CNAPPから考えるAWSガバナンスの実践と最適化 2025年1月29日 NRIネットコム株式会社 デジタルソリューション事業本部 クラウド事業推進部 大林 優斗 

1 Copyright（C） NRI Netcom, Ltd. All rights reserved. #nncstudy 転載、複製、改変等、および許諾のない二次利用を禁止します ◼ 登壇者：大林 優斗 ◼ 2024 Japan AWS Jr. Champions ◼ 業務：AWSを活用したシステムの設計・開発を担当 ⚫ AWSアカウントに統制を効かせる ◼ AWS認定資格 ◼ 書籍執筆：AWS の薄い本の合本 Vol.01 自己紹介 

2 Copyright（C） NRI Netcom, Ltd. All rights reserved. #nncstudy 転載、複製、改変等、および許諾のない二次利用を禁止します 本日お話しする内容 

3 Copyright（C） NRI Netcom, Ltd. All rights reserved. #nncstudy 転載、複製、改変等、および許諾のない二次利用を禁止します ◼ パブリッククラウドの利用増加に伴い、情報漏洩などのインシデントが増加傾向にある。 ◼ 各組織で情報セキュリティ対策を実行していてもインシデントは発生してしまう。 ◼ 情報セキュリティを取り巻く環境が変化し続けているため、情報セキュリティ対策も改善し続ける必要がある。 ◼ CNAPPを用いることで具体的な対策を講じやすい。 本日お話しする内容 順位 情報セキュリティ10大脅威 1 ランサムウェアによる被害（前年1位） 2 サプライチェーンの弱点を悪用した攻撃（前年2位） 3 内部不正による情報漏えい等の被害（前年4位 ） 4 標的型攻撃による機密情報の窃取（前年3位 ） 5 修正プログラムの公開前を狙う攻撃（ゼロデイ攻撃）（前年6位 ） 6 不注意による情報漏えい等の被害（前年9位 ） 7 脆弱性対策情報の公開に伴う悪用増加（前年8位 ） 8 ビジネスメール詐欺による金銭被害（前年7位 ） 9 テレワーク等のニューノーマルな働き方を狙った攻撃（前年5位 ） 10 犯罪のビジネス化（アンダーグラウンドサービス）（前年10位） ※IPA「情報セキュリティ10大脅威 2024 ：組織編」を元に作成 https://www.ipa.go.jp/security/10threats/10threats2024.html 

4 Copyright（C） NRI Netcom, Ltd. All rights reserved. #nncstudy 転載、複製、改変等、および許諾のない二次利用を禁止します CNAPPとAWS 

5 Copyright（C） NRI Netcom, Ltd. All rights reserved. #nncstudy 転載、複製、改変等、および許諾のない二次利用を禁止します サイバー攻撃者が使用する戦術を把握する CNAPPとAWS ◼ MITRE ATT&CK：MITRE社によって開発されており、攻撃データを基に設計されている。 ⚫ 戦術 (Tactics) 攻撃者が達成しようとする目的を表す（例：初期侵入、特権昇格、データの窃取など）。 ⚫ 技術 (Techniques) 戦術を実現するために攻撃者が使用する具体的な方法を指す（例：フィッシング、リモートデスクトップの悪用など）。 ⚫ ナレッジベース 攻撃者の行動やそれに関連するデータを体系的に収集しており、企業や組織が脅威モデルや防御戦略を策定する際に利用で きる。 ◼ 攻撃手法を知り、どのような対策をするべきか考える。 どの攻撃が多いのかを知る どのように攻撃してくるのかを知る 攻撃への対策を考える 攻撃への対策を実行する 攻撃への対策を改善する 

6 Copyright（C） NRI Netcom, Ltd. All rights reserved. #nncstudy 転載、複製、改変等、および許諾のない二次利用を禁止します サイバー攻撃者が使用する戦術を把握する CNAPPとAWS ◼ MITRE ATT&CK Containers Matrix ⚫ 権限昇格 • コンテナの特権モードやランタイム脆弱性を悪用 • ホストOSやオーケストレーションツールの脆弱性の存在 • 不適切なIAMロールの設定や過剰な権限の付与 • アカウントや認証情報の管理ミスや漏洩 参照元：https://attack.mitre.org/matrices/enterprise/containers/ 

