Upgrade to Pro — share decks privately, control downloads, hide ads and more …

『AWSではじめるクラウドセキュリティ』の裏側を。

 『AWSではじめるクラウドセキュリティ』の裏側を。

Security-JAWS【第29回】 勉強会でお話しした内容です。

Ryo Hatanaka

May 25, 2023
Tweet

More Decks by Ryo Hatanaka

Other Decks in Technology

Transcript

  1. SECURITY-JAWS 29TH 『AWSではじめるクラウドセキュリティ』の裏側を (2023/5/25) © 2023, Amazon Web Services, Inc.

    or its affiliates. All rights reserved. Amazon Confidential and Trademark. professional services © 2023, Amazon Web Services, Inc. or its affiliates. All rights reserved. Amazon Confidential and Trademark. professional services 『AWSではじめるクラウド セキュリティ』の裏側を。 畠中 亮 S E C U R I T Y - J A W S 2 9 T H 2 0 2 3 / 5 / 2 5 シニアセキュリティコンサルタント アマゾン ウェブ サービス ジャパン合同会社 プロフェッショナルサービス本部
  2. SECURITY-JAWS 29TH 『AWSではじめるクラウドセキュリティ』の裏側を (2023/5/25) © 2023, Amazon Web Services, Inc.

    or its affiliates. All rights reserved. Amazon Confidential and Trademark. professional services 書店/Amazonで絶賛発売中 2 “10年間は⽣き続ける考え⽅が凝縮された良書” “セキュリティの基本を学ぶのに最適な良書” “⼀般的なセキュリティの考え⽅にも触れており、未経験か らエンジニアになった私には教科書のような本に思えます” “単なる設定の本じゃないところがこの本の良さよなぁ。 こういうの⼤事 “ “セキュリティの原理原則を理解できて実践できるので めっちゃ推し” “ガバナンス含む全体像から具体的な実装⽅法の間を繋いで くれる本はなかなかないと思います” (Twitterやブログ記事のコメントから) https://amzn.to/3nUBpl9
  3. SECURITY-JAWS 29TH 『AWSではじめるクラウドセキュリティ』の裏側を (2023/5/25) © 2023, Amazon Web Services, Inc.

    or its affiliates. All rights reserved. Amazon Confidential and Trademark. professional services 3 執筆の裏側を少し話しつつ本をご紹介します
  4. SECURITY-JAWS 29TH 『AWSではじめるクラウドセキュリティ』の裏側を (2023/5/25) © 2023, Amazon Web Services, Inc.

    or its affiliates. All rights reserved. Amazon Confidential and Trademark. professional services 執筆陣 4 松本照吾 セキュリティ アシュアランス本部 本部⻑ 前⽥駿介 ソリューション アーキテクト 畠中 亮 プロフェッショナル サービス本部 セキュリティ コンサルタント 桐⾕彰⼀ セキュリティ アーキテクト 脱 稿 時 は 全 員 AW S在 籍
  5. SECURITY-JAWS 29TH 『AWSではじめるクラウドセキュリティ』の裏側を (2023/5/25) © 2023, Amazon Web Services, Inc.

    or its affiliates. All rights reserved. Amazon Confidential and Trademark. professional services 5 アマゾン ウェブ サービス ジャパン合同会社 プロフェッショナルサービス本部 シニアセキュリティコンサルタント 畠中 亮 はたなか りょう • AWS Japanでクラウドセキュリティコンサル ティングチームを⽴ち上げる。 • 実装できるクラウドセキュリティ戦略の⽴案 やセキュリティガイドラインの策定に関する ⽀援を⾏う。 • 書き⽂字や活字、⽂章の読み解きが好きで、 多くの⽂字を扱えるセキュリティの仕事は天 職だと思っている。 • まじめに仕事をしている⽅がセキュリティの 問題で⾜下をすくわれないようにしたい。 • ⾟⼝の⽇本酒が好き。 印 税 の 形 態 を 学 ぶ
  6. SECURITY-JAWS 29TH 『AWSではじめるクラウドセキュリティ』の裏側を (2023/5/25) © 2023, Amazon Web Services, Inc.

