Upgrade to Pro — share decks privately, control downloads, hide ads and more …

失敗例から学ぶAWSセキュリティサービスの導入

yhana
March 14, 2023

 失敗例から学ぶAWSセキュリティサービスの導入

yhana

March 14, 2023
Tweet

More Decks by yhana

Other Decks in Technology

Transcript

  1. 失敗例から学ぶAWSセキュリティサービスの導⼊
    2023.3.14
    AWS事業本部 コンサルティング部 yhana

    View Slide

  2. 2
    もくじ
    1.AWS セキュリティサービスの機能概要
    - AWS Security Hub
    - Amazon GuardDuty
    - Security Hub と GuardDuty の検知の違い
    2.失敗例から学ぶ Security Hub / GuardDuty 導⼊時の考慮事項

    View Slide

  3. 3
    クラウドセキュリティを知るには
    本⽇は話さない、クラウドセキュリティの考え⽅と
    AWS に当てはめた場合の考え⽅を知るには下記の書籍がおすすめ
    https://dev.classmethod.jp/articles/start-
    cloud-security-with-aws/
    https://dev.classmethod.jp/articles/aws-
    security-book/

    View Slide

  4. 4
    AWS セキュリティサービスの機能概要

    View Slide

  5. 5
    本日紹介する AWS サービス
    AWS のセキュリティサービスのうち、
    導⼊することが多い Security Hub と GuardDuty を紹介
    識別 防御 検知 対応 復旧
    AWS Security Hub Amazon GuardDuty

    View Slide

  6. 6
    AWS Security Hub

    View Slide

  7. 7
    AWS Security Hub とは
    主な機能
    1.セキュリティイベントを集約して管理する機能
    2.基準に従って AWS 環境をセキュリティチェックする機能 今⽇の話

    View Slide

  8. 8
    セキュリティ基準機能
    セキュリティのベストプラスティスに沿っているかをチェック
    チェック項⽬(コントロール)の例
    EBS (Disk) スナップショットのパブリック公開を検知

    View Slide

  9. 9
    セキュリティ基準機能
    セキュリティ基準は 4 種類(2023年2⽉20⽇時点)
    明確な要件がない場合は
    「AWS 基礎セキュリティのベストプラクティス」がおすすめ
    チェック対象となるサービス種類が多く、アップデートも頻繁

    View Slide

  10. 10
    サービス別のコントロール数内訳
    「AWS 基礎セキュリティのベストプラクティス」は 205 のチェック項⽬
    (2023年2⽉20⽇時点)

    View Slide

  11. 11
    EC2.19
    [CRITICAL] セキュリティグループは、リスクの⾼いポートへの無制限のアクセス
    を許可してはならない
    次のポートに関して全ての送信元IPアドレス開放
    20, 21 (FTP)
    22 (SSH)
    23 (Telnet)
    25 (SMTP)
    110 (POP3)
    135 (RPC)
    143 (IMAP)
    445 (CIFS)
    1433, 1434 (MSSQL)
    3000 (Go, Node.js, Ruby)
    3306 (MySQL)
    3389 (RDP)
    4333 (ahsp)
    5000 (Python)
    5432 (postgresql)
    5500 (fcp-addr-srvr1)
    5601 (OpenSearch)
    8080 (proxy)
    8088 (レガシー HTTP)
    8888 (代替 HTTP)
    9200, 9300 (OpenSearch)
    検知理由 対応例
    修正
    修正

    View Slide

  12. 12
    S3.2
    [HIGH] S3 バケットはパブリック読み取りアクセスを禁⽌する必要があります
    検知理由 対応例
    S3 バケットをインターネットに直接公開 CloudFront を利⽤して S3 のデータを公開
    または、
    ⼀時的な資料配布だったためリスク許容
    追加 設定変更

    View Slide

  13. 13
    S3.2
    [HIGH] S3 バケットはパブリック読み取りアクセスを禁⽌する必要があります
    検知理由 対応例
    S3 バケットをインターネットに直接公開 CloudFront を利⽤して S3 のデータを公開
    または、
    ⼀時的な資料配布だったためリスク許容
    追加 設定変更
    意図せず公開されている場合もある︕

