ビジネスの成長を支える - aruinc.jp · DDoS攻撃の96％を自動軽減追加設定や手数料なし CloudFront DDoS攻撃 Route 53 自動緩和システムインフラ層に対するDDoS保護–AWS

© 2019, Amazon Web Services, Inc. or its affiliates. All rights reserved.

ビジネスの成長を支えるAWSクラウドセキュリティ

桐山隼人

アマゾンウェブサービスジャパン

シニアセキュリティソリューションアーキテクト

Twitter ハッシュタグ #AWSInnovate


1. なぜクラウドセキュリティが重要なのか

2. クラウドセキュリティとは何か

3. どのようにクラウドセキュリティへ移行するか

本日の内容



2016/12/8 Ver. 1.1

「経営戦略としてのセキュリティ投資は必要不可欠かつ経営者としての責務である」

2015/12/28 Ver. 1.0

「セキュリティ投資に対するリターンの算出はほぼ不可能であり、セキュリティ投資をしようという話は積極的に上がりにくい」

サイバーセキュリティ経営ガイドライン（経済産業省）

http://www.meti.go.jp/policy/netsecurity/mng_guide.html

2017/11/16 Ver. 2.0

「社会に対して損害を与えてしまった場合、経営責任や法的責任が問われる可能性がある」「サプライチェーン全体の対策及び状況把握」

サイバーセキュリティ経営ガイドラインの変遷コストから投資へ、事業価値から社会価値へ


正当性と説明力統制と管理エコシステム構築

外部環境内部環境パートナー環境

ステークホルダーの多様化

企業買収・合弁リストラクチャ

サプライチェーンの分業と統合

事業環境の変化ビジネスセキュリティに求められるもの


ビジネスセキュリティとは、組織の中の様々な事業活動が滞りなく循環し、ダイナミックな平衡状態を保つこと

セキュリティインシデントにより瞬間的に平衡状態が崩れても、再び平衡を取り戻す「変化に適応する」組織を作る

ビジネスセキュリティの目標（仮説）


データセンター

ストレージ機器

サーバー

サービス化

必要な時に、必要なだけ、低価格で予め大規模に投資し準備する

実際の使用分のみ支払い

市場投入と俊敏性の改善

初期投資不要

スピード容易なスケールアップ＆ダウン

低額の変動費

クラウドサービスとは


急成長やM&A 予測できないピーク

キャパシティ不足：機会損失

余剰キャパシティ余剰キャパシティ

ITキャパシティ(オンプレミスの場合)


急成長やM&A 予測できないピーク

IT余剰と不足からの解放IT余剰からの解放

サイジングからの解放

ITキャパシティ(クラウドの場合)


財務リスク

機会損失リスク

セキュリティリスク

従量課金変動費化

リードタイム短縮技術革新追随

可用性・可視性・監査性

事業ダウンサイドリスクへの備え

事業アップサイドリスクの最大化

事業環境変化への適応

クラウドとリスク管理


従来型のセキュリティクラウド時代のセキュリティ

考え方投資対効果(ROI)を追求変化への適応を追求

イメージ

0 1 2 3 4変化するセキュリティリスク

最適なセキュリティレベル

変化適応のためのクラウドセキュリティ



責任共有モデル https://aws.amazon.com/jp/compliance/shared-responsibility-model/

責任共有モデル


Security of Cloud Security in Cloud Security by Cloud

クラウド環境自体のセキュリティ

クラウド内にあるアプリやデータのセキュリティ

クラウドネイティブ技術によるセキュリティ

データセンターやシステムの物理統制をする人

既存(オンプレ)統制をクラウド上でも実現したい人

より良いビジネスセキュリティを実現したい人

クラウドセキュリティの種類役割によって異なる関心範囲


可用性可視性監査性

事業継続の要事業計画の要事業責任の要

クラウドセキュリティの特長


内閣サイバーセキュリティセンター(NISC)「2020年及びその後を見据えたサイバーセキュリティの在り方について－サイバーセキュリティ戦略中間レビュー－」(2017年7月13日)より抜粋

