AWSセキュリティを「日本語で」学習して いくための良いコンテンツをまとめてみた 臼田佳祐 AWS Security Hero クラスメソッド株式会社 1

こんにちは、臼田です。 2 みなさん、 AWSとセキュリティの学習してますか？(挨拶

自己紹介 臼田佳祐(うすだけいすけ) ・クラスメソッド株式会社 / AWS事業本部 シニアソリューションアーキテクト セキュリティチームリーダー 2021 APN Ambassador 2023 APN AWS Top Engineers (Security) AWS Security Hero (2023~) ・CISSP ・Security-JAWS運営 ・好きなサービス: Amazon GuardDuty AWS Security Hub Amazon Detective 3 みんなのAWS (技術評論社) Amazon GuardDuty AWS Security Hub Amazon Detective

今回のテーマ: 日本語で学習する AWSを学習するうえで、セキュリティは切っても切り離 せないもの。 しかしAWSの情報は(嬉しいことに)膨大にあって、どの 情報から学習していけばいいか迷いますよね。 AWS Security Heroである私がオススメする 「日本語で」学習するための良い AWSセキュリティのコンテンツたちを紹介します。 4

日本語で学習するためにまとめてみた mini Security-JAWS Docsを作成しています。ぜひ使ってね！ 5 https://mini-study.security.jaws-ug.jp/

対象者 • AWS初心者 • AWSには慣れてきたけどセキュリティよくわからんという人 • 良い日本語の情報を知りたい人 • AWSセキュリティを極めたい人 • つまり大体AWS触っている人全員 6

• AWSセキュリティの基本的な考え方 • コンテンツ紹介 • まとめ アジェンダ 7

AWSセキュリティの基本的な考え方 8

AWSとセキュリティを学習するための基礎 これからAWSとセキュリティを学習したい人向けの話 どうやってAWSとセキュリティを理解していくか？ セキュリティはすべての物事に基本的に備わっている機能 つまり、AWSのセキュリティならAWSのことを理解する必要が ある AWSはたくさんのIT技術を活用しているので まずはIT技術の基礎を学習するところから始める必要がある わかっている人はサラッと流してね 9

そもそもセキュリティとは すべての物事に基本的に備わっている機能 つまり、セキュリティが無いとそのものが破綻する 例えば、鍵のない家に住めますか？ セキュリティは必要な機能 一方で、防犯カメラは必要ですか？警備員は？ 必要なレベル感はある 守るべきものによってそれは変わる 10

情報セキュリティの目的 ITのセキュリティは情報セキュリティという ITの目的はビジネス セキュリティの目的はビジネス(企業の場合) 守るべきものを守り、守るべきものにあったセキュリティ対策を行う 例えばビジネスの収益が少ない仕組みに高額なセキュリティソリューションは必要 ない 11

情報セキュリティの3要素 • 機密性 • 守るべきものが第三者から見られないようにする • 完全性 • 守るべきものが破壊や改ざんされないようにする • 可用性 • 守るべきものを必要なときに利用できるようにする 基本的なことだけど、やり始めると際限がない 守るべきものに合わせてどの程度やるか決める 12

クラウドとセキュリティ クラウドを利用する目的もビジネス(企業の場合) ビジネスのためのセキュリティ ITの考え方とクラウドの考え方は何も違わない クラウド特有のセキュリティはあるので、それを意識して活用するといい 13

AWSとセキュリティの学習をどうやって始めるか まとめ • IT技術の基礎とビジネスを理解して • 情報セキュリティの基礎を理解して • 自分たちの守るべきものを考えながら始める 14

コンテンツ紹介 15

初めてAWSを使うときのセキュリティ覚書 〜利用者編〜 だいたいここまで話したことがまとまっている 加えてAWSを利用する前に理解しておくべき AWSセキュリティの基礎をまとめてある 図が多めの解説でわかりやすいはず https://business.ntt- east.co.jp/content/cloudsolution/ihcm_column-04.html 16

AWS Skill Builderの無料のコンテンツ AWS公式の学習コンテンツは大量にあるが、以下2つは学習を始めたタイミングで やっておくべき • AWS Cloud Practitioner Essentials (Japanese) (Na) 日本語実写版 • 6時間のAWS基礎コース • 現バージョンではコーヒーショップをベースにしたシナリオで内容が展開され、 AWS やクラウドの概念に熟知していなくても、ユーモアあふれる分かりやすい コンテンツ • AWS Security Fundamentals (Second Edition) (Japanese) (Na) 日本語実写版 • 2時間のAWSセキュリティ基礎コース • 基礎と言ってもAWS上の幅広い内容の基礎のため、理解にはSolution Architect Associate程度の知識があると良い 17

AWSセキュリティ対策全部盛り 少し古いが、考え方や必要な知識を 広げるのに役に立つ まずこれをざっと眺めてAWSセキュ リティの全体像を掴むといい https://dev.classmethod.jp/articles/aws- security-all-in-one-2021/ 18

AWSではじめるクラウドセキュリティ いいから全員買うべき クラウドに限らないセキュリティの大事な ところから解説されている すべての人が読むべき本 特に説明責任(アカウンタビリティ)の説明が 良い https://dev.classmethod.jp/articles/start-cloud- security-with-aws/ 19

IAM/S3セキュリティベストプラクティス AWS上で特に重要なセキュリティのAWSドキュ メント 公式ドキュメントの中でも特に何度もお世話 になる AWSのドキュメントは更新頻度がそこそこ高い ので注意 https://docs.aws.amazon.com/ja_jp/IAM/latest/Us erGuide/best-practices.html https://docs.aws.amazon.com/ja_jp/AmazonS3/lat est/userguide/security-best-practices.html 20

Well-Architectedフレームワーク 聞いたことある人いる？ 読んだことある人いる？ 文章量が多いのと、AWSのドキュメントを読み慣れていないと読みづらい でも書いてあることは全部大事だから、読みまくるといい Well-Architectedフレームワークはスルメ 読めば読むほど味が出る とにかく読んでみよう 21

ビルド、パイプライン、プロセスの一環としてテストおよび検 証されるセキュリティメカニズムの安全なベースラインとテン プレートを確立します。ツールとオートメーションを使用して、 すべてのセキュリティコントロールの継続的なテストと検証を 実施します。たとえば、マシンイメージやインフラストラク チャなどの項目をコードテンプレートとしてスキャンして、セ キュリティの脆弱性、不規則性、ドリフトを各ステージで確立 されたベースラインから確認します。AWS CloudFormation Guard を使用すると、CloudFormation が安全なことを検証し、 時間を節約し、設定エラーのリスクを低減するのに役立ちます。 SEC01-BP06 パイプラインのセキュリティコントロールのテストと検証を自動化する https://docs.aws.amazon.com/ja_jp/wellarchitected/latest/security-pillar/sec_securely_operate_test_validate_pipeline.html 22 例えばどうしたらいいか、書いてある！

まとめ 23

まとめ • AWSとセキュリティはビジネスのためのもの • 目的を押さえて、全体像を理解するところから始める • 日本語のいい情報もいっぱいあるので活用しよう 24

宣伝 AWSセキュリティの初心者向け勉強会 25 Security-JAWSでは定常的なAWSセキュリティ 学習の場としてmini Security-JAWSを開催しています だいたい隔週土曜日10-12時開催 https://s-jaws.doorkeeper.jp/

Thank you! 臼田佳祐 Security-JAWS: https://s-jaws.doorkeeper.jp/ 26