30分でわかる「AWSではじめるクラウドセキュリティ」

Transcript

1. 30分でわかる「AWSではじめるクラウドセキュリティ」(2023/5/15) © 2023, Amazon Web Services, Inc. or its affiliates.

   All rights reserved. Amazon Confidential and Trademark. professional services © 2023, Amazon Web Services, Inc. or its affiliates. All rights reserved. Amazon Confidential and Trademark. professional services 30分でわかるAWSではじめる クラウドセキュリティ 畠中 亮 エ ー ピ ー コ ミ ュ ニ ケ ー シ ョ ン ズ “ イ ン フ ラ エ ン ジ ニ ア B O O K S ” シニアセキュリティコンサルタント アマゾン ウェブ サービス ジャパン合同会社 プロフェッショナルサービス本部

2. 30分でわかる「AWSではじめるクラウドセキュリティ」(2023/5/15) © 2023, Amazon Web Services, Inc. or its affiliates.

   All rights reserved. Amazon Confidential and Trademark. professional services 2 アマゾン ウェブ サービス ジャパン合同会社 プロフェッショナルサービス本部 シニアセキュリティコンサルタント 畠中 亮 はたなか りょう • AWS Japanでクラウドセキュリティコンサル ティングチームを⽴ち上げる。 • 実装できるクラウドセキュリティ戦略の⽴案 やセキュリティガイドラインの策定に関する ⽀援を⾏う。 • 書き⽂字や活字、⽂章の読み解きが好きで、 多くの⽂字を扱えるセキュリティの仕事は天 職だと思っている。 • まじめに仕事をしている⽅がセキュリティの 問題で⾜下をすくわれないようにしたい。 • ⾟⼝の⽇本酒が好き。

3. 30分でわかる「AWSではじめるクラウドセキュリティ」(2023/5/15) © 2023, Amazon Web Services, Inc. or its affiliates.

   All rights reserved. Amazon Confidential and Trademark. professional services アンケート結果 3 ご回答ありがとうございました

4. 30分でわかる「AWSではじめるクラウドセキュリティ」(2023/5/15) © 2023, Amazon Web Services, Inc. or its affiliates.

   All rights reserved. Amazon Confidential and Trademark. professional services 書店/Amazonで絶賛発売中 4 “10年間は⽣き続ける考え⽅が凝縮された良書” “セキュリティの基本を学ぶのに最適な良書” “⼀般的なセキュリティの考え⽅にも触れており、未経験か らエンジニアになった私には教科書のような本に思えます” “単なる設定の本じゃないところがこの本の良さよなぁ。 こういうの⼤事 “ “セキュリティの原理原則を理解できて実践できるので めっちゃ推し” “ガバナンス含む全体像から具体的な実装⽅法の間を繋いで くれる本はなかなかないと思います” （Twitterやブログ記事のコメントから） https://amzn.to/3nUBpl9

5. 30分でわかる「AWSではじめるクラウドセキュリティ」(2023/5/15) © 2023, Amazon Web Services, Inc. or its affiliates.

   All rights reserved. Amazon Confidential and Trademark. professional services 執筆陣 5 松本照吾 セキュリティ アシュアランス本部 本部⻑ 前⽥駿介 ソリューション アーキテクト 畠中 亮 プロフェッショナル サービス本部 セキュリティ コンサルタント 桐⾕彰⼀ セキュリティ アーキテクト

6. 30分でわかる「AWSではじめるクラウドセキュリティ」(2023/5/15) © 2023, Amazon Web Services, Inc. or its affiliates.

   All rights reserved. Amazon Confidential and Trademark. professional services なぜこの本を書いたのか 6 AWSを題材にセキュリティの基本を学んで もらいたい。 「セキュリティを考えたいが何から始める べきか知りたい」、「クラウドにおける特 徴やポイントを知りたい」など、ユーザー の⽅が抱きがちな疑問に答え、セキュリ ティと上⼿く付き合っていくための指針を 伝えたい。 クラウドセキュリティの情報は多いが業務 の全体像を理解できるコンテンツが少ない。 セキュリティを専⾨としていない技術者が ⼿探りでセキュリティ対応している現状が ある。 セキュリティコンサルタントとして、企業 のクラウド環境のセキュリティを強化して きた経験とノウハウを伝えたい。 企画者 松本⽒の想い わたしの想い 「だれが読むのか分からない。⼿にとってもらえるかさえ⼼もとない。しかし、だれかに 伝わることを信じなければ、とても書いてなんぞいられない衝動。叫び。（中略）メッ セージ・イン・ア・ボトル」 - 近藤康太郎『三⾏で撃つ 〈善く、⽣きる〉ための⽂章塾』

7. 30分でわかる「AWSではじめるクラウドセキュリティ」(2023/5/15) © 2023, Amazon Web Services, Inc. or its affiliates.

