Security-JAWS【第29回】 勉強会でお話しした内容です。
SECURITY-JAWS 29TH 『AWSではじめるクラウドセキュリティ』の裏側を (2023/5/25)© 2023, Amazon Web Services, Inc. or its affiliates. All rights reserved. Amazon Confidential and Trademark.professionalservices© 2023, Amazon Web Services, Inc. or its affiliates. All rights reserved. Amazon Confidential and Trademark.professionalservices『AWSではじめるクラウドセキュリティ』の裏側を。畠中 亮S E C U R I T Y - J A W S 2 9 T H 2 0 2 3 / 5 / 2 5シニアセキュリティコンサルタントアマゾン ウェブ サービス ジャパン合同会社プロフェッショナルサービス本部
View Slide
SECURITY-JAWS 29TH 『AWSではじめるクラウドセキュリティ』の裏側を (2023/5/25)© 2023, Amazon Web Services, Inc. or its affiliates. All rights reserved. Amazon Confidential and Trademark.professionalservices書店/Amazonで絶賛発売中2“10年間は⽣き続ける考え⽅が凝縮された良書”“セキュリティの基本を学ぶのに最適な良書”“⼀般的なセキュリティの考え⽅にも触れており、未経験からエンジニアになった私には教科書のような本に思えます”“単なる設定の本じゃないところがこの本の良さよなぁ。こういうの⼤事 ““セキュリティの原理原則を理解できて実践できるのでめっちゃ推し”“ガバナンス含む全体像から具体的な実装⽅法の間を繋いでくれる本はなかなかないと思います”(Twitterやブログ記事のコメントから)https://amzn.to/3nUBpl9
SECURITY-JAWS 29TH 『AWSではじめるクラウドセキュリティ』の裏側を (2023/5/25)© 2023, Amazon Web Services, Inc. or its affiliates. All rights reserved. Amazon Confidential and Trademark.professionalservices 3執筆の裏側を少し話しつつ本をご紹介します
SECURITY-JAWS 29TH 『AWSではじめるクラウドセキュリティ』の裏側を (2023/5/25)© 2023, Amazon Web Services, Inc. or its affiliates. All rights reserved. Amazon Confidential and Trademark.professionalservices執筆陣4松本照吾セキュリティアシュアランス本部本部⻑前⽥駿介ソリューションアーキテクト畠中 亮プロフェッショナルサービス本部セキュリティコンサルタント桐⾕彰⼀セキュリティアーキテクト脱稿時は全員AWS在籍
SECURITY-JAWS 29TH 『AWSではじめるクラウドセキュリティ』の裏側を (2023/5/25)© 2023, Amazon Web Services, Inc. or its affiliates. All rights reserved. Amazon Confidential and Trademark.professionalservices 5アマゾン ウェブ サービス ジャパン合同会社プロフェッショナルサービス本部シニアセキュリティコンサルタント畠中 亮はたなか りょう• AWS Japanでクラウドセキュリティコンサルティングチームを⽴ち上げる。• 実装できるクラウドセキュリティ戦略の⽴案やセキュリティガイドラインの策定に関する⽀援を⾏う。• 書き⽂字や活字、⽂章の読み解きが好きで、多くの⽂字を扱えるセキュリティの仕事は天職だと思っている。• まじめに仕事をしている⽅がセキュリティの問題で⾜下をすくわれないようにしたい。• ⾟⼝の⽇本酒が好き。印税の形態を学ぶ
