セキュリティ面から考えるAWSの始め方

by cm-usuda-keisuke

Slide 1

Slide 1 text

セキュリティ⾯から考える AWSの始め⽅ 2022/10/26 クラスメソッド株式会社 AWS事業本部⾅⽥佳祐

Slide 2

Slide 2 text

2 こんにちは、⾅⽥です。みなさん、 AWSのセキュリティ対策してますか︖(挨拶

Slide 3

Slide 3 text

3 ⾃⼰紹介⾅⽥佳祐(うすだけいすけ) ・クラスメソッド株式会社 / AWS事業本部シニアソリューションアーキテクトセキュリティチームリーダー AWS公認インストラクター 2021 APN Ambassador 2022 APN AWS Top Engineers (Security) ・CISSP ・Security-JAWS運営・好きなAWSサービス: GuardDuty / Detective Security Hub みんなのAWS (技術評論社)

Slide 4

Slide 4 text

4 セッションテーマセキュリティ的に安⼼して AWSを利⽤する

Slide 5

Slide 5 text

5 セッション対象者 • 所属 • AWSをこれから利⽤する企業の⽅ • AWS利⽤をあまり促進できていない企業の⽅ • 役割 • 現場の開発者 • 仕組みづくりをしている⽅ • 情シス / DX担当 • 役員 • つまり⼤体全員

Slide 6

Slide 6 text

6 アジェンダ 0. ⻑い前説 1. AWSとセキュリティの基本 2. AWSプロジェクトの始め⽅ 3. クラウドに対応した組織の作り⽅

Slide 7

Slide 7 text

7 0. ⻑い前説

Slide 8

Slide 8 text

8 いきなり質問 AWSのセキュリティに不安がありますか︖

Slide 9

Slide 9 text

9 AWSのセキュリティで不安なこと(例) • そもそもの例 • クラウド利⽤時の情報漏えい事故を⽿にした • インターネットは危険 • データを持ち出したくない • 具体的な例 • 正しい設定がわからない • ベストプラクティス通りできているかわからない • もしかしたら不正利⽤されているかも

Slide 10

Slide 10 text

10 いきなり質問2 みなさんの会社の機密情報は「今」安全ですか︖

Slide 11

Slide 11 text

11 「今」安全か︖ • そもそも機密情報はなんですか︖ • どこに保存されていますか︖ • 誰がアクセスしていい情報ですか︖ • 実際誰がアクセスしていますか︖ • 保存場所の設定は意図したとおりになっていますか︖ • 今正常に利⽤できますか︖ • 誰が責任者ですか︖

Slide 12

Slide 12 text

12 「今」安全か知るためには細かく把握する必要がある

Slide 13

Slide 13 text

13 「今」安全か確認するための要素(⼀例) • 情報分類の定義 • データとエンティティの識別 • 認証認可 • モニタリング • 証跡管理 • 責任範囲の定義

Slide 14

Slide 14 text

14 細かく把握できると安全であることを説明できて安⼼できる

Slide 15

Slide 15 text

15 AWSのセキュリティに不安があるのは AWSのセキュリティをよく知らないからあるいは今AWS環境がどうなっているか説明できないから

Slide 16

Slide 16 text

16 AWSではセキュリティの説明が可能 • AWSではAPIで各設定を⾏い、設定状況もAPIで確認可能(可視性がある) • API経由で変更されたらそれをすべて記録(監査可能である) • すべてのAPIアクションを細かく制御でき、禁⽌したアクションの実⾏も検知できる(制御可能である) AWSはセキュリティと親和性が⾼い

Slide 17

Slide 17 text

17 説明可能なセキュリティの例 • 絶対外部からアクセスできない設定が可能 • 設定が保持されていることの確認や変更防⽌・アラートが可能データ保存 • SSHポートがグローバルに開放されているか確認可能 • 不必要なポート開放の検知・⾃動修復が可能ネットワークアクセス • 操作者の権限を1アクション単位で定義可能 • 作成した権限がポリシーを満たしているか⾃動チェック可能管理アクセス制御

