セキュリティのお悩み解決できるかも!? ~3つのアプローチ~

Transcript

1. セキュリティのお悩み解決できるかも!? ~3つのアプローチ~ クラスメソッド株式会社 クラウド事業本部コンサルティング部 吉⽥岳史

2. セキュリティで悩んでいますか？ 2

3. あなたのセキュリティのお悩みを 解決する⽅法を教えます！ 本セッションでは... 3

4. 本⽇お話しすること 4 1. とにかく早くセキュリティを是正したい！ 2. 全体的なセキュリティ対策をしたい！ 3. セキュリティの初期設定がめんどくさい！

5. 1. とにかく早くセキュリティを 是正したい！ 5

6. AWS Security Hubを 有効化しましょう！ 6

7. AWS Security Hubとは 7 セキュリティ違反が含まれる AWSリソースの設定を検知でき るサービス AWS Security Hub

   例) AWS IAMのルートユーザー のアクセスキー の存在を検知 誤ってパブリック公開 されたAmazon Relational Database Service（Amazon RDS）を検知

8. 検知された項目を対応していくと、 自然とAWSのセキュリティサービスを 利用するようになる！ 8 AWS Security Hubのメリット

9. AWSレイヤーの対策サービス 9 AWSレイヤーの脅威検知を実装 できる 例) Amazon Simple Storage Service （Amazon

   S3）上のオブジェクトへ の 不正アクセスを検知 AWSアカウント上の異常なAPIリク エストを検知 クラウド上のストレージを独⾃ のキーを利⽤して暗号化できる 例) Amazon Elastic Compute Cloud (Amazon EC2)上のコンテンツを保存 したAmazon EBSを暗号化 S3バケット上のオブジェクトをAWS 側で暗号化する Amazon GuardDuty AWS Key Management Service (KMS)

10. OS / アプリレイヤーの対策サービス 10 OS/アプリ‧コンテナ等の 脅威検知を実装できる 例) Amazon EC2からの コインマイニング通信を検知

    Amazon EC2上の OSのマルウェア感染を検知 Amazon Elastic Container Service (Amazon ECS)のコンテナランタイ ムの異常な振る舞いを検知 Amazon GuardDuty Web通信を監視/ブロックできる AWSマネージドなWAFを実装で きる 例) SQLインジェクション、XSSなど 脆弱性を悪⽤した攻撃や、 不正なBotによるアクセスを 遮断する Amazon Inspector Amazon EC2やコンテナ、AWS Lambda上の脆弱性をスキャンで きる 例) Amazon EC2にインストールされ たパッケージの脆弱性を検知 AWS Lambda関数のコード内に 含まれる脆弱性を検知 AWS WAF

11. どのようにして各検知項目を 対応していけばいいの？ 11

12. 弊社サービス: Classmethod Cloud Guidebookのご紹介 12 • 「クラスメソッドメンバーズ」のお客様向けに無償公開している AWS活⽤のノウハウが詰まったナレッジ集 • AWS

    Security Hubガイドでは、AWS Security Hubの各検知項⽬ の解説、無効化/抑制する場合の判断基準がまとめられています 引⽤: クラスメソッドメンバーズのお客様向けに公開している「Classmethod Cloud Guidebook (CCG)」の使い⽅ | DevelopersIO

13. 弊社サービス: Classmethod Cloud Guidebookのご紹介 13 こちらのQRコード、 もしくはURLからデモページにアクセスできます！ URL : https://demo.guidebook.classmethod.net/

14. 弊社サービス: Classmethod Cloud Guidebookのご紹介 14 AWS Security Hubガイドのデモページは、 ⾚枠で囲ったリンクからアクセスできます！

15. 2. 全体的なセキュリティ対策 をしたい！ 15

16. AWSセキュリティ成熟度モデルを 使いましょう！ 16

17. AWSセキュリティ成熟度モデルの全体像 17

18. AWSセキュリティ成熟度モデルとは 18 • AWSから提供されている、 組織においてAWSセキュリティ対策が どの程度実現できているか定量的に測るための フレームワーク • 公式のアセスメントツール(Excel)が提供されており、 項⽬を埋めていくことで対策状況を可視化できる