   All rights reserved. Amazon Confidential and Trademark. professional services 想定している読者 7 ITの初学者 クラウドを利⽤する IT技術者 クラウドに詳しくない セキュリティ/リスク管理 責任者/スタッフ セキュリティって 何を考えること? まずは試して学びたいよ! セキュリティ対策ってこの 進め⽅でいいんだっけ︖ そもそもなんで必要? オンプレと何が違う? 何を新しく学ぶ? ビジネスを⽌めたくない

8. 30分でわかる「AWSではじめるクラウドセキュリティ」(2023/5/15) © 2023, Amazon Web Services, Inc. or its affiliates.

   All rights reserved. Amazon Confidential and Trademark. professional services 本を執筆することの価値 8 • 「書籍」に価値を感じている⼈々がいる。書 籍は⼤量の時間をかけて作っている。何より 落ち着いて集中して読める。 • 学習する分量について体感でき⾒通しが⽴つ。 情報の渦でモチベーションが落ちることを避 けて貰う。 • コミュニケーションのきっかけになる（勉強 会、実際の業務、営業活動など）。

9. 30分でわかる「AWSではじめるクラウドセキュリティ」(2023/5/15) © 2023, Amazon Web Services, Inc. or its affiliates.

   All rights reserved. Amazon Confidential and Trademark. professional services 構成 – AWSではじめるクラウドセキュリティ 9 第1章 セキュリティって何だろう、クラウドって 何だろう 第2章 セキュリティと責任共有モデル 第3章 ガバナンスとセキュリティの要件 第4章 セキュリティポリシーを作る 第1部 クラウドと セキュリ ティの基本 第5章 AWS の利⽤を開始する際のセキュリティ 第6章 リスクの特定とセキュリティ管理策の決定 第7章 セキュリティ管理策の要となる防御 第8章 セキュリティ検知の仕組み作り 第9章 AWS で対応／復旧を始める 第10章 代表的なセキュリティサービスの操作 第11章 セキュリティ対応環境の構築、脅威検知 ／対応 第2部 AWS でセ キュリティ を実装する 第3部 AWS のセ キュリティ を試す これからの学習のために 基礎編 → 摩擦少なく読める理念の解説 業務編 → 具体的に何を実施すべきかを解説 実践編 → 自分の理解の検証手順を解説

10. 30分でわかる「AWSではじめるクラウドセキュリティ」(2023/5/15) © 2023, Amazon Web Services, Inc. or its affiliates.

    All rights reserved. Amazon Confidential and Trademark. professional services © 2022, Amazon Web Services, Inc. or its affiliates. All rights reserved. Amazon Confidential and Trademark. professional services 第1部 クラウドとセキュリティの基本 10

11. 30分でわかる「AWSではじめるクラウドセキュリティ」(2023/5/15) © 2023, Amazon Web Services, Inc. or its affiliates.

