Slide 1
Slide 1 text
今すぐ実践できる!
AWSセキュリティ対策のススメ
クラスメソッド株式会社 AWS事業本部 コンサルティング部
芦沢広昭
1
Slide 2
Slide 2 text
2
自己紹介
芦沢 広昭 (ASHIZAWA Hiroaki)
❖ 所属
クラスメソッド株式会社 AWS事業本部 コンサルティング部
/ ソリューションアーキテクト
❖ 担当業務
・AWS設計構築 / コンサルティング
・プリセールス
❖ その他
・技術コミュニティ運営 (Hibiya Tech)
・2023〜2024 Japan AWS All Certifications Engineers
・2024 Japan AWS Top Engineers (Security)
Slide 3
Slide 3 text
3
セキュリティ対策やっていますか?
Slide 4
Slide 4 text
4
なぜセキュリティ対策をするのか?
Slide 5
Slide 5 text
自宅の防犯対策をしない
↓
泥棒が来たとき 大切な個人の財産が奪われる
5
なぜセキュリティ対策をするのか
Slide 6
Slide 6 text
自宅の防犯対策をする
↓
泥棒が来ても 大切な資産が奪われない
6
なぜセキュリティ対策をするのか
Slide 7
Slide 7 text
7
なぜ情報セキュリティ対策をするのか
企業の情報資産のセキュリティ対策をしない
↓
攻撃されたとき 大切な企業の情報資産が奪われる
Slide 8
Slide 8 text
8
なぜ情報セキュリティ対策をするのか
企業の情報資産のセキュリティ対策をする
↓
攻撃されても 大切な企業の情報資産が奪われない
Slide 9
Slide 9 text
9
攻撃の糸口とセキュリティ対策
Slide 10
Slide 10 text
10
情報セキュリティ対策の基本
ソフトウェアの脆弱性 ソフトウェアの更新 : 脆弱性を解消し攻撃によるリスクを低減する
ウイルス感染 セキュリティソフトの利用: 攻撃をブロックする
パスワード窃取 パスワード管理 / 認証強化: パスワード窃取によるリスクを低減する
設定不備 設定の見直し : 誤った設定を攻撃に利用されないようにする
誘導(罠に嵌める) 脅威・手口を知る : 手口から重要視すべき対策を理解する
➢ 多数の脅威はあるが「攻撃の糸口」は似通っている
➢ 基本的な対策は 長年変わらず 、基本を意識することが重要
攻撃の糸口 情報セキュリティ対策の基本:目的
参考: IPA - 情報セキュリティ10大脅威 2024 簡易説明資料 [組織編] P6
Slide 11
Slide 11 text
11
情報セキュリティ対策の基本 +α
インシデント全般 責任範囲の明確化 (理解):インシデント発生時に誰(どの組織)が対応する責任
があるのかを明確化(理解)する
クラウドの停止 代替案の準備: 業務が停止しないように代替策を準備する
クラウドの仕様変更 設定の見直し: 仕様変更により意図せず変更された設定を適切な設定に直す
(設定不備による情報漏洩や攻撃への悪用を防止する)
備える対象 情報セキュリティ対策の基本 +α:目的
引用: IPA - 情報セキュリティ10大脅威 2024 簡易説明資料 [組織編] P7
➢ クラウドサービス利用を想定した +αの対策を行い備える必要がある
Slide 12
Slide 12 text
12
+αの対策、できていますか?
Slide 13
Slide 13 text
13
AWSセキュリティの基本的な考え方
引用: AWS - クラウドセキュリティ - 責任共有モデル
Slide 14
Slide 14 text
14
AWSセキュリティの基本的な考え方
引用: AWS - クラウドセキュリティ - 責任共有モデル
この範囲すべてを
対策する責任がある
Slide 15
Slide 15 text
15
AWS Summitで紹介したこと
クラスメソッド流 AWSセキュリティの
「責任」の果たし方
をご紹介します
※概要のみ
Slide 16
Slide 16 text
16
本セッションでは ...
