【セッションレポート】AWS でセキュリティ対策を強化（AA-02） #AWSSummit

AWS Summit Japan 2024

#AWS

#セッションレポート

#セキュリティ

平井裕二

2024.06.20

はじめに

AWS Summit Japan 2024 に参加しました。

「AWS でセキュリティ対策を強化」のセッションレポートです。

セッション概要

セキュリティチームは、新しい技術が次々と登場する中で、いかにして進歩を阻害することなく、組織のセキュリティを維持し強化していけばよいでしょうか？堅牢なセキュリティ基盤があれば、組織はイノベーションを加速させることができます。本セッションでは、強力なセキュリティ技術と可視性、制御を統合して、ビジネスのスピードと俊敏性を強化する方法を学ぶことができます。アイデンティティ管理、データセキュリティ、ネットワーク保護に関連する主要なトピックを取り上げ、進化したセキュリティ目標の策定に役立ちます。

セッションスピーカー：瀧澤与⼀氏

所属：アマゾンウェブサービスジャパン合同会社

アジェンダ

セキュリティの概要
IDとアクセス管理
検出と対応
ネットワークとアプリケーション保護
データ保護

セッションレポート

セキュリティの概要

クラウドセキュリティの課題

イノベーションへの妨げ
- セキュリティチームは「何でもダメと言う部署」と言われてします
- セキュリティがブレーキになることがある
専門家の不足
- アプリケーションやネットワークなど多くをカバーするため、スキルが必要
進化し続ける脅威
- 様々な攻撃
- 新しいリスクへの対応が必要
データ保護とプライバシ要求
- 業界の規制を遵守する必要がある

従来：セキュリティはブレーキ役になる
- 迅速な対応もしくは安全性の確保のバランスをとっていた
これから：迅速な対応と安全性の確保、どちらも求められる
イノベーションを加速させる実証済みのセキュリティ
- 最もセキュアなインフラストラクチャとしての設計
- スピードと俊敏性を高めるセキュリティオートーメーション
- エンドツーエンドのセキュリティとガイダンス

最もセキュアなインフラストラクチャとしての設計

課題
- セキュリティと信頼があるクラウド上にシステムを構築したい
AWSのアプローチ
- 143のセキュリティおよびコンプライアンス認証
- 安全性を考慮した設計
- 最も多くの運用経験

スピードと俊敏性を高めるセキュリティオートーメーション

課題
- 継続的なコントロールでセキュリティチェックを自動化
AWSのアプローチ
- 証明可能なセキュリティ
- セキュリティイベントを自動的に検出
- 大規模なセキュリティ自動化

エンドツーエンドのセキュリティとガイダンス

課題
- 最適なセキュリティ体制を導く組織にとってあらゆるステップを実装したい
AWSのアプローチ
- 多くのセキュリティサービスと機能が活用できる
- AWS Marketplaceから、ソリューションを利用できる
- オープンソースセキュリティ

責任共有モデル

クラウド内のセキュリティ
- お客様の責任は、お客様が選択したAWSサービスによって決まるアプリケーション側の責任を持つ
クラウドのセキュリティ
- AWSは、提供している全サービスを実行するインフラストラクチャを保護する責任を持つ

AWSセキュリティソリューションの４つ説明

IDとアクセス管理
検出と対応
ネットワークとアプリケーション保護
データ保護

IDとアクセス管理

クラウドのID戦略を進化させて、ユーザー、データ、リソースを保護する

サイバーセキュリティ環境は常に変化している
- いつでもどこでも仕事ができる環境
- アプリケーションの進化
- クラウド導入の加速
- コンプライアンス用件との連携
- 最小権限
AWSでのきめ細かいアクセスでサイバーセキュリティリスクを軽減
- アクセス主体
  - ID管理
    - 従業員のアイデンティティ
    - ユーザーのアイデンティティ
    - システム
- アクセス
  - アクセス管理
    - 安全な環境と体制管理
    - 暗号化と認証情報の管理
- アクセス対象
  - リソース管理
    - API
    - インフラストラクチャ
    - サーバーレス
    - サードパーティアプリケーション