    All rights reserved. Amazon Confidential and Trademark. professional services 第1部 クラウドとセキュリティの基本 – 本書の取り扱い項目 11 第1章 セキュリティって何だろう、クラウドって何だろう 1.1 情報セキュリティとはどんなものか. 1.1.1 セキュリティの⽬的を意識する 1.1.2 セキュリティ業務の特徴 1.1.3 サービスの⽬的を意識する 1.2 クラウドとセキュリティ 1.2.1 クラウドを取り巻く現状 1.2.2 学習環境としてのクラウド 1.3 セキュリティと付き合うには 1.3.1 IT セキュリティの課題 1.3.2 学びと経験 第2章 セキュリティと責任共有モデル 2.1 「やるべきこと」を考える 2.1.1 セキュリティ管理策の検討ステップ 2.1.2 ⾃動⾞の利⽤と「責任」 2.2 説明責任と実⾏責任 2.2.1 実⾏責任はアウトソーシングできる 2.2.2 説明責任はアウトソーシングできない 2.2.3 クラウドにおける「責任」 2.3 セキュリティにおける責任共有モデル 2.3.1 Security ʻofʼ the Cloud 2.3.2 Security ʻinʼ the Cloud 2.3.3 サービスによる責任範囲の違い 2.3.4 サービスレイヤーに基づく責任共有のパターン 2.3.5 抽象度を考えてサービスを選択しよう 2.4 責任共有モデルとの付き合いかた 2.4.1 アグリーメントを理解しよう 2.4.2 DDoS 攻撃とクラウドの活⽤ 第3章 ガバナンスとセキュリティの要件 3.1 ガバナンスやコンプライアンスって︖ 3.1.1 「ガバナンス」は「統治」︖ 3.1.2 セキュリティにおける位置付け 3.2 「脆弱性」にどう対処するか 3.2.1 脆弱性は⼈から⽣まれやすい 3.2.2 ガバナンスを⾼める道具としてのIT 3.2.3 IT ガバナンスを考える 3.3 セキュリティの基本要件 3.3.1 セキュリティの3要素 3.3.2 機密性 3.3.3 完全性 3.3.4 可⽤性 3.4 まず可⽤性から考えてみよう 3.4.1 ビジネスやサービスを提供することがITの使命 第4章 セキュリティポリシーを作る 4.1 ルールを⽂書化する 4.1.1 ⼈間とドキュメント 4.1.2 さまざまな⽂書の体系 4.1.3 セキュリティポリシー 4.2 セキュリティポリシーを作る 4.2.1 ISO/IEC27001 4.2.2 NIST CSF 4.3 セキュリティを実現させるための原則 4.3.1 セキュリティ基準には共通性がある 4.3.2 おもなセキュリティの原則 4.4 セキュリティポリシー作成のポイント 4.4.1 セキュリティポリシーの落とし⽳ 4.4.2 セキュリティポリシーと上⼿く付き合うために

12. 30分でわかる「AWSではじめるクラウドセキュリティ」(2023/5/15) © 2023, Amazon Web Services, Inc. or its affiliates.

    All rights reserved. Amazon Confidential and Trademark. professional services セキュリティの特徴 – 謙虚なセキュリティ 12 セキュリティはサービスの中⼼ではない セキュリティは⼿間を増やす （効果も⾒えにくい） 闇雲に最⾼のセキュリティを⽬指す のではなく、価値あるサービスを提 供するためにそのサービスにおける セキュリティの位置づけ、何のため に実施するかを考える （関係者の⽬線を合わせる）

13. 30分でわかる「AWSではじめるクラウドセキュリティ」(2023/5/15) © 2023, Amazon Web Services, Inc. or its affiliates.

    All rights reserved. Amazon Confidential and Trademark. professional services セキュリティ検討のバランス 13 Availability 可用性 Integrity 完全性 Confidentiality 機密性 サービス セキュリティ 可⽤性を 担保する (※) サービスを 提供する 売上を ⽴てる 機密性を 維持する 完全性を 保つ セキュリティをCIAという順の優先度や「可⽤性」を除いて検討 するのではなく、「可⽤性」を強く意識することで、ビジネス上の 期待や要求を考慮し、「何を」「なぜ」「どのように実施するのか」 バランスを取れるようになる ※サービスにとって使いたいときに安定して使え ないサービスはセキュリティ以前の問題

14. 30分でわかる「AWSではじめるクラウドセキュリティ」(2023/5/15) © 2023, Amazon Web Services, Inc. or its affiliates.

    All rights reserved. Amazon Confidential and Trademark. professional services クラウドセキュリティにおける説明責任と実行責任 14 説明責任 Accountability 実⾏責任 Responsibility WHY/WHAT 施策の⽬的や意味、管理・ 監督状況を利⽤者や株主、 従業員などに明らかにする （委任できない） HOW 管理策の確実な実施 （委任できる） 責任共有モデル https://aws.amazon.com/jp/compliance/shared- responsibility-model/ • AWSはAWSの統制状況を 説明する責任がある • クラウド利⽤者(AWSカスタ マー)は⾃らとAWSの統制を 確認し、その確認状況を説明 する責任がある • AWSはクラウドサービスのセキ ュリティを維持する責任がある • クラウド利⽤者(AWSカスタ マー)はクラウド内のセキュリティ を維持する責任がある 本書では第2部で解説

15. 30分でわかる「AWSではじめるクラウドセキュリティ」(2023/5/15) © 2023, Amazon Web Services, Inc. or its affiliates.

