Slide 1
Slide 1 text
AWS環境のセキュリティ
どうやってチェックしてる︖
2022/08/18
セキュリティエンジニア勉強会
〜社内のセキュリティ環境ってどうしてる︕︖知⾒・課題を共有〜
ハッシュタグ: #テックストリート
Slide 2
Slide 2 text
2
⾃⼰紹介
⾅⽥佳祐(うすだけいすけ)
・クラスメソッド株式会社
AWS事業本部
シニアソリューションアーキテクト
セキュリティチームリーダー
AWS公認インストラクター
APN Ambassador
・CISSP
・Security-JAWS運営
・好きなサービス:
Amazon Detective
みんなのAWS
(技術評論社)
Slide 3
Slide 3 text
3
セッションテーマ
クラウドセキュリティの
恩恵を最⼤限受け
ポジティブに取り組もう
Slide 4
Slide 4 text
4
対象者
• AWSのセキュリティ対策はまだガッツリ取り組
めていない情シスとかセキュリティエンジニア
• AWS触っている⼈
• 触っていない⼈
• 社内セキュリティの⼈
• セキュリティに興味がある⼈
• だいたいAWSの初級から中級くらい
Slide 5
Slide 5 text
5
持ち帰ってもらう事
• とにかく最強のAWS基礎セキュリティベストプ
ラクティスを使う
• 全員巻き込んでポジティブにセキュリティを強
化する
• 中級以降からAWSの知識は必須
Slide 6
Slide 6 text
6
アジェンダ
1. AWSセキュリティどこからやるの︖
2. AWS Security Hubを使ったセキュリティチェッ
ク
3. クラウドセキュリティのメリットを最⼤限享受する
には
Slide 7
Slide 7 text
7
合わせて読みたい
セキュリティ対策
はだいたいここに
全部ある
https://dev.classmethod.jp
/articles/aws-security-all-
in-one-2021/
Slide 8
Slide 8 text
8
合わせて読みたい
セキュアアカウ
ントの仕組みの
説明とコツはこ
ちらにあります
https://dev.classmet
hod.jp/articles/2204
08-training-webinar-
aws-security-
management/
Slide 9
Slide 9 text
9
1. AWSセキュリティ
どこからやるの︖
Slide 10
Slide 10 text
10
クラウド特有の
セットアップをしていく
Slide 11
Slide 11 text
11
最初にやること抜粋
• IAMユーザーを作ってルートユーザーをMFAで封印
• 必要なサービス有効化
• CloudTrail
• Config
• GuardDuty
• Security Hub
• IAM Access Analyzer
• Detective
• Well-Architectedフレームワーク読む
Slide 12
Slide 12 text
12
合わせて読みたい
やることはこ
こにまとまっ
ています
https://dev.clas
smethod.jp/arti
cles/aws-
baseline-
setting-202206/
Slide 13
Slide 13 text
13
IAM
• Identity and Access Management
• AWSにおけるアクセス制御の基本であり極意
• セキュリティの原則に従い利⽤
• 個別のIDを発⾏する
• 最⼩権限
• MFA設定
• アクセスキーの利⽤は注意
• すべてのAWS利⽤者が理解する必要がある
Slide 14
Slide 14 text
14
合わせて読みたい
IAM再⼊⾨
やや古いがよくまと
まっている
https://dev.classmethod.jp/ar
ticles/cm-advent-calendar-
2015-getting-started-again-
aws-iam/
Slide 15
Slide 15 text
15
合わせて読みたい
すべての開発者はgit-
secretsを導⼊する
意図せずアクセス
キーをGitにコミット
することを防⽌でき
る
https://dev.classmethod.jp/artic
les/startup-git-secrets/
Slide 16
Slide 16 text
16
CloudTrail
• CloudTrailはAWS上の操作であるAPIを記録する
• 誰がいつ何をどうしたか、全て記録される
• いつログインしたか
• 誰がサーバーを作成したか
• いつ削除したか
• ログはS3に保存しておく
Slide 17
Slide 17 text
17
合わせて読みたい
最初にCloudTrailを
有効化する
全リージョンで⼀括
の設定が可能で必須
https://dev.classmethod.jp
/articles/aws-cloudtrail-
all-regions-on/
Slide 18
Slide 18 text
18
Config
• 各種AWSリソースの変更を記録・管理する
• 時系列に変更を辿れる
• セキュリティグループがいつ作られたか
• いつどのように変更されたか
• 関連性を辿れる
• どのEC2と紐付いているか
• どのVPCと紐付いているか
• 問題ある設定を是正する
Slide 19
Slide 19 text
19
合わせて読みたい
AWS Configも最初
に有効化する
リージョン毎の設定
なので全リージョン
回す
グローバルリソース
記録は1つでいい
https://dev.classmethod.