19. AWS環境の設定のみならず、 ガバナンスやセキュリティ運⽤も 強化される！ 19 AWSセキュリティ成熟度モデルのメリット

20. AWSセキュリティ成熟度モデルのメリット 20 例えば。。。 • セキュリティおよびコンプライアンス要件を確認しま しょう • インシデント対応⼿順を確⽴しましょう • インシデントの根本原因を分析できるようにしましょう

    • ユーザーを⼀元管理しましょう

21. ハードル⾼そう。。。 21

22. 22 弊社⽀援: AWSセキュリティ強化プログラムの紹介 • セキュリティ成熟度モデルを独⾃にチューニングしたツールを利⽤してセキュリティ 状況をヒアリング‧可視化します • 可視化した上で、対策が不⼗分 or 更に強化したい項⽬への強化案の提案‧実施まで

    対応できます • 現在セキュリティ成熟度モデルはv2がリリースされておりますが、 当プログラムはv1までの内容で対応となります。ご了承ください。

23. 事例紹介（森永乳業株式会社 様） 23 • 9つのカテゴリーに対してセキュリティレベルを可視化 • 必要な領域におけるセキュリティアセスメントの実施 • アセスメント結果に基づきセキュリティ改善の道筋を⽴てる •

    セキュリティ状態を説明する定量的な指標の不⾜ • 複数アカウントのセキュリティを統⼀的に評価する基準の不⾜ • AWSのセキュリティを評価するノウハウの不⾜ AWSセキュリティ強化プログラム ご⽀援ポイント • 「AWSセキュリティ強化プログラム」で は、セキュリティ成熟度モデルに独⾃のノ ウハウによる確認項⽬と判断の基準を追加 したアセスメントを実施 • 実施しやすいフェーズ1とフェーズ2を中⼼ に⽀援 お客様の声 「まずは最低限必要なフェーズ1とフェーズ2 のセキュリティ状態をチェックできたこと が、今回のアセスメントにおける最⼤の成果 です。要件から外れたフェーズ3とフェーズ4 についても、私たちが気になっているポイン トに関して、クラスメソッドの担当者から ピックアップした形で回答をいただき、次へ のステップにつなげられています」 before after

24. 3. セキュリティの初期設定が めんどくさい！ 24

25. 弊社のセキュアアカウントを 使ってください！ 25

26. 弊社サービス: セキュアアカウントのご紹介 26 • 各種必要なセキュリティ設定を有効化した状態でAWSアカウン トを払い出します • 誤って設定変更しても元のセキュアな設定に戻します 引⽤: AWSアカウントセキュリティ

    | AWS総合⽀援 | クラスメソッド株式会社

27. セキュアアカウント全体図 27 引⽤: AWSアカウントセキュリティ | AWS総合⽀援 | クラスメソッド株式会社

28. 事例紹介（株式会社プロアクティブ 様） 28 • クライアント向けシステムの運⽤トラブルの低減、運⽤負荷の軽減 • AWSのサービスや、移⾏に関するノウハウの獲得 • 「セキュアアカウント発⾏サービス」による セキュリティレベルの向上

    • オンプレミス環境のシステムはたびたびトラブルが発⽣ • ⾃社にAWSのノウハウがなく、環境構築や運⽤を外部ベンダーに依存 • 顧客情報を扱うシステムのため、セキュリティ強化が必須 セキュアアカウント発⾏サービス ご⽀援ポイント • 「セキュアアカウント発⾏サービス」を活 ⽤してセキュリティ向けの各種設定値の最 適化や、Amazon GuardDuty、AWS Security Hubなどのセキュリティ機能の有 効化‧最適化などを実施 お客様の声 「セキュリティ⾯においてもクライアントに よるプラットフォーム診断に初回で合格し、 クライアントが定めるセキュリティ基準を満 たしていることが確認できました。」 before after

29. まとめ 29 • AWS環境のセキュリティ是正はAWS Security Hubを利⽤ しよう ◦ AWSリソースの問題のある設定を⾒直せる ◦

    対応すると⾃然とAWSのセキュリティサービスを利⽤するようになる • 全体的なセキュリティ対策としてAWSセキュリティ成熟度 モデルを利⽤しよう ◦ ガバナンスやセキュリティ運⽤も強化される • セキュリティ対策が施されたAWSアカウントをお求めの場 合、是⾮弊社のセキュアアカウントをご利⽤ください
30. None