組織的なクラウド統制のはじめの一歩

組織的なクラウド統制のはじめの⼀歩 2023.4.17 AWS事業本部コンサルティング部 yhana 1

１．CCoE の取り組み２．AWS 利⽤ルール（利⽤ガイドライン）の策定３．AWS のクラウド統制サービスの紹介（発表者交替） 2 もくじ

3 CCoE の取り組み

CoE (Center of Excellence) 特定分野におけるトップレベル⼈材やノウハウ、設備を集約した組織 CCoE (Cloud Center of Excellence)
CoE の Cloud 版クラウド利⽤に関するノウハウを集約・活⽤して組織全体を牽引 4 CCoE とは

5 CCoE のイメージ（デザインパターンの⼀例）（参考）CCoEがやることについてまとめてみた

6 CCoE の取り組み例カテゴリ項⽬プロジェクト⽀援社内向けのコンサルティング、プロフェッショナル⼈材の派遣⼈材育成トレーニング・研修の整備、社内勉強会等のイベント開催情報発信
社内外のイベント登壇、社内コミュニティの整備、社外への情報発信情報収集クラウド技術の情報・ノウハウ蓄積、社内要望の収集共通サービスの整備共通インフラやデータレイク等の全組織が利⽤できるサービスを⼀元提供利⽤ルールの策定社内でクライドを利⽤するルール決め、クラウド利⽤のガイドラインクラウドの管理アカウント管理、ユーザー管理、ログ管理、セキュリティ対策、コスト管理推進統制（参考）CCoEがやることについてまとめてみた

7 CCoE の取り組み例カテゴリ項⽬プロジェクト⽀援社内向けのコンサルティング、プロフェッショナル⼈材の派遣⼈材育成トレーニング・研修の整備、社内勉強会等のイベント開催情報発信
社内外のイベント登壇、社内コミュニティの整備、社外への情報発信情報収集クラウド技術の情報・ノウハウ蓄積、社内要望の収集共通サービスの整備共通インフラやデータレイク等の全組織が利⽤できるサービスを⼀元提供利⽤ルールの策定社内でクライドを利⽤するルール決め、クラウド利⽤のガイドラインクラウドの管理アカウント管理、ユーザー管理、ログ管理、セキュリティ対策、コスト管理推進統制（参考）CCoEがやることについてまとめてみた

8 AWS 利⽤ルール (利⽤ガイドライン) の策定

9 クラウド利⽤ルールに策定・クラウドの管理 AWS の利⽤ルール（利⽤ガイドライン）の記載内容の例章記載内容の例 AWS アカウント管理 AWS アカウントの⼀元管理⽅法、調達フロー
ユーザー管理ユーザーの⼀元管理⽅法、利⽤申請フローセキュリティ対策 AWS のセキュリティ対策（予防的・発⾒的統制）、組織内の推奨サービス・製品ログ管理取得すべきログと保管期間などのルールコスト管理組織内の AWS 利⽤料の精算ルール、料⾦の監視⽅法、推奨の⾒直し⽅法共通ネットワーク・サービス共⽤のネットワーク/プロキシ/FW構成、データレイクなどの共通サービスリソース作成ルール・推奨構成推奨構成のリファレンスアーキテクチャ、VPC/EC2 の設計ルール運⽤推奨のシステム監視⽅法、バックアップ・リストア⽅法監査利⽤ルールが守られているかのチェック、外部監査対応の留意点（参考）クラスメソッドメンバーズのお客様向けに公開している「Classmethod Cloud Guidebook (CCG)」の使い⽅

10 クラウド利⽤ルールに策定・クラウドの管理 AWS の利⽤ルール（利⽤ガイドライン）の⽬次例章記載内容の例 AWS アカウント管理 AWS アカウントの⼀元管理⽅法、調達フロー
ユーザー管理ユーザーの⼀元管理⽅法、利⽤申請フローセキュリティ対策 AWS のセキュリティ対策（予防的・発⾒的統制）、組織内の推奨サービス・製品ログ管理取得すべきログと保管期間などのルールコスト管理組織内の AWS 利⽤料の精算ルール、料⾦の監視⽅法、推奨の⾒直し⽅法共通ネットワーク・サービス共⽤のネットワーク/プロキシ/FW構成、データレイクなどの共通サービスリソース作成ルール・推奨構成推奨構成のリファレンスアーキテクチャ、VPC/EC2 の設計ルール運⽤推奨のシステム監視⽅法、バックアップ・リストア⽅法監査利⽤ルールが守られているかのチェック、外部監査対応の留意点始めのステップとして取り組むことが多い（参考）クラスメソッドメンバーズのお客様向けに公開している「Classmethod Cloud Guidebook (CCG)」の使い⽅

