Slide 1
Slide 1 text
AWS全体のセキュリティ管理と
快適なセキュリティ運⽤
2022/04/08
AWSトレーニング・⼈材育成ウェビナー 今あなたが学ぶべきAWSセキュリティ
Slide 2
Slide 2 text
2
⾃⼰紹介
⾅⽥佳祐(うすだけいすけ)
・クラスメソッド株式会社
AWS事業本部
シニアソリューションアーキテクト
セキュリティチームリーダー
AWS公認インストラクター
APN Ambassador
・CISSP
・Security-JAWS運営
・好きなサービス:
Amazon Detective
みんなのAWS
(技術評論社)
Slide 3
Slide 3 text
3
セッションテーマ
AWSセキュリティを理解して
便利に運⽤しよう
Slide 4
Slide 4 text
4
対象者
• AWSを直接使う⼈
• AWSを使う仕組みを作る⼈
• AWSを使える⼈を育成する⼈
• だいたい全員
Slide 5
Slide 5 text
5
持ち帰ってもらう事
• AWSを直接使う⼈
• 絶対おさえておくAWSセキュリティ基礎
• AWSを使う仕組みを作る⼈
• 組織の仕組みに組み込むセキュリティ
• AWSを使える⼈を育成する⼈
• AWS学習のお役⽴ちコンテンツ
Slide 6
Slide 6 text
6
アジェンダ
1. AWSセキュリティの基本
2. 便利なAWSセキュリティサービス
3. 組織で整備する仕組み
Slide 7
Slide 7 text
7
合わせて読みたい
セキュリティ対策
はだいたいここに
全部ある
https://dev.classmethod.jp
/articles/aws-security-all-
in-one-2021/
Slide 8
Slide 8 text
8
合わせて読みたい
AWS Skill Builderで
無料のEラーニングが
たくさんあるので活⽤
する
https://dev.classmetho
d.jp/articles/aws-
skillbuilder/
Slide 9
Slide 9 text
9
1. AWSセキュリティの基本
Slide 10
Slide 10 text
10
AWS上で発⽣した事故から学ぶ
• AWS利⽤でよく発⽣するインシデント
• EC2でコインマイニング
• S3の情報漏えい
• どちらも権限管理(アクセス制御)の問題
Slide 11
Slide 11 text
11
AWSセキュリティの基本の1つ
AWSにおける権限管理を理解する
Slide 12
Slide 12 text
12
AWSで実現できることは⾮常に広範囲
AWS の クラウドが選ばれる 10 の理由 | AWS
https://aws.amazon.com/jp/aws-ten-reasons/
Slide 13
Slide 13 text
13
AWSの可能性は無限⼤
• 様々なアプローチにAWSが活⽤できる
• ⾯倒なことはAWSに任せてビジネスに集中できる
• 反⾯、何でも出来ることに気をつける必要がある
• まず権限管理から始める
Slide 14
Slide 14 text
14
権限管理のポイント
• IAM(Identity and Access Management)
• AWS上のアクセス制御サービス
• 最⼩権限の原則を意識して設定する
• アクセスキー/シークレットアクセスキーを守る
• S3
• オブジェクトストレージのサービス
• 重要なデータが保存されている場所を認識する
• データを直接公開しない
• ブロックパブリックアクセスを有効化する
Slide 15
Slide 15 text
15
合わせて読みたい
すべての開発者はgit-
secretsを導⼊する
意図せずアクセス
キーをGitにコミット
することを防⽌でき
る
https://dev.classmethod.jp/artic
les/startup-git-secrets/
Slide 16
Slide 16 text
16
合わせて読みたい
ブロックパブリック
アクセスの機能によ
りすべてのS3バ
ケットの誤った公開
を防⽌できる
https://dev.classmeth
od.jp/articles/s3-
block-public-access/
Slide 17
Slide 17 text
17
実際のインシデントの事例
GitHubに乗ってから10分で悪⽤された
No 時間 状況
1 00:00
お客様がPoweruser権限のアクセスキーをPublicなGitHubリポジ
トリにPush
2 00:10 当該アクセスキーを利⽤した不正な操作が⾏われる
3 00:30
AWS様からの連絡を受け、弊社からお客様へアクセスキーが漏
洩した旨、および、対応⽅法をご連絡(電話、メール)
4 01:00 当該キー経由で作成されたリソースを全て削除
5 XX:XX IAMユーザーのアクセスキーをローテーション
5 XX:XX IAMユーザーのパスワードをローテーション
