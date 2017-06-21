© 2017, Amazon Web Services, Inc. or its Affiliates. All rights reserved. アマゾン ウェブ サービス ジャパン株式会社 セキュリティコンサルタント 松本 照吾 2017/...
松本 照吾(Shogo Matsumoto) AWS Professional Services / Security Consultant 得意分野 ・セキュリティポリシー策定支援 ・各種コンプライアンス認証への適合支援 好きなAWSサービス...
本日お伝えしたいこと お伝えしたいこと： AWSセキュリティの現在のお伝えする。 そのために： AWS Summit Tokyo2017のAWSメンバセッションか らポイントをお伝えする
AWS Summitとは？ 世界の主要都市で行われるAWS のローカルイベント 東京で行われるAWS Summit Tokyoは世界最大規模 開催期間、規模、入場者数、セッ ション数などのすべて数字が昨年 を上回っている
開催概要 2017年5月30日～6月2日 • Day1：Dive Deep Day • Day2：AWS Summit, AWS Dev Day • Day3：AWS Summit, AWS Dev Day • Day4：AWS Summit,...
組織のクラウド経験によって 大きなギャップが存在する。
AGENDA • 本セッションの目的 • 基本：AWSにおけるセキュリティの考え方 • AWSメンバによるセキュリティセッションの概要 • まとめにかえて
AWSにおけるセキュリティの考え方
規模の経済：AWSの持続的な改善、提供 • スタートアップもエンタープ ライズも等しくセキュアなイ ンフラを利用可能 516 1,017 160 2012 2014 2016 722 2015 280 2013
すべてをコンプライアンスに準拠したインフラストラクチャ で構築 AWS の基盤サービス コンピュー ティング ストレージ データベース ネットワーキ ング AWS グローバルイ ンフラストラクチャ リージョン アベイラビリティーゾーン エッジロ...
AWSメンバによるセキュリティセッションの概要
セキュリティもCloud Journey の中に
クラウドのセキュリティを知りたい サービスにセキュリティを実装したい 組織としてセキュリティを管理したい よりクラウドを活かしたセキュリティにしたい
セッションの主な対象領域 システム面 運用面 AWSアカウント管理 ガバナンス - WAF - DDoS防御 - オートメーション - DevSecOps 権限管理 AWSセキュリティ入門 AWSのガバナンス入門 AWS の Edge サービス...
AWS セキュリティ入門 責任共有モデル、マネージド サービスの活用により、お客 様のWork Factor（負荷）を 軽減する、“楽に運用”できる セキュリティを提供する。 サーバからサービスを有効に 活用することがセキュリティ 向上の近道 ...
お客様に代わって AWS が負担となる作業を実行 AWSが 管理する セキュリティ お客様が 管理する セキュリティ － = お客様 求めるべき セキュリティ レベル
オンプレミスにおける権限管理 オンプレミスの世界 ポリシーは、変更が少なく、 単純に管理されることが多 かった。
スケールイン/アウトとポリシーの関係 インスタンスに合わせて ポリシーもそれぞれに 適用される必要がある。
AWS のガバナンス入門 (AWS CloudTrail, AWS Config) • AWSにおける「操作管理」 を通じて、問題の追跡や予 防、監査を実現が可能。 • AWS CloudTrailによるログ の集積 • AWS Configに...
AWSにおけるガバナンスの容易性（俯瞰） 徹底が 容易に 手段 AWSのメリット • 全て、自動的に取得 • ユーザー/サービス毎 • 厳密な操作権限 • 構成ルールの定義 • ルール違反の警告 • 全件検索可能 • 全データをファイル化
変更されたリソース ユーザーが実施した変更 AWS利用のためのルール策定と振り返り 現在 CloudTrail → 履歴取得 Config → 履歴取得 時間 ユーザが操作 変更される システム IAM Organizations → 設定した...
AWS の Edge サービス入門 • CloudFront はユーザーへのレ スポンスを改善し、オリジン の負荷を削減 • CloudFront は AWS WAF と の組み合わせや、組み込みの DDoS 対策により、高いセ キュリティを実...
AWS の Edgeサービス AWSのエッジロケーションから提供されるサービス群 ユーザーが最初にアクセスするサービスをユーザーに近い場所から提供 AWS RegionEdge Location AWS WAF (WAF) Amazon Rou...
AWS WAFによるWebアプリケーションの保護 • Webサーバーのフロントに置かれる • アプリレベルのトラフィックを監視 (HTTP, URL, Cookie, クエリ文字列) • ルールに基づいて、不正なアクセスを遮断しレポート AWS...
• 自社製のDDoS緩和システ ムでサービスベースの防御 • 全てのパケットは検査され、 学習アルゴリズムでスコア リングされる • 他ユーザートラフィックは、 インラインシステムが可用 性、スループット、レイテ ンシに影響を与えずに迅速 に対...
AWS Shield と AWS Lambda@Edge で構築 するセキュアで柔軟性の高いアプリケーション • AWS Shield の DDoS 防御機能 と、AWS Lambda@Edge の CDN 上でのスクリプト実行に より、セキュ...
AWS におけるマルチアカウント管理の手法とベストプ ラクティス • AWSのマルチアカウント方針に単 一の答えはない • 複数の切り口で、メリット・デメ リットを考えつつ、自社の方針を 検討する必要がある • AWSにはアカウント管理を支援す...
LOB1/2/3 マルチアカウントのベストプラクティス 支払 アカウント 本番 開発/テスト オンプレミス • ワークロードや環境、 LOB毎にアカウント の分割を検討 • 分割の際にはガバナ ンス、課金、組織、 運用といった観点か ら自社にと...
