© 2019, Amazon Web Services, Inc. or its affiliates. All rights reserved.
ビジネスの成長を支えるAWSクラウドセキュリティ
桐山隼人
アマゾンウェブサービスジャパン
シニアセキュリティソリューションアーキテクト
Twitter ハッシュタグ #AWSInnovate
© 2019, Amazon Web Services, Inc. or its affiliates. All rights reserved.
1. なぜクラウドセキュリティが重要なのか
2. クラウドセキュリティとは何か
3. どのようにクラウドセキュリティへ移行するか
本日の内容
© 2019, Amazon Web Services, Inc. or its affiliates. All rights reserved.
© 2019, Amazon Web Services, Inc. or its affiliates. All rights reserved.
2016/12/8 Ver. 1.1
「経営戦略としてのセキュリティ投資は必要不可欠かつ経営者としての責務である」
2015/12/28 Ver. 1.0
「セキュリティ投資に対するリターンの算出はほぼ不可能であり、セキュリティ投資をしようという話は積極的に上がりにくい」
サイバーセキュリティ経営ガイドライン(経済産業省)
http://www.meti.go.jp/policy/netsecurity/mng_guide.html
2017/11/16 Ver. 2.0
「社会に対して損害を与えてしまった場合、経営責任や法的責任が問われる可能性がある」「サプライチェーン全体の対策及び状況把握」
サイバーセキュリティ経営ガイドラインの変遷コストから投資へ、事業価値から社会価値へ
© 2019, Amazon Web Services, Inc. or its affiliates. All rights reserved.
正当性と説明力 統制と管理エコシステム構築
外部環境 内部環境パートナー環境
ステークホルダーの多様化
企業買収・合弁リストラクチャ
サプライチェーンの分業と統合
事業環境の変化ビジネスセキュリティに求められるもの
© 2019, Amazon Web Services, Inc. or its affiliates. All rights reserved.
ビジネスセキュリティとは、組織の中の様々な事業活動が滞りなく循環し、ダイナミックな平衡状態を保つこと
セキュリティインシデントにより瞬間的に平衡状態が崩れても、再び平衡を取り戻す「変化に適応する」組織を作る
ビジネスセキュリティの目標(仮説)
© 2019, Amazon Web Services, Inc. or its affiliates. All rights reserved.
データセンター
ストレージ機器
サーバー
サービス化
必要な時に、必要なだけ、低価格で予め大規模に投資し準備する
実際の使用分のみ支払い
市場投入と俊敏性の改善
初期投資不要
スピード 容易なスケールアップ&ダウン
低額の変動費
クラウドサービスとは
© 2019, Amazon Web Services, Inc. or its affiliates. All rights reserved.
急成長やM&A 予測できないピーク
キャパシティ不足:機会損失
余剰キャパシティ余剰キャパシティ
ITキャパシティ(オンプレミスの場合)
© 2019, Amazon Web Services, Inc. or its affiliates. All rights reserved.
急成長やM&A 予測できないピーク
IT余剰と不足からの解放IT余剰からの解放
サイジングからの解放
ITキャパシティ(クラウドの場合)
© 2019, Amazon Web Services, Inc. or its affiliates. All rights reserved.
財務リスク
機会損失リスク
セキュリティリスク
従量課金変動費化
リードタイム短縮技術革新追随
可用性・可視性・監査性
事業ダウンサイドリスクへの備え
事業アップサイドリスクの最大化
事業環境変化への適応
クラウドとリスク管理
© 2019, Amazon Web Services, Inc. or its affiliates. All rights reserved.
従来型のセキュリティ クラウド時代のセキュリティ
考え方 投資対効果(ROI)を追求 変化への適応を追求
イメージ
0 1 2 3 4変化するセキュリティリスク
最適なセキュリティレベル
変化適応のためのクラウドセキュリティ
© 2019, Amazon Web Services, Inc. or its affiliates. All rights reserved.
© 2019, Amazon Web Services, Inc. or its affiliates. All rights reserved.
責任共有モデル https://aws.amazon.com/jp/compliance/shared-responsibility-model/
責任共有モデル
© 2019, Amazon Web Services, Inc. or its affiliates. All rights reserved.
Security of Cloud Security in Cloud Security by Cloud
クラウド環境自体のセキュリティ
クラウド内にあるアプリやデータのセキュリティ
クラウドネイティブ技術によるセキュリティ
データセンターやシステムの物理統制をする人
既存(オンプレ)統制をクラウド上でも実現したい人
より良いビジネスセキュリティを実現したい人
クラウドセキュリティの種類役割によって異なる関心範囲
© 2019, Amazon Web Services, Inc. or its affiliates. All rights reserved.
