Upgrade to Pro
— share decks privately, control downloads, hide ads and more …
Speaker Deck
Features
Speaker Deck
PRO
Sign in
Sign up for free
Search
Search
組織的なクラウド統制のはじめの一歩_20240529
Search
Sponsored
·
Ship Features Fearlessly
Turn features on and off without deploys. Used by thousands of Ruby developers.
→
yhana
May 28, 2024
Technology
1.2k
0
Share
Embed
Copy iframe code
Copy JS code
Copy link
Start on current slide
組織的なクラウド統制のはじめの一歩_20240529
yhana
May 28, 2024
More Decks by yhana
See All by yhana
AWS Organizations 経験者向けAzure ガバナンス速習
yhana
0
29
20250903_1つのAWSアカウントに複数システムがある環境におけるアクセス制御をABACで実現.pdf
yhana
3
1.4k
AWS Organizations 新機能!マルチパーティ承認の紹介
yhana
1
1.4k
AWS re:Invent 2024 ふりかえり勉強会
yhana
0
1.2k
AWS IAM Identity Center を使わないマルチアカウントのユーザー管理
yhana
2
4.7k
Guard を利用した AWS Config ルール
yhana
0
1.2k
Azureの基本的な権限管理の勉強会
yhana
1
6.8k
組織的なクラウド統制のはじめの一歩
yhana
0
2.4k
失敗例から学ぶAWSセキュリティサービスの導入
yhana
1
15k
Other Decks in Technology
See All in Technology
入門!AWS Blocks
ysuzuki
1
190
AIをフル活用してオンコール機能のプロトタイプを2日で作った話 / Building an AI-Powered On-Call Prototype in Just Two Days
nari_ex
0
120
【Snowflake Summit 2026 Recap!!】Snowflake Summit Deep Dive: Security & Governance
civitaspo
1
310
レガシーな広告配信システムでのAI駆動開発/運用の挑戦
i16fujimoto
0
120
From Prompt Engineering to Loop Engineering
shibuiwilliam
1
200
AWS Security Agent といっしょに脅威モデリングをやってみよう
amarelo_n24
1
210
5分でわかるDuckDB Quack
chanyou0311
3
250
Microsoft のサポートとフィードバック総まとめ
murachiakira
PRO
0
110
いまさら聞けない「仕様駆動開発入門」 〜AI活用時代の開発プロセスを考える〜
findy_eventslides
2
200
[チョークトーク資料]AWS DevOps Agent を使いこなす / AWS Dev Ops Agent Chalk Talk AWS Summit Japan 2026
kinunori
4
770
スタートアップにAmazon EKSは早すぎる? マルチプロダクト戦略を加速する Platform Engineeringの実践 / Is Amazon EKS Too Soon for Startups? Practical Platform Engineering to Accelerate a Multi-Product Strategy
elmodev09
1
1.8k
Comment regagner la souveraineté de vos données tout en étant payé grâce à Nostr !
rlifchitz
0
200
Featured
See All Featured
Are puppies a ranking factor?
jonoalderson
1
3.6k
WENDY [Excerpt]
tessaabrams
11
38k
Git: the NoSQL Database
bkeepers
PRO
432
67k
Effective software design: The role of men in debugging patriarchy in IT @ Voxxed Days AMS
baasie
0
430
Evolution of real-time – Irina Nazarova, EuRuKo, 2024
irinanazarova
9
1.4k
How STYLIGHT went responsive
nonsquared
100
6.2k
The innovator’s Mindset - Leading Through an Era of Exponential Change - McGill University 2025
