マスター タイトルの書式設定

Well-Architectedから考える クラウドセキュリティ （総関西サイバーセキュリティLT大会）

2019/12/11

マスター タイトルの書式設定 自己紹介

1

オージス総研

桑原 大輔 （くわはら だいすけ）

仕事：ITインフラエンジニア、クラウドアーキテクト

勤務地：大阪

趣味：モータースポーツ（ジムカーナ）

Hardening

日程 参加イベント 備考

2017/11/23～25 Hardening 2017 fes 競技者参加

2018/4/14 Micro Hardening @高槻 ~tktkセキュリティ勉強会～

2018/7/6～7 Hardening II Collective マーケットプレイスとして参加

2018/8/25 Micro Hardening @高松 ～セキュリティうどん（かまたま）～

2018/9/15 Micro Hardening @宇部

2018/10/20 nano Hardening @大阪 ~セキュリティマイスター道場～

2018/11/21～22 Hardening II SecurEach マーケットプレイスとして参加

2019/3/6 Micro Hardening(企業向け)

2020/1/24~25 Hardening 2020 Business Objectives 参加予定

マスター タイトルの書式設定 会社概要：株式会社オージス総研

2

代表者： 代表取締役社長 中沢 正和

設 立： 1983年6月29日

資本金： 4.４億円 （大阪ガス株式会社100%出資）

事業内容： システム開発、プラットフォームサービス、 コンピュータ機器･ソフトウェアの販売、

コンサルティング、研修・トレーニング

主な事業所 本 社： 大阪府 大阪市西区千代崎3-南2-37 ICCビル 東京本社： 東京都品川区西品川1-1-1住友不動産大崎ガーデンタワー20階

千里オフィス： 大阪府 豊中市新千里西町１－２－１

名古屋オフィス： 愛知県 名古屋市中区錦1-17-13 名興ビル

売上実績： 733.2億円（連結） 402.4億円（単体） (2018年度)

従業員数： 3,456名（連結） 1,439名（単体）（2019年3月31日現在）

関連会社： さくら情報システム（株）、（株）宇部情報システム、（株）アグニコンサルティング、 （株）システムアンサー、OGIS International, Inc. 、上海欧計斯軟件有限公司（中国）

オージス総研グループ 売上構成比（連結）

取得許可認定

大阪ガス 30％

外販 70％

マスター タイトルの書式設定

3

Q. パブリッククラウドを使ってますか？

マスター タイトルの書式設定

4

Q. Well-Architectedという言葉を

聞いたことありますか？

マスター タイトルの書式設定 責任共有モデル（AWS）

5

セキュリティとコンプライアンスは、クラウドベンダーと利用者の間で共有

引用：AWS責任共有モデル

https://aws.amazon.com/jp/compliance/shared-responsibility-model/

マスター タイトルの書式設定 責任共有モデル（GCP）

6 引用：https://www.slideshare.net/GoogleCloudPlatformJP/cloud-onair-gcp-2018111

セキュリティとコンプライアンスは、クラウドベンダーと利用者の間で共有

マスター タイトルの書式設定 クラウド内のセキュリティ

7

論理アクセスコントロール

ネットワーク管理

ログ管理

データ保護 脆弱性対策

変更管理 リソース監視

ID管理

ビジネス 継続性

マスター タイトルの書式設定

8

Q. AWSのセキュリティ

ベストプラクティスはあるの？

マスター タイトルの書式設定

9

A. あります。

AWS Well-Architected Framework （セキュリティだけじゃない）

マスター タイトルの書式設定 AWS Well-Architected Framework

10

AWS Well-Architected Framework

AWSが10年以上の経験からフィードバックしたベストプラクティス

システム設計・運用の『大局的な』考え方

５つの分野（柱）

質問と回答形式

https://aws.amazon.com/jp/architecture/well-architected/

https://d1.awsstatic.com/webinars/jp/pdf/services/20181211_AWS-BlackBelt-Well-Architected.pdf

