Upload
others
View
1
Download
0
Embed Size (px)
Citation preview
マスター タイトルの書式設定
Well-Architectedから考える クラウドセキュリティ (総関西サイバーセキュリティLT大会)
2019/12/11
マスター タイトルの書式設定 自己紹介
1
オージス総研
桑原 大輔 (くわはら だいすけ)
仕事:ITインフラエンジニア、クラウドアーキテクト
勤務地:大阪
趣味:モータースポーツ(ジムカーナ)
Hardening
日程 参加イベント 備考
2017/11/23~25 Hardening 2017 fes 競技者参加
2018/4/14 Micro Hardening @高槻 ~tktkセキュリティ勉強会~
2018/7/6~7 Hardening II Collective マーケットプレイスとして参加
2018/8/25 Micro Hardening @高松 ~セキュリティうどん(かまたま)~
2018/9/15 Micro Hardening @宇部
2018/10/20 nano Hardening @大阪 ~セキュリティマイスター道場~
2018/11/21~22 Hardening II SecurEach マーケットプレイスとして参加
2019/3/6 Micro Hardening(企業向け)
2020/1/24~25 Hardening 2020 Business Objectives 参加予定
マスター タイトルの書式設定 会社概要:株式会社オージス総研
2
代表者: 代表取締役社長 中沢 正和
設 立: 1983年6月29日
資本金: 4.4億円 (大阪ガス株式会社100%出資)
事業内容: システム開発、プラットフォームサービス、 コンピュータ機器・ソフトウェアの販売、
コンサルティング、研修・トレーニング
主な事業所 本 社: 大阪府 大阪市西区千代崎3-南2-37 ICCビル 東京本社: 東京都品川区西品川1-1-1住友不動産大崎ガーデンタワー20階
千里オフィス: 大阪府 豊中市新千里西町1-2-1
名古屋オフィス: 愛知県 名古屋市中区錦1-17-13 名興ビル
売上実績: 733.2億円(連結) 402.4億円(単体) (2018年度)
従業員数: 3,456名(連結) 1,439名(単体)(2019年3月31日現在)
関連会社: さくら情報システム(株)、(株)宇部情報システム、(株)アグニコンサルティング、 (株)システムアンサー、OGIS International, Inc. 、上海欧計斯軟件有限公司(中国)
オージス総研グループ 売上構成比(連結)
取得許可認定
大阪ガス 30%
外販 70%
マスター タイトルの書式設定
3
Q. パブリッククラウドを使ってますか?
マスター タイトルの書式設定
4
Q. Well-Architectedという言葉を
聞いたことありますか?
マスター タイトルの書式設定 責任共有モデル(AWS)
5
セキュリティとコンプライアンスは、クラウドベンダーと利用者の間で共有
引用:AWS責任共有モデル
https://aws.amazon.com/jp/compliance/shared-responsibility-model/
マスター タイトルの書式設定 責任共有モデル(GCP)
6 引用:https://www.slideshare.net/GoogleCloudPlatformJP/cloud-onair-gcp-2018111
セキュリティとコンプライアンスは、クラウドベンダーと利用者の間で共有
マスター タイトルの書式設定 クラウド内のセキュリティ
7
論理アクセスコントロール
ネットワーク管理
ログ管理
データ保護 脆弱性対策
変更管理 リソース監視
ID管理
ビジネス 継続性
マスター タイトルの書式設定
8
Q. AWSのセキュリティ
ベストプラクティスはあるの?
マスター タイトルの書式設定
9
A. あります。
AWS Well-Architected Framework (セキュリティだけじゃない)
マスター タイトルの書式設定 AWS Well-Architected Framework
10
AWS Well-Architected Framework
AWSが10年以上の経験からフィードバックしたベストプラクティス
システム設計・運用の『大局的な』考え方
5つの分野(柱)
質問と回答形式
https://aws.amazon.com/jp/architecture/well-architected/
https://d1.awsstatic.com/webinars/jp/pdf/services/20181211_AWS-BlackBelt-Well-Architected.pdf
運用の優秀性 セキュリティ 信頼性 パフォーマンス コスト最適化
マスター タイトルの書式設定 AWSセキュリティ設計原則(Well-Architectedホワイトペーパーより)
11
強⼒なアイデンティティ基盤の実装
トレーサビリティの実現
全レイヤーへのセキュリティの適用
セキュリティのベストプラクティスの自動化
伝送中および保管中のデータの保護
データに人の手を入れない
セキュリティイベントへの備え
マスター タイトルの書式設定
12
Q. AWS Well-Architected Frameworkを使えば
良い感じにセキュリティを守れるの?
