Slide 1

Slide 1 text

JAWS DAYS 2024 ハッシュタグ:#jawsdays2024 #jawsug #jawsdays2024_a JAWS DAYS 2024 ~私とみんなが作ったAWSセキュリティ~ 臼田佳祐 A-11 [P] AWSセンセーション

Slide 2

Slide 2 text

ハッシュタグ:#jawsdays2024 #jawsug #jawsdays2024_a ピポッ 起動中… 電源ボタン、ポチッ 2 ファミ通.comより引用 https://www.famitsu.com/images/000/321/283/65322f052b005.html

Slide 3

Slide 3 text

私とみんなが作ったAWSセキュリティ

Slide 4

Slide 4 text

ハッシュタグ:#jawsdays2024 #jawsug #jawsdays2024_a ⾅⽥佳祐(うすだけいすけ) ・クラスメソッド株式会社 / AWS事業本部 シニアソリューションアーキテクト セキュリティチームリーダー 2021 APN Ambassador 2023 APN AWS Top Engineers (Security) AWS Security Hero (2023~) ・CISSP ・Security-JAWS運営 ・好きなサービス: Amazon GuardDuty AWS Security Hub Amazon Detective ⾃⼰紹介 4 みんなのAWS (技術評論社) Amazon GuardDuty AWS Security Hub Amazon Detective

Slide 5

Slide 5 text

ハッシュタグ:#jawsdays2024 #jawsug #jawsdays2024_a 主⼈公は何故か前髪で⽬が隠れているどこにでもいる 普通のソリューションアーキテクト。 ある⽇、ひょんなことからAWSのセキュリティ対策が きっちりできていないと脱出できない部屋に謎のドッ ト絵美少⼥コノハと⼀緒に閉じ込められてしまう。 「こんなAWSセキュリティのセの字もわからないよう なAWSアカウント所持者と⼀緒だなんて、どん底のぞ こだ〜︕」と⾔われたことをきっかけに、主⼈公は AWSセキュリティのレベルアップに取り組む。 ジャンルは「謎のドット絵美少⼥とお仕事ADV」 あらすじ 5

Slide 6

Slide 6 text

ハッシュタグ:#jawsdays2024 #jawsug #jawsdays2024_a あ〜〜、ちょっと惹かないでください︕ 真⾯⽬なセッションなんです。信じてください︕ 会話パートと解説パートに分かれていて、こんな感じ に真⾯⽬な解説があります︕ あらすじ補⾜ 6

Slide 7

Slide 7 text

ハッシュタグ:#jawsdays2024 #jawsug #jawsdays2024_a l AWSセキュリティの「セ」の字もわからない⼈ l AWSの全体管理をする⼈ l すべてのAWSセキュリティに関わる⼈ = すべてのAWSユーザー 初⼼者から上級者まで聴いて下さい やさしく説明します︕ セッションの対象者 7

Slide 8

Slide 8 text

ハッシュタグ:#jawsdays2024 #jawsug #jawsdays2024_a コノハ 謎のドット絵美少⼥SA AWSセキュリティに詳しい よく早⼝で喋る 登場⼈物 8 主⼈公 ⾮IT企業Alcohol Project に新卒⼊社2年⽬のSA 前髪で⽬が隠れている セキュリティは初⼼者 ※実在の⼈物や団体などとは関係ありません。

Slide 9

Slide 9 text

ハッシュタグ:#jawsdays2024 #jawsug #jawsdays2024_a このセッションではAWSセキュリティを段階的に強化 していくために参考になる「AWSセキュリティ成熟度 モデル」を利⽤して、9カテゴリ4段階あるAWSのセキ ュリティレベルを上げていくための具体的な⼿法につ いて紹介する⾄って真⾯⽬な内容です。 「それじゃあ、始めるね」 あらすじ補⾜の補⾜ 9

Slide 10

Slide 10 text

ハッシュタグ:#jawsdays2024 #jawsug #jawsdays2024_a l プロローグ〜セキュリティ対策の進め⽅〜 l 第1章: IAMとSecurity HubとGuardDutyと l 第2章: 成熟度モデルで素早く強化しよう l 第3章: 基礎のレベルまでがんばろう l エピローグ〜未来のセキュリティ対策〜 アジェンダ 10

Slide 11

Slide 11 text

プロローグ 〜セキュリティ対策の進め⽅〜 11

Slide 12

Slide 12 text

ハッシュタグ:#jawsdays2024 #jawsug #jawsdays2024_a プロローグ 気がつくと僕は⾒知らぬ場所にいた 壁から天井まで⽩で埋め尽くされた何も無い部屋に 無⾻な液晶ディスプレイが1つだけある 出⼝はなく、閉じ込められているようだ 僕の他に1⼈、知らない美少⼥が倒れている どうやらソリューションアーキテクトのようだ

Slide 13

Slide 13 text

ハッシュタグ:#jawsdays2024 #jawsug #jawsdays2024_a プロローグ

Slide 14

Slide 14 text

ハッシュタグ:#jawsdays2024 #jawsug #jawsdays2024_a う〜ん、ここはいったい… どうしてコノハはこんなところにいるんだっけ︖ プロローグ コノハ

Slide 15

Slide 15 text

ハッシュタグ:#jawsdays2024 #jawsug #jawsdays2024_a ⽬が覚めましたか︖ どうやら僕たちは閉じ込められたようです プロローグ 主⼈公

Slide 16

Slide 16 text

ハッシュタグ:#jawsdays2024 #jawsug #jawsdays2024_a はっ︕この部屋は︕︖ もしかして〇〇しないと出られない部屋では︕︖ プロローグ コノハ

Slide 17

Slide 17 text

ハッシュタグ:#jawsdays2024 #jawsug #jawsdays2024_a 〇〇しないと出られない部屋︖ なんですかそれ︖ プロローグ 主⼈公

Slide 18

Slide 18 text

ハッシュタグ:#jawsdays2024 #jawsug #jawsdays2024_a 知らないんですか︕︖ 何かの条件を満たさないと脱出できない部屋ですよ︕ 初⾒で⼀発でわかりましたよコノハは︕ プロローグ コノハ

Slide 19

Slide 19 text

ハッシュタグ:#jawsdays2024 #jawsug #jawsdays2024_a ふ、ふ〜ん、そうなんですね。 (うるさい⼈だなぁ) プロローグ 主⼈公

Slide 20

Slide 20 text

ハッシュタグ:#jawsdays2024 #jawsug #jawsdays2024_a ほら、壁に液晶がかかっているじゃないですか きっとあそこに条件が出てくるはずです︕ ⾒てみましょう︕ プロローグ コノハ

Slide 21

Slide 21 text

ハッシュタグ:#jawsdays2024 #jawsug #jawsdays2024_a …よくわからないけど、とりあえずわかりました プロローグ 主⼈公

Slide 22

Slide 22 text

ハッシュタグ:#jawsdays2024 #jawsug #jawsdays2024_a AWSセキュリティ成熟度モデル Level: 0 プロローグ

Slide 23

Slide 23 text

ハッシュタグ:#jawsdays2024 #jawsug #jawsdays2024_a AWSセキュリティ成熟度モデル Level: 0 プロローグ こ、これは︕︖ AWSのセキュリティ対策がきっちりできていないと 脱出できない部屋だぁああああ︕︕︕ コノハ

Slide 24

Slide 24 text

ハッシュタグ:#jawsdays2024 #jawsug #jawsdays2024_a AWSセキュリティ成熟度モデル Level: 0 プロローグ AWSのセキュリティ対策がきっちりできていないと 脱出できない部屋︕︖ いったいどんなご都合主義なんだ︕︖ 主⼈公

