Upgrade to Pro — share decks privately, control downloads, hide ads and more …

CNAPPから考えるAWSガバナンスの実践と最適化

Yuto Obayashi
January 30, 2025
Technology
6
1.3k

 CNAPPから考えるAWSガバナンスの実践と最適化

Yuto Obayashi

January 30, 2025
Tweet

More Decks by Yuto Obayashi

See All by Yuto Obayashi
AWSにおけるサイバー攻撃の傾向と具体的な対策
yuobayashi
6
670
AWSサービスアップデート2025年2月分
yuobayashi
2
120
AWSアカウントのセキュリティ自動化、どこまで進める? 最適な設計と実践ポイント
yuobayashi
7
2.2k

Other Decks in Technology

See All in Technology
사이드 프로젝트를 20번 실패한 주니어의 오답노트 훔쳐보기(feat. KMP)
yjyoon
0
540
Autonomous Database - Dedicated 技術詳細 / adb-d_technical_detail_jp
oracle4engineer
PRO
4
8.1k
EM初心者として半年間マネジャーをやってみて分かったこと
sansantech
PRO
0
130
やっぱり余白が大切だった話
kakehashi
PRO
7
2.7k
生成AIで生産性向上
tomuro
0
180
Cloudflare Pages 4年使って分かった良さと注意点
kyosuke
0
200
セキュリティグループの”タイプ”を改めて考えてみる
masakiokuda
0
150
入社半年で PTE に! 元海外在住者が語る Google Cloud × G-genで 成長する秘訣
risatube
PRO
0
120
AppSheet タスク管理アプリ 中級編
comucal
PRO
0
230
Platform Engineering for Private Cloud
cote
PRO
0
120
TechBullエンジニアコミュニティの取り組みについて
rvirus0817
0
530
AIxIoTビジネス共創ラボ紹介_20250311.pdf
iotcomjpadmin
0
220

Featured

See All Featured
Chrome DevTools: State of the Union 2024 - Debugging React & Beyond
addyosmani
4
420
Designing for Performance
lara
605
69k
Large-scale JavaScript Application Architecture
addyosmani
511
110k
The Success of Rails: Ensuring Growth for the Next 100 Years
eileencodes
44
7.1k
YesSQL, Process and Tooling at Scale
rocio
172
14k
It's Worth the Effort
3n
184
28k
Git: the NoSQL Database
bkeepers
PRO
429
65k
The MySQL Ecosystem @ GitHub 2015
samlambert
251
12k
Side Projects
sachag
452
42k
Designing Experiences People Love
moore
140
23k
The Cult of Friendly URLs
andyhume
78
6.3k
Building an army of robots
kneath
303
45k

Transcript

  1. CNAPPから考えるAWSガバナンスの実践と最適化 2025年1月29日 NRIネットコム株式会社 デジタルソリューション事業本部 クラウド事業推進部 大林 優斗

  2. 1 Copyright(C) NRI Netcom, Ltd. All rights reserved. #nncstudy 転載、複製、改変等、および許諾のない二次利用を禁止します

    ◼ 登壇者:大林 優斗 ◼ 2024 Japan AWS Jr. Champions ◼ 業務:AWSを活用したシステムの設計・開発を担当 ⚫ AWSアカウントに統制を効かせる ◼ AWS認定資格 ◼ 書籍執筆:AWS の薄い本の合本 Vol.01 自己紹介

  3. 2 Copyright(C) NRI Netcom, Ltd. All rights reserved. #nncstudy 転載、複製、改変等、および許諾のない二次利用を禁止します

    本日お話しする内容

  4. 3 Copyright(C) NRI Netcom, Ltd. All rights reserved. #nncstudy 転載、複製、改変等、および許諾のない二次利用を禁止します

    ◼ パブリッククラウドの利用増加に伴い、情報漏洩などのインシデントが増加傾向にある。 ◼ 各組織で情報セキュリティ対策を実行していてもインシデントは発生してしまう。 ◼ 情報セキュリティを取り巻く環境が変化し続けているため、情報セキュリティ対策も改善し続ける必要がある。 ◼ CNAPPを用いることで具体的な対策を講じやすい。 本日お話しする内容 参照元:https://www.nri-secure.co.jp/blog/ipa-10-major-threats-2024

