AWSセンセーション私とみんなが作ったAWSセキュリティ

by cm-usuda-keisuke

Slide 1

Slide 1 text

JAWS DAYS 2024 ハッシュタグ：#jawsdays2024 #jawsug #jawsdays2024_a JAWS DAYS 2024 ～私とみんなが作ったAWSセキュリティ～臼田佳祐 A-11 [P] AWSセンセーション

Slide 2

Slide 2 text

ハッシュタグ：#jawsdays2024 #jawsug #jawsdays2024_a ピポッ起動中… 電源ボタン、ポチッ 2 ファミ通.comより引用 https://www.famitsu.com/images/000/321/283/65322f052b005.html

Slide 3

Slide 3 text

私とみんなが作ったAWSセキュリティ

Slide 4

Slide 4 text

ハッシュタグ：#jawsdays2024 #jawsug #jawsdays2024_a ⾅⽥佳祐(うすだけいすけ) ・クラスメソッド株式会社 / AWS事業本部シニアソリューションアーキテクトセキュリティチームリーダー 2021 APN Ambassador 2023 APN AWS Top Engineers (Security) AWS Security Hero (2023~) ・CISSP ・Security-JAWS運営・好きなサービス: Amazon GuardDuty AWS Security Hub Amazon Detective ⾃⼰紹介 4 みんなのAWS (技術評論社) Amazon GuardDuty AWS Security Hub Amazon Detective

Slide 5

Slide 5 text

ハッシュタグ：#jawsdays2024 #jawsug #jawsdays2024_a 主⼈公は何故か前髪で⽬が隠れているどこにでもいる普通のソリューションアーキテクト。ある⽇、ひょんなことからAWSのセキュリティ対策がきっちりできていないと脱出できない部屋に謎のドット絵美少⼥コノハと⼀緒に閉じ込められてしまう。「こんなAWSセキュリティのセの字もわからないようなAWSアカウント所持者と⼀緒だなんて、どん底のぞこだ〜︕」と⾔われたことをきっかけに、主⼈公は AWSセキュリティのレベルアップに取り組む。ジャンルは「謎のドット絵美少⼥とお仕事ADV」あらすじ 5

Slide 6

Slide 6 text

ハッシュタグ：#jawsdays2024 #jawsug #jawsdays2024_a あ〜〜、ちょっと惹かないでください︕ 真⾯⽬なセッションなんです。信じてください︕ 会話パートと解説パートに分かれていて、こんな感じに真⾯⽬な解説があります︕ あらすじ補⾜ 6

Slide 7

Slide 7 text

ハッシュタグ：#jawsdays2024 #jawsug #jawsdays2024_a l AWSセキュリティの「セ」の字もわからない⼈ l AWSの全体管理をする⼈ l すべてのAWSセキュリティに関わる⼈ = すべてのAWSユーザー初⼼者から上級者まで聴いて下さいやさしく説明します︕ セッションの対象者 7

Slide 8

Slide 8 text

ハッシュタグ：#jawsdays2024 #jawsug #jawsdays2024_a コノハ謎のドット絵美少⼥SA AWSセキュリティに詳しいよく早⼝で喋る登場⼈物 8 主⼈公⾮IT企業Alcohol Project に新卒⼊社2年⽬のSA 前髪で⽬が隠れているセキュリティは初⼼者 ※実在の⼈物や団体などとは関係ありません。

Slide 9

Slide 9 text

ハッシュタグ：#jawsdays2024 #jawsug #jawsdays2024_a このセッションではAWSセキュリティを段階的に強化していくために参考になる「AWSセキュリティ成熟度モデル」を利⽤して、9カテゴリ4段階あるAWSのセキュリティレベルを上げていくための具体的な⼿法について紹介する⾄って真⾯⽬な内容です。「それじゃあ、始めるね」あらすじ補⾜の補⾜ 9

Slide 10

Slide 10 text

ハッシュタグ：#jawsdays2024 #jawsug #jawsdays2024_a l プロローグ〜セキュリティ対策の進め⽅〜 l 第1章: IAMとSecurity HubとGuardDutyと l 第2章: 成熟度モデルで素早く強化しよう l 第3章: 基礎のレベルまでがんばろう l エピローグ〜未来のセキュリティ対策〜アジェンダ 10

Slide 11

Slide 11 text

プロローグ〜セキュリティ対策の進め⽅〜 11

Slide 12

Slide 12 text

ハッシュタグ：#jawsdays2024 #jawsug #jawsdays2024_a プロローグ気がつくと僕は⾒知らぬ場所にいた壁から天井まで⽩で埋め尽くされた何も無い部屋に無⾻な液晶ディスプレイが1つだけある出⼝はなく、閉じ込められているようだ僕の他に1⼈、知らない美少⼥が倒れているどうやらソリューションアーキテクトのようだ

Slide 13

Slide 13 text

ハッシュタグ：#jawsdays2024 #jawsug #jawsdays2024_a プロローグ

Slide 14

Slide 14 text

ハッシュタグ：#jawsdays2024 #jawsug #jawsdays2024_a う〜ん、ここはいったい… どうしてコノハはこんなところにいるんだっけ︖ プロローグコノハ

Slide 15

Slide 15 text

ハッシュタグ：#jawsdays2024 #jawsug #jawsdays2024_a ⽬が覚めましたか︖ どうやら僕たちは閉じ込められたようですプロローグ主⼈公

Slide 16

Slide 16 text

ハッシュタグ：#jawsdays2024 #jawsug #jawsdays2024_a はっ︕この部屋は︕︖ もしかして〇〇しないと出られない部屋では︕︖ プロローグコノハ

Slide 17

Slide 17 text

ハッシュタグ：#jawsdays2024 #jawsug #jawsdays2024_a 〇〇しないと出られない部屋︖ なんですかそれ︖ プロローグ主⼈公

Slide 18

Slide 18 text

ハッシュタグ：#jawsdays2024 #jawsug #jawsdays2024_a 知らないんですか︕︖ 何かの条件を満たさないと脱出できない部屋ですよ︕ 初⾒で⼀発でわかりましたよコノハは︕ プロローグコノハ

Slide 19

Slide 19 text

ハッシュタグ：#jawsdays2024 #jawsug #jawsdays2024_a ふ、ふ〜ん、そうなんですね。 (うるさい⼈だなぁ) プロローグ主⼈公

Slide 20

Slide 20 text

ハッシュタグ：#jawsdays2024 #jawsug #jawsdays2024_a ほら、壁に液晶がかかっているじゃないですかきっとあそこに条件が出てくるはずです︕ ⾒てみましょう︕ プロローグコノハ

Slide 21

Slide 21 text

ハッシュタグ：#jawsdays2024 #jawsug #jawsdays2024_a …よくわからないけど、とりあえずわかりましたプロローグ主⼈公

Slide 22

Slide 22 text

ハッシュタグ：#jawsdays2024 #jawsug #jawsdays2024_a AWSセキュリティ成熟度モデル Level: 0 プロローグ

Slide 23

Slide 23 text

ハッシュタグ：#jawsdays2024 #jawsug #jawsdays2024_a AWSセキュリティ成熟度モデル Level: 0 プロローグこ、これは︕︖ AWSのセキュリティ対策がきっちりできていないと脱出できない部屋だぁああああ︕︕︕ コノハ

