今日から始めるAWSセキュリティ対策 3ステップでわかる実践ガイド

Transcript

1. 今⽇から始めるAWSセキュリティ対策 3ステップでわかる実践ガイド クラスメソッド株式会社 クラウド事業本部コンサルティング部 吉⽥岳史

2. ⾃⼰紹介 2 吉⽥ 岳史(YOSHIDA Takeshi) 所属 クラスメソッド株式会社 クラウド事業本部 コンサルティング部 ソリューションアーキテクト

   担当業務 AWS設計構築 コンサルティング プリセールス

3. 前提 3 • なぜセキュリティ対策が必要なのか？という説明は割愛させていただきます • 下記のセキュリティとAWSの基礎を解説した記事をお読みください

4. アジェンダ 4 1. まずはAWS環境を是正しよう 2. 全体的なセキュリティ対策をしよう 3. シフトレフトを意識しよう

5. 1.まずはAWS環境を是正しよう 5

6. AWS Security Hubを 有効化しましょう！ 6

7. AWS Security Hubとは 7 • AWSリソースの設定値を⾃動でチェックし、セキュリティ観点で 誤った設定となっていないか確認できるサービス (Cloud Security Posture

   Management, CSPM) • チェック結果はマネジメントコンソールから⼀覧で確認でき、 全体の結果に基づいてセキュリティスコアが表⽰される

8. 2025年6⽉にAWS Security Hubは アップデートしました！ 8

9. 統合セキュリティソリューションにアップデート 9 画像引⽤：[プレビュー]AWS Security Hubが機能分離され統合セキュリティソリューショ ンに⽣まれ変わりました #AWSreInforce 先ほどまで説明 していた機能

10. AWS Security Hub CSPMのコンソール画⾯ 10

11. AWS Security Hub CSPMのコントロール例 11 • 重⼤度Critical:[ EC2.19 ] セキュリティグループは、リスクの⾼いポート

    への無制限のアクセスを許可してはならない • 重⼤度Critical:[ IAM.4 ] IAM ルートユーザーアクセスキーは存在しては なりません • 重⼤度Critical:[ RDS.2 ] RDS DB インスタンスは、PubliclyAccessible 設 定によって判断される、パブリックアクセスを禁⽌する必要があります データ漏洩‧攻撃につながるパブリックアクセス、認証情報に関する設定 ミスは⾼い重⼤度で検知される

12. AWS Security Hub CSPMの活⽤‧運⽤⽅法 12 1. コントロールID毎に重要度などを基準に優先度‧対応⽅針を決める 例) 重⼤度Critical/High優先、重⼤度Lowはやらない ※参考：[Security

    Hub] ワークフローステータス「抑制済み」を使ってセキュリティチェックのリ ソース例外を登録する 2. ⽅針に基づいてコントロールを整理する（抑制‧無効化） 3. 違反している AWSリソースの修正対応を進める a. なるべく100%を⽬指す b. 重要度Critical/Highを対応するとセキュリティ事故が発⽣する可能性を低減 4. 定期的なSecurity Hubチェック結果の棚卸しを⾏う

13. 弊社サービス: Classmethod Cloud Guidebookのご紹介 13 • 「クラスメソッドメンバーズ」のお客様向けに無償公開している AWS活⽤のノウハウが詰まったナレッジ集 • AWS

    Security Hubガイドでは、AWS Security Hubの各検知項⽬ の解説、無効化/抑制する場合の判断基準がまとめられています 引⽤: クラスメソッドメンバーズのお客様向けに公開している「Classmethod Cloud Guidebook (CCG)」の使い⽅ | DevelopersIO

14. 弊社サービス: Classmethod Cloud Guidebookのご紹介 14 こちらのQRコード、 もしくはURLからデモページにアクセスできます！ URL : https://demo.guidebook.classmethod.net/

15. 弊社サービス: Classmethod Cloud Guidebookのご紹介 15 AWS Security Hubガイドのデモページは、 ⾚枠で囲ったリンクからアクセスできます！