    View Slide

  14. 14
    参考情報
    AWS Security Hub 関連ブログ
    https://dev.classmethod.jp/articles/lets
    -learn-aws-security-hub/
    https://dev.classmethod.jp/referencecat/securityhub-fsbp-remediation/

    View Slide

  15. 15
    Amazon GuardDuty

    View Slide

  16. 16
    Amazon GuardDuty とは
    ユーザー操作ログや通信ログを継続的にモニタリングして、悪意があると
    疑われるアクティビティを検出するサービス
    C&C (Command & Control) サーバとの通信を検知

    View Slide

  17. 17
    Amazon GuardDuty の検知
    リソースやアカウントに対する脅威の検知例
    - C&C サーバとの通信
    - SSH / RDP ブルートフォースアタック
    - 既知の悪意のある IP アドレスから API の呼び出し(操作)
    - AWS CloudTrail のログ配信が無効化
    対応リソースタイプ︓EC2、IAM
    オプションの保護 ︓S3、EKS、RDS、マルウェア検出
    重要度 ︓HIGH (⾼)、MEDIUM (中)、LOW (低)

    View Slide

  18. 18
    検知への対応
    検知内容への対応イメージ
    注意︓Amazon GuardDuty は検知であり、対処は含まれません
    例えば、マルウェアの隔離は⾏われません
    検知 対処
    アーカイブ・抑制
    検知結果の確認
    過検知
    問題あり
    通知

    View Slide

  19. 19
    参考情報
    Amazon GuardDuty 関連ブログ
    https://dev.classmethod.jp/articles/re-
    introduction-2022-amazon-guardduty/
    https://dev.classmethod.jp/articles/aws-
    security-operation-with-guardduty-2021/

    View Slide

  20. 20
    Security Hub と GuardDuty の検知の違い

    View Slide

  21. 21
    Security Hub と GuardDuty の検知の違い
    Security Hub︓リソースの設定項⽬(Configuration)を確認
    設定項⽬(Configuration)※
    "configuration": {
    "attachments": [
    {
    "device": "/dev/xvda",
    "instanceId": "i-99999999999999999”
    }
    ],
    "availabilityZone": "ap-northeast-1a",
    "encrypted": true,
    "size": 8,
    "iops": 3000,
    "volumeType": "gp3",
    "throughput": 125
    }, ※簡略化しています

    View Slide

  22. 22
    Security Hub と GuardDuty の検知の違い
    Security Hub︓リソースの設定項⽬(Configuration)を確認
    GuardDuty ︓VPC フローログ、CloudTrail イベントログ、DNS ログ等を確認
    通信ログ(VPC フローログ)
    イベントログ(AWS CloudTrail ログ)

    View Slide

  23. 23
    Security Hub と GuardDuty の検知の違い
    設定項⽬(Configuration)※
    "configuration": {
    "attachments": [
    {
    "device": "/dev/xvda",
    "instanceId": "i-99999999999999999”
    }
    ],
    "availabilityZone": "ap-northeast-1a",
    "encrypted": true,
    "size": 8,
    "iops": 3000,
    "volumeType": "gp3",
    "throughput": 125
    }, ※簡略化しています
    通信ログ(VPC フローログ)
    イベントログ(AWS CloudTrail ログ)
    Security Hub︓リソースの設定項⽬(Configuration)を確認
    GuardDuty ︓VPC フローログ、CloudTrail イベントログ、DNS ログ等を確認
    両⽅使いましょう︕

    View Slide

  24. 24
    失敗例から学ぶ
    Security Hub / GuardDuty 導入時の考慮事項

    View Slide

  25. 25
    ここからは
    失敗例・悩みとその改善例を紹介します

    View Slide

  26. 26
    どのような状況でも効果がある対策は
    ありませんが、
    失敗例を知っておくことで教訓を生かして
    検討がスムーズになる場合があります