LOB1/2/3 マルチアカウントのベストプラクティス 支払 アカウント 本番 開発/テスト オンプレミス • 複数アカウントの集 中管理が必要な場合 には、クロスアカウ ントアクセスのでき るアカウントによる 運用効率化・自動化 の検討を行う...
LOB1/2/3 マルチアカウントのベストプラクティス 支払 アカウント ロギング 本番 開発/テスト オンプレミス セキュリティ /監査 • 複数アカウントから のログをセキュアに 集約するアカウント を作成 • セキュリティ調査や 監査業務...
LOB1/2/3 マルチアカウントのベストプラクティス 支払 アカウント ロギング 本番 開発/テスト オンプレミス セキュリティ /監査 • 多くのアカウントを 集中管理する必要の ある場合はAWS Organizationsの利 用 • ア...
AWS で実現するセキュリティ・オートメーション • オートメーションは戦略策 定の礎 • セキュリティ・オートメー ションを前提に設計された AWSサービス • セキュリティ戦略基盤とな るAWSクラウド環境 資料 https://d0.aw...
AWS Config Amazon Inspector 3rd Party Data Feed AWS Lambda Amazon EBS Amazon SNS AWS CloudFormation Auto Scaling Amazon VP...
システムの要塞化・隔離 攻撃の抑制 問題の阻止 問題の検出 リスクの検証と優先付け 問題の抑制調査/フォレンジック 設計/モデル変更 回復/修復 定常状態の把握 攻撃の予測 事前のリスク分析 継続的 監視と分析 予測 防御 検知対応 このサイク...
リスクベースのセキュリティ戦略 リスク分析 意思 決定 リスクに基づいたセキュリティ対策の意思決定 情報資産分析脆弱性分析脅威分析 AWS CloudTrail Amazon VPC Flow Logs Security Credential ...
DevSecOps on AWS - Policy in Code • プラットフォームがAWSになるこ とで、今までとは全く異なる Security Automationが実現可能 • Security Automationを広範囲に 実現す...
セッションの主な対象領域 システム面 運用面 AWSアカウント管理 ガバナンス - WAF - DDoS防御 - オートメーション - DevSecOps 権限管理 DevSecOps on AWS - Policy in Code
CloudTrail / CloudWatch Events CloudTrail OFF CloudWatch Events Lambda CloudTrail ON Notification Loggingdevday-cloudtrail...
DevSecOps 導入へのブロッカー 今までの常識 クラウドの常識 https://www.jqa.jp/service_list/management/service/iso27001/
Security Automation Security Control Proactive Monitoring Security at Scale Infrastructure as a code
AWS 環境での CSIRT ソリューション • AWSクラウド環境での効率 的なインシデントレスポンス • CSIRT活動を支援する広範な AWS及びパートナーソ リューション • クラウドでCSIRTは変化適応 力を得る 資料 https:...
代表的なAWSサービス Amazon Inspector Amazon EC2 Systems Manager AWS Config AWS Shield AWS WAF Amazon CloudWatch AWS CloudTrail Ama...
例：ランサムウェア「WannaCry」への対応 CSIRT 全端末の 脆弱性診断 FWポート閉 SMB停止 ログ監視 改竄検知 端末隔離 証跡調査 プロビジョニング パッチ適用 Amazon Inspector Security Group A...
クラウドがCSIRTにもたらす価値 部門A 部門B 部門C IT部門 SOC CSIR T 経営層 外部ステークホルダー パートナー セキュリティベンダー 他CSIRT 顧客 管理力の向上プログラマブルIT API連携 インフラ可視性 説明力の...
AWS セキュリティ・コンプライアンス –大規模環境に おけるセキュリティの自動化と管理- • 大量の監査要件、大規模 なリソースの管理を行う ためにAWS自体が実際に AWSサービスを活用した セキュリティの自動化、 管理を実装している事例 ...
まとめにかえて
まとめにかえて • AWSではCloud Journeyの様々な過程を踏まえたセキュリティサー ビスやソリューションを提供 • 今までの常識から、クラウドの常識へ • “サーバ”から“サービス”へ。サービスの組み合わせがお客様のセ キュリティに...
クラウドのセキュリティを知りたい サービスにセキュリティを実装したい 組織としてセキュリティを管理したい よりクラウドを活かしたセキュリティにしたい
達成していくべきものは何？ AWSが 管理する セキュリティ お客様が 管理する セキュリティ － = お客様 求めるべき セキュリティ レベル セキュリティの世界では、 “自分の力”で管理すべきレイヤが存在する
達成していくべきものは何？ AWSが 管理する セキュリティ お客様が 管理する セキュリティ － = お客様 パートナー様 が提供する セキュリティ － 求めるべき セキュリティ レベル よりビジネスを加速させるための セキュリティへ
Security by Cloudで 一歩先のセキュリティへ！！！
ご清聴、ありがとうございました！
  • まず簡単に自己紹介です。松本しょうごと申します。
    AWSの人間はよく好きなAWSサービス、という自己紹介をするのですが、私は“プロフェッショナルサービス”と答えています。
    こちら、AWSのマネジメントコンソールからは残念ながら呼び出せないサービスです。
    AWSの有償のコンサルティングチームがAWSにはあります。
    わたしはそこでセキュリティコンサルタントとして、クラウドジャーニーの中でのお客様の不安、それこそセキュリティ面を解決するためのお仕事をしています。
  • では、AWSがセキュリティにもたらしたものを考えていきましょう。
  • アマゾンの文化、なのですがお客様が増えれば増えるほど、それを私たちはセキュリティをはじめとしたイノベーションに継続的に投資します。
    また、事実サービスや新機能拡張の約3割はセキュリティ関連となっています。

