Slide 1

Slide 1 text

セキュリティ⾯から考える AWSの始め⽅ 2022/10/26 クラスメソッド株式会社 AWS事業本部 ⾅⽥佳祐

Slide 2

Slide 2 text

2 こんにちは、⾅⽥です。 みなさん、 AWSのセキュリティ対策してますか︖(挨拶

Slide 3

Slide 3 text

3 ⾃⼰紹介 ⾅⽥佳祐(うすだけいすけ) ・クラスメソッド株式会社 / AWS事業本部 シニアソリューションアーキテクト セキュリティチームリーダー AWS公認インストラクター 2021 APN Ambassador 2022 APN AWS Top Engineers (Security) ・CISSP ・Security-JAWS運営 ・好きなAWSサービス: GuardDuty / Detective Security Hub みんなのAWS (技術評論社)

Slide 4

Slide 4 text

4 セッションテーマ セキュリティ的に安⼼して AWSを利⽤する

Slide 5

Slide 5 text

5 セッション対象者 • 所属 • AWSをこれから利⽤する企業の⽅ • AWS利⽤をあまり促進できていない企業の⽅ • 役割 • 現場の開発者 • 仕組みづくりをしている⽅ • 情シス / DX担当 • 役員 • つまり⼤体全員

Slide 6

Slide 6 text

6 アジェンダ 0. ⻑い前説 1. AWSとセキュリティの基本 2. AWSプロジェクトの始め⽅ 3. クラウドに対応した組織の作り⽅

Slide 7

Slide 7 text

7 0. ⻑い前説

Slide 8

Slide 8 text

8 いきなり質問 AWSのセキュリティに 不安がありますか︖

Slide 9

Slide 9 text

9 AWSのセキュリティで不安なこと(例) • そもそもの例 • クラウド利⽤時の情報漏えい事故を⽿にした • インターネットは危険 • データを持ち出したくない • 具体的な例 • 正しい設定がわからない • ベストプラクティス通りできているかわからない • もしかしたら不正利⽤されているかも

Slide 10

Slide 10 text

10 いきなり質問2 みなさんの会社の機密情報は 「今」安全ですか︖

Slide 11

Slide 11 text

11 「今」安全か︖ • そもそも機密情報はなんですか︖ • どこに保存されていますか︖ • 誰がアクセスしていい情報ですか︖ • 実際誰がアクセスしていますか︖ • 保存場所の設定は意図したとおりになっています か︖ • 今正常に利⽤できますか︖ • 誰が責任者ですか︖

Slide 12

Slide 12 text

12 「今」安全か知るためには 細かく把握する必要がある

Slide 13

Slide 13 text

13 「今」安全か確認するための要素(⼀例) • 情報分類の定義 • データとエンティティの識別 • 認証認可 • モニタリング • 証跡管理 • 責任範囲の定義

Slide 14

Slide 14 text

14 細かく把握できると 安全であることを説明できて 安⼼できる

Slide 15

Slide 15 text

15 AWSのセキュリティに不安があるのは AWSのセキュリティを よく知らないから あるいは今AWS環境がどうなっているか説明できないから

Slide 16

Slide 16 text

16 AWSではセキュリティの説明が可能 • AWSではAPIで各設定を⾏い、設定状況もAPIで確 認可能(可視性がある) • API経由で変更されたらそれをすべて記録(監査可能 である) • すべてのAPIアクションを細かく制御でき、禁⽌し たアクションの実⾏も検知できる(制御可能である) AWSはセキュリティと親和性が⾼い

Slide 17

Slide 17 text

17 説明可能なセキュリティの例 • 絶対外部からアクセスできない設定が可能 • 設定が保持されていることの確認や変更防⽌・アラートが可能 データ保存 • SSHポートがグローバルに開放されているか確認可能 • 不必要なポート開放の検知・⾃動修復が可能 ネットワーク アクセス • 操作者の権限を1アクション単位で定義可能 • 作成した権限がポリシーを満たしているか⾃動チェック可能 管理アクセス 制御

