Slide 1
Slide 1 text
AWSセキュリティ成熟度モデルで
⾃分たちのAWSセキュリティレベルを
説明できるようにしてみよう
2023/09/26
1
Slide 2
Slide 2 text
2
こんにちは、⾅⽥です。
みなさん、
AWSのセキュリティ対策してますか︖(挨拶
Slide 3
Slide 3 text
3
⾃⼰紹介
⾅⽥佳祐(うすだけいすけ)
・クラスメソッド株式会社 / AWS事業本部
シニアソリューションアーキテクト
セキュリティチームリーダー
2021 APN Ambassador
2023 APN AWS Top Engineers (Security)
AWS Security Hero (2023~)
・CISSP
・Security-JAWS運営
・好きなサービス:
Amazon GuardDuty
AWS Security Hub
Amazon Detective
みんなのAWS
(技術評論社)
Amazon GuardDuty AWS Security Hub Amazon Detective
Slide 4
Slide 4 text
4
アジェンダ
• セキュリティ対策頑張ってるってどうやっ
て⾔えばいいんだ︖
• AWSセキュリティ成熟度モデルとは
• 使い⽅・コツ
• 説明できたら次のステップ
• まとめ
Slide 5
Slide 5 text
5
セキュリティ対策頑張ってるって
どうやって⾔えばいいんだ︖
Slide 6
Slide 6 text
6
「AWSセキュリティ対策ちゃんとやってる︖」
• どうやって答える︖
• 「CloudTrail / Config設定してます」
• 「GuardDuty / Security Hub有効化してます」
• 「S3公開してません」
• 「IAM最⼩権限を意識してます(できてない)」
• 「アラート受け取って運⽤してます」
• 「セキュリティスコア維持しています」
• 網羅性やできている度合いを表現するのは難しい
Slide 7
Slide 7 text
7
こんな指標があるといいよね
Slide 8
Slide 8 text
8
⾜りないところがよく分かる
すぐ強化する
ポイント
Slide 9
Slide 9 text
9
合わせて読みたい
「AWSセキュリ
ティ成熟度モデ
ル」によってこの
グラフを作れる
AWSセキュリテ
ィ対策の現在地を
確認できる
https://dev.classmeth
od.jp/articles/intro-
aws-security-
maturity-model/
Slide 10
Slide 10 text
10
AWSセキュリティ成熟度モデルとは
Slide 11
Slide 11 text
11
AWSセキュリティ成熟度モデルとは
AWSから提供されている
(AWS Security Maturity
Model)
9つのセキュリティカテゴリ
と4段階のフェーズに区切っ
てセキュリティ対策をマッ
ピングしたフレームワーク
https://maturitymodel.
security.aws.dev/en/m
odel/
Slide 12
Slide 12 text
12
CAF9つのセキュリティカテゴリ
AWS クラウド導⼊フレームワーク(CAF)セキュリティ: https://docs.aws.amazon.com/ja_jp/whitepapers/latest/overview-aws-
cloud-adoption-framework/security-perspective.html
セキュリティ
ガバナンス
セキュリティ保証
アイデンティティと
アクセス管理
脅威検出 脆弱性管理 インフラ保護
データ保護
アプリケーション
セキュリティ
インシデント対応
Slide 13
Slide 13 text
13
4段階のフェーズ
Phase1:
クイック
ウィン
Phase2:
基礎
Phase3:
効率化
Phase4:
最適化
Phase2: 基礎のレベルまでできていれば
⼀通り最低限はできているとしてOK(⾅⽥の感覚)
Phase1: クイックウィンは⽂字通りすぐに実施できる
設定やサービスの有効化がメイン
まずはこれをすぐ完了させましょう
Slide 14
Slide 14 text
14
AWSセキュリティ成熟度モデルのいいところ
• マトリクス表で俯瞰して確認しやすい
• AWSに最適化されている
• Phase1はクラウドらしくすぐできる効果の⾼いもの
• 幅広いセキュリティのカテゴリを扱っている
• セキュリティガバナンス・IAM・アプリケーションも
• 4段階と現実的に使いやすい
• アセスメント⽤のExcelなどが公開されている
Slide 15
Slide 15 text
15
アセスメント⽤Excel⼊⼿⽅法
https://maturitymodel.security.aws.dev/en/assessment-tools/
クリックして
ダウンロード
Slide 16
Slide 16 text
16
使い⽅・コツ
Slide 17
Slide 17 text
17
具体的な項⽬(推奨事項)
取り組むべき推奨事項は例えばこんなものがある