Slide 24

Slide 24 text

ハッシュタグ：#jawsdays2024 #jawsug #jawsdays2024_a AWSセキュリティ成熟度モデル Level: 0 プロローグ AWSのセキュリティ対策がきっちりできていないと脱出できない部屋︕︖ いったいどんなご都合主義なんだ︕︖ 主⼈公

Slide 25

Slide 25 text

ハッシュタグ：#jawsdays2024 #jawsug #jawsdays2024_a AWSセキュリティ成熟度モデル Level: 0 プロローグでもでも、コノハのAWS環境は完璧なはず… もしかして、君のAWS環境がターゲットなのでは︕︖ コノハ

Slide 26

Slide 26 text

ハッシュタグ：#jawsdays2024 #jawsug #jawsdays2024_a AWSセキュリティ成熟度モデル Level: 0 プロローグうぅ…、確かに僕の管理している会社のAWS環境はあんまりセキュリティ対策きっちりできてないかもでも事故は起きたことないですよ︖ 主⼈公

Slide 27

Slide 27 text

ハッシュタグ：#jawsdays2024 #jawsug #jawsdays2024_a AWSセキュリティ成熟度モデル Level: 0 プロローグこうみえても、コノハはAWSセキュリティにはちょっと⾃信あるんだ︕ 君にAWSセキュリティ強化のレクチャーをするよ︕ コノハ

Slide 28

Slide 28 text

ハッシュタグ：#jawsdays2024 #jawsug #jawsdays2024_a AWSセキュリティ成熟度モデル Level: 0 プロローグよろしくお願いします。でもセキュリティ対策って⼤変そうですね。何から始めたらいいですか︖ 主⼈公

Slide 29

Slide 29 text

ハッシュタグ：#jawsdays2024 #jawsug #jawsdays2024_a AWSセキュリティ成熟度モデル Level: 0 プロローグじつはAWSのセキュリティ対策は、簡単で効率いいやり⽅があるんだ。それじゃあ、解説始めるね︕ コノハ

Slide 30

Slide 30 text

ハッシュタグ：#jawsdays2024 #jawsug #jawsdays2024_a AWSのセキュリティ対策皆さんちゃんとできてますか︖ ここでは、まずAWSセキュリティ対策に臨むための考え⽅から始めていきます。プロローグ〜解説パート〜 30

Slide 31

Slide 31 text

ハッシュタグ：#jawsdays2024 #jawsug #jawsdays2024_a 皆さんのAWS環境ではどんなセキュリティ対策ができていますか︖ 質問 31

Slide 32

Slide 32 text

ハッシュタグ：#jawsdays2024 #jawsug #jawsdays2024_a l 「CloudTrail / Config設定してます」 l 「GuardDuty / Security Hub有効化してます」 l 「S3公開してません」 l 「IAM最⼩権限を意識してます(できてない)」 l 「アラート受け取って運⽤してます」やっていることの説明はできるがどれくらいできているかを表現するのは難しいセキュリティ対策の例 32

Slide 33

Slide 33 text

ハッシュタグ：#jawsdays2024 #jawsug #jawsdays2024_a AWSのセキュリティ対策で参考にするのは AWS Well-Architectedフレームワークこれは⾮常に良い AWSの⻑年蓄積されているベストプラクティス集 6つの柱のうちの1つがセキュリティの柱しかしこれも以下は苦⼿ l なにからやるかの優先順位付け l どこまでできてるか達成度の評価 AWSセキュリティの参考⽂献 33

Slide 34

Slide 34 text

ハッシュタグ：#jawsdays2024 #jawsug #jawsdays2024_a W-Aの勉強会をする時に参考になる進め⽅ディスカッションのやり⽅とか勘所を紹介していますちょっと古いけどみんなもマネしてね https://dev.classmethod.jp/arti cles/how-to-study-new-w-a/ 合わせて読みたい 34

Slide 35

Slide 35 text

ハッシュタグ：#jawsdays2024 #jawsug #jawsdays2024_a そんなときに使うのがこれ 35 すぐ強化するポイント

Slide 36

Slide 36 text

ハッシュタグ：#jawsdays2024 #jawsug #jawsdays2024_a 「AWSセキュリティ成熟度モデル」によってこのグラフを作れる AWSセキュリティ対策の現在地を確認できる https://dev.classmethod.j p/articles/intro-aws- security-maturity-model/ 合わせて読みたい 36

Slide 37

Slide 37 text

ハッシュタグ：#jawsdays2024 #jawsug #jawsdays2024_a というわけで AWSセキュリティ成熟度モデルを活⽤しよう︕ でもその前に、初⼼者向けにもうちょっと最初からやっていきます AWSセキュリティ対策の進め⽅ 37

Slide 38

Slide 38 text

第1章 IAMと Security Hubと GuardDutyと 38

Slide 39

Slide 39 text

ハッシュタグ：#jawsdays2024 #jawsug #jawsdays2024_a AWSセキュリティ成熟度モデル Level: 0 IAMとSecurity HubとGuardDutyと

Slide 40

Slide 40 text

ハッシュタグ：#jawsdays2024 #jawsug #jawsdays2024_a AWSセキュリティ成熟度モデル Level: 0 IAMとSecurity HubとGuardDutyとそれじゃあ君のAWS環境のセキュリティを強化していこう︕ まずはその環境を⾒せてよ︕ コノハ

Slide 41

Slide 41 text

ハッシュタグ：#jawsdays2024 #jawsug #jawsdays2024_a AWSセキュリティ成熟度モデル Level: 0 IAMとSecurity HubとGuardDutyとわかりました。なぜかここにおいてあるPCでAWSマネジメントコンソールにアクセスできそうですね。ログインします。主⼈公

Slide 42

Slide 42 text

ハッシュタグ：#jawsdays2024 #jawsug #jawsdays2024_a AWSへログイン

Slide 43

Slide 43 text

ハッシュタグ：#jawsdays2024 #jawsug #jawsdays2024_a AWSへログイン

Slide 44

Slide 44 text

ハッシュタグ：#jawsdays2024 #jawsug #jawsdays2024_a AWSへログイン

Slide 45

Slide 45 text

ハッシュタグ：#jawsdays2024 #jawsug #jawsdays2024_a AWSへログインログインできました︕ 主⼈公

Slide 46

Slide 46 text

ハッシュタグ：#jawsdays2024 #jawsug #jawsdays2024_a AWSへログインログインできましたじゃねええええええええ︕︖ うええええええええええええええいつの時代の⼈間なの君いいいいいいい︕︖ コノハ

Slide 47

Slide 47 text

ハッシュタグ：#jawsdays2024 #jawsug #jawsdays2024_a AWSへログインあ、やっぱりルートユーザーって使ったらだめですか︖ 主⼈公

Slide 48

Slide 48 text

ハッシュタグ：#jawsdays2024 #jawsug #jawsdays2024_a AWSへログインそれもそうだけど、今パスワードのあとMFAも無かったよね︕︖ コノハ

Slide 49

Slide 49 text

ハッシュタグ：#jawsdays2024 #jawsug #jawsdays2024_a AWSへログインえむえふえー︖ 僕のデータにないぞ︕︖ 主⼈公

Slide 50

Slide 50 text

ハッシュタグ：#jawsdays2024 #jawsug #jawsdays2024_a AWSの構成うぅ…こんなAWSセキュリティのセの字もわからないようなAWSアカウント所持者と⼀緒だなんて、どん底のぞこだ〜︕ コノハ