Slide 25

Slide 25 text

ハッシュタグ:#jawsdays2024 #jawsug #jawsdays2024_a AWSセキュリティ成熟度モデル Level: 0 プロローグ でもでも、コノハのAWS環境は完璧なはず… もしかして、君のAWS環境がターゲットなのでは︕︖ コノハ

Slide 26

Slide 26 text

ハッシュタグ:#jawsdays2024 #jawsug #jawsdays2024_a AWSセキュリティ成熟度モデル Level: 0 プロローグ うぅ…、確かに僕の管理している会社のAWS環境は あんまりセキュリティ対策きっちりできてないかも でも事故は起きたことないですよ︖ 主⼈公

Slide 27

Slide 27 text

ハッシュタグ:#jawsdays2024 #jawsug #jawsdays2024_a AWSセキュリティ成熟度モデル Level: 0 プロローグ こうみえても、コノハはAWSセキュリティにはちょっ と⾃信あるんだ︕ 君にAWSセキュリティ強化のレクチャーをするよ︕ コノハ

Slide 28

Slide 28 text

ハッシュタグ:#jawsdays2024 #jawsug #jawsdays2024_a AWSセキュリティ成熟度モデル Level: 0 プロローグ よろしくお願いします。 でもセキュリティ対策って⼤変そうですね。 何から始めたらいいですか︖ 主⼈公

Slide 29

Slide 29 text

ハッシュタグ:#jawsdays2024 #jawsug #jawsdays2024_a AWSセキュリティ成熟度モデル Level: 0 プロローグ じつはAWSのセキュリティ対策は、簡単で効率いいや り⽅があるんだ。 それじゃあ、解説始めるね︕ コノハ

Slide 30

Slide 30 text

ハッシュタグ:#jawsdays2024 #jawsug #jawsdays2024_a AWSのセキュリティ対策 皆さんちゃんとできてますか︖ ここでは、まずAWSセキュリティ対策に臨むための考 え⽅から始めていきます。 プロローグ〜解説パート〜 30

Slide 31

Slide 31 text

ハッシュタグ:#jawsdays2024 #jawsug #jawsdays2024_a 皆さんのAWS環境では どんなセキュリティ対策が できていますか︖ 質問 31

Slide 32

Slide 32 text

ハッシュタグ:#jawsdays2024 #jawsug #jawsdays2024_a l 「CloudTrail / Config設定してます」 l 「GuardDuty / Security Hub有効化してます」 l 「S3公開してません」 l 「IAM最⼩権限を意識してます(できてない)」 l 「アラート受け取って運⽤してます」 やっていることの説明はできるが どれくらいできているかを表現するのは難しい セキュリティ対策の例 32

Slide 33

Slide 33 text

ハッシュタグ:#jawsdays2024 #jawsug #jawsdays2024_a AWSのセキュリティ対策で参考にするのは AWS Well-Architectedフレームワーク これは⾮常に良い AWSの⻑年蓄積されているベストプラクティス集 6つの柱のうちの1つがセキュリティの柱 しかしこれも以下は苦⼿ l なにからやるかの優先順位付け l どこまでできてるか達成度の評価 AWSセキュリティの参考⽂献 33

Slide 34

Slide 34 text

ハッシュタグ:#jawsdays2024 #jawsug #jawsdays2024_a W-Aの勉強会をする時 に参考になる進め⽅ ディスカッションのや り⽅とか勘所を紹介し ています ちょっと古いけどみん なもマネしてね https://dev.classmethod.jp/arti cles/how-to-study-new-w-a/ 合わせて読みたい 34

Slide 35

Slide 35 text

ハッシュタグ:#jawsdays2024 #jawsug #jawsdays2024_a そんなときに使うのがこれ 35 すぐ強化する ポイント

Slide 36

Slide 36 text

ハッシュタグ:#jawsdays2024 #jawsug #jawsdays2024_a 「AWSセキュリテ ィ成熟度モデル」 によってこのグラ フを作れる AWSセキュリティ 対策の現在地を確 認できる https://dev.classmethod.j p/articles/intro-aws- security-maturity-model/ 合わせて読みたい 36

Slide 37

Slide 37 text

ハッシュタグ:#jawsdays2024 #jawsug #jawsdays2024_a というわけで AWSセキュリティ成熟度モデルを活⽤しよう︕ でもその前に、 初⼼者向けにもうちょっと 最初からやっていきます AWSセキュリティ対策の進め⽅ 37

Slide 38

Slide 38 text

第1章 IAMと Security Hubと GuardDutyと 38

Slide 39

Slide 39 text

ハッシュタグ:#jawsdays2024 #jawsug #jawsdays2024_a AWSセキュリティ成熟度モデル Level: 0 IAMとSecurity HubとGuardDutyと

Slide 40

Slide 40 text

ハッシュタグ:#jawsdays2024 #jawsug #jawsdays2024_a AWSセキュリティ成熟度モデル Level: 0 IAMとSecurity HubとGuardDutyと それじゃあ君のAWS環境のセキュリティを強化してい こう︕ まずはその環境を⾒せてよ︕ コノハ

Slide 41

Slide 41 text

ハッシュタグ:#jawsdays2024 #jawsug #jawsdays2024_a AWSセキュリティ成熟度モデル Level: 0 IAMとSecurity HubとGuardDutyと わかりました。 なぜかここにおいてあるPCでAWSマネジメントコンソ ールにアクセスできそうですね。ログインします。 主⼈公

Slide 42

Slide 42 text

ハッシュタグ:#jawsdays2024 #jawsug #jawsdays2024_a AWSへログイン

Slide 43

Slide 43 text

ハッシュタグ:#jawsdays2024 #jawsug #jawsdays2024_a AWSへログイン

Slide 44

Slide 44 text

ハッシュタグ:#jawsdays2024 #jawsug #jawsdays2024_a AWSへログイン

Slide 45

Slide 45 text

ハッシュタグ:#jawsdays2024 #jawsug #jawsdays2024_a AWSへログイン ログインできました︕ 主⼈公

Slide 46

Slide 46 text

ハッシュタグ:#jawsdays2024 #jawsug #jawsdays2024_a AWSへログイン ログインできましたじゃねええええええええ︕︖ うええええええええええええええ いつの時代の⼈間なの君いいいいいいい︕︖ コノハ

Slide 47

Slide 47 text

ハッシュタグ:#jawsdays2024 #jawsug #jawsdays2024_a AWSへログイン あ、やっぱりルートユーザーって使ったらだめですか︖ 主⼈公

Slide 48

Slide 48 text

ハッシュタグ:#jawsdays2024 #jawsug #jawsdays2024_a AWSへログイン それもそうだけど、今パスワードのあとMFAも 無かったよね︕︖ コノハ

Slide 49

Slide 49 text

ハッシュタグ:#jawsdays2024 #jawsug #jawsdays2024_a AWSへログイン えむえふえー︖ 僕のデータにないぞ︕︖ 主⼈公

Slide 50

Slide 50 text

ハッシュタグ:#jawsdays2024 #jawsug #jawsdays2024_a AWSの構成 うぅ…こんなAWSセキュリティのセの字もわからない ようなAWSアカウント所持者と⼀緒だなんて、どん底 のぞこだ〜︕ コノハ