    All rights reserved. Amazon Confidential and Trademark. professional services © 2022, Amazon Web Services, Inc. or its affiliates. All rights reserved. Amazon Confidential and Trademark. professional services 第2部 AWSでセキュリティを実装する 15

16. 30分でわかる「AWSではじめるクラウドセキュリティ」(2023/5/15) © 2023, Amazon Web Services, Inc. or its affiliates.

    All rights reserved. Amazon Confidential and Trademark. professional services NIST CSFに基づいた第2部の構成 16 識別 Identification 防御 Protect 検知 Detect 対応 Respond 復旧 Recover 【初級】セキュリティで加速するクラウドジャーニー〜セキュリティ上 の論点と打ち⼿、進め⽅〜 | AWS Summit Tokyo 2019 https://www.youtube.com/watch?v=0vmQNd5ZJ xw 第6章 リスクの特定とセキュリティ管理策の決定 https://d1.awsstatic.com/white papers/compliance/JP_Whitepa pers/NIST_Cybersecurity_Fram ework_CSF_JP.pdf 第7章 セキュリティ管理策の要となる防御 第8章 セキュリティ検知の仕組み作り 第9章 AWS で対応／復旧を始める ご参考 NIST CSF: NIST サイバーセキュリティフレームワーク

17. 30分でわかる「AWSではじめるクラウドセキュリティ」(2023/5/15) © 2023, Amazon Web Services, Inc. or its affiliates.

    All rights reserved. Amazon Confidential and Trademark. professional services リスクの特定とセキュリティ管理策の決定 – 本書の取り扱い項目 17 第6章 リスクの特定とセキュリティ管理策の決定 6.1 NIST CSF と「識別」 6.1.1 セキュリティにおけるリスク 6.2 リスクアセスメントのアプローチ 6.2.1 代表的なアプローチ 6.2.2 アプローチの選択 6.3 保護する資産を把握する 6.3.1 情報資産の識別 6.3.2 システムアーキテクチャの把握 6.3.3 データフローによる保護範囲の把握 6.3.4 システムを構成するコンポーネントの詳細 の把握 6.4 リスクの特定 6.4.1 フレームワークの活⽤ 6.4.2 クラウドにおける考慮点 6.5 リスクの分析 6.5.1 資産ベースのリスク分析 6.5.2 攻撃シナリオベースのリスク分析 6.5.3 セキュリティリスクの評価 6.6 セキュリティリスクへの対応アプローチ 6.6.1 責任分界に基づくセキュリティ対応箇所の 識別 6.6.2 リスクを低減するためのセキュリティ管理 策 6.6.3 AWS サービスや機能の活⽤ 6.7 各リスク分析結果への管理策検討例 6.7.1 資産ベースのリスク分析結果への対応例 6.7.2 攻撃シナリオベースのリスク分析結果への 対応例 6.7.3 分析結果のとりまとめ

18. 30分でわかる「AWSではじめるクラウドセキュリティ」(2023/5/15) © 2023, Amazon Web Services, Inc. or its affiliates.

    All rights reserved. Amazon Confidential and Trademark. professional services リスクの特定とセキュリティ管理策の決定 – 説明責任を果たす 18 「さまざまなサイバー攻撃が毎⽇のように報道されているなか、すくなく ともセキュリティ管理策の必要性を判断する⼈、あるいはそのセキュリ ティ管理策の実装の担当者はリスクアセスメントの⼯程を理解しておく必 要があります。なぜならセキュリティ管理策はリスクの裏返しであり、リ スクアセスメントの結果に応じて、実際に⾏う管理策を判断することにな るからです。リスクアセスメントは、効果的なセキュリティ管理策を採⽤ するためには不可⽋な作業です」（第6章 畠中 亮）

19. 30分でわかる「AWSではじめるクラウドセキュリティ」(2023/5/15) © 2023, Amazon Web Services, Inc. or its affiliates.

