エーピーコミュニケーションズ様 "インフラエンジニアBOOKS"で5/15にお話しした際の資料です。
30分でわかる「AWSではじめるクラウドセキュリティ」(2023/5/15)© 2023, Amazon Web Services, Inc. or its affiliates. All rights reserved. Amazon Confidential and Trademark.professionalservices© 2023, Amazon Web Services, Inc. or its affiliates. All rights reserved. Amazon Confidential and Trademark.professionalservices30分でわかるAWSではじめるクラウドセキュリティ畠中 亮エ ー ピ ー コ ミ ュ ニ ケ ー シ ョ ン ズ “ イ ン フ ラ エ ン ジ ニ ア B O O K S ”シニアセキュリティコンサルタントアマゾン ウェブ サービス ジャパン合同会社プロフェッショナルサービス本部
View Slide
30分でわかる「AWSではじめるクラウドセキュリティ」(2023/5/15)© 2023, Amazon Web Services, Inc. or its affiliates. All rights reserved. Amazon Confidential and Trademark.professionalservices 2アマゾン ウェブ サービス ジャパン合同会社プロフェッショナルサービス本部シニアセキュリティコンサルタント畠中 亮はたなか りょう• AWS Japanでクラウドセキュリティコンサルティングチームを⽴ち上げる。• 実装できるクラウドセキュリティ戦略の⽴案やセキュリティガイドラインの策定に関する⽀援を⾏う。• 書き⽂字や活字、⽂章の読み解きが好きで、多くの⽂字を扱えるセキュリティの仕事は天職だと思っている。• まじめに仕事をしている⽅がセキュリティの問題で⾜下をすくわれないようにしたい。• ⾟⼝の⽇本酒が好き。
30分でわかる「AWSではじめるクラウドセキュリティ」(2023/5/15)© 2023, Amazon Web Services, Inc. or its affiliates. All rights reserved. Amazon Confidential and Trademark.professionalservicesアンケート結果3ご回答ありがとうございました
30分でわかる「AWSではじめるクラウドセキュリティ」(2023/5/15)© 2023, Amazon Web Services, Inc. or its affiliates. All rights reserved. Amazon Confidential and Trademark.professionalservices書店/Amazonで絶賛発売中4“10年間は⽣き続ける考え⽅が凝縮された良書”“セキュリティの基本を学ぶのに最適な良書”“⼀般的なセキュリティの考え⽅にも触れており、未経験からエンジニアになった私には教科書のような本に思えます”“単なる設定の本じゃないところがこの本の良さよなぁ。こういうの⼤事 ““セキュリティの原理原則を理解できて実践できるのでめっちゃ推し”“ガバナンス含む全体像から具体的な実装⽅法の間を繋いでくれる本はなかなかないと思います”(Twitterやブログ記事のコメントから)https://amzn.to/3nUBpl9
30分でわかる「AWSではじめるクラウドセキュリティ」(2023/5/15)© 2023, Amazon Web Services, Inc. or its affiliates. All rights reserved. Amazon Confidential and Trademark.professionalservices執筆陣5松本照吾セキュリティアシュアランス本部本部⻑前⽥駿介ソリューションアーキテクト畠中 亮プロフェッショナルサービス本部セキュリティコンサルタント桐⾕彰⼀セキュリティアーキテクト
30分でわかる「AWSではじめるクラウドセキュリティ」(2023/5/15)© 2023, Amazon Web Services, Inc. or its affiliates. All rights reserved. Amazon Confidential and Trademark.professionalservicesなぜこの本を書いたのか6AWSを題材にセキュリティの基本を学んでもらいたい。「セキュリティを考えたいが何から始めるべきか知りたい」、「クラウドにおける特徴やポイントを知りたい」など、ユーザーの⽅が抱きがちな疑問に答え、セキュリティと上⼿く付き合っていくための指針を伝えたい。クラウドセキュリティの情報は多いが業務の全体像を理解できるコンテンツが少ない。セキュリティを専⾨としていない技術者が⼿探りでセキュリティ対応している現状がある。セキュリティコンサルタントとして、企業のクラウド環境のセキュリティを強化してきた経験とノウハウを伝えたい。企画者 松本⽒の想い わたしの想い「だれが読むのか分からない。⼿にとってもらえるかさえ⼼もとない。しかし、だれかに伝わることを信じなければ、とても書いてなんぞいられない衝動。叫び。(中略)メッセージ・イン・ア・ボトル」 - 近藤康太郎『三⾏で撃つ 〈善く、⽣きる〉ための⽂章塾』
