Upgrade to Pro — share decks privately, control downloads, hide ads and more …

クラウド利用者の「責任」をどう果たす?AWSセキュリティ対策のススメ #AWSSummit

Sponsored · Your Podcast. Everywhere. Effortlessly. Share. Educate. Inspire. Entertain. You do you. We'll handle the rest.
Avatar for h-ashisan h-ashisan
July 19, 2024
Technology
940
0

クラウド利用者の「責任」をどう果たす?AWSセキュリティ対策のススメ #AWSSummit

Avatar for h-ashisan

h-ashisan

July 19, 2024

More Decks by h-ashisan

See All by h-ashisan
regrowth_tokyo_2025_securityagent
Avatar for h-ashisan hiashisan
0
690
Tokyo_reInforce_2025_recap_iam_access_analyzer
Avatar for h-ashisan hiashisan
0
470
OpsJAWS34_CloudTrailLake_for_Organizations
Avatar for h-ashisan hiashisan
0
920
Classmethod_regrowth_2024_tokyo_security_identity_governance_summary
Avatar for h-ashisan hiashisan
0
1.7k
2024/11/29_失敗談から学ぶ! エンジニア向けre:Invent攻略アンチパターン集
Avatar for h-ashisan hiashisan
0
850
20241015 Toranomon Tech Hub#1 Service Catalog使ってみた
Avatar for h-ashisan hiashisan
0
840
Practical-AWS-Security-measures-you-can-implement-now
Avatar for h-ashisan hiashisan
0
890
20240724_cm_odyssey_hibiyatech
Avatar for h-ashisan hiashisan
0
640
[2024最新版]AWS Control Towerを使ったセキュアなマルチアカウント環境の作り方
Avatar for h-ashisan hiashisan
0
1.5k

Other Decks in Technology

See All in Technology
AWS Security Hub CSPMの成功・失敗体験
Avatar for cm-usuda-keisuke cmusudakeisuke
0
300
ザ・データベース、MySQL ~ OSC 2026 Sendai ~
Avatar for sakaik sakaik
0
150
Flow 不死:AI 時代 DevOps 的不變本質
Avatar for Cheng-Wei Chen cheng_wei_chen
2
360
徹底討論!ECS vs EKS!
Avatar for 高棹大樹 daitak
3
970
When Platform Engineering Meets GenAI
Avatar for suci sucitw
0
130
Claude Codeをどのように キャッチアップしているか
Avatar for Oikon oikon48
13
8.6k
[AWS Summit Japan 2026]迷っているあなたへ_小さな一歩が、やがて自分を助けてくれる
Avatar for sh_fk2 sh_fk2
1
200
【セミナー資料】Claude Code をセキュアに使うための考え方と設定の勘どころ / Claude Code Webinar 20260616
Avatar for MasahiroKawahara masahirokawahara
2
420
LayerXにおけるセキュリティ管理の現在地と次の一手
Avatar for tosho tosho
0
250
AIネイティブな開発のサプライチェーンリスク対策 〜激動の開発現場でリスクに立ち向かう〜【ZennFes】
Avatar for サイバーセキュリティクラウド cscengineer
PRO
2
140
アンオフィシャルな、オフィシャルからのお願い
Avatar for wataru yamazaki (DevRel) wyamazak_devrel
0
140
iAEONの段階的リアーキテクト戦略 / iAEON's_Gradual_Re-architecture_Strategy
Avatar for AEON aeonpeople
0
230

Featured

See All Featured
How to Think Like a Performance Engineer
Avatar for Harry Roberts csswizardry
28
2.7k
Statistics for Hackers
Avatar for Jake VanderPlas jakevdp
799
230k
Designing Dashboards & Data Visualisations in Web Apps
Avatar for Des Traynor destraynor
231
55k
Un-Boring Meetings
Avatar for Sebastian Deterding codingconduct
0
320
Everyday Curiosity
Avatar for Cassini Nazir cassininazir
0
230
Applied NLP in the Age of Generative AI
Avatar for Ines Montani inesmontani
PRO
4
2.3k
Being A Developer After 40
Avatar for Adrian Kosmaczewski akosma
91
590k
A Guide to Academic Writing Using Generative AI - A Workshop
Avatar for Kenji Saito ks91
PRO
1
330
Discover your Explorer Soul
Avatar for Emna emna__ayadi
2
1.1k
The Curious Case for Waylosing
Avatar for Cassini Nazir cassininazir
1
400
The Web Performance Landscape in 2024 [PerfNow 2024]
Avatar for Tammy Everts tammyeverts
12
1.2k
Sharpening the Axe: The Primacy of Toolmaking
Avatar for Bryan Cantrill bcantrill
46
2.9k

Transcript

  1. クラウド利用者の「責任」をどう果たす? AWSセキュリティ対策のススメ AWS Summit Japan 2024 1

  2. 2 自己紹介 芦沢 広昭 (ASHIZAWA Hiroaki) ❖ 所属 AWS事業本部 コンサルティング部

    / ソリューションアーキテクト ❖ 担当業務 AWS設計構築・コンサルティング ★ 好きなAWSサービス AWS Control Tower、Amazon Security Lake

  3. 3 セキュリティやっていますか?

