セキュリティの基本とAWSでのセキュリティ対策をフルコースで味あう_公開修正版

1
1
セキュリティの基本とAWSでの
セキュリティ対策をフルコースで味わう
2021/03/20

2
2
自己紹介
• 篠田敬廣 (シノダユキヒロ)
• ユニアデックス株式会社
• インフラ案件のPM、設計、構築
• 毎月AWSの社内勉強会を主催
• JAWS-UG名古屋(19年9月からスタッフ)
• 好きなAWSのサービス VPC

3
3
対象者
• AWS初心者
• AWSのセキュリティサービスを知りたい
• AWSのセキュリティ対策方を知りたい
 あったらいい知識
• ISMSやISOなどの知識
• サーバ/NWのセキュリティ製品の知識

4
4
ゴール
• セキュリティの3要素、追加4要素を理解する
• AWSのセキュリティサービスを一通り知る

5
5
話さないこと
• 価格のこと
• バックアップとリカバリのサービス

6
6
アジェンダ
• なぜセキュリティ対策をするのか
• セキュリティの3要素、追加4要素
• AWSセキュリティの各種情報
• AWSでのセキュリティ対策をフルコースで味あう
• まとめ

7
7
なぜセキュリティ対策をするのか？

8
8
何を守るのか？
 情報資源を守る
 資産を守る
 人を守る

9
9
企業の信頼を守るため

10
10
信頼
=
ビジネスを守る

11
11
誰からの信頼を失うか
社会投資家
ユーザ

12
12
セキュリティ事故が発生すると
検知対応回復
事後
対応
 事故対応のフェーズ
事故発生に対する労力は大きい

13
13
コスト/ビジネスへの影響
は大きい

14
14
失う信頼も大きい

15
15
だからセキュリティ対策をする

16
16
どのように対策を考えるか

17
17
セキュリティの3要素
 機密性(Confidentiality)
 完全性(Integrity)
 可用性(Availability)
頭文字をとって”CIA”

18
18
機密性(Confidentiality)
 許可した人(組織)のみがデータにアクセスできる
 不正侵入
 データ閲覧
 データ漏えい(持出し)
 個人情報流出

19
19
完全性(Integrity)
 データが信頼できる状態
 データ改ざん
 データ削除
 Webコンテンツの書きかえ
 DNSエントリの書きかえ

20
20
可用性(Availability)
 情報にアクセス可能な人がいつでもアクセスできる
 DoS攻撃
 DDoS攻撃
 高負荷→Webサーバのダウン

21
21
セキュリティの追加4要素
 真正性（Authenticity）
 責任追跡性（Accountability）
 否認防止（Non-repudiation）
 信頼性（Reliability）
3要素に対する方法論

22
22
真正性（Authenticity)
 許可した人(組織)のみがデータにアクセスできる
 署名や認証、権限で利用者が適正であること
 認証/署名
 アクセス権
 暗号化(ハッシュ)

23
23
責任追跡性（Accountability）
 いつ何がおこったのか、追跡/追求うできること
 ログが改ざんされていなく、システムの挙動を追跡
できること
 アクセスログ、システムログ、操作ログ
 取得/保存

24
24
否認防止（Non-repudiation）
 行ったことを、後でなかったことにされないようにする
 責任追及性の担保
 第三者のタイムスタンプ

25
25
信頼性（Reliability）
 システムの処理が適切であること
 矛盾なく正常な動作ができる構成であること
 冗長性
 可用性
 保守性

26
26
3要素+追加4要素で考える
完全性
可用性
真正性
責任
追跡性
否認防止
信頼性
機密性

27
27
 要素分解しながら各セキュリティ対策を少しづつす
すめる
 AWSにはセキュリティ対策のフレームワーク(型)や
ベストプラクティス集があるので参考にする
対策のすすめ方

28
28
AWSでの
セキュリティ対策

29
29
セキュリティの各種情報
(読みもの/情報収集)

30
30
AWSのセキュリティ方針
 セキュリティは最優先事項
 戦略的かつ継続的なセキュリティを日々実行
 たくさんの第三者認証を取得
 ISO、ISMS、SOC、NIST…
• https://amzn.to/3twgmm8

31
31
IPAのISMAPにAWSが登録(New)
 ISMAP(政府情報システムのためのセキュリティ評価制度)
 政府が求めるセキュリティ要求を満たしているクラウドサービス
 3/12にAWSを含めた”7社”がISMAPに初登録される
• https://www.ipa.go.jp/security/ismap/cslist.html

32
32
責任共有モデル
 AWSとユーザ(お客
様)との責任分解点
 各サービス(IaaS、
PaaS、SaaS)で責
任範囲が異なる
 例→データ保護/管
理はユーザの責任範
囲

