Upgrade to Pro
— share decks privately, control downloads, hide ads and more …
Speaker Deck
Features
Speaker Deck
PRO
Sign in
Sign up for free
Search
Search
AWS Well-Architected Frameworkで学ぶAmazon ECSのセキュ...
Search
umehara
February 26, 2025
Technology
310
2
Share
Embed
Copy iframe code
Copy JS code
Copy link
Start on current slide
AWS Well-Architected Frameworkで学ぶAmazon ECSのセキュリティ対策
umehara
February 26, 2025
More Decks by umehara
See All by umehara
Infrastructure as Codeのはじめ方 ~NRIネットコム TECH AND DESIGN STUDY #93~
umekou
1
140
Amazon S3 Vectorsを使って低コストRAGを組んでみる
umekou
0
160
AWSサービスアップデート202507.pdf
umekou
0
100
AWSマンスリーアップデートピックアップ!! 2025年4月分
umekou
0
110
コンソールで学ぶ!AWS CodePipelineの機能とオプション
umekou
3
340
AWSサービスアップデート 2025/02
umekou
0
110
CloudWatch Container Insightsを使ったAmazon ECSのリソース監視
umekou
1
450
AWSサービスアップデート202412 re:Invent特別編
umekou
0
140
DDoS攻撃への対策できてますか?
umekou
0
40
Other Decks in Technology
See All in Technology
【Cyber-sec+】経営層を"動かす"ための考え方
hssh2_bin
0
190
2026年6月23日 Syncable Tech + Start Python Club にて
hamukazu
0
120
ACE-Step-1.5で見る 音楽生成AIのしくみと“破綻だけ直す”Retake機能の開発【zennfes spring 2026 登壇資料】
personabb
1
510
2026TECHFRESH畢業分享會 - Lightning Talk - E起 See See : 電商推薦讀心術? 數據說了算
line_developers_tw
PRO
0
1.1k
作って終わりにしない タイミーのセマンティックレイヤー育成の現在地
chanyou0311
4
2.4k
AWS Security Agent といっしょに脅威モデリングをやってみよう
amarelo_n24
0
110
Socrates × Looker 〜セマンティックレイヤーで進化するデータ分析エージェント〜
hanon52_
3
2.4k
Snowflakeと仲良くなる第一歩
coco_se
4
490
ルールやカスタム機能、どう活かす?ハンズオンで体感するIBM Bobの出力コントロール
muehara
1
170
Bucharest Tech Week 2026 - Reinventing testing practices in the AI era
edeandrea
PRO
1
160
MUSUBI 田中裕一『AIと共に行う「しごとのリデザイン」- スモールバックオフィス編』AI Ops Lab #4
musubi
0
210
AIはどのように 組織のアジリティを変えるのか?
junki
4
970
Featured
See All Featured
Marketing Yourself as an Engineer | Alaka | Gurzu
gurzu
0
240
Un-Boring Meetings
codingconduct
0
310
svc-hook: hooking system calls on ARM64 by binary rewriting
retrage
2
300
Future Trends and Review - Lecture 12 - Web Technologies (1019888BNR)
signer
PRO
0
3.6k
Believing is Seeing
oripsolob
1
150
Lessons Learnt from Crawling 1000+ Websites
charlesmeaden
PRO
1
1.3k
Lightning Talk: Beautiful Slides for Beginners
inesmontani
PRO
2
580
Winning Ecommerce Organic Search in an AI Era - #searchnstuff2025
aleyda
1
2k
My Coaching Mixtape
mlcsv
0
150
Bridging the Design Gap: How Collaborative Modelling removes blockers to flow between stakeholders and teams @FastFlow conf
baasie
0
590
Statistics for Hackers
jakevdp
799
230k
The Curse of the Amulet
leimatthew05
1
13k
Transcript
2025年2月26日 AWS Well-Architected Frameworkで学ぶ Amazon ECSのセキュリティ対策 NRIネットコム株式会社 Webインテグレーション事業部 基盤デザイン課 梅原
航 NRIネットコム×シーイーシー共催ウェビナー
1 Copyright(C) NRI Netcom, Ltd. All rights reserved. ◼ 基本情報
⚫ 梅原 航(うめはら こう) ⚫ NRIネットコム株式会社 Webインテグレーション事業部(@大阪) ⚫ AWSを使ったシステムのインフラ開発・運用に従事 ◼ 好きなAWSサービス ◼ 所有資格 自己紹介 Amazon Elastic Container Service (Amazon ECS) #nncstudy 転載、複製、改変等、および許諾のない二次利用を禁止します
2 Copyright(C) NRI Netcom, Ltd. All rights reserved. ◼ クラウドアーキテクチャのベストプラクティスを体系化したフレームワーク
