AWSでのセキュリティ運用　～IAM,VPCその他

AWSでのセキュリティ運用
IAM,VPCその他
2016年5月17日

(C) Recruit Technologies Co.,Ltd. All rights reserved.
自己紹介
2
宮崎幸恵 (みやざきさちえ)
株式会社リクルートテクノロジーズ
ITソリューション統括部
2011年のリクルート入社以来(希望はしていない)クラウド一筋
JAWS登壇はたまに...
• 2014/3 JAWS DAYS2014
• 2014/6 クラウド女子会 (伝説？の学園もののときです。体育の先生にな
ろうと思ってジャージで登壇）
• (2015年はAWS Summitに登壇していました)

業務内容
この場にいてなんですが…
いわゆるよく言われるセキュリティ業務をやっているわけで
はないのです
3
• 社内のシステム向けセキュリティ規程を定める
• 規程が守られているかどうかを定期的に監査する
• CSIRT
• 脆弱性検査
• セキュリティの教育講座開催
別の会社&別の部署
別の部署
別の会社

業務内容
4
リクルートキャリア
リクルートジョブズ
リクルートスタッフィング
リクルート住まいカンパニー
リクルートライフスタイル
リクルートマーケティングパートナーズ
スタッフサービス・ホールディングス
リクルートアドミニストレーション
リクルートコミュニケーションズ
事業会社
機能会社
リクルート
ホールディングス
リクルートグループとは、
主要７事業会社＋３機能会社
で構成されるグループ企業群
ネットインフラ
大規模プロジェクト推進
UXD/SEO
ビッグデータ機能
テクノロジーR&D
事業・社内IT推進
セキュリティAP基盤・オフショア開発
オンプレミス基盤
社内インフラ
クラウド基盤

業務内容
5
5
5(C) Recruit Technologies Co.,Ltd. All rights reserved.
Bサイト
共通機能 ※踏み台、LDAP、VPN機器、監視サーバ…etc
クラウド基盤
CサイトBサイト
・・・・・
分類機能説明
ネットワークオンプレミス環境との接続オンプレミスとの専用回線によるセキュアな接続
セキュリティ認証/ID管理/ログ保管サーバへの個人認証、操作ログ取得、ID管理機能を提供
運用
監視/モニタリング他監視機能、モニタリング等いくつかのツールの提供を実施
ライセンス提供・管理商用MWのライセンス提供
コスト一括請求管理・社内課金管理 AWSへの支払の取りまとめと社内への利用額振り分け
これらの諸々の
管理運用が業務範囲
クラウドのメリットを活かしつつ、
最低限必要なセキュリティ担保と運用の
ための共通機能を提供するスタイル

業務内容
なんですが、気づいたらクラウドのセキュリティの人みたい
になっていた…
6
もっと自由なイ
ンフラが使いた
い！
ログとかはとっ
といてくれるん
でしょ
セキュリティ規
程の監査で質問
が
ここのセキュリ
ティの規程にか
かわる実装どう
なってんの？
IDクリーニング
の結果一覧提出
よろしく
事故らしいけど
操作ログの調査
お願い
開発会社に何を
してもらえばい
いのかわからな
い
FWのログとって
るよね？内容に
ついて教えて
操作権限もっと
絞れないの？
このサービス使
いたいんだけど
セキュリティが
心配…
利
用
サ
イ
ド
セ
キ
ュ
リ
テ
ィ
サ
イ
ド
※各コメントは実際のものではありません

業務内容
AWS 責任共有モデルでCustomerがやるべき範囲の一部を
持っている状態
7
・rootアカウント管理
・ログインID管理
・定期IDクリーニング
・ネットワーク設定
・監視・バックアップ・モニ
タリング提供

業務内容
社内にあるオンプレミス基盤の運用と比較してみると….
8
オンプレミス基盤管理/運用主体クラウド基盤
アプリケーション
フレームワーク
ミドルウェア
OS
サーバ
ストレージ
ネットワーク
DCファシリティ
アプリチーム
(事業会社)
インフラチーム
AWS
AWS
アプリチーム
(事業会社)

結局なにをやっているのか？
決められたセキュリティの規程に従って、クラウド
のインフラ運用を執行する業務を担っています
本日はその中での事例をお話します
9

10
セキュリティ
規程
 パブリッククラウド向けの規程な
どはなく、原則すべての社内シス
テムが同じセキュリティの規程に
従っています
 DCの要件等はAWSの範囲なので、
多少検討事項が少ないかも
実は社内規程に対応すれば大体のことはOK

例えば…
11
• rootアカウントはMFA
• rootのキーは発行しない、使わない
• 通常運用にはIAMを利用する
• IAMの権限は必要なものだけにする
• ログインユーザーは必ず個人ごとに作成する
• ユーザーのクリーニングを定期的に実施する
• フェデレーションによるログインIDの一元管理
• セキュリティグループが適切に設定されているかを監査する
• VPCを使う
• パブリックサブネットとプライベートサブネットを適切に設定する
• 社内環境からプライベート接続をする
• MWバージョンの管理
• 変更監視
• 操作ログの監査
etc...

