Upgrade to Pro — share decks privately, control downloads, hide ads and more …

『AWSではじめるクラウドセキュリティ』の裏側を。

 『AWSではじめるクラウドセキュリティ』の裏側を。

Security-JAWS【第29回】 勉強会でお話しした内容です。

Ryo Hatanaka

May 25, 2023
Tweet

More Decks by Ryo Hatanaka

Other Decks in Technology

Transcript

  1. SECURITY-JAWS 29TH 『AWSではじめるクラウドセキュリティ』の裏側を (2023/5/25)
    © 2023, Amazon Web Services, Inc. or its affiliates. All rights reserved. Amazon Confidential and Trademark.
    professional
    services
    © 2023, Amazon Web Services, Inc. or its affiliates. All rights reserved. Amazon Confidential and Trademark.
    professional
    services
    『AWSではじめるクラウド
    セキュリティ』の裏側を。
    畠中 亮
    S E C U R I T Y - J A W S 2 9 T H 2 0 2 3 / 5 / 2 5
    シニアセキュリティコンサルタント
    アマゾン ウェブ サービス ジャパン合同会社
    プロフェッショナルサービス本部

    View Slide

  2. SECURITY-JAWS 29TH 『AWSではじめるクラウドセキュリティ』の裏側を (2023/5/25)
    © 2023, Amazon Web Services, Inc. or its affiliates. All rights reserved. Amazon Confidential and Trademark.
    professional
    services
    書店/Amazonで絶賛発売中
    2
    “10年間は⽣き続ける考え⽅が凝縮された良書”
    “セキュリティの基本を学ぶのに最適な良書”
    “⼀般的なセキュリティの考え⽅にも触れており、未経験か
    らエンジニアになった私には教科書のような本に思えます”
    “単なる設定の本じゃないところがこの本の良さよなぁ。
    こういうの⼤事 “
    “セキュリティの原理原則を理解できて実践できるので
    めっちゃ推し”
    “ガバナンス含む全体像から具体的な実装⽅法の間を繋いで
    くれる本はなかなかないと思います”
    (Twitterやブログ記事のコメントから)
    https://amzn.to/3nUBpl9

    View Slide

  3. SECURITY-JAWS 29TH 『AWSではじめるクラウドセキュリティ』の裏側を (2023/5/25)
    © 2023, Amazon Web Services, Inc. or its affiliates. All rights reserved. Amazon Confidential and Trademark.
    professional
    services 3
    執筆の裏側を少し話しつつ本をご紹介します

    View Slide

  4. SECURITY-JAWS 29TH 『AWSではじめるクラウドセキュリティ』の裏側を (2023/5/25)
    © 2023, Amazon Web Services, Inc. or its affiliates. All rights reserved. Amazon Confidential and Trademark.
    professional
    services
    執筆陣
    4
    松本照吾
    セキュリティ
    アシュアランス本部
    本部⻑
    前⽥駿介
    ソリューション
    アーキテクト
    畠中 亮
    プロフェッショナル
    サービス本部
    セキュリティ
    コンサルタント
    桐⾕彰⼀
    セキュリティ
    アーキテクト

    稿




    AW
    S在

    View Slide

  5. SECURITY-JAWS 29TH 『AWSではじめるクラウドセキュリティ』の裏側を (2023/5/25)
    © 2023, Amazon Web Services, Inc. or its affiliates. All rights reserved. Amazon Confidential and Trademark.
    professional
    services 5
    アマゾン ウェブ サービス ジャパン合同会社
    プロフェッショナルサービス本部
    シニアセキュリティコンサルタント
    畠中 亮
    はたなか りょう
    • AWS Japanでクラウドセキュリティコンサル
    ティングチームを⽴ち上げる。
    • 実装できるクラウドセキュリティ戦略の⽴案
    やセキュリティガイドラインの策定に関する
    ⽀援を⾏う。
    • 書き⽂字や活字、⽂章の読み解きが好きで、
    多くの⽂字を扱えるセキュリティの仕事は天
    職だと思っている。
    • まじめに仕事をしている⽅がセキュリティの
    問題で⾜下をすくわれないようにしたい。
    • ⾟⼝の⽇本酒が好き。








