Slide 1

Slide 1 text

AWS re:Inforce re:Cap ※本資料内容の転載、複製、改変等、および許諾のない二次利用を禁止します。

Slide 2

Slide 2 text

上野 史瑛(うえの ふみあき) AWS設計・構築、採用、育成、 WEBシステムのインフラ構築、 セキュリティ機能の実装などを担当 AWS re:Inforceは2019年、2023年の2回参加 NRIネットコム / Cloud Architect

Slide 3

Slide 3 text

お話すること 1 2 AWS re:Inforceについて Keynote(基調講演)で 印象に残ったメッセージ 3 アップデート情報まとめ

Slide 4

Slide 4 text

AWS re:Inforceについて

Slide 5

Slide 5 text

AWS re:Inforce基本情報 ⚫AWSセキュリティ&コンプライアンスに関するグローバル学習型カンファレンス ⚫セッション数 約400個(re:Inventは約2300個) ⚫期間 2023/6/13(火)~2023/6/14(水) ⚫開催場所 アナハイム(カルフォルニア ディズニーのお隣) ⚫セッション数、会場等の規模はre:Inventに比べて小さい ⚫実用的なセッションが多い(個人的な感想)

Slide 6

Slide 6 text

AWS Security Jamの紹介 ※以下「2022年 AWS Security Jam 開催のご案内」より AWS Security Jam は、権限管理、ネットワークセキュリティ、暗号化、自動化、 CI/CD、インシデントレスポンスなどに関連するサービスを利用して、参加者が各課 題ごとに AWS 環境を適切に修正しポイントを競うゲーミング形式のイベントです。 出典:2022年 AWS Security Jam 開催のご案内 https://aws.amazon.com/jp/blogs/news/aws-security-jam-2022-intro/ ⚫4~5人程度でイベントで会った方々とチームを組む ⚫AWSアカウント(環境)がイベントから払い出される ⚫環境の修正を行ってポイントを稼ぐ ⚫多く、早く修正を行ったチームが優勝!景品あり ⚫Security Jamはセキュリティ関連の機能、サービスが多い

Slide 7

Slide 7 text

AWS Security Jamの雰囲気 出典:AWS Jam ポータル 出典:AWS Jam ポータル

Slide 8

Slide 8 text

参加して2位でした これ(赤) 出典:AWS Jam ポータル

Slide 9

Slide 9 text

参加証、景品が豪華 ⚫参加するだけで色々と貰えた ⚫2位はニット帽、1位はブランケットだった AirTag モバイル バッテリー 靴下 ステッカー 2位の ニット帽

Slide 10

Slide 10 text

Keynote(基調講演)で 印象に残ったメッセージ

Slide 11

Slide 11 text

Security is our top priority (セキュリティは最優先)

Slide 12

Slide 12 text

Security is our top priority ⚫顧客を守ることがAWSの最優先 ⚫セキュリティは常に変化している ⚫AIなどの技術によって脅威や防御方法も多様になってきている ⚫AWSでは常にセキュリティに投資し、深い調査を行なっている

Slide 13

Slide 13 text

WHY 動機、理由 WHO 誰 HOW 方法

Slide 14

Slide 14 text

犯罪者の特定方法 WHY なぜ殺したのか? HOW どう殺したのか? WHO 犯人は誰?

Slide 15

Slide 15 text

サイバーセキュリティにおいては HOWの特定が役立つこともある WHY 動機は? HOW どうやったのか? WHO 誰が?

Slide 16

Slide 16 text

サイバーセキュリティにおいては HOWの特定が役立つこともある WHY 動機は? HOW どうやったのか? WHO 誰が? 例: 恨みのある人が 例: 混乱を招くために いたずら心で 例: データの削除を 実行 ここを特定、予測 して防御

Slide 17

Slide 17 text

Good enough is never good enough (“充分”は常に充分ではない)

Slide 18

Slide 18 text

Good enough is never good enough ⚫毎年数千の機能をリリースし、多くのテストを行なっている ⚫ハイパーバイザーの脆弱性を減らすため、Nitro Systemの開発も続けている ⚫AWSのオペレータでさえもAWS上のデータにはアクセスできない ⚫英国のセキュリティコンサルティング会社NCCから第三者評価も獲得している ⚫LambdaやFargateなどのサーバーレスについても、基盤となるFirecrackerが セキュアに実装されており使うだけでそのメリットを享受できる 出典:AWS re:Inforce 2023 - Keynote with CJ Moses https://www.youtube.com/watch?v=_piUB5FrYVE

