教えます！AWSにおけるセキュリティ対策の可視化の方法/20250301 Hironobu Otaki

Transcript

1. 教えます！ AWSにおけるセキュリティ対策の可視化の方法 株式会社SHIFT 大瀧広宣 ハッシュタグ：#jawsdays2025 #jawsug #jawsdays2025_f

2. 自己紹介 ハッシュタグ：#jawsdays2025 #jawsug #jawsdays2025_f • 大瀧 広宣（おおたき ひろのぶ） • IT業界歴30年以上、時代のトレンドに沿って転職

   • ソフトウエアエンジニア（JavaとかHTMLの創成期にWebシステム構築） • ネットワークエンジニア（R&D、自社ネットワークアプリ開発） • 沖縄の中堅SIでAWS事業責任者（データセンターのAWS延伸） • ユニコーン企業のCIO補佐（コロナによる情シスのクラウド化とかモダン情シス化） • AWSのプレミアパートナーで急成長顧客を担当するPM兼マネージャー • 副業で大手リユース業でAWSのセキュリティ対策PM（DLP対策、個人情報保護） • AWSセキュリティコンサル、CCoE推進リーダー（現在のお仕事） • 好きなJAWS • JAWS沖縄、セキュリティJAWS • 10年前から沖縄と東京の2拠点生活してます。Jaws沖縄運営参加したいです。 • 資格 • 個人 • 2024 Japan AWS All Certifications Engineers • 所属企業（株式会社SHIFT） • 2024年11月にAWSアドバンストティアパートナーに昇格したアップカマー企業です。 • 2027年11月にプレミアティア参入目指して、AWS業界にロビー活動中！！ • AWSエンジニア大募集中です！！！

3. AWSを導入した企業の現状 • AWSを導入しセキュリティ対策を実施している企業は相当数あり、現在はオンプレからの移行、導入フェーズ はほぼ終わり、クラウドへの最適化、効率化が求められている状況です。 • セキュリティ対策も同様で、AWSの推奨通りにサービスは導入してみたものの、それらが有効に利用できてい るのか、どこまでできているのかを確認し、導入したサービスを見直し最適化していくフェーズに入ってきた といえます。 多くのAWS利用企業がこのフェーズを迎えている状況

4. では、どうする？ • いい方法があります！ AWS環境のセキュリティ状況を可視化してウイークポイントを明確にしましょう！！ AWSセキュリティ成熟度モデルを利用しましょう！！ AWS Well-Architected Frameworkより手軽にできて、速攻で効果があるよ。

5. AWSセキュリティ成熟度モデルとは？ • AWSセキュリティ成熟度モデル(AWS Security Maturity Model)v2はAWSから提供されている、組織が AWSのセキュリティ対策をどの程度実現できているかを定量的に測るためのフレームワークです。 • 以下の図ように10個のCAFベースのセキュリティカテゴリと、それぞれ4つのフェーズで分類されています。 ７４項目の質問に答えるだけ

   ＜10個のカテゴリ＞ 1.セキュリティ ガバナンス 2.セキュリティ保証 3.アイデンティティとアクセス管理 4.脅威検出 5.脆弱性管理 6.インフラ保護 7.データ保護 8.アプリケーションセキュリティ 9.インシデント対応 10.回復性 ＜4つのフェーズ＞ 1.クイックウィン(Quick Wins)： まずは実施すべきこと 2.基礎(Foundational)： 基本的な設定の実施 3.効率化(Efficient)： 自動化を含んだ設定の効率化 4.最適化(Optimized)： クラウドに最適化された仕組みの導入

6. AWSセキュリティ成熟度モデルの実施方法① 6 ←②ここを選択 ①以下URLよりツール（Excel）をダウンロードする https://maturitymodel.security.aws.dev/en/assessment-tools/ ③ここをクリックしてダウンロードします

7. AWSセキュリティ成熟度モデルの実施方法② 7 ⑤Dataタブを選択します ④ダウンロードしたExcelを開く ⑥回答は以下５段階で回答する（感覚でかまいませんが、厳しめの評価が効果的です） 100% Aligned - Coverage throughout

   the organization できている 75% Aligned - Partial Coverage – Advanced 一部漏れはあるもののほぼできている 50% Aligned - Partial Coverage – Medium 実施はしているが漏れが多い 25% Aligned - Partial Coverage – Starting ほとんどできてない 0% Aligned - Not Aligned 実施できてないまたはやってない

8. AWSセキュリティ成熟度モデルの実施方法③ 8 ⑦回答が終わったら以下要領でExcelマクロを実施することで、結果が可視化されます！ ⑥データ→すべて更新を選択することで、マクロが動作し最新結果がシートに反映されます。

9. AWSセキュリティ成熟度モデルの実施結果（Result） 9 可視化結果（例：可視化結果はResultsタグ、Chartsタグに集計されています) ★かなり悪い評価結果ですが、実例です。 セキュリティエンジニア抜きで開発すると、 このような結果も珍しくないです

10. AWSセキュリティ成熟度モデルの実施結果（Charts） 10 可視化結果（例：可視化結果はResultsタグ、Chartsタグに集計されています) ★かなり悪い評価結果ですが、実例です。 セキュリティエンジニア抜きで開発すると、 このような結果も珍しくないです

11. よくある質問 Q：インターナルなシステムでもアセスメントする必要はありますか？ A：はい。インターナルといえど社内ネットワークからの通信がある場合は、社内ネットワ ークからの侵入経路があり、そちら経由で脆弱性のある部分を狙った被害が考えられます。 Q：脆弱性診断、ペネトレーションテスト、クラウド設定診断（CISベース）を実施してい ますがこちらのアセスメントは併用で実施する意味はあるのでしょうか？ A：用途がそれぞれ異なるため、診断のカバー範囲が異なるため、併用はとても効果的です。 Q：サービスインしていないAWS環境でこのアセスメントを実施する効果はありますか？ A：AWSのベストプラクティスに沿った設計になっているか？抜けている検討ポイントは ないか？などの確認ができるため充分な効果を得ることが可能です。

12. 今日の話に興味を持ってくださった方へ 12 ブースにもぜひ お立ち寄りください！ 資料の公開やイベント告知は X で配信中！ カジュアル面談も受け付け中！ https://x.com/shiftevolve_jp

13. None

14. ハッシュタグ：#jawsdays2025 #jawsug #jawsdays2025_f 是非お試しくださいね！ Fin