Upgrade to Pro
— share decks privately, control downloads, hide ads and more …
Speaker Deck
Features
Speaker Deck
PRO
Sign in
Sign up for free
Search
Search
組織的なクラウド統制のはじめの一歩_20240529
Search
Sponsored
·
Your Podcast. Everywhere. Effortlessly.
Share. Educate. Inspire. Entertain. You do you. We'll handle the rest.
→
yhana
May 28, 2024
Technology
1.2k
0
Share
Embed
Copy iframe code
Copy JS code
Copy link
Start on current slide
組織的なクラウド統制のはじめの一歩_20240529
yhana
May 28, 2024
More Decks by yhana
See All by yhana
AWS Organizations 経験者向けAzure ガバナンス速習
yhana
0
29
20250903_1つのAWSアカウントに複数システムがある環境におけるアクセス制御をABACで実現.pdf
yhana
3
1.4k
AWS Organizations 新機能!マルチパーティ承認の紹介
yhana
1
1.4k
AWS re:Invent 2024 ふりかえり勉強会
yhana
0
1.2k
AWS IAM Identity Center を使わないマルチアカウントのユーザー管理
yhana
2
4.7k
Guard を利用した AWS Config ルール
yhana
0
1.2k
Azureの基本的な権限管理の勉強会
yhana
1
6.8k
組織的なクラウド統制のはじめの一歩
yhana
0
2.4k
失敗例から学ぶAWSセキュリティサービスの導入
yhana
1
15k
Other Decks in Technology
See All in Technology
Oracle Cloud Infrastructure:2026年6月度サービス・アップデート
oracle4engineer
PRO
0
290
あなたの知らないPDFのアクセシビリティ
lycorptech_jp
PRO
0
240
[AWS Summit Japan 2026]迷っているあなたへ_小さな一歩が、やがて自分を助けてくれる
sh_fk2
2
410
AWS Security Agent といっしょに脅威モデリングをやってみよう
amarelo_n24
1
210
週末にループ・エンジニアリングの理解を深めるためのスライド
nagatsu
0
130
Flow 不死:AI 時代 DevOps 的不變本質
cheng_wei_chen
2
500
いまさら聞けない「仕様駆動開発入門」 〜AI活用時代の開発プロセスを考える〜
findy_eventslides
2
200
5分でわかるDuckDB Quack
chanyou0311
3
250
コミュニティの有益性 ~JAWS Days 2026 での体験を通して~ / The Benefits of a Community ~Through My Experience at JAWS Days 2026~
seike460
PRO
0
270
【FinOps】データドリブンな意思決定を目指して
z63d
0
320
AIに障害切り分けを全部やってもらった。 。 。 。
estie
0
130
MUSUBI 田中裕一『AIと共に行う「しごとのリデザイン」- スモールバックオフィス編』AI Ops Lab #4
musubi
0
310
Featured
See All Featured
Java REST API Framework Comparison - PWX 2021
mraible
34
9.4k
The B2B funnel & how to create a winning content strategy
katarinadahlin
PRO
1
400
Evolution of real-time – Irina Nazarova, EuRuKo, 2024
irinanazarova
9
1.4k
<Decoding/> the Language of Devs - We Love SEO 2024
nikkihalliwell
1
250
How Fast Is Fast Enough? [PerfNow 2025]
tammyeverts
3
610
How to Build an AI Search Optimization Roadmap - Criteria and Steps to Take #SEOIRL
aleyda
1
2.1k
Automating Front-end Workflow
addyosmani
1370
210k
The Invisible Side of Design
smashingmag
301
52k
Mind Mapping
helmedeiros
PRO
1
260