16. Security Hub修復⼿順ブログのご紹介 16 コントロールごとの具体的な修復⼿順を解説したブログを公開しています！

17. AWS Security Hub Advancedとは 17 • 下記の検出エンジンの様々な検知情報を集約‧関連づけることで、 セキュリティリスクを検出する統合セキュリティソリューション ◦ AWS

    Security Hub CSPM ◦ Amazon Inspector ◦ Amazon Macie ◦ Amazon GuardDuty • 5つのセキュリティ領域に分かれている ◦ 露出(Exposure) ◦ 脅威(Threats) ◦ 脆弱性(Vulnerabilities) ◦ 体制管理(Posture Management) ◦ 機密データ(Sensitive data)

18. 露出領域とは 18 • AWS Security Hub CSPM コントロールチェックやAmazon Inspector の検出結果から、脆弱性‧悪⽤可能なリソース‧設定ミスによるAWS

    環境内の潜在的なセキュリティ攻撃の可能性(露出特性)を検出する領 域 • 上記の検出は、露出結果として⽣成される • アタックパスの可視化機能が⽬⽟

19. 露出領域のコンソール画⾯ 19

20. クイズをします 20 ここで皆さんに。。。

21. Anyポートでインターネットからアクセス 可能なEC2インスタンスに対して露出結果 は⽣成されるでしょうか？ 21 露出結果のクイズ

22. 正解は。。。 22 露出結果のクイズ

23. 露出結果は⽣成されません！ 23 露出結果のクイズ

24. 24 露出結果⽣成の挙動 • リソースに露出特性（設定ミス‧ネットワーク到達可能性など）がな い、または露出特性が不⼗分な場合、露出結果を⽣成されない • 1つの露出結果=1つの露出特性という１対1の関係性ではなく、1つの 露出結果=複数の特性の集約という1対多数の関係性であることが上 記に挙動につながっている

25. 数多あるリソースの中でどのリソースのセ キュリティリスクを優先して対応すべきか 優先順位を⽰してくる機能 25 露出結果とは

26. 26 具体例 下記の3つのインスタンスが、AWS Security Hub CSPMとAWS Security Hubの露出領域でどのような評価がされるのか⾒ていきます • Anyポートでインターネットからアクセス可能なEC2インスタンス

    • ⼀定の権限があるインスタンスプロファイルがアタッチされている、 Anyポートでインターネットからアクセス可能なEC2インスタンス • 管理者権限があるインスタンスプロファイルがアタッチされている、 Anyポートでインターネットからアクセス可能なEC2インスタンス

27. 27 AWS Security Hub CSPMの場合 下記のコントロールが検出される • 重要度High:[ EC2.9 ]

    EC2インスタンスはパブリックIPv4アドレスを 持つべきではない • 重要度High:[ EC2.18 ] セキュリティグループは、許可されたポートに 対する無制限の受信トラフィックのみを許可する必要がある • 重要度Critical:[ EC2.19 ] セキュリティグループは、リスクの⾼いポー トへの無制限のアクセスを許可してはならない →ただすべてのインスタンス(セキュリティグループ)が、 同じコントロール内で検出されるため優先順位がつけられない！

28. AWS Security Hub CSPMの弱点 28 • コントロール内でリソースの優先順位がつけられない • ⼤量のリソースがある、かつ、セキュリティ設計が⼗分にされてい ない環境だと、⼤量のコントロールで⼤量のリソースが検知される

    →何から⼿をつけたらいいか分からない

29. 29 AWS Security Hubの露出領域の場合 • Anyポートでインターネットからアクセス可能なEC2インスタンス ◦ 露出結果が⽣成されない • ⼀定の権限があるインスタンスプロファイルがアタッチされている、

    Anyポートでインターネットからアクセス可能なEC2インスタンス ◦ 重要度Lowの露出結果が⽣成される • 管理者権限があるインスタンスプロファイルがアタッチされている、 Anyポートでインターネットからアクセス可能なEC2インスタンス ◦ ⾼い重要度の露出結果が⽣成される ◦ AWS Blogsの記事では重要度Highの露出結果が⽣成されている ◦ 参考記事：Unify your security with the new AWS Security Hub for risk prioritization and response at scale (Preview)