30分でわかる「AWSではじめるクラウドセキュリティ」(2023/5/15)© 2023, Amazon Web Services, Inc. or its affiliates. All rights reserved. Amazon Confidential and Trademark.professionalservices想定している読者7ITの初学者 クラウドを利⽤するIT技術者クラウドに詳しくないセキュリティ/リスク管理責任者/スタッフセキュリティって何を考えること?まずは試して学びたいよ!セキュリティ対策ってこの進め⽅でいいんだっけ︖そもそもなんで必要?オンプレと何が違う?何を新しく学ぶ?ビジネスを⽌めたくない
30分でわかる「AWSではじめるクラウドセキュリティ」(2023/5/15)© 2023, Amazon Web Services, Inc. or its affiliates. All rights reserved. Amazon Confidential and Trademark.professionalservices本を執筆することの価値8• 「書籍」に価値を感じている⼈々がいる。書籍は⼤量の時間をかけて作っている。何より落ち着いて集中して読める。• 学習する分量について体感でき⾒通しが⽴つ。情報の渦でモチベーションが落ちることを避けて貰う。• コミュニケーションのきっかけになる(勉強会、実際の業務、営業活動など)。
30分でわかる「AWSではじめるクラウドセキュリティ」(2023/5/15)© 2023, Amazon Web Services, Inc. or its affiliates. All rights reserved. Amazon Confidential and Trademark.professionalservices構成 – AWSではじめるクラウドセキュリティ9第1章 セキュリティって何だろう、クラウドって何だろう第2章 セキュリティと責任共有モデル第3章 ガバナンスとセキュリティの要件第4章 セキュリティポリシーを作る第1部クラウドとセキュリティの基本第5章 AWS の利⽤を開始する際のセキュリティ第6章 リスクの特定とセキュリティ管理策の決定第7章 セキュリティ管理策の要となる防御第8章 セキュリティ検知の仕組み作り第9章 AWS で対応/復旧を始める第10章 代表的なセキュリティサービスの操作第11章 セキュリティ対応環境の構築、脅威検知/対応第2部AWS でセキュリティを実装する第3部AWS のセキュリティを試すこれからの学習のために基礎編→ 摩擦少なく読める理念の解説業務編→ 具体的に何を実施すべきかを解説実践編→ 自分の理解の検証手順を解説
30分でわかる「AWSではじめるクラウドセキュリティ」(2023/5/15)© 2023, Amazon Web Services, Inc. or its affiliates. All rights reserved. Amazon Confidential and Trademark.professionalservices © 2022, Amazon Web Services, Inc. or its affiliates. All rights reserved. Amazon Confidential and Trademark.professionalservices第1部クラウドとセキュリティの基本10
30分でわかる「AWSではじめるクラウドセキュリティ」(2023/5/15)© 2023, Amazon Web Services, Inc. or its affiliates. All rights reserved. Amazon Confidential and Trademark.professionalservices第1部 クラウドとセキュリティの基本 – 本書の取り扱い項目11第1章 セキュリティって何だろう、クラウドって何だろう1.1 情報セキュリティとはどんなものか.1.1.1 セキュリティの⽬的を意識する1.1.2 セキュリティ業務の特徴1.1.3 サービスの⽬的を意識する1.2 クラウドとセキュリティ1.2.1 クラウドを取り巻く現状1.2.2 学習環境としてのクラウド1.3 セキュリティと付き合うには1.3.1 IT セキュリティの課題1.3.2 学びと経験第2章 