Slide 18

Slide 18 text

18 AWSではセキュリティを素早く正確に展開 • API経由で定義された設定を正確に、繰り返し同じように展開可能(正確性・再現可能性がある) • 定義通り素早く全環境に⼀括展開可能(⾃動化可能・俊敏性がある) • すべての設定を常に監視し違反をすべて洗い出すことが可能(全数チェック可能) AWSはセキュリティと親和性が⾼い

Slide 19

Slide 19 text

19 AWSのセキュリティを理解して安⼼してAWSを利⽤できるようにしよう

Slide 20

Slide 20 text

20 合わせて読みたいセキュリティ対策はだいたいここに全部ある https://dev.classmethod.jp /articles/aws-security-all- in-one-2021/

Slide 21

Slide 21 text

21 1. AWSとセキュリティの基本

Slide 22

Slide 22 text

22 AWSの前にセキュリティの基本から

Slide 23

Slide 23 text

23 なぜセキュリティの基本が必要か • AWS上のセキュリティも考え⽅は変わらない • セキュリティの原則に従う必要があるセキュリティの知識 + AWSの知識

Slide 24

Slide 24 text

24 セキュリティの基本セキュリティ対策のためにまずやること • 資産を洗い出す • 脅威とリスクを分析する • 責任を明確にする

Slide 25

Slide 25 text

25 セキュリティで守るもの守りたいものはなんですか︖

Slide 26

Slide 26 text

26 守りたいもの(⼀部のざっくりした視点) • データ • 機密情報 • 顧客データ • 個⼈情報 • クレジットカード • コンテンツ • 利⽤者 • 個⼈情報 • 投稿したコンテンツ • 会社 • 業務システム • 会社⾃体 • 企業イメージ • 従業員 • 資⾦

Slide 27

Slide 27 text

27 守りたいものはどこにあるか︖(例えば) • サーバー • データベース • ストレージ • PC • 物理的な紙

Slide 28

Slide 28 text

28 守るものを把握する • どこにあるのか • 誰が責任者か • 誰が管理しているのか • 誰がアクセスできるのか • 今すぐに状態がわかるかすべて把握できていないと守れない資産の洗い出し・特定して管理する

Slide 29

Slide 29 text

29 脅威とリスクを理解するどんな脅威がありますか︖

Slide 30

Slide 30 text

30 情報セキュリティで扱う脅威(⼀例) • 情報漏えい • ⾦銭の搾取 • サービス停⽌ • 改ざん • なりすまし • 権限昇格

Slide 31

Slide 31 text

31 脅威を理解しリスクを理解する • 脅威と脆弱性がかけ合わさりリスクが発⽣する • 資産の価値でリスクの⼤きさが変わる • 脆弱性を減らすことでリスクを⼩さくできる • リスクに応じてどのように対策するか検討する資産脆弱性脅威リスク

Slide 32

Slide 32 text

32 リスクを知り対策を知る(⼀例) • リスク: サーバーのデータが漏洩する • 根本対策: アクセス制御を徹底する • 補助対策: DLPを導⼊する根本対策と補助対策で順序を間違えないようにする

Slide 33

Slide 33 text

33 設計にセキュリティをリスクがわかれば設計に反映できる • アクセス権限の洗い出し • 許可払い出しフローの管理 • 不要なサーバーポートの確認 • ソフトウェアの脆弱性管理 • ログの収集 • 送信元IPの集計 • 不審なIPのアラート

Slide 34

Slide 34 text

34 セキュリティの責任は誰にありますか︖

Slide 35

Slide 35 text

35 セキュリティは誰の責任︖ • セキュリティ担当者だけではない • 開発者 • 運⽤者 • 監査⼈ • 経営者 • などなど • つまり全員セキュリティ担当 • 必要な⼈が必要な範囲⾏う(責任範囲)

