Upgrade to Pro
— share decks privately, control downloads, hide ads and more …
Speaker Deck
Features
Speaker Deck
PRO
Sign in
Sign up for free
Search
Search
AWSアカウントセキュリティ(セキュアアカウント) 入門セミナー ~面倒な設定はクラスメソッド...
Search
こーへい
September 22, 2023
Education
0
3.7k
AWSアカウントセキュリティ(セキュアアカウント) 入門セミナー ~面倒な設定はクラスメソッドにお任せ!~
こーへい
September 22, 2023
Tweet
Share
More Decks by こーへい
See All by こーへい
コンテナセキュリティ入門ウェビナー ~ECS on Fargate構成に必要なセキュリティ対策を知ろう~
koheiyoshikawa
0
970
〜AWS初心者向け〜 ベストプラクティスから学ぶ 「AWSセキュリティの高め方」
koheiyoshikawa
1
1.1k
ECSの仕組み解説~ECSをチャーハンセットに例えてみた~ #devio2023
koheiyoshikawa
0
3.5k
Other Decks in Education
See All in Education
Image Processing 1 : 1.Introduction
hachama
0
440
自分にあった読書方法を探索するワークショップ / Reading Catalog Workshop
aki_moon
0
240
Security, Privacy and Trust - Lecture 11 - Web Technologies (1019888BNR)
signer
PRO
0
2.6k
Algo de fontes de alimentación
irocho
1
440
Stratégie de marketing digital - les fondamentaux
martine
0
140
2409_CompanyInfo_Hanji_published.pdf
yosukemurata
0
640
コンセプトシェアハウス講演資料
uchinomasahiro
0
520
勉強する必要ある?
mineo_matsuya
2
2.3k
HCI Research Methods - Lecture 7 - Human-Computer Interaction (1023841ANR)
signer
PRO
0
750
Web Architectures - Lecture 2 - Web Technologies (1019888BNR)
signer
PRO
0
2.7k
Carving the Way to Ruby Engineering
koic
3
460
Ch2_-_Partie_3.pdf
bernhardsvt
0
110
Featured
See All Featured
GraphQLとの向き合い方2022年版
quramy
44
13k
Agile that works and the tools we love
rasmusluckow
328
21k
Into the Great Unknown - MozCon
thekraken
33
1.5k
The Art of Delivering Value - GDevCon NA Keynote
reverentgeek
8
1.2k
Navigating Team Friction
lara
183
15k
Unsuck your backbone
ammeep
669
57k
Statistics for Hackers
jakevdp
796
220k
Large-scale JavaScript Application Architecture
addyosmani
510
110k
GitHub's CSS Performance
jonrohan
1030
460k
The Cult of Friendly URLs
andyhume
78
6.1k
[Rails World 2023 - Day 1 Closing Keynote] - The Magic of Rails
eileencodes
33
2k
BBQ
matthewcrist
85
9.4k
Transcript
AWSアカウントセキュリティ(セキュアアカウント) 入門セミナー ~面倒な設定はクラスメソッドにお任せ!~ クラスメソッド株式会社
3 本日の流れ 1. 本セミナーの対象者 2. セキュアアカウントの概要とメリット 3. セキュアアカウントの始め方 a. 初期導入機能
b. 設定維持機能 4. セキュアアカウントを始めたら 5. セキュアアカウント運用について 6. まとめ
4 本セミナーの対象者 1. 本セミナーの対象者 2. セキュアアカウントの概要とメリット 3. セキュアアカウントの始め方 a. 初期導入機能
b. 設定維持機能 4. セキュアアカウントを始めたら 5. セキュアアカウント運用について 6. まとめ
5 本セミナーの対象者 • 対象者 ◦ クラスメソッドメンバーズ加入済み(予定) ▪ エンジニアや管理職の方 ▪ AWSアカウントのセキュリティ対策を何したら良いか分から