Slide 18

Slide 18 text

18 AWSではセキュリティを素早く正確に展開 • API経由で定義された設定を正確に、繰り返し同じ ように展開可能(正確性・再現可能性がある) • 定義通り素早く全環境に⼀括展開可能(⾃動化可能・ 俊敏性がある) • すべての設定を常に監視し違反をすべて洗い出すこ とが可能(全数チェック可能) AWSはセキュリティと親和性が⾼い

Slide 19

Slide 19 text

19 AWSのセキュリティを理解して 安⼼してAWSを利⽤できるようにしよう

Slide 20

Slide 20 text

20 合わせて読みたい セキュリティ対策 はだいたいここに 全部ある https://dev.classmethod.jp /articles/aws-security-all- in-one-2021/

Slide 21

Slide 21 text

21 1. AWSとセキュリティの基本

Slide 22

Slide 22 text

22 AWSの前にセキュリティの基本から

Slide 23

Slide 23 text

23 なぜセキュリティの基本が必要か • AWS上のセキュリティも考え⽅は変わらない • セキュリティの原則に従う必要がある セキュリティの知識 + AWSの知識

Slide 24

Slide 24 text

24 セキュリティの基本 セキュリティ対策のためにまずやること • 資産を洗い出す • 脅威とリスクを分析する • 責任を明確にする

Slide 25

Slide 25 text

25 セキュリティで守るもの 守りたいものはなんですか︖

Slide 26

Slide 26 text

26 守りたいもの(⼀部のざっくりした視点) • データ • 機密情報 • 顧客データ • 個⼈情報 • クレジットカード • コンテンツ • 利⽤者 • 個⼈情報 • 投稿したコンテンツ • 会社 • 業務システム • 会社⾃体 • 企業イメージ • 従業員 • 資⾦

Slide 27

Slide 27 text

27 守りたいものはどこにあるか︖(例えば) • サーバー • データベース • ストレージ • PC • 物理的な紙

Slide 28

Slide 28 text

28 守るものを把握する • どこにあるのか • 誰が責任者か • 誰が管理しているのか • 誰がアクセスできるのか • 今すぐに状態がわかるか すべて把握できていないと守れない 資産の洗い出し・特定して管理する

Slide 29

Slide 29 text

29 脅威とリスクを理解する どんな脅威がありますか︖

Slide 30

Slide 30 text

30 情報セキュリティで扱う脅威(⼀例) • 情報漏えい • ⾦銭の搾取 • サービス停⽌ • 改ざん • なりすまし • 権限昇格

Slide 31

Slide 31 text

31 脅威を理解しリスクを理解する • 脅威と脆弱性がかけ合わさり リスクが発⽣する • 資産の価値でリスクの⼤きさ が変わる • 脆弱性を減らすことでリスク を⼩さくできる • リスクに応じてどのように対 策するか検討する 資産 脆弱性 脅威 リスク

Slide 32

Slide 32 text

32 リスクを知り対策を知る(⼀例) • リスク: サーバーのデータが漏洩する • 根本対策: アクセス制御を徹底する • 補助対策: DLPを導⼊する 根本対策と補助対策で順序を間違えないようにする

Slide 33

Slide 33 text

33 設計にセキュリティを リスクがわかれば設計に反映できる • アクセス権限の洗い出し • 許可払い出しフローの管理 • 不要なサーバーポートの確認 • ソフトウェアの脆弱性管理 • ログの収集 • 送信元IPの集計 • 不審なIPのアラート

Slide 34

Slide 34 text

34 セキュリティの責任は誰にありますか︖

Slide 35

Slide 35 text

35 セキュリティは誰の責任︖ • セキュリティ担当者だけではない • 開発者 • 運⽤者 • 監査⼈ • 経営者 • などなど • つまり全員セキュリティ担当 • 必要な⼈が必要な範囲⾏う(責任範囲)