マスター タイトルの書式設定
13
A. いいえ。
AWS Well-Architected Frameworkは大局的
なベストプラクティスであって、実装方法や
アーキテクチャについての情報はありません。
マスター タイトルの書式設定 AWS Well-Architected Framework
14
セキュリティの項目
項目 質問 回答
アイデンティティとアクセス管理
ワークロードの認証情報と認証をどのように管理していますか?
アクセス要件を適切(法令、ガイドライン、社内ルールなどに合わせて)に定義している
ルートユーザにMFA(多要素認証)を設定、アクセスキーを削除し、最小限の利用に留めている
MFA(多要素認証)を強制している
ツールなどを用いてアクセス制御を自動化している
IDプロバイダもしくはディレクトリサービスを使用している
適切なパスワード要件を強制している
認証情報を定期的にローテーションしている(退職者などの不正利用防止)
定期的に認証情報の監査を行っている(アクセス要件、MFA、ローテーションなどの確認)
マスター タイトルの書式設定
15
Q. 具体的なものはないの?
マスター タイトルの書式設定
16
A. Center for Internet Security (CIS) ベンチマークが 参考になります。
マスター タイトルの書式設定 Center for Internet Security (CIS) ベンチマーク
17
https://www.cisecurity.org/
マスター タイトルの書式設定
18
Q. CISは自組織ポリシーに合わない
参考にはなるが、フィットしない
マスター タイトルの書式設定
19
Q. 何よりどう実装すればよいの?
マスター タイトルの書式設定
20
Q. AWSじゃなくGCPを使ってるんだけど
どうすればよい?
マスター タイトルの書式設定
21
A. 自組織にフィットする Well-Architectedを作りましょう
AWS Well-Architectedを理解すれば
他のクラウドでも使えます
マスター タイトルの書式設定 OGIS Well-Architected Framework
22
AWS Well-
Architected
Framework
(AWS提供)
要件を整理
・想定するリスク
・ToBe
・その具体的な実現方法
社内ガイドライン
クラウドサービス利用指針
社内向け
レビュー
グループ会社
展開
AWSクラウドデザインパターンやBlackBelt等のAWSベストプラクティス
(AWS提供)
CIS等の第三者機関が公開しているベストプラクティス
OGIS
Well-Architected
Framework
社内ノウハウ
(過去or進行形の案件)
マスター タイトルの書式設定 OGIS Well-Architected Framework
23
マスター タイトルの書式設定 レビュー
24
『AWS Well-Architected Framework レビュープロセス』に則って実施
ディスカッション
より良いシステム作りのための相談会
非難しない、犯人を捜さない
マスター タイトルの書式設定
25
Q. 全てのベストプラクティスに
則ってないとダメなのか?
マスター タイトルの書式設定
26
A. いいえ
ベストプラクティスを理解した上で、
「ビジネス的な判断をする」ことが重要
レビューによりリスクや改善点の顕在化
https://www.slideshare.net/AmazonWebServicesJapan/20190130-aws-wellarchitected
マスター タイトルの書式設定
27
Q. どんな内容のディスカッションなのか?
マスター タイトルの書式設定
28
A. 次のセクションで玉邑がお話します
マスター タイトルの書式設定 自己紹介
29
オージス総研
玉邑 考史 (たまむら こうじ)
仕事:ITインフラエンジニア、クラウドアーキテクト
趣味:セキュリティ
アルティメットサイバーセキュリティクイズ大会 スタッフ
Hardening II Collective 出場
総サイLT 3回
情報処理安全確保支援士 (登録番号第015841号)
@KTamamu
マスター タイトルの書式設定 セキュリティの柱
30
クラウドだから
より大切
クラウドでも
変わらず大切
クラウドだから
より迅速に
インフラストラクチャ保護
データ保護
アイデンティティとアクセス管理
発見的統制
インシデント対応
マスター タイトルの書式設定
アイデンティティとアクセス管理
マスター タイトルの書式設定 今日一番伝えたいこと
32
クラウドでは
アイデンティティとアクセス管理が
最も重要 (もちろんセキュリティはトータルバランスなので、すべて重要だけど)
マスター タイトルの書式設定 なぜ一番重要?