Slide 18
Slide 18 text
18
実際のインシデントの事例
実際にアクセス
キーが漏洩した
ときに何が起き
たか記録したブ
ログ
https://dev.class
method.jp/articl
es/accesskey-
leak/
Slide 19
Slide 19 text
19
AWSを利⽤する⼤前提
すべてのAWS利⽤者は
AWSの基本的なセキュリティを
理解する必要がある
Slide 20
Slide 20 text
20
無料のデジタルトレーニングを活⽤する
• すべてのAWS利⽤者に以下を受講してもらう
• Introduction to AWS Identity and Access
Management (IAM) (Japanese) (⽇本語吹き替え版)
• 10分の簡単なIAMの概要
• https://explore.skillbuilder.aws/learn/course/external/view/elearning/5843/introduction-to-
aws-identity-and-access-management-iam-japanese-ri-ben-yu-chuiki-tie-ban
• AWS Foundations: Securing Your AWS Cloud
(Japanese) (⽇本語吹き替え版)
• 50分のAWSセキュリティの基本
• https://explore.skillbuilder.aws/learn/course/internal/view/elearning/1356/aws-foundations-
securing-your-aws-cloud-japanese-ri-ben-yu-chuiki-tie-ban
Slide 21
Slide 21 text
21
合わせて読みたい
「AWS利⽤開始時に
最低限おさえておき
たい10のこと」
最初に知るべきこと
がまとまっている公
式の資料
https://pages.awscloud.com/eve
nt_JAPAN_at-least-10-
ondemand.html?trk=aws_event_
page
Slide 22
Slide 22 text
22
2. 便利なAWSセキュリティサービス
Slide 23
Slide 23 text
23
AWSの良さ
マネージドサービスで楽できる
Slide 24
Slide 24 text
24
マネージドサービスとは︖
• インフラを気にせず機能を利⽤できる
• やりたいことに注⼒できる
Slide 25
Slide 25 text
25
AWSセキュリティのマネージドサービス
• 2つのサービス
• AWS Security Hub
• AWS環境の設定をセキュリティチェックする
• 危険な設定に気づいて是正できる
• Amazon GuardDuty
• AWS上のログから脅威を検知
• セキュリティの問題をいち早く発⾒して通知
できる
• どちらもポチッと有効化するだけ
Slide 26
Slide 26 text
26
AWSセキュリティのマネージドサービス
• 使うのも簡単
• すぐ有効化
• ログ収集設定や管理が不要
• 運⽤も簡単
• 通知を受け取る
• 書いてある内容とユーザーガイドをみて対処
Slide 27
Slide 27 text
27
AWS Security Hub
セキュリティチェック
Slide 28
Slide 28 text
28
AWS Security Hubのセキュリティチェック
直感的な
スコア表
⽰で達成
度がわか
りやすい
Slide 29
Slide 29 text
29
対応リソースタイプ
• ACM
• APIGateway
• AutoScaling
• CloudFront
• CloudTrail
• CodeBuild
• Config
• DMS
• DynamoDB
• EC2
• ECS
• EFS
• ElasticBeanstalk
• ELB
• ELBv2
• EMR
• ES
• GuardDuty
• IAM
• KMS
• Lambda
• RDS
• Redshift
• S3
• SageMaker
• SecretsManager
• SNS
• SQS
• SSM
• WAF
Slide 30
Slide 30 text
30
Security Hubの運⽤ポイント
• 全AWSアカウント全リージョンで有効化
• 東京リージョンに集約
• 「AWSの基本的なセキュリティのベストプラクティス」
を適⽤する
• ⾒つかる問題を解決する
• 新しい問題が出たら通知する
• みんなが⾒える場所に通知してみんなで直す
• スコアが⾒えるのでみんなで達成しやすい
Slide 31
Slide 31 text
31
合わせて読みたい
Security Hubの解
説とどんな⾵に運⽤
したらいいかをまと
めています
https://dev.classmethod.