Slide 36

Slide 36 text

36 セキュリティの原則いろいろ • 最⼩権限 • 多層防御 • 識別・認証・認可 • システムの堅牢化 • フェールセーフ • シンプルにする • 職務の分離 • Design for Failure • ⼈は間違える • などなど 基本はいっしょ

Slide 37

Slide 37 text

37 既存のセキュリティ対策を活かす • セキュリティ対策の根本は変わらない • 原則に従った対応を既存の仕組みやリソースと組み 合わせて活⽤する • IDシステム • 情報の分類 • 情報セキュリティポリシー • 情報システム部の役割 ※古いものがあれば更新する

Slide 38

Slide 38 text

38 合わせて読みたい 情報セキュリティについて深く知⾒の あるエンジニアの育成には情報処理安 全確保⽀援⼠の試験は丁度いいかも 網羅的で原理原則と技術のバランスが いい 最新の技術もある 個⼈的にはこの教科書が好き 試験受かってからも何度も読んでる https://www.amazon.co.jp/dp/4798173193/

Slide 39

Slide 39 text

39 AWSの基本

Slide 40

Slide 40 text

40 そもそもなぜAWSを利⽤するのか AWSのメリットはなんですか︖

Slide 41

Slide 41 text

41 AWSが選ばれる10の理由 メリットを理解して有効に活⽤する https://aws.amazon.com/jp/aws-ten-reasons/

Slide 42

Slide 42 text

42 マネージドサービスとは︖ • インフラを気にせず機能を利⽤できる • やりたいことに注⼒できる

Slide 43

Slide 43 text

43 責任共有モデル 明確な責任範囲がある

Slide 44

Slide 44 text

44 責任共有モデルの詳細 サービスによって責任 分界点が違う マネージドサービスは AWS管理部分が多くや りたいことに集中でき る 顧客責任部分も丸投げ ではなく便利な仕組み が提供されている

Slide 45

Slide 45 text

45 2. AWSプロジェクトの始め⽅

Slide 46

Slide 46 text

46 AWSプロジェクトの始め⽅ • まずはAWSの特性や使い⽅を理解するところから • 社内で最初にAWSプロジェクトを始める担当者に はこれらをきちんと押さえてもらいましょう

Slide 47

Slide 47 text

47 AWS上で発⽣する脅威 • 誤った情報の公開・アクセス許可 • AWSはローカルPCの環境や社内の検証環境ではない • 簡単に外部に公開して迅速に展開できる基盤 • 権限不備で情報漏えいが起きたり • 不正な攻撃者がアカウントを乗っ取ることも • 資⾦の浪費 • 従量課⾦で安く使い始められるけど、適切に管理しない と請求がすごいことに

Slide 48

Slide 48 text

48 適切に脅威を把握し 適切に利⽤する

Slide 49

Slide 49 text

49 合わせて読みたい 「AWS利⽤開始時に 最低限おさえておきた い10のこと」 最初に知るべきことが まとまっている公式の 資料 https://pages.awscloud.com/eve nt_JAPAN_at-least-10- ondemand.html?trk=aws_event_ page

Slide 50

Slide 50 text

50 合わせて読みたい やることはこ こにまとまっ ています https://dev.clas smethod.jp/arti cles/aws- baseline- setting-202206/

Slide 51

Slide 51 text

51 厳密なアクセス制御とロギング AWSの操作はAPI経由 APIはIAMによりアクセ ス制御され、CloudTrail によりロギングされる 必ずリクエスト毎検証さ れる(リアルタイムの評価、 リプレイ攻撃の防⽌) API IAM アクセス制御 認証認可 ユーザー リソース CloudTrail APIロギング 証跡管理 整合性管理

Slide 52

Slide 52 text

52 AWS Well-Architectedフレームワーク 6つの柱に基づいたベストプラクティスを理解できる セキュリティの柱もあり

Slide 53

Slide 53 text

53 合わせて読みたい 初めて読む⼈はこのブ ログから読むとよく理 解できる https://dev.classmetho d.jp/articles/aws-well- architected-guide2022/