Slide 51

Slide 51 text

ハッシュタグ:#jawsdays2024 #jawsug #jawsdays2024_a AWSへログイン むぅ…。そこまで⾔うなら、 なんでも…ではないですけど、⽐較的なんでもやります ので、よろしくお願いします︕ 主⼈公

Slide 52

Slide 52 text

ハッシュタグ:#jawsdays2024 #jawsug #jawsdays2024_a AWSの構成 わかったよ…。 とりあえず、環境の確認するから、Security Hub開い てくれる︖あと構成図も開いて。 コノハ

Slide 53

Slide 53 text

ハッシュタグ:#jawsdays2024 #jawsug #jawsdays2024_a AWSの構成 あ、Security Hubっていうのは使ってないです 構成図は出しますね… 主⼈公

Slide 54

Slide 54 text

ハッシュタグ:#jawsdays2024 #jawsug #jawsdays2024_a AWSの構成 うぇっ︕︖ これはAWSセキュリティ成熟度モデルの具体的な話は 後回しだなぁ… コノハ

Slide 55

Slide 55 text

ハッシュタグ:#jawsdays2024 #jawsug #jawsdays2024_a AWSの構成 …︖ とりあえず構成図はこれです。 主⼈公

Slide 56

Slide 56 text

ハッシュタグ:#jawsdays2024 #jawsug #jawsdays2024_a AWSの構成

Slide 57

Slide 57 text

ハッシュタグ:#jawsdays2024 #jawsug #jawsdays2024_a AWSの構成 お、構成図上では悪くなさそうですね。 ちょっと安⼼したよ。 コノハ

Slide 58

Slide 58 text

ハッシュタグ:#jawsdays2024 #jawsug #jawsdays2024_a AWSの構成 あれ︖ てっきり怒られるかと思ってました。 EC2を冗⻑化とかしてないですし。 主⼈公

Slide 59

Slide 59 text

ハッシュタグ:#jawsdays2024 #jawsug #jawsdays2024_a AWSの構成 コーポレートのEC2なら少 しダウンタイムがあるくら い許容できるし悪くないよ。 コノハ

Slide 60

Slide 60 text

ハッシュタグ:#jawsdays2024 #jawsug #jawsdays2024_a AWSの構成 コスト最適化の観点でも、 ⼗分ベターだね。コストを 守るのもセキュリティ︕ コノハ

Slide 61

Slide 61 text

ハッシュタグ:#jawsdays2024 #jawsug #jawsdays2024_a AWSの構成 でもWordPressを使って いるのは気になるね。 あとで要チェック︕ コノハ

Slide 62

Slide 62 text

ハッシュタグ:#jawsdays2024 #jawsug #jawsdays2024_a AWSの構成 サーバレスも構成上は鉄板 のものだし、Cognitoも使 えてて悪くないよ。 コノハ

Slide 63

Slide 63 text

ハッシュタグ:#jawsdays2024 #jawsug #jawsdays2024_a AWSの構成 ただCloudFrontが無いのは ちょっと不安かなぁ。 コノハ

Slide 64

Slide 64 text

ハッシュタグ:#jawsdays2024 #jawsug #jawsdays2024_a AWSの構成 構成図でわかるところはこれぐらいかな。 それじゃあいよいよSecurity Hubと、GuardDutyと IAM Access Analyzerも有効化して⾒てみよう︕ コノハ

Slide 65

Slide 65 text

ハッシュタグ:#jawsdays2024 #jawsug #jawsdays2024_a AWSの構成 わかりました。有効化します︕ これポチッとやるだけで有効化できるんですね。 そうと分かってたらもっと早くやったのに。 主⼈公

Slide 66

Slide 66 text

ハッシュタグ:#jawsdays2024 #jawsug #jawsdays2024_a AWSの構成 フッフッフ…。 AWSのマネージドなセキュリティサービスは簡単に使 えてすごく便利なんですよ︕でも本番はこれから… コノハ

Slide 67

Slide 67 text

ハッシュタグ:#jawsdays2024 #jawsug #jawsdays2024_a AWSの構成 うわっ︕なんかいっぱい出てきた︕ これはどうすれば良いんですか︕︖ 主⼈公

Slide 68

Slide 68 text

ハッシュタグ:#jawsdays2024 #jawsug #jawsdays2024_a AWSの構成 よし、これで最初のAWSセキュリティ強化を始める準 備ができたよ。 それじゃあ、解説始めるね︕ コノハ

Slide 69

Slide 69 text

ハッシュタグ:#jawsdays2024 #jawsug #jawsdays2024_a GuardDutyとSecurity Hub ちゃんと使ってますか︖ あとIAMも ここでは、最初にやっていくべきコスパとタイパの⾼ いAWSセキュリティ対策を扱っていきます。 すべてのAWS環境で必ずやりましょう︕ IAMとSecurity HubとGuardDutyと 〜解説パート〜 69

Slide 70

Slide 70 text

ハッシュタグ:#jawsdays2024 #jawsug #jawsdays2024_a この解説ではAWS環境で必ず実施する 以下の3点のセキュリティ対策について解説します。 これらを押さえたあと、次章でAWSセキュリティ成熟 度モデルについて詳しく⾒ていきます。 IAMとSecurity HubとGuardDutyと 〜解説パート〜 70 IAM Security Hub GuardDuty

Slide 71

Slide 71 text

ハッシュタグ:#jawsdays2024 #jawsug #jawsdays2024_a AWSのセキュリティはIAMに始まりIAMに終わると⾔ っても過⾔ではありません。 そもそもITシステムのアクセス制御は基本的で必須の 機能であり、正しく使わなければいけません。 アクセス制御がゆるい環境は機密性を損ねます︕ まずはAWSのIAMベストプラクティスを押さえましょ う。 まずIAMの強化 71

Slide 72

Slide 72 text

ハッシュタグ:#jawsdays2024 #jawsug #jawsdays2024_a ユーザーガイドのベストプラクティス 72

Slide 73

Slide 73 text

ハッシュタグ:#jawsdays2024 #jawsug #jawsdays2024_a l 必ずMFA(多要素認証)を設定する l アクセスキーを極⼒利⽤しない l IAM Roleを活⽤し⼀時的な認証情報を使⽤する l IAMリソースを定期的に棚卸しする l IAM Access Analyzerで不要な公開を検出する l 最⼩権限の原則を意識する まずはMFAの設定とIAM Access Analyzerの有効化とチェッ クはすぐにできるのでやろう︕ ついでに棚卸しできるはず。 https://docs.aws.amazon.com/ja_jp/IAM/latest/UserGuide/best-practices.html IAMベストプラクティス抜粋要約 73

Slide 74

Slide 74 text

ハッシュタグ:#jawsdays2024 #jawsug #jawsdays2024_a 外部公開やクロ スアカウントア クセスしている S3やIAMなどを ⼀覧で表⽰して くれる IAM Access Analyzerの使い⽅ 74 IAM Access Analyzer

Slide 75

Slide 75 text

ハッシュタグ:#jawsdays2024 #jawsug #jawsdays2024_a 意図した設定で あるか棚卸しす ることができる IAM Access Analyzerの使い⽅ 75 これ公開しちゃいけないやつ 間違えて公開してますね OK or NG

Slide 76

Slide 76 text

ハッシュタグ:#jawsdays2024 #jawsug #jawsdays2024_a 様々なAWSリソースで 危険な設定が無いかセ キュリティチェックす るサービス 100%を維持できるのが 理想 Security Hubの使い⽅ 76 Security Hub

