持続可能なクラウドガバナンス運用 - スモールステップと生成AIで始める運用効率化

Transcript

1. © 2025, Amazon Web Services, Inc. or its affiliates. All

   rights reserved. © 2025, Amazon Web Services, Inc. or its affiliates. All rights reserved. 持続可能なクラウドガバナンス運⽤: スモールステップと ⽣成AIで始める運⽤効率化 鈴⽊ 陽三 Solutions Architect 2025/01/30 2025 クラウドガバナンスはこう変わる︕ マルチアカウント運⽤のre:Invent最新情報と活⽤例

2. © 2025, Amazon Web Services, Inc. or its affiliates. All

   rights reserved. 2 ⾃⼰紹介 鈴⽊ 陽三 アマゾンウェブサービスジャパン プロトタイピング ソリューションアーキテクト プロトタイピングで、公共領域のお客様の クラウド利⽤をご⽀援しています

3. © 2025, Amazon Web Services, Inc. or its affiliates. All

   rights reserved. © 2025, Amazon Web Services, Inc. or its affiliates. All rights reserved. 1. AWS Security Hub と Amazon GuardDuty の運⽤の課題 2. 運⽤をはじめるためのスモールステップ 3. ⽣成 AI による運⽤効率化 3 アジェンダ

4. © 2025, Amazon Web Services, Inc. or its affiliates. All

   rights reserved. © 2025, Amazon Web Services, Inc. or its affiliates. All rights reserved. AWS Security Hub と Amazon GuardDuty の 運⽤の課題 4

5. © 2025, Amazon Web Services, Inc. or its affiliates. All

   rights reserved. 5 マルチアカウントやご⾃⾝のアカウントへ ベースラインを適⽤し、 Security Hub や GuardDuty を有効化したあと。。

6. © 2025, Amazon Web Services, Inc. or its affiliates. All

   rights reserved. 6 Security Hub と GuardDuty が、 そのままになっていませんか︖

7. © 2025, Amazon Web Services, Inc. or its affiliates. All

   rights reserved. 7 運⽤時のよくある悩み 検出/通知 調査 対応 復旧/効果測定 • 検出結果が多数ある場合、 なにから⼿をつけていいかわからない • 検出の通知が多すぎて⾒なくなってしまう 検出結果がどの程度影響があるか分析できない 同じイベントが頻発し、負担になる

8. © 2025, Amazon Web Services, Inc. or its affiliates. All

   rights reserved. © 2025, Amazon Web Services, Inc. or its affiliates. All rights reserved. 運⽤を始めるための スモールステップ 8

9. © 2025, Amazon Web Services, Inc. or its affiliates. All

   rights reserved. 9 スモールステップ＝⼩さく始める • ⼩さく始めること ≠ とりあえずやってみる • ⼩さく始めるためには、準備が重要です • 例えば、⽬的の明確化、達成したかどうかの評価⽅法、など • スコープも最⼩限になるように注意しましょう • 例えば、⽣成 AI アプリケーションの機能の有効性を検証するのに、 いきなりアプリケーションを構築しはじめたりしませんよね︖ • まずは想定問答を作り、マネコンでプロンプトを調整するだけで検証する、 といった始め⽅をするはずです

10. © 2025, Amazon Web Services, Inc. or its affiliates. All

    rights reserved. 10 スモールステップの⽅針 適⽤する組織 対処するスコープ （コントロールや保護プランの数） 対処するイベントの数や組織の数を抑え、 ⼩さくはじめて運⽤プロセスを確⽴し、 徐々にスケールさせていく 対処する数も限定的なら、 届く通知も限定的になる ⾃組織から始めれば、 担当者を決めやすく、 プロセスの合意も取りやすい ⾃組織のみ 全社横断 複数組織 必要最低限・重要度が⾼いもの 会社のガバナンスポリシー全体に拡充

11. © 2025, Amazon Web Services, Inc. or its affiliates. All

    rights reserved. 11 運⽤を始めるまでの準備 ガバナンスポリシーの 確認・優先順位づけ 対象コントロールの 洗い出し・有効化 運用プロセスの 担当者への周知・合意

12. © 2025, Amazon Web Services, Inc. or its affiliates. All

    rights reserved. 12 運⽤を始めるまでの準備 ガバナンスポリシーの 確認・優先順位づけ 対象コントロールの 洗い出し・有効化 運用プロセスの 担当者への周知・合意

13. © 2025, Amazon Web Services, Inc. or its affiliates. All

    rights reserved. Policies Set high-level expectations Control objectives Identify the conditions to meet Standards Define formal requirements Security controls Establish safeguards that meet your standards 13 ガバナンスポリシーの確認・優先順位づけ • 基本的には、⾃社のガバナンスポリシーを確認した上で、⼩さく始める上で、 必要最低限なところを責任者と合意してください • AWS のセキュリティ標準を起点に始めるのではなく、 ⾃社のガバナンスポリシーを起点にすることが重要です 起点 必要最低限の スコープ 徐々に広げる