Slide 54

Slide 54 text

54 AWSを利⽤する⼤前提 すべてのAWS利⽤者は AWSの基本的なセキュリティを 理解する必要がある

Slide 55

Slide 55 text

55 無料のデジタルトレーニングを活⽤する • すべてのAWS利⽤者に以下を受講してもらう • Introduction to AWS Identity and Access Management (IAM) (Japanese) (⽇本語吹き替え版) • 10分の簡単なIAMの概要 • https://explore.skillbuilder.aws/learn/course/external/view/elearning/5843/introduction-to- aws-identity-and-access-management-iam-japanese-ri-ben-yu-chuiki-tie-ban • AWS Foundations: Securing Your AWS Cloud (Japanese) (⽇本語吹き替え版) • 50分のAWSセキュリティの基本 • https://explore.skillbuilder.aws/learn/course/internal/view/elearning/1356/aws-foundations- securing-your-aws-cloud-japanese-ri-ben-yu-chuiki-tie-ban

Slide 56

Slide 56 text

56 合わせて読みたい AWS Skill Builderで 無料のEラーニングが たくさんあるので活⽤ する https://dev.classmetho d.jp/articles/aws- skillbuilder/

Slide 57

Slide 57 text

57 全員理解していないと どうなるか

Slide 58

Slide 58 text

58 実際のインシデントの事例 GitHubに乗ってから10分で悪⽤された No 時間 状況 1 00:00 お客様がPoweruser権限のアクセスキーをPublicなGitHubリポジ トリにPush 2 00:10 当該アクセスキーを利⽤した不正な操作が⾏われる 3 00:30 AWS様からの連絡を受け、弊社からお客様へアクセスキーが 漏洩した旨、および、対応⽅法をご連絡(電話、メール) 4 01:00 当該キー経由で作成されたリソースを全て削除 5 XX:XX IAMユーザーのアクセスキーをローテーション 5 XX:XX IAMユーザーのパスワードをローテーション

Slide 59

Slide 59 text

59 実際のインシデントの事例 実際にアクセス キーが漏洩した ときに何が起き たか記録したブ ログ https://dev.class method.jp/article s/accesskey- leak/

Slide 60

Slide 60 text

60 便利に活⽤できる セキュリティサービス

Slide 61

Slide 61 text

61 AWSセキュリティのマネージドサービス • 2つのサービス • AWS Security Hub • AWS環境の設定をセキュリティチェックする • 危険な設定に気づいて是正できる • Amazon GuardDuty • AWS上のログから脅威を検知 • セキュリティの問題をいち早く発⾒して通知 できる • どちらもポチッと有効化するだけ

Slide 62

Slide 62 text

62 AWS Security Hubのセキュリティチェック 直感的な スコア表 ⽰で達成 度がわか りやすい

Slide 63

Slide 63 text

63 ⾃動修復ソリューション セキュリテ ィ運⽤の発 展型として 利⽤できる 慣れてきて から利⽤す る

Slide 64

Slide 64 text

64 合わせて読みたい Security Hubの解 説とどんな⾵に運⽤ したらいいかをまと めています https://dev.classmethod .jp/articles/aws- security-operation-with- securityhub-2021/

Slide 65

Slide 65 text

65 GuardDutyの検知内容(ほんの⼀部) IAMタイプ • 不正ログイン • 漏洩したクレデン シャル利⽤ • CloudTrail無効化 EC2タイプ • コインマイニング • C&Cサーバー接続 • SSHブルートフォ ース(受信 or 送信) S3タイプ • 不⾃然なバケット 公開(情報漏えい) • Torアクセス

Slide 66

Slide 66 text

66 合わせて読みたい GuardDutyの解説と どんな⾵に運⽤した らいいかをまとめて います https://dev.classmethod.jp/articl es/aws-security-operation-with- guardduty-2021/

Slide 67

Slide 67 text

67 合わせて読みたい どのようにAWS セキュリティを学 んで活かしていく かという話 https://dev.classm ethod.jp/articles/2 20408-training- webinar-aws- security- management/

