CCoE観点でのAWSのセキュリティとガバナンス ～ AWS Organizationsに寄り添って ～ JAWS-UG横浜 #73 AWS Management Services 2024年9月3日 NRIネットコム株式会社 執行役員 デジタルソリューション事業本部長 クラウドテクニカルセンター センター長 佐々木拓郎

1 Copyright（C） NRI Netcom, Ltd. All rights reserved. 自己紹介 ◼ 2000年 4月 NRIネットコム株式会社入社 ◼ 現在 執行役員 デジタルソリューション事業本部長 クラウドテクニカルセンター センター長 ◼執筆 佐々木拓郎

2 Copyright（C） NRI Netcom, Ltd. All rights reserved. NRIネットコムのAWSへの取り組み APNアドバンスド コンサルティングパートナー 複数のAWS Award受賞者と 多数のAWS認定者資格 書籍&ブログ執筆

3 Copyright（C） NRI Netcom, Ltd. All rights reserved. CCoE観点のセキュリティとガバナンスの統制 01 AWS Organizationsと愉快な仲間たち 02 CCoEとしての取り組み方 03

4 Copyright（C） NRI Netcom, Ltd. All rights reserved. 1. CCoE観点のセキュリティとガバナンスの統制

5 Copyright（C） NRI Netcom, Ltd. All rights reserved. CCoE：Cloud Center of Excellenceとは？ 組織横断で、クラウドに関する全体最適を実現する組織 ユーザー部門（利用者） IT部門（管理者） ・情報システムの管理 ・セキュリティ統制 ・クラウドの知識不足 ・ビジネス推進 ・ITリテラシーは不足 クラウドサービス：AWS、Google Cloud、Azure、OCI、SAAS各種、etc クラウド運営組織 （CCoE） クラウド管理のプロセス整備 クラウド人材の育成・支援 クラウド共通基盤の整備 情報収集・共有

6 Copyright（C） NRI Netcom, Ltd. All rights reserved. CCoEの役割 CCoEの役割は多岐にわたるが、組織の状況・優先順位を勘案しながら担当していく （出典：2023年の事例から見るCCoEの活動と在り方 (後編)） https://aws.amazon.com/jp/blogs/news/situation-of-ccoe-in2023-part2/ 統制 PJ支援 共通機能 人材育成 情報発信 クラウド利用戦略 • 事業戦略の把握・理解 • IT戦略の把握・理解 • クラウド利用戦略策定 • クラウドロードマップ作成 • クラウド利用状況報告 （利用状況、効果 等） ルール・ガイドライン • パブリッククラウド利用ルール作成 • セキュリティガイドライン作成 • 標準設計ルール作成 • クラウド設計ガイド （アプリ、インフラ） • サービスカタログ作成 コスト管理 • 一括請求管理・コスト配賦 • コスト最適化分析 • RI/SPs購入 • ディスカウントプログラム適用 利用者環境運用 • インフラ監視 • 標準監視サービス提供 （外形監視 等） 個別案件対応 • 案件相談受付 • クラウド利用方針作成支援 • ビジネスケース作成支援 • セキュリティアセスメント • 設計・構築支援 • 個別県境への改善アドバイス 共通機能の提供 • 共通基盤の構築、運用 • アカウント払い出し • 共通環境払い出し • 共通機能サービス提供 人材育成 • クラウド人材育成計画作成 • 勉強会開催 • 同業・異業種人材交流 ノウハウ蓄積・情報発信 • 情報発信ポータル運営 • 社内イベント開催 • 技術コミュニティ運営 • 社外イベント登壇

7 Copyright（C） NRI Netcom, Ltd. All rights reserved. 標準設計ルールの作成と実装例 マネジメント コンソール VPC:仮想専有領域 EC2:OS領域 EBS:ローカルディスク RDS:データベース S3:ストレージ CloudWatch:監視 Direct Connect:NW セキュリティの標準設計ルール例（防御） 検知の対応例 GuardDuty Control Tower Security Hub Firewall Manager Macie Trusted Advisor ・AWSアカウント：利用制限 ・IAMユーザ：操作権限と接続元制限 利用可能リソースに対するアクセスコントロール、多要素認証の導入 ・本番環境、開発環境といった環境単位でVPCの分離 ・サブネット単位での通信制御、ルーティング設定 ・VPCフローログの取得 ・Security Groupによるサーバ間通信制御 ・Systems Manager等を利用しての、サーバ状態の把握と一括パッチ当て ・サーバのログイン管理の仕組みと、ログ集約の仕組みの導入 ・暗号化オプションによるディスク全体の暗号化 CloudTrailによる AWS操作履歴 トラフィックログ 各種アプリケーションログ OSログイン履歴 DB監査ログ AWSサービス各種による ログ・アラート 検査するべきログ ・専用線（DX）やVPNを利用した経路安全の確保 ・Transit Gatewayを利用したVPC・経路の管理 ・経路の冗長化による事業継続性の確保 ・DBMSの機能によるテーブル全体（表領域）の暗号化 ・DBに対するアクセス権限の管理 ・暗号化オプションによるストレージ全体の暗号化 ・クライアントサイドは暗号化キーによりデータを保護 ・CloudWatchによるAWSの監視と、運用監視ソフトウェアを利 用したサービス、アプリケーション監視の併用 Inspector AWSの利用状況の監査 AWSアカウントの設定とガバナンス セキュリティーアラートの集約と検知・ 対応 AWSの不正利用の検知 OS、アプリのセキュリティ評価 Firewallの一元管理と検知・対応 S3内の機密情報の検出、分類、保 護 Organizations