運用の優秀性 セキュリティ 信頼性 パフォーマンス コスト最適化

マスター タイトルの書式設定 AWSセキュリティ設計原則（Well-Architectedホワイトペーパーより）

11

強⼒なアイデンティティ基盤の実装

トレーサビリティの実現

全レイヤーへのセキュリティの適用

セキュリティのベストプラクティスの自動化

伝送中および保管中のデータの保護

データに人の手を入れない

セキュリティイベントへの備え

マスター タイトルの書式設定

12

Q. AWS Well-Architected Frameworkを使えば

良い感じにセキュリティを守れるの？

マスター タイトルの書式設定

13

A. いいえ。

AWS Well-Architected Frameworkは大局的

なベストプラクティスであって、実装方法や

アーキテクチャについての情報はありません。

マスター タイトルの書式設定 AWS Well-Architected Framework

14

セキュリティの項目

項目 質問 回答

アイデンティティとアクセス管理

ワークロードの認証情報と認証をどのように管理していますか？

アクセス要件を適切(法令、ガイドライン、社内ルールなどに合わせて)に定義している

ルートユーザにMFA(多要素認証)を設定、アクセスキーを削除し、最小限の利用に留めている

MFA(多要素認証)を強制している

ツールなどを用いてアクセス制御を自動化している

IDプロバイダもしくはディレクトリサービスを使用している

適切なパスワード要件を強制している

認証情報を定期的にローテーションしている(退職者などの不正利用防止)

定期的に認証情報の監査を行っている(アクセス要件、MFA、ローテーションなどの確認)

マスター タイトルの書式設定

15

Q. 具体的なものはないの？

マスター タイトルの書式設定

16

A. Center for Internet Security (CIS) ベンチマークが 参考になります。

マスター タイトルの書式設定 Center for Internet Security (CIS) ベンチマーク

17

https://www.cisecurity.org/

マスター タイトルの書式設定

18

Q. CISは自組織ポリシーに合わない

参考にはなるが、フィットしない

マスター タイトルの書式設定

19

Q. 何よりどう実装すればよいの？

マスター タイトルの書式設定

20

Q. AWSじゃなくGCPを使ってるんだけど

どうすればよい？

マスター タイトルの書式設定

21

A. 自組織にフィットする Well-Architectedを作りましょう

AWS Well-Architectedを理解すれば

他のクラウドでも使えます

マスター タイトルの書式設定 OGIS Well-Architected Framework

22

AWS Well-

Architected

Framework

(AWS提供)

要件を整理

・想定するリスク

・ToBe

・その具体的な実現方法

社内ガイドライン

クラウドサービス利用指針

社内向け

レビュー

グループ会社

展開

AWSクラウドデザインパターンやBlackBelt等のAWSベストプラクティス

(AWS提供)

CIS等の第三者機関が公開しているベストプラクティス

OGIS

Well-Architected

Framework

社内ノウハウ

(過去or進行形の案件)