Slide 36

Slide 36 text

36 セキュリティの原則いろいろ • 最⼩権限 • 多層防御 • 識別・認証・認可 • システムの堅牢化 • フェールセーフ • シンプルにする • 職務の分離 • Design for Failure • ⼈は間違える • などなど基本はいっしょ

Slide 37

Slide 37 text

37 既存のセキュリティ対策を活かす • セキュリティ対策の根本は変わらない • 原則に従った対応を既存の仕組みやリソースと組み合わせて活⽤する • IDシステム • 情報の分類 • 情報セキュリティポリシー • 情報システム部の役割 ※古いものがあれば更新する

Slide 38

Slide 38 text

38 合わせて読みたい情報セキュリティについて深く知⾒のあるエンジニアの育成には情報処理安全確保⽀援⼠の試験は丁度いいかも網羅的で原理原則と技術のバランスがいい最新の技術もある個⼈的にはこの教科書が好き試験受かってからも何度も読んでる https://www.amazon.co.jp/dp/4798173193/

Slide 39

Slide 39 text

39 AWSの基本

Slide 40

Slide 40 text

40 そもそもなぜAWSを利⽤するのか AWSのメリットはなんですか︖

Slide 41

Slide 41 text

41 AWSが選ばれる10の理由メリットを理解して有効に活⽤する https://aws.amazon.com/jp/aws-ten-reasons/

Slide 42

Slide 42 text

42 マネージドサービスとは︖ • インフラを気にせず機能を利⽤できる • やりたいことに注⼒できる

Slide 43

Slide 43 text

43 責任共有モデル明確な責任範囲がある

Slide 44

Slide 44 text

44 責任共有モデルの詳細サービスによって責任分界点が違うマネージドサービスは AWS管理部分が多くやりたいことに集中できる顧客責任部分も丸投げではなく便利な仕組みが提供されている

Slide 45

Slide 45 text

45 2. AWSプロジェクトの始め⽅

Slide 46

Slide 46 text

46 AWSプロジェクトの始め⽅ • まずはAWSの特性や使い⽅を理解するところから • 社内で最初にAWSプロジェクトを始める担当者にはこれらをきちんと押さえてもらいましょう

Slide 47

Slide 47 text

47 AWS上で発⽣する脅威 • 誤った情報の公開・アクセス許可 • AWSはローカルPCの環境や社内の検証環境ではない • 簡単に外部に公開して迅速に展開できる基盤 • 権限不備で情報漏えいが起きたり • 不正な攻撃者がアカウントを乗っ取ることも • 資⾦の浪費 • 従量課⾦で安く使い始められるけど、適切に管理しないと請求がすごいことに

Slide 48

Slide 48 text

48 適切に脅威を把握し適切に利⽤する

Slide 49

Slide 49 text

49 合わせて読みたい「AWS利⽤開始時に最低限おさえておきたい10のこと」最初に知るべきことがまとまっている公式の資料 https://pages.awscloud.com/eve nt_JAPAN_at-least-10- ondemand.html?trk=aws_event_ page

Slide 50

Slide 50 text

50 合わせて読みたいやることはここにまとまっています https://dev.clas smethod.jp/arti cles/aws- baseline- setting-202206/

Slide 51

Slide 51 text

51 厳密なアクセス制御とロギング AWSの操作はAPI経由 APIはIAMによりアクセス制御され、CloudTrail によりロギングされる必ずリクエスト毎検証される(リアルタイムの評価、リプレイ攻撃の防⽌) API IAM アクセス制御認証認可ユーザーリソース CloudTrail APIロギング証跡管理整合性管理

Slide 52

Slide 52 text

52 AWS Well-Architectedフレームワーク 6つの柱に基づいたベストプラクティスを理解できるセキュリティの柱もあり

Slide 53

Slide 53 text

53 合わせて読みたい初めて読む⼈はこのブログから読むとよく理解できる https://dev.classmetho d.jp/articles/aws-well- architected-guide2022/