Slide 77

Slide 77 text

ハッシュタグ:#jawsdays2024 #jawsug #jawsdays2024_a SSHポートを 0.0.0.0/0で公開 しているセキュリ ティグループが⾒ つかったりします Security Hubの使い⽅ 77 WordPressのEC2で SSH開放しちゃってますね

Slide 78

Slide 78 text

ハッシュタグ:#jawsdays2024 #jawsug #jawsdays2024_a Security Hubの解説 とどんな⾵に運⽤し たらいいかをまとめ ています https://dev.classmethod.jp/ articles/aws-security- operation-with-securityhub- 2021/ 合わせて読みたい 78

Slide 79

Slide 79 text

ハッシュタグ:#jawsdays2024 #jawsug #jawsdays2024_a AWS上で実際に発⽣ している脅威を検出 する コインマイニングや IAMの不正操作、S3 のデータ漏洩など幅 広くカバーしている GuardDutyの使い⽅ 79 GuardDuty

Slide 80

Slide 80 text

ハッシュタグ:#jawsdays2024 #jawsug #jawsdays2024_a EC2でコインマイニング されていると CryptoCurrency:EC2/ BitcoinTool.B!DNS というタイプで検出され る ファイルパスも判明する GuardDutyの使い⽅ 80 WordPressのEC2が 乗っ取られていますね

Slide 81

Slide 81 text

ハッシュタグ:#jawsdays2024 #jawsug #jawsdays2024_a GuardDutyの解説と どんな⾵に運⽤した らいいかをまとめて います https://dev.classmethod.jp/articles/ aws-security-operation-with- guardduty-2021/ 合わせて読みたい 81

Slide 82

Slide 82 text

ハッシュタグ:#jawsdays2024 #jawsug #jawsdays2024_a まとめ l AWSの各種セキュリティサービスを有効化するだけ でセキュリティの課題は簡単に⾒つけられる l ⾒つかったものを是正していくことで学習しながら セキュリティを強化できる l まずはIAMを強化し、IAM Access Analyzerと Security HubとGuardDutyを使おう IAMとSecurity HubとGuardDutyと 82 このあとむちゃくちゃ修正しました

Slide 83

Slide 83 text

第2章 成熟度モデルで素早く強化しよう 83

Slide 84

Slide 84 text

ハッシュタグ:#jawsdays2024 #jawsug #jawsdays2024_a 成熟度モデルで素早く強化しよう

Slide 85

Slide 85 text

ハッシュタグ:#jawsdays2024 #jawsug #jawsdays2024_a よしっ︕ Security Hubの重要度の⾼い項⽬は解決したし、 だいぶAWSセキュリティの強化ができたと思います。 成熟度モデルで素早く強化しよう 主⼈公

Slide 86

Slide 86 text

ハッシュタグ:#jawsdays2024 #jawsug #jawsdays2024_a そうだね︕ じゃあそろそろ本格的にAWSセキュリティ成熟度モデ ルを活⽤していこうか︕まず例の液晶を⾒に⾏こう。 成熟度モデルで素早く強化しよう コノハ

Slide 87

Slide 87 text

ハッシュタグ:#jawsdays2024 #jawsug #jawsdays2024_a AWSセキュリティ成熟度モデル Level: 1 50% 成熟度モデルで素早く強化しよう

Slide 88

Slide 88 text

ハッシュタグ:#jawsdays2024 #jawsug #jawsdays2024_a AWSセキュリティ成熟度モデル Level: 1 50% 成熟度モデルで素早く強化しよう あ、レベルが変わっています︕ これってちゃんとセキュリティ対策できているってこと ですね︕︖ 主⼈公

Slide 89

Slide 89 text

ハッシュタグ:#jawsdays2024 #jawsug #jawsdays2024_a AWSセキュリティ成熟度モデル Level: 1 50% 成熟度モデルで素早く強化しよう しかもAWSセキュリティ成熟度モデルに沿って対策で きているってことだね。 コノハ

Slide 90

Slide 90 text

ハッシュタグ:#jawsdays2024 #jawsug #jawsdays2024_a AWSセキュリティ成熟度モデル Level: 1 50% 成熟度モデルで素早く強化しよう ではそろそろ、この「AWSセキュリティ成熟度モデ ル」について教えてもらえますか︖ 主⼈公

Slide 91

Slide 91 text

ハッシュタグ:#jawsdays2024 #jawsug #jawsdays2024_a AWSセキュリティ成熟度モデル Level: 1 50% 成熟度モデルで素早く強化しよう そうだね。 「AWSセキュリティ成熟度モデル」とは何か︖ っていうところから始めよう︕このグラフを⾒て。 コノハ

Slide 92

Slide 92 text

ハッシュタグ:#jawsdays2024 #jawsug #jawsdays2024_a AWSセキュリティ成熟度モデルとは 92

Slide 93

Slide 93 text

ハッシュタグ:#jawsdays2024 #jawsug #jawsdays2024_a AWSセキュリティ成熟度モデルとは 93 こんな感じでAWSセキュリティの9つのジャンルに対 して4段階のレベルで評価できるのがAWSセキュリテ ィ成熟度モデルだよ。 コノハ

Slide 94

Slide 94 text

ハッシュタグ:#jawsdays2024 #jawsug #jawsdays2024_a AWSセキュリティ成熟度モデルとは 94 おー。パッと⾒よさそうなグラフですね。 主⼈公

Slide 95

Slide 95 text

ハッシュタグ:#jawsdays2024 #jawsug #jawsdays2024_a AWSセキュリティ成熟度モデルとは 95 実はさっきまでやっていたIAMの強化は「アイデンテ ィティとアクセス管理」のPhase1に当たるんだ。 「セキュリティ保証」や「脅威検出」も対応済みだよ。 コノハ

Slide 96

Slide 96 text

ハッシュタグ:#jawsdays2024 #jawsug #jawsdays2024_a AWSセキュリティ成熟度モデルとは 96 さっきまでやっていたのはAWSセキュリティ成熟度モ デルのPhase1に含まれる内容だったんですね。 他のPhase1もやっていけばいいですか︖ 主⼈公

Slide 97

Slide 97 text

ハッシュタグ:#jawsdays2024 #jawsug #jawsdays2024_a AWSセキュリティ成熟度モデルとは 97 そうだね。このPhase1はQuickWinsという段階で、 とにかく素早くできて効果の⾼いものばかりだよ。 速攻で終わらせちゃおう︕ コノハ

Slide 98

Slide 98 text

ハッシュタグ:#jawsdays2024 #jawsug #jawsdays2024_a AWSセキュリティ成熟度モデルとは 98 やっていきます︕ 実施した内容をこのグラフみたいに出⼒することはでき るんですか︖ 主⼈公

Slide 99

Slide 99 text

ハッシュタグ:#jawsdays2024 #jawsug #jawsdays2024_a AWSセキュリティ成熟度モデルとは 99 いい質問だね。 AWSセキュリティ成熟度モデルのサイトには公式のエ クセルが⽤意されていて、アセスメントに利⽤できるよ。 コノハ

Slide 100

Slide 100 text

ハッシュタグ:#jawsdays2024 #jawsug #jawsdays2024_a AWSセキュリティ成熟度モデルとは 100 なるほど、じゃあそのエクセルにまとめていけばいいん ですね。 主⼈公

Slide 101

Slide 101 text

ハッシュタグ:#jawsdays2024 #jawsug #jawsdays2024_a AWSセキュリティ成熟度モデルとは 101 英語のエクセルだから翻訳したほうがいいのと、このグ ラフみたいによりきれいなアウトプットがほしいときに は作り込む必要があるよ。今⽇は私のシートを使ってね。 コノハ