マスター タイトルの書式設定 OGIS Well-Architected Framework

23

マスター タイトルの書式設定 レビュー

24

『AWS Well-Architected Framework レビュープロセス』に則って実施

ディスカッション

より良いシステム作りのための相談会

非難しない、犯人を捜さない

マスター タイトルの書式設定

25

Q. 全てのベストプラクティスに

則ってないとダメなのか？

マスター タイトルの書式設定

26

A. いいえ

ベストプラクティスを理解した上で、

「ビジネス的な判断をする」ことが重要

レビューによりリスクや改善点の顕在化

https://www.slideshare.net/AmazonWebServicesJapan/20190130-aws-wellarchitected

マスター タイトルの書式設定

27

Q. どんな内容のディスカッションなのか？

マスター タイトルの書式設定

28

A. 次のセクションで玉邑がお話します

マスター タイトルの書式設定 自己紹介

29

オージス総研

玉邑 考史 （たまむら こうじ）

仕事：ITインフラエンジニア、クラウドアーキテクト

趣味：セキュリティ

アルティメットサイバーセキュリティクイズ大会 スタッフ

Hardening II Collective 出場

総サイLT 3回

情報処理安全確保支援士 （登録番号第015841号）

@KTamamu

マスター タイトルの書式設定 セキュリティの柱

30

クラウドだから

より大切

クラウドでも

変わらず大切

クラウドだから

より迅速に

インフラストラクチャ保護

データ保護

アイデンティティとアクセス管理

発見的統制

インシデント対応

マスター タイトルの書式設定

アイデンティティとアクセス管理

マスター タイトルの書式設定 今日一番伝えたいこと

32

クラウドでは

アイデンティティとアクセス管理が

最も重要 （もちろんセキュリティはトータルバランスなので、すべて重要だけど）

マスター タイトルの書式設定 なぜ一番重要？

33

従来のオンプレミスとクラウドの最も大きな違いは管理コンソール

クラウドではアクセス権限の失敗が命取りになる

Corporate data center

クラウドではインターネット上に 公開されたネットワーク上

Private subnet

Active Directory

vCenter

Corporate data center

オンプレミスでは境界で防御された プライベートネットワーク上

API

Web

マスター タイトルの書式設定 どう守る？

34

MFAしましょう（前回LT）

大切なのは最小権限であること

最小限のアクセス権限から開始し、必要に応じて追加のアクセス権限を付与します

必要最小範囲の役割を付与します

ユーザーの作業を実行できる最低限の特権をユーザーに付与することです

マスター タイトルの書式設定 最小権限の探求

35

AcceptReservedInstancesExchangeQuote AcceptTransitGatewayVpcAttachment AcceptVpcEndpointConnections AcceptVpcPeeringConnection AdvertiseByoipCidr AllocateAddress AllocateHosts ApplySecurityGroupsToClientVpnTargetNetwork

AssignIpv6Addresses AssignPrivateIpAddresses AssociateAddress AssociateClientVpnTargetNetwork AssociateDhcpOptions AssociateIamInstanceProfile AssociateRouteTable AssociateSubnetCidrBlock AssociateTransitGatewayRouteTable

AssociateVpcCidrBlock AttachClassicLinkVpc AttachInternetGateway AttachNetworkInterface AttachVolume AttachVpnGateway AuthorizeClientVpnIngress AuthorizeSecurityGroupEgress AuthorizeSecurityGroupIngress BundleInstance

CancelBundleTask CancelCapacityReservation CancelConversionTask CancelExportTask CancelImportTask CancelReservedInstancesListing CancelSpotFleetRequests CancelSpotInstanceRequests ConfirmProductInstance CopyFpgaImage

CopyImage CopySnapshot CreateCapacityReservation CreateClientVpnEndpoint CreateClientVpnRoute CreateCustomerGateway CreateDefaultSubnet CreateDefaultVpc CreateDhcpOptions CreateEgressOnlyInternetGateway CreateFleet

CreateFlowLogs CreateFpgaImage CreateImage CreateInstanceExportTask CreateInternetGateway CreateKeyPair CreateLaunchTemplate CreateLaunchTemplateVersion CreateNatGateway CreateNetworkAcl CreateNetworkAclEntry

CreateNetworkInterface CreateNetworkInterfacePermission CreatePlacementGroup CreateReservedInstancesListing CreateRoute CreateRouteTable CreateSecurityGroup CreateSnapshot CreateSnapshots CreateSpotDatafeedSubscription

CreateSubnet CreateTags CreateTransitGateway CreateTransitGatewayRoute CreateTransitGatewayRouteTable CreateTransitGatewayVpcAttachment CreateVolume CreateVpc CreateVpcEndpoint CreateVpcEndpointConnectionNotification

CreateVpcEndpointServiceConfiguration CreateVpcPeeringConnection CreateVpnConnection CreateVpnConnectionRoute CreateVpnGateway DeleteClientVpnEndpoint DeleteClientVpnRoute DeleteCustomerGateway DeleteDhcpOptions

DeleteEgressOnlyInternetGateway DeleteFleets DeleteFlowLogs DeleteFpgaImage DeleteInternetGateway DeleteKeyPair DeleteLaunchTemplate DeleteLaunchTemplateVersions DeleteNatGateway DeleteNetworkAcl DeleteNetworkAclEntry

DeleteNetworkInterface DeleteNetworkInterfacePermission DeletePlacementGroup DeleteRoute DeleteRouteTable DeleteSecurityGroup DeleteSnapshot DeleteSpotDatafeedSubscription DeleteSubnet DeleteTags DeleteTransitGateway