Slide 51

Slide 51 text

ハッシュタグ：#jawsdays2024 #jawsug #jawsdays2024_a AWSへログインむぅ…。そこまで⾔うなら、なんでも…ではないですけど、⽐較的なんでもやりますので、よろしくお願いします︕ 主⼈公

Slide 52

Slide 52 text

ハッシュタグ：#jawsdays2024 #jawsug #jawsdays2024_a AWSの構成わかったよ…。とりあえず、環境の確認するから、Security Hub開いてくれる︖あと構成図も開いて。コノハ

Slide 53

Slide 53 text

ハッシュタグ：#jawsdays2024 #jawsug #jawsdays2024_a AWSの構成あ、Security Hubっていうのは使ってないです構成図は出しますね… 主⼈公

Slide 54

Slide 54 text

ハッシュタグ：#jawsdays2024 #jawsug #jawsdays2024_a AWSの構成うぇっ︕︖ これはAWSセキュリティ成熟度モデルの具体的な話は後回しだなぁ… コノハ

Slide 55

Slide 55 text

ハッシュタグ：#jawsdays2024 #jawsug #jawsdays2024_a AWSの構成 …︖ とりあえず構成図はこれです。主⼈公

Slide 56

Slide 56 text

ハッシュタグ：#jawsdays2024 #jawsug #jawsdays2024_a AWSの構成

Slide 57

Slide 57 text

ハッシュタグ：#jawsdays2024 #jawsug #jawsdays2024_a AWSの構成お、構成図上では悪くなさそうですね。ちょっと安⼼したよ。コノハ

Slide 58

Slide 58 text

ハッシュタグ：#jawsdays2024 #jawsug #jawsdays2024_a AWSの構成あれ︖ てっきり怒られるかと思ってました。 EC2を冗⻑化とかしてないですし。主⼈公

Slide 59

Slide 59 text

ハッシュタグ：#jawsdays2024 #jawsug #jawsdays2024_a AWSの構成コーポレートのEC2なら少しダウンタイムがあるくらい許容できるし悪くないよ。コノハ

Slide 60

Slide 60 text

ハッシュタグ：#jawsdays2024 #jawsug #jawsdays2024_a AWSの構成コスト最適化の観点でも、⼗分ベターだね。コストを守るのもセキュリティ︕ コノハ

Slide 61

Slide 61 text

ハッシュタグ：#jawsdays2024 #jawsug #jawsdays2024_a AWSの構成でもWordPressを使っているのは気になるね。あとで要チェック︕ コノハ

Slide 62

Slide 62 text

ハッシュタグ：#jawsdays2024 #jawsug #jawsdays2024_a AWSの構成サーバレスも構成上は鉄板のものだし、Cognitoも使えてて悪くないよ。コノハ

Slide 63

Slide 63 text

ハッシュタグ：#jawsdays2024 #jawsug #jawsdays2024_a AWSの構成ただCloudFrontが無いのはちょっと不安かなぁ。コノハ

Slide 64

Slide 64 text

ハッシュタグ：#jawsdays2024 #jawsug #jawsdays2024_a AWSの構成構成図でわかるところはこれぐらいかな。それじゃあいよいよSecurity Hubと、GuardDutyと IAM Access Analyzerも有効化して⾒てみよう︕ コノハ

Slide 65

Slide 65 text

ハッシュタグ：#jawsdays2024 #jawsug #jawsdays2024_a AWSの構成わかりました。有効化します︕ これポチッとやるだけで有効化できるんですね。そうと分かってたらもっと早くやったのに。主⼈公

Slide 66

Slide 66 text

ハッシュタグ：#jawsdays2024 #jawsug #jawsdays2024_a AWSの構成フッフッフ…。 AWSのマネージドなセキュリティサービスは簡単に使えてすごく便利なんですよ︕でも本番はこれから… コノハ

Slide 67

Slide 67 text

ハッシュタグ：#jawsdays2024 #jawsug #jawsdays2024_a AWSの構成うわっ︕なんかいっぱい出てきた︕ これはどうすれば良いんですか︕︖ 主⼈公

Slide 68

Slide 68 text

ハッシュタグ：#jawsdays2024 #jawsug #jawsdays2024_a AWSの構成よし、これで最初のAWSセキュリティ強化を始める準備ができたよ。それじゃあ、解説始めるね︕ コノハ

Slide 69

Slide 69 text

ハッシュタグ：#jawsdays2024 #jawsug #jawsdays2024_a GuardDutyとSecurity Hub ちゃんと使ってますか︖ あとIAMもここでは、最初にやっていくべきコスパとタイパの⾼いAWSセキュリティ対策を扱っていきます。すべてのAWS環境で必ずやりましょう︕ IAMとSecurity HubとGuardDutyと〜解説パート〜 69

Slide 70

Slide 70 text

ハッシュタグ：#jawsdays2024 #jawsug #jawsdays2024_a この解説ではAWS環境で必ず実施する以下の3点のセキュリティ対策について解説します。これらを押さえたあと、次章でAWSセキュリティ成熟度モデルについて詳しく⾒ていきます。 IAMとSecurity HubとGuardDutyと〜解説パート〜 70 IAM Security Hub GuardDuty

Slide 71

Slide 71 text

ハッシュタグ：#jawsdays2024 #jawsug #jawsdays2024_a AWSのセキュリティはIAMに始まりIAMに終わると⾔っても過⾔ではありません。そもそもITシステムのアクセス制御は基本的で必須の機能であり、正しく使わなければいけません。アクセス制御がゆるい環境は機密性を損ねます︕ まずはAWSのIAMベストプラクティスを押さえましょう。まずIAMの強化 71

Slide 72

Slide 72 text

ハッシュタグ：#jawsdays2024 #jawsug #jawsdays2024_a ユーザーガイドのベストプラクティス 72

Slide 73

Slide 73 text

ハッシュタグ：#jawsdays2024 #jawsug #jawsdays2024_a l 必ずMFA(多要素認証)を設定する l アクセスキーを極⼒利⽤しない l IAM Roleを活⽤し⼀時的な認証情報を使⽤する l IAMリソースを定期的に棚卸しする l IAM Access Analyzerで不要な公開を検出する l 最⼩権限の原則を意識するまずはMFAの設定とIAM Access Analyzerの有効化とチェックはすぐにできるのでやろう︕ ついでに棚卸しできるはず。 https://docs.aws.amazon.com/ja_jp/IAM/latest/UserGuide/best-practices.html IAMベストプラクティス抜粋要約 73

Slide 74

Slide 74 text

ハッシュタグ：#jawsdays2024 #jawsug #jawsdays2024_a 外部公開やクロスアカウントアクセスしている S3やIAMなどを⼀覧で表⽰してくれる IAM Access Analyzerの使い⽅ 74 IAM Access Analyzer

Slide 75

Slide 75 text

ハッシュタグ：#jawsdays2024 #jawsug #jawsdays2024_a 意図した設定であるか棚卸しすることができる IAM Access Analyzerの使い⽅ 75 これ公開しちゃいけないやつ間違えて公開してますね OK or NG

Slide 76

Slide 76 text

ハッシュタグ：#jawsdays2024 #jawsug #jawsdays2024_a 様々なAWSリソースで危険な設定が無いかセキュリティチェックするサービス 100%を維持できるのが理想 Security Hubの使い⽅ 76 Security Hub