クラスメソッド流 AWSセキュリティの
「責任」の果たし方
をご紹介します
※概要 + 具体的な対応方法
Slide 17
Slide 17 text
17
アジェンダ
1. はじめに ←ここまで話したこと
2. AWSセキュリティ対策の始め方と運用方法
3. AWSセキュリティ対策状況の可視化
4. まとめ
Slide 18
Slide 18 text
18
2. セキュリティ対策の始め方と運用方法
Slide 19
Slide 19 text
19
AWSセキュリティの考え方の1つ
セキュリティを階層(レイヤー)
で分けて考える
Slide 20
Slide 20 text
20
レイヤー別に分ける AWSセキュリティ
大きく2つのレイヤーに分けて考えると...
● AWSレイヤーのセキュリティ
○ IAM、S3、EC2などのAWSリソース
● OS / アプリケーションレイヤー のセキュリティ
○ ネットワーク、OS、ミドルウェア、アプリケーション、コンテナなど
引用: 「コンテナもサーバーレスも、 AWSの各レイヤーの最新セキュリティ」というタイトルで登壇しました | DevelopersIO
Slide 21
Slide 21 text
21
AWSにおけるセキュリティレイヤーの考え方
引用: AWS - クラウドセキュリティ - 責任共有モデル
Slide 22
Slide 22 text
22
AWSにおけるセキュリティレイヤーの考え方
引用: AWS - クラウドセキュリティ - 責任共有モデル
Slide 23
Slide 23 text
23
どこから始めたらいい?
Slide 24
Slide 24 text
24
Q. どこから始めたらいい?
まずはAWSレイヤーのセキュリティから
Slide 25
Slide 25 text
25
なぜAWSレイヤーからなのか?
Slide 26
Slide 26 text
26
Q. なぜAWSレイヤーからなのか?
答え:
今すぐ始められるから
&
費用対効果が高いから
Slide 27
Slide 27 text
Amazon GuardDuty
27
代表的なAWSレイヤーの対策サービス
AWS Security Hub
Slide 28
Slide 28 text
Amazon GuardDuty
28
代表的なAWSレイヤーの対策サービス
AWS Security Hub
Slide 29
Slide 29 text
29
Amazon GuardDutyとは
● AWSアカウントやAWSリソースに対する脅威をリアルタイムで検知
● 検知したアラートをメールやチャットツールに通知できる
● 従量課金 & 30日間の無料期間(初回有効化時のみ)がある
Slide 30
Slide 30 text
30
Amazon GuardDutyの始め方
● AWSマネジメントコンソールから数クリックで有効化
※利用中のすべてのリージョンで有効化してほしい
Slide 31
Slide 31 text
31
Amazon GuardDutyの運用方法
1. アラート通知時の対応フローをあらかじめ決めておく
→誰が対応するのか、初動調査の手順の整備、など
※参考:[2021年版]Amazon GuardDutyによるAWSセキュリティ運用を考える
2. EventBridge + SNSを作成してアラートを任意のツールへ通知させる
※参考:GuardDutyの検出結果通知をCloudFormationで設定してみた
※参考:Amazon GuardDutyの通知をカスタマイズしてSlackに通知してみた
3. GuardDutyサンプルイベントを発行して対応フローを試してみる
※参考:Amazon GuardDutyで1つのサンプルイベントのみ発生させる方法
4. 日々の運用の中で対応フローをメンテ・改善していく
Slide 32
Slide 32 text
32
参考:セキュアアカウントサービスのご紹介
AWSセキュリティの初期設定と設定維持をサポートするサービスです
● 各種必要なセキュリティ設定(※)を有効化した状態でAWSアカウントを払い出
し、誤って設定変更しても元のセキュアな設定に戻します
● 「クラスメソッドメンバーズ」の加入特典です(無料)
※全リージョンのAmazon GuardDuty、AWS Security Hubの有効化を含む
引用: AWSアカウントセキュリティ | AWS総合支援 | クラスメソッド株式会社
Slide 33
Slide 33 text
33
参考:インシデント自動調査機能のご紹介
