Upgrade to Pro — share decks privately, control downloads, hide ads and more …

AWSセンセーション 私とみんなが作ったAWSセキュリティ

AWSセンセーション 私とみんなが作ったAWSセキュリティ

JAWS DAYS 2024にて登壇したセッションのスライドです。
解説は下記ブログを参照してください。
[後ほど追加]

cm-usuda-keisuke

March 02, 2024
Tweet

More Decks by cm-usuda-keisuke

Other Decks in Technology

Transcript

  1. ハッシュタグ:#jawsdays2024 #jawsug #jawsdays2024_a ⾅⽥佳祐(うすだけいすけ) ・クラスメソッド株式会社 / AWS事業本部 シニアソリューションアーキテクト セキュリティチームリーダー 2021

    APN Ambassador 2023 APN AWS Top Engineers (Security) AWS Security Hero (2023~) ・CISSP ・Security-JAWS運営 ・好きなサービス: Amazon GuardDuty AWS Security Hub Amazon Detective ⾃⼰紹介 4 みんなのAWS (技術評論社) Amazon GuardDuty AWS Security Hub Amazon Detective
  2. ハッシュタグ:#jawsdays2024 #jawsug #jawsdays2024_a l AWSセキュリティの「セ」の字もわからない⼈ l AWSの全体管理をする⼈ l すべてのAWSセキュリティに関わる⼈ =

    すべてのAWSユーザー 初⼼者から上級者まで聴いて下さい やさしく説明します︕ セッションの対象者 7
  3. ハッシュタグ:#jawsdays2024 #jawsug #jawsdays2024_a コノハ 謎のドット絵美少⼥SA AWSセキュリティに詳しい よく早⼝で喋る 登場⼈物 8 主⼈公

    ⾮IT企業Alcohol Project に新卒⼊社2年⽬のSA 前髪で⽬が隠れている セキュリティは初⼼者 ※実在の⼈物や団体などとは関係ありません。
  4. ハッシュタグ:#jawsdays2024 #jawsug #jawsdays2024_a l プロローグ〜セキュリティ対策の進め⽅〜 l 第1章: IAMとSecurity HubとGuardDutyと l

    第2章: 成熟度モデルで素早く強化しよう l 第3章: 基礎のレベルまでがんばろう l エピローグ〜未来のセキュリティ対策〜 アジェンダ 10
  5. ハッシュタグ:#jawsdays2024 #jawsug #jawsdays2024_a l 「CloudTrail / Config設定してます」 l 「GuardDuty /

    Security Hub有効化してます」 l 「S3公開してません」 l 「IAM最⼩権限を意識してます(できてない)」 l 「アラート受け取って運⽤してます」 やっていることの説明はできるが どれくらいできているかを表現するのは難しい セキュリティ対策の例 32
  6. ハッシュタグ:#jawsdays2024 #jawsug #jawsdays2024_a l 必ずMFA(多要素認証)を設定する l アクセスキーを極⼒利⽤しない l IAM Roleを活⽤し⼀時的な認証情報を使⽤する

    l IAMリソースを定期的に棚卸しする l IAM Access Analyzerで不要な公開を検出する l 最⼩権限の原則を意識する まずはMFAの設定とIAM Access Analyzerの有効化とチェッ クはすぐにできるのでやろう︕ ついでに棚卸しできるはず。 https://docs.aws.amazon.com/ja_jp/IAM/latest/UserGuide/best-practices.html IAMベストプラクティス抜粋要約 73
  7. ハッシュタグ:#jawsdays2024 #jawsug #jawsdays2024_a AWSから提供されている (AWS Security Maturity Model) 9つのセキュリティカテゴリ と4段階のフェーズに区切っ

    てセキュリティ対策をマッピ ングしたフレームワーク https://maturitymodel.sec urity.aws.dev/en/model/ AWSセキュリティ成熟度モデルとは 104
  8. ハッシュタグ:#jawsdays2024 #jawsug #jawsdays2024_a AWS クラウド導⼊フレームワーク(CAF)セキュリティ: https://docs.aws.amazon.com/ja_jp/whitepapers/latest/overview-aws-cloud- adoption-framework/security-perspective.html CAF9つのセキュリティカテゴリ 105 セキュリティ