可用性 可視性 監査性
事業継続の要 事業計画の要 事業責任の要
クラウドセキュリティの特長
© 2019, Amazon Web Services, Inc. or its affiliates. All rights reserved.
内閣サイバーセキュリティセンター(NISC)「2020年及びその後を見据えたサイバーセキュリティの在り方について-サイバーセキュリティ戦略中間レビュー-」(2017年7月13日)より抜粋
2016年9月20日 Krebs on SecurityのWebサイトに過去最大の665GbpsのDDoS攻撃
2016年10月21日 Dyn Managed DNSがDDoS攻撃により停止。Netflix, Twitter, Spotify, GitHubなどが一時使用不能に
「IoTボットネットによるDDoS脅威は今後も増大する」と明記される
可用性DDoS脅威の増大
© 2019, Amazon Web Services, Inc. or its affiliates. All rights reserved.
入口対策 出口対策
データ侵害
ランサムウェア
DDoS攻撃
企業に侵入し機密情報を不正に取得入口対策と出口対策を要突破取得した情報を売却
企業内データを暗号化し身代金要求入口対策を要突破ビットコインによる身代金受取
企業の公開サーバーをサービス停止にいつでも攻撃可能ランサムDDoSという形態の登場攻撃者が最も楽に利益を得る手段
可用性金銭目的の脅威の変化
© 2019, Amazon Web Services, Inc. or its affiliates. All rights reserved.
これまでのDDoS保護経験に基づくL3/L4自動緩和システム
エッジロケーションの前に
インラインで配置され、
すべての着信パケットを検査
DDoS攻撃の96%を自動軽減
追加設定や手数料なし
CloudFrontRoute 53DDoS攻撃
自動緩和システム
インフラ層に対するDDoS保護 – AWS Shield
クラウドのキャパシティを活かしたDDoS対策
AWS Cloud
Region
VPC
Edge Location
CloudFrontRoute 53
AWS Shield
© 2019, Amazon Web Services, Inc. or its affiliates. All rights reserved.
AWS Shield
AWS Shield > Global Threat Environment 画面
© 2019, Amazon Web Services, Inc. or its affiliates. All rights reserved.
• WAFパートナーが管理するマネージドルールを利用することで、ウェブアプリやAPIの保護を即座に開始することができるように
• 現時点でAlert Logic, Fortinet, Imperva, Trend Micro, TrustWaveなどセキュリティのエキスパートがルールを提供
• AWS Marketplaceを通じて調達でき、従量制の料金で利用可能。長期契約は必要ない
AWS WAFのマネージドルール https://aws.amazon.com/mp/security/WAFManagedRules/
アプリ層に対する防御 – AWS WAF Managed Rules
専門的なWAFルールをすぐに利用可能AWS WAF
© 2019, Amazon Web Services, Inc. or its affiliates. All rights reserved.
脅威 脆弱性 情報資産Threats Vulnerabilities Assets
標的型攻撃マルウェアサイバー攻撃
セキュリティホール設定ミス心理的要素
機密情報個人情報知的財産
可視性セキュリティリスクの方程式
© 2019, Amazon Web Services, Inc. or its affiliates. All rights reserved.
リスク分析
情報資産分析脆弱性分析脅威分析
✓異常検知✓脅威インテリジェンス
✓脆弱性診断✓ベンチマーク評価
✓ユーザー振る舞い分析✓情報漏洩防止
リスクの分析と可視化
AWS Security Hub
Amazon MacieAmazon GuardDuty Amazon Inspector
© 2019, Amazon Web Services, Inc. or its affiliates. All rights reserved.
悪意のあるスキャン
インスタンスへの脅威
アカウントへの脅威
HIGH
MEDIUM
LOW
検知結果データソース脅威の種類
・ポートスキャン・総当たり攻撃
・C&Cサーバーとの通信・アウトバウンドDDoS
・不正なAPIの呼び出し・予期しないリソースアクセス
継続的監視と脅威検知 – Amazon GuardDuty
機械学習を用いたクラウドネイティブな脅威検知サービスAmazon GuardDuty
AWS Cloud
VPC Flow logs(ネットワークログ)
DNS Logs(DNSクエリログ)
AWS CloudTrail(API操作ログ)
Amazon GuardDuty
© 2019, Amazon Web Services, Inc. or its affiliates. All rights reserved.
CVEルールに基づいた脆弱性診断結果画面
• ホスト型脆弱性診断サービス
• CVE(共通脆弱性識別子)やCIS業界ベンチマークに基づいたリスク評価
• エグゼクティブサマリー含めた評価レポート
プラットフォーム脆弱性分析 – Amazon Inspector
API連携によって開発運用プロセスにリスク評価を統合Amazon Inspector
Amazon Inspector
© 2019, Amazon Web Services, Inc. or its affiliates. All rights reserved.