DeleteTransitGatewayRoute DeleteTransitGatewayRouteTable DeleteTransitGatewayVpcAttachment DeleteVolume DeleteVpc DeleteVpcEndpointConnectionNotifications DeleteVpcEndpointServiceConfigurations DeleteVpcEndpoints

DeleteVpcPeeringConnection DeleteVpnConnection DeleteVpnConnectionRoute DeleteVpnGateway DeprovisionByoipCidr DeregisterImage DescribeAccountAttributes DescribeAddresses DescribeAggregateIdFormat DescribeAvailabilityZones

DescribeBundleTasks DescribeByoipCidrs DescribeCapacityReservations DescribeClassicLinkInstances DescribeClientVpnAuthorizationRules DescribeClientVpnConnections DescribeClientVpnEndpoints DescribeClientVpnRoutes

DescribeClientVpnTargetNetworks DescribeConversionTasks DescribeCustomerGateways DescribeDhcpOptions DescribeEgressOnlyInternetGateways DescribeElasticGpus DescribeExportTasks DescribeFleetHistory DescribeFleetInstances

DescribeFleets DescribeFlowLogs DescribeFpgaImageAttribute DescribeFpgaImages DescribeHostReservationOfferings DescribeHostReservations DescribeHosts DescribeIamInstanceProfileAssociations DescribeIdFormat

DescribeIdentityIdFormat DescribeImageAttribute DescribeImages DescribeImportImageTasks DescribeImportSnapshotTasks DescribeInstanceAttribute DescribeInstanceCreditSpecifications DescribeInstanceStatus DescribeInstances

DescribeInternetGateways DescribeKeyPairs DescribeLaunchTemplateVersions DescribeLaunchTemplates DescribeMovingAddresses DescribeNatGateways DescribeNetworkAcls DescribeNetworkInterfaceAttribute

DescribeNetworkInterfacePermissions DescribeNetworkInterfaces DescribePlacementGroups DescribePrefixLists DescribePrincipalIdFormat DescribePublicIpv4Pools DescribeRegions DescribeReservedInstances DescribeReservedInstancesListings

DescribeReservedInstancesModifications DescribeReservedInstancesOfferings DescribeRouteTables DescribeScheduledInstanceAvailability DescribeScheduledInstances DescribeSecurityGroupReferences DescribeSecurityGroups

DescribeSnapshotAttribute DescribeSnapshots DescribeSpotDatafeedSubscription DescribeSpotFleetInstances DescribeSpotFleetRequestHistory DescribeSpotFleetRequests DescribeSpotInstanceRequests DescribeSpotPriceHistory

DescribeStaleSecurityGroups DescribeSubnets DescribeTags DescribeTransitGatewayAttachments DescribeTransitGatewayRouteTables DescribeTransitGatewayVpcAttachments DescribeTransitGateways DescribeVolumeAttribute

DescribeVolumeStatus DescribeVolumes DescribeVolumesModifications DescribeVpcAttribute DescribeVpcClassicLink DescribeVpcClassicLinkDnsSupport DescribeVpcEndpointConnectionNotifications DescribeVpcEndpointConnections

DescribeVpcEndpointServiceConfigurations DescribeVpcEndpointServicePermissions DescribeVpcEndpointServices DescribeVpcEndpoints DescribeVpcPeeringConnections DescribeVpcs DescribeVpnConnections DescribeVpnGateways

DetachClassicLinkVpc DetachInternetGateway DetachNetworkInterface DetachVolume DetachVpnGateway DisableEbsEncryptionByDefault DisableTransitGatewayRouteTablePropagation DisableVgwRoutePropagation DisableVpcClassicLink

DisableVpcClassicLinkDnsSupport DisassociateAddress DisassociateClientVpnTargetNetwork DisassociateIamInstanceProfile DisassociateRouteTable DisassociateSubnetCidrBlock DisassociateTransitGatewayRouteTable DisassociateVpcCidrBlock

EnableEbsEncryptionByDefault EnableTransitGatewayRouteTablePropagation EnableVgwRoutePropagation EnableVolumeIO EnableVpcClassicLink EnableVpcClassicLinkDnsSupport ExportClientVpnClientCertificateRevocationList