7 Copyright（C） NRI Netcom, Ltd. All rights reserved. #nncstudy 転載、複製、改変等、および許諾のない二次利用を禁止します CNAPP（Cloud Native Application Protection Platform） CNAPPとAWS ◼ CNAPP（Cloud Native Application Protection Platform） ⚫ クラウド・ネイティブ・アプリケーションのセキュリティと保護を支援するために設計された、セキュリティとコンプライアンスに関連した機 能のセット。 CNAPP CSPM CWPP CIEM IaC DSPM 

8 Copyright（C） NRI Netcom, Ltd. All rights reserved. #nncstudy 転載、複製、改変等、および許諾のない二次利用を禁止します CSPM（Cloud Security Posture Management） CNAPPとAWS ◼ CSPM（Cloud Security Posture Management） ⚫ クラウド環境のセキュリティ状態を継続的に監視し、設定ミスやセキュリティリスクを検出・修正するためのソリューション。 ⚫ 該当するAWSサービス例：AWS Config、AWS Security Hub ◼ CSPMの運用ポイント ⚫ 検知内容に対する改善アクションへの導線を引く • なぜチャットツールを使用して通知するのか？ なぜBacklogにチケット化するのか？ →目指している運用の理想像に向けたツールの選定が必要。 ⚫ 検知内容に対する課題を切り分ける • 重要度にもとづいて優先順位をつけて検知に対応する。 • AWS Security Hub オートメーションルール AWS Security Hub Slack通知 Backlog通知 AWS Config Amazon EventBridge AWS Lambda 通知 

9 Copyright（C） NRI Netcom, Ltd. All rights reserved. #nncstudy 転載、複製、改変等、および許諾のない二次利用を禁止します CSPM（Cloud Security Posture Management） CNAPPとAWS ◼ 生成AIを活用して改善アクションにつなげる方法も検討する ⚫ 検知に対して具体的にどのようなアクションを取ればいいのか通知内容に載せる。 Bedrockアカウント AWS Lambda Amazon Bedrock Amazon S3 ログ保管 メンバーアカウント AWS Security Hub メール通知 Slack通知 Backlog通知 Amazon EventBridge 

10 Copyright（C） NRI Netcom, Ltd. All rights reserved. #nncstudy 転載、複製、改変等、および許諾のない二次利用を禁止します CSPM（Cloud Security Posture Management） ◼ 検知から改善に繋げるためのサイクル ⚫ 検知して終わりではなく、検知内容に対する修正、検知状況の分析、予防的な改善策の実施が不可欠。 CNAPPとAWS 検知・通知 調査・修正 分析 改善 

11 Copyright（C） NRI Netcom, Ltd. All rights reserved. #nncstudy 転載、複製、改変等、および許諾のない二次利用を禁止します CSPM（Cloud Security Posture Management） ◼ Security Hub インサイトを使用した検知状況の分析する。 ◼ ドリルダウンして詳細な分析をする場合はQuickSightを活用する。 CNAPPとAWS AWSマネジメントコンソール 

12 Copyright（C） NRI Netcom, Ltd. All rights reserved. #nncstudy 転載、複製、改変等、および許諾のない二次利用を禁止します CWPP（Cloud Workload Protection Platform） CNAPPとAWS ◼ CWPP（Cloud Workload Protection Platform） ⚫ クラウド環境で稼働するワークロード（仮想マシン、コンテナなど）を保護するためのセキュリティソリューション。 ⚫ 該当するAWSサービス例 • 仮想マシンの脆弱性を検出する：Amazon Inspector • 拡張スキャンでコンテナイメージの脆弱性を検出する：Amazon ECR + Amazon Inspector • ワークロードの保護：Amazon GuardDuty Amazon Inspector Amazon Elastic Compute Cloud (Amazon EC2) Amazon Inspector Amazon Elastic Container Registry (Amazon ECR) Image + Amazon Elastic Kubernetes Service (Amazon EKS) Amazon Elastic Container Service (Amazon ECS) Amazon Elastic Compute Cloud (Amazon EC2) Amazon GuardDuty 