jp/articles/aws-security-
operation-with-
securityhub-2021/
Slide 32
Slide 32 text
32
⾃動修復ソリューション
マルチアカ
ウント連携
した修復の
仕組みを展
開できる
Slide 33
Slide 33 text
33
Amazon GuardDuty
脅威検知
Slide 34
Slide 34 text
34
GuardDutyの検知内容(ほんの⼀部)
• IAMタイプ
• 不正ログイン
• 漏洩したクレデンシャル利⽤
• CloudTrail無効化
• EC2タイプ
• コインマイニング
• C&Cサーバー接続
• SSHブルートフォース(受信 or 送信)
• S3タイプ
• 不⾃然なバケット公開(情報漏えい)
• Torアクセス
Slide 35
Slide 35 text
35
対応⽅法
GuardDutyのユー
ザーガイドに検知
結果毎の対応⽅法
がわかりやすく記
載されている
https://docs.aws.amazon.co
m/ja_jp/guardduty/latest/u
g/guardduty_finding-types-
active.html
Slide 36
Slide 36 text
36
初動対応計画
• 検知結果毎ざっくり3種類準備しておく
• IAMタイプ
• 認証情報を無効化する
• EC2タイプ
• EC2を隔離、保全、調査する
• 調査は得意な会社に依頼できる準備でもいい
• S3タイプ
• アクセス権限を絞る
Slide 37
Slide 37 text
37
IAMタイプの初動対応例
• IAM Userならアクセスキーを無効化・削除
• IAM Roleならセッションの無効化をポチ
• CloudTrailで何をされたか調査
Slide 38
Slide 38 text
38
EC2タイプの初動対応例
Security Groupを
変更して隔離
(in/out無し)
AMIバックアップ取
得
サーバーやストレー
ジ調査(できれば、
プロに任せたほうが
いい)
Slide 39
Slide 39 text
39
S3タイプの初動対応例
パブリックアクセスブロックする
Slide 40
Slide 40 text
40
GuardDutyの運⽤ポイント
• 全AWSアカウント全リージョンで有効化
• 通知設定をしてすぐに気付けるようにする
• みんなが⾒える場所に通知してみんなで直す
• スコアが⾒えるのでみんなで達成しやすい
• 対応の準備をしておく
• ⼿順の整理
• 誰に連絡するのか
• 誰が判断するのか
Slide 41
Slide 41 text
41
合わせて読みたい
GuardDutyの解説と
どんな⾵に運⽤した
らいいかをまとめて
います
https://dev.classmethod.jp/articl
es/aws-security-operation-with-
guardduty-2021/
Slide 42
Slide 42 text
42
無料のデジタルトレーニングを活⽤する
• AWSセキュリティ仕組みづくりに役⽴つコース
• AWS Security Fundamentals (Second Edition)
(Japanese)
• AWSセキュリティ管理の2時間コース
• https://explore.skillbuilder.aws/learn/course/external/view/elearning/602/aws-security-
fundamentals-second-edition-japanese
• Getting Started with AWS Security, Identity, and
Compliance (Japanese)
• 権限管理や統制の3時間コース
• https://explore.skillbuilder.aws/learn/course/external/view/elearning/953/getting-started-
with-aws-security-identity-and-compliance-japanese
Slide 43
Slide 43 text
43
3.組織で整備する仕組み
Slide 44
Slide 44 text
44
AWSセキュリティの考え⽅
⼿動の運⽤ではなく
⾃動化された仕組みで対応する
Slide 45
Slide 45 text
45
組織レベルの効率的なAWS管理
• 原則としてAWSアカウントは環境分離のためたくさ
ん作られる
• 1つのシステムで開発・検証・本番と3アカウント作成が
ベストプラクティス
• 増え続けるAWSアカウントに⾃動で対応
• セキュアな設定を適⽤
• セキュリティチェックを実施
• イベントを集約・⾃動対応
Slide 46
Slide 46 text
46
正しいAWSセキュリティの⽅針
• 何でも禁⽌する(ゲートを設ける)と俊敏性を損なう
• 危なく無いようにガードレールを設けて、その中で
⾃由にしてもらうようにする
Slide 47
Slide 47 text
47
AWS Organizationsとは
• 複数のAWSアカウント
を束ねる仕組み
• OUを定義して配下にア
