組織的なクラウド統制のはじめの一歩_20240529

組織的なクラウド統制のはじめの⼀歩 2024.5.29 AWS事業本部コンサルティング部 yhana 1 セキュリティ成熟度モデルと AWS アカウントベースライン設定

• AWS のセキュリティ対策をどの程度実現できているかを測るフレームワーク「AWS セキュリティ成熟度モデル」の紹介 • AWS の組織的な統制として実施する AWS アカウントのベースライン設定例
の紹介 2 発表内容

3 AWS セキュリティ成熟度モデルとは

4 AWS セキュリティ成熟度モデル AWS 内のセキュリティ専⾨のチームによって作成された、模範的なガイダンスとして「AWS セキュリティ成熟度モデル」がある（ただし、公式ドキュメント扱いではない） https://maturitymodel.security.aws.dev/en/model/

5 AWS セキュリティ成熟度モデル AWS のセキュリティ対策における現在の状況を可視化した活⽤例強化するポイントが分かりやすい

6 AWS セキュリティ成熟度モデル「クイックウィン」〜「最適化」まで、4 段階のフェーズ分けがされており、はじめに⽬指す指針としてはフェーズ 2 の「基礎」がおすすめクイックウィン基礎
効率化最適化フェーズ 1 フェーズ 2 フェーズ 3 フェーズ 4 はじめの⽬標

7 AWS セキュリティ成熟度モデル各項⽬は 9 つのカテゴリに分類されているセキュリティガバナンスセキュリティ保証アイデンティティと
アクセス管理脅威検出脆弱性管理インフラ保護データ保護アプリケーションセキュリティインシデント対応

CAF カテゴリ項⽬セキュリティガバナンスセキュリティインシデントの連絡先を最新化利⽤しないリージョンを無効化セキュリティ保証 AWS Security Hub
によるベストプラクティスの⾃動化アイデンティティとアクセス管理多要素認証ルートユーザーを利⽤せず、さらに監査する IAM Access Analyzer によるアクセスとロールの分析脅威検出 Amazon GuardDuty による脅威検出 AWS CloudTrail による API 呼び出しの監査 AWS Trusted Advisor で発⾒した Security findings の修復異常検出のための課⾦アラーム脆弱性管理 - インフラ保護セキュリティグループによるアクセス制限データ保護 Amazon S3 のパブリックアクセスのブロック Amazon Macie によるデータセキュリティの分析アプリケーションのセキュリティ AWS WAF のマネージドルールインシデント対応 Amazon GuardDuty の検出に対応 8 フェーズ 1︓クイックウィン

CAF カテゴリ項⽬セキュリティガバナンスセキュリティおよび規制要件を特定 Cloud Security のトレーニングプランセキュリティ保証 AWS
Config による構成管理アイデンティティとアクセス管理ユーザーリポジトリの⼀元管理組織ポリシーとしての SCP 脅威検出 Amazon GuardDuty の Findings を調査脆弱性管理インフラストラクチャの脆弱性を管理し、ペネトレーションテストを実施アプリケーションの脆弱性を管理インフラ保護 Fleet Manager によるインスタンス管理 VPC 内の Public/Private ネットワーク分離 AWS Control Tower によるマルチアカウント管理データ保護 AWS KMSによる暗号化データバックアップ Amazon Macie による機密データの発⾒アプリケーションのセキュリティ開発時にセキュリティチームも参画する AWS Secrets Manager を利⽤し、コードにシークレットを含めないインシデント対応インシデント対応⼿順を⽤意 Multi-AZ による冗⻑構成 9 フェーズ 2︓基礎

10 AWS セキュリティ成熟度モデルの参考資料より詳細な内容は下記ブログを参照ください https://dev.classmethod.jp/articles/improve-security-with-aws-security-maturity-model/

11 AWS アカウントのベースライン設定

12 アカウント発⾏プロセスとベースライン設定組織的に AWS を管理するアカウント発⾏プロセス（フロー）を整備して、 AWS セキュリティ成熟度モデルを満たすベースライン設定を実施するアカウント発⾏フローの整備組織内で満たすべき設定項⽬を最初に設定