13 Copyright（C） NRI Netcom, Ltd. All rights reserved. #nncstudy 転載、複製、改変等、および許諾のない二次利用を禁止します CIEM（Cloud Infrastructure Entitlement Management） CNAPPとAWS ◼ CIEM（Cloud Infrastructure Entitlement Management） ⚫ クラウド環境におけるアイデンティティとアクセス権限の管理に特化したセキュリティソリューション。 ⚫ 過剰な権限の付与を防ぎ、最小権限の原則を実現する。 • 外部アクセスの特定 • 過剰権限の特定 ⚫ 該当するAWSサービス例：AWS IAM、AWS IAM Access Analyzer、SCP ◼ CIEMの運用ポイント ⚫ 検知内容に対する改善アクションへの導線を引く ⚫ 定期的に使用されていないIAMの棚卸を実施 • タグを設定して追跡しやすくする AWS Organizations + AWS Identity and Access Management (IAM) + IAM Access Analyzer 

14 Copyright（C） NRI Netcom, Ltd. All rights reserved. #nncstudy 転載、複製、改変等、および許諾のない二次利用を禁止します IaC（Infrastructure as Code） CNAPPとAWS ◼ IaC（Infrastructure as Code） ⚫ インフラストラクチャの構成をコードベースで管理する際に、設定ミスやセキュリティの脆弱性を検出・修正する。 ⚫ 該当するAWSサービス例：AWS CodePipeline、AWS CloudFormation、Amazon Inspector ◼ IaCの運用ポイント ⚫ 事前スキャン（IaCコードのチェック）と運用後の監視（ConfigやSecurity Hubによるモニタリング）の両方が必要。 AWS CodePipeline AWS CodeBuild AWS CodeDeploy Amazon Inspector Amazon Elastic Container Registry (Amazon ECR) 

15 Copyright（C） NRI Netcom, Ltd. All rights reserved. #nncstudy 転載、複製、改変等、および許諾のない二次利用を禁止します DSPM（Data Security Posture Management） CNAPPとAWS ◼ DSPM（Data Security Posture Management） ⚫ クラウド環境やオンプレミス環境に存在するデータのセキュリティ状態を管理し、データが適切に保護されているかを監視・最適化 するためのソリューション。 ⚫ 該当するAWSサービス例：Amazon Macie、AWS KMS、AWS IAM、AWS Config、AWS CloudTrail ◼ DSPMの運用ポイント ⚫ 継続的なデータ可視化の実施 • 定期的にAmazon Macieを用いてS3バケットのデータをスキャンし、新たに保存されたセンシティブデータや公開設定の不備 を確認。 ⚫ 暗号化ポリシーの適用と監視 • AWS KMSを利用して、データストレージ（例: S3バケット、RDS）の暗号化を標準化。 ⚫ 不審なデータアクセスの検出 • AWS CloudTrailでデータへのアクセスログを収集し、異常なアクセス（例: 通常と異なるIPや時刻のアクセス）を監視。 

16 Copyright（C） NRI Netcom, Ltd. All rights reserved. #nncstudy 転載、複製、改変等、および許諾のない二次利用を禁止します セキュリティ運用とコスト 

17 Copyright（C） NRI Netcom, Ltd. All rights reserved. #nncstudy 転載、複製、改変等、および許諾のない二次利用を禁止します 絶対的、完全なセキュリティ対策は存在しない セキュリティ運用とコスト ◼ インシデントが発生する前提でセキュリティ対策を実施する ◼ インシデントが発生した際にどのようなアクションを取るのか ◼ どのような運用を実現するためにどのような運用の体制を確保できるか AWS Security Hub 一次対応 二次対応 