セキュリティと責任共有モデル2.1 「やるべきこと」を考える2.1.1 セキュリティ管理策の検討ステップ2.1.2 ⾃動⾞の利⽤と「責任」2.2 説明責任と実⾏責任2.2.1 実⾏責任はアウトソーシングできる2.2.2 説明責任はアウトソーシングできない2.2.3 クラウドにおける「責任」2.3 セキュリティにおける責任共有モデル2.3.1 Security ʻofʼ the Cloud2.3.2 Security ʻinʼ the Cloud2.3.3 サービスによる責任範囲の違い2.3.4 サービスレイヤーに基づく責任共有のパターン2.3.5 抽象度を考えてサービスを選択しよう2.4 責任共有モデルとの付き合いかた2.4.1 アグリーメントを理解しよう2.4.2 DDoS 攻撃とクラウドの活⽤第3章 ガバナンスとセキュリティの要件3.1 ガバナンスやコンプライアンスって︖3.1.1 「ガバナンス」は「統治」︖3.1.2 セキュリティにおける位置付け3.2 「脆弱性」にどう対処するか3.2.1 脆弱性は⼈から⽣まれやすい3.2.2 ガバナンスを⾼める道具としてのIT3.2.3 IT ガバナンスを考える3.3 セキュリティの基本要件3.3.1 セキュリティの3要素3.3.2 機密性3.3.3 完全性3.3.4 可⽤性3.4 まず可⽤性から考えてみよう3.4.1 ビジネスやサービスを提供することがITの使命第4章 セキュリティポリシーを作る4.1 ルールを⽂書化する4.1.1 ⼈間とドキュメント4.1.2 さまざまな⽂書の体系4.1.3 セキュリティポリシー4.2 セキュリティポリシーを作る4.2.1 ISO/IEC270014.2.2 NIST CSF4.3 セキュリティを実現させるための原則4.3.1 セキュリティ基準には共通性がある4.3.2 おもなセキュリティの原則4.4 セキュリティポリシー作成のポイント4.4.1 セキュリティポリシーの落とし⽳4.4.2 セキュリティポリシーと上⼿く付き合うために
30分でわかる「AWSではじめるクラウドセキュリティ」(2023/5/15)© 2023, Amazon Web Services, Inc. or its affiliates. All rights reserved. Amazon Confidential and Trademark.professionalservicesセキュリティの特徴 – 謙虚なセキュリティ12セキュリティはサービスの中⼼ではないセキュリティは⼿間を増やす(効果も⾒えにくい)闇雲に最⾼のセキュリティを⽬指すのではなく、価値あるサービスを提供するためにそのサービスにおけるセキュリティの位置づけ、何のために実施するかを考える(関係者の⽬線を合わせる)
30分でわかる「AWSではじめるクラウドセキュリティ」(2023/5/15)© 2023, Amazon Web Services, Inc. or its affiliates. All rights reserved. Amazon Confidential and Trademark.professionalservicesセキュリティ検討のバランス13Availability 可用性Integrity 完全性Confidentiality 機密性サービスセキュリティ可⽤性を担保する(※)サービスを提供する売上を⽴てる機密性を維持する完全性を保つセキュリティをCIAという順の優先度や「可⽤性」を除いて検討するのではなく、「可⽤性」を強く意識することで、ビジネス上の期待や要求を考慮し、「何を」「なぜ」「どのように実施するのか」バランスを取れるようになる※サービスにとって使いたいときに安定して使えないサービスはセキュリティ以前の問題
30分でわかる「AWSではじめるクラウドセキュリティ」(2023/5/15)© 2023, Amazon Web Services, Inc. or its affiliates. All rights reserved. Amazon Confidential and Trademark.professionalservicesクラウドセキュリティにおける説明責任と実行責任14説明責任Accountability実⾏責任ResponsibilityWHY/WHAT施策の⽬的や意味、管理・監督状況を利⽤者や株主、従業員などに明らかにする(委任できない)HOW管理策の確実な実施(委任できる)責任共有モデルhttps://aws.amazon.com/jp/compliance/shared-responsibility-model/• AWSはAWSの統制状況を説明する責任がある• クラウド利⽤者(AWSカスタマー)は⾃らとAWSの統制を確認し、その確認状況を説明する責任がある• AWSはクラウドサービスのセキュリティを維持する責任がある• クラウド利⽤者(AWSカスタマー)はクラウド内のセキュリティを維持する責任がある本書では第2部で解説