  5. 4 Copyright(C) NRI Netcom, Ltd. All rights reserved. #nncstudy 転載、複製、改変等、および許諾のない二次利用を禁止します

    CNAPPとAWS

  6. 5 Copyright(C) NRI Netcom, Ltd. All rights reserved. #nncstudy 転載、複製、改変等、および許諾のない二次利用を禁止します

    サイバー攻撃者が使用する戦術を把握する CNAPPとAWS ◼ MITRE ATT&CK:MITRE社によって開発されており、攻撃データを基に設計されている。 ⚫ 戦術 (Tactics) 攻撃者が達成しようとする目的を表す(例:初期侵入、特権昇格、データの窃取など)。 ⚫ 技術 (Techniques) 戦術を実現するために攻撃者が使用する具体的な方法を指す(例:フィッシング、リモートデスクトップの悪用など)。 ⚫ ナレッジベース 攻撃者の行動やそれに関連するデータを体系的に収集しており、企業や組織が脅威モデルや防御戦略を策定する際に利用で きる。 ◼ 攻撃手法を知り、どのような対策をするべきか考える。 どの攻撃が多いのかを知る どのように攻撃してくるのかを知る 攻撃への対策を考える 攻撃への対策を実行する 攻撃への対策を改善する

  7. 6 Copyright(C) NRI Netcom, Ltd. All rights reserved. #nncstudy 転載、複製、改変等、および許諾のない二次利用を禁止します

    サイバー攻撃者が使用する戦術を把握する CNAPPとAWS ◼ MITRE ATT&CK Containers Matrix ⚫ 権限昇格 • コンテナの特権モードやランタイム脆弱性を悪用 • ホストOSやオーケストレーションツールの脆弱性の存在 • 不適切なIAMロールの設定や過剰な権限の付与 • アカウントや認証情報の管理ミスや漏洩 参照元:https://attack.mitre.org/matrices/enterprise/containers/

  8. 7 Copyright(C) NRI Netcom, Ltd. All rights reserved. #nncstudy 転載、複製、改変等、および許諾のない二次利用を禁止します

    CNAPP(Cloud Native Application Protection Platform) CNAPPとAWS ◼ CNAPP(Cloud Native Application Protection Platform) ⚫ クラウド・ネイティブ・アプリケーションのセキュリティと保護を支援するために設計された、セキュリティとコンプライアンスに関連した機 能のセット。 CNAPP CSPM CWPP CIEM IaC DSPM

  9. 8 Copyright(C) NRI Netcom, Ltd. All rights reserved. #nncstudy 転載、複製、改変等、および許諾のない二次利用を禁止します

    CSPM(Cloud Security Posture Management) CNAPPとAWS ◼ CSPM(Cloud Security Posture Management) ⚫ クラウド環境のセキュリティ状態を継続的に監視し、設定ミスやセキュリティリスクを検出・修正するためのソリューション。 ⚫ 該当するAWSサービス例:AWS Config、AWS Security Hub ◼ CSPMの運用ポイント ⚫ 検知内容に対する改善アクションへの導線を引く • なぜチャットツールを使用して通知するのか? なぜBacklogにチケット化するのか? →目指している運用の理想像に向けたツールの選定が必要。 ⚫ 検知内容に対する課題を切り分ける • 重要度にもとづいて優先順位をつけて検知に対応する。 • AWS Security Hub オートメーションルール AWS Security Hub Slack通知 Backlog通知 AWS Config Amazon EventBridge AWS Lambda 通知

  10. 9 Copyright(C) NRI Netcom, Ltd. All rights reserved. #nncstudy 転載、複製、改変等、および許諾のない二次利用を禁止します

    CSPM(Cloud Security Posture Management) CNAPPとAWS ◼ 生成AIを活用して改善アクションにつなげる方法も検討する ⚫ 検知に対して具体的にどのようなアクションを取ればいいのか通知内容に載せる。 Bedrockアカウント AWS Lambda Amazon Bedrock Amazon S3 ログ保管 メンバーアカウント AWS Security Hub メール通知 Slack通知 Backlog通知 Amazon EventBridge