SECURITY-JAWS 29TH 『AWSではじめるクラウドセキュリティ』の裏側を (2023/5/25)© 2023, Amazon Web Services, Inc. or its affiliates. All rights reserved. Amazon Confidential and Trademark.professionalservicesなぜこの本を書いたのか6AWSを題材にセキュリティの基本を学んでもらいたい。「セキュリティを考えたいが何から始めるべきか知りたい」、「クラウドにおける特徴やポイントを知りたい」など、ユーザーの⽅が抱きがちな疑問に答え、セキュリティと上⼿く付き合っていくための指針を伝えたい。クラウドセキュリティの情報は多いが業務の全体像を理解できるコンテンツが少ない。セキュリティを専⾨としていない技術者が⼿探りでセキュリティ対応している現状がある。セキュリティコンサルタントとして、企業のクラウド環境のセキュリティを強化してきた経験とノウハウを伝えたい。企画者 松本⽒の想い わたしの想い「だれが読むのか分からない。⼿にとってもらえるかさえ⼼もとない。しかし、だれかに伝わることを信じなければ、とても書いてなんぞいられない衝動。叫び。(中略)メッセージ・イン・ア・ボトル」 - 近藤康太郎『三⾏で撃つ 〈善く、⽣きる〉ための⽂章塾』
SECURITY-JAWS 29TH 『AWSではじめるクラウドセキュリティ』の裏側を (2023/5/25)© 2023, Amazon Web Services, Inc. or its affiliates. All rights reserved. Amazon Confidential and Trademark.professionalservices想定している読者7ITの初学者 クラウドを利⽤するIT技術者クラウドに詳しくないセキュリティ/リスク管理責任者/スタッフセキュリティって何を考えること?まずは試して学びたいよ!セキュリティ対策ってこの進め⽅でいいんだっけ︖そもそもなんで必要?オンプレと何が違う?何を新しく学ぶ?ビジネスを⽌めたくない不安を抱えつつもセキュリティ業務を無視できない人たち
SECURITY-JAWS 29TH 『AWSではじめるクラウドセキュリティ』の裏側を (2023/5/25)© 2023, Amazon Web Services, Inc. or its affiliates. All rights reserved. Amazon Confidential and Trademark.professionalservices構成 – AWSではじめるクラウドセキュリティ8第1章 セキュリティって何だろう、クラウドって何だろう第2章 セキュリティと責任共有モデル第3章 ガバナンスとセキュリティの要件第4章 セキュリティポリシーを作る第1部クラウドとセキュリティの基本第5章 AWS の利⽤を開始する際のセキュリティ第6章 リスクの特定とセキュリティ管理策の決定第7章 セキュリティ管理策の要となる防御第8章 セキュリティ検知の仕組み作り第9章 AWS で対応/復旧を始める第10章 代表的なセキュリティサービスの操作第11章 セキュリティ対応環境の構築、脅威検知/対応第2部AWS でセキュリティを実装する第3部AWS のセキュリティを試すこれからの学習のために基礎編→ 摩擦少なく読める理念の解説業務編→ 具体的に何を実施すべきかを解説実践編→ 自分の理解の検証手順を解説考え方と進め方に焦点
SECURITY-JAWS 29TH 『AWSではじめるクラウドセキュリティ』の裏側を (2023/5/25)© 2023, Amazon Web Services, Inc. or its affiliates. All rights reserved. Amazon Confidential and Trademark.professionalservices第1部: クラウドセキュリティにおける説明責任と実行責任9説明責任Accountability実⾏責任ResponsibilityWHY/WHAT施策の⽬的や意味、管理・監督状況を利⽤者や株主、従業員などに明らかにする(委任できない)HOW管理策の確実な実施(委任できる)責任共有モデルhttps://aws.amazon.com/jp/compliance/shared-responsibility-model/• AWSはAWSの統制状況を説明する責任がある• クラウド利⽤者(AWSカスタマー)は⾃らとAWSの統制を確認し、その確認状況を説明する責任がある• AWSはクラウドサービスのセキュリティを維持する責任がある• クラウド利⽤者(AWSカスタマー)はクラウド内のセキュリティを維持する責任がある本書では第2部で解説真理へのDiveDeep
SECURITY-JAWS 29TH 『AWSではじめるクラウドセキュリティ』の裏側を (2023/5/25)© 2023, Amazon Web Services, Inc. or its affiliates. All rights reserved. Amazon Confidential and Trademark.professionalservices第2部: NIST CSFを切り口としたセキュリティ業務解説10識別Identification防御Protect検知Detect対応Respond復旧Recover【初級】セキュリティで加速するクラウドジャーニー〜セキュリティ上の論点と打ち⼿、進め⽅〜 | AWS Summit Tokyo 2019https://www.youtube.com/watch?v=0vmQNd5ZJxw第6章 リスクの特定とセキュリティ管理策の決定https://d1.awsstatic.com/whitepapers/compliance/JP_Whitepapers/NIST_Cybersecurity_Framework_CSF_JP.pdf第7章 セキュリティ管理策の要となる防御第8章 セキュリティ検知の仕組み作り第9章 AWS で対応/復旧を始めるご参考NIST CSF:NIST サイバーセキュリティフレームワーク業務への落とし込み
