Slide 1
Slide 1 text
組織的なクラウド統制のはじめの⼀歩
2023.4.17
AWS事業本部 コンサルティング部 yhana
1
Slide 2
Slide 2 text
1.CCoE の取り組み
2.AWS 利⽤ルール(利⽤ガイドライン)の策定
3.AWS のクラウド統制サービスの紹介(発表者交替)
2
もくじ
Slide 3
Slide 3 text
3
CCoE の取り組み
Slide 4
Slide 4 text
CoE (Center of Excellence)
特定分野におけるトップレベル⼈材やノウハウ、設備を集約した組織
CCoE (Cloud Center of Excellence)
CoE の Cloud 版
クラウド利⽤に関するノウハウを集約・活⽤して組織全体を牽引
4
CCoE とは
Slide 5
Slide 5 text
5
CCoE のイメージ(デザインパターンの⼀例)
(参考)CCoEがやることについてまとめてみた
Slide 6
Slide 6 text
6
CCoE の取り組み例
カテゴリ 項⽬
プロジェクト⽀援 社内向けのコンサルティング、プロフェッショナル⼈材の派遣
⼈材育成 トレーニング・研修の整備、社内勉強会等のイベント開催
情報発信 社内外のイベント登壇、社内コミュニティの整備、社外への情報発信
情報収集 クラウド技術の情報・ノウハウ蓄積、社内要望の収集
共通サービスの整備 共通インフラやデータレイク等の全組織が利⽤できるサービスを⼀元提供
利⽤ルールの策定 社内でクライドを利⽤するルール決め、クラウド利⽤のガイドライン
クラウドの管理 アカウント管理、ユーザー管理、ログ管理、セキュリティ対策、コスト管理
推進
統制
(参考)CCoEがやることについてまとめてみた
Slide 7
Slide 7 text
7
CCoE の取り組み例
カテゴリ 項⽬
プロジェクト⽀援 社内向けのコンサルティング、プロフェッショナル⼈材の派遣
⼈材育成 トレーニング・研修の整備、社内勉強会等のイベント開催
情報発信 社内外のイベント登壇、社内コミュニティの整備、社外への情報発信
情報収集 クラウド技術の情報・ノウハウ蓄積、社内要望の収集
共通サービスの整備 共通インフラやデータレイク等の全組織が利⽤できるサービスを⼀元提供
利⽤ルールの策定 社内でクライドを利⽤するルール決め、クラウド利⽤のガイドライン
クラウドの管理 アカウント管理、ユーザー管理、ログ管理、セキュリティ対策、コスト管理
推進
統制
(参考)CCoEがやることについてまとめてみた
Slide 8
Slide 8 text
8
AWS 利⽤ルール (利⽤ガイドライン) の策定
Slide 9
Slide 9 text
9
クラウド利⽤ルールに策定・クラウドの管理
AWS の利⽤ルール(利⽤ガイドライン)の記載内容の例
章 記載内容の例
AWS アカウント管理 AWS アカウントの⼀元管理⽅法、調達フロー
ユーザー管理 ユーザーの⼀元管理⽅法、利⽤申請フロー
セキュリティ対策 AWS のセキュリティ対策(予防的・発⾒的統制)、組織内の推奨サービス・製品
ログ管理 取得すべきログと保管期間などのルール
コスト管理 組織内の AWS 利⽤料の精算ルール、料⾦の監視⽅法、推奨の⾒直し⽅法
共通ネットワーク・サービス 共⽤のネットワーク/プロキシ/FW構成、データレイクなどの共通サービス
リソース作成ルール・推奨構成 推奨構成のリファレンスアーキテクチャ、VPC/EC2 の設計ルール
運⽤ 推奨のシステム監視⽅法、バックアップ・リストア⽅法
監査 利⽤ルールが守られているかのチェック、外部監査対応の留意点
(参考)クラスメソッドメンバーズのお客様向けに公開している「Classmethod Cloud Guidebook (CCG)」の使い⽅
Slide 10
Slide 10 text
10
クラウド利⽤ルールに策定・クラウドの管理
AWS の利⽤ルール(利⽤ガイドライン)の⽬次例