    ガバナンス セキュリティ保証 アイデンティティと アクセス管理 脅威検出 脆弱性管理 インフラ保護 データ保護 アプリケーション セキュリティ インシデント対応
  9. ハッシュタグ:#jawsdays2024 #jawsug #jawsdays2024_a 4段階のフェーズ 106 Phase1: クイック ウィン Phase2: 基礎

    Phase3: 効率化 Phase4: 最適化 Phase2: 基礎のレベルまでできていれば ⼀通り最低限はできているとしてOK(⾅⽥の感覚) Phase1: クイックウィンは⽂字通りすぐに実施できる 設定やサービスの有効化がメイン まずはこれをすぐ完了させましょう
  10. ハッシュタグ:#jawsdays2024 #jawsug #jawsdays2024_a l マトリクス表で俯瞰して確認しやすい l AWSに最適化されている l Phase1はクラウドらしくすぐできる効果の⾼いもの l

    幅広いセキュリティのカテゴリを扱っている l セキュリティガバナンス・IAM・アプリケーションも l 4段階と現実的に使いやすい l アセスメント⽤のExcelなどが公開されている このモデルのいいところ 107
  11. ハッシュタグ:#jawsdays2024 #jawsug #jawsdays2024_a AWSセキュリティ成熟度モデルの対応項⽬は場合によ り取捨選択してもいい おすすめの調整内容 l Phase1脆弱性管理にInspectorの有効化を追加 l Phase1セキュリティガバナンスの利⽤しないリージ

    ョンを無効化するはできない場合も多いのでオプシ ョンとする l Phase1データ保護のAmazon Macieは費⽤と運⽤⾯ の難易度が⾼いのでオプションとする 調整する内容(Phase1) 110
  12. ハッシュタグ:#jawsdays2024 #jawsug #jawsdays2024_a Phase1の対応内容 l セキュリティ連絡先の割り当て l Trusted Advisorの項⽬を修正する l

    課⾦アラームの設定 l Amazon Inspectorの有効化 l セキュリティグループの制限 l S3のブロックパブリックアクセス l WAFの導⼊ いくつか抜粋して解説 対応していく内容 111
  13. ハッシュタグ:#jawsdays2024 #jawsug #jawsdays2024_a Phase1ではAWS WAFのマネージドルールのみが適⽤ 対象 ルールはユーザーガイドを読めば⾃環境に適⽤すべき か判断できる l Windows⽤/Linux⽤

    l PHP⽤/WordPress⽤ コアルールセットは とりあえず使う https://docs.aws.amazon.com/ja_jp/waf/latest/developerguide/aws-managed-rule-groups-list.html WAFのルール適⽤の考え⽅ 113 Phase1 > アプリケーション セキュリティ > AWS WAF のマネージドルール
  14. ハッシュタグ:#jawsdays2024 #jawsug #jawsdays2024_a Inspectorは有効化するだけでEC2 / ECR / Lambdaに 含まれる既知の脆弱性(CVE)とコードの実装不備 (CWE)を検出できる

    とりあえず緊急度が⾼いものはすぐ対応する Inspectorで脆弱性の管理 116 Phase1 > 脆弱性管理 > Amazon Inspectorを利⽤した脆弱性情報の収集
  15. ハッシュタグ:#jawsdays2024 #jawsug #jawsdays2024_a まとめ l AWSセキュリティ成熟度モデルを活⽤すると、幅広 いAWSセキュリティを網羅的にカバーしつつ優先順 位を付けて段階的に強化できる l Phase1

    QuickWinsはとにかくコスパの良い対応だ からすぐにやる 成熟度モデルで素早く強化しよう 117 すべての環境でSSH使うのやめました
  16. ハッシュタグ:#jawsdays2024 #jawsug #jawsdays2024_a AWSセキュリティ成熟度モデル Level: 1 100% 基礎のレベルまでがんばろう だからPhase2の項⽬の中でも「Cloud Security

    のト レーニングプラン」から取り組み始めて、公式トレーニ ングを受けるのがオススメだよ︕ コノハ
  17. ハッシュタグ:#jawsdays2024 #jawsug #jawsdays2024_a AWSセキュリティ成熟度モデル Level: 1 100% 基礎のレベルまでがんばろう Control TowerやIdentity