jdejongh
PRO
1
210
The Illustrated Children's Guide to Kubernetes
chrisshort
51
52k
Pawsitive SEO: Lessons from My Dog (and Many Mistakes) on Thriving as a Consultant in the Age of AI
davidcarrasco
0
170
Learning to Love Humans: Emotional Interface Design
aarron
275
41k
Lessons Learnt from Crawling 1000+ Websites
charlesmeaden
PRO
1
1.3k
Measuring & Analyzing Core Web Vitals
bluesmoon
9
870
Transcript
組織的なクラウド統制のはじめの⼀歩 2024.5.29 AWS事業本部 コンサルティング部 yhana 1 セキュリティ成熟度モデルと AWS アカウントベースライン設定
• AWS のセキュリティ対策をどの程度実現できているかを測るフレームワーク 「AWS セキュリティ成熟度モデル」の紹介 • AWS の組織的な統制として実施する AWS アカウントのベースライン設定例
の紹介 2 発表内容
3 AWS セキュリティ成熟度モデルとは
4 AWS セキュリティ成熟度モデル AWS 内のセキュリティ専⾨のチームによって作成された、模範的なガイダンス として「AWS セキュリティ成熟度モデル」がある(ただし、公式ドキュメント扱いではない) https://maturitymodel.security.aws.dev/en/model/
5 AWS セキュリティ成熟度モデル AWS のセキュリティ対策における現在の状況を可視化した活⽤例 強化するポイントが 分かりやすい
6 AWS セキュリティ成熟度モデル 「クイックウィン」〜「最適化」まで、4 段階のフェーズ分けがされており、 はじめに⽬指す指針としてはフェーズ 2 の「基礎」がおすすめ クイックウィン 基礎
効率化 最適化 フェーズ 1 フェーズ 2 フェーズ 3 フェーズ 4 はじめの⽬標
7 AWS セキュリティ成熟度モデル 各項⽬は 9 つのカテゴリに分類されている セキュリティ ガバナンス セキュリティ保証 アイデンティティと
アクセス管理 脅威検出 脆弱性管理 インフラ保護 データ保護 アプリケーション セキュリティ インシデント対応
CAF カテゴリ 項⽬ セキュリティガバナンス セキュリティインシデントの連絡先を最新化 利⽤しないリージョンを無効化 セキュリティ保証 AWS Security Hub
によるベストプラクティスの⾃動化 アイデンティティとアクセス管理 多要素認証 ルートユーザーを利⽤せず、さらに監査する IAM Access Analyzer によるアクセスとロールの分析 脅威検出 Amazon GuardDuty による脅威検出 AWS CloudTrail による API 呼び出しの監査 AWS Trusted Advisor で発⾒した Security findings の修復 異常検出のための課⾦アラーム 脆弱性管理 - インフラ保護 セキュリティグループによるアクセス制限 データ保護 Amazon S3 のパブリックアクセスのブロック Amazon Macie によるデータセキュリティの分析 アプリケーションのセキュリティ AWS WAF のマネージドルール インシデント対応 Amazon GuardDuty の検出に対応 8 フェーズ 1︓クイックウィン
CAF カテゴリ 項⽬ セキュリティガバナンス セキュリティおよび規制要件を特定 Cloud Security のトレーニングプラン セキュリティ保証 AWS
Config による構成管理 アイデンティティとアクセス管理 ユーザーリポジトリの⼀元管理 組織ポリシーとしての SCP 脅威検出 Amazon GuardDuty の Findings を調査 脆弱性管理 インフラストラクチャの脆弱性を管理し、ペネトレーションテストを実施 アプリケーションの脆弱性を管理 インフラ保護 Fleet Manager によるインスタンス管理 VPC 内の Public/Private ネットワーク分離 AWS Control Tower によるマルチアカウント管理 データ保護 AWS KMSによる暗号化 データバックアップ Amazon Macie による機密データの発⾒ アプリケーションのセキュリティ 開発時にセキュリティチームも参画する AWS Secrets Manager を利⽤し、コードにシークレットを含めない インシデント対応 インシデント対応⼿順を⽤意 Multi-AZ による冗⻑構成 9 フェーズ 2︓基礎
10 AWS セキュリティ成熟度モデルの参考資料 より詳細な内容は下記ブログを参照ください https://dev.classmethod.jp/articles/improve-security-with-aws-security-maturity-model/
11 AWS アカウントのベースライン設定
12 アカウント発⾏プロセスとベースライン設定 組織的に AWS を管理するアカウント発⾏プロセス(フロー)を整備して、 AWS セキュリティ成熟度モデルを満たすベースライン設定を実施する アカウント発⾏フローの整備 組織内で満たすべき設定項⽬を最初に設定