  4. 4 まずは 一般的な「セキュリティ」の基本から

  5. 5 情報セキュリティ対策の基本 攻撃の糸 口 情報セキュリティ対策の基本 目的 ソフトウェアの脆弱性 ソフトウェアの更新 脆弱性を解消し攻撃によるリ スクを低減する

    ウイルス感染 セキュリティソフトの利用 攻撃をブロックする パスワード窃取 パスワードの管理・認証の強化 パスワード窃取によるリスクを 低減する 設定不備 設定の見直し 誤った設定を攻撃に利用さ れないようにする 誘導(罠に嵌める) 脅威・手口を知る 手口から重要視すべき対策 を理解する 引用: IPA - 情報セキュリティ10大脅威 2024 簡易説明資料 [組織編] P6 ➢ 多数の脅威はあるが「攻撃の糸口」は似通っている ➢ 基本的な対策は 長年変わらず 、基本を意識することが重要

  6. 6 情報セキュリティ対策の基本 +α 備える対象 情報セキュリティ対策の基本 +α 目的 インシデント全般 責任範囲の明確化 (理解)

    インシデント発生時に誰(どの組 織)が対応する責任があるのかを 明確化(理解)する クラウドの停止 代替案の準備 業務が停止しないように代替策 を準備する クラウドの仕様変更 設定の見直し 仕様変更により意図せず変更さ れた設定を適切な設定に直す (設定不備による情報漏洩や攻 撃への悪用を防止する) 引用: IPA - 情報セキュリティ10大脅威 2024 簡易説明資料 [組織編] P7 ➢ クラウドサービスを利用を想定した +αの対策を行い備える必要がある

  7. 7 +αの対策、できていますか?

  8. 8 AWSセキュリティの基本的な考え方 引用: AWS - クラウドセキュリティ - 責任共有モデル

  9. 9 つまり... 引用: AWS - クラウドセキュリティ - 責任共有モデル この範囲すべてを 対策する責任がある

  10. 10 本セッションでは ... クラスメソッド流 AWSセキュリティの 「責任」の果たし方 をご紹介します

  11. 11 本日お話しすること 1. セキュリティ対策を始める 2. セキュリティを運用する 3. セキュリティ対策状況を可視化する

  12. 12 1. セキュリティ対策を始める

  13. 13 AWSセキュリティ対策 どこから始めたらいい?

  14. 14 包括的なクラウドセキュリティ対策の実装 責任範囲の すべてのレイヤー への対策の実装が必須! • AWSレイヤーのセキュリティ ◦ AWS IAM、Amazon

    S3、Amazon EC2などAWSリソース • OS / アプリケーションレイヤー のセキュリティ ◦ ネットワーク、OS/ミドルウェア、アプリケーション、コンテナなど 引用: 「コンテナもサーバーレスも、 AWSの各レイヤーの最新セキュリティ」というタイトルで登壇しました | DevelopersIO

  15. Amazon GuardDuty AWSレイヤーの脅威検知を 実装できる 例) Amazon S3上のオブジェクトへの 不正アクセス を検知 AWSアカウント上の異常なAPIリ

    クエストを検知 15 AWSレイヤーの対策サービス AWS Security Hub セキュリティ違反が含まれる AWSリソースの設定を検知で きる 例) ルートユーザー のAWS IAM アクセスキー の存在を検知 誤ってパブリック公開 された Amazon RDSを検知 AWS Key Management Service (KMS) クラウド上のストレージを独自 のキーを利用して暗号化で きる 例) Amazon EC2上のコンテンツを保 存したAmazon EBSを暗号化 S3バケット上のオブジェクトを AWS側で暗号化する

  16. Amazon GuardDuty OS/アプリ・コンテナ等の脅威 検知を実装できる 例) Amazon EC2からの コインマイニング通信 を検知 Amazon

    EC2上の OSのマルウェア感染 を検知 Amazon ECSのコンテナランタイ ムの異常な振る舞い を検知 16 OS / アプリレイヤーの対策サービス AWS WAF Web通信を監視/ブロックでき るAWSマネージドなWAFを 実装できる 例) SQLインジェクション、XSSなど脆 弱性を悪用した攻撃 や、 不正なBotによるアクセス を 遮断する Amazon Inspector Amazon EC2やコンテナ、 AWS Lambda上の脆弱性を スキャンできる 例) Amazon EC2にインストールされ たパッケージの脆弱性 を検知 AWS Lambda関数のコード内に 含まれる脆弱性 を検知