Slide 77

Slide 77 text

ハッシュタグ：#jawsdays2024 #jawsug #jawsdays2024_a SSHポートを 0.0.0.0/0で公開しているセキュリティグループが⾒つかったりします Security Hubの使い⽅ 77 WordPressのEC2で SSH開放しちゃってますね

Slide 78

Slide 78 text

ハッシュタグ：#jawsdays2024 #jawsug #jawsdays2024_a Security Hubの解説とどんな⾵に運⽤したらいいかをまとめています https://dev.classmethod.jp/ articles/aws-security- operation-with-securityhub- 2021/ 合わせて読みたい 78

Slide 79

Slide 79 text

ハッシュタグ：#jawsdays2024 #jawsug #jawsdays2024_a AWS上で実際に発⽣している脅威を検出するコインマイニングや IAMの不正操作、S3 のデータ漏洩など幅広くカバーしている GuardDutyの使い⽅ 79 GuardDuty

Slide 80

Slide 80 text

ハッシュタグ：#jawsdays2024 #jawsug #jawsdays2024_a EC2でコインマイニングされていると CryptoCurrency:EC2/ BitcoinTool.B!DNS というタイプで検出されるファイルパスも判明する GuardDutyの使い⽅ 80 WordPressのEC2が乗っ取られていますね

Slide 81

Slide 81 text

ハッシュタグ：#jawsdays2024 #jawsug #jawsdays2024_a GuardDutyの解説とどんな⾵に運⽤したらいいかをまとめています https://dev.classmethod.jp/articles/ aws-security-operation-with- guardduty-2021/ 合わせて読みたい 81

Slide 82

Slide 82 text

ハッシュタグ：#jawsdays2024 #jawsug #jawsdays2024_a まとめ l AWSの各種セキュリティサービスを有効化するだけでセキュリティの課題は簡単に⾒つけられる l ⾒つかったものを是正していくことで学習しながらセキュリティを強化できる l まずはIAMを強化し、IAM Access Analyzerと Security HubとGuardDutyを使おう IAMとSecurity HubとGuardDutyと 82 このあとむちゃくちゃ修正しました

Slide 83

Slide 83 text

第2章成熟度モデルで素早く強化しよう 83

Slide 84

Slide 84 text

ハッシュタグ：#jawsdays2024 #jawsug #jawsdays2024_a 成熟度モデルで素早く強化しよう

Slide 85

Slide 85 text

ハッシュタグ：#jawsdays2024 #jawsug #jawsdays2024_a よしっ︕ Security Hubの重要度の⾼い項⽬は解決したし、だいぶAWSセキュリティの強化ができたと思います。成熟度モデルで素早く強化しよう主⼈公

Slide 86

Slide 86 text

ハッシュタグ：#jawsdays2024 #jawsug #jawsdays2024_a そうだね︕ じゃあそろそろ本格的にAWSセキュリティ成熟度モデルを活⽤していこうか︕まず例の液晶を⾒に⾏こう。成熟度モデルで素早く強化しようコノハ

Slide 87

Slide 87 text

ハッシュタグ：#jawsdays2024 #jawsug #jawsdays2024_a AWSセキュリティ成熟度モデル Level: 1 50% 成熟度モデルで素早く強化しよう

Slide 88

Slide 88 text

ハッシュタグ：#jawsdays2024 #jawsug #jawsdays2024_a AWSセキュリティ成熟度モデル Level: 1 50% 成熟度モデルで素早く強化しようあ、レベルが変わっています︕ これってちゃんとセキュリティ対策できているってことですね︕︖ 主⼈公

Slide 89

Slide 89 text

ハッシュタグ：#jawsdays2024 #jawsug #jawsdays2024_a AWSセキュリティ成熟度モデル Level: 1 50% 成熟度モデルで素早く強化しようしかもAWSセキュリティ成熟度モデルに沿って対策できているってことだね。コノハ

Slide 90

Slide 90 text

ハッシュタグ：#jawsdays2024 #jawsug #jawsdays2024_a AWSセキュリティ成熟度モデル Level: 1 50% 成熟度モデルで素早く強化しようではそろそろ、この「AWSセキュリティ成熟度モデル」について教えてもらえますか︖ 主⼈公

Slide 91

Slide 91 text

ハッシュタグ：#jawsdays2024 #jawsug #jawsdays2024_a AWSセキュリティ成熟度モデル Level: 1 50% 成熟度モデルで素早く強化しようそうだね。「AWSセキュリティ成熟度モデル」とは何か︖ っていうところから始めよう︕このグラフを⾒て。コノハ

Slide 92

Slide 92 text

ハッシュタグ：#jawsdays2024 #jawsug #jawsdays2024_a AWSセキュリティ成熟度モデルとは 92

Slide 93

Slide 93 text

ハッシュタグ：#jawsdays2024 #jawsug #jawsdays2024_a AWSセキュリティ成熟度モデルとは 93 こんな感じでAWSセキュリティの9つのジャンルに対して4段階のレベルで評価できるのがAWSセキュリティ成熟度モデルだよ。コノハ

Slide 94

Slide 94 text

ハッシュタグ：#jawsdays2024 #jawsug #jawsdays2024_a AWSセキュリティ成熟度モデルとは 94 おー。パッと⾒よさそうなグラフですね。主⼈公

Slide 95

Slide 95 text

ハッシュタグ：#jawsdays2024 #jawsug #jawsdays2024_a AWSセキュリティ成熟度モデルとは 95 実はさっきまでやっていたIAMの強化は「アイデンティティとアクセス管理」のPhase1に当たるんだ。「セキュリティ保証」や「脅威検出」も対応済みだよ。コノハ

Slide 96

Slide 96 text

ハッシュタグ：#jawsdays2024 #jawsug #jawsdays2024_a AWSセキュリティ成熟度モデルとは 96 さっきまでやっていたのはAWSセキュリティ成熟度モデルのPhase1に含まれる内容だったんですね。他のPhase1もやっていけばいいですか︖ 主⼈公

Slide 97

Slide 97 text

ハッシュタグ：#jawsdays2024 #jawsug #jawsdays2024_a AWSセキュリティ成熟度モデルとは 97 そうだね。このPhase1はQuickWinsという段階で、とにかく素早くできて効果の⾼いものばかりだよ。速攻で終わらせちゃおう︕ コノハ

Slide 98

Slide 98 text

ハッシュタグ：#jawsdays2024 #jawsug #jawsdays2024_a AWSセキュリティ成熟度モデルとは 98 やっていきます︕ 実施した内容をこのグラフみたいに出⼒することはできるんですか︖ 主⼈公

Slide 99

Slide 99 text

ハッシュタグ：#jawsdays2024 #jawsug #jawsdays2024_a AWSセキュリティ成熟度モデルとは 99 いい質問だね。 AWSセキュリティ成熟度モデルのサイトには公式のエクセルが⽤意されていて、アセスメントに利⽤できるよ。コノハ

Slide 100

Slide 100 text

ハッシュタグ：#jawsdays2024 #jawsug #jawsdays2024_a AWSセキュリティ成熟度モデルとは 100 なるほど、じゃあそのエクセルにまとめていけばいいんですね。主⼈公

Slide 101

Slide 101 text

ハッシュタグ：#jawsdays2024 #jawsug #jawsdays2024_a AWSセキュリティ成熟度モデルとは 101 英語のエクセルだから翻訳したほうがいいのと、このグラフみたいによりきれいなアウトプットがほしいときには作り込む必要があるよ。今⽇は私のシートを使ってね。コノハ