    View Slide

  27. 27
    それでは失敗例を見ていきます

    View Slide

  28. 28
    すべてのチェック項目を満たそうとして
    疲弊する
    GuardDuty
    Security Hub

    View Slide

  29. 29
    失敗例・悩み
    全ての項⽬に必ず対応しなければいけないという思い込みにより疲弊してしまう
    コントロール数は継続的に増えており、⼀度にすべて対応するのは難しい
    対応には AWS に対する習熟が必要なときもある
    205
    31
    GuardDuty
    Security Hub
    2年10ヶ⽉

    View Slide

  30. 30
    改善例①
    チェック項⽬(コントロール)をすべて満たすことは必須ではない
    ベストプラクティスは、あくまで理論上の最善である
    対応コストに⾒合わない場合もある
    対応しないコントロールは無効化(チェック項⽬から除外)できる
    コントロール内で特定リソースだけ抑制できる
    無効化
    抑制
    GuardDuty
    Security Hub

    View Slide

  31. 31
    改善例①
    社内セキュリティポリシーに応じて利⽤するコントロールを選定することが
    望ましいが、難しい場合もある(ポリシーの抽象度が⾼い、オンプレ前提 など)
    重要度で選定することもある(例︓CRITICAL, HIGH だけ対応)
    CRITICAL
    HIGH
    MEDIUM
    LOW
    GuardDuty
    Security Hub

    View Slide

  32. 32
    改善例①
    導⼊事例をアウトプットしている企業もあり、コントロール選定の参考にできる
    DevelopersIO のブログでも紹介されている
    https://dev.classmethod.jp/articles/
    securityhub-9-new-controls-2022-
    12-22/
    https://dev.classmethod.jp/articles/
    securityhub-fsbp-updates-2022-02-
    04/
    クラスメソッドメンバーズのお客様は Classmethod Cloud Guidebook で⼀覧を⾒れます
    GuardDuty
    Security Hub

    View Slide

  33. 33
    リリース後 / 直前に有効化した結果
    対処できない
    GuardDuty
    Security Hub

    View Slide

  34. 34
    失敗例・悩み
    構成変更が必要な項⽬、稼働中の対応が難しい項⽬に対処できないパターン
    例えば、次の項⽬ではインスタンスの停⽌が必要となる場合がある
    [EC2.3] 添付済みの EBS ボリュームは、保管中に暗号化する必要があります
    0.EC2 インスタンスを停⽌(もしくは静⽌点を作成)
    1.スナップショットを作成
    2.スナップショットをコピーし、その際に暗号化を有効化
    3.コピーしたスナップショットからEBSボリュームを作成
    4.暗号化されたEBSボリュームをEC2インスタンスにアタッチ
    【参考】【Security Hub修復⼿順】[EC2.3] 添付済みの EBS ボリュームは、保管中に暗号化する必要があります
    GuardDuty
    Security Hub

    View Slide

  35. 35
    改善例①
    開発初期から Security Hub を利⽤する
    組織的な対応としてアカウント作成時の初期設定に含めることも多い
    https://dev.classmethod.jp/articles/
    aws-security-operation-bestpractice-
    on-secure-account/
    クラスメソッドメンバーズのセキュアアカウントの初期設定サービス
    GuardDuty
    Security Hub

    View Slide

  36. 36
    最初だけ頑張ってあとは放置
    GuardDuty
    Security Hub

    View Slide

  37. 37
    失敗例・悩み
    導⼊時は稼働・体制を確保してしっかり対応したが
    その後は放置して新しいコントロールに対応できていないパターン
    継続的に対応することで効果を最⼤化できる
    205
    31
    136
    1年前に導⼊
    未対応のコントール
    (新規コントロールを⾃動で有効化する
    設定の場合はセキュリティスコアが下
    がって気づくこともある)
    GuardDuty
    Security Hub

    View Slide

  38. 38
    改善例①
    1週間 〜 1ヶ⽉に⼀度など、定期的に失敗したリソースの対応検討や
    新しいコントロールへの対応⽅針を話す時間を事前に確保する
    判断を早くするために関係者(インフラ、アプリ、セキュリティ担当など)が
    揃っていると進みやすい
    【参考】Security-JAWS(YouTube で過去の勉強会を視聴できる)
    AWS Security Hubをちゃんと運⽤した話
    GuardDuty
    Security Hub

