AWSでのセキュリティ対策、 多少はやってこうぜ！ JAWS-UG東京 ランチタイムLT会 #6 2023/12/18 製造業の情シス こばやし

自己紹介 経歴 • 2000年代に国内大手の製造業に入社して以来、 20年以上ずーっと情報システム部門で社内SEやってる人 好きなAWSサービス Lambda Cost Explorer ひと言アピール • 「クラウド x セキュリティ」の人を目指してます！ AWS 全冠を目指すも、まだ9冠 情報処理安全確保支援士は未登録 こばやし (@jkobax)

結論ファースト ❶ とりあえず、迷ったらこの2つを有効化しよう🔰 AWS Security Hub Amazon GuardDuty ❷ どちらも30日間無料💰で試せるので、すぐ始めよう🚄 ❸ 定期的⏰に確認して対策する運用🧑🏻‍💻を確立しよう ❌

みなさん、こんなお悩み抱えてませんか ヘイシャでは、クラウド活用黎明期によく以下のようなやり取りがありました。 セキュリティ！？わざわざうちの環境狙う人いないし大丈夫でしょ 😄 AWSのセキュリティ関連のサービス多過ぎ！選べない！！ 🤯 開発だけでも手一杯でセキュリティのこと考える余裕ないよ…… 😵‍💫 サービス増やすとお金かかるんでしょ！？いくらかワカンナイけど 🤑

心理的な罠に対して正論で反論します👊

罠❶ 過度の楽観視 この広大なインターネットで、わざわざうちの環境が狙われるなんて奇跡、 起こるわけないやろ！ 宝くじじゃないんだからさ…… 世界中でクラウド環境の設定不備などが原因で めちゃくちゃ情報漏洩やサービス停止がおきてるぞ！ 情報感度が低いのは自慢できることじゃないぞ。 攻撃する側は機械的なスキャンもしてるから、 企業規模とかまったく関係ないぞ！！(APTを除く) 🫵😠 正論さん

罠❷ セキュリティをあとから考えがち まずは機能の充足を優先させなきゃいけないし、セキュリティなんてあとあと！ 余裕ができたらそのときに考えるわ。 (いつになるかワカランけど……) そんなこと言っててそのままGo-Liveになるんやぞ！ 攻撃されてから慌てて守っても遅いぞ。 あとからやる方が難しいし、大変だから最初が肝心。 シフトレフトで早め早めにセキュリティを作り込むんや。 DevSecOpsな体制を構築せよ！ 🫵😠 正論さん

罠❸ 無知の放置 AWSでセキュリティ対策するって言っても何から始めたらいいのかワカラン！ Well-Architectedの「セキュリティの柱」もなんだか難しそうだし、 セキュリティ関連の機能も多過ぎて勉強する気にもなれないわ…… 最初は誰もが素人だけどそこで思考停止したら終わり。 無知であることを自覚したら学ぶしかないッ！ 「AWSではじめるクラウドセキュリティ」とか 良著もあるし、かつてよりだいぶ勉強しやすく なってるんだから無知を言い訳にするな！ 🫵😠 正論さん

罠❹ お金の問題から逃げがち 予算にセキュリティ対策の費用を計上しそびれちゃったのでもう今年度は…… いくらかかるかのかもよく分からないから、調整もしづらいしね。 (万一何か問題が起きたら予算なくても対策できるだろうし……) セキュリティは「あった方がいいかも？」な贅沢品ではなく、 「ないとマズイぞ！」な必需品や。 オマエはお小遣い足りなかったら、全裸で街中歩くんか！ ママに泣きついてでも服買ってもらうやろ！そういうことや！ 変な病気になったらまわりにも迷惑かけるんやぞ…… 🫵😠 正論さん

