2019/8/9 に開催された Fin-JAWS 第4回 の登壇資料です。

1. AWS re:Inforce reCap
注目のサービス
Fin-JAWS 第4回
#finjaws #jawsug
株式会社野村総合研究所
クラウドサービス事業本部 クラウドサービス統括部
2019年8月9日
早川 愛

2. Copyright© Nomura Research Institute, Ltd. All rights reserved.
1
ご注意
本資料は2019年8月9日時点での情報をもとに作成しています。
最新の情報はAWS公式ドキュメントをご確認ください。

3. Copyright© Nomura Research Institute, Ltd. All rights reserved.
2
自己紹介
名前：早川 愛（はやかわ あい）
所属：野村総合研究所
業務：インフラエンジニア、金融系のAWS導入や設計支援を担当
好きなAWSサービス：GuardDuty

4. Copyright© Nomura Research Institute, Ltd. All rights reserved.
3
 昔ながらのガバナンスは”Gatekeeper”式
 チェックリスト方式で開発者の自己チェックに依存
 クラウドのスピード感の低下
クラウドに対するガバナンスの課題
開発者
チェックシート
申請書
Gatekeeper

5. Copyright© Nomura Research Institute, Ltd. All rights reserved.
4
 “Gatekeeper” ではなく “Guardrail”
 コンプライアンスとアジリティのバランスをとる
 申請書ベースではなく、組み込みのポリシーで監視・自動レスポンス
 自動化によりデータから人を分離してリスクを極小化
理想的なガバナンス
AWS re:Invent 2018 Security re:Cap Seminar
https://www.slideshare.net/HayatoKiriyama/aws-reinvent-2018-security-recap-opening-aws-control-tower

6. Copyright© Nomura Research Institute, Ltd. All rights reserved.
5
 Liberty Mutual Insurance Company（ボストンの保険会社）
基調講演でのユーザー事例：Radar
Presenting Radar: Validation and remediation of AWS cloud resources - GRC343
https://www.slideshare.net/AmazonWebServices/presenting-radar-validation-and-remediation-of-aws-cloud-resources-grc343-aws-reinforce-2019

7. Copyright© Nomura Research Institute, Ltd. All rights reserved.
6
re:Inforce での新サービス・新機能の発表
サービス 機能概要、アップデート内容
Control Tower
re:Invent 2018 で発表されたガバナンスサービスが一般提供開始
マルチアカウント環境において、各種のセキュリティ設定を適用、またその
設定の維持を管理・監視することができる
Security Hub
re:Invent 2018 で発表されたガバナンスサービスが一般提供開始
CISベンチマークへの準拠状況の可視化
25のAPNパートナーソリューションと連携
VPC Traffic Mirroring
仮想TAP。EC2 インスタンスからのネットワークトラフィックを複製し、セ
キュリティおよび監視アプライアンスに転送可能に
EBS 暗号化をデフォルトで有効に
IAMアクセスアドバイザー
Organizationsとの統合し、マルチアカウント環境での利用状況を一元的に可
視化可能に
AWS Marketplace
Procurement System Integration
Marketplace が調達管理システム (Coupa) と統合可能に
Root CA Hierarchies
for ACM Private CA 外部のCA(認証局)なしでルート認証局を含んだCA hierarchy の管理を可能に

8. Copyright© Nomura Research Institute, Ltd. All rights reserved.
7
re:Inforce での新サービス・新機能の発表
サービス 機能概要、アップデート内容
Control Tower
re:Invent 2018 で発表されたガバナンスサービスが一般提供開始
マルチアカウント環境において、各種のセキュリティ設定を適用、またその
設定の維持を管理・監視することができる
Security Hub
re:Invent 2018 で発表されたガバナンスサービスが一般提供開始
CISベンチマークへの準拠状況の可視化
25のAPNパートナーソリューションと連携
VPC Traffic Mirroring
仮想TAP。EC2 インスタンスからのネットワークトラフィックを複製し、セ
キュリティおよび監視アプライアンスに転送可能に
EBS 暗号化をデフォルトで有効に
IAMアクセスアドバイザー
Organizationsとの統合し、マルチアカウント環境での利用状況を一元的に可
視化可能に
AWS Marketplace
Procurement System Integration
Marketplace が調達管理システム (Coupa) と統合可能に
Root CA Hierarchies
for ACM Private CA 外部のCA(認証局)なしでルート認証局を含んだCA hierarchy の管理を可能に

9. Copyright© Nomura Research Institute, Ltd. All rights reserved.
8
AWS Control Tower

10. Copyright© Nomura Research Institute, Ltd. All rights reserved.
9
 マルチアカウント環境において、各種のセキュリティ設定を適用、
またその設定の維持を管理・監視することができる
 AWSと数千の企業との連携で確立されたベストプラクティスに基づいた
AWSアカウントを自動で生成
 Landing Zone
 Guardrail の適用
 Account Factory (AWSアカウントのプロビジョニング)
 コンプライアンス準拠状況のモニタリング
Control Tower

11. Copyright© Nomura Research Institute, Ltd. All rights reserved.
10
 ベストプラクティスに基づいた
AWSマルチアカウントの”青写真”
 共有アカウント
 マスターアカウント
 ログアーカイブアカウント
 監査アカウント
 組織ユニット (OU)
 Core
 Custom
 必須のガードレール有効化
Landing Zone のセットアップ
Using AWS Control Tower to govern multi-account AWS environments at scale - GRC313
https://www.slideshare.net/AmazonWebServices/using-aws-control-tower-to-govern-multiaccount-aws-environments-at-scale-grc313r-aws-reinforce-2019