• 継続的監視によりデータ漏えいや不正アクセスを検知
• 個人特定情報 (PII)、個人医療情報 (PHI)、知的財産 (IP)、ソースコード、認証情報などの機密データを識別
• ユーザー振る舞い分析により、リスクの高い不審なアクティビティを特定
S3に保存データの分類と可視化
CloudTrailイベントの時系列表示
事業価値のあるデータを保護 – Amazon Macie
情報漏えい防止(DLP) + ユーザー振る舞い分析(UEBA)Amazon Macie
© 2019, Amazon Web Services, Inc. or its affiliates. All rights reserved.
リスク分析ダッシュボード – AWS Security Hub
AWS環境のセキュリティ・コンプライアンス状態を可視化AWS Security Hub 管理コンソール画面
Amazon
Macie
Amazon
Inspector
Amazon
GuardDuty
Compliance
Check
AWS Security Hub
© 2019, Amazon Web Services, Inc. or its affiliates. All rights reserved.
監査性
• 徹底して行う。定期的に使用しないものを含め、セキュリティ設定のあらゆる面について調べます。
• 推測しない。セキュリティ設定のある面(例: 特定のポリシーやロールの存在の背後にある根拠) が良くわからない場合、満足するまでビジネスニーズを調査します。
• 作業を単純にする。監査 (および管理) を容易にするために、IAM グループ、一貫した命名スキーム、単純なポリシーを使用します。
AWS セキュリティ監査のガイドライン https://docs.aws.amazon.com/ja_jp/general/latest/gr/aws-security-audit-
guide.html
監査のための一般的なガイドライン
© 2019, Amazon Web Services, Inc. or its affiliates. All rights reserved.
レポート項目• ユーザーの作成日時• 最後にパスワードが使われた日時• 最後にパスワードが変更された日時• MFAを利用しているか• Access KeyがActiveか• Access Keyのローテートした日時• Access Keyを最後に使用した日時• Access Keyを最後に利用したAWS
サービス• 証明書はActiveか• 証明書のローテートした日時
AWS IAMの認証情報レポート画面
ポリシーに基づいたアカウント管理と確認
ユーザーアカウントの認証レポート – AWS IAMAWS Identity and Access
Management (IAM)
© 2019, Amazon Web Services, Inc. or its affiliates. All rights reserved.
Tag Scaleup
”ユーザーアクティビティ“ を切り口に時系列ベースでロギング
AWSサービスに対する各種APIログ取得
ユーザー活動履歴の監査ログ – AWS CloudTrailAWS CloudTrail
AWS CloudTrail
© 2019, Amazon Web Services, Inc. or its affiliates. All rights reserved.
AWS Managed Rules
Customer Managed Rules自分でAWS Lambdaをベースにルールを作成可能
評価ルール
Event-Based Evaluations• 関連リソースが作成、変更された際にルール
の評価が実行される例) 新規で作成するEC2にタグ付けされているかの評価
Periodic Evaluations• 任意のタイミング• AWS Config が構成スナップショットを取る
際にルールの評価が実施される例) CloudTrailが有効になっているかどうかの評価
評価実行タイミング
準拠すべきルールに基づいたリソース構成の評価
セキュリティルール適合評価 – AWS Config RulesAWS Config
© 2019, Amazon Web Services, Inc. or its affiliates. All rights reserved.
スタック
テンプレート
CloudFormation
• AWSリソースの環境構築を設定ファイル(テンプレート)を基に自動化
• テンプレートに起動すべきリソースの情報をJSONやYAML形式で記述
• セキュリティ要件を満たす上で必須の設定が入った構成を再現できる
テンプレートに基づき各リソースが起動&構成
設計時におけるセキュリティの組み込みと強制
インフラのコード化 – AWS CloudFormationAWS CloudFormation
AWS Identity and Access
Management (IAM)AWS CloudTrail AWS Config
© 2019, Amazon Web Services, Inc. or its affiliates. All rights reserved.
© 2019, Amazon Web Services, Inc. or its affiliates. All rights reserved.
お客様のコアビジネスにフォーカスする※サーバーの構築やインフラの管理から解放する
セキュリティを強化する※セキュリティ・コンプライアンス要件の対応、規模の経済による継続的なセキュリティの強化・投資
イノベーションを加速する※ビジネスアジリティを向上することによって競争上の優位性を固める
クラウドを活用する事で享受できる価値
© 2019, Amazon Web Services, Inc. or its affiliates. All rights reserved.
