Upgrade to Pro — share decks privately, control downloads, hide ads and more …

CNAPPから考えるAWSガバナンスの実践と最適化

NRI Netcom
PRO
January 30, 2025
Technology
1
120

 CNAPPから考えるAWSガバナンスの実践と最適化

NRI Netcom
PRO

January 30, 2025
Tweet

More Decks by NRI Netcom

See All by NRI Netcom
AWSサービスアップデート 2024/12 Part3
nrinetcom
PRO
0
190
AWSマンスリーアップデートピックアップ!! ~AWS re:Invent2024特別編~
nrinetcom
PRO
0
62
20241218_マルチアカウント環境におけるIAM_Access_Analyzerによる権限管理.pdf
nrinetcom
PRO
3
170
AWS環境におけるランサムウェア攻撃対策の設計
nrinetcom
PRO
5
790
Amazon Bedrockの活用と注意点
nrinetcom
PRO
2
230
AWSサービスアップデート 2024/11
nrinetcom
PRO
2
220
意外とややこしいAmazon GuardDutyRuntime Monitoring
nrinetcom
PRO
1
95
一歩進んだAWSのコスト削減
nrinetcom
PRO
4
540
ガードレールの有用性とリスク対策
nrinetcom
PRO
6
2.4k

Other Decks in Technology

See All in Technology
SREKaigi.pdf
_awache
2
3k
SREとしてスタッフエンジニアを目指す / SRE Kaigi 2025
tjun
14
4.8k
アクセシブルなマークアップの上に成り立つユーザーファーストなドロップダウンメニューの実装 / 20250127_cloudsign_User1st_FE
bengo4com
1
1.1k
消し忘れリソースゼロへ!私のResource Explorer活用法
cuorain
0
110
サーバレスの未来〜The Key to Simplifying Everything〜
kawaji_scratch
2
330
色々なAWSサービス名の由来を調べてみた
iriikeita
0
150
生成AIを活用した機能を、顧客に提供するまでに乗り越えた『4つの壁』
toshiblues
1
170
Microsoft Ignite 2024 最新情報!Microsoft 365 Agents SDK 概要 / Microsoft Ignite 2024 latest news Microsoft 365 Agents SDK overview
karamem0
0
160
15年入社者に聞く! これまでのCAのキャリアとこれから
kurochan
1
130
コスト削減と精度維持を両立!類似画像検索システムの内製化成功事例
shutotakahashi
0
320
レイクハウスとはなんだったのか?
akuwano
14
1.6k
Tokyo RubyKaigi 12 - Scaling Ruby at GitHub
jhawthorn
2
120

Featured

See All Featured
Cheating the UX When There Is Nothing More to Optimize - PixelPioneers
stephaniewalter
280
13k
How STYLIGHT went responsive
nonsquared
96
5.3k
Fontdeck: Realign not Redesign
paulrobertlloyd
82
5.3k
How to Create Impact in a Changing Tech Landscape [PerfNow 2023]
tammyeverts
49
2.2k
The Art of Programming - Codeland 2020
erikaheidi
53
13k
Responsive Adventures: Dirty Tricks From The Dark Corners of Front-End
smashingmag
251
21k
The Myth of the Modular Monolith - Day 2 Keynote - Rails World 2024
eileencodes
20
2.4k
Easily Structure & Communicate Ideas using Wireframe
afnizarnur
192
16k
Understanding Cognitive Biases in Performance Measurement
bluesmoon
27
1.5k
Why Our Code Smells
bkeepers
PRO
335
57k
The Straight Up "How To Draw Better" Workshop
denniskardys
232
140k
CoffeeScript is Beautiful & I Never Want to Write Plain JavaScript Again
sstephenson
160
15k

Transcript

  1. CNAPPから考えるAWSガバナンスの実践と最適化 2025年1月29日 NRIネットコム株式会社 デジタルソリューション事業本部 クラウド事業推進部 大林 優斗

  2. 1 Copyright(C) NRI Netcom, Ltd. All rights reserved. #nncstudy 転載、複製、改変等、および許諾のない二次利用を禁止します

     登壇者:大林 優斗  2024 Japan AWS Jr. Champions  業務:AWSを活用したシステムの設計・開発を担当  AWSアカウントに統制を効かせる  AWS認定資格  書籍執筆:AWS の薄い本の合本 Vol.01 自己紹介

