【レポート】 基調講演1 | 今求められる職場環境と革新的なセキュリティカルチャー #AWSCloud #AWSSecurityRoadshow

2020.10.28

どうも、もこ@札幌オフィスです。

AWS Security Roadshow Japan 2020、開催中です!早速 今求められる職場環境とセキュリティカルチャー、ゼロトラストについて触れられている基調講演1を見てきたので、セッションレポートを投稿していきます。

オープニング | ご挨拶

アマゾンウェブサービスジャパン株式会社 技術統括本部 レディネスソリューション本部 本部長/プリンシパルソリューションアーキテクト 瀧澤 与一氏

  • お客様が抱える課題に対して、AWSが提供可能なセキュリティサービスや活用の仕方、今後のAWSのセキュリティの方向性を学ぶ
  • 主な対象者
    • セキュリティやコンプライアンスに課題をお持ちの方
    • セキュリティに関する意思決定に関わる管理職や役員の方
    • 公共機関や金融機関のセキュリティ担当者
    • AWSセキュリティの最新情報を知りたい方
  • 環境の変化
    • COVID-19による変化
    • 在宅勤務環境の整備
    • オンラインでの業務
    • 多様な脅威における対応
    • Zero Trust
    • ISMAP (政府機関でのクラウド)
  • COVID-19による変化
    • 在宅勤務環境でいかにセキュアな環境を用意するか
    • オンラインでの業務
    • AWSのサービス
    • Amazon WorkSpaces
    • Amazon Chime
    • AWS Client VPN
    • Amazon AppStream 2.0
    • Amazon Connect
  • 多様な脅威における対応
    • 様々なサービスがあり、いろんな実績や事例がある
    • 責任共有モデル
    • Amazon Elasticsearch Serviceを使ったSIEM
  • Zero Trust
    • 新しい概念ではない
  • ISMAP
  • 変化への対応は毎年やってきていて、やるべき事は変わらない

  • AWSクラウドセキュリティの特徴
    • 優れた可視化と制御による安全な拡張
    • 深く統合されたサービスでリスクを自動化し、削減する事が可能
    • プライバシーとデータセキュリティを最高水準で構築可能
    • セキュリティパートナーとソリューションの最大のエコシステム
    • 最も包括的なセキュリティとコンプライアンス管理を継承

基調講演 | 今求められる職場環境と革新的なセキュリティカルチャー

AWS の Vice President & Chief Information Security Officer である Steve Schmidt が、COVID-19 の状況下において、今求められる職場環境とセキュリティカルチャー、“ゼロトラスト”への姿勢などをご説明いたします。

Amazon Web Services, Inc. Chief Information Security Officer Steve Schmidt

Agenda

  • どのように個人所有の技術と会社所有の技術を安全にブレンドするか
  • 従業員へのトレーニングとサポートをどのように変えたか
  • 在宅勤務特有の脆弱性があるのか、セキュリティ関連のアップデート・新規のアナウンス

どのように個人所有の技術と会社所有の技術をブレンドするか

  • 在宅勤務では新しいシステムを使う
    • 新しいラップトップ、電話など
  • どのようなデバイスでも社員はシステムを安全に使わなければならない
  • 企業認証済みのOSやソフトウェアパッケージを使う必要がある
  • これによって社員は自分が好きなシステムを在宅で使える
  • 会社側もコントロールでき、ネットワーク・顧客データの安全性を担保できる
  • ゼロトラストと多要素認証
    • 多要素認証はハードウェアトークンを必要としている物を社員に配布している
  • 社員はソーシャルエンジニアリングのトレーニングを受けるようにしている
    • ソーシャルエンジニアリングは本当の脅威
    • 相手の顔を見なくてもチャットでやりとりできる時代
    • 簡単に仮装して身を隠せる
  • 個人のマシンは企業ネットワークでは使わない

従業員へのトレーニングとサポートをどのように変えたか、どんなトレーニングを従業員にすればいいのか?

  • Security Awareness Trainingを必須化、毎年受ける
  • 多くの人にこのトレーニングを受けやすくする、多言語で展開、定期的にアップデート
    • Cloud audit トレーニング
    • リスク管理
    • データ分離の取り扱いなど
    • アクセスレビュー
  • 従業員が受けるトレーニングを10分以下のトレーニングを行うべき

在宅勤務特有の脆弱性があるのか、セキュリティ関連のアップデート・新規のアナウンス

  • VPNのアクセスが無い場合や、社員がソーシャルエンジニアリング攻撃の標的になっている
  • 在宅社員がさらされる脅威と会社規模での脅威との差は無い

  • AWS SSO

    • 一元管理が楽にできる
    • 管理者が必要な許可を自動で構成・保守できる
    • 多くのビジネスアプリケーションとの統合もできる
    • Salesforce / Box / Office365など
  • AWS Security Hub
    • 包括的なセキュリティの状況をアカウントを跨がって見れる
    • CloudWatch Events Ruleを設定するのが大変とよく言われる
    • Automated Response and Remediationを使うと簡単に設定できる
  • Amazon GuardDuty
    • 脅威検知サービス
    • 不自然なAPI Callなどを検知
  • AWS Firewall Manager
    • AWS WAF/AWS Shieldのアカウント全体のファイアウォールルール管理の管理・一元化ができる
  • Amazon Detective
    • VPCのネットワークの流れを検証
  • AWS CodeArtifact
    • ソフトウェア成果物のリポジトリサービス
    • 一般的なパッケージマネージャーなどで使える
  • AWS Shield Advanced

