セキュリティの基本とAWSでのセキュリティ対策をフルコースで味あう

1. 1
1
セキュリティの基本とAWSでの
セキュリティ対策をフルコースで味わう

2. 2
2
対象者
• AWSのセキュリティサービスを知りたい
• AWSのセキュリティ対策方を知りたい
 あったらいい知識
• ISMSやISOなどの知識
• サーバ/NWのセキュリティ製品の知識

3. 3
3
ゴール
• セキュリティの3要素、追加4要素を理解する
• AWSのセキュリティサービスを一通り知る

4. 4
4
話さないこと
• 価格のこと
• バックアップとリカバリのサービス

5. 5
5
アジェンダ
• なぜセキュリティ対策をするのか
• セキュリティの3要素、追加4要素
• セキュリティの各種情報
• AWSでのセキュリティ対策をフルコースで味あう
• まとめ

6. 6
6
なぜセキュリティ対策をするのか？

7. 7
7
何を守るのか？
 情報資源を守る
 資産を守る
 人を守る

8. 8
8
企業の信頼を守るため

9. 9
9
信 頼
=
ビジネスを守る

10. 10
10
誰からの信頼を失うか
社会 投資家
ユーザ

11. 11
11
セキュリティ事故が発生すると
検知 対応 回復
事後
対応
 事故対応のフェーズ
事故発生に対する労力は大きい

12. 12
12
コスト/ビジネスへの影響
は大きい

13. 13
13
失う信頼も大きい

14. 14
14
だからセキュリティ対策をする

15. 15
15
どのように対策を考えるか

16. 16
16
セキュリティの3要素
 機密性(Confidentiality)
 完全性(Integrity)
 可用性(Availability)
頭文字をとって”CIA”

17. 17
17
機密性(Confidentiality)
 許可した人(組織)のみがデータにアクセスできる
 不正侵入
 データ閲覧
 データ漏えい(持出し)
 個人情報流出

18. 18
18
完全性(Integrity)
 データが信頼できる状態
 データ改ざん
 データ削除
 Webコンテンツの書きかえ
 DNSエントリの書きかえ

19. 19
19
可用性(Availability)
 情報にアクセス可能な人がいつでもアクセスできる
 DoS攻撃
 DDoS攻撃
 高負荷→Webサーバのダウン

20. 20
20
セキュリティの追加4要素
 真正性（Authenticity）
 責任追跡性（Accountability）
 否認防止（Non-repudiation）
 信頼性（Reliability）
3要素に対する方法論

21. 21
21
真正性（Authenticity)
 許可した人(組織)のみがデータにアクセスできる
 署名や認証、権限で利用者が適正であること
 認証/署名
 アクセス権
 暗号化(ハッシュ)

22. 22
22
責任追跡性（Accountability）
 いつ何がおこったのか、追跡/追求うできること
 ログが改ざんされていなく、システムの挙動を追跡
できること
 アクセスログ、システムログ、操作ログ
 取得/保存

23. 23
23
否認防止（Non-repudiation）
 行ったことを、後でなかったことにされないようにする
 責任追及性の担保
 第三者のタイムスタンプ

24. 24
24
信頼性（Reliability）
 システムの処理が適切であること
 矛盾なく正常な動作ができる構成であること
 冗長性
 可用性
 保守性

25. 25
25
3要素+追加4要素で考える
完全性
可用性
真正性
責任
追跡性
否認防止
信頼性
機密性

26. 26
26
 要素分解しながら各セキュリティ対策を少しづつす
すめる
 AWSにはセキュリティ対策のフレームワーク(型)や
ベストプラクティス集があるので参考にする
対策のすすめ方

27. 27
27
AWSでの
セキュリティ対策

28. 28
28
セキュリティの各種情報
(読みもの/情報収集)

29. 29
29
AWSのセキュリティ方針
 セキュリティは最優先事項
 戦略的かつ継続的なセキュリティを日々実行
 たくさんの第三者認証を取得
 ISO、ISMS、SOC、NIST…
• https://amzn.to/3twgmm8

30. 30
30
IPAのISMAPにAWSが登録(New)
 ISMAP(政府情報システムのためのセキュリティ評価制度)
 政府が求めるセキュリティ要求を満たしているクラウドサービス
 3/12にAWSを含めた”7社”がISMAPに初登録される
• https://www.ipa.go.jp/security/ismap/cslist.html

31. 31
31
責任共有モデル
 AWSとユーザ(お客
様)との責任分解点
 各サービス(IaaS、
PaaS、SaaS)で責
任範囲が異なる
 例→データ保護/管
理はユーザの責任範
囲