    AWSのサービス発展によって、スタートアップもエンタープライズも等しくセキュアなインフラを利用可能になります。
  • AWSが管理するインフラ部分は第三者に評価されたセキュアな環境として提供されていますし、
    お客様はその監査のレポートを入手することもできます。
  • では、前半戦スタートです。
  • SummitはEducationalなイベント
    それぞれのステージに立つお客様が集まっている
  • さらに引き算をしましょう。求めるべきセキュリティレベルからAWSが管理するセキュリティを引けば、お客様が何をやるか、というのがわかりますよね
  • このサービスの価値を考えるには、オンプレミスとの違い、クラウドの世界で“本当は”やらなければいけないことを考える必要があります。

    なるべく変更ないよね、という観点でインフラ設計がなされた。

    オンプレミスの頃は、最初にサーバや物理的な設備などを作ったら大きな変更はあまり存在せず、単純に管理
  • ただ、AWS、リクエストに応じてインスタンスを増減できます。新しいインスタンスに対して、本当はどっかでポリシーをつくって適用してあげなければいけないですよね。
  • 組織管理の浸透、透明化。
  • レイテンシーなどによるユーザエクスペリエンスこうじょうというメリット
    多層防御の観点からいえばまさに最前線の防御ラインを確立することで本来守るべきサービスレイヤを安全にする
  • CloudFrontのセキュリティ対策の1つとして、デフォルトでDDoS対策が組み込まれています。
    CloudFrontを利用するお客様は、特に追加料金の支払いは不要で設定の必要もなく、このDDoS対策のメリットを受けることができます。
    一般的なDDoS攻撃であるSyn Flood、ACK Floodなどの一般的な攻撃はこのDDoS対策で対応することができ、約90%ほどの攻撃がこの仕組みにより影響を緩和することができます。
  • AWSエッジロケーションのネットワーク内で動作するJavaScriptコードを書くことが出来ます。
    CloudFrontのディストリビューションを通して流れるリクエストやレスポンスを処理する軽量なロジックを書くことができます。
    4つの異なるイベントに対するレスポンスの中でコードを実行できます。