引用: インシデント自動調査 | AWS総合支援 | クラスメソッド株式会社
GuardDutyの運用をサポートするサービスです
● Amazon GuardDutyの検出結果を自動で調査、概要の可視化、
判断に役立つレコメンドを合わせて日本語で通知します
● 「クラスメソッドメンバーズプレミアムサービス」の加入特典(有償)
Slide 34
Slide 34 text
34
参考:インシデント自動調査サービスの概要
Slide 35
Slide 35 text
Amazon GuardDuty
35
代表的なAWSレイヤーの対策サービス
AWS Security Hub
Slide 36
Slide 36 text
● AWSリソースの設定値を自動でチェック、セキュリティ観点で
誤った設定となっていないか確認できる (= Cloud Security Posture Management, CSPM)
● チェック結果はマネジメントコンソールから一覧で確認でき、
全体の結果に基づいてセキュリティスコアが表示される
● 従量課金 & 30日間の無料期間(初回有効化時のみ)がある
36
AWS Security Hubとは
Slide 37
Slide 37 text
37
AWS Security Hubの始め方
● AWSマネジメントコンソールから数クリックで有効化
※セキュリティ標準は『AWS 基礎セキュリティのベストプラクティス v1.0.0』がおすすめ
※有効化後、数時間以内に完全なチェック結果が表示される
※利用中のすべてのリージョンで有効化してほしい
Slide 38
Slide 38 text
38
AWS Security Hubの運用方法
1. コントロールID毎に重要度などを基準に優先度・対応方針を決める
例) 重要度Critical/High優先、重要度Lowはやらない、IAM.8は無効化
※参考:[Security Hub] ワークフローステータス「抑制済み」を使ってセキュリティチェックのリソース例外を
登録する
2. 方針に基づいてコントロールを整理する(抑制・無効化)
3. 違反している AWSリソースの修正対応を進める
→できればスコア100%を目指す
4. 定期的なSecurity Hubチェック結果の棚卸しを行う
Slide 39
Slide 39 text
39
参考:Classmethod Cloud Guidebookのご紹介
引用: クラスメソッドメンバーズのお客様向けに公開している「 Classmethod Cloud Guidebook (CCG)」の使い方 | DevelopersIO
● 「クラスメソッドメンバーズ」のお客様向けに無償公開している
AWS活用のノウハウが詰まったナレッジ集
● AWS Security Hubガイドでは、AWS Security Hubの各検知項目の解
説、無効化/抑制する場合の判断基準がまとめられています
Slide 40
Slide 40 text
40
OS・アプリケーションレイヤーの
セキュリティはどうやったらいいの?
Slide 41
Slide 41 text
Amazon GuardDuty
OS/アプリ・コンテナ等の脅
威検知を実装できる
例)
Amazon EC2からの
コインマイニング通信 を検知
Amazon EC2上の
OSのマルウェア感染 を検知
Amazon ECSのコンテナランタイ
ムの異常な振る舞い を検知
41
OS / アプリレイヤーの対策サービス
AWS WAF
Web通信を監視 /ブロックで
きるAWSマネージドなWAFを
実装できる
例)
SQLインジェクション、XSSなど脆
弱性を悪用した攻撃 や、
不正なBotによるアクセス を
遮断する
Amazon Inspector
Amazon EC2やコンテナ、
AWS Lambda上の脆弱性ス
キャンができる
例)
Amazon EC2にインストールされ
たパッケージの脆弱性 を検知
AWS Lambda関数のコード内に
含まれる脆弱性 を検知
Slide 42
Slide 42 text
42
Q. OS / アプリレイヤーのセキュリティ対策方法
答え:
AWSサービスと 3rd Party製品を
組み合わせた対応をおすすめしたい
Slide 43
Slide 43 text
43
OSアプリレイヤーのAWS-SaaS 比較・組み合わせ
Slide 44
Slide 44 text
44
3. セキュリティ対策状況の可視化
Slide 45
Slide 45 text
45
御社のAWSセキュリティ対策は
今、どの程度できていますか?