    View Slide

  39. 39
    改善例②
    Security Hub 対応を組織・プロジェクトの KPI として定める
    そのためには、マネジメント層の理解が重要となる
    マネジメント層にセキュリティの AWS トレーニングを受講してもらい、
    意識付けする場合もある
    https://dev.classmethod.jp/articles/
    aws-training-guide2/
    AWS Security Essentials 〜セキュリティ基礎1⽇コース〜
    GuardDuty
    Security Hub

    View Slide

  40. 40
    有効化するだけで満足してしまう
    Security Hub GuardDuty

    View Slide

  41. 検知 対処
    アーカイブ・抑制
    検知結果の確認
    過検知
    問題あり
    通知
    41
    失敗例・悩み
    GuardDuty を有効化しただけで終わるパターン
    通知設定をしていないので、有効化していることも忘れてそのうち⾒なくなる
    ここで⽌まっている
    Security Hub GuardDuty

    View Slide

  42. 42
    改善例①
    メールやチャットツールに通知する、チケット管理システムに登録する
    【参考】EventBridge API Destinationsを使ってGuardDuty検知をBacklogに⾃動起票してみた
    https://dev.classmethod.jp/articles/guard
    duty-notification-via-securityhub/
    Slack への通知例
    Security Hub GuardDuty

    View Slide

  43. 43
    通知が多すぎて見なくなる
    (GuardDuty)
    Security Hub GuardDuty

    View Slide

  44. 44
    失敗例・悩み
    複数のアカウントで運⽤している場合や公開システムが多い環境では
    通知が多くなる場合がある
    Security Hub GuardDuty

    View Slide

  45. 45
    改善例①
    過検知が何度も発⽣する場合は抑制を検討する
    抑制は、条件を組み合わせ設定できる
    - 検出結果タイプ + EC2インスタンスID
    - 検出結果タイプ + 送信元IPアドレス など
    参考)GuardDutyの抑制ルールを活⽤してセキュリティ検知のノイズを減らす
    Security Hub GuardDuty
    検知 対処
    アーカイブ・抑制
    検知結果の確認
    過検知
    問題あり
    通知

    View Slide

  46. 46
    改善例②
    重要度毎に通知先を変更して、視認性をよくする
    【参考】GuardDutyの通知が重要度でフィルター可能になりました
    重要度別にGuardDutyをSlackに通知してみた
    HIGH
    MEDIUM
    LOW
    aws-guardduty-high
    aws-guardduty-medium
    aws-guardduty-low
    ⼀部の検出結果タイプは異なるチャンネルに通知(作り込みが必要)
    重要度 Slack チャンネル
    Security Hub GuardDuty

    View Slide

  47. 47
    改善例③
    GuardDuty 単独で導⼊ではなく Security Hub とセットで導⼊・対応する
    Security Hub の に対応するだけでも
    GuardDuty の通知は 数件/⽉/アカウント 程度になることが多い印象
    例えば
    UnauthorizedAccess:EC2/SSHBruteForce
    UnauthorizedAccess:EC2/RDPBruteForce
    の通知の低減が期待できる
    対応
    Security Hub GuardDuty
    HIGH
    CRITICAL

    View Slide

  48. 48
    通知が多すぎて見なくなる
    (Security Hub)
    GuardDuty
    Security Hub

    View Slide

  49. 49
    失敗例・悩み
    Security Hub の単純な通知設定ではコントロール 1 個に対してメールが⼀通
    送信されることから、こうなりがち
    ⼀度に数⼗件以上の通知
    全選択して既読っと
    よし︕仕事しよう
    GuardDuty
    Security Hub

    View Slide

  50. 50
    改善例①/②
    重要度でフィルタして現実的な対応数に絞る → 落ち着いたら徐々に拡⼤
    重要度毎に通知先を変更して視認性をよくする、低い重要度は通知しない
    【参考】Security Hubの通知を重要度でフィルタリング設定する
    CRITICAL
    HIGH
    MEDIUM
    CRITICAL CRITICAL
    HIGH
    CRITICAL
    HIGH
    MEDIUM
    LOW
    CRITICAL
    HIGH
    MEDIUM
    LOW
    aws-security-hub-critical
    aws-security-hub-high
    重要度 Slack チャンネル
    GuardDuty
    Security Hub

