Upgrade to Pro — share decks privately, control downloads, hide ads and more …

AWSセキュリティ成熟度モデルで自分たちのAWSセキュリティレベルを説明できるようにし...

 AWSセキュリティ成熟度モデルで自分たちのAWSセキュリティレベルを説明できるようにしてみよう

自社イベント「AWSセキュリティ成熟度モデルを活用して組織のセキュリティレベルを上げよう!」にて登壇した際の資料です。詳細な解説は以下をご確認ください。
https://dev.classmethod.jp/articles/improve-security-with-aws-security-maturity-model/

cm-usuda-keisuke

January 28, 2024
Tweet

More Decks by cm-usuda-keisuke

Other Decks in Technology

Transcript

  1. 3 ⾃⼰紹介 ⾅⽥佳祐(うすだけいすけ) ・クラスメソッド株式会社 / AWS事業本部 シニアソリューションアーキテクト セキュリティチームリーダー 2021 APN

    Ambassador 2023 APN AWS Top Engineers (Security) AWS Security Hero (2023~) ・CISSP ・Security-JAWS運営 ・好きなサービス: Amazon GuardDuty AWS Security Hub Amazon Detective みんなのAWS (技術評論社) Amazon GuardDuty AWS Security Hub Amazon Detective
  2. 6 「AWSセキュリティ対策ちゃんとやってる︖」 • どうやって答える︖ • 「CloudTrail / Config設定してます」 • 「GuardDuty

    / Security Hub有効化してます」 • 「S3公開してません」 • 「IAM最⼩権限を意識してます(できてない)」 • 「アラート受け取って運⽤してます」 • 「セキュリティスコア維持しています」 • 網羅性やできている度合いを表現するのは難しい
  3. 13 4段階のフェーズ Phase1: クイック ウィン Phase2: 基礎 Phase3: 効率化 Phase4:

    最適化 Phase2: 基礎のレベルまでできていれば ⼀通り最低限はできているとしてOK(⾅⽥の感覚) Phase1: クイックウィンは⽂字通りすぐに実施できる 設定やサービスの有効化がメイン まずはこれをすぐ完了させましょう
  4. 17 具体的な項⽬(推奨事項) 取り組むべき推奨事項は例えばこんなものがある アイデンティティと アクセス管理 Phase1: 多要素認証 データ保護 Phase1: Amazon

    S3の パブリックアクセスの 禁⽌ セキュリティガバナンス Phase 2: Cloud Securityの トレーニングプラン 脆弱性管理 Phase 3: アプリケーションの 脆弱性管理 アプリケーション セキュリティ Phase 2: コードに シークレットを 埋め込まない インシデント対応 Phase 4: プレイブックの ⾃動化
  5. 18 AWSセキュリティ成熟度モデルとの付き合い⽅ • AWSセキュリティ成熟度モデルはあくまで指標 • 組織単位の作りだがプロジェクト単位でも使える • Phase3,4は必ずしも満たす必要はない • 「⼀般的な⽬指すべき理想の状態の1つ」と考える

    • 各推奨事項を詳細まで理解しようとするとある程度 AWSセキュリティの専⾨性が必要 • 社内にいるAWS Certified Security - Specialty有資格者 などが⽀援するといい • 有資格者がいなければ取得する(重要)
  6. 20 アセスメントのやり⽅ • 最初にどのようなスコープを対象にして評価するか を定義する • 組織全体 or プロジェクトどちらか •

    対象のAWSアカウントはどれか • Phase順に並んでいるので上から順に進めて、 「Phase 2: 基礎」まで⼀通り⼊⼒できればそこで ⽌めても問題ない • だいたいここまでで問題があれば、それに対応していく ことを優先する
  7. 23 より細かいコツ • 各推奨事項について熟知していくと、項⽬を調整し たくなる • 私の推奨する変更例 • 4.9.2 Amazon

    Detective: 根本原因の分析はPhase 2へ • 2.5.2 アプリケーションの脆弱性管理はPhase 3へ • 3.6.3 送信トラフィックの制御はPhase 4へ • 脆弱性管理のPhase 1が無いので、Amazon Inspector の有効化を追加する • インフラ保護にコンテナセキュリティの観点が無いので Phase 3に追加する
  8. 25 アセスメントが終わったらどうする • 分かりやすいグラフが出⼒できて、どこが強くどこ が弱いか、セキュリティ対策の現在地を確認できた • 基本は弱い部分をまず補うところから • Phase 2までは⼀通り上げることを推奨

    • その後は⾃由 • Phase 3や4を⽬指してもいい • 組織やプロジェクトの特性を考え伸ばしたいところに取 り組む考えもある • 別プロジェクトに横展開したり、全体の仕組整備もあり • ⼀回取り組めば全体感を理解し、⾊々改善に取り組める
  9. 26 次のステップ例 • Phase 1: クイックウィンをすべての環境ですぐに 対応する • 新規環境を作るときのベースラインにもする •

    セットアップの⼿順やスクリプトも⽤意する • ガイドラインや教育環境を整備する • 基準を作って整えて⾏きたくなる • 対策はAWSの設定だけではなく、各プロジェクトにもビ ジネスを理解したAWSセキュリティの有識者を増やして いく必要性を感じる
  10. 28 まとめ • AWSセキュリティ成熟度モデルを活⽤して、組織や プロジェクトのセキュリティの現在地を確認しよう • 幅広いセキュリティについて確認できる • 細かいアレンジなどは必要なのでアセスメントシートを 育てるとより良い

    • 特にグラフはわかりやすくしよう • 現在地を把握して説明できるようになったら次へ • 予算も確保しやすくなる • 強化するのはもちろん、全体で標準化したり仕組みづく りしたりと改善に繋げよう
  11. 31