Upgrade to Pro — share decks privately, control downloads, hide ads and more …

Security-JAWS#29 AWS Summit Tokyo 2023 オンデマンド配信...

勝原達也(Tatsuya Katsuhara)
May 25, 2023
Technology
1
540

Security-JAWS#29 AWS Summit Tokyo 2023 オンデマンド配信を楽しむためのセキュリティ関連トピックご紹介

2023年4月20-21日で開催されたAWS Summit Tokyo 2023。
オンデマンド配信が 5/22-6/23 で実施されます。

現地に来た方も来れなかった方も、オンデマンド配信を楽しむためにre:Cap兼、セキュリティセッションpick upしておきました。

AWS セッション(58)
事例セッション(52)
パートナーセッション(33)

勝原達也(Tatsuya Katsuhara)

May 25, 2023
Tweet

More Decks by 勝原達也(Tatsuya Katsuhara)

See All by 勝原達也(Tatsuya Katsuhara)
NIST SP800-63-4 IPD 63A: Identity Proofing 概要紹介
kthrtty
0
8k
9連休あればどこでも行ける(Tips編)
kthrtty
0
200
NFC通信を覗いてみよう @ IoTSecJP#6
kthrtty
8
11k
認証にまつわるセキュリティの新常識 rev3
kthrtty
70
45k
OpenID 2.0 Specification (OpenID TechNight Vol.3資料)
kthrtty
1
690

Other Decks in Technology

See All in Technology
適材適所の技術選定 〜GraphQL・REST API・tRPC〜 / Optimal Technology Selection
kakehashi
1
630
【Startup CTO of the Year 2024 / Audience Award】アセンド取締役CTO 丹羽健
niwatakeru
0
1.1k
Application Development WG Intro at AppDeveloperCon
salaboy
0
190
Terraform未経験の御様に対してどの ように導⼊を進めていったか
tkikuchi
2
430
SREによる隣接領域への越境とその先の信頼性
shonansurvivors
2
520
Amazon CloudWatch Network Monitor のススメ
yuki_ink
1
210
障害対応指揮の意思決定と情報共有における価値観 / Waroom Meetup #2
arthur1
5
480
Why App Signing Matters for Your Android Apps - Android Bangkok Conference 2024
akexorcist
0
130
DynamoDB でスロットリングが発生したとき_大盛りver/when_throttling_occurs_in_dynamodb_long
emiki
1
370
安心してください、日本語使えますよ―Ubuntu日本語Remix提供休止に寄せて― 2024-11-17
nobutomurata
1
1k
Engineer Career Talk
lycorp_recruit_jp
0
180
アジャイルでの品質の進化 Agile in Motion vol.1/20241118 Hiroyuki Sato
shift_evolve
0
160

Featured

See All Featured
The Power of CSS Pseudo Elements
geoffreycrofte
73
5.3k
Designing Experiences People Love
moore
138
23k
Creating an realtime collaboration tool: Agile Flush - .NET Oxford
marcduiker
25
1.8k
The World Runs on Bad Software
bkeepers
PRO
65
11k
Build The Right Thing And Hit Your Dates
maggiecrowley
33
2.4k
Music & Morning Musume
bryan
46
6.2k
The Pragmatic Product Professional
lauravandoore
31
6.3k
What's in a price? How to price your products and services
michaelherold
243
12k
What’s in a name? Adding method to the madness
productmarketing
PRO
22
3.1k
What's new in Ruby 2.0
geeforr
343
31k
Unsuck your backbone
ammeep
668
57k
Teambox: Starting and Learning
jrom
133
8.8k

Transcript

  1. © 2023, Amazon Web Services, Inc. or its affiliates. All

    rights reserved. © 2023, Amazon Web Services, Inc. or its affiliates. All rights reserved. AWS Summit Tokyo 2023 オンデマンド配信を楽しむための セキュリティ関連トピックご紹介 勝原 達也 S E C U R I T Y - J A W S # 2 9 アマゾン ウェブ サービス ジャパン合同会社 技術統括本部 セキュリティソリューションアーキテクト kthrtty

  2. © 2023, Amazon Web Services, Inc. or its affiliates. All

    rights reserved. 勝原 達也 (Tatsuya Katsuhara) セキュリティソリューション アーキテクト 経歴 • コンシューマ向けデジタル・アイデンティティサービスの企画・開発 • Web、⼯場・プラント、IoT・⾃動⾞のセキュリティ診断 • AWS にてお客様のクラウド活⽤に関連するセキュリティ課題解決 ⾃⼰紹介 2

  3. © 2023, Amazon Web Services, Inc. or its affiliates. All

    rights reserved. 3 AWS Summit Tokyo 2023 オンデマンド配信はじまりました (5/22〜6/23)