  3. 2 Copyright(C) NRI Netcom, Ltd. All rights reserved. #nncstudy 転載、複製、改変等、および許諾のない二次利用を禁止します

    本日お話しする内容

  4. 3 Copyright(C) NRI Netcom, Ltd. All rights reserved. #nncstudy 転載、複製、改変等、および許諾のない二次利用を禁止します

     パブリッククラウドの利用増加に伴い、情報漏洩などのインシデントが増加傾向にある。  各組織で情報セキュリティ対策を実行していてもインシデントは発生してしまう。  情報セキュリティを取り巻く環境が変化し続けているため、情報セキュリティ対策も改善し続ける必要がある。  CNAPPを用いることで具体的な対策を講じやすい。 本日お話しする内容 参照元:https://www.nri-secure.co.jp/blog/ipa-10-major-threats-2024

  5. 4 Copyright(C) NRI Netcom, Ltd. All rights reserved. #nncstudy 転載、複製、改変等、および許諾のない二次利用を禁止します

    CNAPPとAWS

  6. 5 Copyright(C) NRI Netcom, Ltd. All rights reserved. #nncstudy 転載、複製、改変等、および許諾のない二次利用を禁止します

    サイバー攻撃者が使用する戦術を把握する CNAPPとAWS  MITRE ATT&CK:MITRE社によって開発されており、攻撃データを基に設計されている。  戦術 (Tactics) 攻撃者が達成しようとする目的を表す(例:初期侵入、特権昇格、データの窃取など)。  技術 (Techniques) 戦術を実現するために攻撃者が使用する具体的な方法を指す(例:フィッシング、リモートデスクトップの悪用など)。  ナレッジベース 攻撃者の行動やそれに関連するデータを体系的に収集しており、企業や組織が脅威モデルや防御戦略を策定する際に利用で きる。  攻撃手法を知り、どのような対策をするべきか考える。 どの攻撃が多いのかを知る どのように攻撃してくるのかを知る 攻撃への対策を考える 攻撃への対策を実行する 攻撃への対策を改善する

  7. 6 Copyright(C) NRI Netcom, Ltd. All rights reserved. #nncstudy 転載、複製、改変等、および許諾のない二次利用を禁止します

    サイバー攻撃者が使用する戦術を把握する CNAPPとAWS  MITRE ATT&CK Containers Matrix  権限昇格 • コンテナの特権モードやランタイム脆弱性を悪用 • ホストOSやオーケストレーションツールの脆弱性の存在 • 不適切なIAMロールの設定や過剰な権限の付与 • アカウントや認証情報の管理ミスや漏洩 参照元:https://attack.mitre.org/matrices/enterprise/containers/

  8. 7 Copyright(C) NRI Netcom, Ltd. All rights reserved. #nncstudy 転載、複製、改変等、および許諾のない二次利用を禁止します

    CNAPP(Cloud Native Application Protection Platform) CNAPPとAWS  CNAPP(Cloud Native Application Protection Platform)  クラウド・ネイティブ・アプリケーションのセキュリティと保護を支援するために設計された、セキュリティとコンプライアンスに関連した機 能のセット。 CNAPP CSPM CWPP CIEM IaC DSPM

  9. 8 Copyright(C) NRI Netcom, Ltd. All rights reserved. #nncstudy 転載、複製、改変等、および許諾のない二次利用を禁止します

    CSPM(Cloud Security Posture Management) CNAPPとAWS  CSPM(Cloud Security Posture Management)  クラウド環境のセキュリティ状態を継続的に監視し、設定ミスやセキュリティリスクを検出・修正するためのソリューション。  該当するAWSサービス例:AWS Config、AWS Security Hub  CSPMの運用ポイント  検知内容に対する改善アクションへの導線を引く • なぜチャットツールを使用して通知するのか? なぜBacklogにチケット化するのか? →目指している運用の理想像に向けたツールの選定が必要。  検知内容に対する課題を切り分ける • 重要度にもとづいて優先順位をつけて検知に対応する。 • AWS Security Hub オートメーションルール AWS Security Hub Slack通知 Backlog通知 AWS Config Amazon EventBridge AWS Lambda 通知