32. 32
32
AWSのネットワークの監視と保護
 AWSで実装している保護機能
引用元：アマゾン ウェブ サービス: セキュリティプロセスの概要
• https://bit.ly/3rZxG2t
• AWS ネットワークは、既存のネットワークセキュリティの問題に対する強固な保護機
能を備えており、さらに堅牢な保護 を実装することができます。
• 以下にいくつかの例を示します:
• 分散型サービス妨害（DDoS）攻撃
• 中間者（MITM）攻撃
• IP スプーフィング
• ポートスキャン
• 第三者によるパケットスニッフィング

33. 33
33
セキュリティのフレームワーク
 AWS Well-Architected
 AWSの大局的なシステム設計指針(セキュリティも含まれる)
• https://aws.amazon.com/jp/architecture/well-
architected/
 NIST サイバーセキュリティフレームワーク
 米国国立標準技術研究所 (NIST) に準拠したサイバーセ
キュリティフレームワーク(CSF)
• https://aws.amazon.com/jp/compliance/nist/

34. 34
34
AWSセキュリティのドキュメント
 AWSセキュリティのベストプラクティス
• https://bit.ly/3vInIVM

35. 35
35
ブログ/セキュリティ速報
 AWSセキュリティブログ
• https://aws.amazon.com/jp
/blogs/security/
 AWSのセキュリティ速報
• https://aws.amazon.com/jp
/security/security-bulletins/

36. 36
36
AWSセキュリティのドキュメント/ブログ
 AWSセキュリティのベストプラクティス
• https://bit.ly/3vInIVM
 AWSセキュリティブログ
• https://aws.amazon.com/jp/blogs/security/
 AWSセキュリティ速報
• https://aws.amazon.com/jp/security/security-
bulletins/

37. 37
37
AWSのネットワークの監視と保護
 AWSで実装している保護機能
引用元：アマゾン ウェブ サービス: セキュリティプロセスの概要
• https://bit.ly/3rZxG2t
• AWS ネットワークは、既存のネットワークセキュリティの問題に対する強固な保護機
能を備えており、さらに堅牢な保護 を実装することができます。
• 以下にいくつかの例を示します:
• 分散型サービス妨害（DDoS）攻撃
• 中間者（MITM）攻撃
• IP スプーフィング
• ポートスキャン
• 第三者によるパケットスニッフィング

38. 38
38
セキュリティを改善するため
の10個の項目

39. 39
39
AWSアカウントのセキュリティを改善するための10個の項目-1
1. AWSアカウント保有者を正しく運用する
2. MFA(多要素認証)を利用する
3. 認証情報をコードに書かない
• シークレット情報を管理するために AWS Secrets Managerを使う
4. NWへのアクセスに制限をかける、意図した構成かどうか
• AWS Config もしくは Firewall Manager でVPCの セキュリティ構成が意図した
とおりになっているか確認
• ネットワーク到達性はVPC Transit Gateway Network Manager、
Reachability Analyzer(New)で確認
https://amzn.to/38Y2KbD

40. 40
40
AWSアカウントのセキュリティを改善するための10個の項目-2
5. 明確なデータへのポリシーを設計し運用する
6. CloudTrail ログの集約化しモニタリングする
7. IAM ロールを確認する
• IAM Access Analyzerで適切な状態か確認する
8. 疑わしい発見に対してアクションを取るか検討する
• AWS Security Hub, Amazon GuardDuty, AWS IAM Management
Access Analyzerは簡単に有効化できるので有効化し、疑わしいものを見つけたら
アクションを検討する
https://amzn.to/38Y2KbD

41. 41
41
AWSアカウントのセキュリティを改善するための1011個の項目-3
9. アクセスキーをローテーションさせる
10.セキュリテイに対しての考えと対策をCI/CDする
• セキュリティのチームを作る
• セキュリティの人材を育成する
• チーム/人材開発を継続的かつ戦略的にサイクルさせるローテーションさせる
11.最新パッチを常に適用(11個目)
https://amzn.to/38Y2KbD
安全なシステムの構築していく
詳しくは10個の項目ページを確認

42. 42
42
AWSでのセキュリティ対策
をフルコースで味あう

43. 43
43
AWSのサービスにないセキュリティサービス
 ウイルス対策
 サンドボックス
 スパムメール対策
 Webフィルタリング
 IDS/IPS
WebフィルタリングとIPSは
Network Firewall(New)の機能にある

44. 44
44
AWSにないサービスはどうするか
 3rdパーティ製のものを使う
 BYOL
 プロダクトを買って持ち込む
 SaaS
 クラウドタイプのものを選択
 マーケットプレイスから購入
• AWSのサービスより、3rdパーティ製品の
方が細かい機能や設定ができる印象
• AWSサービス同士の親和性は非常に高い