  4. © 2023, Amazon Web Services, Inc. or its affiliates. All

    rights reserved. 4

  5. © 2023, Amazon Web Services, Inc. or its affiliates. All

    rights reserved. 現地開催ならではのハードウェア展⽰ 5

  6. © 2023, Amazon Web Services, Inc. or its affiliates. All

    rights reserved. 6

  7. © 2023, Amazon Web Services, Inc. or its affiliates. All

    rights reserved. 7 本当は全て⾒ていただきたいけれど みなさん仕事に家庭に趣味に⾊々ある…

  8. © 2023, Amazon Web Services, Inc. or its affiliates. All

    rights reserved. 8 AWS セッション(58) + 事例セッション(52) + パートナーセッション(33) 代わりに眺めておきました ほぼ全てのセッションでセキュリティに⾔及あり 全て紹介したいけれど、泣く泣く⼀部のみ Pick up

  9. © 2023, Amazon Web Services, Inc. or its affiliates. All

    rights reserved. © 2023, Amazon Web Services, Inc. or its affiliates. All rights reserved. AWS セッション 9

  10. © 2023, Amazon Web Services, Inc. or its affiliates. All

    rights reserved. ストレージ視点でのセキュリティ AWS-02 性能、コスト、保護すべてがかなう AWS ストレージサービス ストレージはデータを保護する アーキテクチャを構成するための 重要コンポーネント • データ保護 • 災害対策 • ランサムウェア 10 © 2023, Amazon Web Services, Inc. or its affiliates. All rights reserved. Amazon FSx for Windows File Server Amazon EFS Amazon FSx for Lustre Amazon FSx for NetApp ONTAP Amazon FSx for OpenZFS ファイルストレージ Windows VSS on EC2 AWS Backup による⼀元保護 ストレージ性能 コスト データ保護 まとめ はじめに バックアップ 別リージョン保管 改変不可 Amazon EBS Amazon Aurora Amazon RDS Amazon Neptune Amazon DocumentDB Amazon DynamoDB Amazon S3 VMware Cloud on AWS Amazon EC2 AWS Storage Gateway Amazon Redshift Amazon Timestream AWS CloudFormation VMware 仮想マシン AWS Outpost ⼀元管理 •1 つのコンソールで管理 •リソースおよびタグ指定の バックアップポリシー設定 •IAM ポリシーでアクセス制御 ⾃動化 •スケジュール バックアップ •保持期限を ⾃由に設定 コンプライアンス •KMS による暗号化 •読み取り専⽤(WORM) •AWS Backup Audit Manager でコンプライアンス準拠の確認 ブロックストレージ データベース オブジェクト ストレージ コンピュート データの移動 マネジメント アプリケーション オンプレミス SAP HANA on EC2 © 2023, Amazon Web Services, Inc. or its affiliates. All rights reserved. クロスリージョンレプリケーション Amazon EFS Amazon S3 Amazon FSx Amazon EFS Amazon S3 Amazon FSx 東京リージョン ⼤阪リージョン ストレージ性能 コスト データ保護 まとめ はじめに バックアップ 別リージョン保管 改変不可 AWS Cloud クロスリージョンレプリケーション • Amazon EFS レプリケーション • Amazon S3 クロスリージョンレプリケーション • AWS DataSync によるレプリケーション • NetApp SnapMirror によるブロック差分 レプリケーション © 2023, Amazon Web Services, Inc. or its affiliates. All rights reserved. AWS Backup RDS インスタンス EC2 インスタンス ファイルシステム ランサムウェアへの対策 ストレージ性能 コスト データ保護 まとめ はじめに バックアップ 別リージョン保管 改変不可 Vault Lock S3 Object Lock 業務アカウント Backup Vault VPC VPC 保護⽤アカウント Amazon S3 悪意のある攻撃者 によるデータ暗号化 (新)業務アカウント EC2 インスタンス RDS インスタンス ファイル システム リストア Amazon S3 Backup Vault VPC 暗号化

