教えます！AWSにおけるセキュリティ対策の可視化の方法　やってみた！！AWSにおけるセキュリティ対策の可視化の実践 / 20250423 Hironobu Otaki

Transcript

1. 教えます！ AWSにおけるセキュリティ対策の可視化の方法 やってみた！！ AWSにおけるセキュリティ対策の可視化の実践 株式会社SHIFT 大瀧広宣 2025/04/23

2. Agenda 2 1. AWSの現状 2. AWSセキュリティ成熟度モデルって？ 3. やってみた 4. 将来像、そして未来、、

3. 3 自己紹介 • 大瀧広宣（おおたきひろのぶ） • 経歴 • IT業界歴30年以上。 ・ソフトウェアエンジニアとして、JavaやHTMLの創成期にWebシステム構築。 ・ネットワークエンジニアとして、R&D、自社ネットワークアプリ開発に従事。

   ・大手中古車サイト運営企業でAWS事業責任者を務め、データセンターのAWS延伸を実現。 ・freeeでCIO補佐を務め、コロナ禍を受けた情シスのクラウド化、モダン情シス化を実現。 ・Serverworks（AWSプレミアパートナー）で急成長顧客を担当するPM兼マネージャーを担当。 ・大手ブランド買取企業でAWSのセキュリティ対策PM（DLP対策、個人情報保護）を担当。 ・2024年2月にSHIFTに入社し、AWSセキュリティコンサル、CCoE推進リーダーを務める。 • 個人資格 • 2024 Japan AWS All Certifications Engineers • 企業資格 • AWS アドバンストティアサービスパートナー認定 • APN Certification Distinction 200 • AWS公共部門パートナープログラム認定

4. AWSの現状

5. AWSを導入した企業の現状 5 ◼ AWSを導入しセキュリティ対策を実施している企業は相当数あり、現在はオンプレからの移行、導入フェーズはほぼ終 わり、クラウドへの最適化、効率化が求められている状況です。 ◼ セキュリティ対策も同様で、AWSの推奨通りにサービスは導入してみたものの、それらが有効に利用できているのか、 どこまでできているのかを確認し、導入したサービスを見直し最適化していくフェーズに入ってきたといえます。 多くのAWS利用企業がこのフェーズを迎えている状況

6. AWSのセキュリティサービス全体像 6 対策例 ◼ CloudTrailによるAPI操作のログ取得 ◼ AWS ConfigによるAWS設定変更履歴の取得 ◼ GuardDutyによる脅威検出

   ◼ Inspectorによる脆弱性の検出 ◼ Security Hubによるインシデントのトリアージ 統制 情報漏洩対策 改ざん検知 リスク検知 監査・追跡 コスト管理 システム監視 可用性 バックアップ セ キ ュ リ テ ィ 運 用 ・ 管 理 AWS Control Tower AWS Organization AWS Service Catalog AWS Cloud Formation Amazon VPC AWS Transit Gateway AWS IAM Identity Center AWS Config AWS CloudTrail AWS Trusted Advisor AWS Systems Manager IAM AWS Security Hub Amazon GuardDuty Amazon Inspector Amazon Detective Amazon Macie Amazon S3 AWS CloudTrail AWS Budgets AWS Cost & Usage Report AWS Cost Explorer Amazon S3 Amazon QuickSight Amazon CloudWatch Amazon EventBridge Amazon SNS Amazon SES AWS Config AWS Config 多くのAWS利用企業が 導入済み • インターネット経由で利⽤するAWSのサービスは、データ漏えいや外部からの不正アクセスなどのリスクを招くおそ れがあります。そのためAWSにおけるセキュリティサービスは多岐にわたってリリースされており、多層防御による 包括的なセキュリティ対策が推奨されています。

7. AWSセキュリティ対策の課題 7 AWSのセキュリティ、 本当に対策できていますか？ ◼ セキュリティ対策は、サービスを導入すれば終わりではありません。セキュリティ対策状況の確認 と最適化を図ることにより、リスクの極小化と導入効果の最大化を実現することが重要です。 導入しているAWSのセキュリティ環境に不安がある 現在のセキュリティ対策が適切かどうかを知りたい セキュリティ対策はどこからやればよいの？

   コスト効率の高いセキュリティ対策を実施したい AWSのセキュリティサービスが役に立っているかがわからない AWS環境におけるセキュリティ対策状況を可視化して最適化を図ることが重要

8. セキュリティ対策状況の把握・可視化 8 ◼ AWSのセキュリティ対策状況を可視化する場合は、お客様の負担が少ない「AWSセキュリティ成 熟度モデル」を利用することをお勧めします。 AWSセキュリティ成熟度モデル ◼ ヒアリング担当者がお客様のAWS環境の状態 をヒアリングシートに基づいてヒアリングを 行い、アセスメントを実施