30分でわかる「AWSではじめるクラウドセキュリティ」(2023/5/15)© 2023, Amazon Web Services, Inc. or its affiliates. All rights reserved. Amazon Confidential and Trademark.professionalservices © 2022, Amazon Web Services, Inc. or its affiliates. All rights reserved. Amazon Confidential and Trademark.professionalservices第2部AWSでセキュリティを実装する15
30分でわかる「AWSではじめるクラウドセキュリティ」(2023/5/15)© 2023, Amazon Web Services, Inc. or its affiliates. All rights reserved. Amazon Confidential and Trademark.professionalservicesNIST CSFに基づいた第2部の構成16識別Identification防御Protect検知Detect対応Respond復旧Recover【初級】セキュリティで加速するクラウドジャーニー〜セキュリティ上の論点と打ち⼿、進め⽅〜 | AWS Summit Tokyo 2019https://www.youtube.com/watch?v=0vmQNd5ZJxw第6章 リスクの特定とセキュリティ管理策の決定https://d1.awsstatic.com/whitepapers/compliance/JP_Whitepapers/NIST_Cybersecurity_Framework_CSF_JP.pdf第7章 セキュリティ管理策の要となる防御第8章 セキュリティ検知の仕組み作り第9章 AWS で対応/復旧を始めるご参考NIST CSF:NIST サイバーセキュリティフレームワーク
30分でわかる「AWSではじめるクラウドセキュリティ」(2023/5/15)© 2023, Amazon Web Services, Inc. or its affiliates. All rights reserved. Amazon Confidential and Trademark.professionalservicesリスクの特定とセキュリティ管理策の決定 – 本書の取り扱い項目17第6章 リスクの特定とセキュリティ管理策の決定6.1 NIST CSF と「識別」6.1.1 セキュリティにおけるリスク6.2 リスクアセスメントのアプローチ6.2.1 代表的なアプローチ6.2.2 アプローチの選択6.3 保護する資産を把握する6.3.1 情報資産の識別6.3.2 システムアーキテクチャの把握6.3.3 データフローによる保護範囲の把握6.3.4 システムを構成するコンポーネントの詳細の把握6.4 リスクの特定6.4.1 フレームワークの活⽤6.4.2 クラウドにおける考慮点6.5 リスクの分析6.5.1 資産ベースのリスク分析6.5.2 攻撃シナリオベースのリスク分析6.5.3 セキュリティリスクの評価6.6 セキュリティリスクへの対応アプローチ6.6.1 責任分界に基づくセキュリティ対応箇所の識別6.6.2 リスクを低減するためのセキュリティ管理策6.6.3 AWS サービスや機能の活⽤6.7 各リスク分析結果への管理策検討例6.7.1 資産ベースのリスク分析結果への対応例6.7.2 攻撃シナリオベースのリスク分析結果への対応例6.7.3 分析結果のとりまとめ
30分でわかる「AWSではじめるクラウドセキュリティ」(2023/5/15)© 2023, Amazon Web Services, Inc. or its affiliates. All rights reserved. Amazon Confidential and Trademark.professionalservicesリスクの特定とセキュリティ管理策の決定 – 説明責任を果たす18「さまざまなサイバー攻撃が毎⽇のように報道されているなか、すくなくともセキュリティ管理策の必要性を判断する⼈、あるいはそのセキュリティ管理策の実装の担当者はリスクアセスメントの⼯程を理解しておく必要があります。なぜならセキュリティ管理策はリスクの裏返しであり、リスクアセスメントの結果に応じて、実際に⾏う管理策を判断することになるからです。リスクアセスメントは、効果的なセキュリティ管理策を採⽤するためには不可⽋な作業です」(第6章 畠中 亮)