14. © 2025, Amazon Web Services, Inc. or its affiliates. All

    rights reserved. 14 運⽤を始めるまでの準備 ガバナンスポリシーの 確認・優先順位づけ 対象コントロールの 洗い出し・有効化 運用プロセスの 担当者への周知・合意 Security Hub と GuardDuty で それぞれ検討します Security Hub • セキュリティ標準 • 重要度 • リージョン GuardDuty • 保護プラン • 重要度

15. © 2025, Amazon Web Services, Inc. or its affiliates. All

    rights reserved. 15 Security Hub のスコープ｜セキュリティ標準 • セキュリティ標準のリスト • AWS Foundational Security Best Practices v1.0.0 (FSBP） • Center for Internet Security (CIS） AWS Foundations Benchmark • ⽶国国⽴標準技術研究所 (NIST) SP 800-53 Rev. 5 • Payment Card Industry Data Security Standard (PCI DSS） • AWS リソースタグ付け標準 • サービスマネージドスタンダード︓ AWS Control Tower • どのセキュリティ標準を最初に採⽤する︖ • AWS FSBP は必須 • CIS AWS Foundations Benchmark は、必要に応じて有効化してください • 不要なものは Suppression します

16. © 2025, Amazon Web Services, Inc. or its affiliates. All

    rights reserved. 16 Security Hub のスコープ｜重要度 • どの重要度まで監視する︖ • 重⼤、⾼、を監視できると良いです • ただし、⾃社ポリシーで重要なものは、重要度が低くてもチェックする、例外対応は必要 侵害の可能性が ⾮常に⾼い 侵害の可能性が ⾼い 侵害の可能性が 低い 侵害の可能性が ⾮常に低い 悪⽤⾏為が⾮常に簡単 重⼤ 重⼤ ⾼ 中 悪⽤⾏為がやや簡単 重⼤ ⾼ 中 中 悪⽤⾏為がやや難しい ⾼ 中 中 低 悪⽤⾏為が⾮常に難しい 中 中 低 低 Security Hub のコントロールの重要度の定義

17. © 2025, Amazon Web Services, Inc. or its affiliates. All

    rights reserved. 17 Security Hub のスコープ｜リージョン • どのリージョンまで対象とする︖ • まずは、利⽤しているリージョン • Amazon CloudFront などグローバルサービスのコントロールは、 北部バージニアのみでしか有効にできないケースがあるため注意が必要です • 普段利⽤していないリージョンは、SCPなどとの併⽤でカバーしましょう • トライアル時点では、どこか⼀つだけ選び、費⽤対効果を⾒ると良いと思います

18. © 2025, Amazon Web Services, Inc. or its affiliates. All

    rights reserved. 18 GuardDuty のスコープ｜保護プラン • デフォルトで有効 • 基本的な脅威の検出 • 拡張脅威検出 • 保護プラン • S3 Protection • EKS 保護 • Runtime Monitoring • Malware Protection for EC2 • S3 向けのマルウェア防御 • RDS 保護 • Lambda Protection re:Invent 2024 のアップデート 拡張脅威検出では、複数のアクションのシーケンスが疑わしいアク ティビティと⼀致するかどうか GuardDuty を識別し、アカウント に攻撃シーケンスの検出結果を⽣成します。 ワークロードで利⽤しているサービスと リソースに対するリスク分析に応じて有効化します

19. © 2025, Amazon Web Services, Inc. or its affiliates. All

    rights reserved. 19 GuardDuty のスコープ｜重要度 • どこまでの重要度を追跡する︖→まずはCritical と High • re:Invent 2024 のアップデート 「検出結果が重要度別にソート」と、「追加されたクリティカルの重要度カテ ゴリーを含む最も重⼤な問題の概要が明⽰」されるようになりました →優先順位をつけて運⽤しやすくなりました︕ 重要度 値の範囲 説明 Critical 9.0〜10.0 攻撃シーケンスが進⾏中であるか、最近発⽣した可能性があることを⽰します。IAM ユーザーサインイン認証情報や Amazon S3 バケットなどの 1 つ以上の AWS リソー スが侵害されている可能性があるか、既に侵害されている可能性があります。 High 7.0〜8.9 問題のリソース (Amazon EC2インスタンスまたは⼀連のIAMユーザーサインイン認 証情報) が侵害され、不正な⽬的でアクティブに使⽤されていることを⽰します。 Medium 4.0〜6.9 通常観察される動作から逸脱する疑わしいアクティビティを⽰し、ユースケースに よっては、リソースの侵害を⽰している可能性があります。 Low 1.0〜3.9 ポートスキャンや侵⼊試⾏の失敗など、環境を侵害しなかった不審なアクティビティ が試みられたことを⽰します。