  17. 17 その他やるべきセキュリティ対策設定 • AWS CloudTrail証跡の設定 • AWS Configのすべてのリソースの記録 • Amazon

    S3 アカウントレベルのブロックパブリックアクセス の有効化 • Amazon EBSのデフォルト暗号化 • デフォルトVPCの削除 • 各種セキュリティサービスの通知設定

  18. 18 弊社サービス : セキュアアカウントのご紹介 • 各種必要なセキュリティ設定を有効化した状態でAWSアカウントを払 い出します • 誤って設定変更しても元のセキュアな設定に戻します 引用:

    AWSアカウントセキュリティ | AWS総合支援 | クラスメソッド株式会社

  19. 19 セキュアアカウント全体図 引用: AWSアカウントセキュリティ | AWS総合支援 | クラスメソッド株式会社

  20. 20 2. セキュリティを運用する

  21. 21 AWSセキュリティ運用 何から始めたらいい?

  22. 22 負荷の少ないセキュリティ運用の実施 • コスパの良い AWSのセキュリティサービスの運用から始 めるべき ◦ 悩んだらAmazon GuardDuty、AWS Security

    Hubの運用から始 めよう ◦ 各種AWSセキュリティサービスのアラートを Slack・メールへ通知させるところがスタートライン ◦ セキュリティアラート通知時の担当者や是正・調査を行うための 対応フローを事前に決めておけるとベスト

  23. 23 セキュリティ通知構成の例

  24. 24 弊社サービス : インシデント自動調査のご紹介 引用: インシデント自動調査 | AWS総合支援 | クラスメソッド株式会社

    • Amazon GuardDutyの検出結果を自動で調査、概要の可視化、 判断に役立つレコメンドを合わせて日本語で通知します • 「クラスメソッドメンバーズプレミアムサービス」の加入特典

  25. 25 インシデント自動調査サービスの概要 引用: インシデント自動調査 | AWS総合支援 | クラスメソッド株式会社 Amazon GuardDuty

    Amazon GuardDuty AWSマネジメントコンソール

  26. 26 弊社サービス : Classmethod Cloud Guidebookのご紹介 引用: クラスメソッドメンバーズのお客様向けに公開している「 Classmethod Cloud

    Guidebook (CCG)」の使い方 | DevelopersIO • 「クラスメソッドメンバーズ」のお客様向けに無償公開している AWS活用のノウハウが詰まったナレッジ集 • AWS Security Hubガイドでは、AWS Security Hubの各検知項目の解 説、無効化/抑制する場合の判断基準がまとめられています

  27. 27 3. セキュリティ対策状況を可視化する

  28. 28 AWSセキュリティ対策 どの程度できていますか?

  29. 29 セキュリティ対策状況の可視化 • 簡易的なもので十分であればAWS Security Hubの有効 化でOK ◦ AWS Security

    Hubによるチェック範囲はAWS上の設定値のみ である点に注意 • 広範囲のセキュリティをどのように可視化すべきか? が課題となる ◦ 手段の1つとして『AWSセキュリティ成熟度モデル 』 を活用した可視化がオススメ

  30. 30 AWSセキュリティ成熟度モデルとは • 正式名称: AWS Security Maturity Model (英語) •

    AWSから提供されている、組織においてAWSセキュリティ対 策がどの程度実現できているか定量的に測るためのフレーム ワーク • AWS公式ドキュメントではないが活用実績がある ◦ 100人以上の AWS SAによる使用例、過去12ヶ月で40000人超のユニーク ユーザー • 公式のアセスメントツール(Excel)が提供されており、項目を埋めていく ことで対策状況を可視化できる ◦ ※日本語対応していないため、英語から翻訳する必要あり

  31. 31 AWSセキュリティ成熟度モデルの全体像 • 具体的なセキュリティ対策が 9つのカテゴリ(対策の種類)と 4つ のフェーズ(レベル)で分類されている

  32. 32 弊社支援: AWSセキュリティ強化プログラムの紹介 • セキュリティ成熟度モデルを独自にチューニングし、日本語化したツールを 利用してセキュリティ状況をヒアリング・可視化します • 可視化した上で、対策が不十分 or 更に強化したい項目への強化案の提

    案・実施まで対応します

  33. 33 まとめ • セキュリティ対策を始める ◦ AWSレイヤー、OS/アプリレイヤーのすべてで対策しよう • セキュリティを運用する ◦ まずはAWS

    Security Hub、Amazon GuardDutyの運用から始め よう • セキュリティ対策状況を可視化する ◦ 簡易的なチェックであればAWS Security HubでOK ◦ より広範囲なチェックは AWSセキュリティ成熟度モデルの活用 をオススメ

  34. 34