Slide 1

Slide 1 text

スタートアップが
 AWS FTR を取得するべき理由
 
 市川悠人/izzii @ Techtouch
 2024/05/27 
 スタートアップが AWS パートナーになる理由 


Slide 2

Slide 2 text

自己紹介
 名前:市川悠人/izzii
 所属:テックタッチ株式会社
 経歴:AI -> セキュリティ系PdM -> SRE
 趣味:登山!ボルダリング!
 X: ahneahneahne


Slide 3

Slide 3 text

「テックタッチ」の紹介
 任意のシステムの上にガイダンスや UI/AI をあと載せできるDigital Addaptation Platform (DAP) 製品を作っています!


Slide 4

Slide 4 text

「テックタッチ」導入企業(一部)


Slide 5

Slide 5 text

AWS Qualified Software です!
 本テーマである AWS FTR を通過した証!


Slide 6

Slide 6 text

本日のテイクノート
 スタートアップが AWS FTR を取得するべき理由は
 
 セキュリティ知識がなくても
 かなり具体的な ToDo を通して
 価値あるコンプライアンス型セキュリティを
 進める事ができるから!
 そして後でやるより今やったほうが高コスパ!


Slide 7

Slide 7 text

AWS FTR とは?
 AWS Fundamental Technical Review の略称で、
 AWS からのレビューを受けて認定をもらう仕組みです。
 パートナーステージを Validated に上げるために必要です。
 パートナーであれば無料で受けられます!!
 対象はソフトウェアベンダーだけではありません!!
 参考:https://aws.amazon.com/jp/blogs/psa/what-is-aws-ftr/ 


Slide 8

Slide 8 text

AWS FTR のレビュー内容
 - Partner Hosted 
 - サポートレベル
 - アーキテクチャレビュー 
 - AWS ルートアカウント 
 - AWS からの連絡 
 - AWS CloudTrail 
 - アイデンティティおよびアクセス管理 
 - 運用セキュリティ 
 - ネットワークセキュリティ 
 - バックアップと復元 
 - レジリエンス
 - Amazon S3 バケットアクセス 
 - クロスアカウントアクセス 
 - 機密データ
 - 規則遵守の検証プロセス 
 (注意)最新や詳細の情報は
 AWS から直接得てください!


Slide 9

Slide 9 text

AWS FTR 取得のメリット
 1. AWS パートナーシップを利用した営業広報活動が可能に
 2. 具体的なコンプライアンス型セキュリティの実践
 -> セキュリティ人材の不足するスタートアップでこそより価値が 高い
 ..


Slide 10

Slide 10 text

セキュリティ対策の最重要課題
 映えある第1位は
 「何をやったらいいかわからない」
 です。
 
 
 (個人の経験と直感に基づいてランキングが計算されております?)


Slide 11

Slide 11 text

セキュリティ対策は大きく2パターン
 脅威ベース
 - 攻撃者目線で何をどう狙うか?という発想から対策を進める方式。
 情報セキュリティの過去事例の知識が最低限必要。
 コンプライアンスベース
 - 有識者が基本的なセキュリティ ToDo を整理してくれているので
 やるだけ(?)


Slide 12

Slide 12 text

セキュリティ対策は大きく2パターン
 脅威ベース
 - 攻撃者目線で何をどう狙うか?という発想から対策を進める方式。
 情報セキュリティの過去事例の知識が最低限必要。
 コンプライアンスベース
 - 有識者が基本的なセキュリティ ToDo を整理してくれているので
 実作業に噛み砕いてやるだけ。


Slide 13

Slide 13 text

どんなコンプライアンスがあるの?
 NIST SP 800-53,171,183 ..
 CIS Benchmarks
 PCI-DSS
 ISO-27001, 27017..
 OWASP ASVS, SAMM
 AWS FTR
 AWS Well Architected Review
 .. などなど


Slide 14

Slide 14 text

例1:ISO/IEC 27001
 ISMS を運用管理するための
 要求事項としてまとめられた国際標準規格。
 主にコーポレートセキュリティに関するコンプライアンス。
 ToDo は抽象度が高いので外部にコンサルしてもらう場合も。
 認定が存在する。
 参考:https://www.lrm.jp/security_magazine/difference_isms-iso27001/ 


Slide 15

Slide 15 text

例2:OWASP ASVS
 脆弱性診断の結果が OWASP ASVS で
 カテゴリ分けされていたりするので、
 見たことがある方も多いのでは。
 セキュリティの知識がなくてもできるものから、
 そうでないものまで。
 公式の認定は存在しない。
 参考:https://github.com/OWASP/ASVS 


Slide 16

Slide 16 text

例3:AWS FTR
 AWS 上で構築されたサービスにおいて、
 セキュリティに配慮し、
 サービスの安定提供のための設計や運用が一定水準以上であるか
 といったことを問うもの。
 ToDo が具体的なので外部の手を借りる必要はないと感じた。
 認定が存在する。


Slide 17

Slide 17 text

(余談)個人的にはツール系も好きです
 
 
 
 
 
 
 
 過剰気味に脆弱性を教えてくれるので、
 意味があるものを判断して対処するとよい。
 (注意)発表者はコンプライアンスを広義解 釈している嫌いがあります笑 
 文脈によって使い分けてください! 


Slide 18

Slide 18 text

AWS FTR 振り返り
 なセキュリティコンプライアンス
 AWS を使ったサービスの
 セキュア化の 1st ステップにおすすめ
 - 認定がもらえる
 - 取得と維持が無料
 - 必要最低限に絞られている印象(どの会社でもマッチするのでは?)
 - ToDo が具体的
 - プロダクトセキュリティに特化


Slide 19

Slide 19 text

対策例を紹介します


Slide 20

Slide 20 text

IAM-009 アプリケーションコードにシークレットを含まない
 放置されていたものを全て、AWS Secret Manager などに移し、ローテー ションしました。
 さらに gitleaks を導入することで誰かがシークレットをハードコードしてし まうことをふせぎました。
 参考:https://github.com/gitleaks/gitleaks 


Slide 21

Slide 21 text

SECOPS-001 脆弱性管理を実施する
 テックタッチでは
 Github dependabot
 AWS Inspector
 AWS Lambda
 Looker Studio
 Slack
 の組み合わせで実施しています。
 脆弱性の即時対応と、定期的な脆弱性の削減が運用に載ると 安心感が爆上げです。
 ダッシュボードのスクショを
 載せるわけにもいかず🥺


Slide 22

Slide 22 text

IAM-002 クレデンシャルを定期的にローテーションする
 IAM KEY をほぼ全て削除することで対応しました。
 IAM KEY を使わないといけない状況というのは
 かなり限られるものと思われます。
 
 
 そもそも漏れるキーが存在しないというのは安心感爆上げです!


Slide 23

Slide 23 text

本日のテイクノート
 スタートアップが AWS FTR を取得するべき理由は
 
 セキュリティ知識がなくても
 かなり具体的な ToDo を通して
 価値あるコンプライアンス型セキュリティを
 進める事ができるから!
 そして後でやるより今やったほうが高コスパ!


Slide 24

Slide 24 text

テックタッチでは絶賛採用募集中です!