30分でわかる「AWSではじめるクラウドセキュリティ」(2023/5/15)© 2023, Amazon Web Services, Inc. or its affiliates. All rights reserved. Amazon Confidential and Trademark.professionalservicesリスクの特定とセキュリティ管理策の決定 – 2種類のアプローチ19⽤途例対策検討までの期間特徴対策の適切さリスクベースアプローチ保護対象の資産に脅威が⽣じる可能性やその影響度に基づいて管理策を検討して策定短い ⻑いミスマッチの可能性がある マッチする複数のシステムに共通で適⽤するセキュリティガイドラインの作成(※)や監査項⽬の策定などシステム固有のセキュリティ要件・設計項⽬の策定など必要な対策確認の難易度易しい 難しいベースラインアプローチあらかじめ定めたセキュリティレベル(ベースライン)に基づき管理策をフレームワーク等から選定本書ではリスクベースアプローチを解説※『Amazon Web Services 企業導⼊ガイドブック[改訂版]』(瀧澤与⼀/川嶋俊貴/畠中 亮/荒⽊靖宏/⼩林正⼈/⼤村幸敬著、マイナビ出版、2022 年)の「AWS におけるセキュリティ標準の策定」が参考になります。
30分でわかる「AWSではじめるクラウドセキュリティ」(2023/5/15)© 2023, Amazon Web Services, Inc. or its affiliates. All rights reserved. Amazon Confidential and Trademark.professionalservicesリスクの特定とセキュリティ管理策の決定 – 設計・実装までの流れ20ベースラインアプローチによる評価結果リスク評価 セキュリティ対策の設計・実装AWS利⽤者に対応が求められるリスクAWSに対応が求められるリスクAB責任分界分類AWSのサービス/機能活⽤判断該当するAWSのサービス/機能リスクベースアプローチによる評価結果AWSのサービス/機能以外の対策技術AWSクラウド環境における設計・実装セキュリティ上のリスクに対してAWS責任共有モデルを参考にAWS利⽤者に求められる対応範囲を明確化資産ベース攻撃シナリオベースAWSにリスクを移転セキュリティ上のリスクを抽出セキュリティリスクへの対策案防御/検知/対応/復旧セキュリティ対策検討リスクへの対応リスクを低減/回避するための対策を検討AWSのサービス/機能を活⽤できるか判断検討したセキュリティ対策をAWSのサービス等を利⽤し設計し実装<クラウド特有> <クラウド特有>オンプレのセキュリティ標準/クラウド特有の考慮点をInputにするとクラウドのセキュリティ標準作成の流れになる
30分でわかる「AWSではじめるクラウドセキュリティ」(2023/5/15)© 2023, Amazon Web Services, Inc. or its affiliates. All rights reserved. Amazon Confidential and Trademark.professionalservicesセキュリティ管理策の要となる防御 – 本書の取り扱い項目21第7章 セキュリティ管理策の要となる防御7.1 防御とは7.1.1 防御策の検討7.1.2 「防御」と「検知」7.2 AWS 環境のネットワークアクセス制御7.2.1 VPC7.2.2 サブネットを利⽤したゾーニング7.2.3 セキュリティグループを利⽤したファイアウォール7.3 リソースへのアクセス制御7.3.1 アイデンティティベースのアクセス制御7.3.2 リソースベースのアクセス制御7.4 最⼩権限の原則の実現7.4.1 クラウドにおける権限設定の難しさ7.4.2 複数の粒度を使い分ける7.4.3 アクセスレベルの利⽤7.5 IAM ロール7.5.1 IAM ロールとは7.5.2 プログラムから認証情報へのアクセス7.5.3 IAM ロールを使った⼀時的な権限の委譲7.6 暗号化を⽤いたデータの保護7.6.1 暗号化の仕組み7.6.2 暗号化アルゴリズムと鍵⻑の選択7.6.3 暗号鍵の管理7.6.4 暗号化の適⽤と実施箇所7.7 暗号化関連サービスの利⽤7.7.1 KMS による鍵管理7.7.2 Certificate Manager
30分でわかる「AWSではじめるクラウドセキュリティ」(2023/5/15)© 2023, Amazon Web Services, Inc. or its affiliates. All rights reserved. Amazon Confidential and Trademark.professionalservicesセキュリティ管理策の要となる防御 – 取り上げたテーマ22アクセス制御<操作権限の制御><通信の制御>暗号化クラウド特有の考慮点がある代表的な管理策