章 記載内容の例
AWS アカウント管理 AWS アカウントの⼀元管理⽅法、調達フロー
ユーザー管理 ユーザーの⼀元管理⽅法、利⽤申請フロー
セキュリティ対策 AWS のセキュリティ対策(予防的・発⾒的統制)、組織内の推奨サービス・製品
ログ管理 取得すべきログと保管期間などのルール
コスト管理 組織内の AWS 利⽤料の精算ルール、料⾦の監視⽅法、推奨の⾒直し⽅法
共通ネットワーク・サービス 共⽤のネットワーク/プロキシ/FW構成、データレイクなどの共通サービス
リソース作成ルール・推奨構成 推奨構成のリファレンスアーキテクチャ、VPC/EC2 の設計ルール
運⽤ 推奨のシステム監視⽅法、バックアップ・リストア⽅法
監査 利⽤ルールが守られているかのチェック、外部監査対応の留意点
始めのステップとして取り組むことが多い
(参考)クラスメソッドメンバーズのお客様向けに公開している「Classmethod Cloud Guidebook (CCG)」の使い⽅
Slide 11
Slide 11 text
11
AWS アカウント管理
Slide 12
Slide 12 text
12
AWS アカウント管理
AWS アカウントを⼀元管理していない場合の課題
AWS 社 リセラー A社 リセラー B社
AWS アカウント
AWS アカウント
AWS アカウント
プロジェクト担当者
Slide 13
Slide 13 text
13
AWS アカウント管理
AWS アカウントを⼀元管理していない場合の課題
AWS 社 リセラー A社 リセラー B社
AWS アカウント
AWS アカウント
AWS アカウント
インシデント発⽣
プロジェクト担当者
Slide 14
Slide 14 text
14
AWS アカウント管理
AWS アカウントを⼀元管理していない場合の課題
AWS 社 リセラー A社 リセラー B社
AWS アカウント
AWS アカウント
AWS アカウント
インシデント発⽣
すべてのアカウントを確認
全担当者へのヒアリングするのは時間がかかる、連絡先がわからない場合も
プロジェクト担当者
Slide 15
Slide 15 text
15
AWS アカウント管理
AWS アカウントを⼀元管理していない場合の課題
AWS 社 リセラー A社 リセラー B社
AWS アカウント
AWS アカウント
AWS アカウント
インシデント発⽣
すべてのアカウントを確認
対策の実施(依頼)
依頼対応完了の確認に時間がかかる
プロジェクト担当者
Slide 16
Slide 16 text
16
AWS アカウント管理
AWS アカウントを⼀元管理していない場合の課題
AWS 社 リセラー A社 リセラー B社
AWS アカウント
AWS アカウント
AWS アカウント
インシデント発⽣
すべてのアカウントを確認
対策の実施(依頼)
依頼対応完了の確認に時間がかかる
AWS アカウント
対応完了後に発⾏したアカウントでは
対策が実施されていないことがある
プロジェクト担当者
Slide 17
Slide 17 text
17
AWS アカウント管理
AWS アカウントを⼀元管理していない場合の課題
プロジェクト担当者 クラスメソッド
AWS アカウント
AWS アカウント
AWS アカウント
インシデント発⽣
すべてのアカウントを確認
対策の実施(依頼)
AWS アカウント
AWS の組織管理機能(AWS Organizations)で⼀元管理
Slide 18
Slide 18 text
18
AWS アカウント管理
AWS アカウントの⼀元管理と発⾏フローの整備
AWS Organizations の利⽤ 組織内のアカウント発⾏フローの整備
アカウントをグルーピングしてグループ毎に異なる統制を適⽤ 組織内で満たすべき設定項⽬を最初から設定
Slide 19
Slide 19 text
19
ユーザー管理
Slide 20
Slide 20 text