11 AWS アカウント管理

12 AWS アカウント管理 AWS アカウントを⼀元管理していない場合の課題 AWS 社リセラー A社リセラー
B社 AWS アカウント AWS アカウント AWS アカウントプロジェクト担当者

B社 AWS アカウント AWS アカウント AWS アカウントインシデント発⽣プロジェクト担当者

B社 AWS アカウント AWS アカウント AWS アカウントインシデント発⽣すべてのアカウントを確認全担当者へのヒアリングするのは時間がかかる、連絡先がわからない場合もプロジェクト担当者

B社 AWS アカウント AWS アカウント AWS アカウントインシデント発⽣すべてのアカウントを確認対策の実施（依頼）依頼対応完了の確認に時間がかかるプロジェクト担当者

B社 AWS アカウント AWS アカウント AWS アカウントインシデント発⽣すべてのアカウントを確認対策の実施（依頼）依頼対応完了の確認に時間がかかる AWS アカウント対応完了後に発⾏したアカウントでは対策が実施されていないことがあるプロジェクト担当者

17 AWS アカウント管理 AWS アカウントを⼀元管理していない場合の課題プロジェクト担当者クラスメソッド AWS アカウント AWS
アカウント AWS アカウントインシデント発⽣すべてのアカウントを確認対策の実施（依頼） AWS アカウント AWS の組織管理機能（AWS Organizations）で⼀元管理

18 AWS アカウント管理 AWS アカウントの⼀元管理と発⾏フローの整備 AWS Organizations の利⽤組織内のアカウント発⾏フローの整備アカウントをグルーピングしてグループ毎に異なる統制を適⽤
組織内で満たすべき設定項⽬を最初から設定

19 ユーザー管理

20 ユーザー管理各 AWS アカウントで個別にユーザーを管理している場合の課題 AWS アカウント AWS アカウント AWS
アカウント

アカウント各アカウントにユーザー作成して管理するのが⼿間となる

アカウント各アカウントにユーザー作成して管理するのが⼿間となる乗っ取りの被害に合いやすい MFA無し脆弱なPW

アカウント各アカウントにユーザー作成して管理するのが⼿間となる乗っ取りの被害に合いやすい MFA無し脆弱なPW 異動・退職により利⽤していない (乗っ取り被害の可能性を⾼める)

24 ユーザー管理ユーザーの⼀元管理⽅法を整備組織内の ID プロバイダーと統合既存 ID とセキュリティレベルを統⼀、ユーザー削除漏れの防⽌ユーザー払い出しフローの整備

25 セキュリティ対策

26 セキュリティ対策 AWS レイヤーのセキュリティ対策を検討して実装・予防的統制・発⾒的統制

27 セキュリティ対策予防的統制のイメージガードレール⼤きいサイズの EC2 インスタンスの起動 DNS ドメインの購⼊東京、⼤阪、バージニア北部リージョン以外の利⽤
利⽤可能なサービスとアクションガードレール利⽤禁⽌利⽤禁⽌「⾃由」に利⽤できる範囲

28 セキュリティ対策発⾒的統制のイメージ望ましくない設定や意図していない設定に気づく仕組みを導⼊例）悪意のあるサーバ（IP アドレス）との通信例）誤って S3 のデータをインターネット公開
危険な通信や不審なアクセスに気づく仕組みを導⼊

29 ログ管理

30 ログ管理ログの集約（保全）の検討イベントログの集約例

31 ログ管理ログの集約（保全） × アカウント乗っ取り後に攻撃者によりログ記録停⽌やログ削除が実⾏される場合がある隔離したログから攻撃者の⾏動を調査できる

32 ログ管理ログの集約（保全）イベントログの集約例 × アカウント乗っ取り後に攻撃者によりログ記録停⽌やログ削除が実⾏される場合がある隔離したログから攻撃者の⾏動を調査できる
SIEM や BI ツール等を利⽤したログの分析や⾒える化ができる

33 コスト管理

34 コスト管理組織内の利⽤料の⽀払いや費⽤計上のルールを定める・アカウントを⼀元管理した際の請求フロー例えば、CCoE が⼀括払いをして組織内の他部⾨に振り替えるのか各部⾨がそれぞれ⽀払い処理をするのか・Reserved Instance (RI)
などの前払いサービスの費⽤計上ルール例えば、前払い分を毎⽉の⽀出に振り替えるなど

35 AWS のクラウド統制サービスの紹介（発表者交替）

組織的なクラウド統制のはじめの一歩

組織的なクラウド統制のはじめの一歩

More Decks by yhana

Other Decks in Technology

Featured

Transcript