  10. 9 Copyright(C) NRI Netcom, Ltd. All rights reserved. #nncstudy 転載、複製、改変等、および許諾のない二次利用を禁止します

    CSPM(Cloud Security Posture Management) CNAPPとAWS  生成AIを活用して改善アクションにつなげる方法も検討する  検知に対して具体的にどのようなアクションを取ればいいのか通知内容に載せる。 Bedrockアカウント AWS Lambda Amazon Bedrock Amazon S3 ログ保管 メンバーアカウント AWS Security Hub メール通知 Slack通知 Backlog通知 Amazon EventBridge

  11. 10 Copyright(C) NRI Netcom, Ltd. All rights reserved. #nncstudy 転載、複製、改変等、および許諾のない二次利用を禁止します

    CSPM(Cloud Security Posture Management)  検知から改善に繋げるためのサイクル  検知して終わりではなく、検知内容に対する修正、検知状況の分析、予防的な改善策の実施が不可欠。 CNAPPとAWS 検知・通知 調査・修正 分析 改善

  12. 11 Copyright(C) NRI Netcom, Ltd. All rights reserved. #nncstudy 転載、複製、改変等、および許諾のない二次利用を禁止します

    CSPM(Cloud Security Posture Management)  Security Hub インサイトを使用した検知状況の分析する。  ドリルダウンして詳細な分析をする場合はQuickSightを活用する。 CNAPPとAWS AWSマネジメントコンソール

  13. 12 Copyright(C) NRI Netcom, Ltd. All rights reserved. #nncstudy 転載、複製、改変等、および許諾のない二次利用を禁止します

    CWPP(Cloud Workload Protection Platform) CNAPPとAWS  CWPP(Cloud Workload Protection Platform)  クラウド環境で稼働するワークロード(仮想マシン、コンテナなど)を保護するためのセキュリティソリューション。  該当するAWSサービス例 • 仮想マシンの脆弱性を検出する:Amazon Inspector • コンテナイメージの脆弱性を検出する:Amazon ECR • ワークロードの保護:Amazon GuardDuty Amazon Inspector Amazon Elastic Compute Cloud (Amazon EC2) Amazon Inspector Amazon Elastic Container Registry (Amazon ECR) Image + Amazon Elastic Kubernetes Service (Amazon EKS) Amazon Elastic Container Service (Amazon ECS) Amazon Elastic Compute Cloud (Amazon EC2) Amazon GuardDuty

  14. 13 Copyright(C) NRI Netcom, Ltd. All rights reserved. #nncstudy 転載、複製、改変等、および許諾のない二次利用を禁止します

    CIEM(Cloud Infrastructure Entitlement Management) CNAPPとAWS  CIEM(Cloud Infrastructure Entitlement Management)  クラウド環境におけるアイデンティティとアクセス権限の管理に特化したセキュリティソリューション。  過剰な権限の付与を防ぎ、最小権限の原則を実現する。 • 外部アクセスの特定 • 過剰権限の特定  該当するAWSサービス例:AWS IAM、AWS IAM Access Analyzer、RCP  CIEMの運用ポイント  検知内容に対する改善アクションへの導線を引く  定期的に使用されていないIAMの棚卸を実施 • タグを設定して追跡しやすくする

  15. 14 Copyright(C) NRI Netcom, Ltd. All rights reserved. #nncstudy 転載、複製、改変等、および許諾のない二次利用を禁止します

    IaC(Infrastructure as Code) CNAPPとAWS  IaC(Infrastructure as Code)  インフラストラクチャの構成をコードベースで管理する際に、設定ミスやセキュリティの脆弱性を検出・修正する。  該当するAWSサービス例:AWS CodePipeline、AWS CloudFormation、Amazon Inspector  IaCの運用ポイント  事前スキャン(IaCコードのチェック)と運用後の監視(ConfigやSecurity Hubによるモニタリング)の両方が必要。 AWS CodePipeline AWS CodeBuild AWS CodeDeploy Amazon Inspector Amazon Elastic Container Registry (Amazon ECR) +

  16. 15 Copyright(C) NRI Netcom, Ltd. All rights reserved. #nncstudy 転載、複製、改変等、および許諾のない二次利用を禁止します