ない方 • 学べること ◦ セキュアアカウントサービスの概要や導入メリット ◦ セキュアアカウントの始め方〜運用イメージ • 目標 ◦ セキュアアカウント導入検討の判断材料が得られていること
6 本セミナーの対象者
7 セキュアアカウントの概要とメリット 1. 本セミナーの対象者 2. セキュアアカウントの概要とメリット 3. セキュアアカウントの始め方 a. 初期導入機能
b. 設定維持機能 4. セキュアアカウントを始めたら 5. セキュアアカウント運用について 6. まとめ
8 セキュアアカウント とは? セキュアアカウントの概要とメリット
9 セキュアアカウントの概要とメリット セキュアアカウントとは、AWSが推奨するセキュリティベストプラクティスをアカウントに 適用いただけるサービスです。 セキュアアカウントを利用すると、AWSアカウントに対する最低限のセキュリティ対策を手 軽に実装できます。 • AWSアカウント内の脅威に対して「事前防止」「発見」「調査」各 フェーズの対策 ◦
事前防止:アカウント内の危険な設定の検知 ◦ 発見:アカウント内の不正利用など危険な挙動の検知 ◦ 調査:アカウント内の操作・リソース記録の管理や調査サポート • アカウント内の危険な設定を是正した状態での払い出し
10 想定インシデント の紹介 想定インシデントの紹介
11 想定インシデント:不正アクセスによるコインマイニング被害
12 想定インシデント:不正アクセスによるコインマイニング被害
13 想定インシデント:不正アクセスによるコインマイニング被害
14 想定被害額 • 想定被害額 ◦ 1時間で数百ドル(500$)と仮定した場合 ▪ 単純計算で、1日だと$12000、一ヶ月で$360000 ▪ 2023/6/27時点でのドル円レート143.45円で計算すると、
一ヶ月の被害額は約5164万円
15 想定インシデント に対する セキュアアカウントの有効性 想定インシデントに対するセキュアアカウントの有効性
16 想定インシデントに対するセキュアアカウントの有効性
17 想定インシデントに対するセキュアアカウントの有効性 • 事前防止:Security Hub ◦ 今回の場合は、IAMユーザーアカウントにMFAが登録されてい ないことを検知する • 発見:GuardDuty
◦ 今回の場合は、アカウント内の不正アクセスやコインマイニン グの挙動を検知する
18 想定インシデントに対するセキュアアカウントの有効性 • 調査:Detective、GuardDuty、CloudTrail、Config ◦ 今回の場合は、攻撃者のアカウント内の動きの記録を確認する • 対応 ◦ GuardDutyの検出結果タイプが対応の参考になる
◦ クラスメソッドメンバーズご利用のお客様は、不正利用等の対 応をサポートさせていただきます ◦ それでも被害を最小限に食い止めるためには、事前に対応体制 を整えておくことが必要です
19 想定インシデントまとめ • セキュアアカウントを利用することで、不正利用の各フェーズに て対策が行えます! • 様々な攻撃手法でアカウントは常に脅威に晒されていますので、 セキュアアカウントを利用し、被害の事前防止や縮小に努めま しょう •
一番事例の多いアクセスキー流出からのコインマイニング被害は 下記記事をご参照ください ◦ 参考:【実録】アクセスキー流出、攻撃者のとった行動とその 対策
20 セキュアアカウント全体図 の紹介 セキュアアカウント全体図
21 セキュアアカウント全体図
22 セキュリティサービス有効化+チューニング機能の紹介
23 セキュリティアラート整形+通知設定機能の紹介
24 AWS上の証跡管理の紹介
25 初期設定の是正機能紹介
26 料金の紹介 料金の紹介
27 料金の紹介 • 前提 ◦ AWSサービスの利用費のみ頂戴します ◦ 設定手数料などの諸費用はいただきません • 料金がかかるサービス例
◦ Amazon GuardDuty ◦ Amazon Detecitve ◦ AWS Security Hub ◦ AWS Config ◦ AWS Key Management Service ◦ etc
28 料金の紹介 • AWSサービス利用費は以下に依存します ▪ Amazon GuardDutyとAmazon Detective • AWS内の操作回数
• VPC内のトラフィック量 • Route53による名前解決の回数 • その他保護対象リソース(S3やEKSなど)に関する諸分析量 • etc ▪ AWS Config と AWS Security Hub • AWSリソースの構築や設定変更の回数 • etc
29 料金の紹介 • 実際にかかる料金 ◦ アカウント内全体利用費の数%程度の追加が目安となります ◦ AWSアカウントの操作や利用がほとんどない状態でも毎月 $5〜 $15
程度発生します
30 セキュアアカウントの始め方(初期導入機能) 1. 本セミナーの対象者 2. セキュアアカウントの概要とメリット 3. セキュアアカウントの始め方 a. 初期導入機能
b. 設定維持機能 4. セキュアアカウントを始めたら 5. セキュアアカウント運用について 6. まとめ
31 セキュアアカウントの始め方(初期導入機能)
32 セキュアアカウントの始め方(初期導入機能) 1. 新規アカウントを発行する場合(組織管理プランなど一部プランのぞ く)、こちらのフォームにて新規アカウント発行申請を行います。 2. その後、アカウント情報ページのセキュリティ設定オプションにて「セ キュア」を選択します。
