More Related Content
What's hot
What's hot (20)
Similar to 導入事例_継続的セキュリティチェック成功体験
Similar to 導入事例_継続的セキュリティチェック成功体験 (20)
More from Yoshii Ryo
More from Yoshii Ryo (10)
導入事例_継続的セキュリティチェック成功体験
- 2. 1自己紹介 吉井 亮 (Yoshii Ryo) クラスメソッド株式会社 AWS事業本部 コンサルティング部 バックボーン: インフラ一筋、前職はERPコンサル 好きなAWSサービス: Systems Manager 好きなフレーズ: No human labor is no human error
- 5. 4話さないこと insightwatch とは? CIS ベンチマークとは? insightwatch の具体的な設定
- 6. 5insightwatch 導入先紹介 会社名: 匿名希望、申し訳ないです 弊社との関係: データセンターで運用している数十台の サーバーを AWS へ移行するプロジェクトを クラスメソッド&パートナーで支援。
- 8. 7継続的チェックがうまくいく秘訣 設計フェーズ 構築フェーズ 運用開始後 セキュリティチェックを 継続実施する前提の 運用設計をする フェーズの節目ごとに セキュリティチェック ↓ ↓ チェックサイクルの 基礎を作る (習慣付け) 月1 レビュー ↓ ↓ セキュリティ対策に 終わりはない
- 9. 8設計フェーズ 運用設計(セキュリティ設計)を insightwatch で定期チェック出来るように 書いてしまえ。 具体的には以下の寄せてしまう。 ・CIS ベンチマーク ・AWS Security Checklist ・IAM Best Practices
- 10. 9導入まで ~ 情報システム担当者の強い気持ち 現行でもサーバーセキュリティ規定はある でも OnP 基準で AWS には合わないから 吉井さん書き直してよ 社内は俺が説得するから
- 11. 10構築フェーズ 【初期導入】 一通りの AWS 環境構築が終わった段階で セキュリティチェックを実行。 “注意”or“重要”とマークされた項目について (1) 是正する (2) 除外設定する
- 13. 12構築フェーズ (例) AWS Security Checklist 07 暗号化されたEBSボリュームを使用すること 本当に全ての EBS ボリュームで暗号化が必要 でしょうか? ルートボリュームを暗号化する手間と 効果を天秤にかけ、除外にしても良い。
- 14. 13どうやって使っているの? 【運用開始後】 月に1回セキュリティチェックを実施。 関係者でレビュー → 是正 or 除外を判断。 IAM、セキュリティグループ、S3 など AWS リソースは追加/削除/変更があるので 定期的なチェックは効果あり。
- 16. 15継続的セキュリティチェックの重要性 CISベンチマーク他は更新されている。 insightwatch もそれに追従していく。 継続的にチェックを行うことで関係者の セキュリティへの関心を保つ。
- 17. 16AWSサービスとの組み合わせ insightwatch だけで全てのセキュリティ対策を 網羅できるわけではない。 AWS サービスと組み合わせてシステムを防御。 CloudWatch、GuardDuty、Inspector、 CloudTrail、Config、Trusted Advisor、etc…
- 18. 17CloudWatch Alertとの組み合わせ CIS 3 Monitoring に対応したアラート。 例えば、以下が発生したら通知。 3.10 セキュリティグループ変更に対して、アラーム通知設定されていること 3.11 ネットワークACL変更に対して、アラーム通知設定されていること insightwatch では CloudFormation テンプレー トを提供しています。 (クラスメソッドメンバーズのお客様のみ)
- 19. 18事例から学ぶこと まとめ 情報システム 担当者の強い気持ち セキュリティチェックする前提の設計 継続的なチェック 事故ではない、犯人探ししない
- 20. 19Q&A Q & A