33
従来のオンプレミスとクラウドの最も大きな違いは管理コンソール
クラウドではアクセス権限の失敗が命取りになる
Corporate data center
クラウドではインターネット上に 公開されたネットワーク上
Private subnet
Active Directory
vCenter
Corporate data center
オンプレミスでは境界で防御された プライベートネットワーク上
API
Web
マスター タイトルの書式設定 どう守る?
34
MFAしましょう(前回LT)
大切なのは最小権限であること
最小限のアクセス権限から開始し、必要に応じて追加のアクセス権限を付与します
必要最小範囲の役割を付与します
ユーザーの作業を実行できる最低限の特権をユーザーに付与することです
マスター タイトルの書式設定 最小権限の探求
35
AcceptReservedInstancesExchangeQuote AcceptTransitGatewayVpcAttachment AcceptVpcEndpointConnections AcceptVpcPeeringConnection AdvertiseByoipCidr AllocateAddress AllocateHosts ApplySecurityGroupsToClientVpnTargetNetwork
AssignIpv6Addresses AssignPrivateIpAddresses AssociateAddress AssociateClientVpnTargetNetwork AssociateDhcpOptions AssociateIamInstanceProfile AssociateRouteTable AssociateSubnetCidrBlock AssociateTransitGatewayRouteTable
AssociateVpcCidrBlock AttachClassicLinkVpc AttachInternetGateway AttachNetworkInterface AttachVolume AttachVpnGateway AuthorizeClientVpnIngress AuthorizeSecurityGroupEgress AuthorizeSecurityGroupIngress BundleInstance
CancelBundleTask CancelCapacityReservation CancelConversionTask CancelExportTask CancelImportTask CancelReservedInstancesListing CancelSpotFleetRequests CancelSpotInstanceRequests ConfirmProductInstance CopyFpgaImage
CopyImage CopySnapshot CreateCapacityReservation CreateClientVpnEndpoint CreateClientVpnRoute CreateCustomerGateway CreateDefaultSubnet CreateDefaultVpc CreateDhcpOptions CreateEgressOnlyInternetGateway CreateFleet
CreateFlowLogs CreateFpgaImage CreateImage CreateInstanceExportTask CreateInternetGateway CreateKeyPair CreateLaunchTemplate CreateLaunchTemplateVersion CreateNatGateway CreateNetworkAcl CreateNetworkAclEntry
CreateNetworkInterface CreateNetworkInterfacePermission CreatePlacementGroup CreateReservedInstancesListing CreateRoute CreateRouteTable CreateSecurityGroup CreateSnapshot CreateSnapshots CreateSpotDatafeedSubscription
CreateSubnet CreateTags CreateTransitGateway CreateTransitGatewayRoute CreateTransitGatewayRouteTable CreateTransitGatewayVpcAttachment CreateVolume CreateVpc CreateVpcEndpoint CreateVpcEndpointConnectionNotification
CreateVpcEndpointServiceConfiguration CreateVpcPeeringConnection CreateVpnConnection CreateVpnConnectionRoute CreateVpnGateway DeleteClientVpnEndpoint DeleteClientVpnRoute DeleteCustomerGateway DeleteDhcpOptions
DeleteEgressOnlyInternetGateway DeleteFleets DeleteFlowLogs DeleteFpgaImage DeleteInternetGateway DeleteKeyPair DeleteLaunchTemplate DeleteLaunchTemplateVersions DeleteNatGateway DeleteNetworkAcl DeleteNetworkAclEntry
DeleteNetworkInterface DeleteNetworkInterfacePermission DeletePlacementGroup DeleteRoute DeleteRouteTable DeleteSecurityGroup DeleteSnapshot DeleteSpotDatafeedSubscription DeleteSubnet DeleteTags DeleteTransitGateway
DeleteTransitGatewayRoute DeleteTransitGatewayRouteTable DeleteTransitGatewayVpcAttachment DeleteVolume DeleteVpc DeleteVpcEndpointConnectionNotifications DeleteVpcEndpointServiceConfigurations DeleteVpcEndpoints
DeleteVpcPeeringConnection DeleteVpnConnection DeleteVpnConnectionRoute DeleteVpnGateway DeprovisionByoipCidr DeregisterImage DescribeAccountAttributes DescribeAddresses DescribeAggregateIdFormat DescribeAvailabilityZones
DescribeBundleTasks DescribeByoipCidrs DescribeCapacityReservations DescribeClassicLinkInstances DescribeClientVpnAuthorizationRules DescribeClientVpnConnections DescribeClientVpnEndpoints DescribeClientVpnRoutes