    View Slide

  51. 失敗のコントロール数をサマリにして通知(作り込みが必要)
    定期的に確認する前提で Security Hub は通知しない判断もある
    通知する仕組みの維持管理負担も少なからず発⽣するため
    51
    改善例③/④
    緊急︓ 1件
    ⾼ ︓ 3件
    中 ︓10件
    低 ︓ 4件
    A-Project 111111111111 1件
    B-Project 222222222222 10件
    C-Project 333333333333 4件
    GuardDuty
    Security Hub
    実現⽅法を
    確認中

    View Slide

  52. 52
    インシデントと判断したが
    何をすればよいか分からない
    Security Hub GuardDuty

    View Slide

  53. 53
    失敗例・悩み
    GuardDuty の検知からインシデントと判断したが、
    どう対処すればよいか分からない、社内のエスカレーション先が分からない
    対応が遅れている間に、情報漏えいやマイニングによる料⾦の被害が⼤きなる
    可能性がある
    Security Hub GuardDuty

    View Slide

  54. 54
    改善例①
    事前にインシデント対応フローを整理しておく
    組織内の既存インシデント対応フローとの整合性を確保する
    参考になるドキュメント
    AWS Security Incident Response Guide
    - インシデント対応の基本事項の概要
    - オンプレミスと異なる点の説明
    - Appendix として 対応 Playbook のサンプル
    https://dev.classmethod.jp/articles/aws-
    security-incident-response-guide/
    Security Hub GuardDuty

    View Slide

  55. 55
    改善例①
    【参考】JPCERT/CC
    インシデントハンドリングマニュアル
    CSIRT 運⽤やインシデントハンドリングに
    関するフロー、知⾒、ノウハウが掲載
    されている
    Security Hub GuardDuty

    View Slide

  56. 56
    改善例①
    インシデントが発⽣したシステムの担当者の対応を整理しておく
    Security Hub GuardDuty
    AWS 全体管理者 セキュリティ部⾨ セキュリティパートナー
    プロジェクト担当 経営層
    インシデント報告
    連携
    調査依頼
    連携して対応
    検出結果タイプ ⼀次対応・⼿順 エスカレーション先
    Backdoor:EC2/C&CActivity.B
    Backdoor:EC2/C&CActivity.B!DNS
    マルウェア感染を確認した場合、
    EC2 インスタンスを隔離
    (⼿順のリンク)
    【Tel】 セキュリティ部⾨
    【Mail】To︓セキュリティ部⾨ ML
    Cc︓AWS全体管理者 ML
    Cc︓マネージャー
    対応イメージ

    View Slide

  57. 57
    改善例①
    組織内のクラウド運⽤を CCoE などの全体管理者と役割分担している場合、
    インシデント対応は連携して対応する必要がある
    AWS 全体管理者側でインシデントを検知して対応開始となることもある
    役割分担して AWS 運⽤
    Security Hub GuardDuty
    AWS 全体管理者 セキュリティ部⾨ セキュリティパートナー
    プロジェクト担当 経営層
    インシデント報告
    連携
    調査依頼
    連携して対応

    View Slide

  58. 58
    改善例①
    ⼀次対応や影響調査に関するスキルの事前習熟が望ましい
    AWS CloudTrail や Amazon CloudWatch Logs の調査⽅法の把握
    調査を効率化できる Amazon Detective の利⽤の検討
    Security Hub GuardDuty
    AWS 全体管理者 セキュリティ部⾨ セキュリティパートナー
    プロジェクト担当 経営層
    インシデント報告
    連携
    調査依頼
    連携して対応