2016年9月20日 Krebs on SecurityのWebサイトに過去最大の665GbpsのDDoS攻撃

2016年10月21日 Dyn Managed DNSがDDoS攻撃により停止。Netflix, Twitter, Spotify, GitHubなどが一時使用不能に

「IoTボットネットによるDDoS脅威は今後も増大する」と明記される

可用性DDoS脅威の増大


入口対策出口対策

データ侵害

ランサムウェア

DDoS攻撃

企業に侵入し機密情報を不正に取得入口対策と出口対策を要突破取得した情報を売却

企業内データを暗号化し身代金要求入口対策を要突破ビットコインによる身代金受取

企業の公開サーバーをサービス停止にいつでも攻撃可能ランサムDDoSという形態の登場攻撃者が最も楽に利益を得る手段

可用性金銭目的の脅威の変化


これまでのDDoS保護経験に基づくL3/L4自動緩和システム

エッジロケーションの前に

インラインで配置され、

すべての着信パケットを検査

DDoS攻撃の96％を自動軽減

追加設定や手数料なし

CloudFrontRoute 53DDoS攻撃

自動緩和システム

インフラ層に対するDDoS保護 – AWS Shield

クラウドのキャパシティを活かしたDDoS対策

AWS Cloud

Region

VPC

Edge Location

CloudFrontRoute 53

AWS Shield


AWS Shield

AWS Shield > Global Threat Environment 画面


• WAFパートナーが管理するマネージドルールを利用することで、ウェブアプリやAPIの保護を即座に開始することができるように

• 現時点でAlert Logic, Fortinet, Imperva, Trend Micro, TrustWaveなどセキュリティのエキスパートがルールを提供

• AWS Marketplaceを通じて調達でき、従量制の料金で利用可能。長期契約は必要ない

AWS WAFのマネージドルール https://aws.amazon.com/mp/security/WAFManagedRules/

アプリ層に対する防御 – AWS WAF Managed Rules

専門的なWAFルールをすぐに利用可能AWS WAF


脅威脆弱性情報資産Threats Vulnerabilities Assets

標的型攻撃マルウェアサイバー攻撃

セキュリティホール設定ミス心理的要素

機密情報個人情報知的財産

可視性セキュリティリスクの方程式


リスク分析

情報資産分析脆弱性分析脅威分析

✓異常検知✓脅威インテリジェンス

✓脆弱性診断✓ベンチマーク評価

✓ユーザー振る舞い分析✓情報漏洩防止

リスクの分析と可視化

AWS Security Hub

Amazon MacieAmazon GuardDuty Amazon Inspector


悪意のあるスキャン

インスタンスへの脅威

アカウントへの脅威

HIGH

MEDIUM

LOW

検知結果データソース脅威の種類

・ポートスキャン・総当たり攻撃

・C&Cサーバーとの通信・アウトバウンドDDoS

・不正なAPIの呼び出し・予期しないリソースアクセス

継続的監視と脅威検知 – Amazon GuardDuty

機械学習を用いたクラウドネイティブな脅威検知サービスAmazon GuardDuty

AWS Cloud

VPC Flow logs(ネットワークログ)

DNS Logs(DNSクエリログ)

AWS CloudTrail(API操作ログ)