    View Slide

  6. SECURITY-JAWS 29TH 『AWSではじめるクラウドセキュリティ』の裏側を (2023/5/25)
    © 2023, Amazon Web Services, Inc. or its affiliates. All rights reserved. Amazon Confidential and Trademark.
    professional
    services
    なぜこの本を書いたのか
    6
    AWSを題材にセキュリティの基本を学んで
    もらいたい。
    「セキュリティを考えたいが何から始める
    べきか知りたい」、「クラウドにおける特
    徴やポイントを知りたい」など、ユーザー
    の⽅が抱きがちな疑問に答え、セキュリ
    ティと上⼿く付き合っていくための指針を
    伝えたい。
    クラウドセキュリティの情報は多いが業務
    の全体像を理解できるコンテンツが少ない。
    セキュリティを専⾨としていない技術者が
    ⼿探りでセキュリティ対応している現状が
    ある。
    セキュリティコンサルタントとして、企業
    のクラウド環境のセキュリティを強化して
    きた経験とノウハウを伝えたい。
    企画者 松本⽒の想い わたしの想い
    「だれが読むのか分からない。⼿にとってもらえるかさえ⼼もとない。しかし、だれかに
    伝わることを信じなければ、とても書いてなんぞいられない衝動。叫び。(中略)メッ
    セージ・イン・ア・ボトル」 - 近藤康太郎『三⾏で撃つ 〈善く、⽣きる〉ための⽂章塾』

    View Slide

  7. SECURITY-JAWS 29TH 『AWSではじめるクラウドセキュリティ』の裏側を (2023/5/25)
    © 2023, Amazon Web Services, Inc. or its affiliates. All rights reserved. Amazon Confidential and Trademark.
    professional
    services
    想定している読者
    7
    ITの初学者 クラウドを利⽤する
    IT技術者
    クラウドに詳しくない
    セキュリティ/リスク管理
    責任者/スタッフ
    セキュリティって
    何を考えること?
    まずは試して学びたいよ!
    セキュリティ対策ってこの
    進め⽅でいいんだっけ︖
    そもそもなんで必要?
    オンプレと何が違う?
    何を新しく学ぶ?
    ビジネスを⽌めたくない
    不安を抱えつつもセキュリティ業務を無視できない人たち

    View Slide

  8. SECURITY-JAWS 29TH 『AWSではじめるクラウドセキュリティ』の裏側を (2023/5/25)
    © 2023, Amazon Web Services, Inc. or its affiliates. All rights reserved. Amazon Confidential and Trademark.
    professional
    services
    構成 – AWSではじめるクラウドセキュリティ
    8
    第1章 セキュリティって何だろう、クラウドって
    何だろう
    第2章 セキュリティと責任共有モデル
    第3章 ガバナンスとセキュリティの要件
    第4章 セキュリティポリシーを作る
    第1部
    クラウドと
    セキュリ
    ティの基本
    第5章 AWS の利⽤を開始する際のセキュリティ
    第6章 リスクの特定とセキュリティ管理策の決定
    第7章 セキュリティ管理策の要となる防御
    第8章 セキュリティ検知の仕組み作り
    第9章 AWS で対応/復旧を始める
    第10章 代表的なセキュリティサービスの操作
    第11章 セキュリティ対応環境の構築、脅威検知
    /対応
    第2部
    AWS でセ
    キュリティ
    を実装する
    第3部
    AWS のセ
    キュリティ
    を試す
    これからの学習のために
    基礎編
    → 摩擦少なく読める理念の解説
    業務編
    → 具体的に何を実施すべきかを解説
    実践編
    → 自分の理解の検証手順を解説










    View Slide

  9. SECURITY-JAWS 29TH 『AWSではじめるクラウドセキュリティ』の裏側を (2023/5/25)
    © 2023, Amazon Web Services, Inc. or its affiliates. All rights reserved. Amazon Confidential and Trademark.
    professional
    services
    第1部: クラウドセキュリティにおける説明責任と実行責任
    9
    説明責任
    Accountability
    実⾏責任
    Responsibility
    WHY/WHAT
    施策の⽬的や意味、管理・
    監督状況を利⽤者や株主、
    従業員などに明らかにする
    (委任できない)
    HOW
    管理策の確実な実施
    (委任できる)
    責任共有モデル
    https://aws.amazon.com/jp/compliance/shared-
    responsibility-model/
    • AWSはAWSの統制状況を
    説明する責任がある
    • クラウド利⽤者(AWSカスタ
    マー)は⾃らとAWSの統制を
    確認し、その確認状況を説明
    する責任がある
    • AWSはクラウドサービスのセキ
    ュリティを維持する責任がある
    • クラウド利⽤者(AWSカスタ
    マー)はクラウド内のセキュリティ
    を維持する責任がある
    本書では第2部で解説