    View Slide

  59. 59
    改善例①
    影響調査をするには CloudTrail イベントログなどの検索が必要となるため
    事前に習熟しておく
    マネジメントコンソールからアクセスキーの利⽤を検索
    マネジメントコンソールのイベント履歴は 90 ⽇間のみ
    検索条件も限定的なため、詳細な調査ができるように S3
    に出⼒して Athena で検索できる状態が望ましい
    Athena の CloudTrail イベントログの検索
    アクセスキーIDを使⽤してアクティビティをフィルタングする例
    【参考】特定の IAM ユーザー、ロール、および AWS アクセス
    キーのアカウントアクティビティをモニタリングするに
    はどうすればよいですか?
    SELECT eventTime, eventName, userIdentity.principalId,eventSource
    FROM athena-table
    WHERE useridentity.accesskeyid like 'AKIAIOSFODNN7EXAMPLEʼ
    AND eventTime >= '2023-02-05T00:00:00.000Z'
    AND eventTime <= '2023-02-06T00:00:00.000Z'
    Security Hub GuardDuty

    View Slide

  60. 60
    改善例①
    フォレンジック調査の依頼を迅速に⾏うために、
    事前にセキュリティパートナーとの連携⽅法を整備しておくこともある
    フォレンジックサービスの提供企業を探すときは IPA の公開ページが役⽴つ
    情報セキュリティサービス基準適合サービスリストの公開
    Security Hub GuardDuty
    AWS 全体管理者 セキュリティ部⾨ セキュリティパートナー
    プロジェクト担当 経営層
    インシデント報告
    連携
    調査依頼
    連携して対応

    View Slide

  61. 61
    コストが思ったより高くなった
    Security Hub GuardDuty

    View Slide

  62. 62
    失敗例・悩み
    事前のコスト試算は難しく、想定コストと乖離する場合がある
    特に、リソース作成/削除が多い環境は Security Hub のチェック回数が多くなる
    https://aws.amazon.com/jp/security-hub/pricing/
    AWS Security Hub の料⾦ Amazon GuardDuty の料⾦
    https://aws.amazon.com/jp/guardduty/pricing/
    Security Hub GuardDuty

    View Slide

  63. 63
    改善例①
    無償期間の 30 ⽇間でコストを把握する
    Security Hub / GuardDuty を全リージョンで有効化する場合、
    よく使うリージョン、グローバルリソースがあるバージニア北部リージョン、
    あまり使わないリージョンでそれぞれのコストを把握しておくとよい
    Security Hub GuardDuty
    Security Hub の使⽤状況の例 GuardDuty の使⽤状況の例

    View Slide

  64. 64
    改善例②
    Security Hub は必要に応じて次のコスト削減策ができる
    - チェック回数を減らすためにコントロールの無効化
    - Security Hub の利⽤前提で有効化する必要のある AWS Config の
    コスト削減のために記録リソースを制限(上級者向け)
    Security Hub GuardDuty

    View Slide

  65. 65
    組織内に導入したが対応してもらえない
    Security Hub GuardDuty

    View Slide

  66. 66
    失敗例・悩み
    組織内の全ての AWS アカウントに導⼊したが、対応してもらえない
    Security Hub GuardDuty

    View Slide

  67. 67
    改善例①
    1週間 〜 1ヶ⽉に⼀度など、定期的に失敗したリソースの対応検討や
    新しいコントロールへの対応⽅針を話す時間を事前に確保する
    判断を早くするために関係者(インフラ、アプリ、セキュリティ担当など)が
    揃っていると進みやすい
    【参考】Security-JAWS(YouTube で過去の勉強会を視聴できる)
    AWS Security Hubをちゃんと運⽤した話
    GuardDuty
    Security Hub
    再掲

    View Slide

  68. 68
    改善例②
    Security Hub 対応を組織・プロジェクトの KPI として定める
    そのためには、マネジメント層の理解が重要
    マネジメント層にセキュリティの AWS トレーニングを受講してもらい、
    意識付けする場合もある
    https://dev.classmethod.jp/articles/
    aws-training-guide2/
    AWS Security Essentials 〜セキュリティ基礎1⽇コース〜
    GuardDuty
    Security Hub
    再掲

    View Slide

  69. 69
    改善例③
    Security Hub の重要なチェック項⽬の対応放置は、
    時間経過でプロジェクト管理者への通知や経営層が出席する会議に付議する
    プロジェクト担当者 プロジェクト管理者 経営陣
    AWS 全体管理者
    会議に付議
    通知
    通知
    0〜1⽇
    1ヶ⽉
    6ヶ⽉
    GuardDuty
    Security Hub

