に担当者へ 通知を行うように組み合わせをする。 ゲートキーパー型における防御と検知の割合 ガードレール型における防御と検知の割合 防御 検知 防御 検知 ※上図はイメージで、必ずしも大小関係が成り立つわけではありません。

  15. 14 Copyright(C) NRI Netcom, Ltd. All rights reserved. #nncstudy クラウドにおけるセキュリティとは

    AWSセキュリティ系サービスの使いどころを徹底整理!  ここまでのまとめ • AWSはユーザ側でのセキュリティ対策も必要 • クラウドの利点であるアジリティの高さを損なわないようなセキュリティ対策が必要 • そのためにもガードレール型セキュリティの導入が推奨される 検知の割合 防御の割合 厳重性 自由度 対策方針 小 大 高 超低 ゲートキーパー型 大 小 中 高 ガードレール型

  16. 15 Copyright(C) NRI Netcom, Ltd. All rights reserved. #nncstudy 目次

    AWSセキュリティ系サービスの使いどころを徹底整理! 自己紹介 01 本勉強会の目的 02 クラウドにおけるセキュリティとは 03 AWSセキュリティ系サービス解説 04 セキュリティサービスクイズ!! 05 まとめ 05

  17. 16 Copyright(C) NRI Netcom, Ltd. All rights reserved. #nncstudy AWSセキュリティ系サービス解説

    AWSセキュリティ系サービスの使いどころを徹底整理!  本勉強会では下記のサービスに絞って解説します。 • AWS Shield • AWS WAF • AWS Network Firewall • Amazon GuardDuty • AWS Config • AWS Security Hub なお、上記サービスを紹介する中で「防御」と「検知」のどちらに分類されるかを解説しますが、AWSから 公式に分類が行われているわけではありません。 登壇者の主観に基づく旨をご認識ください。

  18. 17 Copyright(C) NRI Netcom, Ltd. All rights reserved. #nncstudy AWSセキュリティ系サービス解説

    AWSセキュリティ系サービスの使いどころを徹底整理! AWS Shield  AWS Shield • マネージド型のDDoS保護サービス • AWS上のアプリケーションを保護する • AWS Shield Standardはインターネットに面するサービスの全てで自動有効化される • AWS Shield Advancedではより高度な攻撃に対応でき、AWSのDDoS専門チームの サポートを受けることが出来る • Standardは無料、Advancedは有料 →防御を実現するサービス

  19. 18 Copyright(C) NRI Netcom, Ltd. All rights reserved. #nncstudy AWSセキュリティ系サービス解説

    AWSセキュリティ系サービスの使いどころを徹底整理! AWS WAF  AWS WAF • WAF機能を提供するマネージドサービス • WAF・・・Web Application Firewallの略で、SQLインジェクション等を防ぐ • ウェブアクセスコントロールリストというリソースでIP制限や不正コマンドの防御のルールを管理して、 AWSサービスに適用する • Application Load BalancerやAmazon CloudFrontに適用して保護を行う →防御を実現するサービス

  20. 19 Copyright(C) NRI Netcom, Ltd. All rights reserved. #nncstudy AWSセキュリティ系サービス解説

    AWSセキュリティ系サービスの使いどころを徹底整理! AWS Network Firewall  AWS Network Firewall • Amazon VPCを跨ぐ通信に対して、ファイアウォールの役割を果たす マネージドサービス • IPアドレスやポート番号の指定による通信の許可/拒否を管理し、ドメイン指定などにも対応する • 通信を許可しつつアラートを上げるという設定もできる • 通信料に応じてスケールをするため可用性が非常に高い →防御/検知を実現するサービス

  21. 20 Copyright(C) NRI Netcom, Ltd. All rights reserved. #nncstudy AWSセキュリティ系サービス解説

    AWSセキュリティ系サービスの使いどころを徹底整理! Amazon GuardDuty  Amazon GuardDuty • AWS上で発生する不正な動作や悪意のある操作などの脅威を 検出するサービス • ほとんどの機能がワンクリックで有効化出来る • 不審な操作はAWS CloudTrail、VPCフローログ、DNS Logsやインスタンスにインストールした エージェントをもとに検出する • 具体的な検知内容は「ルートユーザの使用」「IAMアクセスキーの大量使用」「通常と異なるIP からのアクセス」「攻撃に利用されることの多い操作」など →検知を実現するサービス

  22. 21 Copyright(C) NRI Netcom, Ltd. All rights reserved. #nncstudy AWSセキュリティ系サービス解説

    AWSセキュリティ系サービスの使いどころを徹底整理! AWS Config  AWS Config • AWS上のリソースの設定情報とその変更履歴を残してくれるサービス • 画面上から有効化するだけで自動的にサポートされるAWSリソースの設定情報が 収集される • Configルールという機能で各設定状態がルールに準拠しているかを確認してくれる • Configルールの例は「EBSが暗号化されているか」「CloudTrailが有効になっているか」など • Configルールへの非準拠が見つかった場合、ユーザへ通知したり自動修復させることも出来る →検知を実現するサービス

