組織的なクラウド統制のはじめの一歩_20240329

Transcript

1. 組織的なクラウド統制のはじめの⼀歩 2024.3.29 AWS事業本部 コンサルティング部 yhana 1

2. AWS の利⽤拡⼤に伴う課題の例 ・各部署が独⾃に契約している AWS アカウントを把握できていない ・セキュリティ対策できているか⼼配 ・AWS を組織的に統制したいが、何から始めればよいかわからない 統制に取り組む背景とはじめに取り組むことが多い内容を紹介 2

   発表内容

3. １．AWS 統制のはじめの取り組み ２．AWS 統制を実現するサービス 3 もくじ

4. 4 AWS 統制のはじめの取り組み

5. AWS 統制の主な検討事項⼀覧 5 AWS 統制の主な検討事項 カテゴリ 検討内容の例 AWS アカウント管理 AWS

   アカウントの⼀元管理⽅法、アカウント発⾏/廃⽌フロー ユーザー管理 ユーザーの⼀元管理、ユーザー利⽤/削除申請フロー セキュリティ対策 AWS のセキュリティ対策（予防的・発⾒的統制）、組織内の共通/推奨サービス・製品 ログ管理 取得ログや保管期間などのルール コスト管理 組織内の AWS 利⽤料⾦の精算ルール、料⾦の監視⽅法、コスト最適化 共通ネットワーク・サービス ネットワーク共通化（プロキシやファイアウォール等を含む）、共通の社内向けサービス リソース作成ルール・推奨構成 共通/推奨のアーキテクチャ、リソース作成のルール 運⽤ 共通/推奨のシステム監視⽅法、バックアップ・リストア⽅法 監査 組織内のポリシーやルールが守られているかのチェック

6. カテゴリ 検討内容の例 AWS アカウント管理 AWS アカウントの⼀元管理⽅法、アカウント発⾏/廃⽌フロー ユーザー管理 ユーザーの⼀元管理、ユーザー利⽤/削除申請フロー セキュリティ対策 AWS

   のセキュリティ対策（予防的・発⾒的統制）、組織内の共通/推奨サービス・製品 ログ管理 取得ログや保管期間などのルール コスト管理 組織内の AWS 利⽤料⾦の精算ルール、料⾦の監視⽅法、コスト最適化 共通ネットワーク・サービス ネットワーク共通化（プロキシやファイアウォール等を含む）、共通の社内向けサービス リソース作成ルール・推奨構成 共通/推奨のアーキテクチャ、リソース作成のルール 運⽤ 共通/推奨のシステム監視⽅法、バックアップ・リストア⽅法 監査 組織内のポリシーやルールが守られているかのチェック AWS 統制の主な検討事項⼀覧 6 AWS 統制の主な検討事項 はじめのステップとして取り組むことが多い

7. 7 AWS アカウント管理

8. 8 AWS アカウント管理 AWS アカウントを⼀元管理していない場合の課題 AWS 社 リセラー A社 リセラー

   B社 AWS アカウント AWS アカウント AWS アカウント プロジェクト担当者

9. 9 AWS アカウント管理 AWS アカウントを⼀元管理していない場合の課題 AWS 社 リセラー A社 リセラー

   B社 AWS アカウント AWS アカウント AWS アカウント インシデント発⽣ プロジェクト担当者

10. 10 AWS アカウント管理 AWS アカウントを⼀元管理していない場合の課題 AWS 社 リセラー A社 リセラー

    B社 AWS アカウント AWS アカウント AWS アカウント インシデント発⽣ すべてのアカウントを確認 全担当者へのヒアリングするのは時間がかかる、連絡先がわからない場合も プロジェクト担当者

11. 11 AWS アカウント管理 AWS アカウントを⼀元管理していない場合の課題 AWS 社 リセラー A社 リセラー

    B社 AWS アカウント AWS アカウント AWS アカウント インシデント発⽣ すべてのアカウントを確認 対策の実施（依頼） 依頼対応完了の確認に時間がかかる プロジェクト担当者

12. 12 AWS アカウント管理 AWS アカウントを⼀元管理していない場合の課題 AWS 社 リセラー A社 リセラー

    B社 AWS アカウント AWS アカウント AWS アカウント インシデント発⽣ すべてのアカウントを確認 対策の実施（依頼） 依頼対応完了の確認に時間がかかる AWS アカウント 対応完了後に発⾏したアカウントでは 対策が実施されていないことがある プロジェクト担当者

13. 13 AWS アカウント管理 AWS アカウントを⼀元管理していない場合の課題 プロジェクト担当者 クラスメソッド AWS アカウント AWS

    アカウント AWS アカウント インシデント発⽣ すべてのアカウントを確認 対策の実施（依頼） AWS アカウント AWS の組織管理機能（AWS Organizations）で⼀元管理