    Centerなどを使ったマル チアカウントの統制もやっていくよ。 後はこれまでやった対策の延⻑線の項⽬も多いよ。 コノハ
  18. ハッシュタグ:#jawsdays2024 #jawsug #jawsdays2024_a AWSセキュリティ成熟度モデル Level: 1 100% 基礎のレベルまでがんばろう 必ずしもOrganizationsやControl Towerを使う必要

    性はないけど、もし使えるなら使ったほうがすごく便利 だよ。全体管理はベスプラに乗っかるといいよ。 コノハ
  19. ハッシュタグ:#jawsdays2024 #jawsug #jawsdays2024_a l 「組織ポリシーとしてのSCP」「AWS Control Tower によるマルチアカウント管理」は Organizationsを利⽤する必要があるためオプショ ンとする

    l 「Amazon Macie による機密データの発⾒」は Phase1同様オプションとする l Phase4「Amazon Detective: 根本原因の分析」は 簡単に採⽤できるためPhase2とする 調整する内容(Phase2) 143
  20. ハッシュタグ:#jawsdays2024 #jawsug #jawsdays2024_a Phase2の対応項⽬の抜粋 l Cloud Security のトレーニングプラン l セキュリティおよび規制要件を特定する

    l ユーザーリポジトリの⼀元管理 l 組織ポリシーとしてのSCP l VPC内の Public/Private ネットワーク分離 l AWS Control Tower によるマルチアカウント管理 l データバックアップ l 開発時にセキュリティチームも参画する l インシデント対応⼿順を作成し、テストする 基礎のレベルまでがんばろう 〜解説パート〜 144
  21. ハッシュタグ:#jawsdays2024 #jawsug #jawsdays2024_a l コンテンツのクオリティも⾼いし、成⼈学習の理論 に基づいてAWSをよくわかっている⼈が講師する l 実際にAWSを使ったラボで実習できる l 受講者のモチベーションがめちゃくちゃ上がる

    l 例えばこれから⼊社するメンバーや初めてAWSプロ ジェクトにジョインするメンバーのセットアップと して「Architecting on AWS」や「AWS Security Essentials」でAWS全般や基礎的なセキュリティを ⾝に着けてもらうことが可能 AWS公式トレーニングはいいぞ 146
  22. ハッシュタグ:#jawsdays2024 #jawsug #jawsdays2024_a 有償のトレーニングもいいが、AWS Skill Builderの無 償のEラーニングも、トレーニングプランに組み込みや すくておすすめ l AWS

    Security Fundamentals (Second Edition) (Japanese) (Na) ⽇本語実写版 2時間コース l https://explore.skillbuilder.aws/learn/course/external/view/elearning/602/ aws-security-fundamentals-second-edition-japanese l AWS Cloud Practitioner Essentials (Japanese) (⽇本語実写版) l https://explore.skillbuilder.aws/learn/course/external/view/elearning/1875 /aws-cloud-practitioner-essentials-japanese-na-ri-ben-yu-shi-xie-ban AWSの学習コンテンツ 148
  23. ハッシュタグ:#jawsdays2024 #jawsug #jawsdays2024_a l この項⽬は社内のAWS利⽤者やプロジェクト管理者 などに対してAWSセキュリティの前提知識を⾝につ けるためのトレーニングメニューを構成する l 扱う技術のセキュリティが全くわからない状態で使 い始めるのは危ない

    l 公式トレーニングや学習コンテンツを活⽤しつつ、 社内のルールなどを整備して、すべてのAWS利⽤者 に基礎的なIAMの知識だけでもインプットする Cloud Security のトレーニングプラン 149 Phase2 > セキュリティガバナンス > Cloud Security のトレーニングプラン
  24. ハッシュタグ:#jawsdays2024 #jawsug #jawsdays2024_a l そもそも⾃分たちのAWS環境が遵守すべきセキュリ ティの要件があるか確認 l ⾦融系ならFISCとか業界基準や、⾃社のセキュリテ ィポリシーなど l

