クラウドのセキュリティ監査について学ぶ「Cloud Audit Academy」を受講してみた

2022.10.27

この記事は公開されてから1年以上経過しています。情報が古い可能性がありますので、ご注意ください。

こんにちは、岩城です。

AWSでは、AWS Skill Builderと呼ばれるオンライン学習コンテンツが用意されており、無料で利用可能です。

AWS Skill Builderの詳細については公式サイトを参照してください。

今回、AWS Skill Builderで無料公開されている「Cloud Audit Academy」を受講しましたので紹介したいと思います。

受講時間は3hに設定されていますが、中断できるので少しずつ進められます。それでも時間がないという方は、コース内でダウンロードできる「監査上の考慮事項」のリストは是非確認いただきたいです。このリストを元にクラウドでのセキュリティ監査の考え方を知ることができます。

コースの目的と対象者

本コースは、クラウドとオンプレミスでのセキュリティ監査における考え方の違いを理解し、クラウド特有の責任共有モデルを利用したセキュリティ監査のテクニック学ぶことができます。

AWSが提供しているコースですがAWS色が少なく、各クラウドプラットフォームに関係なく一般的な内容になっています。 一部セキュリティグループやアベイラビリティゾーンといった用語がでてきますが、用語集が用意されているのでAWSに自信がなくても問題ないと思います。

対象者は、セキュリティ監査人や被監査者となっていますが、クラウドを利用する上での一般的なセキュリティに対する考え方をさらっと学ぶことができるので、クラウド上にシステム構築するユーザーは一読の価値がある内容でした。

コースの章立てと各章の紹介

本コースの章立ては以下のとおりです。

  • コース開始前の知識チェック
  • クラウド入門
  • クラウドサービスとスコーピング
  • ガバナンス、リスク、人事
  • アクセス管理
  • データセキュリティ
  • ネットワーク
  • ユーザー端末管理
  • 構成管理
  • 脆弱性管理
  • ログ記録およびモニタリング
  • インシデント対応
  • 事業継続と緊急時対応計画
  • コース終了後の知識チェック

各章の詳細は実際に受講して確認いただきたいのですが、どういったことを学べるのか紹介していきたいと思います。

コース開始前の知識チェック

監査の当事者をCSC(クラウドサービスカスタマー)、AWSを始めとするクラウドサービスプロバイダー(CSP)とし、責任共有モデルにおいてCSCとCSPのセキュリティ境界がどこにあるか理解しているか、現時点の知識レベルをチェックできます。

あくまで知識レベルのチェックなので結果は気にしなくて良いです。このタイミングで分からなくても、コースを受講し終われば全て回答できるようになります。

クラウド入門

そもそもクラウドとはなにか?というところから、CSCとCSPの責任共有モデル、クラウド利用の利点やリスクが紹介されています。

クラウドについての知識がそこまでなくとも、本コースを受講する上で必要な知識を得ることができますので安心してください。

クラウドサービスとスコーピング

クラウドを利用しているCSCは、当然どのサービスを利用しているのか把握する必要があります。

私のこれまでの過去の経験上、このようなサービスマッピングやインベントリを作成し、メンテナンスし続けるのは用意ではないと思っているのですが、クラウドでは利用中のサービスはすべて請求書に記載されるという点は改めて気付かされました。

ガバナンス、リスク、人事

ここからは、クラウドにフォーカスしてオンプレミスとのセキュリティ監査の考え方の違いを全10章に分けて学んでいきます。

本章では、NIST(米国国立標準技術研究所)の内容を元に、ガバナンス、リスク評価、人材管理についてクラウドにフォーカスしてとオンプレミスとの監査の考え方の違いが紹介されています。

特にCSPの責任下にある要素については、CSCが求める規制基準をクリアしているか、CSPが取得している第三者認証を確認してセキュリティ監査の範囲を絞っていくことが重要なのだと思いました。

ちなみに、AWSが取得している第三者認証についてはAWS コンプライアンスプログラムのページにまとめられています。

AWSの監査人が作成したコンプライアンスレポートを入手することもできますので必要に応じて確認することもありそうです。なお、レポートの入手にはAWSマネジメントコンソールにログインしAWS Artifactを利用する必要がありますのでご注意ください。

AWS Artifact - AWS のコンプライアンスレポートにオンデマンドでアクセスできる無料のセルフサービスポータル

アクセス管理

システム、アプリケーション、クラウド上のリソースに対するアクセス管理の考え方が紹介されています。

CSPがクラウド「の」IDとアクセスに責任を持つのに対し、CSCはクラウド「内の」IDとアクセスのコントロールに責任を負うと紹介されています。

AWSでいうところの、IAMのサービス自体に責任を持つのがAWSであり、IAMユーザーやIAMポリシーといった実際の設定はCSCが責任を持つということだと思います。

