Slide 1
Slide 1 text
AWSアカウントセキュリティ(セキュアアカウント)
入門セミナー
~面倒な設定はクラスメソッドにお任せ!~
クラスメソッド株式会社
Slide 2
Slide 2 text
3
本日の流れ
1. 本セミナーの対象者
2. セキュアアカウントの概要とメリット
3. セキュアアカウントの始め方
a. 初期導入機能
b. 設定維持機能
4. セキュアアカウントを始めたら
5. セキュアアカウント運用について
6. まとめ
Slide 3
Slide 3 text
4
本セミナーの対象者
1. 本セミナーの対象者
2. セキュアアカウントの概要とメリット
3. セキュアアカウントの始め方
a. 初期導入機能
b. 設定維持機能
4. セキュアアカウントを始めたら
5. セキュアアカウント運用について
6. まとめ
Slide 4
Slide 4 text
5
本セミナーの対象者
● 対象者
○ クラスメソッドメンバーズ加入済み(予定)
■ エンジニアや管理職の方
■ AWSアカウントのセキュリティ対策を何したら良いか分から
ない方
● 学べること
○ セキュアアカウントサービスの概要や導入メリット
○ セキュアアカウントの始め方〜運用イメージ
● 目標
○ セキュアアカウント導入検討の判断材料が得られていること
Slide 5
Slide 5 text
6
本セミナーの対象者
Slide 6
Slide 6 text
7
セキュアアカウントの概要とメリット
1. 本セミナーの対象者
2. セキュアアカウントの概要とメリット
3. セキュアアカウントの始め方
a. 初期導入機能
b. 設定維持機能
4. セキュアアカウントを始めたら
5. セキュアアカウント運用について
6. まとめ
Slide 7
Slide 7 text
8
セキュアアカウント とは?
セキュアアカウントの概要とメリット
Slide 8
Slide 8 text
9
セキュアアカウントの概要とメリット
セキュアアカウントとは、AWSが推奨するセキュリティベストプラクティスをアカウントに
適用いただけるサービスです。
セキュアアカウントを利用すると、AWSアカウントに対する最低限のセキュリティ対策を手
軽に実装できます。
● AWSアカウント内の脅威に対して「事前防止」「発見」「調査」各
フェーズの対策
○ 事前防止:アカウント内の危険な設定の検知
○ 発見:アカウント内の不正利用など危険な挙動の検知
○ 調査:アカウント内の操作・リソース記録の管理や調査サポート
● アカウント内の危険な設定を是正した状態での払い出し
Slide 9
Slide 9 text
10
想定インシデント の紹介
想定インシデントの紹介
Slide 10
Slide 10 text
11
想定インシデント:不正アクセスによるコインマイニング被害
Slide 11
Slide 11 text
12
想定インシデント:不正アクセスによるコインマイニング被害
Slide 12
Slide 12 text
13
想定インシデント:不正アクセスによるコインマイニング被害
Slide 13
Slide 13 text
14
想定被害額
● 想定被害額
○ 1時間で数百ドル(500$)と仮定した場合
■ 単純計算で、1日だと$12000、一ヶ月で$360000
■ 2023/6/27時点でのドル円レート143.45円で計算すると、
一ヶ月の被害額は約5164万円
Slide 14
Slide 14 text
15
想定インシデント に対する
セキュアアカウントの有効性
想定インシデントに対するセキュアアカウントの有効性
Slide 15
Slide 15 text
16
想定インシデントに対するセキュアアカウントの有効性
Slide 16
Slide 16 text
17
想定インシデントに対するセキュアアカウントの有効性
● 事前防止:Security Hub
○ 今回の場合は、IAMユーザーアカウントにMFAが登録されてい
ないことを検知する
● 発見:GuardDuty
○ 今回の場合は、アカウント内の不正アクセスやコインマイニン
グの挙動を検知する
Slide 17
Slide 17 text
18
想定インシデントに対するセキュアアカウントの有効性
● 調査:Detective、GuardDuty、CloudTrail、Config
○ 今回の場合は、攻撃者のアカウント内の動きの記録を確認する
● 対応
○ GuardDutyの検出結果タイプが対応の参考になる
○ クラスメソッドメンバーズご利用のお客様は、不正利用等の対
応をサポートさせていただきます
○ それでも被害を最小限に食い止めるためには、事前に対応体制
を整えておくことが必要です
Slide 18
Slide 18 text
19
想定インシデントまとめ
● セキュアアカウントを利用することで、不正利用の各フェーズに
て対策が行えます!