  11. © 2023, Amazon Web Services, Inc. or its affiliates. All

    rights reserved. ネットワークアーキテクチャとセキュリティ AWS-03 AWS ネットワーク管理をステップアップしたい⽅に送る、次の⼀⼿ AWS-42 AWS Cloud WAN を使⽤したAWS グローバルネットワーク インフラストラクチャの活⽤ AWS におけるオンプレと VPC の 接続パターンを俯瞰して把握するの に役⽴つ • Client VPN • Site-to-Site VPN • Direct Connect • Transit Gateway 11 © 2023, Amazon Web Services, Inc. or its affiliates. All rights reserved. 17 Public subnet Private subnet C 要件が異なる拠点からVPCに接続 ユースケース • ⾃宅勤務者の接続 • セキュアなサイト間接続 • ⼤規模拠点から接続 メリット • 要件に合わせてコストを最適化 選択肢 • AWS Client VPN • AWS Site-to-Site VPN • AWS Direct Connect 本社 VPC VGW Security group Security group Direct Connect Site-to-Site VPN Client VPN ⽀店 ホーム オフィス CGW VPN Endpoint CGW CGW: Customer Gateway VGW: Virtual Private Gateway ELB VPNソフト © 2023, Amazon Web Services, Inc. or its affiliates. All rights reserved. 18 Subnet AWS Direct Connect ポイント • オンプレミスから専⽤線でDirect Connectロケーションに接続 • 1, 10, 100Gbpsのポート速度を サポート • 接続の中に仮想インターフェイス (VIF)を作成 • VIFは接続対象別に3タイプ トランジット︓TGW⽤のDXGW プライベート︓VGW⽤のDXGW パブリック︓AWSクラウド • パートナー経由の利⽤で多くの選 択肢から要件に合わせて選定 VPC 本社 お客様 ルータ Direct Connect デバイス パートナー機器 お客様機器 Direct Connect ゲートウェイ S3 リージョン AWS Transit Gateway Dynamo DB DC内構内接続 通信事業者提供 VGW

  12. © 2023, Amazon Web Services, Inc. or its affiliates. All

    rights reserved. 運⽤からセキュリティを考える AWS-04 インシデントを起点に考える、システム運⽤のユースケースご紹介 セキュリティは予防的統制だけじゃない、 運⽤が回るセキュリティのヒントにして いただきたい • インシデント対応 • イベントログ • ⾃動化ソリューション • 特権 ID 管理 • セキュアなノードアクセス 12 © 2023, Amazon Web Services, Inc. or its affiliates. All rights reserved. Incident Manager ⾃動化された対応プランによりアプリケーションの問題をより迅速に解決 ! AWS Chatbot Amazon Chime Slack Incident Manager Systems Manager Automation 電話 メール 適切な担当者に エンゲージメント 関係者間の コミュニケーション円滑化 • インシデント詳細 • 定義済みの対応⼿順 • 連絡先 インシデント対応の効率化・⾃動化 問 題 解 決 後 インシデント 分析 改善項⽬や 根本原因の 振り返り インシデント SMS Teams 27 © 2023, Amazon Web Services, Inc. or its affiliates. All rights reserved. Diagnosis (診断) さらに、AWS 以外のソースの アクティビティイベントも集約可能 AWS 以外のソース Ø AWS Config とも統合されているから、「誰が」「いつ」 「どのリソースで」「何を変更したのか」までわかる Ø マルチアカウント・マルチリージョンで横断検索 Point CloudTrail Lake AWS CloudTrail Lake イベントに対して SQL ベースのクエリができる CloudTrail の画⾯上で、 イベントの分析ができる AWS CloudTrail Lake についてはこちら 58 58 © 2023, Amazon Web Services, Inc. or its affiliates. All rights reserved. AWS Systems Manager Change Manager 運⽤上の変更をリクエスト、承認、実装、および報告するための エンタープライズ変更管理フレームワーク 変更 リクエスト 承認者 承認 変更 テンプレート ・作業内容 ・承認者 処理実⾏ Automation Ø AWS リージョン間、複数の AWS アカウント間で機能する Point Mitigation (緩和) 変更を管理するためのダッシュボードも 変更リクエストの状況 承認者ビュー AWS Systems Manager Change Manager についてはこちら 68