DescribeClientVpnTargetNetworks DescribeConversionTasks DescribeCustomerGateways DescribeDhcpOptions DescribeEgressOnlyInternetGateways DescribeElasticGpus DescribeExportTasks DescribeFleetHistory DescribeFleetInstances
DescribeFleets DescribeFlowLogs DescribeFpgaImageAttribute DescribeFpgaImages DescribeHostReservationOfferings DescribeHostReservations DescribeHosts DescribeIamInstanceProfileAssociations DescribeIdFormat
DescribeIdentityIdFormat DescribeImageAttribute DescribeImages DescribeImportImageTasks DescribeImportSnapshotTasks DescribeInstanceAttribute DescribeInstanceCreditSpecifications DescribeInstanceStatus DescribeInstances
DescribeInternetGateways DescribeKeyPairs DescribeLaunchTemplateVersions DescribeLaunchTemplates DescribeMovingAddresses DescribeNatGateways DescribeNetworkAcls DescribeNetworkInterfaceAttribute
DescribeNetworkInterfacePermissions DescribeNetworkInterfaces DescribePlacementGroups DescribePrefixLists DescribePrincipalIdFormat DescribePublicIpv4Pools DescribeRegions DescribeReservedInstances DescribeReservedInstancesListings
DescribeReservedInstancesModifications DescribeReservedInstancesOfferings DescribeRouteTables DescribeScheduledInstanceAvailability DescribeScheduledInstances DescribeSecurityGroupReferences DescribeSecurityGroups
DescribeSnapshotAttribute DescribeSnapshots DescribeSpotDatafeedSubscription DescribeSpotFleetInstances DescribeSpotFleetRequestHistory DescribeSpotFleetRequests DescribeSpotInstanceRequests DescribeSpotPriceHistory
DescribeStaleSecurityGroups DescribeSubnets DescribeTags DescribeTransitGatewayAttachments DescribeTransitGatewayRouteTables DescribeTransitGatewayVpcAttachments DescribeTransitGateways DescribeVolumeAttribute
DescribeVolumeStatus DescribeVolumes DescribeVolumesModifications DescribeVpcAttribute DescribeVpcClassicLink DescribeVpcClassicLinkDnsSupport DescribeVpcEndpointConnectionNotifications DescribeVpcEndpointConnections
DescribeVpcEndpointServiceConfigurations DescribeVpcEndpointServicePermissions DescribeVpcEndpointServices DescribeVpcEndpoints DescribeVpcPeeringConnections DescribeVpcs DescribeVpnConnections DescribeVpnGateways
DetachClassicLinkVpc DetachInternetGateway DetachNetworkInterface DetachVolume DetachVpnGateway DisableEbsEncryptionByDefault DisableTransitGatewayRouteTablePropagation DisableVgwRoutePropagation DisableVpcClassicLink
DisableVpcClassicLinkDnsSupport DisassociateAddress DisassociateClientVpnTargetNetwork DisassociateIamInstanceProfile DisassociateRouteTable DisassociateSubnetCidrBlock DisassociateTransitGatewayRouteTable DisassociateVpcCidrBlock
EnableEbsEncryptionByDefault EnableTransitGatewayRouteTablePropagation EnableVgwRoutePropagation EnableVolumeIO EnableVpcClassicLink EnableVpcClassicLinkDnsSupport ExportClientVpnClientCertificateRevocationList
ExportClientVpnClientConfiguration ExportTransitGatewayRoutes GetConsoleOutput GetConsoleScreenshot GetEbsDefaultKmsKeyId GetEbsEncryptionByDefault GetHostReservationPurchasePreview GetLaunchTemplateData GetPasswordData
GetReservedInstancesExchangeQuote GetTransitGatewayAttachmentPropagations GetTransitGatewayRouteTableAssociations GetTransitGatewayRouteTablePropagations ImportClientVpnClientCertificateRevocationList ImportImage
ImportInstance ImportKeyPair ImportSnapshot ImportVolume ModifyCapacityReservation ModifyClientVpnEndpoint ModifyEbsDefaultKmsKeyId ModifyFleet ModifyFpgaImageAttribute ModifyHosts ModifyIdFormat ModifyIdentityIdFormat