    or its affiliates. All rights reserved. Amazon Confidential and Trademark. professional services なぜこの本を書いたのか 6 AWSを題材にセキュリティの基本を学んで もらいたい。 「セキュリティを考えたいが何から始める べきか知りたい」、「クラウドにおける特 徴やポイントを知りたい」など、ユーザー の⽅が抱きがちな疑問に答え、セキュリ ティと上⼿く付き合っていくための指針を 伝えたい。 クラウドセキュリティの情報は多いが業務 の全体像を理解できるコンテンツが少ない。 セキュリティを専⾨としていない技術者が ⼿探りでセキュリティ対応している現状が ある。 セキュリティコンサルタントとして、企業 のクラウド環境のセキュリティを強化して きた経験とノウハウを伝えたい。 企画者 松本⽒の想い わたしの想い 「だれが読むのか分からない。⼿にとってもらえるかさえ⼼もとない。しかし、だれかに 伝わることを信じなければ、とても書いてなんぞいられない衝動。叫び。(中略)メッ セージ・イン・ア・ボトル」 - 近藤康太郎『三⾏で撃つ 〈善く、⽣きる〉ための⽂章塾』
  7. SECURITY-JAWS 29TH 『AWSではじめるクラウドセキュリティ』の裏側を (2023/5/25) © 2023, Amazon Web Services, Inc.

    or its affiliates. All rights reserved. Amazon Confidential and Trademark. professional services 想定している読者 7 ITの初学者 クラウドを利⽤する IT技術者 クラウドに詳しくない セキュリティ/リスク管理 責任者/スタッフ セキュリティって 何を考えること? まずは試して学びたいよ! セキュリティ対策ってこの 進め⽅でいいんだっけ︖ そもそもなんで必要? オンプレと何が違う? 何を新しく学ぶ? ビジネスを⽌めたくない 不安を抱えつつもセキュリティ業務を無視できない人たち
  8. SECURITY-JAWS 29TH 『AWSではじめるクラウドセキュリティ』の裏側を (2023/5/25) © 2023, Amazon Web Services, Inc.

    or its affiliates. All rights reserved. Amazon Confidential and Trademark. professional services 構成 – AWSではじめるクラウドセキュリティ 8 第1章 セキュリティって何だろう、クラウドって 何だろう 第2章 セキュリティと責任共有モデル 第3章 ガバナンスとセキュリティの要件 第4章 セキュリティポリシーを作る 第1部 クラウドと セキュリ ティの基本 第5章 AWS の利⽤を開始する際のセキュリティ 第6章 リスクの特定とセキュリティ管理策の決定 第7章 セキュリティ管理策の要となる防御 第8章 セキュリティ検知の仕組み作り 第9章 AWS で対応/復旧を始める 第10章 代表的なセキュリティサービスの操作 第11章 セキュリティ対応環境の構築、脅威検知 /対応 第2部 AWS でセ キュリティ を実装する 第3部 AWS のセ キュリティ を試す これからの学習のために 基礎編 → 摩擦少なく読める理念の解説 業務編 → 具体的に何を実施すべきかを解説 実践編 → 自分の理解の検証手順を解説 考 え 方 と 進 め 方 に 焦 点
  9. SECURITY-JAWS 29TH 『AWSではじめるクラウドセキュリティ』の裏側を (2023/5/25) © 2023, Amazon Web Services, Inc.

    or its affiliates. All rights reserved. Amazon Confidential and Trademark. professional services 第1部: クラウドセキュリティにおける説明責任と実行責任 9 説明責任 Accountability 実⾏責任 Responsibility WHY/WHAT 施策の⽬的や意味、管理・ 監督状況を利⽤者や株主、 従業員などに明らかにする (委任できない) HOW 管理策の確実な実施 (委任できる) 責任共有モデル https://aws.amazon.com/jp/compliance/shared- responsibility-model/ • AWSはAWSの統制状況を 説明する責任がある • クラウド利⽤者(AWSカスタ マー)は⾃らとAWSの統制を 確認し、その確認状況を説明 する責任がある • AWSはクラウドサービスのセキ ュリティを維持する責任がある • クラウド利⽤者(AWSカスタ マー)はクラウド内のセキュリティ を維持する責任がある 本書では第2部で解説 真 理 へ の Dive Deep
  10. SECURITY-JAWS 29TH 『AWSではじめるクラウドセキュリティ』の裏側を (2023/5/25) © 2023, Amazon Web Services, Inc.