    Dive
    Deep

    View Slide

  10. SECURITY-JAWS 29TH 『AWSではじめるクラウドセキュリティ』の裏側を (2023/5/25)
    © 2023, Amazon Web Services, Inc. or its affiliates. All rights reserved. Amazon Confidential and Trademark.
    professional
    services
    第2部: NIST CSFを切り口としたセキュリティ業務解説
    10
    識別
    Identification
    防御
    Protect
    検知
    Detect
    対応
    Respond
    復旧
    Recover
    【初級】セキュリティで加速するクラウドジャーニー〜セキュリティ上
    の論点と打ち⼿、進め⽅〜 | AWS Summit Tokyo 2019
    https://www.youtube.com/watch?v=0vmQNd5ZJ
    xw
    第6章 リスクの特定とセキュリティ管理策の決定
    https://d1.awsstatic.com/white
    papers/compliance/JP_Whitepa
    pers/NIST_Cybersecurity_Fram
    ework_CSF_JP.pdf
    第7章 セキュリティ管理策の要となる防御
    第8章 セキュリティ検知の仕組み作り
    第9章 AWS で対応/復旧を始める
    ご参考
    NIST CSF:
    NIST サイバーセキュリティフレームワーク









    View Slide

  11. SECURITY-JAWS 29TH 『AWSではじめるクラウドセキュリティ』の裏側を (2023/5/25)
    © 2023, Amazon Web Services, Inc. or its affiliates. All rights reserved. Amazon Confidential and Trademark.
    professional
    services
    リスクの特定とセキュリティ管理策の決定 – 設計/実装までの流れ
    11
    ベースライン
    アプローチによる
    評価結果
    リスク評価 セキュリティ管理
    策の設計・実装
    AWS利⽤者に
    対応が求められるリスク
    AWSに対応が求められる
    リスク
    A
    B
    責任分界分類
    AWSのサービス/機能
    活⽤判断
    該当するAWSの
    サービス/機能
    リスクベース
    アプローチによる
    評価結果
    AWSの
    サービス/機能以外の
    対策技術
    AWSクラウド環境に
    おける設計・実装
    セキュリティ上のリスクに対
    してAWS責任共有モデルを参
    考にAWS利⽤者に求められる
    対応範囲を明確化
    資産ベース
    攻撃シナリオ
    ベース
    AWSにリスクを移転
    セキュリティ上のリスクを抽出
    セキュリティリスクへの
    対策案
    防御/検知/対応/復旧
    セキュリティ管理策
    検討
    リスクへの対応
    リスクを低減/回避するた
    めの対策を検討
    AWSのサービス/機能を
    活⽤できるか判断
    検討したセキュリ
    ティ対策をAWSの
    サービス等を利⽤
    し設計し実装
    クラウド特有 クラウド特有










    View Slide

  12. SECURITY-JAWS 29TH 『AWSではじめるクラウドセキュリティ』の裏側を (2023/5/25)
    © 2023, Amazon Web Services, Inc. or its affiliates. All rights reserved. Amazon Confidential and Trademark.
    professional
    services
    【ご参考】企業向けAWSセキュリティガイドラインの策定手順
    12
    オンプレ環境の
    セキュリティ標準
    セキュリティ
    管理策
    ベースライン設定
    セキュリティ管理
    策の実装⽅針策定
    AWS利⽤者に
    対応が求められる管理策
    AWSに対応が求められる
    管理策
    A
    B
    責任分界分類 論点抽出
    該当するAWSの
    サービス/機能
    クラウド特有の
    考慮点を記載した
    参考ドキュメント
    AWSの
    サービス/機能以外の
    対策技術
    AWS環境の
    セキュリティ標準
    (例)NISC
    SBDマニュアル
    (例) ENISA発⾏
    ドキュメント
    AWSにリスクを移転
    AWSのサービス/機能
    活⽤判断
    AWS環境のセキュリティ標準策定
    クラウド特有
    実装上の論点リスト
    (例: 最⼩権限をどのよう
    に実装するか)
    AWS
    セキュリ
    ティガイ

    ライン
    セキュリティ上のリスクに対
    してAWS責任共有モデルを参
    考にAWS利⽤者に求められる
    対応範囲を明確化
    リスクを低減/回避するた
    めの対策を検討
    AWSのサービス/機能を
    活⽤できるか判断
    検討したセキュリ
    ティ対策をAWSの
    サービス等を利⽤
    し設計し実装
    クラウド特有
    ガイド
    ライン
    策定
    説明責任の観点から
    既定の管理策を検討
    の主な基準に設定
    読解しや
    すく構成
    クラウド特有
    ProServeの




    ※『Amazon Web Services 企業導⼊ガイドブック[改訂版]』(瀧澤与⼀/川嶋俊貴/畠中 亮/荒⽊靖宏/
    ⼩林正⼈/⼤村幸敬著、マイナビ出版、2022 年)の「AWS におけるセキュリティ標準の策定」が参考になります。

