セキュリティのお悩み解決できるかも!? ~3つのアプローチ~ クラスメソッド株式会社 クラウド事業本部コンサルティング部 吉⽥岳史 

セキュリティで悩んでいますか？ 2 

あなたのセキュリティのお悩みを 解決する⽅法を教えます！ 本セッションでは... 3 

本⽇お話しすること 4 1. とにかく早くセキュリティを是正したい！ 2. 全体的なセキュリティ対策をしたい！ 3. セキュリティの初期設定がめんどくさい！ 

1. とにかく早くセキュリティを 是正したい！ 5 

AWS Security Hubを 有効化しましょう！ 6 

AWS Security Hubとは 7 セキュリティ違反が含まれる AWSリソースの設定を検知でき るサービス AWS Security Hub 例) AWS IAMのルートユーザー のアクセスキー の存在を検知 誤ってパブリック公開 されたAmazon Relational Database Service（Amazon RDS）を検知 

検知された項目を対応していくと、 自然とAWSのセキュリティサービスを 利用するようになる！ 8 AWS Security Hubのメリット 

AWSレイヤーの対策サービス 9 AWSレイヤーの脅威検知を実装 できる 例) Amazon Simple Storage Service （Amazon S3）上のオブジェクトへ の 不正アクセスを検知 AWSアカウント上の異常なAPIリク エストを検知 クラウド上のストレージを独⾃ のキーを利⽤して暗号化できる 例) Amazon Elastic Compute Cloud (Amazon EC2)上のコンテンツを保存 したAmazon EBSを暗号化 S3バケット上のオブジェクトをAWS 側で暗号化する Amazon GuardDuty AWS Key Management Service (KMS) 

OS / アプリレイヤーの対策サービス 10 OS/アプリ‧コンテナ等の 脅威検知を実装できる 例) Amazon EC2からの コインマイニング通信を検知 Amazon EC2上の OSのマルウェア感染を検知 Amazon Elastic Container Service (Amazon ECS)のコンテナランタイ ムの異常な振る舞いを検知 Amazon GuardDuty Web通信を監視/ブロックできる AWSマネージドなWAFを実装で きる 例) SQLインジェクション、XSSなど 脆弱性を悪⽤した攻撃や、 不正なBotによるアクセスを 遮断する Amazon Inspector Amazon EC2やコンテナ、AWS Lambda上の脆弱性をスキャンで きる 例) Amazon EC2にインストールされ たパッケージの脆弱性を検知 AWS Lambda関数のコード内に 含まれる脆弱性を検知 AWS WAF 

どのようにして各検知項目を 対応していけばいいの？ 11 

弊社サービス: Classmethod Cloud Guidebookのご紹介 12 ● 「クラスメソッドメンバーズ」のお客様向けに無償公開している AWS活⽤のノウハウが詰まったナレッジ集 ● AWS Security Hubガイドでは、AWS Security Hubの各検知項⽬ の解説、無効化/抑制する場合の判断基準がまとめられています 引⽤: クラスメソッドメンバーズのお客様向けに公開している「Classmethod Cloud Guidebook (CCG)」の使い⽅ | DevelopersIO 

弊社サービス: Classmethod Cloud Guidebookのご紹介 13 こちらのQRコード、 もしくはURLからデモページにアクセスできます！ URL : https://demo.guidebook.classmethod.net/ 

弊社サービス: Classmethod Cloud Guidebookのご紹介 14 AWS Security Hubガイドのデモページは、 ⾚枠で囲ったリンクからアクセスできます！ 

2. 全体的なセキュリティ対策 をしたい！ 15 

AWSセキュリティ成熟度モデルを 使いましょう！ 16 

AWSセキュリティ成熟度モデルの全体像 17 

AWSセキュリティ成熟度モデルとは 18 ● AWSから提供されている、 組織においてAWSセキュリティ対策が どの程度実現できているか定量的に測るための フレームワーク ● 公式のアセスメントツール(Excel)が提供されており、 項⽬を埋めていくことで対策状況を可視化できる 