Slide 19

Slide 19 text

数字で見るAWSとセキュリティ

Slide 20

Slide 20 text

AWSでは大量の情報量を扱っている 300GB/秒 VPCフローログ 3,500億/日 AWS WAF Managed Rule アクセス 70万/年 DDoS攻撃を軽減 10億/秒 AWS IAMのAPI実行 数値情報の出典:AWS re:Inforce 2023 - Keynote with CJ Moses https://www.youtube.com/watch?v=_piUB5FrYVE

Slide 21

Slide 21 text

AWSでは大量の情報量を扱っている 300GB/秒 VPCフローログ 3,500億/日 AWS WAF Managed Rule アクセス 70万/年 DDoS攻撃を軽減 10億/秒 AWS IAMのAPI実行 数値情報の出典:AWS re:Inforce 2023 - Keynote with CJ Moses https://www.youtube.com/watch?v=_piUB5FrYVE Amazon GuardDuty Resolver DNS firewall AWS Shield 大量の情報を分析してサービ スにも取り込んでいる ⇨AWS上の脅威検知は AWSサービスでやると良い

Slide 22

Slide 22 text

Security Aware Culture (セキュリティ意識の高い文化)

Slide 23

Slide 23 text

セキュリティ意識を組織として持つ 出典:AWS re:Inforce 2023 - Keynote with CJ Moses https://www.youtube.com/watch?v=_piUB5FrYVE 出典:AWS re:Inforce 2023 - Keynote with CJ Moses https://www.youtube.com/watch?v=_piUB5FrYVE ⚫デルタ航空CISO Debbie氏より事例の紹介あり ⚫セキュリティが重要になる航空会社で、組織のセキュリティ文化を育成している

Slide 24

Slide 24 text

AWSの事例 出典:AWS re:Inforce 2023 - Keynote with CJ Moses https://www.youtube.com/watch?v=_piUB5FrYVE ⚫AWSではサービスチームがセキュリティのオーナーシップを持つ ⚫コードスキャンツールなどを活用し、自動化も組み合わせる ⚫こうすることでスピーディかつよりセキュアな開発プロセスが実現できる

Slide 25

Slide 25 text

私個人の経験 ⚫GuardDutyを組織管理者が一括有効にする ⚫アカウント管理者側から見ると一方的に有効にされており、通知が来ても 「なんだこれ?」状態に陥る=セキュリティ意識がメンバーで持てていない ⚫有効にするのであれば利用者や開発者にも基礎知識、是正意識が必要 Management Account 管理者 全体管理者 Account 管理者 Account 管理者 Amazon GuardDuty Amazon GuardDuty Amazon GuardDuty Amazon GuardDuty この通知は 何? GuardDutyを ON

Slide 26

Slide 26 text

Shift Security Left ⚫セキュリティに関する対応を早い段階(左)に移すという考え方 ⚫開発プロセスの最初からセキュリティ検知の機能を組み込み、リスクを低減 ⚫「チームが情報セキュリティを時間軸上の左へ移動すると、 継続的デリバリを実現する能力が向上し、ひいてはパフォーマンスも向上する」 出典:AWS re:Inforce 2023 - Keynote with CJ Moses https://www.youtube.com/watch?v=_piUB5FrYVE 出典:LeanとDevOpsの科学 https://amzn.asia/d/fwClndw

Slide 27

Slide 27 text

私個人の経験 ⚫サーバーレスアプリの開発を行っていた ⚫機能の実装を最優先にしており、本格的なセキュリティ対応(チェック)は行わずにリ リース前の第三者のセキュリティ診断を実施 ⚫フレームワークを使う規模でもなかったため独自実装が多かった ⚫結果としては問題なかったが、脆弱性が発生していたら大きな手戻りが発生する、また心 理的にも良くない状況だった 設計 開発 テスト セキュリティ 診断 リリース Amazon API Gateway AWS Lambda 大きな指摘が来たら リリースできない

Slide 28

Slide 28 text

AWSサービスの活用 ⚫AWSサービスでも各開発プロセスで使用できるセキュリティ機能がある ⚫re:InforceでもShift Leftに役立つ多くのアップデートが紹介された 出典[GS-1-1] Invent and Simplify - クラウドとAIを活用したソフトウェア開発の未来: https://www.youtube.com/watch?v=6Jkn_qaLph8

Slide 29

Slide 29 text

AWS Partners

Slide 30

Slide 30 text

AWSパートナーとの強化も強くなっている 出典:AWS re:Inforce 2023 - Keynote with CJ Moses https://www.youtube.com/watch?v=_piUB5FrYVE 出典:AWS re:Inforce 2023 - Keynote with CJ Moses https://www.youtube.com/watch?v=_piUB5FrYVE Amazon Security Lake