13 組織的にアカウントを管理しない場合の課題 AWS アカウントを管理していない場合、全組織で共通的な設定を実現したいときに各アカウントの担当者を調査して依頼する⼿間が発⽣する AWS 社リセラー A社リセラー
B社 AWS アカウント AWS アカウント AWS アカウントすべての AWS アカウントの管理者に設定を依頼全ての担当者を探して依頼する⼿間と時間がかかる、漏れがある可能性もあるプロジェクト担当者

14 インシデントの再発防⽌策を実施した際に、新しく発⾏されたアカウントでは再発防⽌策の反映が漏れる場合もある AWS 社リセラー A社リセラー B社 AWS
アカウント AWS アカウント AWS アカウントインシデント発⽣再発防⽌策の対策依頼 AWS アカウント対応後に発⾏したアカウントにおいて再発防⽌策の反映が漏れる可能性ありプロジェクト担当者組織的にアカウントを管理しない場合の課題

15 AWS アカウントベースライン設定 AWS セキュリティ成熟度モデルのフェーズ 2 である「基礎」までの項⽬を参考にベースライン設定として採⽤する内容の例を次スライド以降に⽰すクイックウィン基礎
効率化最適化フェーズ 1 フェーズ 2 フェーズ 3 フェーズ 4 組織的な統制を実現するためのベースライン設定の候補

CAF カテゴリ項⽬ベースライン設定セキュリティガバナンスセキュリティの連絡先を最新化 ◯ 利⽤しないリージョンを無効化 ◯ セキュリティ保証
AWS Security Hub によるベストプラクティスの⾃動化 ◯ アイデンティティとアクセス管理多要素認証 ◯ ルートユーザーを利⽤せず、さらに監査する ◯ IAM Access Analyzer によるアクセスとロールの分析 ◯ 脅威検出 Amazon GuardDuty による脅威検出 ◯ AWS CloudTrail による API 呼び出しの監査 ◯ AWS Trusted Advisor で発⾒した Security findings の修復 - 異常検出のための課⾦アラーム - 脆弱性管理 - - インフラ保護セキュリティグループによるアクセス制限 - データ保護 Amazon S3 のパブリックアクセスのブロック ◯ Amazon Macie によるデータセキュリティの分析 - アプリケーションのセキュリティ AWS WAF のマネージドルール - インシデント対応 Amazon GuardDuty の検出に対応 ◯（有効化） 16 AWS アカウントベースライン設定フェーズ 1 でベースラインとして設定する⼀例（項⽬によっては有効化のみ等の⼀部のみ実施）後半で紹介後半で紹介後半で紹介後半で紹介後半で紹介後半で紹介

CAF カテゴリ項⽬ベースライン設定セキュリティガバナンスセキュリティおよび規制要件を特定 - Cloud Security のトレーニングプラン
- セキュリティ保証 AWS Config による構成管理 ◯ アイデンティティとアクセス管理ユーザーリポジトリの⼀元管理 ◯ 組織ポリシーとしての SCP ◯ 脅威検出 Amazon GuardDuty の Findings を調査 - 脆弱性管理インフラストラクチャの脆弱性を管理し、ペネトレーションテストを実施 - アプリケーションの脆弱性を管理 - インフラ保護 Fleet Manager によるインスタンス管理 - VPC 内の Public/Private ネットワーク分離 - AWS Control Tower によるマルチアカウント管理 ◯ データ保護 AWS KMSによる暗号化 - データバックアップ - Amazon Macie による機密データの発⾒ - アプリケーションのセキュリティ開発時にセキュリティチームも参画する - AWS Secrets Manager を利⽤し、コードにシークレットを含めない - インシデント対応インシデント対応⼿順を⽤意 - Multi-AZ による冗⻑構成 - 17 AWS アカウントベースライン設定フェーズ 2 でベースラインとして設定する⼀例（項⽬によっては有効化のみ等の⼀部のみ実施）後半で紹介後半で紹介後半で紹介後半で紹介

18 ベースライン設定以外の⽅法 VPC のサブネット設計⽅針など、利⽤者に強制が難しい内容や事前の設定が難しい内容は「AWS 利⽤ガイドライン」を策定するアプローチもある