● 様々な攻撃手法でアカウントは常に脅威に晒されていますので、
セキュアアカウントを利用し、被害の事前防止や縮小に努めま
しょう
● 一番事例の多いアクセスキー流出からのコインマイニング被害は
下記記事をご参照ください
○ 参考:【実録】アクセスキー流出、攻撃者のとった行動とその
対策
Slide 19
Slide 19 text
20
セキュアアカウント全体図 の紹介
セキュアアカウント全体図
Slide 20
Slide 20 text
21
セキュアアカウント全体図
Slide 21
Slide 21 text
22
セキュリティサービス有効化+チューニング機能の紹介
Slide 22
Slide 22 text
23
セキュリティアラート整形+通知設定機能の紹介
Slide 23
Slide 23 text
24
AWS上の証跡管理の紹介
Slide 24
Slide 24 text
25
初期設定の是正機能紹介
Slide 25
Slide 25 text
26
料金の紹介
料金の紹介
Slide 26
Slide 26 text
27
料金の紹介
● 前提
○ AWSサービスの利用費のみ頂戴します
○ 設定手数料などの諸費用はいただきません
● 料金がかかるサービス例
○ Amazon GuardDuty
○ Amazon Detecitve
○ AWS Security Hub
○ AWS Config
○ AWS Key Management Service
○ etc
Slide 27
Slide 27 text
28
料金の紹介
● AWSサービス利用費は以下に依存します
■ Amazon GuardDutyとAmazon Detective
● AWS内の操作回数
● VPC内のトラフィック量
● Route53による名前解決の回数
● その他保護対象リソース(S3やEKSなど)に関する諸分析量
● etc
■ AWS Config と AWS Security Hub
● AWSリソースの構築や設定変更の回数
● etc
Slide 28
Slide 28 text
29
料金の紹介
● 実際にかかる料金
○ アカウント内全体利用費の数%程度の追加が目安となります
○ AWSアカウントの操作や利用がほとんどない状態でも毎月 $5〜
$15 程度発生します
Slide 29
Slide 29 text
30
セキュアアカウントの始め方(初期導入機能)
1. 本セミナーの対象者
2. セキュアアカウントの概要とメリット
3. セキュアアカウントの始め方
a. 初期導入機能
b. 設定維持機能
4. セキュアアカウントを始めたら
5. セキュアアカウント運用について
6. まとめ
Slide 30
Slide 30 text
31
セキュアアカウントの始め方(初期導入機能)
Slide 31
Slide 31 text
32
セキュアアカウントの始め方(初期導入機能)
1. 新規アカウントを発行する場合(組織管理プランなど一部プランのぞ
く)、こちらのフォームにて新規アカウント発行申請を行います。
2. その後、アカウント情報ページのセキュリティ設定オプションにて「セ
キュア」を選択します。
Slide 32
Slide 32 text
33
セキュアアカウントの始め方(初期導入機能)
Slide 33
Slide 33 text
34
セキュアアカウントの始め方(設定維持機能)
1. 本セミナーの対象者
2. セキュアアカウントの概要とメリット
3. セキュアアカウントの始め方
a. 初期導入機能
b. 設定維持機能
4. セキュアアカウントを始めたら
5. セキュアアカウント運用について
6. まとめ
Slide 34
Slide 34 text
35
セキュアアカウントの始め方(設定維持機能)
Slide 35
Slide 35 text
36
セキュアアカウントの始め方(設定維持機能)
● 「設定維持」機能の概要紹介
○ メンバーズポータルサイトから利用
○ 毎週土曜日にメンテナンスが実施
○ 発行済みアカウントに対しても「初期導入」機能の設定再現可能
Slide 36
Slide 36 text
37
セキュアアカウントの始め方(設定維持機能)
Slide 37
Slide 37 text
38
セキュアアカウントの始め方(設定維持機能)
Slide 38
Slide 38 text
39
セキュアアカウントの始め方(設定維持機能)
Slide 39
Slide 39 text
40
セキュアアカウントの始め方(設定維持機能)
Slide 40
Slide 40 text
41
セキュアアカウントの始め方(設定維持機能)
Slide 41
Slide 41 text
42
発行済みアカウントに完全なセキュアアカウントを適用する場合
● 発行済みアカウントにて、