セキュリティ文化とイノベーション

  • ゼロトラストインフラを構築する
    • AWSのAPIで使われるSigv4は全てのAPIリクエストを独自に認証認可して粒度の細かい認証認可をできる
    • VPC Endpointでポリシーを作成する
    • APIリクエストは毎回認証認可される
    • 興味深いことに、ゼロトラストの話をするときにクラウドベースのAPIの呼び出しについて全くと言って良いほど話題に上がらない
    • ゼロトラストが話題になるはるか前からあったからかもしれない
    • TLS SupportがIoTなどの小さいサービスでも対応
  • Security Groupはシステムのように振る舞う
  • PrivateLinkを使って一方通行のゲートウェイとしてみせることができる
    • Private Linkは逆の流れを許さない
    • PrivateLinkマイクロサービスを組み合わせる
  • IoT
    • ユーザーのフェデレーション
    • 長期間有効なクレデンシャルは極力なくす
    • AWS SSOを使う
    • アクセスの判断の際、お客様が使っているIDを自分で制御できる
    • その他にもPartner Solutionを使える
    • IAM Roleの権限を最小限に作る
    • 使用状況のモニタリング
    • 通常状態を観測して、通常じゃない場合にアラートを鳴らす
  • 外部への公開を最小限に抑える
    • ポートは必要な物のみSecurity Groupで開放する
    • S3 BucketのポリシーをできるだけInternalにする
    • S3のデフォルト設定はセキュアなクローズな状態をデフォルトとしていて、外部アクセスについてはお客様自身が設定するもの
  • Firewall Managerを使う
    • 様々なAWSサービスやアカウントにルールを適用できる
    • AWS環境のルールをまとめて見れる
  • AWS ShieldでリソースをDDosから保護する

  • パッチ

    • セキュリティ界の野菜。やらないといけない事だが、楽しいことでは無い
    • パッチ適用は全員が毎日必ずやらないといけない事
  • まとめ
    • 適切なツールや手法でで会社システムへセキュアなアクセスを常に維持
    • 在宅勤務により新たな脅威が発生するわけでは無いが、トレーニングをして脅威について理解する、自分で身を守るしか無い
    • ゼロトラストはネットワークとIdentityを要求する優れた方法
    • ユーザーのフェデレーションをしてアクセス権限を最小限にして、システムにパッチを当てる

ゼロトラストとAWS

  • Amazon自体がCOVID-19の中でどのような対策を取っているのかも紹介した
    • AmazonではBYODを許容しているが、勝手にやってはいけなく、会社が管理したイメージファイルを使うなどの制約がある
    • 教育の必要性
    • ソーシャルエンジニアリングなどの脅威について継続的に伝えている
    • コンテンツの工夫。長いと疲れてしまうので、全体が1時間としても10分ほどのコンテンツでトレーニングを行う
    • 生産性を下げずにセキュリティを上げる
    • 実際に試してそこから教訓を得て更に良くしていく
    • ゼロトラスト
    • いままではネットワークの境界で管理していた
    • よりIdentityベースで認証認可して、マイクロサービス化して細分化する考え方
    • ネットワークとIdentity、どちらかをやればいいわけでは無く、両方やっていく必要がある
    • AWS上のAWS Callやサービス同士のやりとりはIAMで細かく制御できる
    • ネットワークとIdentityの制御を両方兼ね備えているのがAWSの従来からの考え方
    • ゼロトラストが盛り上がる前からAWSでは実装していた
    • ゼロトラストのソリューションやサービスが増えてきているが、ユーザーはどのように
    • お客様の課題・コンテキストを明確化する必要がある
    • ネットワーク接続の部分がゼロトラストだ、という考え方もあるが、クラウドとオンプレミス間などのサービスとサービス間が会話するときの制御などの考え方もある
    • 最小限必要な権限だけを持たせるのが基本だが重要
    • AWS SSO
      • フェデレーションアクセスすることで、認証ポイントでログインを管理
    • Firewall Manager
      • 一元管理
    • Security Hub
      • ログを検知した後の対応を自動化
    • ゼロトラストは1つのサービスで実現する物では無い
    • 様々な新しいサービスをフィードバックも交えて発展させていく
    • 組織の文化や戦略に合わせて発展させていく
    • パッチを当てるのは野菜のようなもの

感想

ゼロトラストがバズワードになるずっと前からAWSでは既に提供されていて、「ゼロトラストの話題になるときにAWSなどのサービス側のAPIについて一切話題にならない」と言っていたのが非常に興味深かったです。

「パッチを当てる作業は野菜を食べるようなもの」というのも非常に共感したので、毎日しっかり野菜も食べてパッチも当てるような生活を送っていきたいなと思いました。