SECURITY-JAWS 29TH 『AWSではじめるクラウドセキュリティ』の裏側を (2023/5/25)© 2023, Amazon Web Services, Inc. or its affiliates. All rights reserved. Amazon Confidential and Trademark.professionalservicesリスクの特定とセキュリティ管理策の決定 – 設計/実装までの流れ11ベースラインアプローチによる評価結果リスク評価 セキュリティ管理策の設計・実装AWS利⽤者に対応が求められるリスクAWSに対応が求められるリスクAB責任分界分類AWSのサービス/機能活⽤判断該当するAWSのサービス/機能リスクベースアプローチによる評価結果AWSのサービス/機能以外の対策技術AWSクラウド環境における設計・実装セキュリティ上のリスクに対してAWS責任共有モデルを参考にAWS利⽤者に求められる対応範囲を明確化資産ベース攻撃シナリオベースAWSにリスクを移転セキュリティ上のリスクを抽出セキュリティリスクへの対策案防御/検知/対応/復旧セキュリティ管理策検討リスクへの対応リスクを低減/回避するための対策を検討AWSのサービス/機能を活⽤できるか判断検討したセキュリティ対策をAWSのサービス等を利⽤し設計し実装クラウド特有 クラウド特有原理原則をクラウドに
SECURITY-JAWS 29TH 『AWSではじめるクラウドセキュリティ』の裏側を (2023/5/25)© 2023, Amazon Web Services, Inc. or its affiliates. All rights reserved. Amazon Confidential and Trademark.professionalservices【ご参考】企業向けAWSセキュリティガイドラインの策定手順12オンプレ環境のセキュリティ標準セキュリティ管理策ベースライン設定セキュリティ管理策の実装⽅針策定AWS利⽤者に対応が求められる管理策AWSに対応が求められる管理策AB責任分界分類 論点抽出該当するAWSのサービス/機能クラウド特有の考慮点を記載した参考ドキュメントAWSのサービス/機能以外の対策技術AWS環境のセキュリティ標準(例)NISCSBDマニュアル(例) ENISA発⾏ドキュメントAWSにリスクを移転AWSのサービス/機能活⽤判断AWS環境のセキュリティ標準策定クラウド特有実装上の論点リスト(例: 最⼩権限をどのように実装するか)AWSセキュリティガイドラインセキュリティ上のリスクに対してAWS責任共有モデルを参考にAWS利⽤者に求められる対応範囲を明確化リスクを低減/回避するための対策を検討AWSのサービス/機能を活⽤できるか判断検討したセキュリティ対策をAWSのサービス等を利⽤し設計し実装クラウド特有ガイドライン策定説明責任の観点から既定の管理策を検討の主な基準に設定読解しやすく構成クラウド特有ProServeの支援多数※『Amazon Web Services 企業導⼊ガイドブック[改訂版]』(瀧澤与⼀/川嶋俊貴/畠中 亮/荒⽊靖宏/⼩林正⼈/⼤村幸敬著、マイナビ出版、2022 年)の「AWS におけるセキュリティ標準の策定」が参考になります。
SECURITY-JAWS 29TH 『AWSではじめるクラウドセキュリティ』の裏側を (2023/5/25)© 2023, Amazon Web Services, Inc. or its affiliates. All rights reserved. Amazon Confidential and Trademark.professionalservicesセキュリティ管理策の要となる防御 – 最小権限13ところで、最⼩権限の原則の実現粒度はどのような環境でも⼀律でしょうか。例えば、開発環境と本番環境で同じようなアプローチを採⽤する必要があるでしょうか。⼀⽅で、本番環境についても考慮する余地があります。本番環境として運⽤されている場合、その運⽤業務は⼤きく「定型的な内容」と「⾮定型的な内容」に分類されますアクセス権の運⽤においては、そのユーザーが必要とされる最⼩限の権限を付与することが重要です(最⼩権限の原則)。これはユーザーやリソースに、不要なアクセス許可を与えないことを意味しています。セキュリティの防御策として⼤変重要な原則である⼀⽅で、AWS 環境におけるポリシーの設計者たちの頭を悩ませてきたことも事実ですクラウド活用を阻害?