さらに、CSCが検討すべき最も重要な原則として最小権限が紹介されています。 最小権限の原則はとても重要なのですが、実際に取り組んでみるとどのアクションが必要なのかを設計し実装していくのは困難だったりします。

AWSでは最小権限の実装に活用できるIAM Access Analyzerという機能がありますので利用を検討してみてください。

[アップデート] 「最小権限の実装」が容易に!過去の CloudTrail イベントに基づいて IAM ポリシーを生成できるようになりました

データセキュリティ

データ保護のため、データ転送中や保管中の暗号化は検討されているか、暗号化に用いるキーの管理はCSCとCSPの共有責任範囲にあることや、適用される準拠法がなにか考慮する必要あるといったことが紹介されています。

ちなみに、AWSのカスタマーアグリーメントを確認すると、AWS契約当事者が「Amazon Web Services Japan Godo Kaisha」であれば、日本国法に準拠するとありました。

ネットワーク

クラウドへの接続方法(ユーザー端末、VPN、Direct Connectなど)や、Security Groupを始めとする仮想ファイアウォールの設定を確認するといった、クラウド特有のネットワークセキュリティの考え方が紹介されています。

ユーザー端末管理

ユーザー端末とクラウドのネットワーク境界やユーザー端末管理のベストプラクティスが紹介されています。

モバイルデバイス管理(MDM)や社員の個人デバイス(BYOD)についても触れられていました。

構成管理

CSPが構成管理する範囲と、CSCが構成管理する範囲に違いがあるということや、構成管理に構成テンプレート(IaC)の利用も紹介されています。

AWSの責任共有モデルに基づくと、EC2でいえば、OSより上のレイヤーはCSCの範囲で管理する必要があるといったことです。

図:AWS 責任共有モデル(引用元)

脆弱性管理

責任共有モデルに基づき、脆弱性管理についてCSCが責任を持つ範囲の考え方や脆弱性管理のベストプラクティスが紹介されています。

クラウドでは使用しているサービスによって、脆弱性管理の責任の境界が異なる場合あり、脆弱性管理はCSCとCSPの間で共有される点をおさえておきたいところです。

また、オンプレで利用していた脆弱性スキャンツールではカバーできないことがありますので、クラウドネイティブな脆弱性スキャンツールの利用も検討が必要です。

ちなみに、AWSのマネージド脆弱性管理サービスにInspectorがありますので、要件を満たしているのであれば3rd Party製品を別途採用する必要もありません。

AWS再入門ブログリレー Amazon Inspector編

ログ記録およびモニタリング

クラウドでもオンプレミスと同様にログ記録、モニタリングする必要があること、単にログ取得するだけではなく、適切なレベルで所有権を設定するといったことが紹介されています。

たとえば適切なレベルの所有権設定とは、クラウドであればユーザーごとに詳細に権限設定できるので、ログに対し編集・参照できる範囲を定めたり、ログ集約アカウントにログを集約しセキュリティや監査担当しかアクセスできないように設定するということを指しています。

インシデント対応

責任共有モデルに基づき、CSCとCSPが連携してインシデント対応を行うため、CSP障害時の対応といったクラウド特有のインシデント対応計画の考え方が紹介されています。

また、各サービスに対し設定されているSLAの内容についても確認することも紹介されています。単にサービス利用しているだけではSLAが適用されないケースがあったりしますので、きちんと内容を確認しましょう。

ちなみに、AWSのSLAページは、日本語ページと英語ページで掲載されているサービスの数が違うので英語ページを確認することをおすすめします。

事業継続と緊急時対応計画

基本はオンプレミスと考え方は変わりません。ただし、クラウドであれば、マルチアベイラビリティゾーンやマルチリージョン構成を容易に採用できるので、そのようなクラウド特有の考え方が紹介されています。

AWSでのディザスタリカバリアーキテクチャについては、AWSブログにて詳細に説明されていますのでご確認ください。

コース終了後の知識チェック

コース開始前の知識チェックと同じテストをもう一度取り組みます。ちゃんと取り組んでいれば満点なはずです!

おわりに

改めて、クラウドを利用する上での一般的なセキュリティ監査に対する考え方を体系的に学ぶことができるので、クラウド上にシステム構築する方は一読の価値がある内容だと思いました。

ただし、機械翻訳された文章のようですので一部理解するのに苦労するかも知れません。私は読解力が乏しい方なので、もう少し読みやすい日本語文章だと嬉しいと思いました。