Slide 102

Slide 102 text

ハッシュタグ:#jawsdays2024 #jawsug #jawsdays2024_a AWSセキュリティ成熟度モデルとは 102 シートの準備もできたし、Phase1を全部対応していき ます︕ 主⼈公

Slide 103

Slide 103 text

ハッシュタグ:#jawsdays2024 #jawsug #jawsdays2024_a 成熟度モデルを理解して 使いこなしましょう ここでは、AWSセキュリティ成熟度モデルについて理 解して、すぐにできるPhase1の対応から始めましょう 成熟度モデルで素早く強化しよう 〜解説パート〜 103

Slide 104

Slide 104 text

ハッシュタグ:#jawsdays2024 #jawsug #jawsdays2024_a AWSから提供されている (AWS Security Maturity Model) 9つのセキュリティカテゴリ と4段階のフェーズに区切っ てセキュリティ対策をマッピ ングしたフレームワーク https://maturitymodel.sec urity.aws.dev/en/model/ AWSセキュリティ成熟度モデルとは 104

Slide 105

Slide 105 text

ハッシュタグ:#jawsdays2024 #jawsug #jawsdays2024_a AWS クラウド導⼊フレームワーク(CAF)セキュリティ: https://docs.aws.amazon.com/ja_jp/whitepapers/latest/overview-aws-cloud- adoption-framework/security-perspective.html CAF9つのセキュリティカテゴリ 105 セキュリティ ガバナンス セキュリティ保証 アイデンティティと アクセス管理 脅威検出 脆弱性管理 インフラ保護 データ保護 アプリケーション セキュリティ インシデント対応

Slide 106

Slide 106 text

ハッシュタグ:#jawsdays2024 #jawsug #jawsdays2024_a 4段階のフェーズ 106 Phase1: クイック ウィン Phase2: 基礎 Phase3: 効率化 Phase4: 最適化 Phase2: 基礎のレベルまでできていれば ⼀通り最低限はできているとしてOK(⾅⽥の感覚) Phase1: クイックウィンは⽂字通りすぐに実施できる 設定やサービスの有効化がメイン まずはこれをすぐ完了させましょう

Slide 107

Slide 107 text

ハッシュタグ:#jawsdays2024 #jawsug #jawsdays2024_a l マトリクス表で俯瞰して確認しやすい l AWSに最適化されている l Phase1はクラウドらしくすぐできる効果の⾼いもの l 幅広いセキュリティのカテゴリを扱っている l セキュリティガバナンス・IAM・アプリケーションも l 4段階と現実的に使いやすい l アセスメント⽤のExcelなどが公開されている このモデルのいいところ 107

Slide 108

Slide 108 text

ハッシュタグ:#jawsdays2024 #jawsug #jawsdays2024_a https://maturitymodel.security.aws.dev/en/assessment-tools/ アセスメント⽤Excel⼊⼿⽅法 108 クリックして ダウンロード

Slide 109

Slide 109 text

ハッシュタグ:#jawsdays2024 #jawsug #jawsdays2024_a AWSセキュリティ成熟度 モデルのサイトのスクリ ーンショット(ただ映す⽤) https://maturitymodel.securit y.aws.dev/en/1.-quickwins/ ここから項⽬を調整し、 主要なものを説明します Phase1の内容⼀覧 109

Slide 110

Slide 110 text

ハッシュタグ:#jawsdays2024 #jawsug #jawsdays2024_a AWSセキュリティ成熟度モデルの対応項⽬は場合によ り取捨選択してもいい おすすめの調整内容 l Phase1脆弱性管理にInspectorの有効化を追加 l Phase1セキュリティガバナンスの利⽤しないリージ ョンを無効化するはできない場合も多いのでオプシ ョンとする l Phase1データ保護のAmazon Macieは費⽤と運⽤⾯ の難易度が⾼いのでオプションとする 調整する内容(Phase1) 110

Slide 111

Slide 111 text

ハッシュタグ:#jawsdays2024 #jawsug #jawsdays2024_a Phase1の対応内容 l セキュリティ連絡先の割り当て l Trusted Advisorの項⽬を修正する l 課⾦アラームの設定 l Amazon Inspectorの有効化 l セキュリティグループの制限 l S3のブロックパブリックアクセス l WAFの導⼊ いくつか抜粋して解説 対応していく内容 111

Slide 112

Slide 112 text

ハッシュタグ:#jawsdays2024 #jawsug #jawsdays2024_a l WAFとWordPress⽤のマネー ジドルールを適⽤する l Inspectorを有効化しEC2上の 脆弱性を検出 l Session Manager経由で管理 アクセスしSSHのSGを閉じる コーポレートページ強化例 112

Slide 113

Slide 113 text

ハッシュタグ:#jawsdays2024 #jawsug #jawsdays2024_a Phase1ではAWS WAFのマネージドルールのみが適⽤ 対象 ルールはユーザーガイドを読めば⾃環境に適⽤すべき か判断できる l Windows⽤/Linux⽤ l PHP⽤/WordPress⽤ コアルールセットは とりあえず使う https://docs.aws.amazon.com/ja_jp/waf/latest/developerguide/aws-managed-rule-groups-list.html WAFのルール適⽤の考え⽅ 113 Phase1 > アプリケーション セキュリティ > AWS WAF のマネージドルール

Slide 114

Slide 114 text

ハッシュタグ:#jawsdays2024 #jawsug #jawsdays2024_a Systems Manager Session Managerを利⽤すると、 AWSマネジメントコンソールからシェルアクセス可能 これ⾃体はPhase2の範囲の対応だが、セキュリティグ ループの絞り込みと合わせて実⾏する Session Managerを利⽤する 114 Phase1 > インフラ保護 > セキュリティグループによるアクセス制限

Slide 115

Slide 115 text

ハッシュタグ:#jawsdays2024 #jawsug #jawsdays2024_a l CloudFrontをS3の前に⽴た せてS3を伏せる l Security Hubで各サービス のセキュリティチェック l InspectorでLambdaのコー ドを脆弱性スキャン サーバレス強化例 115

Slide 116

Slide 116 text

ハッシュタグ:#jawsdays2024 #jawsug #jawsdays2024_a Inspectorは有効化するだけでEC2 / ECR / Lambdaに 含まれる既知の脆弱性(CVE)とコードの実装不備 (CWE)を検出できる とりあえず緊急度が⾼いものはすぐ対応する Inspectorで脆弱性の管理 116 Phase1 > 脆弱性管理 > Amazon Inspectorを利⽤した脆弱性情報の収集

Slide 117

Slide 117 text

ハッシュタグ:#jawsdays2024 #jawsug #jawsdays2024_a まとめ l AWSセキュリティ成熟度モデルを活⽤すると、幅広 いAWSセキュリティを網羅的にカバーしつつ優先順 位を付けて段階的に強化できる l Phase1 QuickWinsはとにかくコスパの良い対応だ からすぐにやる 成熟度モデルで素早く強化しよう 117 すべての環境でSSH使うのやめました

Slide 118

Slide 118 text

第3章 基礎のレベルまでがんばろう 118

Slide 119

Slide 119 text

ハッシュタグ:#jawsdays2024 #jawsug #jawsdays2024_a 基礎のレベルまでがんばろう

Slide 120

Slide 120 text

ハッシュタグ:#jawsdays2024 #jawsug #jawsdays2024_a WordPressの環境もパッチ適⽤したし、WAFで保護 できるようになりました。 だいぶAWSセキュリティが強化できたと思います︕ 基礎のレベルまでがんばろう 主⼈公