  23. 22 Copyright(C) NRI Netcom, Ltd. All rights reserved. #nncstudy AWSセキュリティ系サービス解説

    AWSセキュリティ系サービスの使いどころを徹底整理! AWS Security Hub  AWS Security Hub • AWSアカウント全体に対して、セキュリティのベストプラクティスのチェックを 行うサービス • CIS(Center for Internet Security)という団体の定めた基準やAWSが決めた基準などを もとにチェックをしてくれる • 先述のチェック機能は実際はConfigがチェックを行い、Security Hubに結果を連携している • 他のセキュリティ系サービス(GuardDutyやConfig)の検知結果を統合して表示してくれる • リソースの状態を見てベストプラクティスのを行う+他サービスの結果を集約して可視化を行う の大きく2機能を持つ →検知を実現するサービス

  24. 23 Copyright(C) NRI Netcom, Ltd. All rights reserved. #nncstudy AWSセキュリティ系サービス解説

    AWSセキュリティ系サービスの使いどころを徹底整理! 検知の割合 防御の割合 厳重性 自由度 対策方針 小 大 高 超低 ゲートキーパー型 大 小 中 高 ガードレール型 防御を行うサービス • AWS Shield • AWS WAF • AWS Network Firewall 検知を行うサービス • Amazon GuardDuty • AWS Config • AWS Security Hub  サービス分類まとめ

  25. 24 Copyright(C) NRI Netcom, Ltd. All rights reserved. #nncstudy 目次

    AWSセキュリティ系サービスの使いどころを徹底整理! 自己紹介 01 本勉強会の目的 02 クラウドにおけるセキュリティとは 03 AWSセキュリティ系サービス解説 04 セキュリティサービスクイズ!! 05 まとめ 05

  26. 25 Copyright(C) NRI Netcom, Ltd. All rights reserved. #nncstudy セキュリティサービスクイズ!!

    AWSセキュリティ系サービスの使いどころを徹底整理!  Q. あるサービスによって、IAMユーザの多要素認証が有効になっていないことが検知されました。 何のサービスでしょうか?  Amazon GuardDuty  AWS Config  AWS Shield ヒント:検知を行うサービス。リソースの状態を確認している。  A. AWS Config →Configルールによって、IAMユーザの多要素認証有効が順守されているかを確認できます

  27. 26 Copyright(C) NRI Netcom, Ltd. All rights reserved. #nncstudy セキュリティサービスクイズ!!

    AWSセキュリティ系サービスの使いどころを徹底整理!  Q. SQLインジェクションを防ぐためにはどのサービスを適用したら良いでしょうか?  AWS WAF  AWS Security Hub  AWS Shield ヒント:防御を行うサービス。アプリケーションへの攻撃を防ぐ。  A. AWS WAF(Web Application Firewall) →SQLインジェクションを防ぐことが出来る。AWS ShieldはDDoS攻撃を防ぐので不正解。

  28. 27 Copyright(C) NRI Netcom, Ltd. All rights reserved. #nncstudy セキュリティサービスクイズ!!

    AWSセキュリティ系サービスの使いどころを徹底整理!  Q. あるサービスによって、Amazon Simple Storage Service (Amazon S3) への不審なデータアクセス イベントが検出されました。どのサービスでしょうか?  AWS Config  AWS Security Hub  Amazon GuardDuty ヒント:検知を行うサービス。不審なアクティビティを検出している。  A. Amazon GuardDuty →GuardDuty S3 ProtectionによりS3への不審なアクティビティを検出できる。 AWS Configはアクティビティよりも状態を見て、良くない状態になっていたら検知を行う。

  29. 28 Copyright(C) NRI Netcom, Ltd. All rights reserved. #nncstudy 目次

    AWSセキュリティ系サービスの使いどころを徹底整理! 自己紹介 01 本勉強会の目的 02 クラウドにおけるセキュリティとは 03 AWSセキュリティ系サービス解説 04 セキュリティサービスクイズ!! 05 まとめ 05

  30. 29 Copyright(C) NRI Netcom, Ltd. All rights reserved. #nncstudy まとめ

    AWSセキュリティ系サービスの使いどころを徹底整理!  AWSでは責任共有モデルに基づいて、ユーザ側でセキュリティ対策が必要な部分がある  クラウドのアジリティを失わないためには、ガードレール型セキュリティが良い  ガードレール型セキュリティは予防と検知を組み合わせて実現される  セキュリティ系サービスは予防と検知のどちらかを念頭に置いて、整理することがおすすめ
  31. None