  13. © 2023, Amazon Web Services, Inc. or its affiliates. All

    rights reserved. 可⽤性はセキュリティの重要要素 - レジリエンス AWS-14 Resilience at AWS 回復⼒のあるシステムを作る為の設計指針 AWS-43 ミッションクリティカルシステムを AWS に載せるには︖ AWS-49 ⾦融機関に求められるレジリエンスの AWS 環境での実装⼿法 AWS を活⽤して可⽤性・回復性を⾼めていくためのアーキテクチャ 13 © 2023, Amazon Web Services, Inc. or its affiliates. All rights reserved. High Availability 設計および運⽤メカニズムに よる⼀般的な障害に対する耐性 Disaster recovery まれではあるが影響の⼤きい障害に ついて、⽬標内に運⽤に戻る コア サービス、可⽤性の⽬標を達成する ための設計 バックアップ、データ管理、RTO/RPOの管理 適切に Resilience in the Cloud を設計するには︖ CI/CD、Code の改善、運⽤テスト、Observability / モニタリング、 カオスエンジニアリング 以下の3つの観点で分けて考える Resilience の継続性 © 2023, Amazon Web Services, Inc. or its affiliates. All rights reserved. ミッションクリティカルシステムを検討 アーキテ クチャ 可⽤性 性能・拡張性 運⽤・保守性 移⾏性 セキュリティ システム環境・ エコロジー 機能要件(プロセス) 機能要件(データ) 機能要件(インター フェイス) 本セッションの フォーカス 調整 調整 調整 調整 調整 調整 検討 静的安定性 &冗⻑化 up © 2023, Amazon Web Services, Inc. or its affiliates. All rights reserved. クラウドにおける業務中断シナリオ シナリオ例 対応アプローチ例 事業継続 計画発動 アプリケーションが プライマリリージョ ンで動作しない マルチリージョン 構成 顧客 サービス 影響あり アプリケーションが 1つのAvailability Zoneで動作しない Multi-AZ構成 平常時 アプリケーション コンポーネントの障 害 AutoScaling/ AutoHealing AWSにおける影響が重⼤で、起きる可能性 は低いものの想定しておくべき中断シナリオ Time SLA RTO RPO BCP DR 耐性度 サービスレベル Impact 平常時 顧客サービスに影響 (通常の障害回復⼿順) 事業継続計画/ 災害復旧計画の発動 お客様へ重⼤な影響 ⾦融システムへ重⼤な影響

  14. © 2023, Amazon Web Services, Inc. or its affiliates. All

    rights reserved. データ活⽤- DWH に関するセキュリティ AWS-35 AWS でミッションクリティカルなデータウェアハウスを構築する⽅法 データウェアハウスはミッションクリティカル性が求められてきている Amazon Redshift に備わる「セキュリティ」機能ご紹介 14 © 2023, Amazon Web Services, Inc. or its affiliates. All rights reserved. データセキュリティレベルの分類とアクセス制御 • データのセキュリティレベルを分類して 適切に保護していくことが重要 üData Analytics Lens : Best practice 3.3 – Understand data classifications and their protection policies • データ利⽤者が必要な限られたデータにのみ アクセスできるよう制御する ü機密データを不適切なユーザーや下流のシステム に伝播させない S A B C 全公開 極秘 © 2023, Amazon Web Services, Inc. or its affiliates. All rights reserved. ロール単位のアクセス制御 (RBAC) のメリット ü ------- ü ------- ü ------- ü ------- ü ------- ü ------- ü ------- 権限 データサイエン ティスト ユーザー データベース 開発者 ビジネス アナリスト … ロール 1 ロール 2 ロール 3 ロール データベース権限の管理を簡素化 権限のコレクションを「ロール」 としてまとめ、ユーザーに割当て ü 複数のロールを割当て可能 ü ロールのネストも可能 きめ細かい権限制御 ロールにはオブジェクト権限だけ でなくシステム権限も割当て可能 ü ユーザーやロールの作成 ü VACUUM, ANALYZE, TRUNCATE 列および⾏レベルのセキュリティ、 動的データマスキングと組み合わせて利⽤ © 2023, Amazon Web Services, Inc. or its affiliates. All rights reserved. ロールベースの アクセスコントロール ⾏および列レベル セキュリティ 動的データマスキングに よる機密データ保護 Amazon Redshift のアクセスコントロール 多様なデータアクセス要件に対応 多様なデータアクセス要件に 対応する必要のある ミッションクリティカルな データウェアハウスを⽀える機能 アクセスコントロールのために データの複製やビューの作成など 煩雑な管理は不要

  15. © 2023, Amazon Web Services, Inc. or its affiliates. All

    rights reserved. AWS における「ゼロトラスト」の考え⽅ AWS-39 AWS でゼロトラストを実現するためのアプローチ 3つの⼤切な考え⽅ • ネットワーク & アイデンティティ • ユースケースにフォーカス • 対象の特性に応じて柔軟に適⽤ 代表的なユースケースと AWS のビルディングブロック • リモートアクセス (AWS Verified Access) • マイクロセグメント化 (Amazon VPC Lattice) • Digital Transformation (AWS IoT) 15 © 2023, Amazon Web Services, Inc. or its affiliates. All rights reserved. ⼀部だけに注⽬せず 俯瞰的にとらえていく 幅広い観点で成熟度を⾼め 総合的なセキュリティ向上を 実現していく機会 データ デバイス ワークロード ⾃動化 & オーケスト レーション ネットワーク & 環境 ユーザー 可視性 & 分析 セキュリティ統制 ⽶国防総省 Zero Trust Reference Architecture より翻案 39 © 2023, Amazon Web Services, Inc. or its affiliates. All rights reserved. VPC AWS Cloud Private subnet ゼロトラストの考え⽅に基づいたシームレスな リモートアクセス体験を実現 アプリケーション アイデンティティ プロバイダ (IdP) アクセス ポリシー ALB, NLB, ENI* リモートユーザー AWS Verified Access SaaS ユーザー体験 マネージドセキュリティ 認証・認可済みアクセス 強⼒な認証 デバイス セキュリティ維持 59 デバイス管理 * Application Load Balancer * Network Load Balancer * Elastic Network Interface