20
ユーザー管理
各 AWS アカウントで個別にユーザーを管理している場合の課題
AWS アカウント AWS アカウント AWS アカウント
Slide 21
Slide 21 text
21
ユーザー管理
各 AWS アカウントで個別にユーザーを管理している場合の課題
AWS アカウント AWS アカウント AWS アカウント
各アカウントにユーザー作成して
管理するのが⼿間となる
Slide 22
Slide 22 text
22
ユーザー管理
各 AWS アカウントで個別にユーザーを管理している場合の課題
AWS アカウント AWS アカウント AWS アカウント
各アカウントにユーザー作成して
管理するのが⼿間となる
乗っ取りの被害に合いやすい
MFA無し
脆弱なPW
Slide 23
Slide 23 text
23
ユーザー管理
各 AWS アカウントで個別にユーザーを管理している場合の課題
AWS アカウント AWS アカウント AWS アカウント
各アカウントにユーザー作成して
管理するのが⼿間となる
乗っ取りの被害に合いやすい
MFA無し
脆弱なPW
異動・退職により利⽤していない
(乗っ取り被害の可能性を⾼める)
Slide 24
Slide 24 text
24
ユーザー管理
ユーザーの⼀元管理⽅法を整備
組織内の ID プロバイダーと統合
既存 ID とセキュリティレベルを統⼀、ユーザー削除漏れの防⽌
ユーザー払い出しフローの整備
Slide 25
Slide 25 text
25
セキュリティ対策
Slide 26
Slide 26 text
26
セキュリティ対策
AWS レイヤーのセキュリティ対策を検討して実装
・予防的統制
・発⾒的統制
Slide 27
Slide 27 text
27
セキュリティ対策
予防的統制のイメージ
ガードレール
⼤きいサイズの EC2 インスタンスの起動
DNS ドメインの購⼊
東京、⼤阪、バージニア北部リージョン以外の利⽤
利⽤可能な
サービスと
アクション
ガードレール
利⽤禁⽌
利⽤禁⽌
「⾃由」に利⽤できる範囲
Slide 28
Slide 28 text
28
セキュリティ対策
発⾒的統制のイメージ
望ましくない設定や意図していない設定に
気づく仕組みを導⼊
例)悪意のあるサーバ(IP アドレス)との通信
例)誤って S3 のデータをインターネット公開
危険な通信や不審なアクセスに
気づく仕組みを導⼊
Slide 29
Slide 29 text
29
ログ管理
Slide 30
Slide 30 text
30
ログ管理
ログの集約(保全)の検討
イベントログの集約例
Slide 31
Slide 31 text
31
ログ管理
ログの集約(保全)
×
アカウント乗っ取り後に攻撃者により
ログ記録停⽌やログ削除が実⾏される
場合がある
隔離したログから攻撃者の⾏動を
調査できる
Slide 32
Slide 32 text
32
ログ管理
ログの集約(保全)
イベントログの集約例
×
アカウント乗っ取り後に攻撃者により
ログ記録停⽌やログ削除が実⾏される
場合がある
隔離したログから攻撃者の⾏動を
調査できる
SIEM や BI ツール等を利⽤した
ログの分析や⾒える化ができる
Slide 33
Slide 33 text
33
コスト管理
Slide 34
Slide 34 text
34
コスト管理
組織内の利⽤料の⽀払いや費⽤計上のルールを定める
・アカウントを⼀元管理した際の請求フロー
例えば、CCoE が⼀括払いをして組織内の他部⾨に振り替えるのか
各部⾨がそれぞれ⽀払い処理をするのか
・Reserved Instance (RI) などの前払いサービスの費⽤計上ルール
例えば、前払い分を毎⽉の⽀出に振り替えるなど
Slide 35
Slide 35 text
35
AWS のクラウド統制サービスの紹介
(発表者交替)
Slide 36
Slide 36 text
36