セキュリティの新サービス アップデート紹介（仮） 2020/12/18 AWS事業本部 コンサルティング部 ⾅⽥佳祐 #cmregrowth

2 ⾃⼰紹介 ⾅⽥佳祐 クラスメソッド株式会社 ・AWS事業本部 ソリューションアーキテクト セキュリティチームリーダー AWS公認インストラクター ・Security-JAWS運営 ・好きなサービス: Amazon Detective Amazon Detective

3 なんで（仮）なのか︖ 今年のセキュリティ系アップデートは 渋い

4 ざっくり新サービス・アップデート⼀覧 • 事前 • AWS Nitro Enclaves • AWS Gateway Load Balancer • AWS Network Firewall • AWS Transfer FamilyのAWS WAFサポート • AWS Control Tower v2.5 • AWS SignerによるAWS Lambdaのコード署名 • re:Invent • Amazon CodeGuru Security Detector • Amazon DevOps Guru • AWS Audit Manager • Amazon HealthLake • Amazon Route 53がDNSSECに対応

5 マネジメント・ガバナンスまで広げるともう少し • CloudTrailイベント⽐較 • AWS IAMセルフペースラボ • VPC Reachability Analyzer • AWS SSOのWebAuthn対応 • AWS SSO RBAC対応 • Amazon S3 強い整合性のある読み込み • AWS SaaS Boost • AWS CloudShell • AWS Systems Manager Change Manager • Fault Injection Simulator • Amazon Managed Service for Grafana • Amazon Managed Service for Prometheus

6 去年はどうだったか︖ • AWS WAF v2 • IMDSv2 • S3 Access Point • IAM Access Analyzer • Amazon Detective • Amazon Fraud Detector • などなど

7 Amazon Detective • インシデントの調査がめっちゃ捗る • すべての環境で利⽤する無くてはならない サービス • GuardDutyと連携する まだ有効化してない⼈がいたらすぐに有効化

8 渋いけどAWS Audit Managerの説明 • PCI DSSなどの監査⽤の評価レポート作成ができる • Security HubやCloudTrailなどの証跡を⾃動集約 • 収集対象やレポートはカスタマイズ可能

9 そもそもみんな監査してる︖ (されてる︖) AWS環境を正しく評価されて いますか︖

10 ここで思い出す事がある

11 Andy Jassyのキーノートにて クラウドは IT⽀出のうち わずか4%

12 うわっ… クラウド利⽤率、 低すぎ…

13 あなたの会社、クラウド使えてますか︖ • 全てのシステムにおいてクラウドの採⽤が可能です か︖ • セキュリティ部⾨・監査部⾨などがクラウド活⽤を 抑制していませんか︖

14 ⼤事なこと • クラウドはビジネスを加速するもの • セキュリティもビジネスを加速するもの • セキュリティがビジネスを遮ってはならない • クラウドでは俊敏性と⾼セキュリティを両⽴できる

15 クラウドを活⽤して みんな変わってきている

16 事例: ⽇本銀⾏様 • (クラウドは)多くの⾦ 融機関においてシステ ムを構築する上で不可 ⽋なもの • (クラウド利⽤のリスク 管理は)基本的な点を把 握すれば決してハード ルの⾼いものではない ⾦融システムレポート別冊「クラウドサービス利⽤におけるリスク管理上の留意点」 : ⽇本銀⾏ Bank of Japan https://www.boj.or.jp/research/brp/fsr/fsrb201126.htm/

17 事例: 塩野義製薬様 • 創薬研究でのクラウドHPC環境活⽤ • CCoEを⽴ち上げ、セキュリティ・ガバナンスは AWSの各種セキュリティサービスやサードパーティ を活⽤ 塩野義製薬の事例から⾒るCCoEの⽴ち上げとDX推進 https://dev.classmethod.jp/articles/shionogi-devshow/

18 様々な機械学習と物理の新サービス • Amazon Monitron • AWS Panorama Appliance • Amazon Lookout for Equipment • Amazon Lookout for Vision Machine Learning Keynote - AWS re:Invent 2020 01:30:00あたりからのデモ必⾒ https://virtual.awsevents.com/media/t/1_07cg4srl/186983933

19 圧倒的に変われる⼿段がある

20 というわけで本物のタイトル 「クラウドを活⽤するための 最新のAWSセキュリティ2020」

21 アジェンダ • AWSセキュリティのための10のこと • ヘルスケアのデータレイク • クラウドの監査

22 まずはSecurityリーダーシップセッションから AWSセキュリティのための10のこと

23 2020年版: AWSセキュリティのための10のこと ⾊々変わった AWS security: Where we’ve been, where we’re going - AWS re:Invent 2020 https://virtual.awsevents.com/media/t/1_0y7tcdgx/189146863

24 2020年版: AWSセキュリティのための10のこと 1. AWS Organizationsを利⽤する 2. (セキュリティサービスを駆使して)使⽤状況を理解 する(改善する) 3. 暗号サービスを利⽤する(通信経路・保管時の暗号 化をする、全てを暗号化する) 4. ⼈のアクセスのためにフェデレーションを利⽤する (新規・既存のユーザーDBとSSOする) 5. 全てのS3でブロックパブリックアクセスを利⽤する

25 2020年版: AWSセキュリティのための10のこと 6. エッジを保護する(CloudFront / WAF / Shield など) 7. パッチを適⽤する(セキュリティの野菜︕) 8. 多層防御する(内部が緩いのもだめ) 9. 透明性のあるリーダーシップ(ビジネスを阻害しな いセキュリティを実践する) 10.様々な採⽤とトレーニングを⾏う(セキュリティ⼈ 材へ投資する)

26 Amazon HealthLake(プレビュー) • さまざまなシステム (電⼦カルテ、検査システム、医 療画像リポジトリなど) の互換性のないフォーマット を取り込んでFHIRに対応したタグ付けや構造化 • 機械学習などの適⽤を簡単に クラウドにヘルスデータを格納し、変換と分析を⾏う Amazon HealthLake | Amazon Web Services ブログ https://aws.amazon.com/jp/blogs/news/new-amazon-healthlake-to-store- transform-and-analyze-petabytes-of-health-and-life-sciences-data-in-the-cloud/

27 Cloud Audit Academy(クラウド監査アカデミー) • クラウドのセキュリティを監査するためのスキルと ベストプラクティスを学ぶコンテンツ • クラウドおよび業界にとらわれない学習から始まる • 無料のデジタルトレーニングもある(3時間、英語) • ⽇本語化待ってます • https://aws.amazon.com/compliance/audit or-learning-path/ • ⽇本語のページはまだ古いから⾔語をEnglishに

28 Compliance as Code(CaC) • Infrastructure as Code(IaC)の監査版 • 監査をプログラムで管理・⾃動化する • 例: • AWS ConfigでSecurity Groupのチェック • SSHのポート開放を検知 • ⾃動修復 • セッションあるよ • Achieve compliance as code using AWS Config • https://virtual.awsevents.com/media/1_92m30ogx

29 まとめ クラウドを使って ⾼いセキュリティを保ちつつ ビジネスを加速しよう

No content