組織的なクラウド統制のはじめの⼀歩 2024.5.29 AWS事業本部 コンサルティング部 yhana 1 セキュリティ成熟度モデルと AWS アカウントベースライン設定

• AWS のセキュリティ対策をどの程度実現できているかを測るフレームワーク 「AWS セキュリティ成熟度モデル」の紹介 • AWS の組織的な統制として実施する AWS アカウントのベースライン設定例 の紹介 2 発表内容

3 AWS セキュリティ成熟度モデルとは

4 AWS セキュリティ成熟度モデル AWS 内のセキュリティ専⾨のチームによって作成された、模範的なガイダンス として「AWS セキュリティ成熟度モデル」がある（ただし、公式ドキュメント扱いではない） https://maturitymodel.security.aws.dev/en/model/

5 AWS セキュリティ成熟度モデル AWS のセキュリティ対策における現在の状況を可視化した活⽤例 強化するポイントが 分かりやすい

6 AWS セキュリティ成熟度モデル 「クイックウィン」〜「最適化」まで、4 段階のフェーズ分けがされており、 はじめに⽬指す指針としてはフェーズ 2 の「基礎」がおすすめ クイックウィン 基礎 効率化 最適化 フェーズ 1 フェーズ 2 フェーズ 3 フェーズ 4 はじめの⽬標

7 AWS セキュリティ成熟度モデル 各項⽬は 9 つのカテゴリに分類されている セキュリティ ガバナンス セキュリティ保証 アイデンティティと アクセス管理 脅威検出 脆弱性管理 インフラ保護 データ保護 アプリケーション セキュリティ インシデント対応

CAF カテゴリ 項⽬ セキュリティガバナンス セキュリティインシデントの連絡先を最新化 利⽤しないリージョンを無効化 セキュリティ保証 AWS Security Hub によるベストプラクティスの⾃動化 アイデンティティとアクセス管理 多要素認証 ルートユーザーを利⽤せず、さらに監査する IAM Access Analyzer によるアクセスとロールの分析 脅威検出 Amazon GuardDuty による脅威検出 AWS CloudTrail による API 呼び出しの監査 AWS Trusted Advisor で発⾒した Security findings の修復 異常検出のための課⾦アラーム 脆弱性管理 - インフラ保護 セキュリティグループによるアクセス制限 データ保護 Amazon S3 のパブリックアクセスのブロック Amazon Macie によるデータセキュリティの分析 アプリケーションのセキュリティ AWS WAF のマネージドルール インシデント対応 Amazon GuardDuty の検出に対応 8 フェーズ 1︓クイックウィン

CAF カテゴリ 項⽬ セキュリティガバナンス セキュリティおよび規制要件を特定 Cloud Security のトレーニングプラン セキュリティ保証 AWS Config による構成管理 アイデンティティとアクセス管理 ユーザーリポジトリの⼀元管理 組織ポリシーとしての SCP 脅威検出 Amazon GuardDuty の Findings を調査 脆弱性管理 インフラストラクチャの脆弱性を管理し、ペネトレーションテストを実施 アプリケーションの脆弱性を管理 インフラ保護 Fleet Manager によるインスタンス管理 VPC 内の Public/Private ネットワーク分離 AWS Control Tower によるマルチアカウント管理 データ保護 AWS KMSによる暗号化 データバックアップ Amazon Macie による機密データの発⾒ アプリケーションのセキュリティ 開発時にセキュリティチームも参画する AWS Secrets Manager を利⽤し、コードにシークレットを含めない インシデント対応 インシデント対応⼿順を⽤意 Multi-AZ による冗⻑構成 9 フェーズ 2︓基礎

10 AWS セキュリティ成熟度モデルの参考資料 より詳細な内容は下記ブログを参照ください https://dev.classmethod.jp/articles/improve-security-with-aws-security-maturity-model/

11 AWS アカウントのベースライン設定

12 アカウント発⾏プロセスとベースライン設定 組織的に AWS を管理するアカウント発⾏プロセス（フロー）を整備して、 AWS セキュリティ成熟度モデルを満たすベースライン設定を実施する アカウント発⾏フローの整備 組織内で満たすべき設定項⽬を最初に設定

13 組織的にアカウントを管理しない場合の課題 AWS アカウントを管理していない場合、全組織で共通的な設定を実現したいと きに各アカウントの担当者を調査して依頼する⼿間が発⽣する AWS 社 リセラー A社 リセラー B社 AWS アカウント AWS アカウント AWS アカウント すべての AWS アカウントの管理 者に設定を依頼 全ての担当者を探して依頼する⼿間と時間がかかる、漏れがある可能性もある プロジェクト担当者