これからやるべきことを紹介します🙋

最初の一歩🐣としてこちらをどうぞ🔰 AWS Security Hubで現状を客観的に把握できるようにしよう AWS Security Hub は、 セキュリティのベストプラクティスのチェックを行い、 アラートを集約し、自動修復を可能にする クラウドセキュリティ体制管理サービスです。 ⚫ AWS 基礎セキュリティのベストプラクティス v1.0.0 💖 ← とりあえずコレやっとくべきやつ ⚫ CIS AWS Foundations Benchmark v1.2.0 ⚫ CIS AWS Foundations Benchmark v1.4.0 💖 ← あわせておススメなのがコレ ⚫ NIST Special Publication 800-53 Revision 5 ⚫ PCI DSS v3.2.1 先人の知恵をフル活用して セキュリティのスコアを ダッシュボードにしてくれるやつ 🐵 ❝ ❞

最初の一歩🐣としてこちらをどうぞ🔰 Amazon GuardDutyに怪しい動きを見張らせよう Amazon GuardDuty は、 AWS アカウントとワークロードを継続的にモニタリングして 悪意のあるアクティビティがないかを確認し、 可視化と修復のための詳細なセキュリティ検出結果を 提供する脅威検出サービスです。 ⚫ モニタリング対象が幅広いので安心感ある ✓ アカウント、インスタンス、サーバーレス、コンテナワークロード、ユーザー、データベース、ストレージ ⚫ 人力では探しきれないようなものを検出してくれる ✓ AWSが持ってるものに加えてサードパーティーからの脅威インテリジェンスフィードも活用 ✓ みなさん大好きなAIがいつもと違う動きを見つけてくれる！ その名の通り、「見張り役」！ あやしいヤツらを教えてくれる 🐵 ❝ ❞

30日間の無料期間中に金額💰試算を AWS Security Hub も Amazon GuardDuty も30日間無料！ 迷わずにすぐ開始を！！ ⚫ GuardDuty はコスパ最強👊の脅威検出サービスであると誰かが証明済み 【全員必須】GuardDutyがコスパ最強の脅威検知サービスであることを証明してみた | DevelopersIO (classmethod.jp) ⚫ Security Hub は思わぬ請求増につながる可能性あり…… と言われがちだが、たいていは無茶な金額にはならないはず！ 💰 ヘイシャでは1,000 USD/月超のアカウントでは総額の1～2%程度 ⚠️ 休眠状態のアカウントでもリージョン単位で 1.4 USD程度かかる……

定期的⏰に確認して対策しよう🧑🏻‍💻 機能ONにしても、そのまま放置してたら意味なし！🙅 最低でも月次🌙でSecurity Hubの内容を確認する場を設けて、 是正していきましょう👊 ⚫ わたしはCCoEなので週次で全アカウントの状況を確認して、 ヤバそうなプロジェクトに 「こらー！！😡💢」 と声がけしてます ⚫ 作り込んじゃってからの対策は大変😵‍💫なので、開発の初期から早め早めの つぶし込みをしていきましょう (切実) ⚫ いきなり100点💯を目指そうとせず、Critical、High から順につぶしましょう

こんなこともやってます紹介 ✅ 実施済み ⚫ Control TowerとOrganizationsでのマルチアカウント管理 ⚫ アカウントの分離 (できるだけ Dev, Stg, Prod の3アカウント制に) ⚫ AdministratorAccessのログイン通知 (悪名高いTeamsに通知！) ⚫ AWS WAF導入 (URLは正規表現のホワイトリストで許可) ⚫ Inspectorでのスキャン (ECR拡張スキャンすると震える結果が出たり……) 💪 推進中 ⚫ インターネットへの出口の集約 (Network FirewallとTransit Gatewayでうまいことやるやつ) ⚫ Amazon Security Lake検証中 ← AWSを信じて使えるものは使うスタンス

結論再び ❶ とりあえず、迷ったらこの2つを有効化しよう🔰 AWS Security Hub Amazon GuardDuty ❷ どちらも30日間無料💰で試せるので、すぐ始めよう🚄 ❸ 定期的⏰に確認して対策する運用🧑🏻‍💻を確立しよう ❌