    or its affiliates. All rights reserved. Amazon Confidential and Trademark. professional services 第2部: NIST CSFを切り口としたセキュリティ業務解説 10 識別 Identification 防御 Protect 検知 Detect 対応 Respond 復旧 Recover 【初級】セキュリティで加速するクラウドジャーニー〜セキュリティ上 の論点と打ち⼿、進め⽅〜 | AWS Summit Tokyo 2019 https://www.youtube.com/watch?v=0vmQNd5ZJ xw 第6章 リスクの特定とセキュリティ管理策の決定 https://d1.awsstatic.com/white papers/compliance/JP_Whitepa pers/NIST_Cybersecurity_Fram ework_CSF_JP.pdf 第7章 セキュリティ管理策の要となる防御 第8章 セキュリティ検知の仕組み作り 第9章 AWS で対応/復旧を始める ご参考 NIST CSF: NIST サイバーセキュリティフレームワーク 業 務 へ の 落 と し 込 み
  11. SECURITY-JAWS 29TH 『AWSではじめるクラウドセキュリティ』の裏側を (2023/5/25) © 2023, Amazon Web Services, Inc.

    or its affiliates. All rights reserved. Amazon Confidential and Trademark. professional services リスクの特定とセキュリティ管理策の決定 – 設計/実装までの流れ 11 ベースライン アプローチによる 評価結果 リスク評価 セキュリティ管理 策の設計・実装 AWS利⽤者に 対応が求められるリスク AWSに対応が求められる リスク A B 責任分界分類 AWSのサービス/機能 活⽤判断 該当するAWSの サービス/機能 リスクベース アプローチによる 評価結果 AWSの サービス/機能以外の 対策技術 AWSクラウド環境に おける設計・実装 セキュリティ上のリスクに対 してAWS責任共有モデルを参 考にAWS利⽤者に求められる 対応範囲を明確化 資産ベース 攻撃シナリオ ベース AWSにリスクを移転 セキュリティ上のリスクを抽出 セキュリティリスクへの 対策案 防御/検知/対応/復旧 セキュリティ管理策 検討 リスクへの対応 リスクを低減/回避するた めの対策を検討 AWSのサービス/機能を 活⽤できるか判断 検討したセキュリ ティ対策をAWSの サービス等を利⽤ し設計し実装 クラウド特有 クラウド特有 原 理 原 則 を ク ラ ウ ド に
  12. SECURITY-JAWS 29TH 『AWSではじめるクラウドセキュリティ』の裏側を (2023/5/25) © 2023, Amazon Web Services, Inc.

    or its affiliates. All rights reserved. Amazon Confidential and Trademark. professional services 【ご参考】企業向けAWSセキュリティガイドラインの策定手順 12 オンプレ環境の セキュリティ標準 セキュリティ 管理策 ベースライン設定 セキュリティ管理 策の実装⽅針策定 AWS利⽤者に 対応が求められる管理策 AWSに対応が求められる 管理策 A B 責任分界分類 論点抽出 該当するAWSの サービス/機能 クラウド特有の 考慮点を記載した 参考ドキュメント AWSの サービス/機能以外の 対策技術 AWS環境の セキュリティ標準 (例)NISC SBDマニュアル (例) ENISA発⾏ ドキュメント AWSにリスクを移転 AWSのサービス/機能 活⽤判断 AWS環境のセキュリティ標準策定 クラウド特有 実装上の論点リスト (例: 最⼩権限をどのよう に実装するか) AWS セキュリ ティガイ ド ライン セキュリティ上のリスクに対 してAWS責任共有モデルを参 考にAWS利⽤者に求められる 対応範囲を明確化 リスクを低減/回避するた めの対策を検討 AWSのサービス/機能を 活⽤できるか判断 検討したセキュリ ティ対策をAWSの サービス等を利⽤ し設計し実装 クラウド特有 ガイド ライン 策定 説明責任の観点から 既定の管理策を検討 の主な基準に設定 読解しや すく構成 クラウド特有 ProServeの 支 援 多 数 ※『Amazon Web Services 企業導⼊ガイドブック[改訂版]』(瀧澤与⼀/川嶋俊貴/畠中 亮/荒⽊靖宏/ ⼩林正⼈/⼤村幸敬著、マイナビ出版、2022 年)の「AWS におけるセキュリティ標準の策定」が参考になります。
  13. SECURITY-JAWS 29TH 『AWSではじめるクラウドセキュリティ』の裏側を (2023/5/25) © 2023, Amazon Web Services, Inc.