Amazon GuardDuty


CVEルールに基づいた脆弱性診断結果画面

• ホスト型脆弱性診断サービス

• CVE(共通脆弱性識別子)やCIS業界ベンチマークに基づいたリスク評価

• エグゼクティブサマリー含めた評価レポート

プラットフォーム脆弱性分析 – Amazon Inspector

API連携によって開発運用プロセスにリスク評価を統合Amazon Inspector

Amazon Inspector


• 継続的監視によりデータ漏えいや不正アクセスを検知

• 個人特定情報 (PII)、個人医療情報 (PHI)、知的財産 (IP)、ソースコード、認証情報などの機密データを識別

• ユーザー振る舞い分析により、リスクの高い不審なアクティビティを特定

S3に保存データの分類と可視化

CloudTrailイベントの時系列表示

事業価値のあるデータを保護 – Amazon Macie

情報漏えい防止(DLP) + ユーザー振る舞い分析(UEBA)Amazon Macie


リスク分析ダッシュボード – AWS Security Hub

AWS環境のセキュリティ・コンプライアンス状態を可視化AWS Security Hub 管理コンソール画面

Amazon

Macie

Amazon

Inspector

Amazon

GuardDuty

Compliance

Check

AWS Security Hub


監査性

• 徹底して行う。定期的に使用しないものを含め、セキュリティ設定のあらゆる面について調べます。

• 推測しない。セキュリティ設定のある面(例: 特定のポリシーやロールの存在の背後にある根拠) が良くわからない場合、満足するまでビジネスニーズを調査します。

• 作業を単純にする。監査 (および管理) を容易にするために、IAM グループ、一貫した命名スキーム、単純なポリシーを使用します。

AWS セキュリティ監査のガイドライン https://docs.aws.amazon.com/ja_jp/general/latest/gr/aws-security-audit-

guide.html

監査のための一般的なガイドライン


レポート項目• ユーザーの作成日時• 最後にパスワードが使われた日時• 最後にパスワードが変更された日時• MFAを利用しているか• Access KeyがActiveか• Access Keyのローテートした日時• Access Keyを最後に使用した日時• Access Keyを最後に利用したAWS

サービス• 証明書はActiveか• 証明書のローテートした日時

AWS IAMの認証情報レポート画面

ポリシーに基づいたアカウント管理と確認

ユーザーアカウントの認証レポート – AWS IAMAWS Identity and Access

Management (IAM)


