Upgrade to Pro — share decks privately, control downloads, hide ads and more …

AWS Security and Risk Management Forum 【Closing...

ARAKI Yasuhiro
March 10, 2023
Technology
0
120

AWS Security and Risk Management Forum 【Closing】公共セッション

2023.03.10 「AWS Risk and Security Management Forum ~公共・金融DXの大前提、AWSセキュリティの理解と実践~」の公共セッションのラップアップです

ARAKI Yasuhiro

March 10, 2023
Tweet

More Decks by ARAKI Yasuhiro

See All by ARAKI Yasuhiro
AWSアンチパターン戦記
armaniacs
13
9.4k
CSPが提供しない、 フレッツ網をつかった閉域接続サービス&データ持ち込みにつかえるサービス 3選
armaniacs
1
2.3k
AWSのこの10年よもやま
armaniacs
0
630
AWSで2022に打破されたアンチパターン(2022.09まで)
armaniacs
2
1k
「線をひっこぬけ!」といわれたら
armaniacs
2
710
AWS大阪リージョンオープン記念:みんなで大阪リージョンを語る
armaniacs
1
2.9k

Other Decks in Technology

See All in Technology
Creating Awesome Change in SmartNews
martin_lover
1
290
Writing Ruby Scripts with TypeProf
mame
0
170
LangfuseでAIエージェントの 可観測性を高めよう!/Enhancing AI Agent Observability with Langfuse!
jnymyk
1
230
Recap of Next - Google Cloud で実践する クラウドネイティブ最前線 / The Frontlines of Cloud-Native with Insights from Google Cloud
aoto
PRO
1
110
AI Agentを「期待通り」に動かすために:設計アプローチの模索と現在地
kworkdev
PRO
2
460
Cursor AgentによるパーソナルAIアシスタント育成入門―業務のプロンプト化・MCPの活用
os1ma
14
4.8k
技術者はかっこいいものだ!!~キルラキルから学んだエンジニアの生き方~
masakiokuda
2
270
[2025年4月版] Databricks Academy ラボ環境 利用開始手順 / Databricks Academy Labs Onboarding
databricksjapan
0
140
ワールドカフェI /チューターを改良する / World Café I and Improving the Tutors
ks91
PRO
0
120
PagerDuty×ポストモーテムで築く障害対応文化/Building a culture of incident response with PagerDuty and postmortems
aeonpeople
1
220
ElixirがHW化され、最新CPU/GPU/NWを過去のものとする数万倍、高速+超省電力化されたWeb/動画配信/AIが動く日
piacerex
0
150
ガバクラのAWS長期継続割引 ~次の4/1に慌てないために~
hamijay_cloud
1
180

Featured

See All Featured
Improving Core Web Vitals using Speculation Rules API
sergeychernyshev
13
680
GitHub's CSS Performance
jonrohan
1030
460k
Six Lessons from altMBA
skipperchong
27
3.7k
Testing 201, or: Great Expectations
jmmastey
42
7.5k
Statistics for Hackers
jakevdp
798
220k
Chrome DevTools: State of the Union 2024 - Debugging React & Beyond
addyosmani
5
550
XXLCSS - How to scale CSS and keep your sanity
sugarenia
248
1.3M
Imperfection Machines: The Place of Print at Facebook
scottboms
267
13k
Design and Strategy: How to Deal with People Who Don’t "Get" Design
morganepeng
129
19k
Fontdeck: Realign not Redesign
paulrobertlloyd
83
5.5k
What’s in a name? Adding method to the madness
productmarketing
PRO
22
3.4k
Let's Do A Bunch of Simple Stuff to Make Websites Faster
chriscoyier
507
140k

Transcript

  1. © 2023, Amazon Web Services, Inc. or its affiliates. ©

    2023, Amazon Web Services, Inc. or its affiliates. 荒⽊ 靖宏 アマゾン ウェブ サービス ジャパン 合同会社 パブリックセクター技術統括本部 本部⻑ 本⽇のまとめ A W S S e c u r i t y a n d R i s k M a n a g e m e n t F o r u m 【 C l o s i n g 】 公 共 セ ッ シ ョ ン

  2. © 2023, Amazon Web Services, Inc. or its affiliates. 荒⽊

    靖宏 (あらき やすひろ) 本部⻑ / プリンシパル ソリューションアーキテクト • クラウドをつかった公共むけシステムチームを技 術的に⽀援するためのスペシャリストチームを リード 好きなAWSのサービス︓ AWS DirectConnect、EC2 Spot

