AWSネイティブサービス＆AIサービスで自社で内製化するAWSセキュリティのPDCAサイクル / 20251219 Hironobu Otaki

Transcript

1. Copyright SHIFT Inc, All Rights Reserved. 2025 / Copyright SHIFT

   Inc, All Rights Reserved. 1 NCA Annual Conference 2025 株式会社SHIFT セキュリティ・ネットワークサービス部 2025 Japan AWS Ambassadors Hironobu Otaki 19 12 14:20-14:50 大瀧 広宣 AWSネイティブサービス＆AIサービスで 自社で内製化するAWSセキュリティの PDCAサイクル

2. 2 株式会社SHIFT セキュリティ・ネットワークサービス部 AWSセキュリティコンサルタント、CCoE推進リーダー 大瀧広宣（おおたきひろのぶ） 経歴 IT業界歴30年以上、時代のトレンドに沿ったカテゴリーを選んで転職。 • ソフトウェアエンジニアとして、JavaやHTMLの創成期にWebシステム構築に従事。 •

   ネットワークエンジニアとして、R&D、自社ネットワークアプリ開発に従事。 • 大手中古車情報サイト運営企業でAWS事業責任者を務め、データセンターのAWS延伸を実現。 • クラウド会計のフリーでCIO補佐を務め、コロナ禍による情シスのクラウド化、モダン情シス化を実現。 • AWSプレミアティアパートナーのサーバーワークスで急成長顧客を担当するPM兼マネージャーを務める。 • 大手ブランド買取企業でAWSのセキュリティ対策PM（DLP対策、個人情報保護）を務める。 • 2024年2月にSHIFTに入社し、AWSセキュリティコンサルタント、CCoE推進リーダーを務める。 自己紹介

3. 3 個人資格 • 2025 AWS Ambassadors • 2025 Japan AWS

   Top Engineer（Security） • 2024-2025 Japan AWS All Certifications Engineers 企業資格 • AWS アドバンストティアサービスパートナー認定 • AWS 300 APN Certification Distinction • AWS Foundational Technical Review for Service Offering認定 • AWSセキュリティアセスメントサービスが認定取得 • AWS WAFパートナー認定 • 内製化支援推進 AWSパートナー認定 保有資格 3

4. 4 Agenda 1. セキュリティ改善は順序だてて進めよう 2. アセスメントから始めよう 3. AWSセキュリティ対策の基本 4. セキュリティ状況の可視化をしよう

   5. セキュリティ改善のPDCAサイクルを回そう 6. AI-Opsを意識しよう 7. さいごに

5. 5 5 セキュリティ改善は順序だてて進めよう

6. 6 セキュリティ対策ロードマップ 現状調査 ThirdParty製 品導入 SIEMonAOS導入 セキュリティ運用検討 運用方針検討 ThirdParty製品検 討（Datadog等）

   セキュリ ティア ラート 整理と 運用確 立(手 順書含 む） テスト＆修復自動化 SAST/DAST導入 202X年X月 202X年X＋3ヶ月 インフラ対策から アプリ側対策へ移行 ★PDCAサイクルの完成★ 方針決定 インフラ施策 実施 アプリケーションリ ファクタリング AWS Waf L7導入 運用方針決定 ログ可視化 L7Dddos対策 運用確立 エンドポイントセキュリ ティ整理 ワークロード環境モダナイ ズ ネットワークのμセグメン テーション化 L3，L4セキュリティ実 装 被害の極小化 対策 多層防御 運用工数削減 202X年X＋6ヶ月 202X年X＋9ヶ月 202X年X＋12ヶ月 アセスメント

7. 7 7 アセスメントから始めよう

8. 8 AWSセキュリティ対策の課題 AWSのセキュリティ、 本当に対策できていますか？ ◼ セキュリティ対策は、サービスを導入すれば終わりではありません。セキュリティ対策状況の確認 と最適化を図ることにより、リスクの極小化と導入効果の最大化を実現することが重要です。 導入しているAWSのセキュリティ環境に不安がある 現在のセキュリティ対策が適切かどうかを知りたい セキュリティ対策はどこからやればよいの？

   コスト効率の高いセキュリティ対策を実施したい AWSのセキュリティサービスが役に立っているかがわからない AWS環境におけるセキュリティ対策状況を可視化して最適化を図ることが重要