  16. © 2023, Amazon Web Services, Inc. or its affiliates. All

    rights reserved. 権限管理のグランドデザインと優れたガードレール AWS-40 デジタルトランスフォーメーション(DX)の成功を⽀える権限管理 DX のための権限管理モダナイズ • セキュリティ & アジリティ グランドデザインと標準化の重要性 • マルチアカウント • データ境界 • Permissions Boundary • アクセス権限セット共通化 16 © 2023, Amazon Web Services, Inc. or its affiliates. All rights reserved. 今⽇の AWS ではマルチアカウントアーキテクチャ がベストプラクティス 23 AWS アカウント AWS アカウント AWS アカウント AWS アカウント AWS アカウント 本番 開発 セキュリティ 運⽤管理 アカウント統制 • AWS アカウントは理想的な環境分離の単位 • AWS アカウント毎の独⽴した権限管理、 リソースグループの明⽰的な境界 • 分離そのものがガードレールとして機能 AWS アカウントを環境の単位とする AWS 固有のプラクティス © 2023, Amazon Web Services, Inc. or its affiliates. All rights reserved. AWS アカウント群A AWS アカウント群C 新しい条件キーを活⽤したデータ保護の例 37 組織の AWS アカウント群 組織外の AWS アカウント 組織内の意図した範囲と のみ共有可能とする AWS アカウント群B AWS アカウントの 増減に追従する データ境界

  17. © 2023, Amazon Web Services, Inc. or its affiliates. All

    rights reserved. AWS Marketplace に関するセキュリティ AWS-44 [ISV や SaaS 事業者向け] AWS で⾃社ソフトウェアやサービスを販売 しよう︕ AWS マーケットプレイスを取り巻く状況と活⽤に関するご紹介 AMI やコンテナの出品に関連するセキュリティや継続的な⾃動スキャン セラーとバイヤーの双⽅をセキュリティ・知財の観点で保護 17 © 2023, Amazon Web Services, Inc. or its affiliates. All rights reserved. セキュリティに関するガイドライン セキュリティ イベントの発⽣ (CVE) セキュリティ 情報の監視 出品の レビュー セラーおよびバイヤーに Marketplace チームから通知 製品を更新 出品を⼀時制限 セラーはチェックリストおよび要件に従って イメージを構成する必要がある。 特にセキュリティに関する項⽬に準拠していない場合は 出品することができない • 既知の脆弱性、マルウェア、ウイルスが含まれていないこと • EoL を迎えた OS やライブラリを使⽤していないこと • パスワードベースの SSH 認証を禁⽌すること • クレデンシャルをイメージに含めないこと • HVM 仮想化および 64-bit アーキテクチャをベースにすること など 例えば © 2023, Amazon Web Services, Inc. or its affiliates. All rights reserved. セキュリティと IP (知的財産権) の保護について o セラー「⾃社の IP であるモデルを顧客に渡すのは抵抗が...」 Ø Marketplace から購⼊したモデルやアルゴリズムには、SageMaker の機能を 介してのみアクセスできます。バイヤーが直接イメージを pull したり モデルにアクセスすることはできません Ø モデルは保存時および転送時に暗号化されます。 Ø モデルが稼働する環境では、アウトバウンドのネットワークアクセスが制限 されています。 o バイヤー「学習のためとはいえ⾃社の機密データを他社に渡すのは抵抗が...」 Ø アルゴリズム製品を選択することで、データを⾃社の環境に保持したまま 学習を⾏いモデルを作成することできます。 Ø 学習はアウトバウンドのネットワークアクセスを持たない環境で実⾏される ため、データが外部に転送されることはありません。

