[2020年版]AWSセキュリティのための10のことが発表されました # reinvent

こんにちは、臼田です。

みなさん、AWSセキュリティやってますか？(挨拶

今回は開催中のre:Invent 2020にて発表された「AWSセキュリティのための10のこと」最新版について紹介します。

前置き

「AWSセキュリティのための10のこと」は実は昨年行われたre:Invent 2019にてAWSのCISOであるスティーブ・シュミット氏が発表していました。

その時の内容は以下AWSブログでも紹介されています。

AWS アカウントのセキュリティを改善するための 10 個の項目 | Amazon Web Services ブログ

上記では「AWSアカウントのセキュリティを改善するための10個の項目」というタイトルですが、長いので私は「AWSセキュリティのための10のこと」と勝手に表現しました。決して公式の表現ではないのでご容赦を。

で、上記は以下の10項目になっています。

1. アカウント情報を正しく保つ
2. 多要素認証 (MFA) を利用する
3. シークレットをハードコードしない
4. セキュリティグループに制限をかける
5. 明確なデータポリシーを持つ
6. CloudTrail ログの集約化
7. IAM ロールを確認する
8. Findings / 結果に対してアクションをとる（GuardDutyのみではありません）
9. キーをローテーションする
10. 開発サイクルに参加する

大半が戦術的なもの、5,10は戦略的なものです。(注: 上記図は2020年のセッション資料です)

上記に上がっている内容も非常に大事ですが、1年が経ってこの内容がガラッと変わりました。

2020年版 AWSセキュリティのための10のこと

re:Invent 2020で行われたセキュリティ系のリーダーシップセッションであるAWS security: Where we’ve been, where we’re goingにて、最新の「AWSセキュリティのための10のこと」が発表されました。以下の内容です。(内容を聞いた上での私なりの翻訳なのでご了承下さい)

1. AWS Organizationsを利用する
2. (セキュリティサービスを駆使して)使用状況を理解する(改善する)
3. 暗号サービスを利用する(通信経路・保管時の暗号化をする、全てを暗号化する)
4. 人のアクセスのためにフェデレーションを利用する(新規・既存のユーザーDBとSSOする)
5. 全てのS3でブロックパブリックアクセスを利用する
6. エッジを保護する(CloudFront / WAF / Shieldなど)
7. パッチを適用する(セキュリティの野菜！)
8. 多層防御する(内部が緩いのもだめ)
9. 透明性のあるリーダーシップ(ビジネスを阻害しないセキュリティを実践する)
10. 様々な採用とトレーニングを行う(セキュリティ人材へ投資する)

違いとしては2019年版よりも戦略的なものが2 -> 3と少し増えたのと、細かい基礎的な話ではなくてより大きな部分にフォーカスがあたっていると私は感じました。

いくつか解説したいと思います。

AWS Organizationsの利用

AWS環境では環境の分離レベルの選択が、昔から環境を作る上での考慮点の一つでした。

AWSアカウント自体を分離する方法は一番環境を分離できる代わりに管理が大変でした。しかしながら最近はAWS Organizationsを利用することにより、最高の分離レベルを保ちつつAWSアカウント群全体を管理するための様々な機能が、AWS Organizationsによって提供されています。

アカウントをまとめて費用を一括で管理するだけでなく、AWS SSOによるシングルサインオンやSCPによるアカウント全体へのセキュリティポリシーの適用、RAMによるリソースの共有など強力な機能がたくさんあり、AWS Organizationsを利用することによるメリットはかなり大きくなっています。

これを利用するために「4. 人のアクセスのためにフェデレーションを利用する(新規・既存のユーザーDBとSSOする)」も言及されていて、OktaやActive Directory, Azure ADとの連携なども言及されていました。

パッチを適用する(セキュリティの野菜！)

最近彼のお気に入りなのか、先日行われたAWS Security Roadshow Japan 2020でも同じ話がありましたが、パッチの管理をセキュリティの野菜という表現をされています。

これは、パッチ管理は絶対にやらなければいけないもの、ということで、野菜も嫌でも食べなければいけないものだ、という感じの文脈で語られています。(野菜が嫌かは個人の主観にかなり依存しそうですが…)

パッチ管理を怠ると危険ですから、毎日食べ続けましょう！

セキュリティのリーダーシップと投資の話

セキュリティチームではメンバー全員がリーダーシップをもって、ビジネスを阻害しない、周りのチームと協力してより高いセキュリティを簡単に実現できるように取り組むことを求めている話から、よくお客様とセキュリティの話をする際に使う質疑の文言を紹介しています。

また、セキュリティに対する教育や投資、コミュニティとの関係性についても言及しています。

まとめ

セキュリティというものは、考える幅も広く取り組んでいくことが大変な課題です。AWS上でも、2019と2020の10のことを比べても幅の広さが伝わると思います。

今回の10のことはより幅広い範囲のAWSセキュリティにフォーカスを当てていると思いますので、リーダーシップを持った人がAWSのセキュリティに取り組むために参考にできる部分は多いと思います。

それぞれ詳細な内容や考え方については実際のセッションで確認しましょう。ゼロトラストやセキュリティの新機能についても説明があります。

AWS security: Where we’ve been, where we’re going