    View Slide

  13. SECURITY-JAWS 29TH 『AWSではじめるクラウドセキュリティ』の裏側を (2023/5/25)
    © 2023, Amazon Web Services, Inc. or its affiliates. All rights reserved. Amazon Confidential and Trademark.
    professional
    services
    セキュリティ管理策の要となる防御 – 最小権限
    13
    ところで、最⼩権限の原則の実現粒度
    はどのような環境でも⼀律でしょうか。
    例えば、開発環境と本番環境で同じよ
    うなアプローチを採⽤する必要がある
    でしょうか。
    ⼀⽅で、本番環境についても考慮する
    余地があります。本番環境として運⽤
    されている場合、その運⽤業務は⼤き
    く「定型的な内容」と「⾮定型的な内
    容」に分類されます
    アクセス権の運⽤においては、その
    ユーザーが必要とされる最⼩限の権限
    を付与することが重要です(最⼩権限
    の原則)。これはユーザーやリソース
    に、不要なアクセス許可を与えないこ
    とを意味しています。セキュリティの
    防御策として⼤変重要な原則である⼀
    ⽅で、AWS 環境におけるポリシーの設
    計者たちの頭を悩ませてきたことも事
    実です










    View Slide

  14. SECURITY-JAWS 29TH 『AWSではじめるクラウドセキュリティ』の裏側を (2023/5/25)
    © 2023, Amazon Web Services, Inc. or its affiliates. All rights reserved. Amazon Confidential and Trademark.
    professional
    services
    セキュリティ管理策の要となる防御 – 粒度の使い分け
    14
    環境区分 想定業務 予防的統制
    (権限付与アプローチ)
    発⾒的統制
    特定アクション
    の禁⽌1
    最⼩権限
    (アクセスレベル単位)
    最⼩権限
    (アクション単位)
    監視
    (典型的な脅威の検知)*2
    監査
    (操作内容の確認)
    開発環境 ー ○ ○
    本番環境 定型運⽤(バック
    アップなど)

    コマンドの
    事前承認必須
    ○ サンプリング監査を推奨
    ⾮定型運⽤(シス
    テム変更など)

    短期間の権限付与/
    事前確認必須*4
    ○ ○
    申請内容との乖離有無を
    全量監査*5
    ⾮定型運⽤(トラ
    ブルシューティン
    グ時)

    短期間の権限付与/
    事前確認必須*4
    ○ ○
    操作内容の全量監査
    *1 特定アクションはアカウントの改廃、ログ取得などのセキュリティ機構、ネットワーク設定の変更が考えられる
    *2 Amazon GuardDutyによる機械学習に基づいた脅威検知を想定
    *3 操作は事前にコマンドで定義され承認されていることを想定
    *4 ⼀時的な権限の付与および作業内容の事前確認を想定
    *5 Infrastructure as Code(IaC)により作業をAWS CloudFormation等でコード化し、事前のコードレビューを実施することで結果確認に留めることを検
    討できる。
    環境別の最⼩権限の原則へのアプローチと発⾒的統制による補完




    Dive
    Deep(再
    )

    View Slide

  15. SECURITY-JAWS 29TH 『AWSではじめるクラウドセキュリティ』の裏側を (2023/5/25)
    © 2023, Amazon Web Services, Inc. or its affiliates. All rights reserved. Amazon Confidential and Trademark.
    professional
    services
    謝辞
    15
    本書の執筆にあたり、多⼤なるご尽⼒、アドバイ
    スをいただいたテッキーメディア⽯川様、私たち
    にさまざまな刺激をあたえていただいたお客様、
    パートナー様、同僚の皆様、そして家族や友⼈の
    皆様にあらためて感謝をお伝えしたいと思います。
    特にJAWSの皆様から多くのフィードバックを受
    けました。私たちのアウトプットが皆さんのイン
    プットになり、皆さんのアウトプットが私たちの
    インプットにつながる相乗効果を期待しています。
    天⾏健。
    君⼦以⾃彊不息。
    (易経)

    View Slide

  16. SECURITY-JAWS 29TH 『AWSではじめるクラウドセキュリティ』の裏側を (2023/5/25)
    © 2023, Amazon Web Services, Inc. or its affiliates. All rights reserved. Amazon Confidential and Trademark.
    professional
    services
    © 2022, Amazon Web Services, Inc. or its affiliates. All rights reserved. Amazon Confidential and Trademark.
    Thank you!
    professional
    services
    Ryo Hatanaka
    Twitter:
    @ryohatanmonolog

    View Slide