[Breakout Session] AWS コンプライアンスと監査サービスのカスタマイズ方法 #AWSreInvent #COP209

アノテーション 構築チームのいたくらです。
「How to customize AWS compliance and auditing services」に参加してきました。
本ブログではそのレポートをお届けします。

セッション情報

• セッション ID : COP209
• タイトル: How to customize AWS compliance and auditing services
• スピーカー: Brad Gilomen, Suchita Verma, Todd Snyder (Arctic Wolf)
• レベル: 200 - Intermediate

セッションの概要

Security operations, compliance, and auditing can be challenging to set up, especially in a way that makes it easy to visualize, manage, and respond to everything happening. And sometimes using fully managed services can help reduce risk but limit innovation. See how to use AWS Config, through AWS Security Hub, AWS CloudTrail Lake, and AWS Control Tower to set up an environment that sets you up for operational and compliance success.

訳: セキュリティ運用、コンプライアンス、監査は、特に、起こっていることすべてを簡単に可視化し、管理し、対応できるように設定するのが難しい場合がある。また、フルマネージドサービスを利用することで、リスクは低減できてもイノベーションが制限されることもあります。AWS Security Hub、AWS CloudTrail Lake、AWS Control Tower を通じて AWS Config を使用し、運用とコンプライアンスを成功に導く環境を設定する方法をご覧ください。

学べること

• コンプライアンスと監査のために AWS サービスをカスタマイズする方法

セッション内容

Arctic Wolf 社がコンプライアンスとセキュリティのために導入しているソリューションの具体例を交えながら、AWS Control Tower や AWS Config、AWS CloudTrail などの使い方を紹介する、という流れで進みました。
ポイントを絞って内容を以下にまとめてみました。

Todd Snyder 氏（Arctic Wolf 社）のお話

• コンプライアンスやセキュリティ面を考えて 180 以上のアカウントを管理する必要があった
• 以前までは Python を使用してアカウントのセットアップを実施していた
• 昨年、既存の組織を Control Tower に取り込めるアップデートがあり、それを適用し現在は Account Factory for Terraform (AFT) を使用している
• Security Hub を導入したことで Config ルールを自分で作成して管理する必要がなくなった
• CloudTrail Lake を導入したことで、他チームの人も簡単にデータを提供できるようになった
• 手動でデータアクセスと分析に関するレポート作成やコスト分析を実施しているが、現在自動化に取り組んでいる
• CloudTrail Lake のデータを Athena のゼロ ETL 分析で使用できるようになったため、レポートの自動化のためにこの機能を評価していこうと考えている

どのように組織内でセキュリティとコンプライアンスのベストプラクティスを遵守するか

• 各 AWS サービスを COSO（内部統制の統合的フレームワーク）が示す「3 つのディフェンスライン」に合わせる（調整する）
• 1 つ目: リスクを軽減するために制御を有効にする
  • AWS Control Tower : ガバナンス部分として使用し、すべてのアカウントを統制する
  • AWS Backup : 必要なすべてのコピーを確実に取得できるように、すべてのバックアップを保存するという意味ではここに含まれる
  • AWS Config
• 2 つ目: リスクを評価する
  • AWS Systems Manager : 修復を行う能力を提供するため
  • Security Hub : AWS のサービスから得られた結果だけでなく、データをサードパーティなどに送信する機能を備えたサービスも表示される予定
• 3 つ目: 内部監査機能
  • AWS Audit Manager
  • AWS CloudTrail
  • 上記のサービスを使用して監査に必要な証拠やログを取得し、外部監査人に提供できる

今回は AWS Control Tower、AWS Config、AWS Audit Manager、AWS CloudTrail について深堀りします。

AWS Control Tower について

• ベストプラクティスに従ってマルチアカウント環境を設定および管理するための簡単な方法を提供するサービス
• ユーザーに代わって複数の異なるサービスの機能を調整し、約 1 時間以内にランディングゾーンを構築する
• 規範的または検出的なコントロールがどのように準拠しているか、もしくは準拠していないかに関するレポートをダッシュボードに表示して提供する
• あるアカウントが本来あるべき場所から外れてしまった場合でも、ドリフトを検出できるため、アカウントを元の位置に戻すことが出来る
• 顧客がそれぞれ Control Tower の一部をカスタマイズすることが可能
  • 例１: リージョン
    • 特定リージョンを使わせないようにすることが可能
  • 例２: セキュリティとコンプライアンスの制御（SCP）
    • 独自の Security Hub ルールや Config ルールを追加可能
  • 例３: ログ記録
    • 組織全体の証跡 / 自己管理の証跡を選択可能

