Copyright © 2014 AGREX INC.
第13回 JAWS-UG札幌 勉強会
意外と見落としがちな・・・
アカウントのセキュリティ
2014/04/11
札幌事業所 システム部 古山浩司
Copyright © 2014 AGREX INC. 1
自己紹介
 (株)アグレックス 札幌事業所
・クラウドグループ マネージャー
・AWS Certified Solution Architect
JAWS-UG札幌支部 代表
好...
AWSの
セキュリティ方針 =共有責任
モデル
共有責任モデル
・ファシリティ
・物理インフラ
・ネットワークインフラ
・仮想インフラ
・OS
・OSファイアウォール
・アプリケーション
・セキュリティグループ
・ネットワーク設定
・アカウント管理
AWSと利用者の二者互いの協力でセキュリテ...
・OS
・OSファイアウォール
・アプリケーション
・セキュリティグループ
・ネットワーク設定
・アカウント管理
利用者の責任
・User
・KeyPair
・iptables
・Windows Firewall
・Security Patch...
IAM (Identity and Access Management)
ルートアカウント
IAM User
ルートアカウント・・・
これを自在に操れる恐ろしさ!
ルートの権力を以ってすれば・・・
こんなことや・・・
こんなことまで・・・
利用者にとっての最重要事項
=ルートアカウント死守!
デフォルトのログイン
パスワードだけでホントに大丈夫?
Multi-Factor
Authentication
(多要素認証)
MFA
1st Step
ログインパスワード
2nd Step
30秒間だけ有効な、
6桁の認証コードを要求される
ハードウェアMFAデバイス
http://onlinenoram.gemalto.com/
- 1個 $12.99
- アカウント毎に1個必要
バーチャルMFA
Google認証システム
- 無料
- 複数アカウントOK
認証コードを生成する方法
MFA有効化の手順 -1
IAMダッシュボード
MFA有効化の手順 -2
MFA有効化の手順 -3
①スキャン
②Code1に入力
③数字が有効なうちにContinue
147930
④数字が変わったら、
Code2に入力
⑤数字が有効なうちにContinue
MFA有効化の手順 -4
093158
MFA有効化の手順 -5
MFA Enabled になる
↓
注意点
QRコードは安全な場所に
保管しておくこと!
再表示できないので、設定した端末が壊れたり紛失したり
すると、ログイン不能!
(AWSサポートに連絡すれば解除可能らしいが・・・)
安全な場所??
・・・なわけないです。。
アカウント情報は で一元管理 !
Copyright © 2014 AGREX INC. 23
まとめ
 アカウントのセキュリティは意外と盲点。
• アカウント管理が緩いと全てが台無し。
• ルートアカウントを乗っ取られたら被害は甚大。
 万一の備えとしてMFAを積極的に活...
アカウントのセキュリティ (第13回JAWS-UG札幌)
Upcoming SlideShare
Loading in...5
×

アカウントのセキュリティ (第13回JAWS-UG札幌)

1,132

Published on

2014年4月11日の勉強会で発表した資料です。

Published in: Software
0 Comments
1 Like
Statistics
Notes
  • Be the first to comment

No Downloads
Views
Total Views
1,132
On Slideshare
0
From Embeds
0
Number of Embeds
8
Actions
Shares
0
Downloads
10
Comments
0
Likes
1
Embeds 0
No embeds

No notes for slide

アカウントのセキュリティ (第13回JAWS-UG札幌)

  1. 1. Copyright © 2014 AGREX INC. 第13回 JAWS-UG札幌 勉強会 意外と見落としがちな・・・ アカウントのセキュリティ 2014/04/11 札幌事業所 システム部 古山浩司
  2. 2. Copyright © 2014 AGREX INC. 1 自己紹介  (株)アグレックス 札幌事業所 ・クラウドグループ マネージャー ・AWS Certified Solution Architect JAWS-UG札幌支部 代表 好きなサービス : RDS こやま ひろし 古山 浩司
  3. 3. AWSの セキュリティ方針 =共有責任 モデル
  4. 4. 共有責任モデル ・ファシリティ ・物理インフラ ・ネットワークインフラ ・仮想インフラ ・OS ・OSファイアウォール ・アプリケーション ・セキュリティグループ ・ネットワーク設定 ・アカウント管理 AWSと利用者の二者互いの協力でセキュリティを確保
  5. 5. ・OS ・OSファイアウォール ・アプリケーション ・セキュリティグループ ・ネットワーク設定 ・アカウント管理 利用者の責任 ・User ・KeyPair ・iptables ・Windows Firewall ・Security Patch ・VPC ・Network ACLs ・Inbound Rule ・Outbound Rule ・IAM
  6. 6. IAM (Identity and Access Management) ルートアカウント IAM User
  7. 7. ルートアカウント・・・ これを自在に操れる恐ろしさ!
  8. 8. ルートの権力を以ってすれば・・・
  9. 9. こんなことや・・・
  10. 10. こんなことまで・・・
  11. 11. 利用者にとっての最重要事項 =ルートアカウント死守!
  12. 12. デフォルトのログイン パスワードだけでホントに大丈夫?
  13. 13. Multi-Factor Authentication (多要素認証) MFA
  14. 14. 1st Step ログインパスワード 2nd Step 30秒間だけ有効な、 6桁の認証コードを要求される
  15. 15. ハードウェアMFAデバイス http://onlinenoram.gemalto.com/ - 1個 $12.99 - アカウント毎に1個必要 バーチャルMFA Google認証システム - 無料 - 複数アカウントOK 認証コードを生成する方法
  16. 16. MFA有効化の手順 -1 IAMダッシュボード
  17. 17. MFA有効化の手順 -2
  18. 18. MFA有効化の手順 -3 ①スキャン ②Code1に入力 ③数字が有効なうちにContinue 147930
  19. 19. ④数字が変わったら、 Code2に入力 ⑤数字が有効なうちにContinue MFA有効化の手順 -4 093158
  20. 20. MFA有効化の手順 -5 MFA Enabled になる ↓
  21. 21. 注意点 QRコードは安全な場所に 保管しておくこと! 再表示できないので、設定した端末が壊れたり紛失したり すると、ログイン不能! (AWSサポートに連絡すれば解除可能らしいが・・・) 安全な場所??
  22. 22. ・・・なわけないです。。
  23. 23. アカウント情報は で一元管理 !
  24. 24. Copyright © 2014 AGREX INC. 23 まとめ  アカウントのセキュリティは意外と盲点。 • アカウント管理が緩いと全てが台無し。 • ルートアカウントを乗っ取られたら被害は甚大。  万一の備えとしてMFAを積極的に活用すること。 • MFA無しでの業務利用は絶対NG! • ルートのみならず、IAMユーザも必須。  アカウント情報の保管場所にも細心の注意を。 • 保有アカウントが増えると雑になりがち。 • salesforceは使える!
  1. A particular slide catching your eye?

    Clipping is a handy way to collect important slides you want to go back to later.

×