【レポート】運用視点で考える AWS のセキュリティ体制強化(AWS-24) #AWSSummit

こんにちは、たぬき( @tanuki_tzp )です。

今回は2022年5月25 - 26日の2日間開催されているAWS Summit Online のセッションのうち、AWS-24『運用視点で考える AWS のセキュリティ体制強化』をレポートしました。

それではセッションレポートに入ります。

セッション概要

成長・変化を続けるシステムに対し、セキュリティ対応が取り残されていませんか。> このセッションでは、これから AWS の本格活用を検討されている方向けに、「開発チーム／運用チーム／セキュリティチームで意識すべきセキュリティ運用のポイント」と、「AWS Security Hub 等の AWS サービスを活用した効率的なセキュリティ運用」についてご紹介します。

スピーカー: AWS 技術統括本部 金融ソリューション本部 シニアソリューションアーキテクト　辻本 雄哉

セッションレベル: Level 200: 初級者向け

レポート

辻本さん自己紹介
本セッションのアジェンダ

1. はじめに

• セッション概要
• 本セッションの対象者
  • 複数のAWSアカウントを運用する際、セキュリティ対応を漏れなくできるか心配
  • セキュリティ運用効率が良くない
  • セキュリティ対応の工数が増え、システム開発速度が落ちている

2. クラウド活用におけるセキュリティ運用の課題

• セキュリティ運用を取り巻く様々な状況

  各チームが単独で動くため、課題が解決されない

  • セキュリティチームの課題
  • 運用チームの課題
  • 開発チームの課題
  • 各チームの単独視点による課題

3. 課題解決のポイント

• 課題解決には
  • 視認性の向上
  • セキュリティ体制の強化
• 運用効率の向上に必要な要素
  • クラウドのメリットを生かした運用
  • AWSセキュリティサービスを活用し、効率化

①セキュリティ体制に必要な要素

開発・運用・セキュリティチームで共通の視点を持つ

• システムのライフサイクル全体を意識した視認性の共有
• システムのライフサイクル全体のバランスを均一化し、効率化
  • 開発した後、すべてを運用でカバーすることをやめる

システムのライフサイクルで考える

• ライフサイクルを回し続けるためには

②AWSサービスを活用したセキュリティ運用

AWSサービスを活用し、クラウド環境のセキュリティで優れた運用性を実現
情報の収集・監視と検出・分析やAWSサービスと連携した対応
クラウドサービスを使用して解決できる課題

• チーム横断での可視化
  • Amazon QuickSight
  • Amazon Athena
• 属人性を排除し、効率的な開発
  • Amazon Inspector
• スケールへの対応
  • AWS Security Hub
    • Security Hubを中心とすることで、AWSサービスを個別に使うより、より次のアクションに繋げやすくする
  • AWS Organizations

4. まとめ

• 各チーム単独の視点がセキュリティ運用を円滑に回せない弊害になっていた
• クラウドのメリットを生かした運用をするためには、視認性を高め、システムのライフサイクルを均一化することが重要
• AWSマネージドサービスを利用することで自動化や可視化を素早く実現できる
• セキュリティはブレーキではない、イノベーションを加速させるもの

おわりに(感想)

セッション内であった、システムのライフサイクルの均一化について、どれか一つのチームの負担を軽くするものではないということがとても響きました。
今までは「これをすることによって〇〇チームの負荷が下がる」という考え方をしていたなと気付かされました。
単一視点ではなく、システムのライフサイクルの健全化を加速させるような提案をしていきたいと思います！
とても勉強になりました！