カウントをまとめられる
• Service Control
Policy(SCP)を利⽤して
強制的なアクセス制御が
可能
Slide 48
Slide 48 text
48
SCPを利⽤したガードレール
• SCPの例
• 特定リージョン使⽤禁⽌
• CloudTrail無効化禁⽌
• GuardDuty無効化禁⽌
• S3バケット公開禁⽌
• タグのないリソース作成禁⽌
• https://docs.aws.amazon.com/ja_jp/organizations/latest/userguide/
orgs_manage_policies_scps_examples.html
• 開発環境 / 本番環境 / 共⽤環境などで使い分ける
Slide 49
Slide 49 text
49
合わせて読みたい
Organizationsについて
必要な知識や関連サービ
スについて⼀通り説明あ
り
https://dev.classmethod.jp/articles/l
ets-study-aws-organizations-basic/
Slide 50
Slide 50 text
50
AWS Organizations連携
• 様々なAWSサービスと連携して簡単に全体管理でき
る
• AWS SSO
• CloudFormation StackSets
• GuardDuty
• Security Hub
• Systems Manager
• CloudTrail
• Config
• などなど
Slide 51
Slide 51 text
51
CloudFormation StackSets
• Organizationsがなくてもリージョンやアカウント
をまたがるCloudFormation展開が可能
Slide 52
Slide 52 text
52
合わせて読みたい
簡単に全体を⾃動化
https://dev.classmethod.
jp/articles/cloudformati
on-stacksets-sample-
sns-topic/
Slide 53
Slide 53 text
53
合わせて読みたい
AWS SummitでVisional
様が発表した内容
Terraformで全体へ展開
https://dev.classmethod.jp/articles/a
ws-summit-online-2020-cus-06/
Slide 54
Slide 54 text
54
AWS SSO
AWSアカウントの認証情報を集約できる
シングルサインオンの仕組み
Slide 55
Slide 55 text
55
合わせて読みたい
よく分かる(かもし
れない)図解
https://dev.classmethod
.jp/articles/aws-sso-
wakewakame/
Slide 56
Slide 56 text
56
Jumpアカウント
• AWS SSOを利⽤しなくてもSSOする⼿段はある
• SAML連携
• JumpアカウントへのIAM User集約
Slide 57
Slide 57 text
57
AWS Control Tower
AWSのベストプラ
クティスに従った構
成でガードレールを
効かせる仕組み
AWS
Organizationsと
連携する
Slide 58
Slide 58 text
58
合わせて読みたい
Control Towerの必要
性や背景、代替案などは
全部ここで説明していま
す
https://dev.classmethod.jp/ar
ticles/jaws-days-2021-
control-tower/
Slide 59
Slide 59 text
59
CCoEの例
Slide 60
Slide 60 text
60
合わせて読みたい
CCoEの1つの実装例
⽴ち上げ過程やどの
ような⽅針で推進し
たか解説されていま
す
https://dev.classmethod.j
p/articles/shionogi-
devshow/
Slide 61
Slide 61 text
61
合わせて読みたい
クラウド推進する
組織に必要なこと
が書いてある
責任者も担当者も
必読
https://dev.classmetho
d.jp/articles/bookrevie
w-ccoe-best-practice/
Slide 62
Slide 62 text
62
合わせて読みたい
セキュアなAWS設
定と実運⽤の例
デフォルトでセキュ
リティを強化した
AWSアカウント発
⾏も無償でしてます
(宣伝)
https://dev.classmethod.
jp/articles/aws-security-
operation-bestpractice-
on-secure-account/
Slide 63
Slide 63 text
63
セキュアアカウントの構成
Slide 64
Slide 64 text
64
まとめ
Slide 65
Slide 65 text
65
まとめ
• 基本の権限管理は全員理解する
• マネージドのセキュリティサービスを
ポチッと有効化して運⽤する
• 仕組みを作って全体をセキュアに保つ
Slide 66
Slide 66 text
66