18 Copyright（C） NRI Netcom, Ltd. All rights reserved. #nncstudy 転載、複製、改変等、および許諾のない二次利用を禁止します 組織設計について セキュリティ運用とコスト ◼ マルチアカウントをどのように管理していくのか ⚫ AWS Organizationsを活用してOUごとに部署、システム単位で管理していく必要がある ⚫ Control Towerを導入することでより統制を強化しやすくなる ➢ メンバーアカウントに大きな影響が出るような統制を効かせてはいけない System A OU Account Account Account System B OU Account Account Account System C OU Account Account Account Management account 

19 Copyright（C） NRI Netcom, Ltd. All rights reserved. #nncstudy 転載、複製、改変等、および許諾のない二次利用を禁止します 攻撃の影響範囲を調査する セキュリティ運用とコスト ◼ Amazon Detectiveで攻撃の影響範囲を調査する ⚫ CloudTrail、VPCフローログなどをもと調査が可能になる ➢ ホストレベルのログはDetectiveのデータソースとならないので、別の手段で調査できるようにしておく Security OU Management account Audit Amazon Detective System OU Member 01 Amazon Detective Member 02 Amazon Detective 

20 Copyright（C） NRI Netcom, Ltd. All rights reserved. #nncstudy 転載、複製、改変等、および許諾のない二次利用を禁止します セキュリティとコストのバランスを考える セキュリティ運用とコスト コスト セキュリティ ◼ ケースに応じたセキュリティとコストのバランスが重要 ◼ コストをかけたとしても、インシデントは発生する ◼ セキュリティを強化するためには一定のコストがかかってしまう ➢ 必ずしもコストの増加が悪ではない 

21 Copyright（C） NRI Netcom, Ltd. All rights reserved. #nncstudy 転載、複製、改変等、および許諾のない二次利用を禁止します 自動化して運用効率を最大化させる セキュリティ運用とコスト ◼ Configを活用して自動修復させる ⚫ 全てのリソースを自動修復するのではなく、タグを使用して修復対象を制御することも可能。 ⚫ 例：「TestKey：True」というタグが設定されているセキュリティグループのインバウンドルールを削除する。 Security group Public subnet Amazon Elastic Compute Cloud (Amazon EC2) AWS Config [インバウンドルール] 0.0.0.0/0 [タグ] TestKey：True Amazon EventBridge AWS Lambda 「インバウンドルール 0.0.0.0/0」を削除 

22 Copyright（C） NRI Netcom, Ltd. All rights reserved. #nncstudy 転載、複製、改変等、および許諾のない二次利用を禁止します 自動化して運用効率を最大化させる セキュリティ運用とコスト ◼ GuardDutyの脅威IPリストを自動更新する ⚫ 例：悪意のあるアクションをしたIPアドレスを自動で脅威IPリストに追加する。 ⚫ 人の手を入れずに完全に自動化したい場合に有効。 ⚫ 意図しないIPアドレスが脅威IPリストに追加される可能性があるので、どこまで自動化するかを考えなくてはならない。 Amazon GuardDuty 利用アカウント 検知 Amazon EventBridge AWS Lambda Amazon SNS 管理者 脅威IPリストを更新 SNS通知 AWS CloudTrail EKS Audit Log DNS Query Logs VPC Flow Logs Amazon S3 

23 Copyright（C） NRI Netcom, Ltd. All rights reserved. #nncstudy 転載、複製、改変等、および許諾のない二次利用を禁止します まとめ 

24 Copyright（C） NRI Netcom, Ltd. All rights reserved. #nncstudy 転載、複製、改変等、および許諾のない二次利用を禁止します ◼ CNAPPを活用することでAWSガバナンスにどのように向き合えばいいのかわかりやすくなる。 ◼ セキュリティを向上させるのは不可欠だが、用意できるコストと照らし合わせて考える必要がある。 ◼ セキュリティインシデントは発生することを前提に運用体制を整える必要がある。 まとめ CNAPP CSPM CWPP IaC DSPM CIEM 

No content