33 セキュアアカウントの始め方(初期導入機能)
34 セキュアアカウントの始め方(設定維持機能) 1. 本セミナーの対象者 2. セキュアアカウントの概要とメリット 3. セキュアアカウントの始め方 a. 初期導入機能
b. 設定維持機能 4. セキュアアカウントを始めたら 5. セキュアアカウント運用について 6. まとめ
35 セキュアアカウントの始め方(設定維持機能)
36 セキュアアカウントの始め方(設定維持機能) • 「設定維持」機能の概要紹介 ◦ メンバーズポータルサイトから利用 ◦ 毎週土曜日にメンテナンスが実施 ◦ 発行済みアカウントに対しても「初期導入」機能の設定再現可能
37 セキュアアカウントの始め方(設定維持機能)
38 セキュアアカウントの始め方(設定維持機能)
39 セキュアアカウントの始め方(設定維持機能)
40 セキュアアカウントの始め方(設定維持機能)
41 セキュアアカウントの始め方(設定維持機能)
42 発行済みアカウントに完全なセキュアアカウントを適用する場合 • 発行済みアカウントにて、 「初期導入」機能を再現する 場合は、左図の設定にて保存 します。 • 既存の環境に影響を与える可 能性がございますので、必ず
メンバーズサービス仕様書を ご確認いただいた上でのご利 用をお願いします
43 セキュアアカウントを始めたら 1. 本セミナーの対象者 2. セキュアアカウントの概要とメリット 3. セキュアアカウントの始め方 a. 初期導入機能
b. 設定維持機能 4. セキュアアカウントを始めたら 5. セキュアアカウント運用について 6. まとめ
44 セキュアアカウント利用後の作業 • 以下の作業が必要になります。 ◦ IAMユーザーのMFA登録作業 ▪ 参考:AWS IAM MFAをスマートフォンで設定する方法
◦ 「Security Hub」「GuardDuty」「IAM Access Analyzer」の検知 メールの登録作業 ▪ 参考:【セキュアアカウント】セキュリティアラートをメールで 通知してみよう ◦ Security Hubのスコアを100%にする作業 ▪ 参考:[入門]社内勉強会で AWS Security Hubの話をしました
45 セキュアアカウント運用について 1. 本セミナーの対象者 2. セキュアアカウントの概要とメリット 3. セキュアアカウントの始め方 a. 初期導入機能
b. 設定維持機能 4. セキュアアカウントを始めたら 5. セキュアアカウント運用について 6. まとめ
46 セキュアアカウント運用について(事前防止)
47 セキュアアカウント運用について(事前防止) • 事前防止 ◦ 被害発生を防ぐためSecurity Hubのスコアは常に100%を目指す • 危険設定が検知された際は、設定を修復します •
検知内容に問題ない場合は、アラートを抑制します ◦ 参考 ▪ [入門]社内勉強会で AWS Security Hubの話をしました • Security Hubの概要が分かります ▪ AWS Security Hub 基礎セキュリティのベストプラクティスコン トロール修復手順の記事一覧 • 設定の修復手順がまとめられています
48 セキュアアカウント運用について(発見) • 発見 ◦ GuardDutyで脅威を発見しましょう • 不正利用等の脅威が発生した場合にすぐ気付けるようにする ◦ 先ほど紹介した検知メール登録作業を行う
◦ 脅威が発生した際に、迅速に対応する体制を作る ◦ 参考 ▪ [2021年版]Amazon GuardDutyによるAWSセキュリティ運用を考え る • GuardDutyの概要が分かります ▪ 検出結果タイプ • GuardDutyが検知する脅威がまとめられています
49 セキュアアカウント運用について(調査と対応) • 調査と対応 ◦ Detective等を使用して脅威イベントの情報を収集する ▪ 脅威レベルを把握し、適切な対応を行いましょう ▪ 対応はクラスメソッドからもサポート可能です
• お問い合わせはメンバーズポータルのお問い合わせページから ◦ 参考 ▪ [神ツール]セキュリティインシデントの調査が捗るAmazon Detectiveが GAしたのでメリットとオススメの使い方を紹介します • Detectiveの概要が分かります ▪ 【実録】アクセスキー流出、攻撃者のとった行動とその対策 • 不正アクセスが発生した際の対応までの流れが分かります
50 まとめ 1. 本セミナーの対象者 2. セキュアアカウントの概要とメリット 3. セキュアアカウントの始め方 a. 初期導入機能
b. 設定維持機能 4. セキュアアカウントを始めたら 5. セキュアアカウント運用について 6. まとめ
51 セキュアアカウントまとめ • セキュアアカウントはクラスメソッドが長年に渡り培ってきたセ キュリティベストプラクティスを詰め込んだサービスです • セキュリティ対策にお困りの方はセキュアアカウントを導入し、 AWSが推奨するセキュリティベストプラクティスを整えましょう
52 参考ページ • メンバーズポータルお問い合わせページ • AWSアカウントセキュリティ • クラスメソッドメンバーズ サービス仕様書 •
[安全なAWSセキュリティ運用ナレッジ2022]セキュアアカウントの使 い方 • セキュアアカウント発行サービスに関するFAQ ◦ 設定の変更・解除方法等も記載しています