  18. © 2023, Amazon Web Services, Inc. or its affiliates. All

    rights reserved. 仮想デスクトップによるセキュリティ確保のヒント AWS-47 仮想デスクトップ環境の運⽤を⾒直そう︕新たな仮想デスクトップ サービスの選択肢とAmazon AppStream 2.0 運⽤管理の Dive Deep データ保護、コンプライアンス、BYOD リスクへの考慮 Web 分離やアプリケーションのストリーミングなど⽤途別の複数選択肢 18 © 2023, Amazon Web Services, Inc. or its affiliates. All rights reserved. 現代の働き⽅の変化 “雇⽤主の83%が、リモートワークが会社の成功に寄 与したと述べている” – PwC study, January 2021 仮想コミュニケーション⽤ ツール 72% 安全な仮想環境 への接続 70% 投資を計画している ⽶国企業エグゼクティブの割合 分散型ワークモデルは今後も続く傾向 幅広い職務 ナレッジ ワーカー 映像 / 視覚化 タスク ワーカー M&A後の 従業員 派遣 労働⼒ BYOD ワーカー エンジニア / データ サイエンティスト トレーニング ラボ ⼯場と営業 出展︓PWC Remote Work Survey, January 2021 © 2023, Amazon Web Services, Inc. or its affiliates. All rights reserved. ユーザーの利⽤イメージ ①アプリケーション ②デスクトップ のどちらかを選択 ①アプリケーションをストリーミング ブラウザまたは クライアントアプリから AppStream 2.0 にアクセス ②デスクトップをストリーミング ① ② © 2023, Amazon Web Services, Inc. or its affiliates. All rights reserved. Amazon WorkSpaces Web 低コストで利⽤することができるフルマネージド仮想ブラウザサービス クライアント端末 クラウド上の仮想ブラウザ Amazon WorkSpaces Web 暗号化されたピクセルストリーム (AES 256 による強⼒な暗号化)

  19. © 2023, Amazon Web Services, Inc. or its affiliates. All

    rights reserved. © 2023, Amazon Web Services, Inc. or its affiliates. All rights reserved. 必要な技術︓③セキュリティ 1. 責任共有モデル 2. ISMAP, NIST SP800-53に関する理解 3. AWSが提供するリファレンスアーキテクチャの理解 4. ゼロトラスト 5. 予防的統制と、発⾒的統制 6. セキュリティ対策の⾃動化 7. サーバレスアーキテクチャの理解 8. IaCテンプレートの適⽤とセキュリティ対策のデフォルト化 9. AWS GuardDuty, AWS Security Hubなどの理解 10. パッチ、アップデートに柔軟なシステム運⽤ 11. クラウドに適した監査 © 2023, Amazon Web Services, Inc. or its affiliates. All rights reserved. 第1段階 第2段階 アプリケーションの変更を最⼩限に、 マネージドサービスを活⽤ インフラとアプリケーションを刷新してクラウドサービスをフル活⽤ ガバメントクラウドへの移⾏パターン Network 運⽤/Security Storage DB AP Network 運⽤/Security Storage DB AP マイクロ サービス マイクロ サービス マイクロ サービス • 単純なリホストによる移⾏ではなく、インフラとアプリケーションの同時刷新 を検討する • 同時刷新が困難な場合、第1段階の状態を経由する2段階移⾏の計画を⽴てる 出展︓デジタル庁「政府情報システムにおけるクラウドサービスの適切な利⽤に係る基本⽅針」 https://www.digital.go.jp/assets/contents/node/basic_page/field_ref_resources/e2a06143-ed29-4f1d-9c31- 0f06fca67afc/17ef852e/20221228_resources_standard_guidelines_guideline_01.pdf © 2023, Amazon Web Services, Inc. or its affiliates. All rights reserved. スタディログの可視化・分析 政府・⾃治体におけるクラウド利⽤とセキュリティ AWS-50 政府が求めるクラウドを適切(スマート)に利⽤するための設計原則 AWS-51 ⾃治体がガバメントクラウド利⽤に向けておさえておきたい 10 のこと AWS-52 教育データ利活⽤と教育ダッシュボードの構築 AWS-53 国の DX を⽀えるデジタル⼈材の育成 19 © 2023, Amazon Web Services, Inc. or its affiliates. All rights reserved. 15 どういった仕組みなのか︖ AWS CloudTrail AWS Config ・AWSアカウント作成 ・SSO User作成 ・操作ログ改竄防⽌ ・予防的統制(SCP) ・発⾒的統制(Config Rule) ・不正アクセス脅威検出 ・セキュリティ⾃動チェック デジタル庁がAWS Control Towerで AWSアカウントを⾃治体へ払い出す。 ⾃治体利⽤に必要な機能が事前設定 Amazon GuardDuty AWS Security Hub テンプレート 通知への対応 設定されているサービス ※代表的なもの 利⽤開始時からセキュリティ基準が⾼い AWSアカウ ント 1 AWS Trusted Advisor AWS Budgets ⾃治体 デジタル庁が設定

  20. © 2023, Amazon Web Services, Inc. or its affiliates. All

    rights reserved. © 2023, Amazon Web Services, Inc. or its affiliates. All rights reserved. お客様セッション(抜粋) 20