ModifyImageAttribute ModifyInstanceAttribute ModifyInstanceCapacityReservationAttributes ModifyInstanceCreditSpecification ModifyInstanceEventStartTime ModifyInstancePlacement ModifyLaunchTemplate ModifyNetworkInterfaceAttribute
ModifyReservedInstances ModifySnapshotAttribute ModifySpotFleetRequest ModifySubnetAttribute ModifyTransitGatewayVpcAttachment ModifyVolume ModifyVolumeAttribute ModifyVpcAttribute ModifyVpcEndpoint
ModifyVpcEndpointConnectionNotification ModifyVpcEndpointServiceConfiguration ModifyVpcEndpointServicePermissions ModifyVpcPeeringConnectionOptions ModifyVpcTenancy ModifyVpnConnection MonitorInstances
MoveAddressToVpc ProvisionByoipCidr PurchaseHostReservation PurchaseReservedInstancesOffering PurchaseScheduledInstances RebootInstances RegisterImage RejectTransitGatewayVpcAttachment RejectVpcEndpointConnections
RejectVpcPeeringConnection ReleaseAddress ReleaseHosts ReplaceIamInstanceProfileAssociation ReplaceNetworkAclAssociation ReplaceNetworkAclEntry ReplaceRoute ReplaceRouteTableAssociation ReplaceTransitGatewayRoute
ReportInstanceStatus RequestSpotFleet RequestSpotInstances ResetEbsDefaultKmsKeyId ResetFpgaImageAttribute ResetImageAttribute ResetInstanceAttribute ResetNetworkInterfaceAttribute ResetSnapshotAttribute RestoreAddressToClassic
RevokeClientVpnIngress RevokeSecurityGroupEgress RevokeSecurityGroupIngress RunInstances RunScheduledInstances SearchTransitGatewayRoutes StartInstances StopInstances TerminateClientVpnConnections TerminateInstances
UnassignIpv6Addresses UnassignPrivateIpAddresses UnmonitorInstances UpdateSecurityGroupRuleDescriptionsEgress UpdateSecurityGroupRuleDescriptionsIngress WithdrawByoipCidr
マスター タイトルの書式設定 最小権限の探求
36
AcceptReservedInstancesExchangeQuote AcceptTransitGatewayVpcAttachment AcceptVpcEndpointConnections AcceptVpcPeeringConnection AdvertiseByoipCidr AllocateAddress AllocateHosts ApplySecurityGroupsToClientVpnTargetNetwork
AssignIpv6Addresses AssignPrivateIpAddresses AssociateAddress AssociateClientVpnTargetNetwork AssociateDhcpOptions AssociateIamInstanceProfile AssociateRouteTable AssociateSubnetCidrBlock AssociateTransitGatewayRouteTable
AssociateVpcCidrBlock AttachClassicLinkVpc AttachInternetGateway AttachNetworkInterface AttachVolume AttachVpnGateway AuthorizeClientVpnIngress AuthorizeSecurityGroupEgress AuthorizeSecurityGroupIngress BundleInstance
CancelBundleTask CancelCapacityReservation CancelConversionTask CancelExportTask CancelImportTask CancelReservedInstancesListing CancelSpotFleetRequests CancelSpotInstanceRequests ConfirmProductInstance CopyFpgaImage
CopyImage CopySnapshot CreateCapacityReservation CreateClientVpnEndpoint CreateClientVpnRoute CreateCustomerGateway CreateDefaultSubnet CreateDefaultVpc CreateDhcpOptions CreateEgressOnlyInternetGateway CreateFleet
CreateFlowLogs CreateFpgaImage CreateImage CreateInstanceExportTask CreateInternetGateway CreateKeyPair CreateLaunchTemplate CreateLaunchTemplateVersion CreateNatGateway CreateNetworkAcl CreateNetworkAclEntry
CreateNetworkInterface CreateNetworkInterfacePermission CreatePlacementGroup CreateReservedInstancesListing CreateRoute CreateRouteTable CreateSecurityGroup CreateSnapshot CreateSnapshots CreateSpotDatafeedSubscription