   ◼ お客様側の負担が少なく、セキュリティ状況 の可視化が可能 セキュリティ対策の可視化の方法として お勧めのフレームワーク AWS Well-Architected フレームワーク ◼ AWS管理画面からヒアリング担当者が質問形 式で実施 ◼ 6つの評価軸から構成されており、１つの評価 軸で4時間程度必要（お客様を長時間拘束） ◼ お客様とヒアリング担当者との相性（マッチ ング）が成否のポイントになる アセスメント効率が悪く、可視化には不向き AWSのセキュリティ対策状況の可視化手法

9. AWSセキュリティ成熟度モデルって？

10. AWSセキュリティ成熟度モデルとは？ 10 ◼ AWSセキュリティ成熟度モデル(AWS Security Maturity Model)v2はAWSから提供されている、組織がAWSのセ キュリティ対策をどの程度実現できているかを定量的に測るためのフレームワークです。 ◼ 以下の図ように10個のCAFベースのセキュリティカテゴリと、それぞれ4つのフェーズで分類されています。

    ＜10個のカテゴリ＞ 1.セキュリティ ガバナンス 2.セキュリティ保証 3.アイデンティティとアクセス管理 4.脅威検出 5.脆弱性管理 6.インフラ保護 7.データ保護 8.アプリケーションセキュリティ 9.インシデント対応 10.回復性 ＜4つのフェーズ＞ 1.クイックウィン(Quick Wins)：まずは実施すべきこと 2.基礎(Foundational)：基本的な設定の実施 3.効率化(Efficient)：自動化を含んだ設定の効率化 4.最適化(Optimized)：クラウドに最適化された仕組みの導入 74項目の質問に答えるだけ

11. 11 AWSセキュリティ成熟度モデルの実施方法① ①以下URLよりツール（Excel）をダウンロードする https://maturitymodel.security.aws.dev/en/assessment-tools/ ③ここをクリックしてダウンロードします ②ここを選択

12. 12 AWSセキュリティ成熟度モデルの実施方法② ④ダウンロードしたExcelを開く ⑥回答は以下５段階で回答する（感覚でかまいませんが、厳しめの評価が効果的です） 100% Aligned - Coverage throughout the

    organization できている 75% Aligned - Partial Coverage – Advanced 一部漏れはあるもののほぼできている 50% Aligned - Partial Coverage – Medium 実施はしているが漏れが多い 25% Aligned - Partial Coverage – Starting ほとんどできてない 0% Aligned - Not Aligned 実施できてないまたはやってない ⑤Dataタブを選択します

13. 13 AWSセキュリティ成熟度モデルの実施方法③ ⑦回答が終わったら以下要領でExcelマクロを実施することで、結果が可視化されます！ データ→すべて更新を選択することで、マクロが動作し最新結果 がシートに反映されます。

14. やってみた

15. 15 AWSセキュリティ成熟度モデルの実施結果（Result） 可視化結果（例：可視化結果はResultsタグ、Chartsタグに集計されています) ★かなり悪い評価結果ですが、実例です。 セキュリティエンジニア抜きで開発すると、このような結果も珍しくないです。 スコアを拡大

16. 16 AWSセキュリティ成熟度モデルの実施結果（Charts） 可視化結果（例：可視化結果はResultsタグ、Chartsタグに集計されています ★かなり悪い評価結果ですが、実例です。 セキュリティエンジニア抜きで開発すると、このような結果も珍しくないです。

17. 可視化結果から見える改善ポイント 17 • インシデント・脆弱性をリアルタイム に検出し、対応する準備が不足し ています。 • アセスメント結果をカテゴリ別に見る と、インシデントレスポンス、レジリエ ンスのカテゴリが特に低くなっていま

    す。 • また、アプリケーションセキュリティ、 脅威検知のカテゴリもやや低くなっ ています。 • 脆弱性・インシデントをリアルタイム に検知し、対応していく体制を整備 していく必要があります。

18. アセスメント結果より、取りうる対策について 18 アセスメントによって、洗い出されたウィークポイントについてその対応策を優先度順 の5点に挙げています。 以降で各対応策について解説します。 優先度１：SecurityHubを中心としたセキュリティ評価を実施できる体制の構 築 優先度２：アクセス制御およびデータ保護の改善 優先度３：アプリケーションセキュリティの強化 優先度４：レジリエンスの向上（オプショナル）

    優先度５：インシデントレスポンスの強化（オプショナル）

19. 評価結果に対する対応について（優先度１） 19 ＜対応＞ SecurityHubを中心としたセキュリティ評価を実施できる体制 の構築 ＜理由＞ ⚫ クラウドからの情報漏えい等のインシデントの発生は、設定不備による事例が多いが、セキュリティ上、好ましくな い設定が行われていないか検知及び通知されない状態であること。 ⚫