    どうやって作ったら良いかわからない場合は、 Security Hubの項⽬に対応していく、くらいのとこ ろから始める l 社内のAWS利⽤ガイドラインを整備できると完璧 セキュリティおよび規制要件を特定する 150 Phase2 > セキュリティガバナンス > セキュリティおよび規制要件を特定する
  25. ハッシュタグ:#jawsdays2024 #jawsug #jawsdays2024_a AWS 利⽤標準化ガイドライン策定のベストプラクティス 進め⽅やステップが明確になっている 合わせて読みたい 151 1. 標準化ガイドライン

    2. アカウント設計 3. ネットワーク設計 4. アイデンティティ管理とアクセス管理 5. 発⾒的統制 6. インフラストラクチャ保護 7. データ保護 8. 監視 9. ログ管理 10.インシデント対応 11.災害対策とバックアップ/リストア 12.インフラプロビジョニング 13.運⽤管理 14.コスト管理 https://aws.amazon.com/jp/blogs/news/standardization-guideline-bestpractice-jp/
  26. ハッシュタグ:#jawsdays2024 #jawsug #jawsdays2024_a l Phase2はControl TowerやIdentity Centerなど AWS Organizations関連の項⽬が多い l

    AWSを利⽤する全体を適切に統制する必要がある l 利⽤できるなら利⽤したほうが良い l 全社利⽤のAWS基盤を作れると完璧 l AWSマルチアカウント管理のホワイトペーパーも参 考にどうぞ l https://classmethod.jp/news/wp-ascj-security/ l 利⽤できない場合についても記載あり AWSマルチアカウントの管理 152 Phase2 > インフラ保護 > AWS Control Tower によるマルチアカウント管理 など
  27. ハッシュタグ:#jawsdays2024 #jawsug #jawsdays2024_a 少し古いけど雰囲気つかめる 2021年末版Control Tower 総まとめ〜これからAWSマ ルチアカウント管理したい⼈ に向けて〜 https://dev.classmethod.jp/articles/a

    ws-control-tower-allin-2021/ 「AWS Control Towerを利 ⽤したマルチアカウント管理 とセキュリティ統制」JAWS DAYS 2021登壇資料 https://dev.classmethod.jp/articles/j aws-days-2021-control-tower/ 合わせて読みたい 153
  28. ハッシュタグ:#jawsdays2024 #jawsug #jawsdays2024_a l Identity Centerを利⽤するのも1つの⼿だが、Okta などサードパーティツールを活⽤するのもよい l IDベースはEntra IDオススメ

    l ⼤事なのは集約管理する事とRole等でアクセス制御 を適切に⾏うこと、ライフサイクルを管理すること l 必要なくなったIDをすぐに無効化するとか l これらを活⽤すると開発者がIAM Userを持つ必要が なく、アクセスキー完全禁⽌ができるので可能なら ⽬指したい ユーザーリポジトリの⼀元管理 154 Phase2 > アイデンティティとアクセス管理 >ユーザーリポジトリの⼀元管理
  29. ハッシュタグ:#jawsdays2024 #jawsug #jawsdays2024_a ⾮ AWS Organizations 環境の AWS アカウントに Entra

    ID ユーザーでアク セスする https://dev.classmethod.jp/articles/en tra-id-user-access-to-aws-account/ とにかくIDがまとめ られていればいろん なやりようがある 合わせて読みたい 155
  30. ハッシュタグ:#jawsdays2024 #jawsug #jawsdays2024_a 僕と⼀緒にクラスメソッドでAWSセキュリティを3,000社の お客様に展開する仕事をしませんか︖ オープンな発想と⾼い技術⼒により、すべての⼈々の創造活動に貢献し続ける 採⽤サイト: https://careers.classmethod.jp/ 宣伝3 174

    インシデント⾃動調査機能など 多数のお客様に使っていただくセキュリティサービスの開発業務 AWSセキュリティ強化プログラムなど お客様個別の事由に寄り添い伴⾛するコンサルティング業務
  31. ハッシュタグ:#jawsdays2024 #jawsug #jawsdays2024_a l なにもない部屋-真っ⽩な部屋03【フリー素材あそび】 l https://commons.nicovideo.jp/works/nc203754 l ⿊板にもなるTVの液晶画⾯ l

    https://commons.nicovideo.jp/works/nc297495 l クッキー☆⾵ 窓枠 外側枠付き l https://commons.nicovideo.jp/works/nc40255 l ⻘空 l https://commons.nicovideo.jp/works/nc150573 使⽤素材・参考リンク 176