14. 14 AWS アカウント管理 AWS アカウントの⼀元管理と発⾏フローの整備 AWS Organizations の利⽤ アカウント発⾏フローの整備 アカウントをグルーピングしてグループ毎に異なる制限を適⽤可能

    組織内で満たすべき設定項⽬を最初から設定 後で詳しく

15. 15 ユーザー管理

16. 16 ユーザー管理 各 AWS アカウントで個別にユーザーを管理している場合の課題 AWS アカウント AWS アカウント AWS

    アカウント

17. 17 ユーザー管理 各 AWS アカウントで個別にユーザーを管理している場合の課題 AWS アカウント AWS アカウント AWS

    アカウント 各アカウントにユーザー作成して 管理するのが⼿間となる

18. 18 ユーザー管理 各 AWS アカウントで個別にユーザーを管理している場合の課題 AWS アカウント AWS アカウント AWS

    アカウント 各アカウントにユーザー作成して 管理するのが⼿間となる 乗っ取りの被害に合いやすい MFA無し 脆弱なPW

19. 19 ユーザー管理 各 AWS アカウントで個別にユーザーを管理している場合の課題 AWS アカウント AWS アカウント AWS

    アカウント 各アカウントにユーザー作成して 管理するのが⼿間となる 乗っ取りの被害に合いやすい MFA無し 脆弱なPW 異動・退職により利⽤していない (乗っ取り被害の可能性を⾼める)

20. 20 ユーザー管理 ユーザーの⼀元管理⽅法を整備 組織内の ID プロバイダーと統合する例 既存 ID とセキュリティレベルを統⼀、ユーザー削除漏れの防⽌ ユーザー払い出しフローの整備

    後で詳しく

21. 21 セキュリティ対策

22. 22 セキュリティ対策 AWS レイヤーのセキュリティ対策を検討してすべてのアカウントに展開 ・予防的統制 ・発⾒的統制

23. 23 セキュリティ対策 予防的統制のイメージ ガードレール ⼤きいサイズの EC2 インスタンスの起動 DNSドメインの購⼊ 東京、⼤阪、バージニア北部リージョン以外の利⽤ 利⽤可能な

    サービスと アクション ガードレール 利⽤禁⽌ 利⽤禁⽌ 「⾃由」に利⽤できる範囲

24. 24 セキュリティ対策 発⾒的統制のイメージ 望ましくない設定や意図していない設定に 気づく仕組み（サービス）を導⼊ 例）悪意のあるサーバ（IP アドレス）との通信 例）誤って S3 のデータをインターネット公開

    危険な通信の発⽣や不審なアクセスに 気づく仕組み（サービス）を導⼊ 後で詳しく 後で詳しく

25. 25 ログ管理

26. 26 ログ管理 ログの集約（保全）の検討 イベントログの集約例

27. 27 ログ管理 ログの集約（保全） イベントログの集約例 隔離したログから攻撃者の⾏動を 調査できる × アカウント乗っ取り後に攻撃者により ログ記録停⽌やログ削除が実⾏される 場合がある

28. × 28 ログ管理 ログの集約（保全） イベントログの集約例 隔離したログから攻撃者の⾏動を 調査できる SIEM や BI

    ツール等を利⽤した ログの分析や可視化ができる アカウント乗っ取り後に攻撃者により ログ記録停⽌やログ削除が実⾏される 場合がある

29. 29 コスト管理

30. 30 コスト管理 組織内の利⽤料の⽀払いや費⽤計上のルールを定める ・アカウントを⼀元管理した際の請求フロー 例）全体管理部⾨が⼀括払いをして組織内の他部⾨に振り替えるのか 各部⾨がそれぞれが⽀払い処理をするのか ・Reserved Instance (RI) などの前払いサービスの費⽤計上ルール

    例）前払い分の料⾦を毎⽉の⽀出に振り替えるのか

31. 31 AWS アカウントの分割

32. AWS アカウント分割のメリット・デメリット メリット ・権限の分離が容易 ・セキュリティ境界 ・コストの分離が容易 デメリット ・セキュリティサービス等のコスト増加（全アカウント ✕ リージョンの費⽤）

    ・運⽤負担の増加 32 AWS アカウント管理

33. AWS アカウント分割のメリット・デメリット メリット ・権限の分離が容易 ・セキュリティ境界 ・コストの分離が容易 デメリット ・セキュリティサービス等のコスト増加（全アカウント ✕ リージョンの費⽤）

    ・運⽤負担の増加 33 AWS アカウント管理 アカウント発⾏時の設定を⾃動化 利⽤しないリージョンの禁⽌

34. 34 AWS 統制を実現するサービス （発表者交替）

35. 35