6ヶ月でカットオーバー！ファンクション型 BtoB SaaS で実装したインフラレイヤーのセキュリティ / 20250523 Satoshi Torano

Transcript

1. Copyright SHIFT INC, All Rights Reserved. 2025 / CloudNative Days

   Summer 2025 寅野 理司 6ヶ月でカットオーバー！ ファンクション型 BtoB SaaSで実装した インフラレイヤーのセキュリティ 株式会社SHIFT ソリューション事業部 ITソリューション部 シニアクラウドアーキテクト 23 05 Satoshi Torano

2. 2 Copyright SHIFT INC, All Rights Reserved. 自己紹介 ＠クラウドアーキテクト ＠SHIFT

   @Accenture、@AWS、@Salesforce経験あり ＠2024 Japan AWS All Certifications Engineers ＠SHIFT EVOLVE ＠東海地方 ＠釣り、ロードバイク、スキー、ハイキング etc 寅野 理司（とらの さとし）

3. 4 Copyright SHIFT INC, All Rights Reserved. B to B

   SaaS AWS ネイティブのサービスのみで構成 フロントエンド、バックエンド、外部サービス連携、ハブ型構造 アプリはすべてファンクション こんなアーキテクチャ フロントエンド CloudFront API Gateway S3 Lambda S3 RDS SQS キュー・データストア API Gateway Lambda バックエンド 外部サービス連携ハブ API Gateway ELB AWS Cloud AWS Cloud 外部サービス Cognito

4. 6 Copyright SHIFT INC, All Rights Reserved. インフラレイヤーのセキュリティ ※お伝えしたいことがいっぱいあります。５分間のなかで概要の共有となること、ご容赦ください。 ※いろんな考え方（アーキテクチャ）があると思います。一例として優しくご覧いただけると幸いです。

   ※誤記・誤解ありましたら、優しい指摘でお願いします パブリックから直接アクセスさせない（アーキテクチャ） 不要なアクセスはさせない（権限統制） 不正な動きを見つける／防ぐ （振る舞い検知／脆弱性チェック・防御）

5. 8 Copyright SHIFT INC, All Rights Reserved. パブリックから直接アクセスさせない（アーキテクチャ） ３階層 アーキテクチャ

   グローバルリソースへ のアクセス メンテナンス

6. 10 Copyright SHIFT INC, All Rights Reserved. ① インターネットから直接アクセスさせない ②

   データはアプリケーションからしかアクセスさせない パブリックから直接アクセスさせない（アーキテクチャ） フロントエンド CloudFront API Gateway S3 Lambda S3 RDS SQS キュー・データストア API Gateway Lambda バックエンド Users Cognito 1 2 2 ３階層アーキテクチャ（サービス）

7. 12 Copyright SHIFT INC, All Rights Reserved. ① インターネットから直接アクセスさせない ②

   データはアプリケーションからしかアクセスさせない パブリックから直接アクセスさせない（アーキテクチャ） ※ ルートテーブルの local ルートがあるため、ルートテーブルで特定サブネットへのアクセスを防ぐのはむずかしい ※ ネットワーク ACL ＆セキュリティグループでデータを守る Security group Lambda RDS アプリ用サブネット データ用サブネット CloudFront API Gateway Users Network access control list 2 ３階層アーキテクチャ（VPCリソース）

8. 14 Copyright SHIFT INC, All Rights Reserved. VPC エンドポイントを活用 パブリックから直接アクセスさせない（アーキテクチャ）

   Lambda アプリ用サブネット SQS Endpoints グローバルリソースへのアクセス

9. 16 Copyright SHIFT INC, All Rights Reserved. EC2 Instance Connect

   / Session Manager / Cloud Shell の活用。 いずれもパブリックサブネットの作成が不要で、インターネットからのインバウンドが不要 パブリックから直接アクセスさせない（アーキテクチャ） Endpoints EC2 Instance Connect Systems Manager CloudShell メンテナンス 必要な時だけ NAT Gateway + ルートテーブルを更新して、 EC2 がインターネットに出れるようにする

10. 18 Copyright SHIFT INC, All Rights Reserved. 不要なアクセスはさせない（権限統制） API Gateway

    IAM KMS IAM Secrets Manager IAM ロール／ポリシー(IAM）とリソースポリシーを使って、必要なアクセスのみ 許可する 権限 カスタマーマネージドキーを作成およびリソースの暗号化を行い、必要なリ ソースにアクセスを許可する 暗号化 シークレット情報（ID／パスワード、キー情報など）を、Secrets Manager/Systems Manager Parameter Store で管理する シークレット管理

11. 20 Copyright SHIFT INC, All Rights Reserved. 不正な動きを見つける／防ぐ（振る舞い検知/脆弱性チェック・防御） WAF GuardDuty