  11. 10 Copyright(C) NRI Netcom, Ltd. All rights reserved. #nncstudy 転載、複製、改変等、および許諾のない二次利用を禁止します

    CSPM(Cloud Security Posture Management) ◼ 検知から改善に繋げるためのサイクル ⚫ 検知して終わりではなく、検知内容に対する修正、検知状況の分析、予防的な改善策の実施が不可欠。 CNAPPとAWS 検知・通知 調査・修正 分析 改善

  12. 11 Copyright(C) NRI Netcom, Ltd. All rights reserved. #nncstudy 転載、複製、改変等、および許諾のない二次利用を禁止します

    CSPM(Cloud Security Posture Management) ◼ Security Hub インサイトを使用した検知状況の分析する。 ◼ ドリルダウンして詳細な分析をする場合はQuickSightを活用する。 CNAPPとAWS AWSマネジメントコンソール

  13. 12 Copyright(C) NRI Netcom, Ltd. All rights reserved. #nncstudy 転載、複製、改変等、および許諾のない二次利用を禁止します

    CWPP(Cloud Workload Protection Platform) CNAPPとAWS ◼ CWPP(Cloud Workload Protection Platform) ⚫ クラウド環境で稼働するワークロード(仮想マシン、コンテナなど)を保護するためのセキュリティソリューション。 ⚫ 該当するAWSサービス例 • 仮想マシンの脆弱性を検出する:Amazon Inspector • コンテナイメージの脆弱性を検出する:Amazon ECR • ワークロードの保護:Amazon GuardDuty Amazon Inspector Amazon Elastic Compute Cloud (Amazon EC2) Amazon Inspector Amazon Elastic Container Registry (Amazon ECR) Image + Amazon Elastic Kubernetes Service (Amazon EKS) Amazon Elastic Container Service (Amazon ECS) Amazon Elastic Compute Cloud (Amazon EC2) Amazon GuardDuty

  14. 13 Copyright(C) NRI Netcom, Ltd. All rights reserved. #nncstudy 転載、複製、改変等、および許諾のない二次利用を禁止します

    CIEM(Cloud Infrastructure Entitlement Management) CNAPPとAWS ◼ CIEM(Cloud Infrastructure Entitlement Management) ⚫ クラウド環境におけるアイデンティティとアクセス権限の管理に特化したセキュリティソリューション。 ⚫ 過剰な権限の付与を防ぎ、最小権限の原則を実現する。 • 外部アクセスの特定 • 過剰権限の特定 ⚫ 該当するAWSサービス例:AWS IAM、AWS IAM Access Analyzer、RCP ◼ CIEMの運用ポイント ⚫ 検知内容に対する改善アクションへの導線を引く ⚫ 定期的に使用されていないIAMの棚卸を実施 • タグを設定して追跡しやすくする

  15. 14 Copyright(C) NRI Netcom, Ltd. All rights reserved. #nncstudy 転載、複製、改変等、および許諾のない二次利用を禁止します

    IaC(Infrastructure as Code) CNAPPとAWS ◼ IaC(Infrastructure as Code) ⚫ インフラストラクチャの構成をコードベースで管理する際に、設定ミスやセキュリティの脆弱性を検出・修正する。 ⚫ 該当するAWSサービス例:AWS CodePipeline、AWS CloudFormation、Amazon Inspector ◼ IaCの運用ポイント ⚫ 事前スキャン(IaCコードのチェック)と運用後の監視(ConfigやSecurity Hubによるモニタリング)の両方が必要。 AWS CodePipeline AWS CodeBuild AWS CodeDeploy Amazon Inspector Amazon Elastic Container Registry (Amazon ECR) +

  16. 15 Copyright(C) NRI Netcom, Ltd. All rights reserved. #nncstudy 転載、複製、改変等、および許諾のない二次利用を禁止します