    View Slide

  70. 70
    改善例④
    通知を⾒やすく加⼯する
    何も加⼯しなければ JSON 形式のため中⾝を⾒ようと思われない
    【参考】GuardDutyからのイベント通知をちょっと⾒やすくして通知する
    Security Hub イベントを⾒やすく加⼯して Eメール通知してみる
    Security Hub GuardDuty

    View Slide

  71. ポジティブな通知や達成のお祝いをしてモチベーションを上げる
    71
    改善例⑤
    https://dev.classmethod.jp/articles/dev
    io-2022-how2make-strongest-aws-
    secure-accounts/
    スコアを低い順ではなく⾼い順に表⽰ 達成はみんなでお祝い
    周りの巻き込み⽅の紹介
    具体的なアクションをリクエストする通知
    GuardDuty
    Security Hub

    View Slide

  72. 72
    改善例⑥
    システムの重要度に応じて満たすべきコントロールを変更する
    最も厳しい要件のシステム(⼈命に関わるシステム、重要情報を扱うシステムなど)を
    中⼼に⼀律で社内ルールが定められている場合、ビジネススピードが遅くなる
    懸念がある
    GuardDuty
    Security Hub
    個⼈情報、お客様情報を扱うシステム その他のシステム
    コントロール
    コントロール
    コントロール
    コントロール
    コントロール
    コントロール
    コントロール
    コントロール
    コントロール
    コントロール
    コントロール

    View Slide

  73. 73
    AWS Control Tower 注目の機能
    Security Hub を⾃由に設定・運⽤したいプロジェクト担当と、
    最低限満たしてほしいコントロールがある全体管理者の要望を両⽴できる機能
    GuardDuty
    Security Hub
    AWS 基礎セキュリティのベストプラクティス v1.0.0
    CIS AWS Foundations Benchmark v1.2.0
    CIS AWS Foundations Benchmark v1.4.0
    PCI DSS v3.2.1
    サービスマネージド標準: AWS Control Tower
    プロジェクト担当者
    AWS 全体管理者
    【参考】 [アップデート]AWS Security Hubのセキュリティ標準で『Service-Managed
    Standard: Control Tower』が利⽤可能になりました

    View Slide

  74. 74
    その他

    View Slide

  75. 75
    その他いろいろ
    ■AWS 基礎セキュリティベストプラクティス (AFSBP) で⼗分だったため、
    後からデフォルト有効化されている CIS Benchmark v1.2 基準を無効化したく
    なったが、組織内でセキュリティを弱める判断を下すのが難しい
    → AFSBP は項⽬数が多く、CIS Benchmark と被っている内容もあるため
    まずは AFSBP で運⽤してみて他基準を検討する進め⽅もある
    ■Security Hub のコントロールに対応する AWS Config のリソースが記録されて
    おらず、チェックできていなかった
    → AWS Config の記録リソースは全てのリソースが推奨である
    ただし、コストが許容できない場合は記録リソースの精査も要検討となる

    View Slide

  76. 76
    その他いろいろ
    ■Security Hub / GuardDuty の機能が組織内の運⽤⽅針と合わずに利⽤し
    なくなった
    → 運⽤をサービスに合わせる
    サードパーティ製品の利⽤を検討する
    ぜひ機能改善要望を出してください︕

    View Slide

  77. 77
    さいごに

    View Slide

  78. 78
    さいごに
    AWS セキュリティサービスの導⼊に関する失敗例・悩みを紹介しました
    世の中のキラキラした成功事例ばかりが気になってしまいがちですが、
    成功事例になるまでには多くの失敗もあったのではないかと思います
    本セッション内容が、少しでも前進するためのヒントになれば幸いです

    View Slide

  79. 79
    謝辞
    失敗事例のご提供をありがとうございました

    View Slide

  80. yhana
    AWS事業本部 コンサルティング部
    エキスパートソリューションアーキテクト
    2022 APN AWS Top Engineers (Security)
    80
    自己紹介

    View Slide

  81. View Slide