Slide 102

Slide 102 text

ハッシュタグ：#jawsdays2024 #jawsug #jawsdays2024_a AWSセキュリティ成熟度モデルとは 102 シートの準備もできたし、Phase1を全部対応していきます︕ 主⼈公

Slide 103

Slide 103 text

ハッシュタグ：#jawsdays2024 #jawsug #jawsdays2024_a 成熟度モデルを理解して使いこなしましょうここでは、AWSセキュリティ成熟度モデルについて理解して、すぐにできるPhase1の対応から始めましょう成熟度モデルで素早く強化しよう〜解説パート〜 103

Slide 104

Slide 104 text

ハッシュタグ：#jawsdays2024 #jawsug #jawsdays2024_a AWSから提供されている (AWS Security Maturity Model) 9つのセキュリティカテゴリと4段階のフェーズに区切ってセキュリティ対策をマッピングしたフレームワーク https://maturitymodel.sec urity.aws.dev/en/model/ AWSセキュリティ成熟度モデルとは 104

Slide 105

Slide 105 text

ハッシュタグ：#jawsdays2024 #jawsug #jawsdays2024_a AWS クラウド導⼊フレームワーク(CAF)セキュリティ: https://docs.aws.amazon.com/ja_jp/whitepapers/latest/overview-aws-cloud- adoption-framework/security-perspective.html CAF9つのセキュリティカテゴリ 105 セキュリティガバナンスセキュリティ保証アイデンティティとアクセス管理脅威検出脆弱性管理インフラ保護データ保護アプリケーションセキュリティインシデント対応

Slide 106

Slide 106 text

ハッシュタグ：#jawsdays2024 #jawsug #jawsdays2024_a 4段階のフェーズ 106 Phase1: クイックウィン Phase2: 基礎 Phase3: 効率化 Phase4: 最適化 Phase2: 基礎のレベルまでできていれば⼀通り最低限はできているとしてOK(⾅⽥の感覚) Phase1: クイックウィンは⽂字通りすぐに実施できる設定やサービスの有効化がメインまずはこれをすぐ完了させましょう

Slide 107

Slide 107 text

ハッシュタグ：#jawsdays2024 #jawsug #jawsdays2024_a l マトリクス表で俯瞰して確認しやすい l AWSに最適化されている l Phase1はクラウドらしくすぐできる効果の⾼いもの l 幅広いセキュリティのカテゴリを扱っている l セキュリティガバナンス・IAM・アプリケーションも l 4段階と現実的に使いやすい l アセスメント⽤のExcelなどが公開されているこのモデルのいいところ 107

Slide 108

Slide 108 text

ハッシュタグ：#jawsdays2024 #jawsug #jawsdays2024_a https://maturitymodel.security.aws.dev/en/assessment-tools/ アセスメント⽤Excel⼊⼿⽅法 108 クリックしてダウンロード

Slide 109

Slide 109 text

ハッシュタグ：#jawsdays2024 #jawsug #jawsdays2024_a AWSセキュリティ成熟度モデルのサイトのスクリーンショット(ただ映す⽤) https://maturitymodel.securit y.aws.dev/en/1.-quickwins/ ここから項⽬を調整し、主要なものを説明します Phase1の内容⼀覧 109

Slide 110

Slide 110 text

ハッシュタグ：#jawsdays2024 #jawsug #jawsdays2024_a AWSセキュリティ成熟度モデルの対応項⽬は場合により取捨選択してもいいおすすめの調整内容 l Phase1脆弱性管理にInspectorの有効化を追加 l Phase1セキュリティガバナンスの利⽤しないリージョンを無効化するはできない場合も多いのでオプションとする l Phase1データ保護のAmazon Macieは費⽤と運⽤⾯の難易度が⾼いのでオプションとする調整する内容(Phase1) 110

Slide 111

Slide 111 text

ハッシュタグ：#jawsdays2024 #jawsug #jawsdays2024_a Phase1の対応内容 l セキュリティ連絡先の割り当て l Trusted Advisorの項⽬を修正する l 課⾦アラームの設定 l Amazon Inspectorの有効化 l セキュリティグループの制限 l S3のブロックパブリックアクセス l WAFの導⼊いくつか抜粋して解説対応していく内容 111

Slide 112

Slide 112 text

ハッシュタグ：#jawsdays2024 #jawsug #jawsdays2024_a l WAFとWordPress⽤のマネージドルールを適⽤する l Inspectorを有効化しEC2上の脆弱性を検出 l Session Manager経由で管理アクセスしSSHのSGを閉じるコーポレートページ強化例 112

Slide 113

Slide 113 text

ハッシュタグ：#jawsdays2024 #jawsug #jawsdays2024_a Phase1ではAWS WAFのマネージドルールのみが適⽤対象ルールはユーザーガイドを読めば⾃環境に適⽤すべきか判断できる l Windows⽤/Linux⽤ l PHP⽤/WordPress⽤コアルールセットはとりあえず使う https://docs.aws.amazon.com/ja_jp/waf/latest/developerguide/aws-managed-rule-groups-list.html WAFのルール適⽤の考え⽅ 113 Phase1 > アプリケーションセキュリティ > AWS WAF のマネージドルール

Slide 114

Slide 114 text

ハッシュタグ：#jawsdays2024 #jawsug #jawsdays2024_a Systems Manager Session Managerを利⽤すると、 AWSマネジメントコンソールからシェルアクセス可能これ⾃体はPhase2の範囲の対応だが、セキュリティグループの絞り込みと合わせて実⾏する Session Managerを利⽤する 114 Phase1 > インフラ保護 > セキュリティグループによるアクセス制限

Slide 115

Slide 115 text

ハッシュタグ：#jawsdays2024 #jawsug #jawsdays2024_a l CloudFrontをS3の前に⽴たせてS3を伏せる l Security Hubで各サービスのセキュリティチェック l InspectorでLambdaのコードを脆弱性スキャンサーバレス強化例 115

Slide 116

Slide 116 text

ハッシュタグ：#jawsdays2024 #jawsug #jawsdays2024_a Inspectorは有効化するだけでEC2 / ECR / Lambdaに含まれる既知の脆弱性(CVE)とコードの実装不備 (CWE)を検出できるとりあえず緊急度が⾼いものはすぐ対応する Inspectorで脆弱性の管理 116 Phase1 > 脆弱性管理 > Amazon Inspectorを利⽤した脆弱性情報の収集

Slide 117

Slide 117 text

ハッシュタグ：#jawsdays2024 #jawsug #jawsdays2024_a まとめ l AWSセキュリティ成熟度モデルを活⽤すると、幅広いAWSセキュリティを網羅的にカバーしつつ優先順位を付けて段階的に強化できる l Phase1 QuickWinsはとにかくコスパの良い対応だからすぐにやる成熟度モデルで素早く強化しよう 117 すべての環境でSSH使うのやめました

Slide 118

Slide 118 text

第3章基礎のレベルまでがんばろう 118

Slide 119

Slide 119 text

ハッシュタグ：#jawsdays2024 #jawsug #jawsdays2024_a 基礎のレベルまでがんばろう

Slide 120

Slide 120 text

ハッシュタグ：#jawsdays2024 #jawsug #jawsdays2024_a WordPressの環境もパッチ適⽤したし、WAFで保護できるようになりました。だいぶAWSセキュリティが強化できたと思います︕ 基礎のレベルまでがんばろう主⼈公