CreateSubnet CreateTags CreateTransitGateway CreateTransitGatewayRoute CreateTransitGatewayRouteTable CreateTransitGatewayVpcAttachment CreateVolume CreateVpc CreateVpcEndpoint CreateVpcEndpointConnectionNotification
CreateVpcEndpointServiceConfiguration CreateVpcPeeringConnection CreateVpnConnection CreateVpnConnectionRoute CreateVpnGateway DeleteClientVpnEndpoint DeleteClientVpnRoute DeleteCustomerGateway DeleteDhcpOptions
DeleteEgressOnlyInternetGateway DeleteFleets DeleteFlowLogs DeleteFpgaImage DeleteInternetGateway DeleteKeyPair DeleteLaunchTemplate DeleteLaunchTemplateVersions DeleteNatGateway DeleteNetworkAcl DeleteNetworkAclEntry
DeleteNetworkInterface DeleteNetworkInterfacePermission DeletePlacementGroup DeleteRoute DeleteRouteTable DeleteSecurityGroup DeleteSnapshot DeleteSpotDatafeedSubscription DeleteSubnet DeleteTags DeleteTransitGateway
DeleteTransitGatewayRoute DeleteTransitGatewayRouteTable DeleteTransitGatewayVpcAttachment DeleteVolume DeleteVpc DeleteVpcEndpointConnectionNotifications DeleteVpcEndpointServiceConfigurations DeleteVpcEndpoints
DeleteVpcPeeringConnection DeleteVpnConnection DeleteVpnConnectionRoute DeleteVpnGateway DeprovisionByoipCidr DeregisterImage DescribeAccountAttributes DescribeAddresses DescribeAggregateIdFormat DescribeAvailabilityZones
DescribeBundleTasks DescribeByoipCidrs DescribeCapacityReservations DescribeClassicLinkInstances DescribeClientVpnAuthorizationRules DescribeClientVpnConnections DescribeClientVpnEndpoints DescribeClientVpnRoutes
DescribeClientVpnTargetNetworks DescribeConversionTasks DescribeCustomerGateways DescribeDhcpOptions DescribeEgressOnlyInternetGateways DescribeElasticGpus DescribeExportTasks DescribeFleetHistory DescribeFleetInstances
DescribeFleets DescribeFlowLogs DescribeFpgaImageAttribute DescribeFpgaImages DescribeHostReservationOfferings DescribeHostReservations DescribeHosts DescribeIamInstanceProfileAssociations DescribeIdFormat
DescribeIdentityIdFormat DescribeImageAttribute DescribeImages DescribeImportImageTasks DescribeImportSnapshotTasks DescribeInstanceAttribute DescribeInstanceCreditSpecifications DescribeInstanceStatus DescribeInstances
DescribeInternetGateways DescribeKeyPairs DescribeLaunchTemplateVersions DescribeLaunchTemplates DescribeMovingAddresses DescribeNatGateways DescribeNetworkAcls DescribeNetworkInterfaceAttribute
DescribeNetworkInterfacePermissions DescribeNetworkInterfaces DescribePlacementGroups DescribePrefixLists DescribePrincipalIdFormat DescribePublicIpv4Pools DescribeRegions DescribeReservedInstances DescribeReservedInstancesListings
DescribeReservedInstancesModifications DescribeReservedInstancesOfferings DescribeRouteTables DescribeScheduledInstanceAvailability DescribeScheduledInstances DescribeSecurityGroupReferences DescribeSecurityGroups
DescribeSnapshotAttribute DescribeSnapshots DescribeSpotDatafeedSubscription DescribeSpotFleetInstances DescribeSpotFleetRequestHistory DescribeSpotFleetRequests DescribeSpotInstanceRequests DescribeSpotPriceHistory
DescribeStaleSecurityGroups DescribeSubnets DescribeTags DescribeTransitGatewayAttachments DescribeTransitGatewayRouteTables DescribeTransitGatewayVpcAttachments DescribeTransitGateways DescribeVolumeAttribute
DescribeVolumeStatus DescribeVolumes DescribeVolumesModifications DescribeVpcAttribute DescribeVpcClassicLink DescribeVpcClassicLinkDnsSupport DescribeVpcEndpointConnectionNotifications DescribeVpcEndpointConnections