    DSPM(Data Security Posture Management) CNAPPとAWS ◼ DSPM(Data Security Posture Management) ⚫ クラウド環境やオンプレミス環境に存在するデータのセキュリティ状態を管理し、データが適切に保護されているかを監視・最適化 するためのソリューション。 ⚫ 該当するAWSサービス例:Amazon Macie、AWS KMS、AWS IAM、AWS Config、AWS CloudTrail ◼ DSPMの運用ポイント ⚫ 継続的なデータ可視化の実施 • 定期的にAmazon Macieを用いてS3バケットのデータをスキャンし、新たに保存されたセンシティブデータや公開設定の不備 を確認。 ⚫ 暗号化ポリシーの適用と監視 • AWS KMSを利用して、データストレージ(例: S3バケット、RDS)の暗号化を標準化。 ⚫ 不審なデータアクセスの検出 • AWS CloudTrailでデータへのアクセスログを収集し、異常なアクセス(例: 通常と異なるIPや時刻のアクセス)を監視。

  17. 16 Copyright(C) NRI Netcom, Ltd. All rights reserved. #nncstudy 転載、複製、改変等、および許諾のない二次利用を禁止します

    セキュリティ運用とコスト

  18. 17 Copyright(C) NRI Netcom, Ltd. All rights reserved. #nncstudy 転載、複製、改変等、および許諾のない二次利用を禁止します

    セキュリティとコストのバランスを考える セキュリティ運用とコスト コスト セキュリティ ◼ ケースに応じたセキュリティとコストのバランスが重要 ◼ コストをかけたとしても、インシデントは発生する ◼ セキュリティを強化するためには一定のコストがかかってしまう ➢ 必ずしもコストの増加が悪ではない

  19. 18 Copyright(C) NRI Netcom, Ltd. All rights reserved. #nncstudy 転載、複製、改変等、および許諾のない二次利用を禁止します

    絶対的、完全なセキュリティ対策は存在しない セキュリティ運用とコスト ◼ インシデントが発生する前提でセキュリティ対策を実施する ◼ インシデントが発生した際にどのようなアクションを取るのか ◼ どのような運用を実現するためにどのような運用の体制を確保できるか AWS Security Hub 一次対応 二次対応

  20. 19 Copyright(C) NRI Netcom, Ltd. All rights reserved. #nncstudy 転載、複製、改変等、および許諾のない二次利用を禁止します

    自動化して運用効率を最大化させる セキュリティ運用とコスト ◼ Configを活用して自動修復させる ⚫ 全てのリソースを自動修復するのではなく、タグを使用して修復対象を制御することも可能。 ⚫ 例:「TestKey:True」というタグが設定されているセキュリティグループのインバウンドルールを削除する。 Security group Public subnet Amazon Elastic Compute Cloud (Amazon EC2) AWS Config [インバウンドルール] 0.0.0.0/0 [タグ] TestKey:True Amazon EventBridge AWS Lambda 「インバウンドルール 0.0.0.0/0」を削除

  21. 20 Copyright(C) NRI Netcom, Ltd. All rights reserved. #nncstudy 転載、複製、改変等、および許諾のない二次利用を禁止します

    自動化して運用効率を最大化させる セキュリティ運用とコスト ◼ GuardDutyの脅威IPリストを自動更新する ⚫ 例:悪意のあるアクションをしたIPアドレスを自動で脅威IPリストに追加する。 ⚫ 人の手を入れずに完全に自動化したい場合に有効。 ⚫ 意図しないIPアドレスが脅威IPリストに追加される可能性があるので、どこまで自動化するかを考えなくてはならない。 Amazon GuardDuty 利用アカウント 検知 Amazon EventBridge AWS Lambda Amazon SNS 管理者 脅威IPリストを更新 SNS通知 AWS CloudTrail EKS Audit Log DNS Query Logs VPC Flow Logs Amazon S3

  22. 21 Copyright(C) NRI Netcom, Ltd. All rights reserved. #nncstudy 転載、複製、改変等、および許諾のない二次利用を禁止します

    まとめ

  23. 22 Copyright(C) NRI Netcom, Ltd. All rights reserved. #nncstudy 転載、複製、改変等、および許諾のない二次利用を禁止します

    ◼ CNAPPを活用することでAWSガバナンスにどのように向き合えばいいのかわかりやすくなる。 ◼ セキュリティを向上させるのは不可欠だが、用意できるコストと照らし合わせて考える必要がある。 ◼ セキュリティインシデントは発生することを前提に運用体制を整える必要がある。 まとめ CNAPP CSPM CWPP IaC DSPM CIEM
  24. None