30分でわかる「AWSではじめるクラウドセキュリティ」(2023/5/15)© 2023, Amazon Web Services, Inc. or its affiliates. All rights reserved. Amazon Confidential and Trademark.professionalservicesセキュリティ管理策の要となる防御 – 最小権限23「ところで、最⼩権限の原則の実現粒度はどのような環境でも⼀律でしょうか。例えば、開発環境と本番環境で同じようなアプローチを採⽤する必要があるでしょうか。」「⼀⽅で、本番環境についても考慮する余地があります。本番環境として運⽤されている場合、その運⽤業務は⼤きく「定型的な内容」と「⾮定型的な内容」に分類されます」「アクセス権の運⽤においては、そのユーザーが必要とされる最⼩限の権限を付与することが重要です(最⼩権限の原則)。これはユーザーやリソースに、不要なアクセス許可を与えないことを意味しています。セキュリティの防御策として⼤変重要な原則である⼀⽅で、AWS 環境におけるポリシーの設計者たちの頭を悩ませてきたことも事実です」
30分でわかる「AWSではじめるクラウドセキュリティ」(2023/5/15)© 2023, Amazon Web Services, Inc. or its affiliates. All rights reserved. Amazon Confidential and Trademark.professionalservicesセキュリティ管理策の要となる防御 – 粒度の使い分け24環境区分 想定業務 予防的統制(権限付与アプローチ)発⾒的統制特定アクションの禁⽌1最⼩権限(アクセスレベル単位)最⼩権限(アクション単位)監視(典型的な脅威の検知)*2監査(操作内容の確認)開発環境 ー ○ ○本番環境 定型運⽤(バックアップなど)○コマンドの事前承認必須○ サンプリング監査を推奨⾮定型運⽤(システム変更など)○短期間の権限付与/事前確認必須*4○ ○申請内容との乖離有無を全量監査*5⾮定型運⽤(トラブルシューティング時)○短期間の権限付与/事前確認必須*4○ ○操作内容の全量監査*1 特定アクションはアカウントの改廃、ログ取得などのセキュリティ機構、ネットワーク設定の変更が考えられる*2 Amazon GuardDutyによる機械学習に基づいた脅威検知を想定*3 操作は事前にコマンドで定義され承認されていることを想定*4 ⼀時的な権限の付与および作業内容の事前確認を想定*5 Infrastructure as Code(IaC)により作業をAWS CloudFormation等でコード化し、事前のコードレビューを実施することで結果確認に留めることを検討できる。環境別の最⼩権限の原則へのアプローチと発⾒的統制による補完
30分でわかる「AWSではじめるクラウドセキュリティ」(2023/5/15)© 2023, Amazon Web Services, Inc. or its affiliates. All rights reserved. Amazon Confidential and Trademark.professionalservicesセキュリティ管理策の要となる防御 – 暗号化25「AWS では暗号鍵管理のためのサービスが提供され、多くのAWS サービスから利⽤できるようになっています。暗号鍵管理のシステム基盤の運⽤負荷が軽減されたことで、AWS ではオンプレミス環境と⽐較し実装しやすい管理策になりました。本章では保管データと通信データの暗号化の概要、鍵管理の⽅式、証明書に関する基本知識など、AWS 環境で実装する際に把握しておくべきポイントを紹介します」
30分でわかる「AWSではじめるクラウドセキュリティ」(2023/5/15)© 2023, Amazon Web Services, Inc. or its affiliates. All rights reserved. Amazon Confidential and Trademark.professionalservicesセキュリティ検知の仕組み作り – 本書の取り扱い項目26第8章 セキュリティ検知の仕組み作り8.1 ガードレール型のセキュリティ8.1.1 ブロッカー型とゲートキーパー型8.1.2 検知を実現するサービス8.2 検知の⽬的と対象となる事象8.2.1 異常なアクティビティとは8.2.2 セキュリティ対策の有効性検証とは8.3 「検知」に関する業務8.4 監視の仕組み8.4.1 監視⼿段の分類8.4.2 異常なアクティビティの監視8.4.3 セキュリティ対策の有効性検証8.5 ログの保管8.5.1 ログの転送と集約8.5.2 ログ保管箇所の検討8.5.3 WORM による保護8.6 ログの分析とアラートの出⼒8.6.1 ログのパターンマッチング8.6.2 パターンの効率的な運⽤8.7 脅威インテリジェンスの活⽤8.7.1 GuardDuty8.7.2 Findings と重⼤度8.7.3 検出結果の詳細な調査に有効なDetective8.8 監視結果の集約8.9 監視結果の通知8.9.1 通知先の策定8.9.2 通知先の振り分けと⾃動修復