33
33
AWSのネットワークの監視と保護
 AWSで実装している保護機能
引用元：アマゾンウェブサービス: セキュリティプロセスの概要
• https://bit.ly/3rZxG2t
• AWS ネットワークは、既存のネットワークセキュリティの問題に対する強固な保護機
能を備えており、さらに堅牢な保護を実装することができます。
• 以下にいくつかの例を示します:
• 分散型サービス妨害（DDoS）攻撃
• 中間者（MITM）攻撃
• IP スプーフィング
• ポートスキャン
• 第三者によるパケットスニッフィング

34
34
セキュリティのフレームワーク
 AWS Well-Architected
 AWSの大局的なシステム設計指針(セキュリティも含まれる)
• https://aws.amazon.com/jp/architecture/well-
architected/
 NIST サイバーセキュリティフレームワーク
 米国国立標準技術研究所 (NIST) に準拠したサイバーセ
キュリティフレームワーク(CSF)
• https://aws.amazon.com/jp/compliance/nist/

35
35
AWSセキュリティのドキュメント
 AWSセキュリティのベストプラクティス
• https://bit.ly/3vInIVM

36
36
ブログ/セキュリティ速報
 AWSセキュリティブログ
• https://aws.amazon.com/jp
/blogs/security/
 AWSのセキュリティ速報
• https://aws.amazon.com/jp
/security/security-bulletins/

37
37
AWSセキュリティのドキュメント/ブログ
 AWSセキュリティのベストプラクティス
• https://bit.ly/3vInIVM
 AWSセキュリティブログ
• https://aws.amazon.com/jp/blogs/security/
 AWSセキュリティ速報
• https://aws.amazon.com/jp/security/security-
bulletins/

38
38
AWSのネットワークの監視と保護
 AWSで実装している保護機能
引用元：アマゾンウェブサービス: セキュリティプロセスの概要
• https://bit.ly/3rZxG2t
• AWS ネットワークは、既存のネットワークセキュリティの問題に対する強固な保護機
能を備えており、さらに堅牢な保護を実装することができます。
• 以下にいくつかの例を示します:
• 分散型サービス妨害（DDoS）攻撃
• 中間者（MITM）攻撃
• IP スプーフィング
• ポートスキャン
• 第三者によるパケットスニッフィング

39
39
セキュリティを改善するため
の10個の項目

40
40
AWSアカウントのセキュリティを改善するための10個の項目-1
1. AWSアカウント保有者を正しく運用する
2. MFA(多要素認証)を利用する
3. 認証情報をコードに書かない
• シークレット情報を管理するために AWS Secrets Managerを使う
4. NWへのアクセスに制限をかける、意図した構成かどうか
• AWS Config もしくは Firewall Manager でVPCのセキュリティ構成が意図した
とおりになっているか確認
• ネットワーク到達性はVPC Transit Gateway Network Manager、
Reachability Analyzer(New)で確認
https://amzn.to/38Y2KbD

41
41
5. 明確なデータへのポリシーを設計し運用する
6. CloudTrail ログの集約化しモニタリングする
7. IAM ロールを確認する
• IAM Access Analyzerで適切な状態か確認する
8. 疑わしい発見に対してアクションを取るか検討する
• AWS Security Hub, Amazon GuardDuty, AWS IAM Management
Access Analyzerは簡単に有効化できるので有効化し、疑わしいものを見つけたら
アクションを検討する

42
42
9. アクセスキーをローテーションさせる
10.セキュリテイに対しての考えと対策をCI/CDする
• セキュリティのチームを作る
• セキュリティの人材を育成する
• チーム/人材開発を継続的かつ戦略的にサイクルさせるローテーションさせる
11.最新パッチを常に適用(11個目)
安全なシステムの構築していく
詳しくは10個の項目ページを確認

43
43
AWSでのセキュリティ対策
をフルコースで味あう

44
44
AWSのサービスにないセキュリティサービス
 ウイルス対策
 サンドボックス
 スパムメール対策
 Webフィルタリング
 IDS/IPS
WebフィルタリングとIPSは
Network Firewall(New)の機能にある

45
45
AWSにないサービスはどうするか
 3rdパーティ製のものを使う
 BYOL
 プロダクトを買って持ち込む
 SaaS
 クラウドタイプのものを選択
 マーケットプレイスから購入
• AWSのサービスより、3rdパーティ製品の
方が細かい機能や設定ができる印象
• AWSサービス同士の親和性は非常に高い