Stewardship and Sustainability of Urban and Community Forests
pwiseman
0
230
The Myth of the Modular Monolith - Day 2 Keynote - Rails World 2024
eileencodes
28
3.5k
What’s in a name? Adding method to the madness
productmarketing
PRO
24
4.1k
Transcript
組織的なクラウド統制のはじめの⼀歩 2024.5.29 AWS事業本部 コンサルティング部 yhana 1 セキュリティ成熟度モデルと AWS アカウントベースライン設定
• AWS のセキュリティ対策をどの程度実現できているかを測るフレームワーク 「AWS セキュリティ成熟度モデル」の紹介 • AWS の組織的な統制として実施する AWS アカウントのベースライン設定例
の紹介 2 発表内容
3 AWS セキュリティ成熟度モデルとは
4 AWS セキュリティ成熟度モデル AWS 内のセキュリティ専⾨のチームによって作成された、模範的なガイダンス として「AWS セキュリティ成熟度モデル」がある(ただし、公式ドキュメント扱いではない) https://maturitymodel.security.aws.dev/en/model/
5 AWS セキュリティ成熟度モデル AWS のセキュリティ対策における現在の状況を可視化した活⽤例 強化するポイントが 分かりやすい
6 AWS セキュリティ成熟度モデル 「クイックウィン」〜「最適化」まで、4 段階のフェーズ分けがされており、 はじめに⽬指す指針としてはフェーズ 2 の「基礎」がおすすめ クイックウィン 基礎
効率化 最適化 フェーズ 1 フェーズ 2 フェーズ 3 フェーズ 4 はじめの⽬標
7 AWS セキュリティ成熟度モデル 各項⽬は 9 つのカテゴリに分類されている セキュリティ ガバナンス セキュリティ保証 アイデンティティと
アクセス管理 脅威検出 脆弱性管理 インフラ保護 データ保護 アプリケーション セキュリティ インシデント対応
CAF カテゴリ 項⽬ セキュリティガバナンス セキュリティインシデントの連絡先を最新化 利⽤しないリージョンを無効化 セキュリティ保証 AWS Security Hub
によるベストプラクティスの⾃動化 アイデンティティとアクセス管理 多要素認証 ルートユーザーを利⽤せず、さらに監査する IAM Access Analyzer によるアクセスとロールの分析 脅威検出 Amazon GuardDuty による脅威検出 AWS CloudTrail による API 呼び出しの監査 AWS Trusted Advisor で発⾒した Security findings の修復 異常検出のための課⾦アラーム 脆弱性管理 - インフラ保護 セキュリティグループによるアクセス制限 データ保護 Amazon S3 のパブリックアクセスのブロック Amazon Macie によるデータセキュリティの分析 アプリケーションのセキュリティ AWS WAF のマネージドルール インシデント対応 Amazon GuardDuty の検出に対応 8 フェーズ 1︓クイックウィン
CAF カテゴリ 項⽬ セキュリティガバナンス セキュリティおよび規制要件を特定 Cloud Security のトレーニングプラン セキュリティ保証 AWS
Config による構成管理 アイデンティティとアクセス管理 ユーザーリポジトリの⼀元管理 組織ポリシーとしての SCP 脅威検出 Amazon GuardDuty の Findings を調査 脆弱性管理 インフラストラクチャの脆弱性を管理し、ペネトレーションテストを実施 アプリケーションの脆弱性を管理 インフラ保護 Fleet Manager によるインスタンス管理 VPC 内の Public/Private ネットワーク分離 AWS Control Tower によるマルチアカウント管理 データ保護 AWS KMSによる暗号化 データバックアップ Amazon Macie による機密データの発⾒ アプリケーションのセキュリティ 開発時にセキュリティチームも参画する AWS Secrets Manager を利⽤し、コードにシークレットを含めない インシデント対応 インシデント対応⼿順を⽤意 Multi-AZ による冗⻑構成 9 フェーズ 2︓基礎
10 AWS セキュリティ成熟度モデルの参考資料 より詳細な内容は下記ブログを参照ください https://dev.classmethod.jp/articles/improve-security-with-aws-security-maturity-model/
11 AWS アカウントのベースライン設定
12 アカウント発⾏プロセスとベースライン設定 組織的に AWS を管理するアカウント発⾏プロセス(フロー)を整備して、 AWS セキュリティ成熟度モデルを満たすベースライン設定を実施する アカウント発⾏フローの整備 組織内で満たすべき設定項⽬を最初に設定