45. 45
45
AWSのセキュリティサービス
とコンポーネント

46. 46
46

47. 47
47
フルコースを(早食いで)味わう

48. 48
48
IDとアクセス管理

49. 49
49
ID管理
 IAM
 AWSリソースのアクセス管理
 ユーザ
 ロール
 グループ
 ポリシー
 AWS Directory Service
 MS ADのマネージドサービス
 オンプレADとの接続
 ADを利用してユーザ認証が可能(IAMロールと関連付ける)
AWS Identity and
Access Management
(IAM)
AWS Directory
Service

50. 50
50
認証と認可
 Cognito
 マネージドの認証サービス
 Webアプリのユーザ認証認可
 OAthuベースのプロバイダと連携可能
 外部サービスのTwitter、FB、Googleなどの
OpenIDConnectプロトコルと連携可能
Amazon Cognito

51. 51
51
AWS複数アカウントの管理
 Organizations
 AWS複数アカウントの管理
 組織内にマスターアカウントはひとつ(それ以外はメンバーアカウント)
 AWS SSO を使用すると、Organizations にあるすべてのアカウント
に対するアクセスとユーザーアクセス許可を簡単に一元管理可能
AWS Organizations

52. 52
52
シークレット情報の一元管理
 AWS Secrets Manager
 パスワードやシークレット情報の管理を軽減
 パスワードやキーをローテーション
 Amazon RDS
 Amazon Redshift
 Amazon DocumentDB
秘密鍵などが漏れたら不正利用のリスクがあるので
重要な認証情報の管理はSecrets Managerでする
という考え
AWS Secrets Manager

53. 53
53
インフラストラクチャの
セキュリティ

54. 54
54
階層と防御の対比

55. 55
55
NW/サーバのFW
 NACL(Network Access Control List) 「L3/4」
 VPCでのいわゆるACL
 サブネット単位「L3/4」
 ステートレス(許可/不許可を設定)
 Security Group 「L3/4」
 EC2、RDSのFW
 各サーバ単位
 ステートフル(ホワイトリスト型)
この2つの操作を覚えればサーバとNWのFW
が設定できるのは便利すぎる

56. 56
56
外部からの防御
 WAF(ウェブアプリケーションファイアウォール) 「L7」
 SQLインジェクション、クロスサイトスクリプティング、OSコマンドインジェ
クション、DDosから防御
 CloudFront、ALB、API gateway、AppSyncにデプロイ
 AWS Shield 「L3/4」
 DDosからの防御
 スタンダードは無料、アドバンスは有料
 セットアップが簡単
どちらもDDosから防御だが、WAFはL7、
ShieldはL3/4で動作
AWS WAF
AWS Shield

57. 57
57
FWの管理
 AWS Network Firewall(New)
 VPCのFWを簡単にデプロイ
 ステートフル
 Webフィルタリングと侵入防止(IPS)
 VPC FWを一元管理と可視性
 AWS Firewall Manager
 Organizationsアカウントとアプリ全体で一元FWルールの設定、管理
 AWS Network Firewallの一元設定、デプロイ(New)
 WAFのマネージドルールと統合されている
Network FWはVPCの管理、それを統合するのが
FW Manager
AWS Network Firewall

58. 58
58
検出インシデント対応

59. 59
59
侵入検知と脅威の調査
 Amazon GuardDuty(検知)
 CloudTrail、VPC フローログ、DNS ログにある
イベントデータを、継続的に監視(検知)および分析
 機械学習と異常検出で高度な検出機能を提供
 IDS/IPSでも難しいAWSアカウント侵害を検出
 S3のバケット保護
 Amazon Detective(脅威の調査)
 VPC Flow Logs、AWS CloudTrail、Amazon
GuardDuty などの複数のデータソースからイベントを分析
 不審な動作を根本原因を素早く調査、特定
 ログから機械学習で統計分析+グラフ理論でのデータセットを構築
 インタラクティブなビューを自動生成
GuardDutyはIDS(不正侵入検知)と明言されてない
が、IDSと同等の機能だと考えます
Amazon GuardDuty
Amazon Detective

60. 60
60
EC2の脆弱性診断
 Amazon Inspector
 EC2のホスト/NWからセキュリティ評価
 評価ルールを準備されているから選択
 評価結果のレポート
 評価ターゲットはタグでグループ管理
Amazon Inspector

61. 61
61
機密データの保護
 Amazon Macie
 機密情報の自動検出、利用状況に合わせて監視、保護処理
 S3バケット/オブジェクトの可視化
 機密情報
 名前
 メールアドレス
 クレジットカード番号
 運転免許ID(US)
 生年月日
 AWSシークレットキー
 SSHプライベートキー
 アラート機能
 検知をCloudWatchイベントからSNSで通知
 リスクのあるバケットをLambdaで非公開自動処理
Amazon Macie