30分でわかる「AWSではじめるクラウドセキュリティ」(2023/5/15)© 2023, Amazon Web Services, Inc. or its affiliates. All rights reserved. Amazon Confidential and Trademark.professionalservicesセキュリティ検知の仕組み作り27「企業の内部統制の前提となるアクセス権限管理は、利便性と表裏⼀体です。例えば、システム開発者に対する権限を絞り込めばセキュリティの強度は⾼まりますが、開発の⾃由度が落ちることで利便性は損なわれます」「このような予防的対策の課題に対して、併⽤を求められる対策が外部/内部の脅威の発⽣や異常の兆候を発⾒する「検知」です。」
30分でわかる「AWSではじめるクラウドセキュリティ」(2023/5/15)© 2023, Amazon Web Services, Inc. or its affiliates. All rights reserved. Amazon Confidential and Trademark.professionalservicesセキュリティ検知の仕組み作り – 検知に関する業務28内部/外部 業務分類 観点 業務内容 活⽤可能なAWSのサービス/機能例外部脅威 監視業務 異常なアクティビティ有無 攻撃の予兆や実⾏中の攻撃を発⾒し検知する。 Amazon GuardDutyAWS WAF分析業務 異常なアクティビティ有無およびその影響範囲分析不審な攻撃の洗い出し、その影響範囲をログ等を分析し確認する。Amazon Cloudwatch Logs InsightsAmazon DetectiveAmazon Athena内部脅威 監視業務 異常なアクティビティ有無 既定のベストプラクティスや機械学習に基づき不正⾏為が疑われる異常なアクティビティを検知する。Amazon GuardDutyAmazon Cloudwatch Logs filterAWS CloudTrail Insights脅威シナリオを洗い出し、異常なアクティビティを発⾒し検知する。Amazon Cloudwatch Logs filterセキュリティ設定の不備有無 既定のベストプラクティス等に基づきセキュリティ設定の不備を発⾒し検知する。AWS Trusted AdviserAWS Control TowerAWS ConfigAWS Security Hub分析業務 異常なアクティビティ有無およびその影響範囲分析不正⾏為が疑われる異常なアクティビティの洗い出しやその影響範囲をログ等を分析し確認する。Amazon Cloudwatch Logs InsightsAmazon DetectiveAmazon Athena点検業務/監査業務操作内容の正当性 ユーザーの操作内容が認められた内容から逸脱していないかを確認する。Amazon Cloudwatch Logs Insights
30分でわかる「AWSではじめるクラウドセキュリティ」(2023/5/15)© 2023, Amazon Web Services, Inc. or its affiliates. All rights reserved. Amazon Confidential and Trademark.professionalservicesAWS で対応/復旧を始める – 本書の取り扱い項目29第9 章AWS で対応/復旧を始める9.1 インシデントレスポンス9.1.1 あるインシデントレスポンスの例9.1.2 インシデントレスポンスへの準備9.2 プロセスの整備9.2.1 インシデントシナリオの定義9.2.2 対応⽅法の定義9.2.3 担当者/アクセス権の定義9.2.4 プロセスをRunbook として整備する9.3 調査や分析のためのデータ保存9.4 フォレンジックのための基盤9.4.1 フォレンジック基盤に求められる要件9.4.2 AWS サービスを利⽤したフォレンジック基盤9.5 インシデントレスポンスの⾃動化9.5.1 AWS サービスを利⽤した⾃動化9.6 インシデントレスポンスの訓練9.6.1 社内でのインシデントレスポンス訓練9.6.2 AWS イベントでのインシデントレスポンス訓練
30分でわかる「AWSではじめるクラウドセキュリティ」(2023/5/15)© 2023, Amazon Web Services, Inc. or its affiliates. All rights reserved. Amazon Confidential and Trademark.professionalservicesAWS で対応/復旧を始める30「インシデントレスポンスを⾏ううえで⼀番重要なことは、平常時に⼗分な準備をしておくことです。さきほどの例も、ログが保存済みでいつでも検索できる環境だったからこそ、すぐ調査を⾏うことができました。このように対応や環境の整備をしておくことが効率的で迅速な作業につながり、被害を最⼩限に抑えられます」1. インシデントレスポンスのプロセスを整備しておく2. 調査や分析のためにデータを保存しておく3. フォレンジック【2】のための基盤を⽤意しておく4. インシデントレスポンスの対応内容を⾃動化しておく5. シミュレーションを⾏ってインシデントレスポンスの訓練をしておく