9. 9 セキュリティ対策状況の把握・可視化 ◼ AWSのセキュリティ対策状況を可視化する場合は、お客様の負担が少ない「AWSセキュリティ成 熟度モデル」を利用することをお勧めします。 AWSセキュリティ成熟度モデル ◼ ヒアリング担当者がお客様のAWS環境の状態 をヒアリングシートに基づいてヒアリングを 行い、アセスメントを実施

   ◼ お客様側の負担が少なく、セキュリティ状況 の可視化が可能 セキュリティ対策の可視化の方法として お勧めのフレームワーク AWS Well-Architected フレームワーク ◼ AWS管理画面からヒアリング担当者が質問形 式で実施 ◼ 6つの評価軸から構成されており、１つの評価 軸で4時間程度必要（お客様を長時間拘束） ◼ お客様とヒアリング担当者との相性（マッチ ング）が成否のポイントになる アセスメント効率が悪く、可視化には不向き AWSのセキュリティ対策状況の可視化手法

10. 10 10 ◼ 自社AWSのセキュリティ対策の状況を可視化し、不足部分や改善部分を明確にしましょう。。 ➢ AWSセキュリティ成熟度モデルv2を用いて評価します。 ➢ 10個のカテゴリ、4つのフェーズに分類して、対諾状況の可視化、課題抽出を行います。 ➢ 抽出した課題に対する対応方針を検討し、実装／実施に向けたロードマップを作成しましょう。

    STEP-1 アセスメントの実施 対策状況の可視化 対応方針の策定 STEP-2 STEP-3 深化 （現状の理解を深める） 進化 （対策の最適化を進める） AWSセキュリティアセスメント AWSから提供される無償アセスメントツールを利用することがポイント！

11. 11 ◼ AWSセキュリティ成熟度モデル(AWS Security Maturity Model)v2は、AWSから提供されている、 組織がAWSのセキュリティ対策をどの程度実現できているかを定量的に測るためのフレームワークです。 ◼ 以下の図ように10個のCAFベースのセキュリティカテゴリと、それぞれ4つのフェーズで分類されています。 ＜10個のカテゴリ＞

    1.セキュリティ ガバナンス 2.セキュリティ保証 3.アイデンティティとアクセス管理 4.脅威検出 5.脆弱性管理 6.インフラ保護 7.データ保護 8.アプリケーションセキュリティ 9.インシデント対応 10.回復性 ＜4つのフェーズ＞ 1.クイックウィン（Quick Wins）：まずは実施すべきこと 2.基礎（Foundational）：基本的な設定の実施 3.効率化（Efficient）：自動化を含んだ設定の効率化 4.最適化（Optimized）：クラウドに最適化された仕組みの導入 74項目の質問に答えるだけ AWSセキュリティ成熟度モデルv2

12. 12 可視化結果（例：結果はResultsタグ、Chartsタグに集計されています) ★かなり悪い評価結果ですが、実例です。 セキュリティエンジニア抜きで開発すると、このような結果も珍しくありません。 AWSセキュリティアセスメント可視化の一例

13. 13 13 AWSセキュリティ対策の基本

14. 14 AWSネイティブサービスによるセキュリティ構成例① AWSのネイティブサービスだけで構成することがポイント！！ ワークロード環境 log Archive (証跡) Audit (監査) Amazon

    Detective AWS WAF AWS Security Hub AWS Shield Amazon GuardDuty Amazon Inspector AWS Trusted Advisor AWS CloudTrail AWS Config 可視化 多層防御 AWS Config AWS CloudTrail Amazon S3 インターネットアクセス Amazon Cognito 認証 1 ２ ３ ４ ６ 5 CloudWatch※ 7 API-GW AWS Security Hub インシデント集約 ログ集約 ８ 10 9

15. AWSにおける脅威対策マップ 項番 脅威内容 対策 番号（構成図） 1 OSSの脆弱性 Amazon Inspector ⑧

    2 ランサムウェア AWS-Backupのコンプライアンスモードによるバック アップ保護 3 SQLインジェクション、XSS、 DDoS、ブルートフォースなど OWASP Top 10に該当する攻撃 AWS Shield、AWS WAF+マネージドルールセット ⑨＋④ 4 AWS設定ミス、アクセスキー漏洩 AWS Config、CloudTrail、TrusedAdvisor (有償オプションのセキュリティ設定） ②＋①＋⑩ 5 仮想通貨マイニング AWS Budgetsによるリソース課金監視 6 マルウェア、その他の未知の脅威 GuardDuty （ランタイムモニタリング、S3プロテクション、S3マ ルウェアスキャン） ⑥ ◼ AWSにおけるセキュリティサービスは、カバーする脅威対策を想定し実装を行います。 ◼ 以下１,３,４,６についてはインシデントを統合し、インシデントレベルの高いものから対策を行うのが基本です。