Slide 68

Slide 68 text

68 AWSのメリットを活かして始める • セキュリティ上のメリットはたくさんある • まずは様々なリソースを活⽤して把握する • 便利なマネージドサービスを使う

Slide 69

Slide 69 text

69 3. クラウドに対応した組織の作り⽅

Slide 70

Slide 70 text

70 クラウドに対応した組織 • AWSの全体管理の仕組みを活⽤する • 組織の形もクラウドに合わせる • 監査・品質管理もクラウドを利⽤する

Slide 71

Slide 71 text

71 AWS全体管理のセキュリティ ⼿動の運⽤ではなく ⾃動化された仕組みで対応する

Slide 72

Slide 72 text

72 AWSの全体管理 AWSでは全体管理をするための仕組みも充実 • AWS環境の払い出し時も⾃動化され最初からセキュ アにする • AWSアカウント全体にガバナンスを適⽤ • 違反を防⽌や検知しもれなく対応

Slide 73

Slide 73 text

73 正しいAWSセキュリティの⽅針 • 何でも禁⽌する(ゲートを設ける)と俊敏性を損なう • 危なく無いようにガードレールを設けて、その中で ⾃由にしてもらうようにする

Slide 74

Slide 74 text

74 AWS Organizationsとは • 複数のAWSアカウント を束ねる仕組み • OUを定義して配下に アカウントをまとめら れる • Service Control Policy(SCP)を利⽤し て強制的なアクセス制 御が可能

Slide 75

Slide 75 text

75 SCPを利⽤したガードレール • SCPの例 • 特定リージョン使⽤禁⽌ • CloudTrail無効化禁⽌ • GuardDuty無効化禁⽌ • S3バケット公開禁⽌ • タグのないリソース作成禁⽌ • https://docs.aws.amazon.com/ja_jp/organizations/latest/user guide/orgs_manage_policies_scps_examples.html • 開発環境 / 本番環境 / 共⽤環境などで使い分ける ガバナンスの維持に 必要な設定は 操作させない

Slide 76

Slide 76 text

76 合わせて読みたい Organizationsについて 必要な知識や関連サービ スについて⼀通り説明あ り https://dev.classmethod.jp/articles/le ts-study-aws-organizations-basic/

Slide 77

Slide 77 text

77 AWS Identity Center(旧AWS SSO) AWSアカウントの認証情報を集約できる シングルサインオンの仕組み

Slide 78

Slide 78 text

78 合わせて読みたい よく分かる(かもし れない)図解 https://dev.classmetho d.jp/articles/aws-sso- wakewakame/

Slide 79

Slide 79 text

79 AWS Control Tower AWSのベストプラ クティスに従った構 成でガードレールを 効かせる仕組み AWS Organizationsと 連携する

Slide 80

Slide 80 text

80 合わせて読みたい Control Towerの必要 性や背景、代替案などは 全部ここで説明していま す https://dev.classmethod.jp/art icles/jaws-days-2021-control- tower/

Slide 81

Slide 81 text

81 クラウドに最適化するために CCoEを⽴ち上げる

Slide 82

Slide 82 text

82 CCoEの例

Slide 83

Slide 83 text

83 合わせて読みたい CCoEの1つの実装 例 ⽴ち上げ過程やどの ような⽅針で推進し たか解説されていま す https://dev.classmethod. jp/articles/shionogi- devshow/

Slide 84

Slide 84 text

84 合わせて読みたい クラウド推進する 組織に必要なこと が書いてある 責任者も担当者も 必読 https://dev.classmetho d.jp/articles/bookrevie w-ccoe-best-practice/

Slide 85

Slide 85 text

85 無料のデジタルトレーニングを活⽤する • AWSセキュリティ仕組みづくりに役⽴つコース • AWS Security Fundamentals (Second Edition) (Japanese) • AWSセキュリティ管理の2時間コース • https://explore.skillbuilder.aws/learn/course/external/view/elearning/602/aws-security- fundamentals-second-edition-japanese • Getting Started with AWS Security, Identity, and Compliance (Japanese) • 権限管理や統制の3時間コース • https://explore.skillbuilder.aws/learn/course/external/view/elearning/953/getting-started- with-aws-security-identity-and-compliance-japanese