検出と対応

検出と対応の課題
- セキュリティイベントに関する洞察力のあるデータの欠如
- セキュリティ情報の可視化不足
  - 悪意の有無を確認するため、ログを横断的に見る必要がある。
- ノイズからシグナルを識別し、発見事項に対して実行可能な対処ステップにすることが困難
  - 攻撃していないノイズを除去が必要
ビジネスへの効果
- ワークロードの保護
- 監視の一元化
  - 横断的にみることができる
- セキュリティイベントにおける調査、保護、迅速な対応
  - 攻撃をできるだけ早く防ぐ必要がある
- ハイブリッド環境でセキュリティイノベーションを実現
AWSによる検出と対応
- 脅威検出とワークロード保護
  - 脅威が検出後、すぐに対応することで、ビジネス影響を最小限に抑える
- 脆弱性管理
  - 脆弱性の検出結果をリアルタイムで自動的に検出することで、迅速に対応できる
- リスク管理
  - システム全体から脅威になる箇所を事前に対応して、セキュリティを高める
AWS 検出および対応サービス
- Amazon GuardDuty
  - 機械学習によって異常な挙動を発見する。VPCフローログなどが分析対象
  - １クリックでONになる
  - 検出事項を減らすように対応する
- Amazon Macie
  - 機密データの発見
  - S3バケットなどが分析対象
- Amazon Inspector
  - 脆弱性の検出
- AWS Security Hub
  - アラートの一元化
  - 検出後、自動的に対応も可能

ネットワークとアプリケーション保護

ネットワークとアプリケーションのセキュリティ上の課題
- 可視化
- 可用性とアプリケーションの保護の必要性
- 規制遵守の対応
- スケーラブルな統合のための高価なツール
- 社内の専門知識不足
- リモートワーカー向けのセキュアな接続の確保
ネットワークとアプリケーションの保護は、ビジネスを加速する
- 可視性と独立性
- 効率的なセキュリティ運用
- 包括的な保護
  - セキュリティツールの階層化
- スケーラブルなセキュリティ運用
- セキュリティ問題の迅速な修復
- 分散ユーザーの保護
  - ゼロトラストの原則
AWS Firewall Manager
- 以下のセキュリティサービスを統合的に管理できる
  - WAF
  - セキュリティグループ
  - Network Firewall
  - Shield Advanced
  - Route 53 Resolver DNS Firewall
    - 日本人向けサービスやコンテンツに対して、海外からのアクセスをブロック
組織全体に渡す階層型セキュリティサービス
- 組織全体の可視化と統制
- ネットワークレベルのセキュリティ
  - Network Firewall、Route 53 Resolver DNS Firewall
- アプリケーションレベルのセキュリティ
  - WAF、Shield Advanced
- ゼロトラストセキュリティ
  - AWS Verified Access

データ保護

データ保護とデータ主権の課題
- 変化する規制要件
- 地域によって大きく異なる用件
- セキュリティとプライバシーの脅威状況
- 文書化用件
- 専門家
データ保護技術の必要性
- 暗号化
  - データを気密に保つにはどうすればよいか
- 認証と整合性
  - データやリソースが信頼できるどうかは、どのように判断するか
- データプライバシー
  - 機密データの管理方法を知りたい
- セキュリティ保証
  - 監査人に対してセキュリティとコンプライアンスの証明方法を知りたい
データ保護用件のTop4
- 保存中のデータ
  - ストレージ暗号化
- 転送中のデータ
  - ネットワーク暗号化
- アプリケーション認証情報
  - 認証情報の管理
- ライフサイクル管理
  - 自動化
データ保護によるビジネスへの効果
- 知的財産と企業秘密
- 信頼される企業ブランド
- 改正と制御性の拡張
- AWSサービスとの統合
- セキュリティとコンプライアンス管理を継承
最も気密性の高いワークロードを行えるAWS