46
46
AWSのセキュリティサービス
とコンポーネント

48
48
フルコースを(早食いで)味わう

50
50
ID管理
 IAM
 AWSリソースのアクセス管理
 ユーザ
 ロール
 グループ
 ポリシー
 AWS Directory Service
 MS ADのマネージドサービス
 オンプレADとの接続
 ADを利用してユーザ認証が可能(IAMロールと関連付ける)
AWS Identity and
Access Management
(IAM)
AWS Directory
Service

51
51
認証と認可
 Cognito
 マネージドの認証サービス
 Webアプリのユーザ認証認可
 OAthuベースのプロバイダと連携可能
 外部サービスのTwitter、FB、Googleなどの
OpenIDConnectプロトコルと連携可能
Amazon Cognito

52
52
AWS複数アカウントの管理
 Organizations
 AWS複数アカウントの管理
 組織内にマスターアカウントはひとつ(それ以外はメンバーアカウント)
 AWS SSO を使用すると、Organizations にあるすべてのアカウント
に対するアクセスとユーザーアクセス許可を簡単に一元管理可能
AWS Organizations

53
53
シークレット情報の一元管理
 AWS Secrets Manager
 パスワードやシークレット情報の管理を軽減
 パスワードやキーをローテーション
 Amazon RDS
 Amazon Redshift
 Amazon DocumentDB
秘密鍵などが漏れたら不正利用のリスクがあるので
重要な認証情報の管理はSecrets Managerでする
という考え
AWS Secrets Manager

54
54
インフラストラクチャの
セキュリティ

55
55
階層と防御の対比

56
56
NW/サーバのFW
 NACL(Network Access Control List) 「L3/4」
 VPCでのいわゆるACL
 サブネット単位「L3/4」
 ステートレス(許可/不許可を設定)
 Security Group 「L3/4」
 EC2、RDSのFW
 各サーバ単位
 ステートフル(ホワイトリスト型)
この2つの操作を覚えればサーバとNWのFW
が設定できるのは便利すぎる

57
57
外部からの防御
 WAF(ウェブアプリケーションファイアウォール) 「L7」
 SQLインジェクション、クロスサイトスクリプティング、OSコマンドインジェ
クション、DDosから防御
 CloudFront、ALB、API gateway、AppSyncにデプロイ
 AWS Shield 「L3/4」
 DDosからの防御
 スタンダードは無料、アドバンスは有料
 セットアップが簡単
どちらもDDosから防御だが、WAFはL7、
ShieldはL3/4で動作
AWS WAF
AWS Shield

58
58
FWの管理
 AWS Network Firewall(New)
 VPCのFWを簡単にデプロイ
 ステートフル
 Webフィルタリングと侵入防止(IPS)
 VPC FWを一元管理と可視性
 AWS Firewall Manager
 Organizationsアカウントとアプリ全体で一元FWルールの設定、管理
 AWS Network Firewallの一元設定、デプロイ(New)
 WAFのマネージドルールと統合されている
Network FWはVPCの管理、それを統合するのが
FW Manager
AWS Network Firewall

59
59
検出インシデント対応

60
60
侵入検知と脅威の調査
 Amazon GuardDuty(検知)
 CloudTrail、VPC フローログ、DNS ログにある
イベントデータを、継続的に監視(検知)および分析
 機械学習と異常検出で高度な検出機能を提供
 IDS/IPSでも難しいAWSアカウント侵害を検出
 S3のバケット保護
 Amazon Detective(脅威の調査)
 VPC Flow Logs、AWS CloudTrail、Amazon
GuardDuty などの複数のデータソースからイベントを分析
 不審な動作を根本原因を素早く調査、特定
 ログから機械学習で統計分析+グラフ理論でのデータセットを構築
 インタラクティブなビューを自動生成
GuardDutyはIDS(不正侵入検知)と明言されてない
が、IDSと同等の機能だと考えます
Amazon GuardDuty
Amazon Detective

61
61
EC2の脆弱性診断
 Amazon Inspector
 EC2のホスト/NWからセキュリティ評価
 評価ルールを準備されているから選択
 評価結果のレポート
 評価ターゲットはタグでグループ管理
Amazon Inspector

62
62
機密データの保護
 Amazon Macie
 機密情報の自動検出、利用状況に合わせて監視、保護処理
 S3バケット/オブジェクトの可視化
 機密情報
 名前
 メールアドレス
 クレジットカード番号
 運転免許ID(US)
 生年月日
 AWSシークレットキー
 SSHプライベートキー
 アラート機能
 検知をCloudWatchイベントからSNSで通知
 リスクのあるバケットをLambdaで非公開自動処理
Amazon Macie

63
63
AWSの対象サービスのアラートを一元管理
 AWS Security Hub
 AWSのセキュリティ状況を一元管理
 対象のサービス
 Amazon GuardDuty
 IAM Access Analyzer
 Amazon Macie
 AWS System Manager
InspectorはEC2のみ
Security HubはInspectorを含めて複数のセキュリ
ティサービスを管理
AWS Security Hub

