Upgrade to Pro — share decks privately, control downloads, hide ads and more …

組織的なクラウド統制のはじめの一歩_20240529

yhana
May 28, 2024

 組織的なクラウド統制のはじめの一歩_20240529

yhana

May 28, 2024
Tweet

More Decks by yhana

Other Decks in Technology

Transcript

  1. 7 AWS セキュリティ成熟度モデル 各項⽬は 9 つのカテゴリに分類されている セキュリティ ガバナンス セキュリティ保証 アイデンティティと

    アクセス管理 脅威検出 脆弱性管理 インフラ保護 データ保護 アプリケーション セキュリティ インシデント対応
  2. CAF カテゴリ 項⽬ セキュリティガバナンス セキュリティインシデントの連絡先を最新化 利⽤しないリージョンを無効化 セキュリティ保証 AWS Security Hub

    によるベストプラクティスの⾃動化 アイデンティティとアクセス管理 多要素認証 ルートユーザーを利⽤せず、さらに監査する IAM Access Analyzer によるアクセスとロールの分析 脅威検出 Amazon GuardDuty による脅威検出 AWS CloudTrail による API 呼び出しの監査 AWS Trusted Advisor で発⾒した Security findings の修復 異常検出のための課⾦アラーム 脆弱性管理 - インフラ保護 セキュリティグループによるアクセス制限 データ保護 Amazon S3 のパブリックアクセスのブロック Amazon Macie によるデータセキュリティの分析 アプリケーションのセキュリティ AWS WAF のマネージドルール インシデント対応 Amazon GuardDuty の検出に対応 8 フェーズ 1︓クイックウィン
  3. CAF カテゴリ 項⽬ セキュリティガバナンス セキュリティおよび規制要件を特定 Cloud Security のトレーニングプラン セキュリティ保証 AWS

    Config による構成管理 アイデンティティとアクセス管理 ユーザーリポジトリの⼀元管理 組織ポリシーとしての SCP 脅威検出 Amazon GuardDuty の Findings を調査 脆弱性管理 インフラストラクチャの脆弱性を管理し、ペネトレーションテストを実施 アプリケーションの脆弱性を管理 インフラ保護 Fleet Manager によるインスタンス管理 VPC 内の Public/Private ネットワーク分離 AWS Control Tower によるマルチアカウント管理 データ保護 AWS KMSによる暗号化 データバックアップ Amazon Macie による機密データの発⾒ アプリケーションのセキュリティ 開発時にセキュリティチームも参画する AWS Secrets Manager を利⽤し、コードにシークレットを含めない インシデント対応 インシデント対応⼿順を⽤意 Multi-AZ による冗⻑構成 9 フェーズ 2︓基礎
  4. 13 組織的にアカウントを管理しない場合の課題 AWS アカウントを管理していない場合、全組織で共通的な設定を実現したいと きに各アカウントの担当者を調査して依頼する⼿間が発⽣する AWS 社 リセラー A社 リセラー

    B社 AWS アカウント AWS アカウント AWS アカウント すべての AWS アカウントの管理 者に設定を依頼 全ての担当者を探して依頼する⼿間と時間がかかる、漏れがある可能性もある プロジェクト担当者
  5. 14 インシデントの再発防⽌策を実施した際に、新しく発⾏されたアカウントでは再 発防⽌策の反映が漏れる場合もある AWS 社 リセラー A社 リセラー B社 AWS

    アカウント AWS アカウント AWS アカウント インシデント発⽣ 再発防⽌策の対策依頼 AWS アカウント 対応後に発⾏したアカウントにおいて 再発防⽌策の反映が漏れる可能性あり プロジェクト担当者 組織的にアカウントを管理しない場合の課題
  6. CAF カテゴリ 項⽬ ベースライン設定 セキュリティガバナンス セキュリティの連絡先を最新化 ◯ 利⽤しないリージョンを無効化 ◯ セキュリティ保証

    AWS Security Hub によるベストプラクティスの⾃動化 ◯ アイデンティティとアクセス管理 多要素認証 ◯ ルートユーザーを利⽤せず、さらに監査する ◯ IAM Access Analyzer によるアクセスとロールの分析 ◯ 脅威検出 Amazon GuardDuty による脅威検出 ◯ AWS CloudTrail による API 呼び出しの監査 ◯ AWS Trusted Advisor で発⾒した Security findings の修復 - 異常検出のための課⾦アラーム - 脆弱性管理 - - インフラ保護 セキュリティグループによるアクセス制限 - データ保護 Amazon S3 のパブリックアクセスのブロック ◯ Amazon Macie によるデータセキュリティの分析 - アプリケーションのセキュリティ AWS WAF のマネージドルール - インシデント対応 Amazon GuardDuty の検出に対応 ◯(有効化) 16 AWS アカウントベースライン設定 フェーズ 1 でベースラインとして設定する⼀例(項⽬によっては有効化のみ等の⼀部のみ実施) 後半で紹介 後半で紹介 後半で紹介 後半で紹介 後半で紹介 後半で紹介
  7. CAF カテゴリ 項⽬ ベースライン設定 セキュリティガバナンス セキュリティおよび規制要件を特定 - Cloud Security のトレーニングプラン

    - セキュリティ保証 AWS Config による構成管理 ◯ アイデンティティとアクセス管理 ユーザーリポジトリの⼀元管理 ◯ 組織ポリシーとしての SCP ◯ 脅威検出 Amazon GuardDuty の Findings を調査 - 脆弱性管理 インフラストラクチャの脆弱性を管理し、ペネトレーションテストを実施 - アプリケーションの脆弱性を管理 - インフラ保護 Fleet Manager によるインスタンス管理 - VPC 内の Public/Private ネットワーク分離 - AWS Control Tower によるマルチアカウント管理 ◯ データ保護 AWS KMSによる暗号化 - データバックアップ - Amazon Macie による機密データの発⾒ - アプリケーションのセキュリティ 開発時にセキュリティチームも参画する - AWS Secrets Manager を利⽤し、コードにシークレットを含めない - インシデント対応 インシデント対応⼿順を⽤意 - Multi-AZ による冗⻑構成 - 17 AWS アカウントベースライン設定 フェーズ 2 でベースラインとして設定する⼀例(項⽬によっては有効化のみ等の⼀部のみ実施) 後半で紹介 後半で紹介 後半で紹介 後半で紹介
  8. 19 AWS 利⽤ガイドライン 「AWS 利⽤ガイドライン」の記載内容の例を⽰す ガイドラインの章 記載内容の例 AWS アカウント管理 AWS

    アカウントの⼀元管理⽅法、アカウント発⾏/廃⽌フロー ユーザー管理 ユーザーの⼀元管理、ユーザー利⽤/削除申請フロー セキュリティ対策 AWS のセキュリティ対策(予防的・発⾒的統制)、組織内の共通/推奨サービス・製品 ログ管理 取得ログや保管期間などのルール コスト管理 組織内の AWS 利⽤料⾦の精算ルール、料⾦の監視⽅法、コスト最適化 共通ネットワーク・サービス ネットワーク共通化(プロキシやファイアウォール等を含む)、共通の社内向けサービス リソース作成ルール・推奨構成 共通/推奨のアーキテクチャ、リソース作成のルール 運⽤ 共通/推奨のシステム監視⽅法、バックアップ・リストア⽅法 監査 組織内のポリシーやルールが守られているかのチェック⽅法
  9. 20