62. 62
62
AWSの対象サービスのアラートを一元管理
 AWS Security Hub
 AWSのセキュリティ状況を一元管理
 対象のサービス
 Amazon GuardDuty
 Amazon Inspector
 IAM Access Analyzer
 Amazon Macie
 AWS Firewall Manager
 AWS System Manager
InspectorはEC2のみ
Security HubはInspectorを含めて複数のセキュリ
ティサービスを管理
AWS Security Hub

63. 63
63
セキュリティ環境のチェック
 AWS Trusted Advisor
 AWSアカウントの状況を5つの観点でチェックしてくれる
 コスト
 パフォーマンス
 セキュリティ
 フォールトレランス
 サービス制限
AWS Trusted Advisor

64. 64
64
AWSでのインフラ防御
SG
NACL
AWS WAF
AWS Shield
AWS Network Firewall
Amazon GuardDuty
Amazon Detective

65. 65
65
ログと監視

66. 66
66
監視
 Amazon CloudWatch
 AWSサービスのログ、メトリクス(値)、イベントのデータ収集
 CloudWatchエージェントでリソース監視が可能
 SNS（Simple Notification Service）での通知
CloudWatch Logsと連携させて各セキュリティサービ
スからログ収集し通知を送ることが可能
Amazon CloudWatch

67. 67
67
リソース変更履歴のモニタ
 AWS Config
 AWS全リソースの変更履歴の自動収集
 Cloud Watch EventsやSNSで通知
 EC2をモニタリングする場合はSystem Managerに登録
 Amazon Inspector
 IAM Access Analyzer
 Amazon Macie
 AWS Firewall Manager
 AWS System Manager
インスタンスやソースの不正操作や意図しない変更履歴
を検知できる
AWS Config

68. 68
68
AWSアカウントの操作ログ収集
 AWS CloudTrail
 AWSアカウントの操作イベントログを記録
 どのユーザが、どのリソースに、いつ、何をしたかを追跡可能
 ログはS3に出力したり、Cloud Watch Logsに連携可能
 Cloud Watch EventsやSNSで通知
不正操作や意図しない変更履歴を検知
・CloudTrailはAWSアカウント
・AWS Configはインスタンスやリソース
AWS CloudTrail

69. 69
69
IPトラフィックのモニタ
 VPC Flow Logs
 IPトラフィック状況の保存
 CloudWatch Logs またはS3に保存
 監視する場合はCloudWatch Logsへ保存
 ELB
 RDS
 ElastiCache
 Redshift
 WorkSpaces
 NAT Gateway
 Transit Gateway
すべてのトラフィックをキャプチャできない
・Route53、DHCP、AWS NTPサーバなど
Flow logs

70. 70
70
データ保護

71. 71
71
データ暗号化-1
 AWS Key Management Service (KMS)
 データ暗号化キーの作成と管理
 エンベロープ暗号化
 2つのキーでデータを暗号化するキーと別のキーでの暗号化により
Securityを強化
 Customer Master Key(データキーを暗号化するキー)
 Customer Data Key(データを暗号化するキー)
AWS Key Management
Service (AWS KMS)

72. 72
72
データ暗号化-2
 AWS Cloud HSM
 KMSより厳重なキー管理、より高いコンプライアンス
 専用のハードウエアに暗号化キーを保存
 AWSはキーにアクセスできない
 KMSよりコストが高い
 HSM 1.8$/1h | KMS 1万リクエスト0.03$～
 RedshiftやRDSなど対象サービスがKMSより少ない
より厳重な管理を行う場合はHSMを選択する
AWS CloudHSM

73. 73
73
番外編:不正行為検知のAI
 Amazon Fraud Detect
 オンライン支払い詐欺や不正を検出
 機械学習 (ML) と 20 年を超える Amazon の不正検出の専門知識
を活用したフルマネージド型のサービス
 潜在的に不正なオンラインアクティビティを簡単に識別

74. 74
74
バックアップとリカバリ
 セキュリティ事故がおこった際に、もとに戻せるようバックアッ
プ/リカバリの運用設計をする
 データが削除、改ざんなどでリカバリが必要
 いつまでのデータに、何分で戻すか
 RPO/RTOを設計する

75. 75
75
クロージング

76. 76
76
AWSセキュリティーサビスの強み
 各AWSサービスとの連携/親和性
 機械学習での解析/分析
 導入が素早い

77. 77
77
セキュリティはバランス
 堅牢にすればするほどコストはかかる
 運用が煩雑になる
 天秤にかけてセキュリティ設計/運用をする

78. 78
78
まとめ
 セキュリティの7要素から考える
 セキュリティを改善するための10個の項目をまず実践する
 AWSのセキュリティサービス/コンポーネントは約30
 バランスとコストを考えながらAWSセキュリティ対策をする