    All rights reserved. Amazon Confidential and Trademark. professional services リスクの特定とセキュリティ管理策の決定 – 2種類のアプローチ 19 ⽤途例 対策検討 までの期間 特徴 対策の適切さ リスクベースアプローチ 保護対象の資産に脅威が⽣じる可 能性やその影響度に基づいて管理 策を検討して策定 短い ⻑い ミスマッチの可能性がある マッチする 複数のシステムに共通で適⽤す るセキュリティガイドラインの 作成(※)や監査項⽬の策定など システム固有のセキュリティ要 件・設計項⽬の策定など 必要な対策確 認の難易度 易しい 難しい ベースラインアプローチ あらかじめ定めたセキュリティレ ベル（ベースライン）に基づき管 理策をフレームワーク等から選定 本書ではリスクベース アプローチを解説 ※『Amazon Web Services 企業導⼊ガイドブック［改訂版］』（瀧澤与⼀／川嶋俊貴／畠中 亮／荒⽊靖宏／ ⼩林正⼈／⼤村幸敬著、マイナビ出版、2022 年）の「AWS におけるセキュリティ標準の策定」が参考になります。

20. 30分でわかる「AWSではじめるクラウドセキュリティ」(2023/5/15) © 2023, Amazon Web Services, Inc. or its affiliates.

    All rights reserved. Amazon Confidential and Trademark. professional services リスクの特定とセキュリティ管理策の決定 – 設計・実装までの流れ 20 ベースライン アプローチによる 評価結果 リスク評価 セキュリティ対策 の設計・実装 AWS利⽤者に 対応が求められるリスク AWSに対応が求められる リスク A B 責任分界分類 AWSのサービス/機能 活⽤判断 該当するAWSの サービス/機能 リスクベース アプローチによる 評価結果 AWSの サービス/機能以外の 対策技術 AWSクラウド環境に おける設計・実装 セキュリティ上のリスクに対 してAWS責任共有モデルを参 考にAWS利⽤者に求められる 対応範囲を明確化 資産ベース 攻撃シナリオ ベース AWSにリスクを移転 セキュリティ上のリスクを抽出 セキュリティリスクへの 対策案 防御/検知/対応/復旧 セキュリティ対策検討 リスクへの対応 リスクを低減/回避するた めの対策を検討 AWSのサービス/機能を 活⽤できるか判断 検討したセキュリ ティ対策をAWSの サービス等を利⽤ し設計し実装 <クラウド特有> <クラウド特有> オンプレのセキュリティ標準/クラウド 特有の考慮点をInputにするとクラウド のセキュリティ標準作成の流れになる

21. 30分でわかる「AWSではじめるクラウドセキュリティ」(2023/5/15) © 2023, Amazon Web Services, Inc. or its affiliates.

    All rights reserved. Amazon Confidential and Trademark. professional services セキュリティ管理策の要となる防御 – 本書の取り扱い項目 21 第7章 セキュリティ管理策の要となる防御 7.1 防御とは 7.1.1 防御策の検討 7.1.2 「防御」と「検知」 7.2 AWS 環境のネットワークアクセス制御 7.2.1 VPC 7.2.2 サブネットを利⽤したゾーニング 7.2.3 セキュリティグループを利⽤したファイ アウォール 7.3 リソースへのアクセス制御 7.3.1 アイデンティティベースのアクセス制御 7.3.2 リソースベースのアクセス制御 7.4 最⼩権限の原則の実現 7.4.1 クラウドにおける権限設定の難しさ 7.4.2 複数の粒度を使い分ける 7.4.3 アクセスレベルの利⽤ 7.5 IAM ロール 7.5.1 IAM ロールとは 7.5.2 プログラムから認証情報へのアクセス 7.5.3 IAM ロールを使った⼀時的な権限の委譲 7.6 暗号化を⽤いたデータの保護 7.6.1 暗号化の仕組み 7.6.2 暗号化アルゴリズムと鍵⻑の選択 7.6.3 暗号鍵の管理 7.6.4 暗号化の適⽤と実施箇所 7.7 暗号化関連サービスの利⽤ 7.7.1 KMS による鍵管理 7.7.2 Certificate Manager

22. 30分でわかる「AWSではじめるクラウドセキュリティ」(2023/5/15) © 2023, Amazon Web Services, Inc. or its affiliates.