30分でわかる「AWSではじめるクラウドセキュリティ」(2023/5/15)© 2023, Amazon Web Services, Inc. or its affiliates. All rights reserved. Amazon Confidential and Trademark.professionalservices © 2022, Amazon Web Services, Inc. or its affiliates. All rights reserved. Amazon Confidential and Trademark.professionalservices第3部AWSのセキュリティを試す31
30分でわかる「AWSではじめるクラウドセキュリティ」(2023/5/15)© 2023, Amazon Web Services, Inc. or its affiliates. All rights reserved. Amazon Confidential and Trademark.professionalservices2種類のハンズオン32AWS の代表的なセキュリティサービスの操作(第10章)セキュリティ対応環境の構築、脅威検知/対応(第11章)“学んだ内容の定着を図るためには、実際に⾃分⾃⾝で⼿を動かして知識を活⽤し、認識の正誤を確認して発⾒を積み重ねていくことが重要です”
30分でわかる「AWSではじめるクラウドセキュリティ」(2023/5/15)© 2023, Amazon Web Services, Inc. or its affiliates. All rights reserved. Amazon Confidential and Trademark.professionalservicesこれからの学習のために33⼀点、⼤事なポイントとして「学び」というのはインプットだけでは成り⽴たたず、何らかのアウトプットをしてフィードバックや気付きを得ていく必要があるということがあります。もし、皆さんがこの本の中で得たことがあれば、どんなかたちでも良いのでアウトプットをしていただければ幸いです。それは、例えば友達や同僚に話してみる、Twitter やブログに書き込んでみるということから始められます。実際、本書を執筆したメンバーも⽇頃からAWS に触れて業務を⾏っていますが、本書に取り組むことで、AWS の新たな価値に気が付いたり、セキュリティにしっかりと向き合う時間を得られました。私たちのアウトプットが皆さんのインプットになり、そのアウトプットがつながっていくことで、AWS を使ったより安全なサービスが世の中を良くしていくことを願っています。天⾏健。君⼦以⾃彊不息。(易経)
30分でわかる「AWSではじめるクラウドセキュリティ」(2023/5/15)© 2023, Amazon Web Services, Inc. or its affiliates. All rights reserved. Amazon Confidential and Trademark.professionalservices謝辞34本書の執筆にあたり、多⼤なるご尽⼒、アドバイスをいただいたテッキーメディア⽯川様、私たちにさまざまな刺激をあたえていただいたお客様、パートナー様、同僚の皆様、そして家族や友⼈の皆様にあらためて感謝をお伝えしたいと思います。
30分でわかる「AWSではじめるクラウドセキュリティ」(2023/5/15)© 2023, Amazon Web Services, Inc. or its affiliates. All rights reserved. Amazon Confidential and Trademark.professionalservices© 2022, Amazon Web Services, Inc. or its affiliates. All rights reserved. Amazon Confidential and Trademark.Thank you!professionalservicesRyo HatanakaTwitter:@ryohatanmonolog
ryohatanmonolog
oracle4engineer
mottox2
aoshun7
lmi
cybozuinsideout
minorun365
line_developers_tw
bun913
sansantech
wakamsha
smt7174
baseballyama
cassininazir
brianwarren
deanohume
tammielis
lauravandoore
jrom
malarkey
reverentgeek
keathley
maggiecrowley
searls