セキュリティとコンプライアンスのベストプラクティスを遵守するために顧客が使用しているサービスとカスタマイズ例

AWS Config

• Config はすべてのリソースを追跡する強力なサービスであり、すべてのリソースを表示するためのアクセス権をもつ Cloud CMDB (構成管理データベース) のようなもの
• 事前に用意された Config ルールを使用してリソースを追跡し、準拠しているか確認し、レポートを出すことが可能
• NIST, HIPAA, PCI などの業界標準に準拠する / 準拠するのに役立つ Config ルールコレクションである適合パックを使用することで、顧客は自分の要件に合った Config ルールを簡単に適用可能

• AWS Config カスタマイズ例

  • カスタムリソース
  • カスタムルール
    • Amazon Code Whisperer に自然言語を入力してルールを作成可能
  • 適合パックをカスタマイズ
    • 自分のシステムで不要なルールがあれば各々で削除可能
  • AWS CloudTrail Lake の活用
    • 今まで Config の履歴データが必要な場合は ETL を実行し Athena や独自の SIEM などに取り込む必要があったが、CloudTrail Lake のおかげで不要になった

AWS Audit Manager

• 業界標準と規制を遵守しながら、アカウント全体のリスクとコンプライアンスの管理を簡素化するもの
• 例えば、SOC2 に準拠する必要がある場合、Audit Manager はコントロールを提供する
• 提供されるコントロールはクラウドが関係するものもあれば、そうでないものも含まれる
• クラウドが対象となるコントロールの場合はデータの自動収集を行うが、その他のコントロールの管理についてはエビデンスをアップロードする機能を提供する
• Audit Manager 1 箇所にすべてのエビデンスをまとめることで、監査人向けレポートをエクスポート可能となる

• AWS Audit Manager カスタマイズ例

  • フレームワークをカスタマイズ
    • SOC2 内のいくつかの事項は企業として遵守する必要が無い / 単に適用できない場合もあるため、それらのコントロールを削除可能
  • カスタムコントロール
  • サードパーティベンダーのリスク評価
    • 例えば、組織固有のニーズに合わせてリスク評価アンケートを作成可能

AWS CloudTrail

• AWS アカウント上のすべてのユーザーと API アクティビティをキャプチャするサービス
• 主なユースケースと顧客の使用方法は、顧客の AWS アカウントで発生しているすべてのアクティビティに対して内部監査機能を提供すること
• アクションを実行した人、アクションの結果、アクションが実行された時刻などの情報を取得することによっても使用される
• ＝セキュリティ監視とセキュリティ調査のユースケースが可能
• CloudWatch Logs を経由して、SIEM ソリューションに送信することも可能
• CloudTrail Insights を有効にすると AWS 環境での管理 API アクティビティのベースラインが確立
• ただログの配信先は顧客責任の範囲となるため、監査とセキュリティ分析のために顧客が実施しなければならない作業が多かった ⇒ それらの要望に応えたのが CloudTrail Lake
• CloudTrail Lake は CloudTrail イベントを集約、不変に保存、視覚化、分析するためのマネージドデータレイク、Trail と同じようにイベントをキャプチャする
• これらのログは、AWS CloudTrail が管理する管理対象ストレージに保存および集約される
• データを視覚化し、このデータから迅速に洞察を収集するためのダッシュボードが提供される
• さらに CloudTrail からデータを移動することなく、すべて CloudTrail の領域内で、データをより深く掘り下げて分析を実行してそこから回答を得ることができる SQL インターフェイスやクエリインターフェイスも備わっている
• マネージドソリューションのため、ストレージの改ざんについて心配する必要がない