Slide 121

Slide 121 text

ハッシュタグ：#jawsdays2024 #jawsug #jawsdays2024_a そうだね︕ これでレベル1は達成できてるんじゃないかな︖ 例の液晶を⾒に⾏こう。基礎のレベルまでがんばろうコノハ

Slide 122

Slide 122 text

ハッシュタグ：#jawsdays2024 #jawsug #jawsdays2024_a AWSセキュリティ成熟度モデル Level: 1 100% 基礎のレベルまでがんばろう

Slide 123

Slide 123 text

ハッシュタグ：#jawsdays2024 #jawsug #jawsdays2024_a AWSセキュリティ成熟度モデル Level: 1 100% 基礎のレベルまでがんばろうやった︕レベル1が100%になっています︕ でもまだ脱出できませんね。主⼈公

Slide 124

Slide 124 text

ハッシュタグ：#jawsdays2024 #jawsug #jawsdays2024_a AWSセキュリティ成熟度モデル Level: 1 100% 基礎のレベルまでがんばろう AWSセキュリティ成熟度モデルで最低ラインは Phase2の「基礎」だからね。多分Phase2の対応も⼀通り実⾏できれば脱出できるよ︕ コノハ

Slide 125

Slide 125 text

ハッシュタグ：#jawsdays2024 #jawsug #jawsdays2024_a AWSセキュリティ成熟度モデル Level: 1 100% 基礎のレベルまでがんばろうここまで結構対応を頑張ってきましたが、まだ基礎のレベルではないんですね…。やっぱりセキュリティ対策って⼤変ですね。主⼈公

Slide 126

Slide 126 text

ハッシュタグ：#jawsdays2024 #jawsug #jawsdays2024_a AWSセキュリティ成熟度モデル Level: 1 100% 基礎のレベルまでがんばろう確かに簡単じゃないけど、AWSだと各種機能でめっちゃ簡単に対応箇所が⾒つかって、調査の⼿間はぜんぜんかからないよね。コノハ

Slide 127

Slide 127 text

ハッシュタグ：#jawsdays2024 #jawsug #jawsdays2024_a AWSセキュリティ成熟度モデル Level: 1 100% 基礎のレベルまでがんばろうそうですね。そもそもこのS3の設定やっちゃ駄⽬とか知らなくてもSecurity Hubが教えてくれたりしました。やることはわかるので後はやるだけでしたね。主⼈公

Slide 128

Slide 128 text

ハッシュタグ：#jawsdays2024 #jawsug #jawsdays2024_a AWSセキュリティ成熟度モデル Level: 1 100% 基礎のレベルまでがんばろうでもPhase2の対応はより攻めていく必要があるよ。より⾃分たちの環境にとって必要なセキュリティ対策を考えないといけないんだ。コノハ

Slide 129

Slide 129 text

ハッシュタグ：#jawsdays2024 #jawsug #jawsdays2024_a AWSセキュリティ成熟度モデル Level: 1 100% 基礎のレベルまでがんばろうめちゃくちゃハードル⾼そうですね… でも僕はまだまだセキュリティ対策の知識が乏しくて、「⾃分たちの環境のセキュリティ」は難しい気がします。主⼈公

Slide 130

Slide 130 text

ハッシュタグ：#jawsdays2024 #jawsug #jawsdays2024_a AWSセキュリティ成熟度モデル Level: 1 100% 基礎のレベルまでがんばろうだからPhase2の項⽬の中でも「Cloud Security のトレーニングプラン」から取り組み始めて、公式トレーニングを受けるのがオススメだよ︕ コノハ

Slide 131

Slide 131 text

ハッシュタグ：#jawsdays2024 #jawsug #jawsdays2024_a AWSセキュリティ成熟度モデル Level: 1 100% 基礎のレベルまでがんばろう公式トレーニング︖ AWSの資格取得のためのトレーニングが役に⽴つんですか︖ 主⼈公

Slide 132

Slide 132 text

ハッシュタグ：#jawsdays2024 #jawsug #jawsdays2024_a AWSセキュリティ成熟度モデル Level: 1 100% 基礎のレベルまでがんばろう違うんだよ。AWS公式トレーニングはAWSユーザーが⾃分たちの環境でいかにうまくAWSを活⽤するかに主眼があたっているものなんだ。コノハ

Slide 133

Slide 133 text

ハッシュタグ：#jawsdays2024 #jawsug #jawsdays2024_a AWSセキュリティ成熟度モデル Level: 1 100% 基礎のレベルまでがんばろうそうなんですか… でも3⽇間とかあって⻑いですよね︖ 業務時間空けられるかな︖ 主⼈公

Slide 134

Slide 134 text

ハッシュタグ：#jawsdays2024 #jawsug #jawsdays2024_a AWSセキュリティ成熟度モデル Level: 1 100% 基礎のレベルまでがんばろう 1⽇と3⽇のコースがあるけどどれも濃縮率MAXだから業務空けた分の効果は間違いなくあるよ︕ たとえばセキュリティ管理者向けの「Security Engineering on AWS」ではセキュリティの原理原則コノハ

Slide 135

Slide 135 text

ハッシュタグ：#jawsdays2024 #jawsug #jawsdays2024_a AWSセキュリティ成熟度モデル Level: 1 100% 基礎のレベルまでがんばろう (どんだけトレーニング推しなんだ) わかりました。とりあえずトレーニングは受けることにします。Phase2対応他には何をやっていくんですか︖ 主⼈公

Slide 136

Slide 136 text

ハッシュタグ：#jawsdays2024 #jawsug #jawsdays2024_a AWSセキュリティ成熟度モデル Level: 1 100% 基礎のレベルまでがんばろう Control TowerやIdentity Centerなどを使ったマルチアカウントの統制もやっていくよ。後はこれまでやった対策の延⻑線の項⽬も多いよ。コノハ

Slide 137

Slide 137 text

ハッシュタグ：#jawsdays2024 #jawsug #jawsdays2024_a AWSセキュリティ成熟度モデル Level: 1 100% 基礎のレベルまでがんばろう Control Towerって確かAWS Organizationsが必要でしたよね︖うちで使えたかな…︖ 主⼈公

Slide 138

Slide 138 text

ハッシュタグ：#jawsdays2024 #jawsug #jawsdays2024_a AWSセキュリティ成熟度モデル Level: 1 100% 基礎のレベルまでがんばろう必ずしもOrganizationsやControl Towerを使う必要性はないけど、もし使えるなら使ったほうがすごく便利だよ。全体管理はベスプラに乗っかるといいよ。コノハ

Slide 139

Slide 139 text

ハッシュタグ：#jawsdays2024 #jawsug #jawsdays2024_a AWSセキュリティ成熟度モデル Level: 1 100% 基礎のレベルまでがんばろう Control Tower使えるように調整してみますね。進め⽅もわかったので、まずは「Security Engineering on AWS」のトレーニング受講ですね。主⼈公

Slide 140

Slide 140 text

ハッシュタグ：#jawsdays2024 #jawsug #jawsdays2024_a AWSセキュリティ成熟度モデル Level: 1 100% 基礎のレベルまでがんばろう 3⽇間みっちりやっていこう︕ それじゃあ解説、始めるね︕ コノハ