Slide 31

Slide 31 text

AWS Digital Audit Symposium

Slide 32

Slide 32 text

AWS Digital Audit Symposium ⚫データセンターの監査にはコストやセキュリティリスクがある ⚫デジタルツアーによってコスト、リスク共に下げることができる 出典:AWS re:Inforce 2023 - Keynote with CJ Moses https://www.youtube.com/watch?v=_piUB5FrYVE

Slide 33

Slide 33 text

アップデートまとめ

Slide 34

Slide 34 text

Amazon Verified Permissionsが一般提供開始 ⚫ 従来アプリケーションで実装していた権限管理をAWSサービスに外出しする という特徴を持つ ⚫ Cedarと呼ばれるAWSが開発した言語を使用してポリシーを記載する Verified Permission 写真シェアアプリ 写真 ①アップ Alice Bob ②シェア ③閲覧 Permission Permission 管理を外出し

Slide 35

Slide 35 text

Amazon CodeGuru Security ⚫ static application security testing (SAST) ツール ⚫ コードの脆弱性を検知してくれる ⚫ MLベースで誤検知(False Positive)を減らす 出典:AWSマネジメントコンソール CodeGuru

Slide 36

Slide 36 text

Amazon Inspector Code Scans for AWS Lambda function ⚫ Inspectorから有効にすることでLambaのコードを自動スキャン ⚫ 検出内容はCodeGuruがベースになっている ⚫ 影響を受けているコード箇所や修正案の提示まで行ってくれる ⚫ 料金は0.36USD+0.65USD/1関数(スタンダード+コードスキャン) 出典:AWSマネジメントコンソール Inspector

Slide 37

Slide 37 text

Amazon Detective extends finding groups ⚫ GuardDutyの検出結果と関連リソースをDetectiveがグループ化して 可視化してくれる 出典:Analyzing finding groups https://docs.aws.amazon.com/detective/latest/userguide/groups-about.html

Slide 38

Slide 38 text

Amazon GuardDuty Summary機能 出典:AWSマネジメントコンソール GuardDuty ⚫ これまでは検出結果の一覧が表示されていた ⚫ 時間経過に伴う傾向や結果件数の内訳が表示されるようになった

Slide 39

Slide 39 text

CloudTrail Lake dashboards 出典:Announcing AWS CloudTrail Lake Dashboards – Visualize and Analyze CloudTrail data https://aws.amazon.com/jp/blogs/mt/announcing-aws-cloudtrail-lake-dashboards-visualize-and-analyze-cloudtrail-data/ ⚫CloudTrail Lakeを有効にすることで自動的にダッシュボードを表示

Slide 40

Slide 40 text

Amazon EC2 Instance Connect Endpoint ⚫プライベートなEC2インスタンスへSSH/RDPアクセスが可能に ⚫Session Managerと比べて、VPCエンドポイントやSSMエージェントが不要と いう特徴がある ⚫Session Managerの持つ操作ログ出力機能は無い 出典:Security groups for EC2 Instance Connect Endpoint https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/eice-security-groups.html

Slide 41

Slide 41 text

AWS Security Hub automation rules ⚫これまで手動もしくは開発した処理で変更が必要だったSecurity Hubの結果を、 簡単かつ柔軟に自動設定できる機能 ⚫うまく活用してSecurity Hubのスコア向上と健全化が目指しやすくなった 出典:AWSマネジメントコンソール Security Hub

Slide 42

Slide 42 text

アップデート所感① アプリケーション、コードに関する 新機能が多い

Slide 43

Slide 43 text

ちょっと前までのAWSの提供機能イメージ ハードウェア、 ネットワーク OS ミドルウェア ライブラリ アプリケーション

Slide 44

Slide 44 text

最近のAWSの提供機能イメージ ハードウェア、 ネットワーク OS ミドルウェア ライブラリ アプリケーション 最近はコードを含む アプリケーションに関わる新機能が多い

Slide 45

Slide 45 text

アップデート所感② 可視化関連のアップデート 今後の期待

Slide 46

Slide 46 text

AWSセキュリティサービスの運用課題 初期設定 検知内容の理解 修正対応 難しさ ⚫初期設定は割と簡単にできるが、実運用になるとハードルが高くなる (GuardDutyなど) 理解、対応のハードルが 初期設定に比べ高い

Slide 47

Slide 47 text

AWSセキュリティサービスの運用課題 初期設定 検知内容の理解 修正対応 難しさ ⚫AWSによる可視化機能が多く発表された ⚫修正対応までのハードルが下がってくれると嬉しい 可視化により 興味を持つ、ハードルが下 がる 自動可視化

Slide 48

Slide 48 text

最終的には・・セキュリティ運用を楽にしたい 出典:AWS re:Inforce 2023 - Keynote with CJ Moses https://www.youtube.com/watch?v=_piUB5FrYVE

Slide 49

Slide 49 text

ありがとうございました