14 インシデントの再発防⽌策を実施した際に、新しく発⾏されたアカウントでは再 発防⽌策の反映が漏れる場合もある AWS 社 リセラー A社 リセラー B社 AWS アカウント AWS アカウント AWS アカウント インシデント発⽣ 再発防⽌策の対策依頼 AWS アカウント 対応後に発⾏したアカウントにおいて 再発防⽌策の反映が漏れる可能性あり プロジェクト担当者 組織的にアカウントを管理しない場合の課題

15 AWS アカウントベースライン設定 AWS セキュリティ成熟度モデルのフェーズ 2 である「基礎」までの項⽬を参考 にベースライン設定として採⽤する内容の例を次スライド以降に⽰す クイックウィン 基礎 効率化 最適化 フェーズ 1 フェーズ 2 フェーズ 3 フェーズ 4 組織的な統制を実現するための ベースライン設定の候補

CAF カテゴリ 項⽬ ベースライン設定 セキュリティガバナンス セキュリティの連絡先を最新化 ◯ 利⽤しないリージョンを無効化 ◯ セキュリティ保証 AWS Security Hub によるベストプラクティスの⾃動化 ◯ アイデンティティとアクセス管理 多要素認証 ◯ ルートユーザーを利⽤せず、さらに監査する ◯ IAM Access Analyzer によるアクセスとロールの分析 ◯ 脅威検出 Amazon GuardDuty による脅威検出 ◯ AWS CloudTrail による API 呼び出しの監査 ◯ AWS Trusted Advisor で発⾒した Security findings の修復 - 異常検出のための課⾦アラーム - 脆弱性管理 - - インフラ保護 セキュリティグループによるアクセス制限 - データ保護 Amazon S3 のパブリックアクセスのブロック ◯ Amazon Macie によるデータセキュリティの分析 - アプリケーションのセキュリティ AWS WAF のマネージドルール - インシデント対応 Amazon GuardDuty の検出に対応 ◯（有効化） 16 AWS アカウントベースライン設定 フェーズ 1 でベースラインとして設定する⼀例（項⽬によっては有効化のみ等の⼀部のみ実施） 後半で紹介 後半で紹介 後半で紹介 後半で紹介 後半で紹介 後半で紹介

CAF カテゴリ 項⽬ ベースライン設定 セキュリティガバナンス セキュリティおよび規制要件を特定 - Cloud Security のトレーニングプラン - セキュリティ保証 AWS Config による構成管理 ◯ アイデンティティとアクセス管理 ユーザーリポジトリの⼀元管理 ◯ 組織ポリシーとしての SCP ◯ 脅威検出 Amazon GuardDuty の Findings を調査 - 脆弱性管理 インフラストラクチャの脆弱性を管理し、ペネトレーションテストを実施 - アプリケーションの脆弱性を管理 - インフラ保護 Fleet Manager によるインスタンス管理 - VPC 内の Public/Private ネットワーク分離 - AWS Control Tower によるマルチアカウント管理 ◯ データ保護 AWS KMSによる暗号化 - データバックアップ - Amazon Macie による機密データの発⾒ - アプリケーションのセキュリティ 開発時にセキュリティチームも参画する - AWS Secrets Manager を利⽤し、コードにシークレットを含めない - インシデント対応 インシデント対応⼿順を⽤意 - Multi-AZ による冗⻑構成 - 17 AWS アカウントベースライン設定 フェーズ 2 でベースラインとして設定する⼀例（項⽬によっては有効化のみ等の⼀部のみ実施） 後半で紹介 後半で紹介 後半で紹介 後半で紹介

18 ベースライン設定以外の⽅法 VPC のサブネット設計⽅針など、利⽤者に強制が難しい内容や事前の設定が難 しい内容は「AWS 利⽤ガイドライン」を策定するアプローチもある

19 AWS 利⽤ガイドライン 「AWS 利⽤ガイドライン」の記載内容の例を⽰す ガイドラインの章 記載内容の例 AWS アカウント管理 AWS アカウントの⼀元管理⽅法、アカウント発⾏/廃⽌フロー ユーザー管理 ユーザーの⼀元管理、ユーザー利⽤/削除申請フロー セキュリティ対策 AWS のセキュリティ対策（予防的・発⾒的統制）、組織内の共通/推奨サービス・製品 ログ管理 取得ログや保管期間などのルール コスト管理 組織内の AWS 利⽤料⾦の精算ルール、料⾦の監視⽅法、コスト最適化 共通ネットワーク・サービス ネットワーク共通化（プロキシやファイアウォール等を含む）、共通の社内向けサービス リソース作成ルール・推奨構成 共通/推奨のアーキテクチャ、リソース作成のルール 運⽤ 共通/推奨のシステム監視⽅法、バックアップ・リストア⽅法 監査 組織内のポリシーやルールが守られているかのチェック⽅法

20