8 Copyright（C） NRI Netcom, Ltd. All rights reserved. 現場の悩み 何から始めれば よいのか解らない

9 Copyright（C） NRI Netcom, Ltd. All rights reserved. NISTのサイバーセキュリティフレームワーク（CSF） CCoE観点では、NIST CSFをまず抑えておくと良い（私見） 【解説】NIST サイバーセキュリティフレームワークの実践的な使い方｜ブログ｜NRIセキュア https://www.nri-secure.co.jp/blog/nist-cybersecurity-framework NRIセキュアのブログより引用 分類 カテゴリー 特定 （Identify） ・資産管理 ・ビジネス環境 ・ガバナンス ・リスクアセスメント ・etc 防御 （Protect） ・アクセス制御 ・意識向上およびトレーニング ・データセキュリティ ・情報を保護するためのプロセスおよび手順 ・保守 検知 （Detect） ・以上とイベント ・セキュリティの継続的なモニタリング ・検知プロセス 対応 （Respond） ・対応計画の作成 ・コミュニケーション ・分析 ・低減 復旧 （Recover） ・復旧計画の作成 ・改善 ・コミュニケーション CSFコア

10 Copyright（C） NRI Netcom, Ltd. All rights reserved. 予防的統制と発見的統制という考え方 予防的統制 発見的統制 問題となる可能性がある操作が行われた際に、 それを検出して対処すること 担当者 各種 AWSリソース 予防 検知 管理者 （自分の権限外の） 操作禁止 操作 ルールから外れた 操作を検出 対応 想定される危険性を定義して、逸脱できない ように事前に設定する

11 Copyright（C） NRI Netcom, Ltd. All rights reserved. 予防的統制と発見的統制の実装例 Organization Unit Automation AWS Systems Manager AWS Config Rules 設定不備を 検知 修復指示 予防的統制 発見的統制 SCP AWS Organizations AWSアカウント IAM User 例） root ユーザーのアクセスキーの 作成を禁止する 例） IAMユーザーのMFAが有効に なっているかチェックする 一時的に IAMユーザーの 無効化 検知 予防 対処

12 Copyright（C） NRI Netcom, Ltd. All rights reserved. プロアクティブコントロール（参考） 2022年のre:Inventで、Control Towerによる第3の統制方法が発表された 統制 概要 実装方法 予防的統制 想定される危険性を定義して、逸脱できないように 事前に設定する SCP 発見的統制 問題となる可能性がある操作が行われた際に、そ れを検出して対処すること AWS Config Rules プロアクティブ コントロール ルールに沿っていないCloudFormationのデプ ロイメントをブロックする （デプロイレベルの予防） AWS CloudFormation Guard AWS CloudFormation hooks cdk-validator-cfnguard https://github.com/cdklabs/cdk-validator-cfnguard CDKにも対応済み プロアクティブコントロールの例） 暗号化していないS3バケットの作成禁止

13 Copyright（C） NRI Netcom, Ltd. All rights reserved. 2. AWS Organizationsと愉快な仲間たち

14 Copyright（C） NRI Netcom, Ltd. All rights reserved. AWS Organizations AWS Organizationsを使うことにより、複数のAWSアカウントをグループ化して管理できる AWS Organizations Account Organizational unit Management account Organizational unit Organizational unit Account Organizational unit OU（Organizational unit）で AWSアカウントをグループ化する ことができる OUは階層化することができる 下位のOUは、上位のOUの 設定を継承する

15 Copyright（C） NRI Netcom, Ltd. All rights reserved. サービスコントロールポリシー（SCP） アカウントレベルで、アクセス許可の許可・拒否をおこなうサービス（IAMポリシーに干渉） Service Control Policy（SCP） Identity-based policy（IAM） ○ ○ ○ ☓ ☓ 有効な権限 デフォルトでルートにFullAWSAccess（許可）が付与されている