30. 30 AWS Security Hubの露出領域の場合 露出結果によって、下記の優先順位がつけられる！ 1. 管理者権限があるインスタンスプロファイルがアタッチされている、 Anyポートでインターネットからアクセス可能なEC2インスタンス 2. ⼀定の権限があるインスタンスプロファイルがアタッチされている、

    Anyポートでインターネットからアクセス可能なEC2インスタンス 3. Anyポートでインターネットからアクセス可能なEC2インスタンス

31. 31 ブログ紹介 ブログの⽅で詳細な解説をしております！ 新しいAWS Security Hubの露出結果(Exposure findings)は、露出特性(Exposure traits)が不⼗分 だと⽣成されません！ #AWSreInforce

32. AWS Security Hub CSPMと露出領域の使い分け 32 AWS Security Hub CSPM 露出領域

    検出結果 生成・更新時間 1. リソースの作成・更新のタイミング 2. 定期的なチェック(12時間or24時間) ※タイミングに関しては、 コントロールによって異なる 定期的なチェック(6時間以上) 弱点 • 同じコントロール内の検知だと優先順位 がつけられない • 検出結果に時間がかかるためリア ルタイムの監視に不向き • すべての設定ミスを網羅する機能 ではない 使い方 • 各リソースの各設定ミスを確認 • リアルタイムの設定ミス検知 　※コントロールによる • AWS環境全体の大まかなセキュリ ティ状況を把握する • セキュリティ是正の優先順位をつけ る

33. 2. 全体的なセキュリティ対策をしよう 33

34. AWSセキュリティ成熟度モデルを 使いましょう！ 34

35. AWSセキュリティ成熟度モデルとは 35 • 組織においてAWSセキュリティ対策が どの程度実現できているか定量的に測るための フレームワーク • 10つのセキュリティカテゴリと4段階のフェーズに区切ってセキュ リティ対策がマッピングされている •

    公式のアセスメントツール(Excel)が提供されており、項⽬を埋めて いくことで対策状況を可視化できる

36. AWSセキュリティ成熟度モデルの全体像 36

37. 4つのフェーズ 37 • 「クイックウィン」〜「最適化」まで、4 段階のフェーズ分け • はじめに⽬指す指針としてはフェーズ 2 の「基礎」 クイックウィン

    基礎 効率化 最適化 フェーズ 1 フェーズ 2 フェーズ 3 フェーズ 4 はじめの⽬標 今すぐできる

38. AWS Security Hubだけでは ダメなの？ 38

39. AWS環境の設定のみならず、 ガバナンスやセキュリティ運⽤も 強化される！ 39 AWSセキュリティ成熟度モデルのメリット

40. AWSセキュリティ成熟度モデルのメリット 40 例えば。。。 • セキュリティおよびコンプライアンス要件を確認しま しょう • インシデント対応⼿順を確⽴しましょう • インシデントの根本原因を分析できるようにしましょう

    • ユーザーを⼀元管理しましょう

41. 具体例 41

42. 具体例 42

43. 具体例 43

44. 具体例 44

45. 45 弊社⽀援: AWSセキュリティ強化プログラムの紹介 • セキュリティ成熟度モデルを独⾃にチューニングしたツールを利⽤してセキュリティ 状況をヒアリング‧可視化します • 可視化した上で、対策が不⼗分 or 更に強化したい項⽬への強化案の提案‧実施まで

    対応できます • 現在セキュリティ成熟度モデルはv2がリリースされておりますが、 当プログラムはv1までの内容で対応となります。ご了承ください。

46. 弊社サービス：インシデント⾃動調査機能のご紹介 46 GuardDutyの運⽤をサポートするサービス • Amazon GuardDutyの検出結果を⾃動で調査、概要の可視化、 判断に役⽴つレコメンドを合わせて⽇本語で通知します • 「クラスメソッドメンバーズプレミアムサービス」の加⼊特典（有償） 引用:

    インシデント自動調査 | AWS総合支援 | クラスメソッド株式会社

47. インシデント⾃動調査サービスの概要 47

48. 3. シフトレフトを意識しよう 48

49. システム開発の上流⼯程で セキュリティ対策を組み込むアプローチ 49 シフトレフトとは

50. AWS Security Hubに検知されない AWS環境を最初から構築する 50 AWS環境の設計‧構築に置き換えると。。。

51. 「まず動くものを作ってから後でセキュリティを考える」 では、⼯数が倍以上かかることがあります！ 51 シフトレフトの重要性

52. 52 具体例(EC2のプライベートサブネット移⾏) 引⽤: EC2をプライベートサブネットに移⾏した際のアクセス整理（インバウンド‧アウトバウンド）

53. 53 具体例(EC2のプライベートサブネット移⾏) 引⽤: EC2をプライベートサブネットに移⾏した際のアクセス整理（インバウンド‧アウトバウンド）

54. 54 具体例(EC2のプライベートサブネット移⾏) 引⽤: EC2をプライベートサブネットに移⾏した際のアクセス整理（インバウンド‧アウトバウンド） EC2再作成 NatGateway作成 EC2ログイン⽅法変更 アプリデプロイ⽅法変更 サービス停⽌ サブネット追加

    本番作業⼿順‧コンチプランの整備

55. 55 具体例(EC2のプライベートサブネット移⾏) 引⽤: EC2をプライベートサブネットに移⾏した際のアクセス整理（インバウンド‧アウトバウンド） EC2再作成 NatGateway作成 EC2ログイン⽅法変更 アプリデプロイ⽅法変更 サービス停⽌ サブネット追加

    本番作業⼿順‧コンチプランの整備 サービスリリース後のセキュリティ是正は⼯数が⾮常にかかる 今回のケースでは、最初からWeb3層アーキテクチャで設計‧ 構築していれば、これらの⼿間は⼀切かからない

56. 全社的に設計⽅針や対策を施す必要がある！ 56 シフトレフトを意識するには

57. 57 何も対策をしていないと。。。

58. 58 何も対策をしていないと。。。

59. AWS利⽤ガイドラインを作ろう！ シフトレフトを意識するために 59

60. 60 AWS利⽤ガイドラインの内容 最初から凝った内容のガイドラインを作成する必要はありません。 以下のような初歩的な内容でも、⼗分効果があります。 • EC2などコンピュートリソースなどは基本的にプライベートサブネッ トに配置する • Web3層アーキテクチャを意識する •

    IAMロールで対応できる場合はアクセスキーを発⾏しない • アクセスキーをアプリに直埋めしない • AWS Security Hubを有効化する

61. 弊社サービス: Classmethod Cloud Guidebookのご紹介 61 • 「クラスメソッドメンバーズ」のお客様向けに無償公開している AWS活⽤のノウハウが詰まったナレッジ集 • AWS利⽤ガイドラインサンプルでは、AWS

    を組織的に活⽤する 際の⽅針を定めたガイドラインのサンプルを掲載しています 引⽤: クラスメソッドメンバーズのお客様向けに公開している「Classmethod Cloud Guidebook (CCG)」の使い⽅ | DevelopersIO

62. 弊社サービス: Classmethod Cloud Guidebookのご紹介 62 こちらのQRコード、 もしくはURLからデモページにアクセスできます！ URL : https://demo.guidebook.classmethod.net/

63. 弊社サービス: Classmethod Cloud Guidebookのご紹介 63 AWS利⽤ガイドラインサンプルのデモページは、⾚枠で囲ったリンクからアクセスできます！

64. 64 他の対策 シフトレフトを実現するには、他にも以下のアプローチがあります。 • IaCの活⽤ • 組織的なセキュリティ統制

65. 65 ブログ紹介 ブログの⽅で解説をしております！ シフトレフトを意識してAWS環境を設計‧構築しよう!

66. まとめ 66 • AWS環境のセキュリティ是正はAWS Security Hubを利⽤ しよう ◦ AWSリソースの問題のある設定を⾒直せる ◦

    露出結果で是正するリソースの優先順位をつけよう • 全体的なセキュリティ対策としてAWSセキュリティ成熟度 モデルを利⽤しよう ◦ ガバナンスやセキュリティ運⽤も強化される • シフトレフトを意識してAWS環境を設計‧構築しよう ◦ 後々の環境是正のコストや⼿間を⼤幅に削減できる ◦ 簡単な内容でもいいのでAWS利⽤ガイドラインを作ろう
67. None