ExportClientVpnClientConfiguration ExportTransitGatewayRoutes GetConsoleOutput GetConsoleScreenshot GetEbsDefaultKmsKeyId GetEbsEncryptionByDefault GetHostReservationPurchasePreview GetLaunchTemplateData GetPasswordData

GetReservedInstancesExchangeQuote GetTransitGatewayAttachmentPropagations GetTransitGatewayRouteTableAssociations GetTransitGatewayRouteTablePropagations ImportClientVpnClientCertificateRevocationList ImportImage

ImportInstance ImportKeyPair ImportSnapshot ImportVolume ModifyCapacityReservation ModifyClientVpnEndpoint ModifyEbsDefaultKmsKeyId ModifyFleet ModifyFpgaImageAttribute ModifyHosts ModifyIdFormat ModifyIdentityIdFormat

ModifyImageAttribute ModifyInstanceAttribute ModifyInstanceCapacityReservationAttributes ModifyInstanceCreditSpecification ModifyInstanceEventStartTime ModifyInstancePlacement ModifyLaunchTemplate ModifyNetworkInterfaceAttribute

ModifyReservedInstances ModifySnapshotAttribute ModifySpotFleetRequest ModifySubnetAttribute ModifyTransitGatewayVpcAttachment ModifyVolume ModifyVolumeAttribute ModifyVpcAttribute ModifyVpcEndpoint

ModifyVpcEndpointConnectionNotification ModifyVpcEndpointServiceConfiguration ModifyVpcEndpointServicePermissions ModifyVpcPeeringConnectionOptions ModifyVpcTenancy ModifyVpnConnection MonitorInstances

MoveAddressToVpc ProvisionByoipCidr PurchaseHostReservation PurchaseReservedInstancesOffering PurchaseScheduledInstances RebootInstances RegisterImage RejectTransitGatewayVpcAttachment RejectVpcEndpointConnections

RejectVpcPeeringConnection ReleaseAddress ReleaseHosts ReplaceIamInstanceProfileAssociation ReplaceNetworkAclAssociation ReplaceNetworkAclEntry ReplaceRoute ReplaceRouteTableAssociation ReplaceTransitGatewayRoute

ReportInstanceStatus RequestSpotFleet RequestSpotInstances ResetEbsDefaultKmsKeyId ResetFpgaImageAttribute ResetImageAttribute ResetInstanceAttribute ResetNetworkInterfaceAttribute ResetSnapshotAttribute RestoreAddressToClassic

RevokeClientVpnIngress RevokeSecurityGroupEgress RevokeSecurityGroupIngress RunInstances RunScheduledInstances SearchTransitGatewayRoutes StartInstances StopInstances TerminateClientVpnConnections TerminateInstances

UnassignIpv6Addresses UnassignPrivateIpAddresses UnmonitorInstances UpdateSecurityGroupRuleDescriptionsEgress UpdateSecurityGroupRuleDescriptionsIngress WithdrawByoipCidr

マスター タイトルの書式設定 最小権限の探求

36

AcceptReservedInstancesExchangeQuote AcceptTransitGatewayVpcAttachment AcceptVpcEndpointConnections AcceptVpcPeeringConnection AdvertiseByoipCidr AllocateAddress AllocateHosts ApplySecurityGroupsToClientVpnTargetNetwork

AssignIpv6Addresses AssignPrivateIpAddresses AssociateAddress AssociateClientVpnTargetNetwork AssociateDhcpOptions AssociateIamInstanceProfile AssociateRouteTable AssociateSubnetCidrBlock AssociateTransitGatewayRouteTable

AssociateVpcCidrBlock AttachClassicLinkVpc AttachInternetGateway AttachNetworkInterface AttachVolume AttachVpnGateway AuthorizeClientVpnIngress AuthorizeSecurityGroupEgress AuthorizeSecurityGroupIngress BundleInstance

CancelBundleTask CancelCapacityReservation CancelConversionTask CancelExportTask CancelImportTask CancelReservedInstancesListing CancelSpotFleetRequests CancelSpotInstanceRequests ConfirmProductInstance CopyFpgaImage