jp/articles/aws-config-
start/
Slide 20
Slide 20 text
20
Well-Architectedフレームワーク
5つの柱に基づいたベストプラクティスを
理解できる
Slide 21
Slide 21 text
21
合わせて読みたい
初めて読む⼈はこのブ
ログから読むとよく理
解できる
熟練者もこのブログで
早引きできる
つまり全員使うと良い
ブログ
https://dev.classmetho
d.jp/articles/aws-well-
architected-guide/
Slide 22
Slide 22 text
22
AWSを利⽤する⼤前提
すべてのAWS利⽤者は
AWSの基本的なセキュリティを
理解する必要がある
Slide 23
Slide 23 text
23
とはいえ
いっぱいあってやっぱり⼤変では︖
Slide 24
Slide 24 text
24
2. AWS Security Hubを使った
セキュリティチェック
Slide 25
Slide 25 text
25
AWSの良さ
マネージドサービスで楽できる
Slide 26
Slide 26 text
26
マネージドサービスとは︖
• インフラを気にせず機能を利⽤できる
• やりたいことに注⼒できる
Slide 27
Slide 27 text
27
AWS Security Hub
セキュリティチェック
Slide 28
Slide 28 text
28
合わせて読みたい
セキュリティチェックの
概念から様々な⼿法のメ
リットデメリットなどま
とまっています
https://dev.classmethod.jp/art
icles/2020-strongest-aws-
securitycheck-practice/
Slide 29
Slide 29 text
29
セキュリティチェック⽅法
• Security Hubはセキュリティチェック運⽤の理想形
• 直感的なスコア表⽰
• 無効化・例外の設定管理
• AWSが最新のベストプラクティスを適⽤
• 「AWS の基本的なセキュリティのベストプラクティスコント
ロール(AWS Foundational Security Best Practices)」の
ルールが優秀
• 現状38リソースタイプ・190種類のチェック
• 更新頻度が⾼い(リリースから約2年半で31回更新)
• ⾃動修復ソリューション
• マルチアカウント・マルチリージョンの集約
Slide 30
Slide 30 text
30
AWS Security Hubのセキュリティチェック
直感的な
スコア表
⽰で達成
度がわか
りやすい
Slide 31
Slide 31 text
31
対応リソースタイプ
•ACM
•APIGateway
•AutoScaling
•CloudFormation
•CloudFront
•CloudTrail
•CodeBuild
•Config
•DMS
•DynamoDB
•EC2
•ECR
•ECS
•EFS
•EKS
•ElasticBeanstalk
•ELB
•ELBv2
•EMR
•ES
•GuardDuty
•IAM
•Kinesis
•KMS
•Lambda
•Network Firewall
•NetworkFirewall
•OpenSearch
•RDS
•PCI
•Redshift
•S3
•SageMaker
•SecretsManager
•SNS
•SQS
•SSM
•WAF 38種類︕
Slide 32
Slide 32 text
32
Security Hubの運⽤ポイント
• 全AWSアカウント全リージョンで有効化
• 東京リージョンに集約
• 「AWSの基本的なセキュリティのベストプラクティス」
を適⽤する
• ⾒つかる問題を解決する
• 新しい問題が出たら通知する
• みんなが⾒える場所に通知してみんなで直す
• スコアが⾒えるのでみんなで達成しやすい
Slide 33
Slide 33 text
33
合わせて読みたい
Security Hubの解
説とどんな⾵に運⽤
したらいいかをまと
めています
https://dev.classmethod.
jp/articles/aws-security-
operation-with-
securityhub-2021/
Slide 34
Slide 34 text
34
⾃動修復ソリューション
マルチアカ
ウント連携
した修復の
仕組みを展
開できる
Slide 35
Slide 35 text
35
3. クラウドセキュリティの
メリットを最⼤限享受するには
Slide 36
Slide 36 text
36
AWSセキュリティの考え⽅
AWSに関わる全ての⼈が
セキュリティ担当者
全員でセキュリティの課題に取り組む
Slide 37
Slide 37 text
37
AWS Security Hubのセキュリティチェック
このスコアを良くし
ていくのは開発者を
中⼼に取り組む
AWSアカウント単
位で修正してもらう
通知はみんなの⾒え
るところで⾏う
同じ違反を防ぐ事が
できる
Slide 38
Slide 38 text
38
周りの巻き込み⽅
セキュリティスコアの
全体通知
Slide 39
Slide 39 text
39
セキュリティスコアはAPIで取得できない
ので無理やり取
得してみた
https://dev.class
method.jp/article
s/get-control-
finding-
summary-by-
boto3/
Slide 40
Slide 40 text
40
セキュリティスコアランキングを掲載
スコアが低い順じゃなくて、⾼い順Top10とかポジ
ティブなランキングにする
Slide 41
Slide 41 text
41
100%達成を盛⼤に祝う
ベースラインが100%の場合は達成した時に盛⼤に祝
う
Slide 42
Slide 42 text
42
合わせて読みたい
AWS上級者となっ
て会社全体のセ
キュリティを向上
する仕組みづくり
をするヒントはこ
ちら参照
https://dev.classme
thod.jp/articles/dev
io-2022-how2make-
strongest-aws-
secure-accounts/
Slide 43
Slide 43 text
43
クラウド利⽤が広範囲になってきたら
CCoEなどクラウドを推進する
組織づくりを頑張る
Slide 44
Slide 44 text
44
CCoEの例
Slide 45
Slide 45 text
45
合わせて読みたい
CCoEの1つの実装例
⽴ち上げ過程やどの
ような⽅針で推進し
たか解説されていま
す
https://dev.classmethod.j
p/articles/shionogi-
devshow/
Slide 46
Slide 46 text
46
合わせて読みたい
クラウド推進する
組織に必要なこと
が書いてある
責任者も担当者も
必読
https://dev.classmetho
d.jp/articles/bookrevie
w-ccoe-best-practice/
Slide 47
Slide 47 text
47
合わせて読みたい
セキュアなAWS設
定と実運⽤の例
デフォルトでセキュ
リティを強化した
AWSアカウント発
⾏も無償でしてます
(宣伝)
https://dev.classmethod.
jp/articles/aws-security-
operation-bestpractice-
on-secure-account/
Slide 48
Slide 48 text
48
セキュアアカウントの構成
Slide 49
Slide 49 text
49
まとめ
Slide 50
Slide 50 text
50
まとめ
• 基本のセットアップをやる
• Security Hubをポチッと有効化してAWS
基礎セキュリティのベストプラクティスを
超絶活⽤する
• 全員で取り組める仕組みを作り巻き込む
Slide 51
Slide 51 text
51