    All rights reserved. Amazon Confidential and Trademark. professional services セキュリティ管理策の要となる防御 – 取り上げたテーマ 22 アクセス制御 <操作権限の制御> <通信の制御> 暗号化 クラウド特有の考慮点がある代表的な管理策

23. 30分でわかる「AWSではじめるクラウドセキュリティ」(2023/5/15) © 2023, Amazon Web Services, Inc. or its affiliates.

    All rights reserved. Amazon Confidential and Trademark. professional services セキュリティ管理策の要となる防御 – 最小権限 23 「ところで、最⼩権限の原則の実現粒 度はどのような環境でも⼀律でしょう か。例えば、開発環境と本番環境で同 じようなアプローチを採⽤する必要が あるでしょうか。」 「⼀⽅で、本番環境についても考慮す る余地があります。本番環境として運 ⽤されている場合、その運⽤業務は⼤ きく「定型的な内容」と「⾮定型的な 内容」に分類されます」 「アクセス権の運⽤においては、その ユーザーが必要とされる最⼩限の権限 を付与することが重要です（最⼩権限 の原則）。これはユーザーやリソース に、不要なアクセス許可を与えないこ とを意味しています。セキュリティの 防御策として⼤変重要な原則である⼀ ⽅で、AWS 環境におけるポリシーの設 計者たちの頭を悩ませてきたことも事 実です」

24. 30分でわかる「AWSではじめるクラウドセキュリティ」(2023/5/15) © 2023, Amazon Web Services, Inc. or its affiliates.

    All rights reserved. Amazon Confidential and Trademark. professional services セキュリティ管理策の要となる防御 – 粒度の使い分け 24 環境区分 想定業務 予防的統制 （権限付与アプローチ） 発⾒的統制 特定アクション の禁⽌1 最⼩権限 （アクセスレベル単位） 最⼩権限 （アクション単位） 監視 （典型的な脅威の検知)*2 監査 （操作内容の確認） 開発環境 ー ◦ ◦ 本番環境 定型運⽤（バック アップなど） ◦ コマンドの 事前承認必須 ◦ サンプリング監査を推奨 ⾮定型運⽤ （システム変 更など） ◦ 短期間の権限付与/ 事前確認必須*4 ◦ ◦ 申請内容との乖離有無を 全量監査*5 ⾮定型運⽤（トラ ブルシューティン グ時） ◦ 短期間の権限付与/ 事前確認必須*4 ◦ ◦ 操作内容の全量監査 *1 特定アクションはアカウントの改廃、ログ取得などのセキュリティ機構、ネットワーク設定の変更が考えられる *2 Amazon GuardDutyによる機械学習に基づいた脅威検知を想定 *3 操作は事前にコマンドで定義され承認されていることを想定 *4 ⼀時的な権限の付与および作業内容の事前確認を想定 *5 Infrastructure as Code(IaC)により作業をAWS CloudFormation等でコード化し、事前のコードレビューを実施することで結果確認に留めることを検 討できる。 環境別の最⼩権限の原則へのアプローチと発⾒的統制による補完

25. 30分でわかる「AWSではじめるクラウドセキュリティ」(2023/5/15) © 2023, Amazon Web Services, Inc. or its affiliates.

    All rights reserved. Amazon Confidential and Trademark. professional services セキュリティ管理策の要となる防御 – 暗号化 25 「AWS では暗号鍵管理のためのサービスが提供され、多くのAWS サービ スから利⽤できるようになっています。暗号鍵管理のシステム基盤の運⽤ 負荷が軽減されたことで、AWS ではオンプレミス環境と⽐較し実装しや すい管理策になりました。本章では保管データと通信データの暗号化の概 要、鍵管理の⽅式、証明書に関する基本知識など、AWS 環境で実装する 際に把握しておくべきポイントを紹介します」

26. 30分でわかる「AWSではじめるクラウドセキュリティ」(2023/5/15) © 2023, Amazon Web Services, Inc. or its affiliates.