16. 項番 ログ内容 対応サービス 番号（構成図） 1 AWS APIのCallの履歴（いつ、誰が、何をしたか) AWS CloudTrail ①

    2 AWS設定変更操作ログ AWS Config ② 3 公開APIのユーザー認証ログ AWS Cognito ③ 4 L7レベルの不正アタックログ AWS WAF ④ 5 公開APIへのアクセスログ API-GW ⑤ 6 AWS環境への不正アクセスの検知ログ Amazon GuardDuty ⑥ 7 各種アプリケーションの動作ログ CloudWatch ⑦ 有事の際に備え、ログはしっかり残そう ▪不正検知の際に、事象を追跡、影響範囲を特定するためにセキュリティログはしっかり残しましょう。 ▪ログの改ざんを防ぐため、ログ専用のAWSアカウントにログを集約しましょう。 ▪集約したログは1年間は即時参照可能な形式で保存し、1年経過後は3年間アーカイブ保存することを推奨しま す。企業がもつ情報セキュリティポリシーに合わせた形で決定することが好ましいです。

17. セキュリティサービスの各種TIPS① DDoS対策 L3/L4でのDDoS対策を活用するためにCloudFrontは必ず挟みましょう。 • AWS Shield はLBダイレクト利用では適用されません。 L7のDDoS対策はWAFのレートリミットよりマネージドルールを使いましょう。 • AWSManagedRulesAntiDDoSRuleSet

    Security Hubの設定 以下のセキュリティ規格に準拠しているか、チェックオプションを有効にすることを推奨します。 • CIS AWS Foundations Benchmark • PCI DSS • NIST Security Hub以外にControlTowerのコントロール、AWS Configの適合パックでもこれらのチェックができますが、 どれか一つでOKです。 同じオプションなので、複数チェックすると同じアラートが飛んでアラートメールが膨大になります。

18. セキュリティサービスの各種TIPS② GuardDutyの設定 オプションはできるだけONにすることを推奨します。 • Runtime Monitoring • Malware Protection for

    EC2 • EKS Protection • S3 Protection • RDS Protection • Lambda Protection • AIに与える情報量が増えることで、より脅威検出の精度が向上します。

19. ＜入口対策（どちらかというと情シスの仕事）＞ フィッシング対策 • 開発者のPCがマルウェアに感染し、AWSのアクセスキーが盗まれるケース（一番怖いケー ス） • メールから不正なリンクを踏んで、そこから不正アクセスツールを入れられる、または不正サイ トでID、パスワードを窃取される • AWSからは正規のユーザーの処理に見えてしまう

    • 情シス対応で、PCにウイルスソフトを入れる ランサムウエア対策の深堀① ◼ 入口対策、出口対策を分けて考えましょう。

20. ランサムウェア対策の深堀② ＜出口対策（こちらはAWSでできることが多い）＞ 実はランサムウェア対策に特化したものではなく、AWSセキュリティのベストプラクティスに沿えば実現できます。 ①バックアップ、復旧対策 対象はDB、S3、EBS、EC2をしっかりバックアップ ②アクセスキーの漏洩対策 Guard Duty、トラステッドアドバイザーで漏洩を検知する ③操作履歴はCloudTrailで追う習慣をつける、日頃から見る ④被害範囲の最小化対策を行う

    ネットワークセグメント分けして、アクセスできる範囲を絞る ⑤脆弱性があって改善困難なサーバーの権限を絞る 踏み台になったときの動きを最小にするため攻撃者の移動範囲を狭くする ⑥不正アクセスの検知 Guard Dutyのアラートは必ず定期的に分析する

21. 21 21 セキュリティ状況の 可視化をしよう

22. SIEMonAOSでセキュリティ状況を可視化しよう ★立ち上がるAWSリソースの利用料はかかります。入手先は以下↓↓ https://github.com/aws-samples/siem-on-amazon-opensearch-service/blob/main/README_ja.md WAF Sample GuardDuty Sample ▪取得したログは可視化して見やすくしましょう。AWSが提供するSIEMonAOSを利用すれば無料で（★）簡単に可視化 ができます。 ▪提供されるCloudFormationを実行することで30分ほどで構築されます。