    DSPM(Data Security Posture Management) CNAPPとAWS  DSPM(Data Security Posture Management)  クラウド環境やオンプレミス環境に存在するデータのセキュリティ状態を管理し、データが適切に保護されているかを監視・最適化 するためのソリューション。  該当するAWSサービス例:Amazon Macie、AWS KMS、AWS IAM、AWS Config、AWS CloudTrail  DSPMの運用ポイント  継続的なデータ可視化の実施 • 定期的にAmazon Macieを用いてS3バケットのデータをスキャンし、新たに保存されたセンシティブデータや公開設定の不備 を確認。  暗号化ポリシーの適用と監視 • AWS KMSを利用して、データストレージ(例: S3バケット、RDS)の暗号化を標準化。  不審なデータアクセスの検出 • AWS CloudTrailでデータへのアクセスログを収集し、異常なアクセス(例: 通常と異なるIPや時刻のアクセス)を監視。

  17. 16 Copyright(C) NRI Netcom, Ltd. All rights reserved. #nncstudy 転載、複製、改変等、および許諾のない二次利用を禁止します

    セキュリティ運用とコスト

  18. 17 Copyright(C) NRI Netcom, Ltd. All rights reserved. #nncstudy 転載、複製、改変等、および許諾のない二次利用を禁止します

    セキュリティとコストのバランスを考える セキュリティ運用とコスト コスト セキュリティ  ケースに応じたセキュリティとコストのバランスが重要  コストをかけたとしても、インシデントは発生する  セキュリティを強化するためには一定のコストがかかってしまう  必ずしもコストの増加が悪ではない

  19. 18 Copyright(C) NRI Netcom, Ltd. All rights reserved. #nncstudy 転載、複製、改変等、および許諾のない二次利用を禁止します

    絶対的、完全なセキュリティ対策は存在しない セキュリティ運用とコスト  インシデントが発生する前提でセキュリティ対策を実施する  インシデントが発生した際にどのようなアクションを取るのか  どのような運用を実現するためにどのような運用の体制を確保できるか AWS Security Hub 一次対応 二次対応

  20. 19 Copyright(C) NRI Netcom, Ltd. All rights reserved. #nncstudy 転載、複製、改変等、および許諾のない二次利用を禁止します

    自動化して運用効率を最大化させる セキュリティ運用とコスト  Configを活用して自動修復させる  全てのリソースを自動修復するのではなく、タグを使用して修復対象を制御することも可能。  例:「TestKey:True」というタグが設定されているセキュリティグループのインバウンドルールを削除する。 Security group Public subnet Amazon Elastic Compute Cloud (Amazon EC2) AWS Config [インバウンドルール] 0.0.0.0/0 [タグ] TestKey:True Amazon EventBridge AWS Lambda 「インバウンドルール 0.0.0.0/0」を削除

  21. 20 Copyright(C) NRI Netcom, Ltd. All rights reserved. #nncstudy 転載、複製、改変等、および許諾のない二次利用を禁止します

    自動化して運用効率を最大化させる セキュリティ運用とコスト  GuardDutyの脅威IPリストを自動更新する  例:悪意のあるアクションをしたIPアドレスを自動で脅威IPリストに追加する。  人の手を入れずに完全に自動化したい場合に有効。  意図しないIPアドレスが脅威IPリストに追加される可能性があるので、どこまで自動化するかを考えなくてはならない。 Amazon GuardDuty 利用アカウント 検知 Amazon EventBridge AWS Lambda Amazon SNS 管理者 脅威IPリストを更新 SNS通知 AWS CloudTrail EKS Audit Log DNS Query Logs VPC Flow Logs Amazon S3

  22. 21 Copyright(C) NRI Netcom, Ltd. All rights reserved. #nncstudy 転載、複製、改変等、および許諾のない二次利用を禁止します

    まとめ

  23. 22 Copyright(C) NRI Netcom, Ltd. All rights reserved. #nncstudy 転載、複製、改変等、および許諾のない二次利用を禁止します

     CNAPPを活用することでAWSガバナンスにどのように向き合えばいいのかわかりやすくなる。  セキュリティを向上させるのは不可欠だが、用意できるコストと照らし合わせて考える必要がある。  セキュリティインシデントは発生することを前提に運用体制を整える必要がある。 まとめ CNAPP CSPM CWPP IaC DSPM CIEM
  24. None