今すぐ実践できる、AWSセキュリティ対策のススメ
2024.08.22あしざわです。
2024/8/7に開催されたウェビナー『今すぐ実践できる、AWSセキュリティ対策のススメ』にて、同タイトルで登壇しました。
このウェビナーでは、AWS Summit Japan 2024 のクラスメソッドブースにてお話ししたAWSセキュリティのセッションをより深掘った内容をお話ししました。
そのような背景から、こちらのAWS Summit のセッション資料は本ウェビナーの概要版と言えます。
このブログは、ウェビナーで利用した登壇資料の共有と概要の説明を目的に執筆しています。
登壇資料
お話しした内容
内容をまとめると以下3点になります。
- レイヤー別に考えるAWSセキュリティ
- AWSレイヤーから始めるAWSセキュリティ対策
- AWSセキュリティ成熟度モデルで始めるセキュリティの可視化
レイヤー別に考えるAWSセキュリティ
AWSセキュリティの基本的な考え方は、AWSから公開されている『AWS責任共有モデル』で表現されています。
Ω
この図の通り、「お客様」の範囲のセキュリティ対策は私たちAWSユーザーの責任のもと実施することになります。
ただ、この範囲全部をやれと言われてもどのように進めていけばわからない方も多いと思います。
そこで、AWSのセキュリティを階層(レイヤー)に分けるという考え方の1つをお勧めしたいです。
レイヤーの分け方も色々あるのですが、今回はざっくりと大きく2つに分けてみました。
- AWSレイヤー
- OS・アプリケーションレイヤー
AWSレイヤーのセキュリティとは、AWS IAM・Amazon S3・Amazon EC2などのAWS上にあるリソースを守るためのセキュリティです。特にAWS IAMはセキュリティ侵害をされてしまうとビジネス影響はコスト的な影響がとても大きいAWSの根幹となるサービスであり、極めて重要なリソースです。
OS・アプリケーションレイヤーのセキュリティは、ここではAWSレイヤー以外のセキュリティのことを指しています。ネットワーク・OS・ミドルウェア・アプリケーション・コンテナなど、AWSリソースより「上」の概念に当たるものを想定しています。
今回のウェビナーではAWSレイヤーのセキュリティについてフォーカスしたため、以降はAWSレイヤーのセキュリティ要素が多めです。
OS・アプリケーションレイヤーに関する詳細については、こちらの記事で紹介されていますのでぜひご覧ください。
AWSレイヤーから始めるAWSセキュリティ対策
今回AWSレイヤーのセキュリティを紹介した理由は、「今すぐ始められる かつ 費用対効果が高い」からです。
AWSレイヤーのセキュリティの基本は、従量課金のAWSのマネージドセキュリティサービスを有効化し適切に運用していくことです。
AWSのマネージドセキュリティサービスは、AWSマネジメントコンソール上から数クリックで特別な設定なしで利用開始できるので、誰でも今すぐ始められます。
また、それらのサービスで検出したセキュリティアラートを任意のツールに通知できるため、アラートが通知された際のトリアージや是正対応が適切に行うことが重要です。
そんなセキュリティ対策と運用を実現するための2つのサービスを紹介しました。
- Amazon GuardDuty
- AWS Security Hub
Amazon GuardDutyは、AWSアカウントやAWSリソースに対する脅威を検知できるサービスです。
検知できる脅威の例は「普段使用されていないIPアドレスからIAMユーザーを使ったAWSマネジメントコンソールへのログインが行われた」「AWSアカウント上にあるEC2インスタンスがインターネットに向けてコインマイニングする際に発生する通信が行われている」「AWSアカウントにあるS3バケット上のオブジェクトに対し見知らぬAWSアカウントからのGetのHTTPリクエストが実行されている」です。
脅威を検知するとアラートが通知されるので、そのアラートが問題ないものなのか・セキュリティ侵害が起きていないかなどを、必ず確認するようにしたいです。
AWS Security Hubは、AWSリソースの設定値がセキュリティ的に誤った設定となっていないかをチェックします。
セキュリティ違反だと見做される設定の例は「EC2インスタンスのセキュリティグループのインバウンド通信の許可設定がフルオープン(0.0.0.0/0)となっている」「コンソールログインできるIAMユーザーのMFA(多要素認証)が有効化されていない」などです。
Security Hubのチェック項目は200個以上ありますが、そのうちどのくらいの割合で合格できているかを表すセキュリティスコアがあり、100%合格を目指していく運用をやっていくべきです。
AWSセキュリティ成熟度モデルで始めるセキュリティの可視化
冒頭で紹介したAWS責任共有モデルに基づいたセキュリティ対策を実施していく必要があることはここまででご理解いただけかと思います。
ある程度セキュリティ対策をやっていくと、「どこまでやったらいいのか」という目標がわからなくなってしまったり、「今どの程度できているのか」という現在の達成度が知りたいなど、そんな問題が出てきます。
そんな課題を解決するために「AWSにおけるセキュリティ対策のロードマップ化や現状のセキュリティ対策の可視化」が必要です。
そこで紹介したいナレッジが『AWSセキュリティ成熟度モデル』です。こちらはAWSセキュリティ対策がどの程度実現できているか定量的に測るためのフレームワークです。
9つのセキュリティカテゴリと4段階のフェーズに区切ってセキュリティ対策がマッピングされており、専用のツール(Excel)をマッピングされたチェック観点を埋めていくことで、現在のセキュリティ対策状況がカテゴリごとにどの段階にあるのかを可視化できます。
AWSセキュリティ成熟度モデルを利用したセキュリティ対策の可視化について、もっと知りたい方はこちらのブログも併せてご覧ください。
まとめ
- AWSのセキュリティをレイヤー別に考えてみよう
- OS / アプリケーションレイヤー、AWSレイヤー
- まずは費用対効果の高いAWSレイヤーのセキュリティから始めることをおすすめ
- Amazon GuardDuty、AWS Security Hubを全リージョン有効化
- 通知設定を忘れずに、できれば運用フロー作成まで
- より広範囲のセキュリティ対策の可視化はAWSセキュリティ成熟度モデルを活用がおすすめ
さいごに
このブログでは、AWSセキュリティに関するウェビナーで利用した登壇資料の内容を改めて紹介しました。
最後まで読んでいただきありがとうございました。
以上です。
![[アップデート]CloudTrail Lake で高度なイベントセレクターがサポートされました](https://images.ctfassets.net/ct0aopd36mqt/wp-thumbnail-64f6cd71568d228b1e7f3831e5287d75/1b5c0e8e5797b4bff5913d5033b03348/aws-cloudtrail)
![[アップデート] Amazon QuickSight へロゴやテーマカラーを設定するための「ブランド管理機能」が追加されました](https://images.ctfassets.net/ct0aopd36mqt/wp-thumbnail-19e77b9a51519e08b94d0f688c125729/4f439c75e1ee56c70e315fa46fa45f81/amazon-quicksight)