  21. © 2023, Amazon Web Services, Inc. or its affiliates. All

    rights reserved. AWS を活⽤した全社共通クラウド基盤 (1 of 2) 21 CUS-02 中外製薬 様 • 全てのバリューチェーンで AWS を活⽤ • 次期クラウド基盤を超短期間でリリース実現 • アジリティとセキュリティ(ガードレール) • アカウント⾃動⽣成、セルフサービス化 CUS-05 三菱マテリアル 様 • DX - データとデジタル技術活⽤による改⾰ • セキュリティを維持しながらも不確実なニーズ に対応できる基盤 “MMCG クラウド” • 全社共通環境 (IT部⾨) と各カンパニー向け環境

  22. © 2023, Amazon Web Services, Inc. or its affiliates. All

    rights reserved. AWS を活⽤した全社共通クラウド基盤 (2 of 2) 22 CUS-33 住友⽣命保険 様 • クラウドファーストの次世代アーキテクチャ構想 • ゼロトラストネットワーク (SASE) • 認証・ID連携 • クラウド間接続・データ HUB • API 連携基盤

  23. © 2023, Amazon Web Services, Inc. or its affiliates. All

    rights reserved. セキュアなリモートメンテナンス構成事例 23 CUS-11 KINTO テクノロジーズ 様 • DBRE(DB Reliability Engineer) の活動紹介 • アジリティ & セキュリティとガバナンス • DB にフォーカスした本番アクセス管理 • Slack を⽤いた申請・承認、⾃動化・監査

  24. © 2023, Amazon Web Services, Inc. or its affiliates. All

    rights reserved. 府省クラウド CoE としての取り組み・歩み 24 CUS-16 デジタル庁/農林⽔産省 様 • ガバメントクラウドの先⾏事例(R.2 年稼働) • 共通機能(セキュリティ含む)を管理アカウン トに集約 • 現⾏踏襲を望む個別システム管理者に 改善の意思決定させるには、CoEに勇気が必要

  25. © 2023, Amazon Web Services, Inc. or its affiliates. All

    rights reserved. ⾦融機関におけるセキュリティ確保とデータ活⽤ 25 CUS-31 三菱UFJ銀⾏ 様 • 銀⾏セキュリティ・ガバナンス要件に応え、 素早く AI を活⽤する開発基盤を内製 • 「数⼈で⾦融機関⽔準のセキュリティを満たす 分析基盤が構築可能」

  26. © 2023, Amazon Web Services, Inc. or its affiliates. All

    rights reserved. ⼤規模オンプレ活⽤から⼤規模 AWS 活⽤へ 26 CUS-36 ドワンゴ 様 • テーマは「地⽅分権とガバナンス」 • 裁量と責任を持った個々の開発チーム • 課題解決、制度設計で地⽅分権を推進 • アカウント戦略 (AWS Control Tower) • セキュリティガイドラインや⽅針の整備

  27. © 2023, Amazon Web Services, Inc. or its affiliates. All

    rights reserved. AWS セキュリティサービスと マネージドサービス活⽤のねらい・効果 27 CUS-46 パナソニック 様 • 差別化に繋がらない実⾏基盤は、AWS サービス を活⽤して省⼒化 → 顧客価値に集中 • AWS Fargate • AWS セキュリティサービス • AWS Code シリーズ CUS-49 弥⽣ 様 • AWS セキュリティサービスの活⽤ • マネージドサービスでセキュリティ考慮点削減 • セキュリティガードレール • 運⽤チーム作業量 60% 減 • マネージドサービス⽐率 30 → 70%

  28. © 2023, Amazon Web Services, Inc. or its affiliates. All

    rights reserved. SaaS ビジネスのセキュリティ / Marketplace 活⽤ 28 CUS-52 サイバーセキュリティクラウド 様 • AWS WAF Managed Rules のグローバル展開 • 累計 90 カ国以上、グローバル⽐率は 50% 超 • AWS WAF ⾃動運⽤サービス「WafCharm」の グローバル展開開始 CUS-48 Works Human Intelligence 様 • 第三者機関の認証を取得し、クラウドサービス の信頼性のアピール • P マーク、ISO27001、ISO27017、ISO27701、 ISMAP

  29. © 2023, Amazon Web Services, Inc. or its affiliates. All

    rights reserved. サービス成⻑フェーズこそ継続的な改善が⼤切 29 CUS-51 セーフィー 様 • 環境変更に抵抗あれど、⻑期的な⽬線で判断 • 強い権限をもった IAM アクセスキーのリスク削減 • スイッチロールでクロスアカウントアクセス • direnv や aws-vault で⼀時クレデンシャル活⽤ • Session Manager でセキュア&監査可能なメンテ