19 AWS 利⽤ガイドライン「AWS 利⽤ガイドライン」の記載内容の例を⽰すガイドラインの章記載内容の例 AWS アカウント管理 AWS
アカウントの⼀元管理⽅法、アカウント発⾏/廃⽌フローユーザー管理ユーザーの⼀元管理、ユーザー利⽤/削除申請フローセキュリティ対策 AWS のセキュリティ対策（予防的・発⾒的統制）、組織内の共通/推奨サービス・製品ログ管理取得ログや保管期間などのルールコスト管理組織内の AWS 利⽤料⾦の精算ルール、料⾦の監視⽅法、コスト最適化共通ネットワーク・サービスネットワーク共通化（プロキシやファイアウォール等を含む）、共通の社内向けサービスリソース作成ルール・推奨構成共通/推奨のアーキテクチャ、リソース作成のルール運⽤共通/推奨のシステム監視⽅法、バックアップ・リストア⽅法監査組織内のポリシーやルールが守られているかのチェック⽅法

組織的なクラウド統制のはじめの一歩_20240529

組織的なクラウド統制のはじめの一歩_20240529

yhana

More Decks by yhana

Other Decks in Technology

Featured

Transcript

組織的なクラウド統制のはじめの⼀歩 2024.5.29 AWS事業本部コンサルティング部 yhana 1 セキュリティ成熟度モデルと AWS アカウントベースライン設定

• AWS のセキュリティ対策をどの程度実現できているかを測るフレームワーク「AWS セキュリティ成熟度モデル」の紹介 • AWS の組織的な統制として実施する AWS アカウントのベースライン設定例

3 AWS セキュリティ成熟度モデルとは

5 AWS セキュリティ成熟度モデル AWS のセキュリティ対策における現在の状況を可視化した活⽤例強化するポイントが分かりやすい

6 AWS セキュリティ成熟度モデル「クイックウィン」〜「最適化」まで、4 段階のフェーズ分けがされており、はじめに⽬指す指針としてはフェーズ 2 の「基礎」がおすすめクイックウィン基礎

7 AWS セキュリティ成熟度モデル各項⽬は 9 つのカテゴリに分類されているセキュリティガバナンスセキュリティ保証アイデンティティと

CAF カテゴリ項⽬セキュリティガバナンスセキュリティインシデントの連絡先を最新化利⽤しないリージョンを無効化セキュリティ保証 AWS Security Hub

CAF カテゴリ項⽬セキュリティガバナンスセキュリティおよび規制要件を特定 Cloud Security のトレーニングプランセキュリティ保証 AWS

10 AWS セキュリティ成熟度モデルの参考資料より詳細な内容は下記ブログを参照ください https://dev.classmethod.jp/articles/improve-security-with-aws-security-maturity-model/

11 AWS アカウントのベースライン設定

13 組織的にアカウントを管理しない場合の課題 AWS アカウントを管理していない場合、全組織で共通的な設定を実現したいときに各アカウントの担当者を調査して依頼する⼿間が発⽣する AWS 社リセラー A社リセラー

14 インシデントの再発防⽌策を実施した際に、新しく発⾏されたアカウントでは再発防⽌策の反映が漏れる場合もある AWS 社リセラー A社リセラー B社 AWS

15 AWS アカウントベースライン設定 AWS セキュリティ成熟度モデルのフェーズ 2 である「基礎」までの項⽬を参考にベースライン設定として採⽤する内容の例を次スライド以降に⽰すクイックウィン基礎

CAF カテゴリ項⽬ベースライン設定セキュリティガバナンスセキュリティの連絡先を最新化 ◯ 利⽤しないリージョンを無効化 ◯ セキュリティ保証

CAF カテゴリ項⽬ベースライン設定セキュリティガバナンスセキュリティおよび規制要件を特定 - Cloud Security のトレーニングプラン

18 ベースライン設定以外の⽅法 VPC のサブネット設計⽅針など、利⽤者に強制が難しい内容や事前の設定が難しい内容は「AWS 利⽤ガイドライン」を策定するアプローチもある

19 AWS 利⽤ガイドライン「AWS 利⽤ガイドライン」の記載内容の例を⽰すガイドラインの章記載内容の例 AWS アカウント管理 AWS

20