アイデンティティと
アクセス管理
Phase1:
多要素認証
データ保護
Phase1:
Amazon S3の
パブリックアクセスの
禁⽌
セキュリティガバナンス
Phase 2:
Cloud Securityの
トレーニングプラン
脆弱性管理
Phase 3:
アプリケーションの
脆弱性管理
アプリケーション
セキュリティ
Phase 2: コードに
シークレットを
埋め込まない
インシデント対応
Phase 4:
プレイブックの
⾃動化
Slide 18
Slide 18 text
18
AWSセキュリティ成熟度モデルとの付き合い⽅
• AWSセキュリティ成熟度モデルはあくまで指標
• 組織単位の作りだがプロジェクト単位でも使える
• Phase3,4は必ずしも満たす必要はない
• 「⼀般的な⽬指すべき理想の状態の1つ」と考える
• 各推奨事項を詳細まで理解しようとするとある程度
AWSセキュリティの専⾨性が必要
• 社内にいるAWS Certified Security - Specialty有資格者
などが⽀援するといい
• 有資格者がいなければ取得する(重要)
Slide 19
Slide 19 text
19
アセスメントツールの使い⽅
英語なので翻訳してから使う
コメントは
できてない部分の
状況を記述して
改善時にわかる
ようにする
Slide 20
Slide 20 text
20
アセスメントのやり⽅
• 最初にどのようなスコープを対象にして評価するか
を定義する
• 組織全体 or プロジェクトどちらか
• 対象のAWSアカウントはどれか
• Phase順に並んでいるので上から順に進めて、
「Phase 2: 基礎」まで⼀通り⼊⼒できればそこで
⽌めても問題ない
• だいたいここまでで問題があれば、それに対応していく
ことを優先する
Slide 21
Slide 21 text
21
アセスメント結果の確認
⼊⼒するとリザルトシートでこんな感じに⾒れる
このままでもいいけどアレンジすると分かりやすい
Slide 22
Slide 22 text
22
こんな感じ(再掲)
Slide 23
Slide 23 text
23
より細かいコツ
• 各推奨事項について熟知していくと、項⽬を調整し
たくなる
• 私の推奨する変更例
• 4.9.2 Amazon Detective: 根本原因の分析はPhase 2へ
• 2.5.2 アプリケーションの脆弱性管理はPhase 3へ
• 3.6.3 送信トラフィックの制御はPhase 4へ
• 脆弱性管理のPhase 1が無いので、Amazon Inspector
の有効化を追加する
• インフラ保護にコンテナセキュリティの観点が無いので
Phase 3に追加する
Slide 24
Slide 24 text
24
説明できたら次のステップ
Slide 25
Slide 25 text
25
アセスメントが終わったらどうする
• 分かりやすいグラフが出⼒できて、どこが強くどこ
が弱いか、セキュリティ対策の現在地を確認できた
• 基本は弱い部分をまず補うところから
• Phase 2までは⼀通り上げることを推奨
• その後は⾃由
• Phase 3や4を⽬指してもいい
• 組織やプロジェクトの特性を考え伸ばしたいところに取
り組む考えもある
• 別プロジェクトに横展開したり、全体の仕組整備もあり
• ⼀回取り組めば全体感を理解し、⾊々改善に取り組める
Slide 26
Slide 26 text
26
次のステップ例
• Phase 1: クイックウィンをすべての環境ですぐに
対応する
• 新規環境を作るときのベースラインにもする
• セットアップの⼿順やスクリプトも⽤意する
• ガイドラインや教育環境を整備する
• 基準を作って整えて⾏きたくなる
• 対策はAWSの設定だけではなく、各プロジェクトにもビ
ジネスを理解したAWSセキュリティの有識者を増やして
いく必要性を感じる
Slide 27
Slide 27 text
27
まとめ
Slide 28
Slide 28 text
28
まとめ
• AWSセキュリティ成熟度モデルを活⽤して、組織や
プロジェクトのセキュリティの現在地を確認しよう
• 幅広いセキュリティについて確認できる
• 細かいアレンジなどは必要なのでアセスメントシートを
育てるとより良い
• 特にグラフはわかりやすくしよう
• 現在地を把握して説明できるようになったら次へ
• 予算も確保しやすくなる
• 強化するのはもちろん、全体で標準化したり仕組みづく
りしたりと改善に繋げよう
Slide 29
Slide 29 text
29
宣伝
Slide 30
Slide 30 text
30
AWSセキュリティ強化プログラム始めました
• AWSセキュリティ成熟度モデルのアセスメントから
⼀緒にやります(推奨項⽬の完了条件など調整済み)
• 未達成の推奨項⽬を達成する⽅法がまとまっており
次のステップも⽀援します(詳しくはウェブで)
AWSセキュリティ強化プログラム: https://classmethod.jp/aws/services/security-enhancement-program/
Slide 31
Slide 31 text
31