「初期導入」機能を再現する
場合は、左図の設定にて保存
します。
● 既存の環境に影響を与える可
能性がございますので、必ず
メンバーズサービス仕様書を
ご確認いただいた上でのご利
用をお願いします
Slide 42
Slide 42 text
43
セキュアアカウントを始めたら
1. 本セミナーの対象者
2. セキュアアカウントの概要とメリット
3. セキュアアカウントの始め方
a. 初期導入機能
b. 設定維持機能
4. セキュアアカウントを始めたら
5. セキュアアカウント運用について
6. まとめ
Slide 43
Slide 43 text
44
セキュアアカウント利用後の作業
● 以下の作業が必要になります。
○ IAMユーザーのMFA登録作業
■ 参考:AWS IAM MFAをスマートフォンで設定する方法
○ 「Security Hub」「GuardDuty」「IAM Access Analyzer」の検知
メールの登録作業
■ 参考:【セキュアアカウント】セキュリティアラートをメールで
通知してみよう
○ Security Hubのスコアを100%にする作業
■ 参考:[入門]社内勉強会で AWS Security Hubの話をしました
Slide 44
Slide 44 text
45
セキュアアカウント運用について
1. 本セミナーの対象者
2. セキュアアカウントの概要とメリット
3. セキュアアカウントの始め方
a. 初期導入機能
b. 設定維持機能
4. セキュアアカウントを始めたら
5. セキュアアカウント運用について
6. まとめ
Slide 45
Slide 45 text
46
セキュアアカウント運用について(事前防止)
Slide 46
Slide 46 text
47
セキュアアカウント運用について(事前防止)
● 事前防止
○ 被害発生を防ぐためSecurity Hubのスコアは常に100%を目指す
● 危険設定が検知された際は、設定を修復します
● 検知内容に問題ない場合は、アラートを抑制します
○ 参考
■ [入門]社内勉強会で AWS Security Hubの話をしました
● Security Hubの概要が分かります
■ AWS Security Hub 基礎セキュリティのベストプラクティスコン
トロール修復手順の記事一覧
● 設定の修復手順がまとめられています
Slide 47
Slide 47 text
48
セキュアアカウント運用について(発見)
● 発見
○ GuardDutyで脅威を発見しましょう
● 不正利用等の脅威が発生した場合にすぐ気付けるようにする
○ 先ほど紹介した検知メール登録作業を行う
○ 脅威が発生した際に、迅速に対応する体制を作る
○ 参考
■ [2021年版]Amazon GuardDutyによるAWSセキュリティ運用を考え
る
● GuardDutyの概要が分かります
■ 検出結果タイプ
● GuardDutyが検知する脅威がまとめられています
Slide 48
Slide 48 text
49
セキュアアカウント運用について(調査と対応)
● 調査と対応
○ Detective等を使用して脅威イベントの情報を収集する
■ 脅威レベルを把握し、適切な対応を行いましょう
■ 対応はクラスメソッドからもサポート可能です
● お問い合わせはメンバーズポータルのお問い合わせページから
○ 参考
■ [神ツール]セキュリティインシデントの調査が捗るAmazon Detectiveが
GAしたのでメリットとオススメの使い方を紹介します
● Detectiveの概要が分かります
■ 【実録】アクセスキー流出、攻撃者のとった行動とその対策
● 不正アクセスが発生した際の対応までの流れが分かります
Slide 49
Slide 49 text
50
まとめ
1. 本セミナーの対象者
2. セキュアアカウントの概要とメリット
3. セキュアアカウントの始め方
a. 初期導入機能
b. 設定維持機能
4. セキュアアカウントを始めたら
5. セキュアアカウント運用について
6. まとめ
Slide 50
Slide 50 text
51
セキュアアカウントまとめ
● セキュアアカウントはクラスメソッドが長年に渡り培ってきたセ
キュリティベストプラクティスを詰め込んだサービスです
● セキュリティ対策にお困りの方はセキュアアカウントを導入し、
AWSが推奨するセキュリティベストプラクティスを整えましょう
Slide 51
Slide 51 text
52
参考ページ
● メンバーズポータルお問い合わせページ
● AWSアカウントセキュリティ
● クラスメソッドメンバーズ サービス仕様書
● [安全なAWSセキュリティ運用ナレッジ2022]セキュアアカウントの使
い方
● セキュアアカウント発行サービスに関するFAQ
○ 設定の変更・解除方法等も記載しています