Slide 121

Slide 121 text

ハッシュタグ:#jawsdays2024 #jawsug #jawsdays2024_a そうだね︕ これでレベル1は達成できてるんじゃないかな︖ 例の液晶を⾒に⾏こう。 基礎のレベルまでがんばろう コノハ

Slide 122

Slide 122 text

ハッシュタグ:#jawsdays2024 #jawsug #jawsdays2024_a AWSセキュリティ成熟度モデル Level: 1 100% 基礎のレベルまでがんばろう

Slide 123

Slide 123 text

ハッシュタグ:#jawsdays2024 #jawsug #jawsdays2024_a AWSセキュリティ成熟度モデル Level: 1 100% 基礎のレベルまでがんばろう やった︕レベル1が100%になっています︕ でもまだ脱出できませんね。 主⼈公

Slide 124

Slide 124 text

ハッシュタグ:#jawsdays2024 #jawsug #jawsdays2024_a AWSセキュリティ成熟度モデル Level: 1 100% 基礎のレベルまでがんばろう AWSセキュリティ成熟度モデルで最低ラインは Phase2の「基礎」だからね。多分Phase2の対応も⼀ 通り実⾏できれば脱出できるよ︕ コノハ

Slide 125

Slide 125 text

ハッシュタグ:#jawsdays2024 #jawsug #jawsdays2024_a AWSセキュリティ成熟度モデル Level: 1 100% 基礎のレベルまでがんばろう ここまで結構対応を頑張ってきましたが、まだ基礎のレ ベルではないんですね…。やっぱりセキュリティ対策っ て⼤変ですね。 主⼈公

Slide 126

Slide 126 text

ハッシュタグ:#jawsdays2024 #jawsug #jawsdays2024_a AWSセキュリティ成熟度モデル Level: 1 100% 基礎のレベルまでがんばろう 確かに簡単じゃないけど、AWSだと各種機能でめっち ゃ簡単に対応箇所が⾒つかって、調査の⼿間はぜんぜん かからないよね。 コノハ

Slide 127

Slide 127 text

ハッシュタグ:#jawsdays2024 #jawsug #jawsdays2024_a AWSセキュリティ成熟度モデル Level: 1 100% 基礎のレベルまでがんばろう そうですね。そもそもこのS3の設定やっちゃ駄⽬とか 知らなくてもSecurity Hubが教えてくれたりしました。 やることはわかるので後はやるだけでしたね。 主⼈公

Slide 128

Slide 128 text

ハッシュタグ:#jawsdays2024 #jawsug #jawsdays2024_a AWSセキュリティ成熟度モデル Level: 1 100% 基礎のレベルまでがんばろう でもPhase2の対応はより攻めていく必要があるよ。 より⾃分たちの環境にとって必要なセキュリティ対策を 考えないといけないんだ。 コノハ

Slide 129

Slide 129 text

ハッシュタグ:#jawsdays2024 #jawsug #jawsdays2024_a AWSセキュリティ成熟度モデル Level: 1 100% 基礎のレベルまでがんばろう めちゃくちゃハードル⾼そうですね… でも僕はまだまだセキュリティ対策の知識が乏しくて、 「⾃分たちの環境のセキュリティ」は難しい気がします。 主⼈公

Slide 130

Slide 130 text

ハッシュタグ:#jawsdays2024 #jawsug #jawsdays2024_a AWSセキュリティ成熟度モデル Level: 1 100% 基礎のレベルまでがんばろう だからPhase2の項⽬の中でも「Cloud Security のト レーニングプラン」から取り組み始めて、公式トレーニ ングを受けるのがオススメだよ︕ コノハ

Slide 131

Slide 131 text

ハッシュタグ:#jawsdays2024 #jawsug #jawsdays2024_a AWSセキュリティ成熟度モデル Level: 1 100% 基礎のレベルまでがんばろう 公式トレーニング︖ AWSの資格取得のためのトレーニングが役に⽴つんで すか︖ 主⼈公

Slide 132

Slide 132 text

ハッシュタグ:#jawsdays2024 #jawsug #jawsdays2024_a AWSセキュリティ成熟度モデル Level: 1 100% 基礎のレベルまでがんばろう 違うんだよ。AWS公式トレーニングはAWSユーザーが ⾃分たちの環境でいかにうまくAWSを活⽤するかに主 眼があたっているものなんだ。 コノハ

Slide 133

Slide 133 text

ハッシュタグ:#jawsdays2024 #jawsug #jawsdays2024_a AWSセキュリティ成熟度モデル Level: 1 100% 基礎のレベルまでがんばろう そうなんですか… でも3⽇間とかあって⻑いですよね︖ 業務時間空けられるかな︖ 主⼈公

Slide 134

Slide 134 text

ハッシュタグ:#jawsdays2024 #jawsug #jawsdays2024_a AWSセキュリティ成熟度モデル Level: 1 100% 基礎のレベルまでがんばろう 1⽇と3⽇のコースがあるけどどれも濃縮率MAXだから 業務空けた分の効果は間違いなくあるよ︕ たとえばセキュリティ管理者向けの「Security Engineering on AWS」ではセキュリティの原理原則 コノハ

Slide 135

Slide 135 text

ハッシュタグ:#jawsdays2024 #jawsug #jawsdays2024_a AWSセキュリティ成熟度モデル Level: 1 100% 基礎のレベルまでがんばろう (どんだけトレーニング推しなんだ) わかりました。とりあえずトレーニングは受けることに します。Phase2対応他には何をやっていくんですか︖ 主⼈公

Slide 136

Slide 136 text

ハッシュタグ:#jawsdays2024 #jawsug #jawsdays2024_a AWSセキュリティ成熟度モデル Level: 1 100% 基礎のレベルまでがんばろう Control TowerやIdentity Centerなどを使ったマル チアカウントの統制もやっていくよ。 後はこれまでやった対策の延⻑線の項⽬も多いよ。 コノハ

Slide 137

Slide 137 text

ハッシュタグ:#jawsdays2024 #jawsug #jawsdays2024_a AWSセキュリティ成熟度モデル Level: 1 100% 基礎のレベルまでがんばろう Control Towerって確かAWS Organizationsが必要 でしたよね︖うちで使えたかな…︖ 主⼈公

Slide 138

Slide 138 text

ハッシュタグ:#jawsdays2024 #jawsug #jawsdays2024_a AWSセキュリティ成熟度モデル Level: 1 100% 基礎のレベルまでがんばろう 必ずしもOrganizationsやControl Towerを使う必要 性はないけど、もし使えるなら使ったほうがすごく便利 だよ。全体管理はベスプラに乗っかるといいよ。 コノハ

Slide 139

Slide 139 text

ハッシュタグ:#jawsdays2024 #jawsug #jawsdays2024_a AWSセキュリティ成熟度モデル Level: 1 100% 基礎のレベルまでがんばろう Control Tower使えるように調整してみますね。 進め⽅もわかったので、まずは「Security Engineering on AWS」のトレーニング受講ですね。 主⼈公

Slide 140

Slide 140 text

ハッシュタグ:#jawsdays2024 #jawsug #jawsdays2024_a AWSセキュリティ成熟度モデル Level: 1 100% 基礎のレベルまでがんばろう 3⽇間みっちりやっていこう︕ それじゃあ解説、始めるね︕ コノハ