64
64
セキュリティ環境のチェック
 AWS Trusted Advisor
 AWSアカウントの状況を5つの観点でチェックしてくれる
 コスト
 パフォーマンス
 セキュリティ
 フォールトレランス
 サービス制限
AWS Trusted Advisor

65
65
AWSでのインフラ防御
SG
NACL
AWS WAF
AWS Shield
AWS Network Firewall
Amazon GuardDuty
Amazon Detective

67
67
監視
 Amazon CloudWatch
 AWSサービスのログ、メトリクス(値)、イベントのデータ収集
 CloudWatchエージェントでリソース監視が可能
 SNS（Simple Notification Service）での通知
CloudWatch Logsと連携させて各セキュリティサービ
スからログ収集し通知を送ることが可能
Amazon CloudWatch

68
68
リソース変更履歴のモニタ
 AWS Config
 AWS全リソースの変更履歴の自動収集
 Cloud Watch EventsやSNSで通知
 EC2をモニタリングする場合はSystem Managerに登録
 IAM Access Analyzer
 Amazon Macie
 AWS System Manager
インスタンスやソースの不正操作や意図しない変更履歴
を検知できる
AWS Config

69
69
AWSアカウントの操作ログ収集
 AWS CloudTrail
 AWSアカウントの操作イベントログを記録
 どのユーザが、どのリソースに、いつ、何をしたかを追跡可能
 ログはS3に出力したり、Cloud Watch Logsに連携可能
 Cloud Watch EventsやSNSで通知
不正操作や意図しない変更履歴を検知
・CloudTrailはAWSアカウント
・AWS Configはインスタンスやリソース
AWS CloudTrail

70
70
IPトラフィックのモニタ
 VPC Flow Logs
 IPトラフィック状況の保存
 CloudWatch Logs またはS3に保存
 監視する場合はCloudWatch Logsへ保存
 ELB
 RDS
 ElastiCache
 Redshift
 WorkSpaces
 NAT Gateway
 Transit Gateway
すべてのトラフィックをキャプチャできない
・Route53、DHCP、AWS NTPサーバなど
Flow logs

72
72
データ暗号化-1
 AWS Key Management Service (KMS)
 データ暗号化キーの作成と管理
 エンベロープ暗号化
 2つのキーでデータを暗号化するキーと別のキーでの暗号化により
Securityを強化
 Customer Master Key(データキーを暗号化するキー)
 Customer Data Key(データを暗号化するキー)
AWS Key Management
Service (AWS KMS)

73
73
データ暗号化-2
 AWS Cloud HSM
 KMSより厳重なキー管理、より高いコンプライアンス
 専用のハードウエアに暗号化キーを保存
 AWSはキーにアクセスできない
 KMSよりコストが高い
 HSM 1.8$/1h | KMS 1万リクエスト0.03$～
 RedshiftやRDSなど対象サービスがKMSより少ない
より厳重な管理を行う場合はHSMを選択する
AWS CloudHSM

74
74
番外編:不正行為検知のAI
 Amazon Fraud Detect
 オンライン支払い詐欺や不正を検出
 機械学習 (ML) と 20 年を超える Amazon の不正検出の専門知識
を活用したフルマネージド型のサービス
 潜在的に不正なオンラインアクティビティを簡単に識別

75
75
バックアップとリカバリ
 セキュリティ事故がおこった際に、もとに戻せるようバックアッ
プ/リカバリの運用設計をする
 データが削除、改ざんなどでリカバリが必要
 いつまでのデータに、何分で戻すか
 RPO/RTOを設計する

77
77
AWSセキュリティーサビスの強み
 各AWSサービスとの連携/親和性
 機械学習での解析/分析
 導入が素早い

78
78
セキュリティはバランス
 堅牢にすればするほどコストはかかる
 運用が煩雑になる
 天秤にかけてセキュリティ設計/運用をする

80
80
まとめ
 セキュリティの7要素から考える
 セキュリティを改善するための10個の項目をまず実践する
 AWSのセキュリティサービス/コンポーネントは約30
 バランスとコストを考えながらAWSセキュリティ対策をする

81
81
ご清聴ありがとうございました
Thank you！

セキュリティの基本とAWSでのセキュリティ対策をフルコースで味あう_公開修正版

More Related Content

What's hot

Similar to セキュリティの基本とAWSでのセキュリティ対策をフルコースで味あう_公開修正版

セキュリティの基本とAWSでのセキュリティ対策をフルコースで味あう_公開修正版

Editor's Notes