Slide 86

Slide 86 text

86 合わせて読みたい AWS上級者となっ て会社全体のセキュ リティを向上する仕 組みづくりをするヒ ントはこちら参照 https://dev.classmet hod.jp/articles/devio -2022-how2make- strongest-aws- secure-accounts/

Slide 87

Slide 87 text

87 監査もクラウド対応する

Slide 88

Slide 88 text

88 セキュリティチェックリストもクラウド対応 今までできなかったことが可能 • 担当者でブレる条件 • サンプリングしてチェック • 低い監査頻度 従来の監査 • 設定値レベルの明確な条件 • 全数チェック • リアルタイムの監査 AWSでの監査

Slide 89

Slide 89 text

89 Cloud Audit Academy 無料のデジタルトレーニングあります https://explore.skillbuilder.aws/learn/course/internal/view/elearning/9931/Cloud-Audit-Academy- %E2%80%93- %E3%82%AF%E3%83%A9%E3%82%A6%E3%83%89%E3%81%AB%E3%81%A8%E3%82%89%E3% 82%8F%E3%82%8C%E3%81%AA%E3%81%84-Japanese- クラウドの監査につ いて学ぶためのコン テンツ https://aws.amazon.com/jp/c ompliance/auditor-learning- path/

Slide 90

Slide 90 text

90 まとめ

Slide 91

Slide 91 text

91 まとめ • AWSとセキュリティの基本と特徴を押さえ て安⼼して利⽤できるよう取り組む • マネージドサービスを活かし楽に全体のセ キュリティを強化する • クラウドを利⽤する組織と仕組みを作りよ りセキュアな運⽤を⽬指す

Slide 92

Slide 92 text

92 追加の参考情報

Slide 93

Slide 93 text

93 参考セッション1 AWS利⽤ガイドラインの策定事例

Slide 94

Slide 94 text

94 参考セッション2 クラウド利⽤の促進⽀援

Slide 95

Slide 95 text

95 ガイドライン作成の参考情報 汎⽤的に利⽤できるガイドライン参考資料 Classmethod Cloud Guidebook作りました • AWS全体管理のガイドライン • AWS利⽤のガイドライン • AWSセキュリティチェックの対応⽅針 提供予定です︕

Slide 96

Slide 96 text

96 参考セッション3 AWS Control Towerなど全体管理の⽀援

Slide 97

Slide 97 text

97 AWS全体管理の参考情報 AWS Organizationsの⽀援してます AWS全体管理の設計から、AWS Control Towerを利 ⽤したガードレールの整備、運⽤への落とし込みなど⽀ 援しています。

Slide 98

Slide 98 text

98 AWS⼈材育成参考情報 AWS認定トレーニング提供しています 初めてAWSを触るところから、 具体的なAWSのベストプラクティスを⼿を動かしたり ワークショップしながら学習します。 セキュリティ管理者向けのコースもあります。

Slide 99

Slide 99 text

99 合わせて読みたい 初⼼者から上級 者まで様々な⽅ が利⽤できるコ ースを提供して います https://dev.classmet hod.jp/articles/aws- training-guide2022/

Slide 100

Slide 100 text

100 セキュアアカウントの構成 最初からセキュアな状態でAWSアカウントを提供する セキュアアカウントオプションあります 最初から こんな感じ

Slide 101

Slide 101 text

101 合わせて読みたい セキュアなAWS設定 と実運⽤の例 デフォルトでセキュ リティを強化した AWSアカウント発⾏ も無償でしてます(宣 伝) https://dev.classmethod.j p/articles/aws-security- operation-bestpractice-on- secure-account/

Slide 102

Slide 102 text

102 セキュアアカウントの維持 セキュアアカウントを既存の環境にも適⽤し、意図しな い変更があると⾃動修復するサービスあります ポータルより 任意で設定可能

Slide 103

Slide 103 text

No content