    Security Hub Config Inspector リクエストの内容をチェックしてブロック（ブロックせずにカウントし通過さ せることもできる） 不正な動きを見つける（防御） イベントのチェック、マルウェアのスキャン、VPC フローログのチェックな どを行い脅威を検知・通知する 不正な動きを見つける（振る舞い検知） AWS リソースの作成／変更の状況をチェックし、ベストプラクティスや業界 ガイドラインに適合しない構成不備を検知 アプリケーションのプログラムをチェックして、ソフトウェアの脆弱性を検知 構成不備・脆弱性のチェック（脆弱性チェック）

12. Copyright SHIFT INC, All Rights Reserved. ご清聴ありがとうございました

13. Copyright SHIFT INC, All Rights Reserved. 22 Appendix

14. 24 Copyright SHIFT INC, All Rights Reserved. インフラレイヤーのセキュリティ パブリックから直接アクセスさせない（アーキテクチャ） 不要なアクセスはさせない（権限統制）

    不正な動きを見つける／防ぐ （振る舞い検知／脆弱性チェック・防御）

15. 26 Copyright SHIFT INC, All Rights Reserved. 不要なアクセスはさせない（権限統制） 権限 暗号化

    シークレット管理

16. 28 Copyright SHIFT INC, All Rights Reserved. IAM（ロール／ポリシー）とリソースポリシーを使って、必要なアクセスのみ許可する 例） 不要なアクセスはさせない（権限統制）

    Lambda IAM IAM（ロール／ポリシー）で 必要なもののみアクセス許可 + S3 API Gateway 必要に応じてリソースポリシーで許可 Lambda 権限

17. 30 Copyright SHIFT INC, All Rights Reserved. カスタマーマネージドキーを作成及びリソースの暗号化を行い、 必要なリソースにアクセスを許可する 例）

    不要なアクセスはさせない（権限統制） Lambda S3 IAM 暗号化 KMS KMSの利用権限 Lambdaロールの利用許可 アクセスできる 暗号化

18. 32 Copyright SHIFT INC, All Rights Reserved. シークレット情報（ID/パスワード、キー情報など）を、Secrets Manager/Systems Manager

    Parameter Store で管理する 例） 不要なアクセスはさせない（権限統制） Lambda IAM Secrets Managerの利用権限 シークレット情報の管理 アクセスできる Secrets Manager RDS シークレット管理

19. 34 Copyright SHIFT INC, All Rights Reserved. インフラレイヤーのセキュリティ パブリックから直接アクセスさせない（アーキテクチャ） 不要なアクセスはさせない（権限統制）

    不正な動きを見つける/防ぐ （振る舞い検知／脆弱性チェック・防御）

20. 36 Copyright SHIFT INC, All Rights Reserved. 不正な動きを 見つける （防御）

    不正な動きを 見つける （振る舞い検知） 構成不備・脆弱性 のチェック （脆弱性チェック） 不正な動きを見つける/防ぐ（振る舞い検知/脆弱性チェック・防御）

21. 38 Copyright SHIFT INC, All Rights Reserved. リクエストの内容をチェックしてブロック（ブロックせずにカウントし通過させることもできる） 不正な動きを見つける／防ぐ（振る舞い検知／脆弱性チェック・防御） フロント

    エンド CloudFront API Gateway S3 Lambda S3 RDS SQS キュー・ データストア API Gateway Lambda バックエンド Users Cognito WAF 不正な動きを見つける（防御）

22. 40 Copyright SHIFT INC, All Rights Reserved. イベントのチェック、マルウェアのスキャン、VPC フローログのチェックなどを行い脅威を検 知・通知する

    不正な動きを見つける／防ぐ（振る舞い検知／脆弱性チェック・防御） S3 RDS GuardDuty Lambda 不正な動きを見つける（振る舞い検知）

23. 42 Copyright SHIFT INC, All Rights Reserved. AWS リソースの作成/変更の状況をチェックし、ベストプラクティスや業界ガイドラインに適合し ない構成不備を検知

    アプリケーションのプログラムをチェックして、ソフトウェアの脆弱性を検知 不正な動きを見つける／防ぐ（振る舞い検知／脆弱性チェック・防御） Security Hub Config 構成不備の検知 Inspector ソフトウェア脆弱性の検知 Lambda 構成不備・脆弱性のチェック（脆弱性チェック）

24. 44 Copyright SHIFT INC, All Rights Reserved. インフラレイヤーのセキュリティ パブリックから直接アクセスさせない（アーキテクチャ） 不要なアクセスはさせない（権限統制）

    不正な動きを見つける/防ぐ （振る舞い検知／脆弱性チェック・防御）