Slide 141

Slide 141 text

ハッシュタグ：#jawsdays2024 #jawsug #jawsdays2024_a AWS公式トレーニングは全⼈類受けたほうが良い︕ いよいよPhase2の対応ですが、ここからはより⾃分たちの環境を考えながら取り組む必要がありますオススメはAWS公式トレーニングの「Security Engineering on AWS」を受講することセキュリティの考え⽅をしっかり学んでから対策に取り組みましょう︕ 基礎のレベルまでがんばろう〜解説パート〜 141

Slide 142

Slide 142 text

ハッシュタグ：#jawsdays2024 #jawsug #jawsdays2024_a AWSセキュリティ成熟度モデルのサイトのスクリーンショット (ただ映す⽤) https://maturitymodel.security .aws.dev/en/2.-foundational/ ここから項⽬を調整し、主要なものを説明します Phase2の内容⼀覧 142

Slide 143

Slide 143 text

ハッシュタグ：#jawsdays2024 #jawsug #jawsdays2024_a l 「組織ポリシーとしてのSCP」「AWS Control Tower によるマルチアカウント管理」は Organizationsを利⽤する必要があるためオプションとする l 「Amazon Macie による機密データの発⾒」は Phase1同様オプションとする l Phase4「Amazon Detective: 根本原因の分析」は簡単に採⽤できるためPhase2とする調整する内容(Phase2) 143

Slide 144

Slide 144 text

ハッシュタグ：#jawsdays2024 #jawsug #jawsdays2024_a Phase2の対応項⽬の抜粋 l Cloud Security のトレーニングプラン l セキュリティおよび規制要件を特定する l ユーザーリポジトリの⼀元管理 l 組織ポリシーとしてのSCP l VPC内の Public/Private ネットワーク分離 l AWS Control Tower によるマルチアカウント管理 l データバックアップ l 開発時にセキュリティチームも参画する l インシデント対応⼿順を作成し、テストする基礎のレベルまでがんばろう〜解説パート〜 144

Slide 145

Slide 145 text

ハッシュタグ：#jawsdays2024 #jawsug #jawsdays2024_a 「トレーニングで⾝につけた知識を社内に広める活動に繋げられました」「特にセキュリティ関連でIAMロールに苦⼿意識があったのですが、体系的に学べたことで IAM全般の知識を深められました」 AWS公式トレーニング事例 145 https://classmethod.jp/cases/xing/

Slide 146

Slide 146 text

ハッシュタグ：#jawsdays2024 #jawsug #jawsdays2024_a l コンテンツのクオリティも⾼いし、成⼈学習の理論に基づいてAWSをよくわかっている⼈が講師する l 実際にAWSを使ったラボで実習できる l 受講者のモチベーションがめちゃくちゃ上がる l 例えばこれから⼊社するメンバーや初めてAWSプロジェクトにジョインするメンバーのセットアップとして「Architecting on AWS」や「AWS Security Essentials」でAWS全般や基礎的なセキュリティを⾝に着けてもらうことが可能 AWS公式トレーニングはいいぞ 146

Slide 147

Slide 147 text

ハッシュタグ：#jawsdays2024 #jawsug #jawsdays2024_a どういう⼈がどの AWSトレーニングを受けたら良いか説明されているオススメしない⼈も説明がありよき https://dev.classmetho d.jp/articles/aws- training-guide2022/ 合わせて読みたい 147

Slide 148

Slide 148 text

ハッシュタグ：#jawsdays2024 #jawsug #jawsdays2024_a 有償のトレーニングもいいが、AWS Skill Builderの無償のEラーニングも、トレーニングプランに組み込みやすくておすすめ l AWS Security Fundamentals (Second Edition) (Japanese) (Na) ⽇本語実写版 2時間コース l https://explore.skillbuilder.aws/learn/course/external/view/elearning/602/ aws-security-fundamentals-second-edition-japanese l AWS Cloud Practitioner Essentials (Japanese) (⽇本語実写版) l https://explore.skillbuilder.aws/learn/course/external/view/elearning/1875 /aws-cloud-practitioner-essentials-japanese-na-ri-ben-yu-shi-xie-ban AWSの学習コンテンツ 148

Slide 149

Slide 149 text

ハッシュタグ：#jawsdays2024 #jawsug #jawsdays2024_a l この項⽬は社内のAWS利⽤者やプロジェクト管理者などに対してAWSセキュリティの前提知識を⾝につけるためのトレーニングメニューを構成する l 扱う技術のセキュリティが全くわからない状態で使い始めるのは危ない l 公式トレーニングや学習コンテンツを活⽤しつつ、社内のルールなどを整備して、すべてのAWS利⽤者に基礎的なIAMの知識だけでもインプットする Cloud Security のトレーニングプラン 149 Phase2 > セキュリティガバナンス > Cloud Security のトレーニングプラン

Slide 150

Slide 150 text

ハッシュタグ：#jawsdays2024 #jawsug #jawsdays2024_a l そもそも⾃分たちのAWS環境が遵守すべきセキュリティの要件があるか確認 l ⾦融系ならFISCとか業界基準や、⾃社のセキュリティポリシーなど l どうやって作ったら良いかわからない場合は、 Security Hubの項⽬に対応していく、くらいのところから始める l 社内のAWS利⽤ガイドラインを整備できると完璧セキュリティおよび規制要件を特定する 150 Phase2 > セキュリティガバナンス > セキュリティおよび規制要件を特定する

Slide 151

Slide 151 text

ハッシュタグ：#jawsdays2024 #jawsug #jawsdays2024_a AWS 利⽤標準化ガイドライン策定のベストプラクティス進め⽅やステップが明確になっている合わせて読みたい 151 1. 標準化ガイドライン 2. アカウント設計 3. ネットワーク設計 4. アイデンティティ管理とアクセス管理 5. 発⾒的統制 6. インフラストラクチャ保護 7. データ保護 8. 監視 9. ログ管理 10.インシデント対応 11.災害対策とバックアップ/リストア 12.インフラプロビジョニング 13.運⽤管理 14.コスト管理 https://aws.amazon.com/jp/blogs/news/standardization-guideline-bestpractice-jp/

Slide 152

Slide 152 text

ハッシュタグ：#jawsdays2024 #jawsug #jawsdays2024_a l Phase2はControl TowerやIdentity Centerなど AWS Organizations関連の項⽬が多い l AWSを利⽤する全体を適切に統制する必要がある l 利⽤できるなら利⽤したほうが良い l 全社利⽤のAWS基盤を作れると完璧 l AWSマルチアカウント管理のホワイトペーパーも参考にどうぞ l https://classmethod.jp/news/wp-ascj-security/ l 利⽤できない場合についても記載あり AWSマルチアカウントの管理 152 Phase2 > インフラ保護 > AWS Control Tower によるマルチアカウント管理など

Slide 153

Slide 153 text

ハッシュタグ：#jawsdays2024 #jawsug #jawsdays2024_a 少し古いけど雰囲気つかめる 2021年末版Control Tower 総まとめ〜これからAWSマルチアカウント管理したい⼈に向けて〜 https://dev.classmethod.jp/articles/a ws-control-tower-allin-2021/ 「AWS Control Towerを利⽤したマルチアカウント管理とセキュリティ統制」JAWS DAYS 2021登壇資料 https://dev.classmethod.jp/articles/j aws-days-2021-control-tower/ 合わせて読みたい 153