ログインユーザーはLDAPで統一管理
12
Management
Console
SSH踏み台(OTP実装)
サイトA
ユーザ
サイトB
アイデンティティ
プロバイダ（IdP）
ユーザ管理
(LDAP)
・
・
・
(※盛っています）

クリーニング
クリーニング
クリーニング
クリーニング
クリーニング
クリーニング
クリーニング
13

14
各アカウントで適切なユーザーが
登録されており、必要な権限に
なっているかどうか
一定期間ログインがない場合はな
ぜID必要なのかを説明いただく
最終ログイン日
をチェックして
います
各アカウントご
とにユーザーを
リスト化してい
ます
削除維持
必要と判断不要と判断
速やかに削除し
ます
一定期間で
繰り返し
最終結果を監査
部署に提出

 各サービスは社員だけでなく外部の開発パートナ様や、制作会社様、ベンダ様
など多数の方々が関係しています
 利用ユーザーの追加は忘れませんが(追加しないと使えないので）削除はしば
しば忘れられます
 人事情報と連携させたとしてもすべての利用ユーザーを網羅できないと考え
ると、クリーニング作業はとてつもなく地味ですが有効だと言わざるを得ま
せん
 さらに別の監査部署のチェックを受けることで、クリーニングを実施してい
る自チーム(インフラ管理者）も例外なく平等に扱われます
15

IAMの機能は何か使っているのか
16
クリーニングの中ではほとんど
使っていません
 ユーザー一覧、最終ログイン日など必要な情報は基本
的にLDAPからとっています

ではセキュリティの文脈でIAMの機能を一番使って
いるのは何か
17
適切な権限を設定する、リソー
スを制限する

18
security group
security group
 規程に照らし合わせて不適切なルールを削除する仕組み
APIサーバー
APIサーバのみでキーを
利用できるようにリソー
ス制限
xxx.xxx.xxx tcp port○○
0.0.0.0/0 http 80

19
 どの権限をリスクと判断するか
AWSのサービス毎のアク
ションをそれぞれチェック
現在2000弱くら
いのアクション
が存在します
セキュリティのリスクとな
るアクションはどれかを判
別していく
権限設計の見直し

20
 各リスクを洗い出しておくことで、起こりうる事象を明確にすることができま
す
 しかし何しろ数が多いので、見直しだけで1週間くらいかかります
 とても大変…
 弊社での判断のよりどころはセキュリティの規程ですが、見直しの際に判断
が変わる場合もあります

21
security group
security group
0.0.0.0/0 http 80
0.0.0.0/0 http 80
共通機能(ルーターや踏み台な
ど)として運用しているシステ
ムはセキュリティグループを
変更するとメールがきます
 システム管理者権限を持つ人の作業も監査を実施

22
許可していない業務外のログ
インがないかをチェック
 システム管理者権限を持つ人の作業も監査を実施
休日のため、本来ログイン
はないはず

ここまでは結構普通だと思うのですが
数の力による運用増大というのがありまして
23

24
基本構成1サイト ≒ 1アカウント～
Elastic Load
Balancing
VPC Subnet VPC Subnet
×
70以上….
×
200以上….

ユーザーは ×5? 10?
25

インフラT
1回作業するのに2か月×？
26
リスト送付
各利用者
（承認者によるクリーニング）
クリーニング
ユーザー一覧抽出
（CSV）
削除一覧リスト作成
クリーニング作業実施
証跡とりまとめ
リスト加工
（各サイトの承認者と
突き合わせ）
メール
1か月弱概ね半月(返答待ち期間）
ここで1週間ここで1週間～
事前
準備
証跡
提出

27
• rootアカウントはMFA
• rootのキーは発行しない、使わない
• 通常運用にはIAMを利用する
• IAMの権限は必要なものだけにする
• ログインユーザーは必ず個人ごとに作成する
• ユーザーのクリーニングを定期的に実施する
• フェデレーションによるログインIDの一元管理
• セキュリティグループが適切に設定されているかを監査する
• VPCを使う
• パブリックサブネットとプライベートサブネットを適切に設定する
• 社内環境からプライベート接続をする
• MWバージョンの管理
• 変更監視
• 操作ログの監査
etc...
管理はまあ大変
運用での対応。そうでもない
大変
大変
運用での対応。
最初だけ
自らが管理者として
悩み中

すみません、地味な内容で
28

社内規程が既にある
執行側としてはシステム上必要なものは
用意する
しかし最後は運用が大事！！！
良いものを入れても業務設計ができてい
なければ意味がない
29

どちらも満たしたインフラを！
30
利用サイドセキュリティ
サイド

数が増えることで比例的に増える
運用については
是非この先に議論できれば幸いです
ありがとうございました
31
出演：リクルートテクノロジーズ
非公式キャラクターテックル

AWSでのセキュリティ運用 ～ IAM,VPCその他

More Related Content

What's hot

Similar to AWSでのセキュリティ運用 ～ IAM,VPCその他

More from Recruit Technologies