デジタルトランスフォーメーション
ITトランスフォーメーション
• 新しい顧客体験• 革新的な製品やサービスの創造
• 新ビジネスモデルへの移行
• IoT, AI, モバイル等新しい技術の応用
• トライ&エラー…
• 本業に集中• ITコスト削減• グローバル展開、
BCP等の付加価値• セキュリティ• システム堅牢性向上
クラウドが加速する2つの変革
© 2019, Amazon Web Services, Inc. or its affiliates. All rights reserved.
脅威環境サイバー
セキュリティNew Edgeでのセキュリティ
セキュリティ専門チームと組織文化
全ての要素がデジタルスピードで変化
Operational Technology
Connected Things
Threat Intelligence
Continuous Security
Cloud/SaaS
BYOD/IdentityCISO/CSIRT
DevSecOps
デジタルトランスフォーメーション(DX)時代のセキュリティ
© 2019, Amazon Web Services, Inc. or its affiliates. All rights reserved.
DX時代の新しいセキュリティ技術領域
各種センサー
各種クライアント
各種モバイルデバイス
Amazon S3
AWS Lambda
各種IoT GWサーバー
Amazon QuickSight
Amazon Redshift
AWS
Glue
Amazon SageMaker
IoTセキュリティデータレイクセキュリティ
サーバーレスセキュリティ
ITインフラストラクチャセキュリティ
デジタルセキュリティトランスフォーメーション
ITセキュリティトランスフォーメーション
カタログデータ
Amazon
Glacier
アーカイブデータ
サーバーレスコンピューティング
データウェアハウス
ビジネスインテリジェンス
機械学習
AWS Dev Day Tokyo 2018 セキュリティセッション & ワークショップ開催レポート
https://aws.amazon.com/jp/blogs/news/aws-dev-day-tokyo-2018-security/
© 2019, Amazon Web Services, Inc. or its affiliates. All rights reserved.
Value
Time
技術的負債の返済
クラウドネイティブ
クラウドへ単純移行し、過去の技術的負債を返済する
クラウド最適なシステムを構築し、イノベーションを加速する
FOUNDATION MIGRATION REINVENTIONPROJECT
AWS Cloud Enterprise Strategy Blog - The Journey Toward Cloud-First & the Stages of Adoptionhttps://aws.amazon.com/jp/blogs/enterprise-strategy/the-journey-toward-cloud-first-the-stages-of-adoption/
基礎を固めながら小さな成功を積み重ねる
限られたヒトが多くの経験を積む
全社的に利用しビジネス効果を享受
クラウドを最大活用しビジネス効果を最大化
クラウドへの移行と技術的負債
© 2019, Amazon Web Services, Inc. or its affiliates. All rights reserved.
オンプレ環境でFWを導入運用
クラウド環境にFW仮想アプライアンス導入運用
Level 1
クラウドネイティブなセキュリティへ
© 2019, Amazon Web Services, Inc. or its affiliates. All rights reserved.
オンプレ環境でFWを導入運用
クラウド環境にFW仮想アプライアンス導入運用
境界とは?(GW/内部NW/EP)
フィルタしたいものとは?ゾーニングと侵入保護
Level 1
Level 2
抽象化
境界で通信パケットフィルタリング
クラウドネイティブなセキュリティへ
© 2019, Amazon Web Services, Inc. or its affiliates. All rights reserved.
オンプレ環境でFWを導入運用
クラウド環境にFW仮想アプライアンス導入運用
境界で通信パケットフィルタリング
境界とは?(GW/内部NW/EP)
フィルタしたいものとは?ゾーニングと侵入保護
不正通信の検知とブロック・無害化
不正とは?本当の境界とは?振る舞い分析・異常検知・Software Defined Perimeter・
”Identity Is Next Perimeter”
Level 1
Level 2
Level 3
抽象化
抽象化
クラウドネイティブなセキュリティへ
© 2019, Amazon Web Services, Inc. or its affiliates. All rights reserved.
Security at
Scale
Continuous
Security
Security as
Code
セキュリティトランスフォーメーションの原則
クラウドの特長を活かしてセキュリティも変革
可用性 可視性 監査性
© 2019, Amazon Web Services, Inc. or its affiliates. All rights reserved.
まとめ
1. 事業変化適応にクラウドセキュリティが不可欠
2. 事業継続(可用性)・事業計画(可視性)・事業責任(監査性)の要となるクラウドセキュリティ
3. Security at Scale, Continuous Security, Security as Codeの原則に基づきセキュリティトランスフォーメーションを実現する
© 2019, Amazon Web Services, Inc. or its affiliates. All rights reserved.
その他の日本語資料 で検索AWS 資料
Thank you!
© 2019, Amazon Web Services, Inc. or its affiliates. All rights reserved.
桐山隼人
#AWSInnovate