    All rights reserved. Amazon Confidential and Trademark. professional services セキュリティ検知の仕組み作り – 本書の取り扱い項目 26 第8章 セキュリティ検知の仕組み作り 8.1 ガードレール型のセキュリティ 8.1.1 ブロッカー型とゲートキーパー型 8.1.2 検知を実現するサービス 8.2 検知の⽬的と対象となる事象 8.2.1 異常なアクティビティとは 8.2.2 セキュリティ対策の有効性検証とは 8.3 「検知」に関する業務 8.4 監視の仕組み 8.4.1 監視⼿段の分類 8.4.2 異常なアクティビティの監視 8.4.3 セキュリティ対策の有効性検証 8.5 ログの保管 8.5.1 ログの転送と集約 8.5.2 ログ保管箇所の検討 8.5.3 WORM による保護 8.6 ログの分析とアラートの出⼒ 8.6.1 ログのパターンマッチング 8.6.2 パターンの効率的な運⽤ 8.7 脅威インテリジェンスの活⽤ 8.7.1 GuardDuty 8.7.2 Findings と重⼤度 8.7.3 検出結果の詳細な調査に有効なDetective 8.8 監視結果の集約 8.9 監視結果の通知 8.9.1 通知先の策定 8.9.2 通知先の振り分けと⾃動修復

27. 30分でわかる「AWSではじめるクラウドセキュリティ」(2023/5/15) © 2023, Amazon Web Services, Inc. or its affiliates.

    All rights reserved. Amazon Confidential and Trademark. professional services セキュリティ検知の仕組み作り 27 「企業の内部統制の前提となるアクセス権限管理は、利便性と表裏⼀体で す。例えば、システム開発者に対する権限を絞り込めばセキュリティの強 度は⾼まりますが、開発の⾃由度が落ちることで利便性は損なわれます」 「このような予防的対策の課題に対して、併⽤を求められる対策が外部／ 内部の脅威の発⽣や異常の兆候を発⾒する「検知」です。」

28. 30分でわかる「AWSではじめるクラウドセキュリティ」(2023/5/15) © 2023, Amazon Web Services, Inc. or its affiliates.

    All rights reserved. Amazon Confidential and Trademark. professional services セキュリティ検知の仕組み作り – 検知に関する業務 28 内部/外部 業務分類 観点 業務内容 活⽤可能なAWSのサービス/機能例 外部脅威 監視業務 異常なアクティビティ有無 攻撃の予兆や実⾏中の攻撃を発⾒し検知する。 Amazon GuardDuty AWS WAF 分析業務 異常なアクティビティ有無 およびその影響範囲分析 不審な攻撃の洗い出し、その影響範囲をログ 等を分析し確認する。 Amazon Cloudwatch Logs Insights Amazon Detective Amazon Athena 内部脅威 監視業務 異常なアクティビティ有無 既定のベストプラクティスや機械学習に基づ き不正⾏為が疑われる異常なアクティビティ を検知する。 Amazon GuardDuty Amazon Cloudwatch Logs filter AWS CloudTrail Insights 脅威シナリオを洗い出し、異常なアクティビ ティを発⾒し検知する。 Amazon Cloudwatch Logs filter セキュリティ設定の不備有無 既定のベストプラクティス等に基づきセキュ リティ設定の不備を発⾒し検知する。 AWS Trusted Adviser AWS Control Tower AWS Config AWS Security Hub 分析業務 異常なアクティビティ有無 およびその影響範囲分析 不正⾏為が疑われる異常なアクティビティの 洗い出しやその影響範囲をログ等を分析し確 認する。 Amazon Cloudwatch Logs Insights Amazon Detective Amazon Athena 点検業務/ 監査業務 操作内容の正当性 ユーザーの操作内容が認められた内容から逸 脱していないかを確認する。 Amazon Cloudwatch Logs Insights

29. 30分でわかる「AWSではじめるクラウドセキュリティ」(2023/5/15) © 2023, Amazon Web Services, Inc. or its affiliates.

    All rights reserved. Amazon Confidential and Trademark. professional services AWS で対応／復旧を始める – 本書の取り扱い項目 29 第9 章AWS で対応／復旧を始める 9.1 インシデントレスポンス 9.1.1 あるインシデントレスポンスの例 9.1.2 インシデントレスポンスへの準備 9.2 プロセスの整備 9.2.1 インシデントシナリオの定義 9.2.2 対応⽅法の定義 9.2.3 担当者／アクセス権の定義 9.2.4 プロセスをRunbook として整備する 9.3 調査や分析のためのデータ保存 9.4 フォレンジックのための基盤 9.4.1 フォレンジック基盤に求められる要件 9.4.2 AWS サービスを利⽤したフォレンジック 基盤 9.5 インシデントレスポンスの⾃動化 9.5.1 AWS サービスを利⽤した⾃動化 9.6 インシデントレスポンスの訓練 9.6.1 社内でのインシデントレスポンス訓練 9.6.2 AWS イベントでのインシデントレスポン ス訓練

30. 30分でわかる「AWSではじめるクラウドセキュリティ」(2023/5/15) © 2023, Amazon Web Services, Inc. or its affiliates.