Slide 141

Slide 141 text

ハッシュタグ:#jawsdays2024 #jawsug #jawsdays2024_a AWS公式トレーニングは 全⼈類受けたほうが良い︕ いよいよPhase2の対応ですが、ここからはより⾃分た ちの環境を考えながら取り組む必要があります オススメはAWS公式トレーニングの「Security Engineering on AWS」を受講すること セキュリティの考え⽅をしっかり学んでから対策に取 り組みましょう︕ 基礎のレベルまでがんばろう 〜解説パート〜 141

Slide 142

Slide 142 text

ハッシュタグ:#jawsdays2024 #jawsug #jawsdays2024_a AWSセキュリティ成 熟度モデルのサイトの スクリーンショット (ただ映す⽤) https://maturitymodel.security .aws.dev/en/2.-foundational/ ここから項⽬を調整し、 主要なものを説明しま す Phase2の内容⼀覧 142

Slide 143

Slide 143 text

ハッシュタグ:#jawsdays2024 #jawsug #jawsdays2024_a l 「組織ポリシーとしてのSCP」「AWS Control Tower によるマルチアカウント管理」は Organizationsを利⽤する必要があるためオプショ ンとする l 「Amazon Macie による機密データの発⾒」は Phase1同様オプションとする l Phase4「Amazon Detective: 根本原因の分析」は 簡単に採⽤できるためPhase2とする 調整する内容(Phase2) 143

Slide 144

Slide 144 text

ハッシュタグ:#jawsdays2024 #jawsug #jawsdays2024_a Phase2の対応項⽬の抜粋 l Cloud Security のトレーニングプラン l セキュリティおよび規制要件を特定する l ユーザーリポジトリの⼀元管理 l 組織ポリシーとしてのSCP l VPC内の Public/Private ネットワーク分離 l AWS Control Tower によるマルチアカウント管理 l データバックアップ l 開発時にセキュリティチームも参画する l インシデント対応⼿順を作成し、テストする 基礎のレベルまでがんばろう 〜解説パート〜 144

Slide 145

Slide 145 text

ハッシュタグ:#jawsdays2024 #jawsug #jawsdays2024_a 「トレーニングで⾝に つけた知識を社内に広 める活動に繋げられま した」 「特にセキュリティ関 連でIAMロールに苦⼿ 意識があったのですが、 体系的に学べたことで IAM全般の知識を深め られました」 AWS公式トレーニング事例 145 https://classmethod.jp/cases/xing/

Slide 146

Slide 146 text

ハッシュタグ:#jawsdays2024 #jawsug #jawsdays2024_a l コンテンツのクオリティも⾼いし、成⼈学習の理論 に基づいてAWSをよくわかっている⼈が講師する l 実際にAWSを使ったラボで実習できる l 受講者のモチベーションがめちゃくちゃ上がる l 例えばこれから⼊社するメンバーや初めてAWSプロ ジェクトにジョインするメンバーのセットアップと して「Architecting on AWS」や「AWS Security Essentials」でAWS全般や基礎的なセキュリティを ⾝に着けてもらうことが可能 AWS公式トレーニングはいいぞ 146

Slide 147

Slide 147 text

ハッシュタグ:#jawsdays2024 #jawsug #jawsdays2024_a どういう⼈がどの AWSトレーニング を受けたら良いか説 明されている オススメしない⼈も 説明がありよき https://dev.classmetho d.jp/articles/aws- training-guide2022/ 合わせて読みたい 147

Slide 148

Slide 148 text

ハッシュタグ:#jawsdays2024 #jawsug #jawsdays2024_a 有償のトレーニングもいいが、AWS Skill Builderの無 償のEラーニングも、トレーニングプランに組み込みや すくておすすめ l AWS Security Fundamentals (Second Edition) (Japanese) (Na) ⽇本語実写版 2時間コース l https://explore.skillbuilder.aws/learn/course/external/view/elearning/602/ aws-security-fundamentals-second-edition-japanese l AWS Cloud Practitioner Essentials (Japanese) (⽇本語実写版) l https://explore.skillbuilder.aws/learn/course/external/view/elearning/1875 /aws-cloud-practitioner-essentials-japanese-na-ri-ben-yu-shi-xie-ban AWSの学習コンテンツ 148

Slide 149

Slide 149 text

ハッシュタグ:#jawsdays2024 #jawsug #jawsdays2024_a l この項⽬は社内のAWS利⽤者やプロジェクト管理者 などに対してAWSセキュリティの前提知識を⾝につ けるためのトレーニングメニューを構成する l 扱う技術のセキュリティが全くわからない状態で使 い始めるのは危ない l 公式トレーニングや学習コンテンツを活⽤しつつ、 社内のルールなどを整備して、すべてのAWS利⽤者 に基礎的なIAMの知識だけでもインプットする Cloud Security のトレーニングプラン 149 Phase2 > セキュリティガバナンス > Cloud Security のトレーニングプラン

Slide 150

Slide 150 text

ハッシュタグ:#jawsdays2024 #jawsug #jawsdays2024_a l そもそも⾃分たちのAWS環境が遵守すべきセキュリ ティの要件があるか確認 l ⾦融系ならFISCとか業界基準や、⾃社のセキュリテ ィポリシーなど l どうやって作ったら良いかわからない場合は、 Security Hubの項⽬に対応していく、くらいのとこ ろから始める l 社内のAWS利⽤ガイドラインを整備できると完璧 セキュリティおよび規制要件を特定する 150 Phase2 > セキュリティガバナンス > セキュリティおよび規制要件を特定する

Slide 151

Slide 151 text

ハッシュタグ:#jawsdays2024 #jawsug #jawsdays2024_a AWS 利⽤標準化ガイドライン策定のベストプラクティス 進め⽅やステップが明確になっている 合わせて読みたい 151 1. 標準化ガイドライン 2. アカウント設計 3. ネットワーク設計 4. アイデンティティ管理とアクセス管理 5. 発⾒的統制 6. インフラストラクチャ保護 7. データ保護 8. 監視 9. ログ管理 10.インシデント対応 11.災害対策とバックアップ/リストア 12.インフラプロビジョニング 13.運⽤管理 14.コスト管理 https://aws.amazon.com/jp/blogs/news/standardization-guideline-bestpractice-jp/

Slide 152

Slide 152 text

ハッシュタグ:#jawsdays2024 #jawsug #jawsdays2024_a l Phase2はControl TowerやIdentity Centerなど AWS Organizations関連の項⽬が多い l AWSを利⽤する全体を適切に統制する必要がある l 利⽤できるなら利⽤したほうが良い l 全社利⽤のAWS基盤を作れると完璧 l AWSマルチアカウント管理のホワイトペーパーも参 考にどうぞ l https://classmethod.jp/news/wp-ascj-security/ l 利⽤できない場合についても記載あり AWSマルチアカウントの管理 152 Phase2 > インフラ保護 > AWS Control Tower によるマルチアカウント管理 など

Slide 153

Slide 153 text

ハッシュタグ:#jawsdays2024 #jawsug #jawsdays2024_a 少し古いけど雰囲気つかめる 2021年末版Control Tower 総まとめ〜これからAWSマ ルチアカウント管理したい⼈ に向けて〜 https://dev.classmethod.jp/articles/a ws-control-tower-allin-2021/ 「AWS Control Towerを利 ⽤したマルチアカウント管理 とセキュリティ統制」JAWS DAYS 2021登壇資料 https://dev.classmethod.jp/articles/j aws-days-2021-control-tower/ 合わせて読みたい 153