12. Copyright© Nomura Research Institute, Ltd. All rights reserved.
11
 AWS 環境全体に継続的なガバナンスを提供する高レベルのルール
 ガードレールの動作は予防または検出の2種類
 予防：Organization の SCP でルールを強制
 検出：Config Rules によるルール準拠違反の検出
Guardrails の適用
Using AWS Control Tower to govern multi-account AWS environments at scale - GRC313
https://www.slideshare.net/AmazonWebServices/using-aws-control-tower-to-govern-multiaccount-aws-environments-at-scale-grc313r-aws-reinforce-2019

13. Copyright© Nomura Research Institute, Ltd. All rights reserved.
12
Guardrail Reference
分類 項目 必須 種類
ログアーカイブ ログアーカイブのS3バケット保管時に暗号化を有効にする ◯ 予防
ログアーカイブのS3バケットアクセスログを有効にする ◯ 予防
ログアーカイブのS3バケットポリシー変更を禁止する ◯ 予防
ログアーカイブのS3バケットへのパブリック読み取りアクセスを禁止する ◯ 検出
ログアーカイブのS3バケットへのパブリック書き込みアクセスを禁止する ◯ 検出
ログアーカイブの保持ポリシー(365日)を設定する ◯ 予防
CloudTrail CloudTrail の設定変更を禁止する ◯ 予防
CloudTrail イベントと CloudWatch ログを統合する ◯ 予防
利用可能なすべてのリージョンで CloudTrail を有効にする ◯ 予防
CloudTrail ログファイルの整合性の検証を有効にする ◯ 予防
Config AWS Config の設定変更を禁止する ◯ 予防
利用可能なすべてのリージョンで AWS Config を有効にする ◯ 予防
EC2 Amazon EC2 インスタンスにアタッチされた Amazon EBS ボリュームの暗号化を有
効にする
検出
RDP を介したインターネット接続を禁止する 検出
SSH を介したインターネット接続を禁止する 検出

14. Copyright© Nomura Research Institute, Ltd. All rights reserved.
13
Guardrail Reference
分類 項目 必須 種類
S3 Amazon S3 バケットへのパブリック読み取りアクセスを禁止する 検出
Amazon S3 バケットへのパブリック書き込みアクセスを禁止する 検出
IAM root ユーザーに対して MFA を有効にする 検出
Control Tower AWS Control Tower によって設定された CloudWatch の変更を禁止する ◯ 予防
AWS Control Tower によって設定された AWS Config の集計の変更を禁止する ◯ 予防
AWS Control Tower によって設定された AWS Config ルール の変更を禁止する ◯ 予防
AWS Control Tower によって設定された IAM ルールの変更を禁止する ◯ 予防
AWS Control Tower によって設定された Lambda 関数の変更を禁止する ◯ 予防
AWS Control Tower によって設定された Amazon SNS の変更を禁止する ◯ 予防
AWS Control Tower によって設定された Amazon SNS サブスクリプションの変更を
禁止する
◯ 予防
ガードレールリファレンス
https://docs.aws.amazon.com/ja_jp/controltower/latest/userguide/guardrails-reference.html

15. Copyright© Nomura Research Institute, Ltd. All rights reserved.
14
 AWS Service Catalog を通じて新しいアカウントをプロビジョニング
 テンプレートに従い、セキュリティのベースライン設定が自動で導入される
 CloudTrail による監査ログ取得
 Config による構成管理
 カードレール設定
Account Factory
Using AWS Control Tower to govern multi-account AWS environments at scale - GRC313
https://www.slideshare.net/AmazonWebServices/using-aws-control-tower-to-govern-multiaccount-aws-environments-at-scale-grc313r-aws-reinforce-2019

16. Copyright© Nomura Research Institute, Ltd. All rights reserved.
15
 組織内のアカウントのガードレール準拠状況をモニタリング
コンプライアンス準拠状況のモニタリング

17. Copyright© Nomura Research Institute, Ltd. All rights reserved.
16
AWS Security hub

18. Copyright© Nomura Research Institute, Ltd. All rights reserved.
17
 セキュリティとコンプライアンスの状況を一元的に管理
 マルチアカウント環境でAWSサービスや、3rd-Partyセキュリティ診断結果を可視化
Security Hub

19. Copyright© Nomura Research Institute, Ltd. All rights reserved.
18
 収集されたイベントを様々なアクションへ連携し
セキュリティ状態の可視化や設定強制による自動復旧に活用
Security Hub
How to act on your security and compliance alerts with AWS Security Hub - FND218
https://www.slideshare.net/AmazonWebServices/how-to-act-on-your-security-and-compliance-alerts-with-aws-security-hub-fnd218-aws-reinforce-2019

20. Copyright© Nomura Research Institute, Ltd. All rights reserved.
19
 Northwestern Mutual (アメリカの大手生保会社)
Security Hub の活用事例
How to act on your security and compliance alerts with AWS Security Hub - FND218
https://www.slideshare.net/AmazonWebServices/how-to-act-on-your-security-and-compliance-alerts-with-aws-security-hub-fnd218-aws-reinforce-2019

21. Copyright© Nomura Research Institute, Ltd. All rights reserved.
20
 “Gatekeeper” ではなく “Guardrail”
 コンプライアンスとアジリティのバランスをとる
 マルチアカウントを前提としたセキュリティの自動適用
違反への自動レスポンスが求められる
 Liberty Mutual Insurance Company の”Radar”アーキテクチャ
 確実にセキュリティルールが守られる仕組みをつくる
 “Guardrail”構築に役立つAWS building block
 Control Tower
 Security Hub
まとめ

22. Copyright© Nomura Research Institute, Ltd. All rights reserved.
21
DEMO