16 Copyright（C） NRI Netcom, Ltd. All rights reserved. OrganizationsとSCPの適用例 AWSアカウント単位ではなく、OUへの適用を基本に考える SCP A SCP B OU全体に 適用 AWS Organizations Account Organizational unit Management account Organizational unit Organizational unit Account Organizational unit SCP C Aが 適用 Bが 適用 BとCが 適用

17 Copyright（C） NRI Netcom, Ltd. All rights reserved. AWS Config Rules AWSリソースの設定を評価し、ルールから外れたものを検知する AWS Systems Manager Automation AWS Config Rules Security group User 誤った設定 ルールから外れた 設定の検知 修復 修復アクションの 呼び出し Instance

18 Copyright（C） NRI Netcom, Ltd. All rights reserved. CloudFormation StackSetsとAWS Organizations OUとCloudFormation StackSetsを組み合わせることにより、Config Rulesなどを一括適用ができる AWS Account AWS Account OU（組織単位） CloudFormation StackSets with Organizations AWS Account OUに参加 AWS Account スタックの作成 （OU設定の追加） スタックの削除 （OU設定の削除） OUから離脱

19 Copyright（C） NRI Netcom, Ltd. All rights reserved. AWS Organizationsと連携するセキュリティサービス AWS Organizationsと連携するサービスは、多数存在する 構成管理 可視化・モニタリング・調査 AWS CloudTrail AWS Systems Manager AWS Service Catalog AWS Trusted Advisor AWS Control Tower Amazon GuardDuty Amazon Inspector Amazon Macie AWS Firewall Manager AWS Security Hub Amazon Detective AWS Resource Access Manager Amazon Security Lake ログ・集約 統合

20 Copyright（C） NRI Netcom, Ltd. All rights reserved. 現場の悩み サービスが多すぎて どれから使えばいいの？

21 Copyright（C） NRI Netcom, Ltd. All rights reserved. 3. CCoEとしての取り組み方

22 Copyright（C） NRI Netcom, Ltd. All rights reserved. CCoEの役割は、ベースラインアプローチが基本 ベースラインアプローチ ベースラインの策定 教育・訓練の実施 ツールとプロセスの提供 適用状況の監視 ベースラインアプローチは、全体的なセキュリティおよびガバナンスの最低基準を設定し、それを全ての クラウドリソースや環境に適用する方法です。組織全体で統一された基準を設けることで、全リソース が最低限のセキュリティ要件を満たすようにします。 CCoEの役割 ・統一セキュリティ基準の策定 ・組織横断的に適用 ・継続的に、ベースラインを底上げしていく

23 Copyright（C） NRI Netcom, Ltd. All rights reserved. AWS Control Tower AWS Identity and Access Management (IAM) AWS IAM Identity Center AWS Organizations セキュリティを維持管理するサービス群 AWS Service Catalog Amazon GuardDuty AWS Security Hub AWS Trusted Advisor Amazon Security Lake AWS Resource Access Manager Organizationsを中心とした組織管理のサービスのみで、全体管理できるようになるのが理想 個々のシステムまでは見ないで済むように、仕組み化・人材育成をしていく AWSの組織管理とCCoE VPC Subnet Internet gateway Instance Instance Instance 組織管理の中核サービス 個々のシステム

24 Copyright（C） NRI Netcom, Ltd. All rights reserved. 大きな組織・小さな組織での管理対象の変化 組織の状況によって、CCoEがみるべき範囲が変わる 一般的に、小さな組織ほどCCoEが見るべき範囲が増える。一方で、大きな組織でも弱い部門につ いては、直接的な支援が必要なケースも多い AWS Control Tower AWS Identity and Access Management (IAM) AWS IAM Identity Center AWS Organizations VPC Subnet Internet gateway Instance Instance Instance 組織管理の中核サービス 個々のシステム

25 Copyright（C） NRI Netcom, Ltd. All rights reserved. まとめ 組織のハブはCCoE、クラウドの統合はAWS Organizationsで実現 ⚫CCoEは、組織横断でクラウドに関する全体最適を実現する ⚫CCoEには様々な役割があるが、全体の底上げ（ベースラインアプローチ）が重要 ⚫AWSには、ベースラインを上げるための様々なサービスがある ⚫AWS Organizationsを使うことにより、組織内のAWSアカウントに一律に適応することができる

26 Copyright（C） NRI Netcom, Ltd. All rights reserved. AWS Organizationsは必須 一定規模を超すと、専有の Organizationsが必須となります リセラー経由でAWSを使っているので、 Organizationが使用不可 契約を変えたら？？

27 Copyright（C） NRI Netcom, Ltd. All rights reserved. AWSの薄い本シリーズ 今日の話は、主にAWS薄い本Ⅱ アカウントセキュリティのベーシックセオリーに基づいている。 11月開催の技術書典17に向けて、AWS Organizationsを中心とした同人誌を執筆中！！

No content