CopyImage CopySnapshot CreateCapacityReservation CreateClientVpnEndpoint CreateClientVpnRoute CreateCustomerGateway CreateDefaultSubnet CreateDefaultVpc CreateDhcpOptions CreateEgressOnlyInternetGateway CreateFleet

CreateFlowLogs CreateFpgaImage CreateImage CreateInstanceExportTask CreateInternetGateway CreateKeyPair CreateLaunchTemplate CreateLaunchTemplateVersion CreateNatGateway CreateNetworkAcl CreateNetworkAclEntry

CreateNetworkInterface CreateNetworkInterfacePermission CreatePlacementGroup CreateReservedInstancesListing CreateRoute CreateRouteTable CreateSecurityGroup CreateSnapshot CreateSnapshots CreateSpotDatafeedSubscription

CreateSubnet CreateTags CreateTransitGateway CreateTransitGatewayRoute CreateTransitGatewayRouteTable CreateTransitGatewayVpcAttachment CreateVolume CreateVpc CreateVpcEndpoint CreateVpcEndpointConnectionNotification

CreateVpcEndpointServiceConfiguration CreateVpcPeeringConnection CreateVpnConnection CreateVpnConnectionRoute CreateVpnGateway DeleteClientVpnEndpoint DeleteClientVpnRoute DeleteCustomerGateway DeleteDhcpOptions

DeleteEgressOnlyInternetGateway DeleteFleets DeleteFlowLogs DeleteFpgaImage DeleteInternetGateway DeleteKeyPair DeleteLaunchTemplate DeleteLaunchTemplateVersions DeleteNatGateway DeleteNetworkAcl DeleteNetworkAclEntry

DeleteNetworkInterface DeleteNetworkInterfacePermission DeletePlacementGroup DeleteRoute DeleteRouteTable DeleteSecurityGroup DeleteSnapshot DeleteSpotDatafeedSubscription DeleteSubnet DeleteTags DeleteTransitGateway

DeleteTransitGatewayRoute DeleteTransitGatewayRouteTable DeleteTransitGatewayVpcAttachment DeleteVolume DeleteVpc DeleteVpcEndpointConnectionNotifications DeleteVpcEndpointServiceConfigurations DeleteVpcEndpoints

DeleteVpcPeeringConnection DeleteVpnConnection DeleteVpnConnectionRoute DeleteVpnGateway DeprovisionByoipCidr DeregisterImage DescribeAccountAttributes DescribeAddresses DescribeAggregateIdFormat DescribeAvailabilityZones

DescribeBundleTasks DescribeByoipCidrs DescribeCapacityReservations DescribeClassicLinkInstances DescribeClientVpnAuthorizationRules DescribeClientVpnConnections DescribeClientVpnEndpoints DescribeClientVpnRoutes

DescribeClientVpnTargetNetworks DescribeConversionTasks DescribeCustomerGateways DescribeDhcpOptions DescribeEgressOnlyInternetGateways DescribeElasticGpus DescribeExportTasks DescribeFleetHistory DescribeFleetInstances

DescribeFleets DescribeFlowLogs DescribeFpgaImageAttribute DescribeFpgaImages DescribeHostReservationOfferings DescribeHostReservations DescribeHosts DescribeIamInstanceProfileAssociations DescribeIdFormat

DescribeIdentityIdFormat DescribeImageAttribute DescribeImages DescribeImportImageTasks DescribeImportSnapshotTasks DescribeInstanceAttribute DescribeInstanceCreditSpecifications DescribeInstanceStatus DescribeInstances

DescribeInternetGateways DescribeKeyPairs DescribeLaunchTemplateVersions DescribeLaunchTemplates DescribeMovingAddresses DescribeNatGateways DescribeNetworkAcls DescribeNetworkInterfaceAttribute

DescribeNetworkInterfacePermissions DescribeNetworkInterfaces DescribePlacementGroups DescribePrefixLists DescribePrincipalIdFormat DescribePublicIpv4Pools DescribeRegions DescribeReservedInstances DescribeReservedInstancesListings

DescribeReservedInstancesModifications DescribeReservedInstancesOfferings DescribeRouteTables DescribeScheduledInstanceAvailability DescribeScheduledInstances DescribeSecurityGroupReferences DescribeSecurityGroups

