「クラウドを活用するための最新のAWSセキュリティ2020」というタイトルでre:Growth 2020に登壇しました #cmregrowth

re:Invent 2020 のセキュリティ系新サービス・アップデートは渋かったです!クラウドを使って高いセキュリティを保ちつつビジネスを加速するために、最新情報をキャッチアップして周りの人に拡散しましょう!
2020.12.18

こんにちは、臼田です。

みなさん、re:Invent 2020楽しんでますか?(挨拶

今回は弊社主催のre:Invent 2020振り返り勉強会である re:Growth 2020 Onlineで発表した資料を公開しつつ、解説をしていきます。

資料

解説

今年のセキュリティサービスはなんたって渋い

そう、地味渋いんです。以下のようなものがありました。

  • 事前
    • AWS Nitro Enclaves
    • AWS Gateway Load Balancer
    • AWS Network Firewall
    • AWS Transfer FamilyのAWS WAFサポート
    • AWS Control Tower v2.5
    • AWS SignerによるAWS Lambdaのコード署名
  • re:Invent
    • Amazon CodeGuru Security Detector
    • Amazon DevOps Guru
    • AWS Audit Manager
    • Amazon HealthLake
    • Amazon Route 53がDNSSECに対応

セキュリティの範囲をマネジメント・ガバナンスまで広げるともう少し色々あります

  • CloudTrailイベント比較
  • AWS IAMセルフペースラボ
  • VPC Reachability Analyzer
  • AWS SSOのWebAuthn対応
  • AWS SSO RBAC対応
  • Amazon S3 強い整合性のある読み込み
  • AWS SaaS Boost
  • AWS CloudShell
  • AWS Systems Manager Change Manager
  • Fault Injection Simulator
  • Amazon Managed Service for Grafana
  • Amazon Managed Service for Prometheus

去年は何があったか?

去年は結構つよつよなサービスが多かったです

  • AWS WAF v2
  • IMDSv2
  • S3 Access Point
  • IAM Access Analyzer
  • Amazon Detective
  • Amazon Fraud Detector
  • などなど

以下去年の登壇時のブログです

Detectiveは以下を見ていただくと圧倒的な強さが伝わると思います!みんな絶対に有効化しようね!

渋い新サービス紹介、からの…

渋いAWS Audit Managerを紹介しました!

監査を助けるサービスで、CloudTrail / Config / Security Hubなどの証跡を自動で収集して、監査のためのレポート作成ができます!詳細は以下をどうぞ!

ところで監査というキーワードが出てきましたがみなさんは監査をしていますか?あるいはされていますか?

AWS環境を正しく評価されていますでしょうか?

今回のre:Invent 2020最初のキーノートにて、Andy Jassy氏は

グローバルのIT支出のうち、クラウドは4%だけだ

という話をしていました。

うわっ…クラウド利用率、低すぎ…

というわけであなたの会社は正しくクラウドを使えていますでしょうか?

セキュリティ部門・監査部門などがクラウド活用を抑制していませんか?と投げかけさせてもらいます。

クラウドとセキュリティで大事なこと

  • クラウドはビジネスを加速するもの
  • セキュリティもビジネスを加速するもの
  • セキュリティがビジネスを遮ってはならない
  • クラウドでは俊敏性と高セキュリティを両立できる

これを常に意識して下さい

クラウドを活用してみんな変わってきています

変わっていく必要がありますよ、ということでいくつか事例をピックアップしています。

  • 機械学習と物理の新サービス
    • Amazon Monitron
    • AWS Panorama Appliance
    • Amazon Lookout for Equipment
    • Amazon Lookout for Vision
    • 産業にクラウドを活用するときめく話!
    • マシンラーニングキーノートの01:30:00あたりからデモが見れます!

クラウドで圧倒的に変われる手段があります、という事例を少しですが紹介させていただきました。

本物のタイトル

「クラウドを活用するための最新のAWSセキュリティ2020」というタイトルのセッションです。

仮タイトルは「セキュリティの新サービス アップデート紹介(仮)」でしたが、クラウドの活用をプッシュしていきたいのでこんなタイトルにしました。

文字通り、クラウド活用に関係のあるセキュリティのトピックスである以下三点を紹介しました。

  • AWSセキュリティのための10のこと
  • ヘルスケアのデータレイク
  • クラウドの監査

社内や周りの人に是非クラウドの利便性やマインドセットを拡散しましょう!

AWSセキュリティのための10のこと

AWSのCISOであるスティーブ・シュミット氏がセキュリティのリーダーシップセッションでAWSでセキュリティを実践していくための10のことの最新版をまとめています。

これらを参考にしてセキュリティの強化を図ってみて下さい!

僕なりの(セッションを聞いた上での)翻訳

  1. AWS Organizationsを利用する
  2. (セキュリティサービスを駆使して)使用状況を理解する(改善する)
  3. 暗号サービスを利用する(通信経路・保管時の暗号化をする、全てを暗号化する)
  4. 人のアクセスのためにフェデレーションを利用する(新規・既存のユーザーDBとSSOする)
  5. 全てのS3でブロックパブリックアクセスを利用する
  6. エッジを保護する(CloudFront / WAF / Shieldなど)
  7. パッチを適用する(セキュリティの野菜!)
  8. 多層防御する(内部が緩いのもだめ)
  9. 透明性のあるリーダーシップ(ビジネスを阻害しないセキュリティを実践する)
  10. 様々な採用とトレーニングを行う(セキュリティ人材へ投資する)

詳細はAWS security: Where we’ve been, where we’re going - AWS re:Invent 2020をご確認下さい!

AWS HealthLake

  • さまざまなシステム (電子カルテ、検査システム、医療画像リポジトリなど) の互換性のないフォーマットを取り込んでFHIRに対応したタグ付けや構造化できる
  • 機械学習などの適用を簡単にできる

詳細はクラウドにヘルスデータを格納し、変換と分析を行う Amazon HealthLake | Amazon Web Services ブログを確認して下さい!

クラウド監査アカデミー

いまや監査する人もクラウドを学習する時代です

AWSからラーニングパスやクラウド特有の監査についての解説がされているサイトが公開されている(日本語サイトがまだ古いので言語をEnglishに変更して見て下さい)

  • クラウドのセキュリティを監査するためのスキルとベストプラクティスを学ぶコンテンツ
  • クラウドおよび業界にとらわれない学習から始まる
  • 無料のデジタルトレーニングもある(3時間、英語)
  • 日本語化待ってます

Compliance as Code(CaC)

監査もコードで管理・自動化する時代です

例えば以下のような対応が可能

  • AWS ConfigでSecurity Groupのチェック
  • SSHのポート開放を検知
  • 自動修復

実際に以下で同じようなことをやってみています。

CaCのセッションがre:Inventでありますので見て下さい!

Achieve compliance as code using AWS Config

そして、Compliance as Codeを布教してください!

クラウド怖くないよ!監査も怖くないよ!

まとめ

クラウドを使って高いセキュリティを保ちつつビジネスを加速しよう!

こういった情報を拡散して、周りの人を巻き込んでください!