    ▪アドオンタイプなので、既設環境への影響度はないです。

23. 23 AWSネイティブサービスによるセキュリティ構成例② AWS CloudTrail Amazon GuardDuty S3 log Bucket ワークロード環境

    Amazon EventBridge AWS Security Hub S3 Cross Account Replication Amazon OpenSearch Service OpenSearch Dashboards Amazon Kinesis S3 event log Bucket S3 log Bucket AWS Lambda S3 Loader SIEM on AOS環境 SIEM On AOS 参照 S3 Bucket Amazon GuardDuty AWS CloudTrail AWS Security Hub S3 Replication Amazon Kinesis Amazon EventBridge S3 event log Bucket S3 log Bucket S3 log Bucket Office Users Internet Availability Zone 1 東京Region 東京Region 接続をオフィ スGIPに限定 AWSのネイティブサービスだけで構成することがポイント！！

24. 可視化すべきもの GuardDutyのアラート監視の実施 アラート内容の調査 • 誰が、いつ、なにをしたかを明確にしましょう。 • GuardDutyだけではわからないのでCloudTrailも併用しましょう。 ▪SEIMonAOSを導入したら最低限、GuardDutyとWAF＆LB、CloudTrailのログは可視化しましょう。 CloudTrailで特権ユーザーの監視を行う 重大な情報漏洩は内部犯行がほとんどです。特権ユーザー挙動をしっかりトレースしましょう

    WAF&LBのログ可視化 Countモードでなにを検出したか、なにをBlockしたのかをチェックしましょう。 • Countモードでの運用はなにもしていないのと同じです。 • 可視化することで、以下の判断がしやすくなります。生ログでの判断は苦行です。。。 • Blockなら誤検知ではないか • CountならBlockしなくていいのか

25. 25 25 セキュリティ改善の PDCAサイクルを回そう

26. セキュリティ改善に終わりはありません。 今起こったセキュリティインシデントを潰してもまたすぐ違うインシデントが発生します。 インシデントが発生した時の対応スキームをしっかり整備しましょう。 スキームに従って定期的に対応を実施することが大事です。 セキュリティ運用の確立スキーム 1. セキュリティ発生状況を可視化し、対応の優先順位を決める 2. まずは発生しているインシデントをできるだけ潰す 3.

    潰したノウハウをもとにインシデントが発生した時の対応手順書を作成する 4. 新規に発生したインシデントは対応手順書に基づき対応する 5. 発生したインシデントをチケット化し、だれがいつまでに対応するのか明確にする運用フローを策定する 6. チケットに基づき、運用フローのPDCAサイクルを回しセキュリティ状況を担保する セキュリティ改善のPDCAサイクル

27. 27 27 AI-Opsを意識しよう

28. 28 AI-Opsを意識しよう ▪アラートログを人間系で確認し一次切り分けする時代は終わりつつあります。 AWSのAIサービスをフル活用し、発生したインシデントの一次切り分けを実施しましょう。 ▪わからないことはAmazon Q Developerに聞くことで、かなりの情報が得られます。 AWS Shield network

    security director • AWS内のネットワークリソースの可視化をし、不⾜または誤設定されたネットワークセキュリティサービスを特定し、 推奨の修正手順を提⽰ • 自然⾔語でネットワークセキュリティ構成に関する質問に簡単に回答を得ることも可能 CloudWatch Investigations(クラウドウォッチ インベスティゲーションズ) • システムのインシデント対応を支援する生成AIを活用したアシスタント • システム内にあるテレメトリデータを元に何が起こっているのか推察し仮説を立てて根本原因を突き止めていく機能 AWS Security Agent（New！Re:Invent2025 で発表された。まだプレビュー版） • コードやアプリに対するセキュリティチェックをするAIエージェント • SAST（アプリケーションコードのセキュリティレビュー）、DAST（侵入テスト）に加え、設計書のレビューまでする

29. 29 29 おわりに

30. 我々SHIFTはAWSの内製化支援推進パートナーに認定されています。 自社でのAWSセキュリティ、運用の自走支援でお悩みであればぜひご相談ください。 SHIFTはAWS認定の内製化支援推進パートナーです

31. Copyright SHIFT Inc., All Rights Reserved. ご清聴ありがとうございました 31