AWS環境の設定のみならず、 ガバナンスやセキュリティ運⽤も 強化される！ 19 AWSセキュリティ成熟度モデルのメリット 

AWSセキュリティ成熟度モデルのメリット 20 例えば。。。 ● セキュリティおよびコンプライアンス要件を確認しま しょう ● インシデント対応⼿順を確⽴しましょう ● インシデントの根本原因を分析できるようにしましょう ● ユーザーを⼀元管理しましょう 

ハードル⾼そう。。。 21 

22 弊社⽀援: AWSセキュリティ強化プログラムの紹介 ● セキュリティ成熟度モデルを独⾃にチューニングしたツールを利⽤してセキュリティ 状況をヒアリング‧可視化します ● 可視化した上で、対策が不⼗分 or 更に強化したい項⽬への強化案の提案‧実施まで 対応できます ● 現在セキュリティ成熟度モデルはv2がリリースされておりますが、 当プログラムはv1までの内容で対応となります。ご了承ください。 

事例紹介（森永乳業株式会社 様） 23 • 9つのカテゴリーに対してセキュリティレベルを可視化 • 必要な領域におけるセキュリティアセスメントの実施 • アセスメント結果に基づきセキュリティ改善の道筋を⽴てる • セキュリティ状態を説明する定量的な指標の不⾜ • 複数アカウントのセキュリティを統⼀的に評価する基準の不⾜ • AWSのセキュリティを評価するノウハウの不⾜ AWSセキュリティ強化プログラム ご⽀援ポイント • 「AWSセキュリティ強化プログラム」で は、セキュリティ成熟度モデルに独⾃のノ ウハウによる確認項⽬と判断の基準を追加 したアセスメントを実施 • 実施しやすいフェーズ1とフェーズ2を中⼼ に⽀援 お客様の声 「まずは最低限必要なフェーズ1とフェーズ2 のセキュリティ状態をチェックできたこと が、今回のアセスメントにおける最⼤の成果 です。要件から外れたフェーズ3とフェーズ4 についても、私たちが気になっているポイン トに関して、クラスメソッドの担当者から ピックアップした形で回答をいただき、次へ のステップにつなげられています」 before after 

3. セキュリティの初期設定が めんどくさい！ 24 

弊社のセキュアアカウントを 使ってください！ 25 

弊社サービス: セキュアアカウントのご紹介 26 ● 各種必要なセキュリティ設定を有効化した状態でAWSアカウン トを払い出します ● 誤って設定変更しても元のセキュアな設定に戻します 引⽤: AWSアカウントセキュリティ | AWS総合⽀援 | クラスメソッド株式会社 

セキュアアカウント全体図 27 引⽤: AWSアカウントセキュリティ | AWS総合⽀援 | クラスメソッド株式会社 

事例紹介（株式会社プロアクティブ 様） 28 • クライアント向けシステムの運⽤トラブルの低減、運⽤負荷の軽減 • AWSのサービスや、移⾏に関するノウハウの獲得 • 「セキュアアカウント発⾏サービス」による セキュリティレベルの向上 • オンプレミス環境のシステムはたびたびトラブルが発⽣ • ⾃社にAWSのノウハウがなく、環境構築や運⽤を外部ベンダーに依存 • 顧客情報を扱うシステムのため、セキュリティ強化が必須 セキュアアカウント発⾏サービス ご⽀援ポイント • 「セキュアアカウント発⾏サービス」を活 ⽤してセキュリティ向けの各種設定値の最 適化や、Amazon GuardDuty、AWS Security Hubなどのセキュリティ機能の有 効化‧最適化などを実施 お客様の声 「セキュリティ⾯においてもクライアントに よるプラットフォーム診断に初回で合格し、 クライアントが定めるセキュリティ基準を満 たしていることが確認できました。」 before after 

まとめ 29 ● AWS環境のセキュリティ是正はAWS Security Hubを利⽤ しよう ○ AWSリソースの問題のある設定を⾒直せる ○ 対応すると⾃然とAWSのセキュリティサービスを利⽤するようになる ● 全体的なセキュリティ対策としてAWSセキュリティ成熟度 モデルを利⽤しよう ○ ガバナンスやセキュリティ運⽤も強化される ● セキュリティ対策が施されたAWSアカウントをお求めの場 合、是⾮弊社のセキュアアカウントをご利⽤ください 

No content