  3. © 2023, Amazon Web Services, Inc. or its affiliates. 【P-1】ガバメントクラウド

    - クラウドスマートなセキュリティの 実践 【P-2】ガバメントクラウド時代、公共組織に求められる「セキュリ ティ統制」とは デジタル庁様 • ガバメントクラウドと準拠基準 • セキュリティプロセスと実現⽅法 • システム監視のポイント キンドリルジャパン株式会社様 • AWSマルチアカウント管理とセ キュリティ統制のノウハウ • AWSのサービスと、サードパー ティソリューションを組み合わせた セキュリティ対策 • 事業者/ベンダーがガバメントクラ ウドで求められるセキュリティ対策

  4. © 2023, Amazon Web Services, Inc. or its affiliates. 【P-3】AWSを使った医療機関等におけるランサムウェア対策

    【P-4】知っておきたい︕ AWSセキュリティ運⽤ 10のベースライン AWS ⽚⼭ • ランサムウェア脅威の現状 • 医療機関等におけるガイドライン • AWS ストレージサービスでのデー タ保護実現⽅法 スカイアーチネットワークス様 • DX事例分類、技術要素の整理 • セキュリティサービスは導⼊のみな らず継続運⽤が重要 • AWS Level1 MSSPパートナーが満 たす10のベースライン

  5. © 2023, Amazon Web Services, Inc. or its affiliates. AWS

    e-book︓ランサムウェアからAWS環境を保護する。 A W S サ ー ビ ス に よ る セ キ ュ リ テ ィ 態 勢 の 改 善 ⽅ 法 、 実 際 の ラ ン サ ム ウ ェ ア の シ ナ リ オ に 備 え る べ き 主 要 な プ ロ セ ス な ど 紹 介 PROTECT︓保護する 重要なインフラサービスを保護するために必要なセーフ ガードを定義 DETECT︓検出する 脅威やサイバーリスクを迅速に発⾒するための適切な 対策を実施 RESPOND︓応答する 識別された脅威に対応するために必要な⼿段を定 義 IDENTIFY︓特定する 組織の重要な機能、資産、およびプロセスを特定し、サイバー セキュリティリスクがそれらをどのように破壊するかを明らかにする RECOVER︓復旧する サイバーセキュリティ事件で被害を受けた機能を回復・復旧 させるための戦略的計画 ⽶国国⽴標準技術研究所 (NIST) のサイバーセキュリティフ レームワー ク (CSF) のようなセキュリティフレームワークを 実装すると、 組織の サイバーセキュリティリスクを管理およ び削減するための標準を設定可能です。 これは、5つの機能を中⼼に編成された⼀連の基本的なセキュ リティ活動を確⽴するため に設計された、⾃主的、リスク ベース、かつ結果重視のフレームワー クです。 すべての組織タイプに広く適⽤できます。 https://d2908q01vomqb2.cloudfront.net/b3f0c7f6bb763af1be91d9e74eabfeb199dc1f1f/2022/06/29/AWSPS_ransomware_ebook_Apr-2020_ja-JP.pdf NIST Cybersecurity Framework P-3 発表資料から

  6. © 2023, Amazon Web Services, Inc. or its affiliates. 医療情報システム向けAWS利⽤リファレンス

    医 療 情 報 シ ス テ ム 向 け A W S 利 ⽤ リ フ ァ レ ン ス ペ ー パ ー AWS パートナー o キヤノンITソリューションズ株式会社 o ⽇本電気株式会社 o 株式会社⽇⽴システムズ o フィラーシステムズ株式会社 医療情報システム向け AWS 利⽤リファレンスの紹介ページ https://aws.amazon.com/jp/compliance/medical-information-guidelines/ ガイドラインの要求事項に AWS 環境上で対応する ための情報を、 AWS パートナー各社で整理・検討 した⽂書を公開。 ü AWS のセキュリティ対応の内容と、 その根拠と成る⽂章とその記載箇所 ü ガイドラインに適合する AWS サービス P-3 発表資料から

  7. © 2023, Amazon Web Services, Inc. or its affiliates. 【P-5】AWSアカウントの⾃動払い出しとアカウントごとの稼働システム