    or its affiliates. All rights reserved. Amazon Confidential and Trademark. professional services セキュリティ管理策の要となる防御 – 最小権限 13 ところで、最⼩権限の原則の実現粒度 はどのような環境でも⼀律でしょうか。 例えば、開発環境と本番環境で同じよ うなアプローチを採⽤する必要がある でしょうか。 ⼀⽅で、本番環境についても考慮する 余地があります。本番環境として運⽤ されている場合、その運⽤業務は⼤き く「定型的な内容」と「⾮定型的な内 容」に分類されます アクセス権の運⽤においては、その ユーザーが必要とされる最⼩限の権限 を付与することが重要です(最⼩権限 の原則)。これはユーザーやリソース に、不要なアクセス許可を与えないこ とを意味しています。セキュリティの 防御策として⼤変重要な原則である⼀ ⽅で、AWS 環境におけるポリシーの設 計者たちの頭を悩ませてきたことも事 実です ク ラ ウ ド 活 用 を 阻 害 ?
  14. SECURITY-JAWS 29TH 『AWSではじめるクラウドセキュリティ』の裏側を (2023/5/25) © 2023, Amazon Web Services, Inc.

    or its affiliates. All rights reserved. Amazon Confidential and Trademark. professional services セキュリティ管理策の要となる防御 – 粒度の使い分け 14 環境区分 想定業務 予防的統制 (権限付与アプローチ) 発⾒的統制 特定アクション の禁⽌1 最⼩権限 (アクセスレベル単位) 最⼩権限 (アクション単位) 監視 (典型的な脅威の検知)*2 監査 (操作内容の確認) 開発環境 ー ◦ ◦ 本番環境 定型運⽤(バック アップなど) ◦ コマンドの 事前承認必須 ◦ サンプリング監査を推奨 ⾮定型運⽤(シス テム変更など) ◦ 短期間の権限付与/ 事前確認必須*4 ◦ ◦ 申請内容との乖離有無を 全量監査*5 ⾮定型運⽤(トラ ブルシューティン グ時) ◦ 短期間の権限付与/ 事前確認必須*4 ◦ ◦ 操作内容の全量監査 *1 特定アクションはアカウントの改廃、ログ取得などのセキュリティ機構、ネットワーク設定の変更が考えられる *2 Amazon GuardDutyによる機械学習に基づいた脅威検知を想定 *3 操作は事前にコマンドで定義され承認されていることを想定 *4 ⼀時的な権限の付与および作業内容の事前確認を想定 *5 Infrastructure as Code(IaC)により作業をAWS CloudFormation等でコード化し、事前のコードレビューを実施することで結果確認に留めることを検 討できる。 環境別の最⼩権限の原則へのアプローチと発⾒的統制による補完 真 理 へ の Dive Deep(再 )
  15. SECURITY-JAWS 29TH 『AWSではじめるクラウドセキュリティ』の裏側を (2023/5/25) © 2023, Amazon Web Services, Inc.

    or its affiliates. All rights reserved. Amazon Confidential and Trademark. professional services 謝辞 15 本書の執筆にあたり、多⼤なるご尽⼒、アドバイ スをいただいたテッキーメディア⽯川様、私たち にさまざまな刺激をあたえていただいたお客様、 パートナー様、同僚の皆様、そして家族や友⼈の 皆様にあらためて感謝をお伝えしたいと思います。 特にJAWSの皆様から多くのフィードバックを受 けました。私たちのアウトプットが皆さんのイン プットになり、皆さんのアウトプットが私たちの インプットにつながる相乗効果を期待しています。 天⾏健。 君⼦以⾃彊不息。 (易経)
  16. SECURITY-JAWS 29TH 『AWSではじめるクラウドセキュリティ』の裏側を (2023/5/25) © 2023, Amazon Web Services, Inc.

    or its affiliates. All rights reserved. Amazon Confidential and Trademark. professional services © 2022, Amazon Web Services, Inc. or its affiliates. All rights reserved. Amazon Confidential and Trademark. Thank you! professional services Ryo Hatanaka Twitter: @ryohatanmonolog