Slide 154

Slide 154 text

ハッシュタグ:#jawsdays2024 #jawsug #jawsdays2024_a l Identity Centerを利⽤するのも1つの⼿だが、Okta などサードパーティツールを活⽤するのもよい l IDベースはEntra IDオススメ l ⼤事なのは集約管理する事とRole等でアクセス制御 を適切に⾏うこと、ライフサイクルを管理すること l 必要なくなったIDをすぐに無効化するとか l これらを活⽤すると開発者がIAM Userを持つ必要が なく、アクセスキー完全禁⽌ができるので可能なら ⽬指したい ユーザーリポジトリの⼀元管理 154 Phase2 > アイデンティティとアクセス管理 >ユーザーリポジトリの⼀元管理

Slide 155

Slide 155 text

ハッシュタグ:#jawsdays2024 #jawsug #jawsdays2024_a ⾮ AWS Organizations 環境の AWS アカウントに Entra ID ユーザーでアク セスする https://dev.classmethod.jp/articles/en tra-id-user-access-to-aws-account/ とにかくIDがまとめ られていればいろん なやりようがある 合わせて読みたい 155

Slide 156

Slide 156 text

ハッシュタグ:#jawsdays2024 #jawsug #jawsdays2024_a まとめ l AWS公式トレーニングなどを駆使してセキュリティ 管理者としての技術やマインドセットを⾝に着けた り、社内のベースラインを上げていこう l マルチアカウント管理を適⽤しよう l 単純ではないセキュリティ対策を社内調整しながら 頑張って取り組もう 基礎のレベルまでがんばろう 156 この後めちゃくちゃ社内環境整備した

Slide 157

Slide 157 text

エピローグ 〜未来のセキュリティ対策〜 157

Slide 158

Slide 158 text

ハッシュタグ:#jawsdays2024 #jawsug #jawsdays2024_a エピローグ …1ヶ⽉後…

Slide 159

Slide 159 text

ハッシュタグ:#jawsdays2024 #jawsug #jawsdays2024_a ふぅ…。 今⽇から無事新しいAWS基盤がリリースできました︕ AWS利⽤ガイドラインも整備できてバッチリです︕ エピローグ 主⼈公

Slide 160

Slide 160 text

ハッシュタグ:#jawsdays2024 #jawsug #jawsdays2024_a ついに完成だね︕ きっとレベル2を達成できてるよ︕ 例の液晶を⾒に⾏こう。 エピローグ コノハ

Slide 161

Slide 161 text

ハッシュタグ:#jawsdays2024 #jawsug #jawsdays2024_a AWSセキュリティ成熟度モデル Level: 2 100% エピローグ

Slide 162

Slide 162 text

ハッシュタグ:#jawsdays2024 #jawsug #jawsdays2024_a AWSセキュリティ成熟度モデル Level: 2 100% エピローグ やった︕レベル2が100%になりました︕ これで脱出できるんですよね︖ 主⼈公

Slide 163

Slide 163 text

ハッシュタグ:#jawsdays2024 #jawsug #jawsdays2024_a AWSセキュリティ成熟度モデル Level: 2 100% エピローグ きっともうそろそろお別れだね。 でもコノハ、実は君に⾔っていない事がまだあるんだ… コノハ

Slide 164

Slide 164 text

ハッシュタグ:#jawsdays2024 #jawsug #jawsdays2024_a AWSセキュリティ成熟度モデル Level: 2 100% エピローグ え、このタイミングで改まってどうしたんですか︖ まさか… 主⼈公

Slide 165

Slide 165 text

ハッシュタグ:#jawsdays2024 #jawsug #jawsdays2024_a AWSセキュリティ成熟度モデル Level: 2 100% エピローグ うん。気づいてたよね。 AWSのセキュリティ対策はこれからが始まりなんだよ 常に安全に使えるようにすることが⼤事なんだ︕ コノハ

Slide 166

Slide 166 text

ハッシュタグ:#jawsdays2024 #jawsug #jawsdays2024_a AWSセキュリティ成熟度モデル Level: 2 100% エピローグ あそっちでしたか︕︕ でもそれはガイドラインを作っていたときに感じました みんながちゃんと使えてこそのセキュリティですよね︕ 主⼈公

Slide 167

Slide 167 text

ハッシュタグ:#jawsdays2024 #jawsug #jawsdays2024_a AWSセキュリティ成熟度モデル Level: 2 100% エピローグ 君も⾔うようになったね︕ あ、もうお別れみたい。 部屋が⽩い光に包まれていくよ… コノハ

Slide 168

Slide 168 text

ハッシュタグ:#jawsdays2024 #jawsug #jawsdays2024_a AWSセキュリティ成熟度モデル Level: 2 100% エピローグ 本当だ︕ 僕、まだコノハさんに⾔ってないことが… あ… 主⼈公

Slide 169

Slide 169 text

ハッシュタグ:#jawsdays2024 #jawsug #jawsdays2024_a エピローグ

Slide 170

Slide 170 text

ハッシュタグ:#jawsdays2024 #jawsug #jawsdays2024_a エピローグ 気がつくと僕は脱出できていた あの部屋での出来事は夢かとも思ったけど、実際に AWS環境はセキュアになっていた そして僕の⼼には確かに、コノハさんからもらった AWSセキュリティに対する熱が残っていた これから忙しくなるぞ… 僕はよりたくさんの⼈を巻き込んでAWSセキュリティ を強化していくんだ︕

Slide 171

Slide 171 text

AWSセンセーション 私とみんなが作ったAWSセキュリティ ~Fin~

Slide 172

Slide 172 text

ハッシュタグ:#jawsdays2024 #jawsug #jawsdays2024_a 宣伝1 勉強会始めます 172 Security-JAWSでは定常的なAWSセキュリティ学習の 場としてmini Security-JAWSを始めます だいたい隔週⼟曜⽇10-12時開催 初回は3/9(⼟) 詳細はSecurity-JAWSのDoorkeeperへ https://bit.ly/minisecjaws01

Slide 173

Slide 173 text

ハッシュタグ:#jawsdays2024 #jawsug #jawsdays2024_a 宣伝2 173

Slide 174

Slide 174 text

ハッシュタグ:#jawsdays2024 #jawsug #jawsdays2024_a 僕と⼀緒にクラスメソッドでAWSセキュリティを3,000社の お客様に展開する仕事をしませんか︖ オープンな発想と⾼い技術⼒により、すべての⼈々の創造活動に貢献し続ける 採⽤サイト: https://careers.classmethod.jp/ 宣伝3 174 インシデント⾃動調査機能など 多数のお客様に使っていただくセキュリティサービスの開発業務 AWSセキュリティ強化プログラムなど お客様個別の事由に寄り添い伴⾛するコンサルティング業務

Slide 175

Slide 175 text

ハッシュタグ:#jawsdays2024 #jawsug #jawsdays2024_a 本日はご参加いただきありがとうございました。アンケートのご記入をお願いします。 アンケートご記入のお願い 175

Slide 176

Slide 176 text

ハッシュタグ:#jawsdays2024 #jawsug #jawsdays2024_a l なにもない部屋-真っ⽩な部屋03【フリー素材あそび】 l https://commons.nicovideo.jp/works/nc203754 l ⿊板にもなるTVの液晶画⾯ l https://commons.nicovideo.jp/works/nc297495 l クッキー☆⾵ 窓枠 外側枠付き l https://commons.nicovideo.jp/works/nc40255 l ⻘空 l https://commons.nicovideo.jp/works/nc150573 使⽤素材・参考リンク 176