    All rights reserved. Amazon Confidential and Trademark. professional services AWS で対応／復旧を始める 30 「インシデントレスポンスを⾏ううえで⼀番重要なことは、平常時に⼗分 な準備をしておくことです。さきほどの例も、ログが保存済みでいつでも 検索できる環境だったからこそ、すぐ調査を⾏うことができました。この ように対応や環境の整備をしておくことが効率的で迅速な作業につながり、 被害を最⼩限に抑えられます」 1. インシデントレスポンスのプロセスを整備しておく 2. 調査や分析のためにデータを保存しておく 3. フォレンジック【2】のための基盤を⽤意しておく 4. インシデントレスポンスの対応内容を⾃動化しておく 5. シミュレーションを⾏ってインシデントレスポンスの訓練をしておく

31. 30分でわかる「AWSではじめるクラウドセキュリティ」(2023/5/15) © 2023, Amazon Web Services, Inc. or its affiliates.

    All rights reserved. Amazon Confidential and Trademark. professional services © 2022, Amazon Web Services, Inc. or its affiliates. All rights reserved. Amazon Confidential and Trademark. professional services 第3部 AWSのセキュリティを試す 31

32. 30分でわかる「AWSではじめるクラウドセキュリティ」(2023/5/15) © 2023, Amazon Web Services, Inc. or its affiliates.

    All rights reserved. Amazon Confidential and Trademark. professional services 2種類のハンズオン 32 AWS の代表的な セキュリティサービス の操作 （第10章） セキュリティ対応環境の 構築、脅威検知／対応 （第11章） “学んだ内容の定着を図るためには、実際に⾃分⾃⾝で⼿を動かして知識を活⽤し、認識 の正誤を確認して発⾒を積み重ねていくことが重要です”

33. 30分でわかる「AWSではじめるクラウドセキュリティ」(2023/5/15) © 2023, Amazon Web Services, Inc. or its affiliates.

    All rights reserved. Amazon Confidential and Trademark. professional services これからの学習のために 33 ⼀点、⼤事なポイントとして「学び」というのはインプットだ けでは成り⽴たたず、何らかのアウトプットをしてフィード バックや気付きを得ていく必要があるということがあります。 もし、皆さんがこの本の中で得たことがあれば、どんなかたち でも良いのでアウトプットをしていただければ幸いです。それ は、例えば友達や同僚に話してみる、Twitter やブログに書き 込んでみるということから始められます。実際、本書を執筆し たメンバーも⽇頃からAWS に触れて業務を⾏っていますが、 本書に取り組むことで、AWS の新たな価値に気が付いたり、 セキュリティにしっかりと向き合う時間を得られました。私た ちのアウトプットが皆さんのインプットになり、そのアウト プットがつながっていくことで、AWS を使ったより安全な サービスが世の中を良くしていくことを願っています。 天⾏健。 君⼦以⾃彊不息。 （易経）

34. 30分でわかる「AWSではじめるクラウドセキュリティ」(2023/5/15) © 2023, Amazon Web Services, Inc. or its affiliates.

    All rights reserved. Amazon Confidential and Trademark. professional services 謝辞 34 本書の執筆にあたり、多⼤なるご尽⼒、アドバイ スをいただいたテッキーメディア⽯川様、私たち にさまざまな刺激をあたえていただいたお客様、 パートナー様、同僚の皆様、そして家族や友⼈の 皆様にあらためて感謝をお伝えしたいと思います。

35. 30分でわかる「AWSではじめるクラウドセキュリティ」(2023/5/15) © 2023, Amazon Web Services, Inc. or its affiliates.

    All rights reserved. Amazon Confidential and Trademark. professional services © 2022, Amazon Web Services, Inc. or its affiliates. All rights reserved. Amazon Confidential and Trademark. Thank you! professional services Ryo Hatanaka Twitter: @ryohatanmonolog