◼ 6つの柱の観点で設計原則や定義、ベストプラクティスが紹介 AWS Well-Architectedとは #nncstudy 転載、複製、改変等、および許諾のない二次利用を禁止します 運用上の優秀性 セキュリティ 信頼性 パフォーマンス コスト最適化 持続可能性 Well-Architectedの6つの柱
3 Copyright(C) NRI Netcom, Ltd. All rights reserved. ◼ Well-Architectedの観点からECS
on Fargateのセキュリティ対策 ◼ Well-Architectedの具体的なベストプラクティスの項目でそれぞれご紹介 本日お話する内容 #nncstudy 転載、複製、改変等、および許諾のない二次利用を禁止します 運用上の優秀性 セキュリティ 信頼性 パフォーマンス コスト最適化 持続可能性 Well-Architectedの6つの柱
4 Copyright(C) NRI Netcom, Ltd. All rights reserved. ◼ 責任共有モデルとはAWSとユーザのどちらが責任を持つかを定義したモデル
◼ 実行基盤であるFargateの管理はAWSの責務 ⚫ ECSコントロールプレーン ⚫ ワーカーノードの管理 ◼ Fargateを利用することで、ユーザはタスクとネットワーク、データ管理に注力 ECS on Fargateにおける責任共有モデル https://docs.aws.amazon.com/ja_jp/AmazonECS/latest/developerguide/security-shared-model.htmlより #nncstudy 転載、複製、改変等、および許諾のない二次利用を禁止します ECS on Fargateの責任共有モデル
5 Copyright(C) NRI Netcom, Ltd. All rights reserved. ◼ IAMロールを利用して認証情報を管理する
◼ ECSタスクの権限は最小権限を守る ◼ 環境変数を利用してセキュアに認証情報を受け渡す ID管理とアクセス許可の管理(SEC2, SEC3) #nncstudy 転載、複製、改変等、および許諾のない二次利用を禁止します 最小権限 セキュアな認証情報の 保管および受け渡し IAMロールの利用
6 Copyright(C) NRI Netcom, Ltd. All rights reserved. ◼ 各サービスのログ記録
⚫ Fluentbitを利用して用途別に異なる場所にアプリケーションログを配信 ⚫ ELBやWAF、VPCの各種サービスログ ⚫ AWSアカウントの証跡 検出(SEC4) #nncstudy 転載、複製、改変等、および許諾のない二次利用を禁止します
7 Copyright(C) NRI Netcom, Ltd. All rights reserved. ◼ アプリケーションはプライベートサブネットに配置することでアタックサーフェスの最小化
◼ WAFを利用した一般的な脅威からのアプリケーション保護 ◼ SecurityGroupの許可は必要最低限な通信に制限 ◼ VPCエンドポイントを利用したAWS内部に閉じた通信 インフラストラクチャ保護(SEC5) #nncstudy 転載、複製、改変等、および許諾のない二次利用を禁止します アプリケーション保護 必要最低限のSG許可 アタックサーフェスの最小化 AWS内部通信
8 Copyright(C) NRI Netcom, Ltd. All rights reserved. ◼ ECRのイメージスキャンを利用することでソフトウェアの脆弱性を特定
◼ 基本スキャン ⚫ イメージがPushされたタイミングでスキャンもしくは、手動タイミングでのスキャン ⚫ OSパッケージのみの検出 ◼ 拡張スキャン ⚫ イメージがPushされたタイミングでスキャンもしくは、定期的なスキャン ⚫ OSパッケージに加え、プログラミングの言語パッケージもスキャン可能 コンピューティング保護(SEC6) #nncstudy 転載、複製、改変等、および許諾のない二次利用を禁止します 定期的なスキャン Push時スキャン
9 Copyright(C) NRI Netcom, Ltd. All rights reserved. ◼ 通信時データ暗号化
⚫ ACMを利用したHTTPS通信 ⚫ ECS Service ConnectでのmTLS通信 データ保護(SEC7, SEC8, SEC9) #nncstudy 転載、複製、改変等、および許諾のない二次利用を禁止します ◼ 保管時データ暗号化 ⚫ 各ストレージサービスの暗号化
10 Copyright(C) NRI Netcom, Ltd. All rights reserved. ◼ GuardDutyによるワークロード保護およびモニタリング
⚫ 不審なアクティビティの検知 ⚫ ECSのランタイムモニタリング ⚫ 他AWSサービスの保護 インシデントへの対応(SEC10) #nncstudy 転載、複製、改変等、および許諾のない二次利用を禁止します
11 Copyright(C) NRI Netcom, Ltd. All rights reserved. ◼ Dockleを利用してDockerイメージのベストプラクティスに準拠
◼ Codeguruを使ったアプリケーションソースのコードレビュー実施 ◼ Amazon Q Developerを利用したセキュアなアプリケーション実装 アプリケーションセキュリティ(SEC11) #nncstudy 転載、複製、改変等、および許諾のない二次利用を禁止します
12 Copyright(C) NRI Netcom, Ltd. All rights reserved. ◼ NIST
SP 800-190文書 ⚫ https://www.ipa.go.jp/security/reports/oversea/nist/about.html ◼ ECSデベロッパーガイド「Amazon Elastic Container Service のセキュリティ」 ⚫ https://docs.aws.amazon.com/ja_jp/AmazonECS/latest/developerguide/security.html ◼ Dockerfile を書くベストプラクティス ⚫ https://docs.docker.jp/develop/develop-images/dockerfile_best-practices.html 参考資料 #nncstudy 転載、複製、改変等、および許諾のない二次利用を禁止します
None
umekou
hssh2_bin
hamukazu
personabb
line_developers_tw
chanyou0311
amarelo_n24
hanon52_
coco_se
muehara
edeandrea
musubi
junki
gurzu
codingconduct
retrage
signer
oripsolob
charlesmeaden
inesmontani
aleyda
mlcsv
baasie
jakevdp
leimatthew05