    脆弱性放置されると、サイバー攻撃等によるインシデントが発生する可能性が高くなるが、現状、脆弱性の確 認が手動及び年１回の脆弱テストで対応しており、確実に脆弱性に対応できているという状態ではないため。 ⚫ インシデント及びインシデントとして疑わしい事象を検知・追跡できない状況であり、インシデントが発生した際に、 被害が拡大する恐れがある。また、既にインシデントが発生しているのに、それに気づけていない可能性すらあり えるため。 ⚫ IMDSv1を利用しており、インスタンスのメタデータ（インスタンスIDや自身のIPアドレス、所属するセキュリティグ ループなど）に認証なしでアクセスできる可能性があるがため。

20. 実施内容：実装するサービスによる概要図 20 AWS Security Hub Amazon GuardDuty AWS Config ①異常通知

    Amazon EventBridge Amazon SNS 運用管理者 ②Push ③通知 ④状況確認 Amazon Inspector AWS CloudTrail S3 Bucket ログ保管 ④“状況確認 Amazon CloudWatch ③’通知 AWS Trusted Advisor ①’状態変化 ④’状況確認 ログ保管 ログ保管

21. 対策実行による各フェーズのセキュリティ成熟度の改善 21 ＜対応策実施後＞ ＜対応策実施前＞ 対応策１～対応策３の対応を行うことによって、 セキュリティ対応の各フェーズにおける成熟度の評価は、以下のようになります。

22. 将来像、そして未来。。

23. セキュリティ改善とは 実際の案件でもセキュリティ改善のアプローチは同じ 23 セキュリティ改善に終わりはない。今起こったセキュリティインシデントを潰してもまたすぐ違うインシデントが発生する。 インシデントが発生した時の対応スキームをしっかり整備する。スキームに従って定期的に対応を実施することが大事。 1. セキュリティ発生状況を可視化し、対応の優先順位を決める（セキュリティ部門） 2. まずは発生しているインシデントをできるだけ潰す（セキュリティ部門＋プロダクト開発部門） 3.

    インシデントが発生した時の対応手順書を作成する（セキュリティ部門） 4. 新規に発生したインシデントは対応手順書に基づき対応する（プロダクト開発部門＋セキュリティ部門） 5. 発生したインシデントをチケット化しだれがいつまでに対応するのか明確にする運用フローを策定する（プロダクト開発 部門＋セキュリティ部門） 6. 運用フローのPDCAサイクルを回しセキュリティ状況を担保する（プロダクト開発部門） セキュリティ運用の確立スキーム 運用スキームを確立して自走 できるまで支援がアセスメント チームのミッション

24. 実はこれ、SHIFTの オリジナルソリューションとして 販売してます！ 24

25. Copyright SHIFT Inc, All Rights Reserved. 「AWSセキュリティアセスメントサービス」はAWS認定ソリューションです SHIFTのAWSセキュリティアセスメントは、AWSセキュリティ成熟度モデルを利用し、お客様のAWS環境のセキュリティ実装状況を可視化し、ウィー クポイントを抽出します。抽出されたウィークポイントに対し、AWSセキュリティおよびセキュリティ全般における専門知識をもったSHIFTの専門家が 適切な改善方法をご提案いたします。AWSを利用するエンタープライズ企業や公共機関の運用責任者、セキュリティ担当者の方に最適のサービスです。

    “AWSセキュリティアセスメント”はSHIFTのAWS認定ソリューション（国内ではSHIFTだけ！） 製品カタログ 製品紹介ページ（SHIFTサービスページで公開中） SHIFTサービスページ：https://service.shiftinc.jp/security/aws-security-maturity-model/

26. 26 Copyright SHIFT Inc, All Rights Reserved. よくある質問 • Q：インターナルなシステムでもアセスメントする必要はありますか？

    • A：はい。インターナルといえど社内ネットワークからの通信がある場合は、社内ネットワーク からの侵入経路があり、そちら経由で脆弱性のある部分を狙った被害が考えられます。 • Q：脆弱性診断、ペネトレーションテスト、クラウド設定診断（CISベース）を実施していますがこ ちらのアセスメントは併用で実施する意味はあるのでしょうか？ • A：用途がそれぞれ異なるため、診断のカバー範囲がちがうため、併用はとても効果的です。 • Q：サービスインしていないAWS環境でこのアセスメントを実施する効果はありますか？ • A：AWSのベストプラクティスに沿った設計になっているか？抜けている検討ポイントはない か？などの確認ができるため充分な効果を得ることが可能です。 • Q：アセスメント結果のスコアの傾向とかってありますか？ • 金融系のお客様ではガバナンス面ですぐれ、スコアは60％以上を最初からただき出すケースが 多いです（自動化、コード化など、AWS独自開発部分に劣る傾向があります） • 逆にスタートアップ系の開発主体の会社ほどスコアは低く30％前後となり、こちらはがバ ンス面が弱く、属人化傾向が高い傾向があります

27. 27 Fin