DescribeVpcEndpointServiceConfigurations DescribeVpcEndpointServicePermissions DescribeVpcEndpointServices DescribeVpcEndpoints DescribeVpcPeeringConnections DescribeVpcs DescribeVpnConnections DescribeVpnGateways
DetachClassicLinkVpc DetachInternetGateway DetachNetworkInterface DetachVolume DetachVpnGateway DisableEbsEncryptionByDefault DisableTransitGatewayRouteTablePropagation DisableVgwRoutePropagation DisableVpcClassicLink
DisableVpcClassicLinkDnsSupport DisassociateAddress DisassociateClientVpnTargetNetwork DisassociateIamInstanceProfile DisassociateRouteTable DisassociateSubnetCidrBlock DisassociateTransitGatewayRouteTable DisassociateVpcCidrBlock
EnableEbsEncryptionByDefault EnableTransitGatewayRouteTablePropagation EnableVgwRoutePropagation EnableVolumeIO EnableVpcClassicLink EnableVpcClassicLinkDnsSupport ExportClientVpnClientCertificateRevocationList
ExportClientVpnClientConfiguration ExportTransitGatewayRoutes GetConsoleOutput GetConsoleScreenshot GetEbsDefaultKmsKeyId GetEbsEncryptionByDefault GetHostReservationPurchasePreview GetLaunchTemplateData GetPasswordData
GetReservedInstancesExchangeQuote GetTransitGatewayAttachmentPropagations GetTransitGatewayRouteTableAssociations GetTransitGatewayRouteTablePropagations ImportClientVpnClientCertificateRevocationList ImportImage
ImportInstance ImportKeyPair ImportSnapshot ImportVolume ModifyCapacityReservation ModifyClientVpnEndpoint ModifyEbsDefaultKmsKeyId ModifyFleet ModifyFpgaImageAttribute ModifyHosts ModifyIdFormat ModifyIdentityIdFormat
ModifyImageAttribute ModifyInstanceAttribute ModifyInstanceCapacityReservationAttributes ModifyInstanceCreditSpecification ModifyInstanceEventStartTime ModifyInstancePlacement ModifyLaunchTemplate ModifyNetworkInterfaceAttribute
ModifyReservedInstances ModifySnapshotAttribute ModifySpotFleetRequest ModifySubnetAttribute ModifyTransitGatewayVpcAttachment ModifyVolume ModifyVolumeAttribute ModifyVpcAttribute ModifyVpcEndpoint
ModifyVpcEndpointConnectionNotification ModifyVpcEndpointServiceConfiguration ModifyVpcEndpointServicePermissions ModifyVpcPeeringConnectionOptions ModifyVpcTenancy ModifyVpnConnection MonitorInstances
MoveAddressToVpc ProvisionByoipCidr PurchaseHostReservation PurchaseReservedInstancesOffering PurchaseScheduledInstances RebootInstances RegisterImage RejectTransitGatewayVpcAttachment RejectVpcEndpointConnections
RejectVpcPeeringConnection ReleaseAddress ReleaseHosts ReplaceIamInstanceProfileAssociation ReplaceNetworkAclAssociation ReplaceNetworkAclEntry ReplaceRoute ReplaceRouteTableAssociation ReplaceTransitGatewayRoute
ReportInstanceStatus RequestSpotFleet RequestSpotInstances ResetEbsDefaultKmsKeyId ResetFpgaImageAttribute ResetImageAttribute ResetInstanceAttribute ResetNetworkInterfaceAttribute ResetSnapshotAttribute RestoreAddressToClassic
RevokeClientVpnIngress RevokeSecurityGroupEgress RevokeSecurityGroupIngress RunInstances RunScheduledInstances SearchTransitGatewayRoutes StartInstances StopInstances TerminateClientVpnConnections TerminateInstances
UnassignIpv6Addresses UnassignPrivateIpAddresses UnmonitorInstances UpdateSecurityGroupRuleDescriptionsEgress UpdateSecurityGroupRuleDescriptionsIngress WithdrawByoipCidr
Amazon EC2 で定義されるアクション
338個
マスター タイトルの書式設定 最小権限の探求
37
できるところから始める
人の最小権限
AWS管理ポリシーとブラックリスト運用
アクセスキーは削除する
プログラムの最小権限
ホワイトリスト運用
マネジメントコンソールのパスワードは無効化する
※ IAMの権限を制限する
パスワード変更とMFA設定のみを許可する。 佐々木 拓郎 著 (2019).