Slide 54

Slide 54 text

54 AWSを利⽤する⼤前提すべてのAWS利⽤者は AWSの基本的なセキュリティを理解する必要がある

Slide 55

Slide 55 text

55 無料のデジタルトレーニングを活⽤する • すべてのAWS利⽤者に以下を受講してもらう • Introduction to AWS Identity and Access Management (IAM) (Japanese) (⽇本語吹き替え版) • 10分の簡単なIAMの概要 • https://explore.skillbuilder.aws/learn/course/external/view/elearning/5843/introduction-to- aws-identity-and-access-management-iam-japanese-ri-ben-yu-chuiki-tie-ban • AWS Foundations: Securing Your AWS Cloud (Japanese) (⽇本語吹き替え版) • 50分のAWSセキュリティの基本 • https://explore.skillbuilder.aws/learn/course/internal/view/elearning/1356/aws-foundations- securing-your-aws-cloud-japanese-ri-ben-yu-chuiki-tie-ban

Slide 56

Slide 56 text

56 合わせて読みたい AWS Skill Builderで無料のEラーニングがたくさんあるので活⽤する https://dev.classmetho d.jp/articles/aws- skillbuilder/

Slide 57

Slide 57 text

57 全員理解していないとどうなるか

Slide 58

Slide 58 text

58 実際のインシデントの事例 GitHubに乗ってから10分で悪⽤された No 時間状況 1 00:00 お客様がPoweruser権限のアクセスキーをPublicなGitHubリポジトリにPush 2 00:10 当該アクセスキーを利⽤した不正な操作が⾏われる 3 00:30 AWS様からの連絡を受け、弊社からお客様へアクセスキーが漏洩した旨、および、対応⽅法をご連絡（電話、メール） 4 01:00 当該キー経由で作成されたリソースを全て削除 5 XX:XX IAMユーザーのアクセスキーをローテーション 5 XX:XX IAMユーザーのパスワードをローテーション

Slide 59

Slide 59 text

59 実際のインシデントの事例実際にアクセスキーが漏洩したときに何が起きたか記録したブログ https://dev.class method.jp/article s/accesskey- leak/

Slide 60

Slide 60 text

60 便利に活⽤できるセキュリティサービス

Slide 61

Slide 61 text

61 AWSセキュリティのマネージドサービス • 2つのサービス • AWS Security Hub • AWS環境の設定をセキュリティチェックする • 危険な設定に気づいて是正できる • Amazon GuardDuty • AWS上のログから脅威を検知 • セキュリティの問題をいち早く発⾒して通知できる • どちらもポチッと有効化するだけ

Slide 62

Slide 62 text

62 AWS Security Hubのセキュリティチェック直感的なスコア表⽰で達成度がわかりやすい

Slide 63

Slide 63 text

63 ⾃動修復ソリューションセキュリティ運⽤の発展型として利⽤できる慣れてきてから利⽤する

Slide 64

Slide 64 text

64 合わせて読みたい Security Hubの解説とどんな⾵に運⽤したらいいかをまとめています https://dev.classmethod .jp/articles/aws- security-operation-with- securityhub-2021/

Slide 65

Slide 65 text

65 GuardDutyの検知内容(ほんの⼀部) IAMタイプ • 不正ログイン • 漏洩したクレデンシャル利⽤ • CloudTrail無効化 EC2タイプ • コインマイニング • C&Cサーバー接続 • SSHブルートフォース(受信 or 送信) S3タイプ • 不⾃然なバケット公開(情報漏えい) • Torアクセス

Slide 66

Slide 66 text

66 合わせて読みたい GuardDutyの解説とどんな⾵に運⽤したらいいかをまとめています https://dev.classmethod.jp/articl es/aws-security-operation-with- guardduty-2021/

Slide 67

Slide 67 text

67 合わせて読みたいどのようにAWS セキュリティを学んで活かしていくかという話 https://dev.classm ethod.jp/articles/2 20408-training- webinar-aws- security- management/