13 組織的にアカウントを管理しない場合の課題 AWS アカウントを管理していない場合、全組織で共通的な設定を実現したいと きに各アカウントの担当者を調査して依頼する⼿間が発⽣する AWS 社 リセラー A社 リセラー
B社 AWS アカウント AWS アカウント AWS アカウント すべての AWS アカウントの管理 者に設定を依頼 全ての担当者を探して依頼する⼿間と時間がかかる、漏れがある可能性もある プロジェクト担当者
14 インシデントの再発防⽌策を実施した際に、新しく発⾏されたアカウントでは再 発防⽌策の反映が漏れる場合もある AWS 社 リセラー A社 リセラー B社 AWS
アカウント AWS アカウント AWS アカウント インシデント発⽣ 再発防⽌策の対策依頼 AWS アカウント 対応後に発⾏したアカウントにおいて 再発防⽌策の反映が漏れる可能性あり プロジェクト担当者 組織的にアカウントを管理しない場合の課題
15 AWS アカウントベースライン設定 AWS セキュリティ成熟度モデルのフェーズ 2 である「基礎」までの項⽬を参考 にベースライン設定として採⽤する内容の例を次スライド以降に⽰す クイックウィン 基礎
効率化 最適化 フェーズ 1 フェーズ 2 フェーズ 3 フェーズ 4 組織的な統制を実現するための ベースライン設定の候補
CAF カテゴリ 項⽬ ベースライン設定 セキュリティガバナンス セキュリティの連絡先を最新化 ◯ 利⽤しないリージョンを無効化 ◯ セキュリティ保証
AWS Security Hub によるベストプラクティスの⾃動化 ◯ アイデンティティとアクセス管理 多要素認証 ◯ ルートユーザーを利⽤せず、さらに監査する ◯ IAM Access Analyzer によるアクセスとロールの分析 ◯ 脅威検出 Amazon GuardDuty による脅威検出 ◯ AWS CloudTrail による API 呼び出しの監査 ◯ AWS Trusted Advisor で発⾒した Security findings の修復 - 異常検出のための課⾦アラーム - 脆弱性管理 - - インフラ保護 セキュリティグループによるアクセス制限 - データ保護 Amazon S3 のパブリックアクセスのブロック ◯ Amazon Macie によるデータセキュリティの分析 - アプリケーションのセキュリティ AWS WAF のマネージドルール - インシデント対応 Amazon GuardDuty の検出に対応 ◯(有効化) 16 AWS アカウントベースライン設定 フェーズ 1 でベースラインとして設定する⼀例(項⽬によっては有効化のみ等の⼀部のみ実施) 後半で紹介 後半で紹介 後半で紹介 後半で紹介 後半で紹介 後半で紹介
CAF カテゴリ 項⽬ ベースライン設定 セキュリティガバナンス セキュリティおよび規制要件を特定 - Cloud Security のトレーニングプラン
- セキュリティ保証 AWS Config による構成管理 ◯ アイデンティティとアクセス管理 ユーザーリポジトリの⼀元管理 ◯ 組織ポリシーとしての SCP ◯ 脅威検出 Amazon GuardDuty の Findings を調査 - 脆弱性管理 インフラストラクチャの脆弱性を管理し、ペネトレーションテストを実施 - アプリケーションの脆弱性を管理 - インフラ保護 Fleet Manager によるインスタンス管理 - VPC 内の Public/Private ネットワーク分離 - AWS Control Tower によるマルチアカウント管理 ◯ データ保護 AWS KMSによる暗号化 - データバックアップ - Amazon Macie による機密データの発⾒ - アプリケーションのセキュリティ 開発時にセキュリティチームも参画する - AWS Secrets Manager を利⽤し、コードにシークレットを含めない - インシデント対応 インシデント対応⼿順を⽤意 - Multi-AZ による冗⻑構成 - 17 AWS アカウントベースライン設定 フェーズ 2 でベースラインとして設定する⼀例(項⽬によっては有効化のみ等の⼀部のみ実施) 後半で紹介 後半で紹介 後半で紹介 後半で紹介
18 ベースライン設定以外の⽅法 VPC のサブネット設計⽅針など、利⽤者に強制が難しい内容や事前の設定が難 しい内容は「AWS 利⽤ガイドライン」を策定するアプローチもある
19 AWS 利⽤ガイドライン 「AWS 利⽤ガイドライン」の記載内容の例を⽰す ガイドラインの章 記載内容の例 AWS アカウント管理 AWS
アカウントの⼀元管理⽅法、アカウント発⾏/廃⽌フロー ユーザー管理 ユーザーの⼀元管理、ユーザー利⽤/削除申請フロー セキュリティ対策 AWS のセキュリティ対策(予防的・発⾒的統制)、組織内の共通/推奨サービス・製品 ログ管理 取得ログや保管期間などのルール コスト管理 組織内の AWS 利⽤料⾦の精算ルール、料⾦の監視⽅法、コスト最適化 共通ネットワーク・サービス ネットワーク共通化(プロキシやファイアウォール等を含む)、共通の社内向けサービス リソース作成ルール・推奨構成 共通/推奨のアーキテクチャ、リソース作成のルール 運⽤ 共通/推奨のシステム監視⽅法、バックアップ・リストア⽅法 監査 組織内のポリシーやルールが守られているかのチェック⽅法
20