AWSの薄い本 IAMのマニアックな話 (BOOTH)
https://booth.pm/ja/items/1563844
マスター タイトルの書式設定
発見的統制
マスター タイトルの書式設定 権限だけではない対策
39
管理権限を持った人が内部犯行したらどうする?
アプリケーションの仕様上、重要な権限を持っている場合どうする?
https://www.ipa.go.jp/files/000051140.pdf
マスター タイトルの書式設定 発見的統制
40
1. クラウド上のログを有効にする
2. 重要なリソースの変更を監視する
CIS Amazon Web Services Benchmarks
CIS Microsoft Azure Foundations Security Benchmark
CIS Benchmark for Google Cloud Computing Platform
Stackdriver Cloud Audit
Logging
AWS CloudTrail AWS Config Azure Monitor
AWS Security Hub
マスター タイトルの書式設定
インフラストラクチャ保護
マスター タイトルの書式設定 インフラストラクチャ保護
42
ネットワークセキュリティは変わらず大切だが、従来のセグメントによる管理だけではなく、境界のセキュリティグループで管理することが一般的
インターネットサービスとして利用されるケースが多く、またVPC権限があればすぐにインターネットGWをアタッチできる
例えばネットワークは中央集権的にしていたのが、クラウドでは各システム単位でインターネットアクセスを制御できてしまう
権限が大切なことが改めてわかる
NW管理者 開発者
境界FWによる管理
開発者 NW管理者
VPCによる管理
マスター タイトルの書式設定
データ保護
マスター タイトルの書式設定 データ保護
44
データ分類
データを分類し、保存方法や保護レベルを決める
データを識別するためのタグ付けの有効利用
保存中データの保護
サーバサイド暗号化とクライアントサイド暗号化
サーバサイド暗号化は標準で有効にしておく
重要データとして暗号化したいものはクライアントサイドでの実装が必要だが、鍵管理は十分に注意が必要
転送中データの保護
通信経路の暗号化
マネージド証明書管理の活用
マスター タイトルの書式設定
インシデント管理
マスター タイトルの書式設定 インシデント管理
46
セキュリティインシデント発生時には被害拡大の防止と証拠保全を最優先に行う
問題発生時の封じ込めを自動化しておく
インスタンスの停止
アカウントの停止
鍵の無効化
クラウドは自動化との親和性が高い(Infrastructure as Code)
Cloud Formation (AWS)
Azure Resource Manager (Azure)
Cloud Deployment Manager (GCP)
すぐに外部専門業者の⼒を借りる → コミュニティを通してつながりを
マスター タイトルの書式設定
まとめ
マスター タイトルの書式設定 まとめ
48
Well-Architected Frameworkはクラウドのベストプラクティス
全てのベストプラクティスに則るのが目的ではなく、リスクを知り、自分のシステムの現在地を把握するためのもの
自組織にフィットするWell-Architectedを作る
できるところから始めて継続的にチェックすることが大切
クラウドでは権限管理が非常に重要
もちろんその他の要素も重要
クラウドと自動化の親和性は高いので最大限に活用する
マスター タイトルの書式設定
ご清聴ありがとうございました