13 組織的にアカウントを管理しない場合の課題 AWS アカウントを管理していない場合、全組織で共通的な設定を実現したいと きに各アカウントの担当者を調査して依頼する⼿間が発⽣する AWS 社 リセラー A社 リセラー
B社 AWS アカウント AWS アカウント AWS アカウント すべての AWS アカウントの管理 者に設定を依頼 全ての担当者を探して依頼する⼿間と時間がかかる、漏れがある可能性もある プロジェクト担当者
14 インシデントの再発防⽌策を実施した際に、新しく発⾏されたアカウントでは再 発防⽌策の反映が漏れる場合もある AWS 社 リセラー A社 リセラー B社 AWS
アカウント AWS アカウント AWS アカウント インシデント発⽣ 再発防⽌策の対策依頼 AWS アカウント 対応後に発⾏したアカウントにおいて 再発防⽌策の反映が漏れる可能性あり プロジェクト担当者 組織的にアカウントを管理しない場合の課題
15 AWS アカウントベースライン設定 AWS セキュリティ成熟度モデルのフェーズ 2 である「基礎」までの項⽬を参考 にベースライン設定として採⽤する内容の例を次スライド以降に⽰す クイックウィン 基礎
効率化 最適化 フェーズ 1 フェーズ 2 フェーズ 3 フェーズ 4 組織的な統制を実現するための ベースライン設定の候補
CAF カテゴリ 項⽬ ベースライン設定 セキュリティガバナンス セキュリティの連絡先を最新化 ◯ 利⽤しないリージョンを無効化 ◯ セキュリティ保証
AWS Security Hub によるベストプラクティスの⾃動化 ◯ アイデンティティとアクセス管理 多要素認証 ◯ ルートユーザーを利⽤せず、さらに監査する ◯ IAM Access Analyzer によるアクセスとロールの分析 ◯ 脅威検出 Amazon GuardDuty による脅威検出 ◯ AWS CloudTrail による API 呼び出しの監査 ◯ AWS Trusted Advisor で発⾒した Security findings の修復 - 異常検出のための課⾦アラーム - 脆弱性管理 - - インフラ保護 セキュリティグループによるアクセス制限 - データ保護 Amazon S3 のパブリックアクセスのブロック ◯ Amazon Macie によるデータセキュリティの分析 - アプリケーションのセキュリティ AWS WAF のマネージドルール - インシデント対応 Amazon GuardDuty の検出に対応 ◯(有効化) 16 AWS アカウントベースライン設定 フェーズ 1 でベースラインとして設定する⼀例(項⽬によっては有効化のみ等の⼀部のみ実施) 後半で紹介 後半で紹介 後半で紹介 後半で紹介 後半で紹介 後半で紹介
CAF カテゴリ 項⽬ ベースライン設定 セキュリティガバナンス セキュリティおよび規制要件を特定 - Cloud Security のトレーニングプラン
- セキュリティ保証 AWS Config による構成管理 ◯ アイデンティティとアクセス管理 ユーザーリポジトリの⼀元管理 ◯ 組織ポリシーとしての SCP ◯ 脅威検出 Amazon GuardDuty の Findings を調査 - 脆弱性管理 インフラストラクチャの脆弱性を管理し、ペネトレーションテストを実施 - アプリケーションの脆弱性を管理 - インフラ保護 Fleet Manager によるインスタンス管理 - VPC 内の Public/Private ネットワーク分離 - AWS Control Tower によるマルチアカウント管理 ◯ データ保護 AWS KMSによる暗号化 - データバックアップ - Amazon Macie による機密データの発⾒ - アプリケーションのセキュリティ 開発時にセキュリティチームも参画する - AWS Secrets Manager を利⽤し、コードにシークレットを含めない - インシデント対応 インシデント対応⼿順を⽤意 - Multi-AZ による冗⻑構成 - 17 AWS アカウントベースライン設定 フェーズ 2 でベースラインとして設定する⼀例(項⽬によっては有効化のみ等の⼀部のみ実施) 後半で紹介 後半で紹介 後半で紹介 後半で紹介
18 ベースライン設定以外の⽅法 VPC のサブネット設計⽅針など、利⽤者に強制が難しい内容や事前の設定が難 しい内容は「AWS 利⽤ガイドライン」を策定するアプローチもある
19 AWS 利⽤ガイドライン 「AWS 利⽤ガイドライン」の記載内容の例を⽰す ガイドラインの章 記載内容の例 AWS アカウント管理 AWS
アカウントの⼀元管理⽅法、アカウント発⾏/廃⽌フロー ユーザー管理 ユーザーの⼀元管理、ユーザー利⽤/削除申請フロー セキュリティ対策 AWS のセキュリティ対策(予防的・発⾒的統制)、組織内の共通/推奨サービス・製品 ログ管理 取得ログや保管期間などのルール コスト管理 組織内の AWS 利⽤料⾦の精算ルール、料⾦の監視⽅法、コスト最適化 共通ネットワーク・サービス ネットワーク共通化(プロキシやファイアウォール等を含む)、共通の社内向けサービス リソース作成ルール・推奨構成 共通/推奨のアーキテクチャ、リソース作成のルール 運⽤ 共通/推奨のシステム監視⽅法、バックアップ・リストア⽅法 監査 組織内のポリシーやルールが守られているかのチェック⽅法
20