More Related Content
Similar to クラウドセキュリティの価値と機会 (20)
More from Hayato Kiriyama (19)
クラウドセキュリティの価値と機会
- 2. 自己紹介
氏名: 桐山隼人
役職: シニアセキュリティソリューションアーキテクト
業務: 顧客提案、ソリューション開発、市場開拓
プロフィール:
外資系総合IT会社の開発研究所にて開発エンジニア、セキュリティベンダーにて
技術営業を経た後、現職。CISSP, CISA, ITIL, MBA, セキュリティ関連特許多数。
クラウドセキュリティに関するセミナー登壇・記事寄稿など。
@hkiriyam1
RSA Conference 2017 APJ
「Cloud Security Strategy」
Session Speaker
AWS Summit Tokyo 2017
「AWSで実現するセキュリティ・オートメー
ション」(マイナビニュース)
「IoTビジネスとセキュリ
ティを3段階と4要素で理解
する」記事寄稿
(ISC)2 Information Security
Leadership Achievements
Asia-Pacific Award 2018
- 17. セキュリティ自動化による変化適応
(ISC)2 Security Congress APAC 2017 Agenda
http://apaccongress.isc2.org/events/-isc-security-congress-apac-2017/custom-117-7f805a6862a3494891be229fb5ef7af2.aspx
(ISC)2 Security Congress APAC 2017
Session Title
Cloud Security Strategy – Adapting to Changes
with Security Automation
Speaker
Hayato Kiriyama
- 21. クラウドセキュリティの関心範囲の違い
Security of Cloud Security in Cloud Security by Cloud
クラウド環境自体
のセキュリティ
クラウド内にある
アプリやデータの
セキュリティ
クラウドネイティブ
技術による
セキュリティ
データセンターや
システムの
物理統制をする人
既存(オンプレ)統制
をクラウド上でも
実現したい人
より良いビジネス
セキュリティを
実現したい人
- 26. • これまでのDDoS保護経験に基
づくL3 / L4自動緩和システム
• CloudFront、Route53エッジロ
ケーションの前にインライン
で配置され、すべての着信パ
ケットを検査
• DDoS攻撃の96%を自動軽減
• 追加設定や手数料なし
Customer’s
Origin
Infrastructure
(ELB, EC2, S3,
etc).
CloudFront
Route 53
CloudFront
Route 53
DDoS Attack
User
自動緩和システム
Edge Location AWS Region
L3/L4に対するDDoS攻撃自動緩和 - AWS Shield
クラウドのキャパシティを活かしたDDoS対策
- 33. 脆弱性分析と可視化 – Amazon Inspector
Amazon
Inspector
CVEルールに基づいた脆弱性診断結果画面
ホスト型脆弱性診断サービス
CVE(共通脆弱性識別子)やCIS業界ベンチマーク
に基づいたリスク評価
エグゼクティブサマリー含めた評価レポート
API連携によって開発運用プロセスにリスク評価を統合
- 34. 事業価値のあるデータを保護 – Amazon Macie
継続的監視によりデータ漏えいや
不正アクセスを検知
個人特定情報 (PII)、個人医療情報
(PHI)、知的財産 (IP)、ソースコード、
認証情報などの機密データを識別
ユーザー振る舞い分析により、リ
スクの高い不審なアクティビティ
を特定
S3に保存データの分類と可視化
CloudTrailイベントの時系列表示
情報漏えい防止(DLP) + ユーザー振る舞い分析(UEBA) サービス
- 37. レポート項目
• ユーザーの作成日時
• 最後にパスワードが使われた日時
• 最後にパスワードが変更された日時
• MFAを利用しているか
• Access KeyがActiveか
• Access Keyのローテートした日時
• Access Keyを最後に使用した日時
• Access Keyを最後に利用したAWS
サービス
• 証明書はActiveか
• 証明書のローテートした日時
AWS IAMの認証情報レポート画面
ポリシーに基づいたアカウント管理と確認
ユーザーアカウントの認証レポート – AWS IAM
- 39. 準拠すべきルールに基づいたリソース構成の評価
セキュリティポリシー適合評価 – AWS Config Rules
AWS Managed Rules
Customer Managed Rules
自分でAWS Lambdaをベースに
ルールを作成可能
評価ルール
Event-Based Evaluations
• 関連リソースが作成、変更された際に
ルールの評価が実行される
例) 新規で作成するEC2にタグ付けされているかの評価
Periodic Evaluations
• 任意のタイミング
• AWS Config が構成 スナップショットを取
る際にルールの評価が実施される
例) CloudTrailが有効になっているかどうかの評価
評価実行タイミング
- 49. DX時代の新しいセキュリティ市場機会
各種センサー
各種クライアント
各種モバイルデバイス
Amazon S3
AWS Lambda
各種IoT GWサーバー
Amazon QuickSight
Amazon Redshift
AWS
Glue
Amazon SageMaker
IoTセキュリティ
データレイク
セキュリティ
サーバーレス
セキュリティ
ITインフラストラクチャセキュリティ
デジタル
セキュリティ
トランスフォー
メーション
ITセキュリティ
トランスフォー
メーション
カタログデータ
Amazon
Glacier
アーカイブデータ
サーバーレス
コンピューティング
データウェアハウス
ビジネスインテリジェンス
機械学習
AWS Dev Day Tokyo 2018 セキュリティセッション & ワークショップ 開催レポート
https://aws.amazon.com/jp/blogs/news/aws-dev-day-tokyo-2018-security/