Tag Scaleup

”ユーザーアクティビティ“ を切り口に時系列ベースでロギング

AWSサービスに対する各種APIログ取得

ユーザー活動履歴の監査ログ – AWS CloudTrailAWS CloudTrail

AWS CloudTrail


AWS Managed Rules

Customer Managed Rules自分でAWS Lambdaをベースにルールを作成可能

評価ルール

Event-Based Evaluations• 関連リソースが作成、変更された際にルール

の評価が実行される例) 新規で作成するEC2にタグ付けされているかの評価

Periodic Evaluations• 任意のタイミング• AWS Config が構成スナップショットを取る

際にルールの評価が実施される例) CloudTrailが有効になっているかどうかの評価

評価実行タイミング

準拠すべきルールに基づいたリソース構成の評価

セキュリティルール適合評価 – AWS Config RulesAWS Config


スタック

テンプレート

CloudFormation

• AWSリソースの環境構築を設定ファイル（テンプレート）を基に自動化

• テンプレートに起動すべきリソースの情報をJSONやYAML形式で記述

• セキュリティ要件を満たす上で必須の設定が入った構成を再現できる

テンプレートに基づき各リソースが起動&構成

設計時におけるセキュリティの組み込みと強制

インフラのコード化 – AWS CloudFormationAWS CloudFormation

AWS Identity and Access

Management (IAM)AWS CloudTrail AWS Config



お客様のコアビジネスにフォーカスする※サーバーの構築やインフラの管理から解放する

セキュリティを強化する※セキュリティ・コンプライアンス要件の対応、規模の経済による継続的なセキュリティの強化・投資

イノベーションを加速する※ビジネスアジリティを向上することによって競争上の優位性を固める

クラウドを活用する事で享受できる価値


デジタルトランスフォーメーション

ITトランスフォーメーション

• 新しい顧客体験• 革新的な製品やサービスの創造

• 新ビジネスモデルへの移行

• IoT, AI, モバイル等新しい技術の応用

• トライ&エラー…

• 本業に集中• ITコスト削減• グローバル展開、

BCP等の付加価値• セキュリティ• システム堅牢性向上

クラウドが加速する２つの変革


脅威環境サイバー

セキュリティNew Edgeでのセキュリティ

セキュリティ専門チームと組織文化

全ての要素がデジタルスピードで変化

Operational Technology

Connected Things

Threat Intelligence

Continuous Security

Cloud/SaaS

BYOD/IdentityCISO/CSIRT

DevSecOps

デジタルトランスフォーメーション(DX)時代のセキュリティ


DX時代の新しいセキュリティ技術領域

各種センサー

各種クライアント

各種モバイルデバイス

Amazon S3

AWS Lambda

各種IoT GWサーバー

Amazon QuickSight

Amazon Redshift

AWS

Glue

Amazon SageMaker

IoTセキュリティデータレイクセキュリティ

サーバーレスセキュリティ

ITインフラストラクチャセキュリティ

デジタルセキュリティトランスフォーメーション

ITセキュリティトランスフォーメーション

カタログデータ

Amazon

Glacier

アーカイブデータ

サーバーレスコンピューティング

データウェアハウス

ビジネスインテリジェンス

機械学習

AWS Dev Day Tokyo 2018 セキュリティセッション & ワークショップ開催レポート

https://aws.amazon.com/jp/blogs/news/aws-dev-day-tokyo-2018-security/


Value

Time

技術的負債の返済

クラウドネイティブ

クラウドへ単純移行し、過去の技術的負債を返済する

クラウド最適なシステムを構築し、イノベーションを加速する

FOUNDATION MIGRATION REINVENTIONPROJECT

AWS Cloud Enterprise Strategy Blog - The Journey Toward Cloud-First & the Stages of Adoptionhttps://aws.amazon.com/jp/blogs/enterprise-strategy/the-journey-toward-cloud-first-the-stages-of-adoption/

基礎を固めながら小さな成功を積み重ねる

限られたヒトが多くの経験を積む

全社的に利用しビジネス効果を享受

クラウドを最大活用しビジネス効果を最大化

クラウドへの移行と技術的負債


オンプレ環境でFWを導入運用

クラウド環境にFW仮想アプライアンス導入運用

Level 1

クラウドネイティブなセキュリティへ




境界とは？(GW/内部NW/EP)

フィルタしたいものとは？ゾーニングと侵入保護

Level 1

Level 2

抽象化

境界で通信パケットフィルタリング





境界で通信パケットフィルタリング

境界とは？(GW/内部NW/EP)

フィルタしたいものとは？ゾーニングと侵入保護

不正通信の検知とブロック・無害化

不正とは？本当の境界とは？振る舞い分析・異常検知・Software Defined Perimeter・

”Identity Is Next Perimeter”

Level 1

Level 2

Level 3

抽象化

抽象化



Security at

Scale

Continuous

Security

Security as

Code

セキュリティトランスフォーメーションの原則

クラウドの特長を活かしてセキュリティも変革

可用性可視性監査性


まとめ

1. 事業変化適応にクラウドセキュリティが不可欠

2. 事業継続(可用性)・事業計画(可視性)・事業責任(監査性)の要となるクラウドセキュリティ

3. Security at Scale, Continuous Security, Security as Codeの原則に基づきセキュリティトランスフォーメーションを実現する


その他の日本語資料で検索AWS 資料

Thank you!


桐山隼人

#AWSInnovate

Documents

ビジネスの成長を支える - aruinc.jp · DDoS攻撃の96％を自動軽減 追加設定や手数料なし CloudFront DDoS攻撃 Route 53 自動緩和システム インフラ層に対するDDoS保護–AWS

ビジネスの成長を支える - aruinc.jp · DDoS攻撃の96％を自動軽減追加設定や手数料なし CloudFront DDoS攻撃 Route 53 自動緩和システムインフラ層に対するDDoS保護–AWS