SECURITY-JAWS 29TH 『AWSではじめるクラウドセキュリティ』の裏側を (2023/5/25)© 2023, Amazon Web Services, Inc. or its affiliates. All rights reserved. Amazon Confidential and Trademark.professionalservicesセキュリティ管理策の要となる防御 – 粒度の使い分け14環境区分 想定業務 予防的統制(権限付与アプローチ)発⾒的統制特定アクションの禁⽌1最⼩権限(アクセスレベル単位)最⼩権限(アクション単位)監視(典型的な脅威の検知)*2監査(操作内容の確認)開発環境 ー ○ ○本番環境 定型運⽤(バックアップなど)○コマンドの事前承認必須○ サンプリング監査を推奨⾮定型運⽤(システム変更など)○短期間の権限付与/事前確認必須*4○ ○申請内容との乖離有無を全量監査*5⾮定型運⽤(トラブルシューティング時)○短期間の権限付与/事前確認必須*4○ ○操作内容の全量監査*1 特定アクションはアカウントの改廃、ログ取得などのセキュリティ機構、ネットワーク設定の変更が考えられる*2 Amazon GuardDutyによる機械学習に基づいた脅威検知を想定*3 操作は事前にコマンドで定義され承認されていることを想定*4 ⼀時的な権限の付与および作業内容の事前確認を想定*5 Infrastructure as Code(IaC)により作業をAWS CloudFormation等でコード化し、事前のコードレビューを実施することで結果確認に留めることを検討できる。環境別の最⼩権限の原則へのアプローチと発⾒的統制による補完真理へのDiveDeep(再)
SECURITY-JAWS 29TH 『AWSではじめるクラウドセキュリティ』の裏側を (2023/5/25)© 2023, Amazon Web Services, Inc. or its affiliates. All rights reserved. Amazon Confidential and Trademark.professionalservices謝辞15本書の執筆にあたり、多⼤なるご尽⼒、アドバイスをいただいたテッキーメディア⽯川様、私たちにさまざまな刺激をあたえていただいたお客様、パートナー様、同僚の皆様、そして家族や友⼈の皆様にあらためて感謝をお伝えしたいと思います。特にJAWSの皆様から多くのフィードバックを受けました。私たちのアウトプットが皆さんのインプットになり、皆さんのアウトプットが私たちのインプットにつながる相乗効果を期待しています。天⾏健。君⼦以⾃彊不息。(易経)
SECURITY-JAWS 29TH 『AWSではじめるクラウドセキュリティ』の裏側を (2023/5/25)© 2023, Amazon Web Services, Inc. or its affiliates. All rights reserved. Amazon Confidential and Trademark.professionalservices© 2022, Amazon Web Services, Inc. or its affiliates. All rights reserved. Amazon Confidential and Trademark.Thank you!professionalservicesRyo HatanakaTwitter:@ryohatanmonolog