    の可視化 【P-6】「Baseline Environment on AWS」テンプレートが公共システ ムのセキュリティ向上に役⽴つ理由 AWS 鈴⽊ • AWSアカウント管理ベストプラク ティス • アカウント作成時の課題 • 解決例としてのプロトタイプ事例 AWS ⼤村 • テンプレートによるガバナンス • BLEA = サンプルテンプレート • BLEAがもたらすコードによる管理 とWell-Architected

  8. © 2023, Amazon Web Services, Inc. or its affiliates. 例|VPCで分けた場合と比較

    観点 アカウントで分割 VPCで分割 環境 アカウントへのアクセス可否で分離 RBACやABACで権限管理を行う 課金 アカウント単位で自動的に集計 リソースごとにコスト配分タグを 設定し集計 ビジネス推進 アカウント単位でガードレールを提供し、 他への影響を意識せず活動できる 本番環境やセキュリティポリシが厳しい システムが同じアカウントにいる場合、 一番厳しいルールが適用されてしまい、 活動しづらくなる ワークロード 自分のワークロードについてのみAWS サービスクォータを気にすれば良いため、 予期しない制限がかからない AWSサービスクォータはアカウントごとに 管理されるため、予期しない制限がかかる ことがある RBAC:Role-Based Access Control ABAC:Attribute-Based Access Control P-5 発表資料から

  9. © 2023, Amazon Web Services, Inc. or its affiliates. プロトタイプフロー

    アカウント管理 ポータル アカウント 申請者 アカウント 管理者 ①アカウント申請(全ユーザの情報含) ②申請確認&承認 アカウント払い出しツール ③アカウントの 払い出し ⑤申請内容と アカウントを紐付け 認証サーバ ④全ユーザの作成と 権限の紐付け ⑥ログイン先情報のメール連携 自動処理 手動処理 事前にガードレールを適用した アカウントを作成し、プールしておく P-5 発表資料から

  10. © 2023, Amazon Web Services, Inc. or its affiliates. クラウドのシステム構成例(Liftパターン)

    OS M/W Apps APサーバー DBサーバー 監視サーバー EC2 (サーバー) EBS (ディスク) S3 VPC ストレージ ネットワーク セキュリティ アプライアンス ⾃分で管理 マネージドサービスを活⽤ インフラ チーム アプリ チーム P-6 発表資料から

  11. © 2023, Amazon Web Services, Inc. or its affiliates. クラウドをフル活⽤したシステム構成例

    AP DB 監視 インフラ チーム CloudWatch (監視) Lambda アプリ チーム ECS (コンテナ) DynamoDB CloudTrail (API記録) Config (構成記録) S3 VPC Aurora (RDBMS) セキュリティ SecurityHub (セキュリティチェック) GuardDuty (攻撃検知) WAF (ファイアウォール) Personal Health Dashboard (AWS環境の状態通知) ⾃分で管理 マネージドサービスを活⽤ マネージドサービス活⽤により コスト効率よくビジネス価値を提供することに集中 P-6 発表資料から

  12. © 2023, Amazon Web Services, Inc. or its affiliates. Baseline

    Environment on AWS の利⽤⽅法 カスタマイズ ゲストシステムの サンプルテンプレート ガバナンスベースの テンプレート BLEA on GitHub ガバナンスベース ゲストシステム ゲストシステム CDK CDK CDK CDK CDK システムA システムB ガバナンスベース システムA 担当 システムB 担当 システム B ⽤ システム A ⽤ ガバナンス 担当 カスタマイズ カスタマイズ CDK CDK ※BLEAテンプレートはMIT-0ライセンスで公開した AWSのベストプラクティスのサンプル実装であり、 構築された環境の品質をAWSが保証するものではありません。 実際の構築・運⽤にあたって、お客様でテンプレートのカスタマイズやテストの実施が必要です。 CDK CDK CDK Fork ⾃社⽤に カスタマイズした ベースライン P-6 発表資料から

  13. © 2023, Amazon Web Services, Inc. or its affiliates. ©

    2023, Amazon Web Services, Inc. or its affiliates. まとめ

  14. © 2023, Amazon Web Services, Inc. or its affiliates. ガバメントクラウドは

    IaC を活⽤し、提供している AWS のマネージドサービスによってシステムの責任範囲を 絞り、サービス開発に焦点を絞れる 構築時から、セキュリティ運⽤に配慮しておく