DescribeSnapshotAttribute DescribeSnapshots DescribeSpotDatafeedSubscription DescribeSpotFleetInstances DescribeSpotFleetRequestHistory DescribeSpotFleetRequests DescribeSpotInstanceRequests DescribeSpotPriceHistory

DescribeStaleSecurityGroups DescribeSubnets DescribeTags DescribeTransitGatewayAttachments DescribeTransitGatewayRouteTables DescribeTransitGatewayVpcAttachments DescribeTransitGateways DescribeVolumeAttribute

DescribeVolumeStatus DescribeVolumes DescribeVolumesModifications DescribeVpcAttribute DescribeVpcClassicLink DescribeVpcClassicLinkDnsSupport DescribeVpcEndpointConnectionNotifications DescribeVpcEndpointConnections

DescribeVpcEndpointServiceConfigurations DescribeVpcEndpointServicePermissions DescribeVpcEndpointServices DescribeVpcEndpoints DescribeVpcPeeringConnections DescribeVpcs DescribeVpnConnections DescribeVpnGateways

DetachClassicLinkVpc DetachInternetGateway DetachNetworkInterface DetachVolume DetachVpnGateway DisableEbsEncryptionByDefault DisableTransitGatewayRouteTablePropagation DisableVgwRoutePropagation DisableVpcClassicLink

DisableVpcClassicLinkDnsSupport DisassociateAddress DisassociateClientVpnTargetNetwork DisassociateIamInstanceProfile DisassociateRouteTable DisassociateSubnetCidrBlock DisassociateTransitGatewayRouteTable DisassociateVpcCidrBlock

EnableEbsEncryptionByDefault EnableTransitGatewayRouteTablePropagation EnableVgwRoutePropagation EnableVolumeIO EnableVpcClassicLink EnableVpcClassicLinkDnsSupport ExportClientVpnClientCertificateRevocationList

ExportClientVpnClientConfiguration ExportTransitGatewayRoutes GetConsoleOutput GetConsoleScreenshot GetEbsDefaultKmsKeyId GetEbsEncryptionByDefault GetHostReservationPurchasePreview GetLaunchTemplateData GetPasswordData

GetReservedInstancesExchangeQuote GetTransitGatewayAttachmentPropagations GetTransitGatewayRouteTableAssociations GetTransitGatewayRouteTablePropagations ImportClientVpnClientCertificateRevocationList ImportImage

ImportInstance ImportKeyPair ImportSnapshot ImportVolume ModifyCapacityReservation ModifyClientVpnEndpoint ModifyEbsDefaultKmsKeyId ModifyFleet ModifyFpgaImageAttribute ModifyHosts ModifyIdFormat ModifyIdentityIdFormat

ModifyImageAttribute ModifyInstanceAttribute ModifyInstanceCapacityReservationAttributes ModifyInstanceCreditSpecification ModifyInstanceEventStartTime ModifyInstancePlacement ModifyLaunchTemplate ModifyNetworkInterfaceAttribute

ModifyReservedInstances ModifySnapshotAttribute ModifySpotFleetRequest ModifySubnetAttribute ModifyTransitGatewayVpcAttachment ModifyVolume ModifyVolumeAttribute ModifyVpcAttribute ModifyVpcEndpoint

ModifyVpcEndpointConnectionNotification ModifyVpcEndpointServiceConfiguration ModifyVpcEndpointServicePermissions ModifyVpcPeeringConnectionOptions ModifyVpcTenancy ModifyVpnConnection MonitorInstances

MoveAddressToVpc ProvisionByoipCidr PurchaseHostReservation PurchaseReservedInstancesOffering PurchaseScheduledInstances RebootInstances RegisterImage RejectTransitGatewayVpcAttachment RejectVpcEndpointConnections

RejectVpcPeeringConnection ReleaseAddress ReleaseHosts ReplaceIamInstanceProfileAssociation ReplaceNetworkAclAssociation ReplaceNetworkAclEntry ReplaceRoute ReplaceRouteTableAssociation ReplaceTransitGatewayRoute

ReportInstanceStatus RequestSpotFleet RequestSpotInstances ResetEbsDefaultKmsKeyId ResetFpgaImageAttribute ResetImageAttribute ResetInstanceAttribute ResetNetworkInterfaceAttribute ResetSnapshotAttribute RestoreAddressToClassic