Slide 68

Slide 68 text

68 AWSのメリットを活かして始める • セキュリティ上のメリットはたくさんある • まずは様々なリソースを活⽤して把握する • 便利なマネージドサービスを使う

Slide 69

Slide 69 text

69 3. クラウドに対応した組織の作り⽅

Slide 70

Slide 70 text

70 クラウドに対応した組織 • AWSの全体管理の仕組みを活⽤する • 組織の形もクラウドに合わせる • 監査・品質管理もクラウドを利⽤する

Slide 71

Slide 71 text

71 AWS全体管理のセキュリティ⼿動の運⽤ではなく⾃動化された仕組みで対応する

Slide 72

Slide 72 text

72 AWSの全体管理 AWSでは全体管理をするための仕組みも充実 • AWS環境の払い出し時も⾃動化され最初からセキュアにする • AWSアカウント全体にガバナンスを適⽤ • 違反を防⽌や検知しもれなく対応

Slide 73

Slide 73 text

73 正しいAWSセキュリティの⽅針 • 何でも禁⽌する(ゲートを設ける)と俊敏性を損なう • 危なく無いようにガードレールを設けて、その中で⾃由にしてもらうようにする

Slide 74

Slide 74 text

74 AWS Organizationsとは • 複数のAWSアカウントを束ねる仕組み • OUを定義して配下にアカウントをまとめられる • Service Control Policy(SCP)を利⽤して強制的なアクセス制御が可能

Slide 75

Slide 75 text

75 SCPを利⽤したガードレール • SCPの例 • 特定リージョン使⽤禁⽌ • CloudTrail無効化禁⽌ • GuardDuty無効化禁⽌ • S3バケット公開禁⽌ • タグのないリソース作成禁⽌ • https://docs.aws.amazon.com/ja_jp/organizations/latest/user guide/orgs_manage_policies_scps_examples.html • 開発環境 / 本番環境 / 共⽤環境などで使い分けるガバナンスの維持に必要な設定は操作させない

Slide 76

Slide 76 text

76 合わせて読みたい Organizationsについて必要な知識や関連サービスについて⼀通り説明あり https://dev.classmethod.jp/articles/le ts-study-aws-organizations-basic/

Slide 77

Slide 77 text

77 AWS Identity Center(旧AWS SSO) AWSアカウントの認証情報を集約できるシングルサインオンの仕組み

Slide 78

Slide 78 text

78 合わせて読みたいよく分かる(かもしれない)図解 https://dev.classmetho d.jp/articles/aws-sso- wakewakame/

Slide 79

Slide 79 text

79 AWS Control Tower AWSのベストプラクティスに従った構成でガードレールを効かせる仕組み AWS Organizationsと連携する

Slide 80

Slide 80 text

80 合わせて読みたい Control Towerの必要性や背景、代替案などは全部ここで説明しています https://dev.classmethod.jp/art icles/jaws-days-2021-control- tower/

Slide 81

Slide 81 text

81 クラウドに最適化するために CCoEを⽴ち上げる

Slide 82

Slide 82 text

82 CCoEの例

Slide 83

Slide 83 text

83 合わせて読みたい CCoEの1つの実装例⽴ち上げ過程やどのような⽅針で推進したか解説されています https://dev.classmethod. jp/articles/shionogi- devshow/

Slide 84

Slide 84 text

84 合わせて読みたいクラウド推進する組織に必要なことが書いてある責任者も担当者も必読 https://dev.classmetho d.jp/articles/bookrevie w-ccoe-best-practice/

Slide 85

Slide 85 text

85 無料のデジタルトレーニングを活⽤する • AWSセキュリティ仕組みづくりに役⽴つコース • AWS Security Fundamentals (Second Edition) (Japanese) • AWSセキュリティ管理の2時間コース • https://explore.skillbuilder.aws/learn/course/external/view/elearning/602/aws-security- fundamentals-second-edition-japanese • Getting Started with AWS Security, Identity, and Compliance (Japanese) • 権限管理や統制の3時間コース • https://explore.skillbuilder.aws/learn/course/external/view/elearning/953/getting-started- with-aws-security-identity-and-compliance-japanese