20. © 2025, Amazon Web Services, Inc. or its affiliates. All

    rights reserved. 20 運⽤を始めるまでの準備 ガバナンスポリシーの 確認・優先順位づけ 対象コントロールの 洗い出し・有効化 運用プロセスの 担当者への周知・合意

21. © 2025, Amazon Web Services, Inc. or its affiliates. All

    rights reserved. 21 運⽤プロセス • どこからお願いしたいタスクなのか、明⽰しましょう • どうなったら対応完了なのか、完了条件を明確にしましょう • 例えば、次のような条件です • 修正対応︓違反事項が対応済みで、ステータスが [PASSED] であること • 無効化 ︓リスクを許容できるので無効化する。理由を必ず記述すること 検出/通知 調査 対応 復旧/効果測定 ワークロードの担当者 監視担当者 監視担当者 役割分担例

22. © 2025, Amazon Web Services, Inc. or its affiliates. All

    rights reserved. 22 運⽤プロセス • ⾃組織または好意的な組織だけで始めることで、リードタイムを抑えやすいです ＝フィードバックループが回しやすくなります • 検証したプロセスやナレッジ、コスト情報、を元に横展開していきましょう 検出 調査 対応 復旧/ 効果測定 調査の参考にした情報 コントールごとの 対応⽅法 • 検出結果への対応が 与える効果・影響 • 発⽣したコスト フィードバックループで 得たい情報の例

23. © 2025, Amazon Web Services, Inc. or its affiliates. All

    rights reserved. © 2025, Amazon Web Services, Inc. or its affiliates. All rights reserved. ⽣成 AI による運⽤効率化 23

24. © 2025, Amazon Web Services, Inc. or its affiliates. All

    rights reserved. 24 運⽤時のよくある悩み • 検出結果が多数ある場合、 なにから⼿をつけていいかわからない • 検出の通知が多すぎて⾒なくなってしまう 検出結果がどの程度影響があるか分析できない 同じイベントが頻発し、負担になる 検出/通知 調査 対応 復旧/効果測定

25. © 2025, Amazon Web Services, Inc. or its affiliates. All

    rights reserved. 25 運⽤時のよくある悩み • 検出結果が多数ある場合、 なにから⼿をつけていいかわからない • 検出の通知が多すぎて⾒なくなってしまう 検出結果がどの程度影響があるか分析できない 検出範囲は最低限に制限 同じイベントが頻発し、負担になる 検出/通知 調査 対応 復旧/効果測定

26. © 2025, Amazon Web Services, Inc. or its affiliates. All

    rights reserved. 26 ⽣成AIを利⽤した運⽤効率化アイデア 1/ • 運⽤時のお悩み • 検出結果がどの程度影響があるか、分析できない • 対処例 • 検出結果に対して、⽣成 AI にリスクを解説してもらう Amazon GuardDuty AWS Security Hub AWS Lambda Findings の分析レポート Amazon Bedrock ①Findingsの収集 ②推論 ③出⼒ Critical と High の Findings スコアが 4.0 以上の Findings

27. © 2025, Amazon Web Services, Inc. or its affiliates. All

    rights reserved. 27 補⾜｜⽣成 AI によるレポートの例 下記サンプルの Findings レポート機能より生成 https://github.com/aws-samples/failure-analysis-assistant/ プロンプト例 レポート例

28. © 2025, Amazon Web Services, Inc. or its affiliates. All

    rights reserved. 28 ⽣成AIを利⽤した運⽤効率化アイデア 2/ • 運⽤時のお悩み • 同じイベントが頻発し、負担になる • リソース作成時に設定を漏らしてしまうケース • S3バケットの暗号化を忘れる、パスワードポリシーを変え忘れる • 対処例 • ⾃動化のための仕組みづくり with Amazon Q Developer • 頻発する Findings が検知された時に実⾏される⾃動修復の Lambda をお⼿軽に作る

29. © 2025, Amazon Web Services, Inc. or its affiliates. All

    rights reserved. 30 まとめ • まずは⼩さくはじめることで、成功体験を積み、ナレッジをためましょう • ⾃分たちの運⽤プロセスを確⽴・改善し、スケールさせましょう • うまく⽣成 AI を活⽤し、効率化を図りましょう

30. © 2025, Amazon Web Services, Inc. or its affiliates. All

    rights reserved. Thank you! © 2025, Amazon Web Services, Inc. or its affiliates. All rights reserved.