    この事例では
    ShieldによるDDoS保護、Lambda@edgeによりコンテンツをパーソナライズして、TLS終端処理におけるモバイル/PCの分岐処理などが適用できる
    CFだとWAFも使える、
    また、Shieldはデフォルトで適用できるStandardのAdvancedがあり、アドバンスドでのLAYER７保護などの恩恵を得られます。
  • Ci・CDプロセスにおけるセキュリティの組み込み
    コード化されたセキュリティアクションがサービスやインフラに統合されることでセキュリティのベースラインにつながる
    具体的なアクション、デプロイであったり不正行為であったりに基づくイベント駆動型で自動化されたセキュリティを実現できる

    AWSというインフラの上で、APIを通じた連携が可能なサービス群だから。
    従来だと、そもそも別のものを統合するのは品質や開発コストにおいても現実的ではなかった。
  • これはあくまでロジックの作成例ですので、必要に応じたアクションの定義、実行が可能

    ユーザがCloudTrailをOFFにする
    CloudTrail APIをトリガーに、CloudWatch EventsがLambdaを実行
    まず始めにCloudTrailを再度ONにする
    管理者チームに通知
    CloudTrail をOFFにしたユーザ情報をDynamo DBに記載
    Dynamo DBに記載されたユーザ情報との照らし合わせ
    以前にエントリーがあるユーザの再実行の場合、新しくIAMポリシーを作成し、ユーザに強制的にあたっち
    ユーザの権限を変更し、隔離
  • DevSecOpsの定義、目的だけ聞くと、そもそもどうしてDevOpsからではなく、DevSecOpsから導入検討が始められなかったのかという疑問も残ります。
    アジャイル的なフィードバックループのスピードとセキュリティというPDCAのスピードの違い
    →クラウドベースで考えれば、実はそのスピードをどんどん近づけることができるようになってきた→DevSecOpsの誕生
    →ただ、組織が常識をかえなければいけない（ルールに対する変更のフレキシビリティ）



    セキュリティの切り口でいうと、はじめにルールをガッツリ決める文化が強く、やりながら修正する文化仕組みが弱い
    →フィードバック ループを継続的に回せないために始めに時間をかけて策定する
    →時間をかけて策定したセキュリティ ガイドラインがシステムにマッチしない
    →アジリティが弱いため、DevOpsと同じ品質のループが回せない
    (コストの問題)
    ツールを入れるにしても、高額な初期投資が伴い、リスクとなる可能性がある
    スモールスタート、一先ずできるところからやってみようとするチャレンジができない

    プラットフォームがAWSになることで、(オンプレでは) 今まで実現できなかったことがAWSでは実現できる項目が増え、結果としてAWSプラットフォーム上でSec含めたDevSecOpsを検討頂くケースが増えてきました。このループを回すのに不可欠なのが自動化になります。
  • AWSをプラットフォームとしてご利用頂くと、セキュリティにおける自動化(Security Automation)を効果的に実装することが可能になります。
    AWSプラットフォーム自体のバックエンドがAPIでつながっている点、
    そしてセキュリティ含めたベースラインとなるルールをcodeですべて定義できる点
    → 実際に開発者の皆さんがアプリケーションを開発する流れでセキュリティガイドラインを定義でき、複数のリージョン、AWSアカウントにデプロイできる

    DevOps→頻繁なフィードバックループによる質の向上＞変わらないことによる硬直化をともなう安定性
    DevSecOps→頻繁なフィードバックループの検証による実質的なセキュリティの実行＞セキュリティポリシーの変更というワークファクター
    文書に書く前に開発者がコード書いちゃえ＃コードも文書だよ

  • では、前半戦スタートです。
  • 時間があればKDDI様からはどのように組織の認定クラウド化を実現したか、
    金融業界といったインダストリーカットの事例もあった。
    また、トレンドマイクロ様はじめとしたパートナー様からも多くのご紹介をいただいた
  • さらに引き算をしましょう。求めるべきセキュリティレベルからAWSが管理するセキュリティを引けば、お客様が何をやるか、というのがわかりますよね

    ×