Slide 86

Slide 86 text

86 合わせて読みたい AWS上級者となって会社全体のセキュリティを向上する仕組みづくりをするヒントはこちら参照 https://dev.classmet hod.jp/articles/devio -2022-how2make- strongest-aws- secure-accounts/

Slide 87

Slide 87 text

87 監査もクラウド対応する

Slide 88

Slide 88 text

88 セキュリティチェックリストもクラウド対応今までできなかったことが可能 • 担当者でブレる条件 • サンプリングしてチェック • 低い監査頻度従来の監査 • 設定値レベルの明確な条件 • 全数チェック • リアルタイムの監査 AWSでの監査

Slide 89

Slide 89 text

89 Cloud Audit Academy 無料のデジタルトレーニングあります https://explore.skillbuilder.aws/learn/course/internal/view/elearning/9931/Cloud-Audit-Academy- %E2%80%93- %E3%82%AF%E3%83%A9%E3%82%A6%E3%83%89%E3%81%AB%E3%81%A8%E3%82%89%E3% 82%8F%E3%82%8C%E3%81%AA%E3%81%84-Japanese- クラウドの監査について学ぶためのコンテンツ https://aws.amazon.com/jp/c ompliance/auditor-learning- path/

Slide 90

Slide 90 text

90 まとめ

Slide 91

Slide 91 text

91 まとめ • AWSとセキュリティの基本と特徴を押さえて安⼼して利⽤できるよう取り組む • マネージドサービスを活かし楽に全体のセキュリティを強化する • クラウドを利⽤する組織と仕組みを作りよりセキュアな運⽤を⽬指す

Slide 92

Slide 92 text

92 追加の参考情報

Slide 93

Slide 93 text

93 参考セッション1 AWS利⽤ガイドラインの策定事例

Slide 94

Slide 94 text

94 参考セッション2 クラウド利⽤の促進⽀援

Slide 95

Slide 95 text

95 ガイドライン作成の参考情報汎⽤的に利⽤できるガイドライン参考資料 Classmethod Cloud Guidebook作りました • AWS全体管理のガイドライン • AWS利⽤のガイドライン • AWSセキュリティチェックの対応⽅針提供予定です︕

Slide 96

Slide 96 text

96 参考セッション3 AWS Control Towerなど全体管理の⽀援

Slide 97

Slide 97 text

97 AWS全体管理の参考情報 AWS Organizationsの⽀援してます AWS全体管理の設計から、AWS Control Towerを利⽤したガードレールの整備、運⽤への落とし込みなど⽀援しています。

Slide 98

Slide 98 text

98 AWS⼈材育成参考情報 AWS認定トレーニング提供しています初めてAWSを触るところから、具体的なAWSのベストプラクティスを⼿を動かしたりワークショップしながら学習します。セキュリティ管理者向けのコースもあります。

Slide 99

Slide 99 text

99 合わせて読みたい初⼼者から上級者まで様々な⽅が利⽤できるコースを提供しています https://dev.classmet hod.jp/articles/aws- training-guide2022/

Slide 100

Slide 100 text

100 セキュアアカウントの構成最初からセキュアな状態でAWSアカウントを提供するセキュアアカウントオプションあります最初からこんな感じ

Slide 101

Slide 101 text

101 合わせて読みたいセキュアなAWS設定と実運⽤の例デフォルトでセキュリティを強化した AWSアカウント発⾏も無償でしてます(宣伝) https://dev.classmethod.j p/articles/aws-security- operation-bestpractice-on- secure-account/

Slide 102

Slide 102 text

102 セキュアアカウントの維持セキュアアカウントを既存の環境にも適⽤し、意図しない変更があると⾃動修復するサービスありますポータルより任意で設定可能

Slide 103

Slide 103 text

No content