Slide 46
Slide 46 text
46
回答の例
年に1回脆弱性診断をやっている
が、今どうなっているかはわからない ...
Slide 47
Slide 47 text
47
回答の例
AWS Security HubのAFSBPを活用して
セキュリティスコアを 100%に維持するような
運用をしています
GuardDutyやInspectorの運用もしている
ただ、今どこまでできているのか自信がない
Slide 48
Slide 48 text
48
AWSセキュリティ対策における悩み
● AWSセキュリティ対策に漠然とした不安がある
● やれることがたくさんあるがどこから手をつけたらいいか
わからない
● セキュリティに強い会社がどんなことをやっているのか知
りたい
Slide 49
Slide 49 text
49
つまり...
より広範囲の AWSセキュリティを俯瞰し
可視化できる解決策が必要
Slide 50
Slide 50 text
50
AWSセキュリティ成熟度モデル
● AWSセキュリティ対策がどの程度実現できて
いるか定量的に測るためのフレームワーク
● AWS公式ドキュメントではないが、多くの
ユーザーによる活⽤実績がある
● 9つのセキュリティカテゴリと4段階のフェー
ズに区切ってセキュリティ対策がマッピング
されている
引⽤
:https://maturitymodel.security.aws.dev/en/model/
Slide 51
Slide 51 text
51
4段階のフェーズ
● 「クイックウィン」〜「最適化」まで、4 段階のフェーズ分け
● はじめに⽬指す指針としてはフェーズ 2 の「基礎」
クイックウィン 基礎 効率化 最適化
フェーズ 1 フェーズ 2 フェーズ 3 フェーズ 4
はじめの⽬標
今すぐできる
Slide 52
Slide 52 text
ツール(Excel)が利用可能 52
ダウンロード
引⽤:https://maturitymodel.security.aws.dev/en/assessment-tools/
Slide 53
Slide 53 text
ツールを利用した評価方法 53
①チェック ②必要に応じてコメント
※日本語化しています(元は英語)
Slide 54
Slide 54 text
54
評価結果
カテゴリごとに達成レベルが可視化!
不⾜部分のセキュリティ
対策を強化!
※日本語化しています(元は英語)
Slide 55
Slide 55 text
使用する際の注意点 55
● AWSセキュリティ成熟度モデルはあくまで指標
● フェーズ3,4は、より高度なセキュリティ対策のため必ずしも満たす必要はない
○ 実際に運用する場合には実現が難しいことがある
○ 「一般的な目指すべき理想の状態の1つ」と捉える
● 各推奨事項を深く理解するためには、 AWSセキュリティに関する専門的な知識が必
要
○ AWS Certified Security - Specialty有資格者
○ 有資格者がいなければ取得を推進する
Slide 56
Slide 56 text
56
(参考)AWSセキュリティ強化プログラムの紹介
● AWSセキュリティ成熟度モデルを独自にチューニングし、日本語化した
ツールを利用してセキュリティ状況をヒアリング・可視化します
● 対策が不十分 or 強化したい項目の対策の提案まで対応します (別途見積もり)
Slide 57
Slide 57 text
57
4. まとめ
Slide 58
Slide 58 text
58
まとめ
● AWSのセキュリティをレイヤー別 に考えてみよう
○ OS / アプリケーションレイヤー、AWSレイヤー
● まずは費用対効果の高いAWSレイヤーのセキュリティから 始め
ることをお勧めします
○ Amazon GuardDuty、AWS Security Hubを全リージョン有効化
○ 通知設定を忘れずに、できれば運用フロー作成まで
● より広範囲のセキュリティ対策を可視化したい場合は
AWSセキュリティ成熟度モデル を活用したい
Slide 59
Slide 59 text
59