  30. © 2023, Amazon Web Services, Inc. or its affiliates. All

    rights reserved. © 2023, Amazon Web Services, Inc. or its affiliates. All rights reserved. Appendix. パートナーセッション(抜粋) 30

  31. © 2023, Amazon Web Services, Inc. or its affiliates. All

    rights reserved. パートナーセッション抜粋 (1 of 2) 31 # タイトル キーワード AP-02 トヨタCCoEチームの挑戦オブザーバビリティの活⽤と DevSecOpsの実現(New Relic 様、トヨタ⾃動⾞ 様) オブザーバビリティ、トヨタ CCoE、 セキュリティ設定⼯数 96% 減、ガードレール AP-03 明⽇のセキュリティの課題をパロアルトネットワークスで 解決︕今ならまだ間に合うセキュリティ対策 (パロアルトネットワークス様) 最新の脅威情報、Cloud NGFW、SASE、FWaaS、 Prisma Cloud AP-07 デモで分かる︕AWS 環境をランサムウェアから守るには︖ (トレンドマイクロ様) AWS 環境のランサムウェア対策、設定不備可視化、 ワークロード保護、ストレージのスキャン AP-09 NTT データが8 年間⼀緒に歩んだリクルート様のAWS 共通 基盤での挑戦の軌跡(NTTデータ 様、リクルート 様) ID/認証とアカウント設計、権限設計、監査/リスク 検知システム、AWS Organizations 活⽤ AP-10 官公庁・⾃治体が取り組むべきスマートモダナイゼーション と実例(⽇本電気 様) モダナイゼーション、マネージドサービステンプ レート、クラウド統制運⽤PF、デザインアプローチ AP-11 Amazon VPC のネットワークセキュリティをより堅牢にする アプローチ(フォーティネットジャパン 様) 統合ネットワークセキュリティプラットフォーム、 SaaS 型ファイヤウォール

  32. © 2023, Amazon Web Services, Inc. or its affiliates. All

    rights reserved. パートナーセッション抜粋 (2 of 2) 32 # タイトル キーワード AP-12 事例から学ぶ、データ利活⽤の現実と将来像〜AWS 上でデー タ利活⽤を実現するベストプラクティスとは〜(TIS 様) 決済関連・⾼セキュリティクラウド基盤、SIEM on Amazon OpenSearch Service、インシデント検知 AP-22 専⽤AWS Organizations 環境提供から獲得したマルチアカウ ント分割⽅針とガイドライン準拠ソリューション事例 (野村総合研究所 様、ニューリジェンセキュリティ 様) マルチアカウント管理サービス、予防的・発⾒的 ガードレール、AWS WAF・AWS Network Firewall・CSPM・脆弱性管理 AP-24 Gunosy(グノシー)が選んだ開発者に負担をかけないスマー トなセキュリティ対策(Snyk 様、Gunosy 様) SDLC 全体でのセキュリティ対策、DevSecOps、 ⼈⼒総⼒戦からの脱却、定期的・⾃動的なスキャン AP-25 サイバー空間の安全を保つために ︕AWS WAF を最⼩限の⼯ 数で最⼤限に使いこなす術とは (サイバーセキュリティクラウド様) AWS WAF ⾃動運⽤サービス、WafCharm、強⼒な 防御と楽な運⽤、AWS Marketplace での購⼊、 Web サイト改ざん検知 AP-27 エンドポイントだけでは終わらない︕最新の脅威が狙う 「クラウド」のセキュリティ対策(クラウドストライク 様) Falcon Platform、エンドポイントセキュリティ、 脅威インテリジェンス、CIEM、CSPM/CWP、アイ デンティティ保護、可視化、オペレーション AP-32 三菱UFJ銀⾏様の活⽤事例にみるRed Hat OpenShift Service on AWS の価値(レッドハット様、 三菱UFJインフォメーションテクノロジー様) AWS 上での OpenShift、ROSA を使う理由、銀⾏ システムとしての安全安⼼安定のためのガイド、ブ ラックボックスにしないための追加実装

  33. © 2023, Amazon Web Services, Inc. or its affiliates. All

    rights reserved. オンデマンド配信、 本セッションも活⽤いただき、 引き続きお楽しみください 33

  34. © 2023, Amazon Web Services, Inc. or its affiliates. All

    rights reserved. Thank you! © 2023, Amazon Web Services, Inc. or its affiliates. All rights reserved. 勝原 達也(Katsuhara Tatsuya) アマゾン ウェブ サービス ジャパン合同会社 技術統括本部 セキュリティソリューションアーキテクト kthrtty