RevokeClientVpnIngress RevokeSecurityGroupEgress RevokeSecurityGroupIngress RunInstances RunScheduledInstances SearchTransitGatewayRoutes StartInstances StopInstances TerminateClientVpnConnections TerminateInstances

UnassignIpv6Addresses UnassignPrivateIpAddresses UnmonitorInstances UpdateSecurityGroupRuleDescriptionsEgress UpdateSecurityGroupRuleDescriptionsIngress WithdrawByoipCidr

Amazon EC2 で定義されるアクション

３３８個

マスター タイトルの書式設定 最小権限の探求

37

できるところから始める

人の最小権限

AWS管理ポリシーとブラックリスト運用

アクセスキーは削除する

プログラムの最小権限

ホワイトリスト運用

マネジメントコンソールのパスワードは無効化する

※ IAMの権限を制限する

パスワード変更とMFA設定のみを許可する。 佐々木 拓郎 著 (2019).

AWSの薄い本 IAMのマニアックな話 (BOOTH）

https://booth.pm/ja/items/1563844

マスター タイトルの書式設定

発見的統制

マスター タイトルの書式設定 権限だけではない対策

39

管理権限を持った人が内部犯行したらどうする？

アプリケーションの仕様上、重要な権限を持っている場合どうする？

https://www.ipa.go.jp/files/000051140.pdf

マスター タイトルの書式設定 発見的統制

40

1. クラウド上のログを有効にする

2. 重要なリソースの変更を監視する

CIS Amazon Web Services Benchmarks

CIS Microsoft Azure Foundations Security Benchmark

CIS Benchmark for Google Cloud Computing Platform

Stackdriver Cloud Audit

Logging

AWS CloudTrail AWS Config Azure Monitor

AWS Security Hub

マスター タイトルの書式設定

インフラストラクチャ保護

マスター タイトルの書式設定 インフラストラクチャ保護

42

ネットワークセキュリティは変わらず大切だが、従来のセグメントによる管理だけではなく、境界のセキュリティグループで管理することが一般的

インターネットサービスとして利用されるケースが多く、またVPC権限があればすぐにインターネットGWをアタッチできる

例えばネットワークは中央集権的にしていたのが、クラウドでは各システム単位でインターネットアクセスを制御できてしまう

権限が大切なことが改めてわかる

NW管理者 開発者

境界FWによる管理

開発者 NW管理者

VPCによる管理

マスター タイトルの書式設定

データ保護

マスター タイトルの書式設定 データ保護

44

データ分類

データを分類し、保存方法や保護レベルを決める

データを識別するためのタグ付けの有効利用

保存中データの保護

サーバサイド暗号化とクライアントサイド暗号化

サーバサイド暗号化は標準で有効にしておく

重要データとして暗号化したいものはクライアントサイドでの実装が必要だが、鍵管理は十分に注意が必要

転送中データの保護

通信経路の暗号化

マネージド証明書管理の活用

マスター タイトルの書式設定

インシデント管理

マスター タイトルの書式設定 インシデント管理

46

セキュリティインシデント発生時には被害拡大の防止と証拠保全を最優先に行う

問題発生時の封じ込めを自動化しておく

インスタンスの停止

アカウントの停止

鍵の無効化

クラウドは自動化との親和性が高い（Infrastructure as Code）

Cloud Formation (AWS)

Azure Resource Manager (Azure)

Cloud Deployment Manager (GCP)

すぐに外部専門業者の⼒を借りる → コミュニティを通してつながりを

マスター タイトルの書式設定

まとめ

マスター タイトルの書式設定 まとめ

48

Well-Architected Frameworkはクラウドのベストプラクティス

全てのベストプラクティスに則るのが目的ではなく、リスクを知り、自分のシステムの現在地を把握するためのもの

自組織にフィットするWell-Architectedを作る

できるところから始めて継続的にチェックすることが大切

クラウドでは権限管理が非常に重要

もちろんその他の要素も重要

クラウドと自動化の親和性は高いので最大限に活用する

マスター タイトルの書式設定

ご清聴ありがとうございました