• AWS CloudTrail カスタマイズ例

  • 複数の送信先を設定
    • 組織レベルで集約されたバケットに送信＋分析用に CloudTrail Lake に送信というパターンを見たことがある
  • 組織またはアカウントレベルのログ記録
  • イベントセレクター
    • 特定の S3 バケットに対する特定のイベントを記録するといったきめ細かい制御が可能
    • 結果的にコスト削減にも繋がる
  • CloudTrail Lake 内で AWS 以外のリソースからアクティビティログを取り込み可能
    • GitHub などの ISV パートナーや独自のカスタムアプリケーションなど、他のソースからイベントを取り込み可能
  • CloudTrail Lake クエリまたは Athena を使用して分析する
    • ETL を使用せずに、CloudTrail Lake に保存されているデータに対して Athena クエリを実行可能

費用対効果について

今回は Config と Trail に焦点を当ててコスト削減のために実施すべきポイントを挙げていきます。

AWS Config

• リソースタイプごとに除外する機能を使用
  • 参考: AWS Config がリソースタイプによる記録の除外に対応 | Amazon Web Services ブログ
• 継続的なコンプライアンスではなく、監査機能のみを求める顧客向けに AWS Config での定期的な記録をリリース
  • 参考: AWS Config、定期記録をサポートし、変更の追跡を効率的にスケール可能に

AWS Trail

• イベントセレクターを使用
  • 参考: How to optimize AWS CloudTrail costs by using advanced event selectors | AWS Cloud Operations & Migrations Blog
  • Trail やイベントデータに対してイベントセレクターを適用する際は、自社のセキュリティチームなどから確認を得て、それらのリソースやイベントタイプを除外しても問題ないことを確認することが重要
• 毎月の使用量が 25 TB 未満の場合に CloudTrail Lake をよりコスト効率の高い方法で使用できるようになるオプションを開始
  • 参考: Announcing AWS CloudTrail Lake one-year extendable retention pricing option | AWS Cloud Operations & Migrations Blog
• Cloud Trail Lake データに対して Amazon Athena クエリを直接使用可能となったことを活用
  • 参考: AWS CloudTrail Lake のデータが Amazon Athena のゼロ ETL 分析で利用可能に
  • 分析のために他サービスを構築・使用していた顧客にとってはコスト削減に繋がる
• コスト削減には直接関係しないが、CloudTrail Insights が CloudTrail Lake に拡張された
  • 参考: AWS CloudTrail Lake での CloudTrail Insights のサポートを開始

デモを実施

最後に以下のデモが実施されました。

• イベントデータストアの作成方法
• Config の定期記録の設定画面の紹介

実際のデモはこちらをご覧ください（本編 52:00 あたりからデモです）。
⇒ AWS re:Invent 2023 - How to customize AWS compliance and auditing services (COP209) - YouTube

所感

Config カスタムルールについて Lambda でルールを実行する必要が無くなり、CFN Guard では 4,5 行になるかもしれないと仰っていたのが印象的でした。
多くの顧客が利用していそうな Config カスタムルールの実装のハードルが Code Whisperer を使って格段に下がる印象を受けたので、自分も試しに作ってみたいなと思いました。
また、ETL を使用せずに、CloudTrail Lake に保存されているデータに対して Athena クエリを実行可能になったアップデートは、嬉しい人がかなり多いのではないかと思いました。
自分は Athena の事前準備って意外と多いな…と思ったうちの一人なので、1 つハードルが減った感じがしました。
マルチアカウント管理の具体例が学べて勉強になりました。

アノテーション株式会社について

アノテーション株式会社は、クラスメソッド社のグループ企業として「オペレーション・エクセレンス」を担える企業を目指してチャレンジを続けています。
「らしく働く、らしく生きる」のスローガンを掲げ、様々な背景をもつ多様なメンバーが自由度の高い働き方を通してお客様へサービスを提供し続けてきました。
現在当社では一緒に会社を盛り上げていただけるメンバーを募集中です。少しでもご興味あれば、アノテーション株式会社 WEB サイトをご覧ください。