Slide 154

Slide 154 text

ハッシュタグ：#jawsdays2024 #jawsug #jawsdays2024_a l Identity Centerを利⽤するのも1つの⼿だが、Okta などサードパーティツールを活⽤するのもよい l IDベースはEntra IDオススメ l ⼤事なのは集約管理する事とRole等でアクセス制御を適切に⾏うこと、ライフサイクルを管理すること l 必要なくなったIDをすぐに無効化するとか l これらを活⽤すると開発者がIAM Userを持つ必要がなく、アクセスキー完全禁⽌ができるので可能なら⽬指したいユーザーリポジトリの⼀元管理 154 Phase2 > アイデンティティとアクセス管理 >ユーザーリポジトリの⼀元管理

Slide 155

Slide 155 text

ハッシュタグ：#jawsdays2024 #jawsug #jawsdays2024_a ⾮ AWS Organizations 環境の AWS アカウントに Entra ID ユーザーでアクセスする https://dev.classmethod.jp/articles/en tra-id-user-access-to-aws-account/ とにかくIDがまとめられていればいろんなやりようがある合わせて読みたい 155

Slide 156

Slide 156 text

ハッシュタグ：#jawsdays2024 #jawsug #jawsdays2024_a まとめ l AWS公式トレーニングなどを駆使してセキュリティ管理者としての技術やマインドセットを⾝に着けたり、社内のベースラインを上げていこう l マルチアカウント管理を適⽤しよう l 単純ではないセキュリティ対策を社内調整しながら頑張って取り組もう基礎のレベルまでがんばろう 156 この後めちゃくちゃ社内環境整備した

Slide 157

Slide 157 text

エピローグ〜未来のセキュリティ対策〜 157

Slide 158

Slide 158 text

ハッシュタグ：#jawsdays2024 #jawsug #jawsdays2024_a エピローグ …1ヶ⽉後…

Slide 159

Slide 159 text

ハッシュタグ：#jawsdays2024 #jawsug #jawsdays2024_a ふぅ…。今⽇から無事新しいAWS基盤がリリースできました︕ AWS利⽤ガイドラインも整備できてバッチリです︕ エピローグ主⼈公

Slide 160

Slide 160 text

ハッシュタグ：#jawsdays2024 #jawsug #jawsdays2024_a ついに完成だね︕ きっとレベル2を達成できてるよ︕ 例の液晶を⾒に⾏こう。エピローグコノハ

Slide 161

Slide 161 text

ハッシュタグ：#jawsdays2024 #jawsug #jawsdays2024_a AWSセキュリティ成熟度モデル Level: 2 100% エピローグ

Slide 162

Slide 162 text

ハッシュタグ：#jawsdays2024 #jawsug #jawsdays2024_a AWSセキュリティ成熟度モデル Level: 2 100% エピローグやった︕レベル2が100%になりました︕ これで脱出できるんですよね︖ 主⼈公

Slide 163

Slide 163 text

ハッシュタグ：#jawsdays2024 #jawsug #jawsdays2024_a AWSセキュリティ成熟度モデル Level: 2 100% エピローグきっともうそろそろお別れだね。でもコノハ、実は君に⾔っていない事がまだあるんだ… コノハ

Slide 164

Slide 164 text

ハッシュタグ：#jawsdays2024 #jawsug #jawsdays2024_a AWSセキュリティ成熟度モデル Level: 2 100% エピローグえ、このタイミングで改まってどうしたんですか︖ まさか… 主⼈公

Slide 165

Slide 165 text

ハッシュタグ：#jawsdays2024 #jawsug #jawsdays2024_a AWSセキュリティ成熟度モデル Level: 2 100% エピローグうん。気づいてたよね。 AWSのセキュリティ対策はこれからが始まりなんだよ常に安全に使えるようにすることが⼤事なんだ︕ コノハ

Slide 166

Slide 166 text

ハッシュタグ：#jawsdays2024 #jawsug #jawsdays2024_a AWSセキュリティ成熟度モデル Level: 2 100% エピローグあそっちでしたか︕︕ でもそれはガイドラインを作っていたときに感じましたみんながちゃんと使えてこそのセキュリティですよね︕ 主⼈公

Slide 167

Slide 167 text

ハッシュタグ：#jawsdays2024 #jawsug #jawsdays2024_a AWSセキュリティ成熟度モデル Level: 2 100% エピローグ君も⾔うようになったね︕ あ、もうお別れみたい。部屋が⽩い光に包まれていくよ… コノハ

Slide 168

Slide 168 text

ハッシュタグ：#jawsdays2024 #jawsug #jawsdays2024_a AWSセキュリティ成熟度モデル Level: 2 100% エピローグ本当だ︕ 僕、まだコノハさんに⾔ってないことが… あ… 主⼈公

Slide 169

Slide 169 text

ハッシュタグ：#jawsdays2024 #jawsug #jawsdays2024_a エピローグ

Slide 170

Slide 170 text

ハッシュタグ：#jawsdays2024 #jawsug #jawsdays2024_a エピローグ気がつくと僕は脱出できていたあの部屋での出来事は夢かとも思ったけど、実際に AWS環境はセキュアになっていたそして僕の⼼には確かに、コノハさんからもらった AWSセキュリティに対する熱が残っていたこれから忙しくなるぞ… 僕はよりたくさんの⼈を巻き込んでAWSセキュリティを強化していくんだ︕

Slide 171

Slide 171 text

AWSセンセーション私とみんなが作ったAWSセキュリティ ~Fin~

Slide 172

Slide 172 text

ハッシュタグ：#jawsdays2024 #jawsug #jawsdays2024_a 宣伝1 勉強会始めます 172 Security-JAWSでは定常的なAWSセキュリティ学習の場としてmini Security-JAWSを始めますだいたい隔週⼟曜⽇10-12時開催初回は3/9(⼟) 詳細はSecurity-JAWSのDoorkeeperへ https://bit.ly/minisecjaws01

Slide 173

Slide 173 text

ハッシュタグ：#jawsdays2024 #jawsug #jawsdays2024_a 宣伝2 173

Slide 174

Slide 174 text

ハッシュタグ：#jawsdays2024 #jawsug #jawsdays2024_a 僕と⼀緒にクラスメソッドでAWSセキュリティを3,000社のお客様に展開する仕事をしませんか︖ オープンな発想と⾼い技術⼒により、すべての⼈々の創造活動に貢献し続ける採⽤サイト: https://careers.classmethod.jp/ 宣伝3 174 インシデント⾃動調査機能など多数のお客様に使っていただくセキュリティサービスの開発業務 AWSセキュリティ強化プログラムなどお客様個別の事由に寄り添い伴⾛するコンサルティング業務

Slide 175

Slide 175 text

ハッシュタグ：#jawsdays2024 #jawsug #jawsdays2024_a 本日はご参加いただきありがとうございました。アンケートのご記入をお願いします。アンケートご記入のお願い 175

Slide 176

Slide 176 text

ハッシュタグ：#jawsdays2024 #jawsug #jawsdays2024_a l なにもない部屋-真っ⽩な部屋03【フリー素材あそび】 l https://commons.nicovideo.jp/works/nc203754 l ⿊板にもなるTVの液晶画⾯ l https://commons.nicovideo.jp/works/nc297495 l クッキー☆⾵窓枠外側枠付き l https://commons.nicovideo.jp/works/nc40255 l ⻘空 l https://commons.nicovideo.jp/works/nc150573 使⽤素材・参考リンク 176