「AWSセキュリティ成熟度モデルで自分たちのAWSセキュリティレベルを説明できるようにしてみよう」というタイトルで登壇しました

こんにちは、臼田です。

みなさん、AWSのセキュリティ対策してますか？(挨拶

今回はAWSセキュリティ成熟度モデルを活用して組織のセキュリティレベルを上げよう！というイベントで登壇した内容の解説です。(ちょっと前のイベントですが)

最近私が注目しているAWSセキュリティ成熟度モデルについての解説になります。

資料

解説

アジェンダは以下のとおりです。

• セキュリティ対策頑張ってるってどうやって言えばいいんだ？
• AWSセキュリティ成熟度モデルとは
• 使い方・コツ
• 説明できたら次のステップ

セキュリティ対策頑張ってるってどうやって言えばいいんだ？

まずは課題の話から。

AWSに限らずですが、セキュリティ対策はITを扱う上で基本的なことでもあり、しかし継続的に取り組まなければいけない一筋縄ではいかない課題です。

そんな中で例えば上司から「AWSのセキュリティ対策ちゃんとやってる？」と聞かれたときにあなたはどのように答えますか？

もちろん「まったくやっていない」という方はそんなにいらっしゃらないと思いますが、しかしどのように表現するのかは簡単ではありません。

例えば以下のような回答をするとします。

• 「CloudTrail / Config設定してます」
• 「GuardDuty / Security Hub有効化してます」
• 「S3公開してません」
• 「IAM最小権限を意識してます(できてない)」
• 「アラート受け取って運用してます」
• 「セキュリティスコア維持しています」

これらの回答は悪いわけではありません。しかし結局それがどの程度できているのか、というのはうまく伝わりません。

これらの表現ではセキュリティ対策の網羅性や、そのできている度合いを表現できていないからです。

そんな中でもAWS Security Hubを利用していれば、以下のようなセキュリティスコアが表示できるため度合いが表現できる部分はありますが、これも全体を網羅している値ではありませんので、これ以外にも説明するための情報が必要です。

というわけでAWSセキュリティの全体を通して網羅的に、そして度合いを表現できる指標がほしいわけです。以下のような感じだとどうですか？

細かいところは一回置いておいて、各セキュリティのカテゴリに対してレベル感が定義されており、どこまでできていて何が足りないか一目瞭然ですね。この図だと7,8の項目がレベル1までしかできていないから、ここの改善からやっていけばいいことがわかります。

これがAWSセキュリティ成熟度モデルです。今回はこちらの説明と、使い方やコツを紹介します。

なお以下の記事ではより詳細に解説しています。

AWSセキュリティ成熟度モデルとは

AWSセキュリティ成熟度モデル(AWS Security Maturity Model)はAWSから提供されている、組織がAWSのセキュリティ対策をどの程度実現できているかを定量的に測るためのフレームワークです。(扱いはAWS公式のドキュメントではないので注意が必要ですが、十分活用できます)

以下の図ように9つのCAFベースのセキュリティカテゴリと、それぞれ4つのフェーズで分類されています。

9つのカテゴリは下記のとおりです。

• セキュリティ ガバナンス
• セキュリティ保証
• アイデンティティとアクセス管理
• 脅威検出
• 脆弱性管理
• インフラ保護
• データ保護
• アプリケーションセキュリティ
• インシデント対応

4つのフェーズはこのようになっています。

1. クイックウィン(Quick Wins)
2. 基礎(Foundational)
3. 効率化(Efficient)
4. 最適化(Optimized)

この4つのフェーズが非常にちょうどよくて、Phase1のクイックウィンはとりあえずすぐに実施できるのでまずやっていこうというものです。例えば他要素認証を有効化するとか、S3のパブリックアクセスを禁止するとか、すぐできる当たり前の事ですね。私の感覚としては、Phase2まで一通り出来ていれば最低限はセキュリティ対策ができていると言えるレベルです。

使い方・コツ

AWSセキュリティ成熟度モデルで取り組む具体的な内容は以下のようなものがあります。

AWSセキュリティ成熟度モデルとの付き合い方は以下のように考えると良いです。

• AWSセキュリティ成熟度モデルはあくまで指標
• 組織単位の作りだがプロジェクト単位でも使える
• Phase3,4は必ずしも満たす必要はない
  • 「一般的な目指すべき理想の状態の1つ」と考える
• 各推奨事項を詳細まで理解しようとするとある程度AWSセキュリティの専門性が必要
  • 社内にいるAWS Certified Security - Specialty有資格者などが支援するといい
  • 有資格者がいなければ取得する(重要)

実際にこれを活用するときにはMaturity Model Assessment toolsのページにエクセルが置いてありますのでこれを活用すると良いです。以下のようなイメージなのでコメントに詳細情報を書きつつスコアを付けていきます。

以下のような感じで集計されます。

これをいい感じにグラフ化してあげるとこんな感じになります。(再掲)

なお、そのまま活用すると調整したくなる項目が出てくるので、自社のポリシーなどに合わせて調整していきましょう。

説明できたら次のステップ

さて、これを活用したらAWSのセキュリティ対策がどれくらいできているか、現在地の説明をすることができました。しかしここはスタート地点です。大事なのはそれからどうするかですね。

まずは前述の通り、Phase2まで終わってないのであれば一気にそこまでやっていきましょう。

しかし、Phase3以降は一筋縄ではいかない項目です。そのまま伸ばしていってもいいですが、これまでPhase2までの対策が十分ではなかった場合、社内の仕組みづくりが十分ではない可能性があります。別プロジェクトに横展開したり、全体の仕組整備をしていくのもいいと思います。

それぞれの立場でやることは違うと思いますが、一度AWSセキュリティ成熟度モデルを活用すると、セキュリティ対策の全体像が掴めてくるため、いろんな改善につなげていくことができるでしょう。

特に組織内のガイドライン整備とAWSの基礎教育の環境を作っていくのは効果的でしょう。

まとめ

AWSセキュリティ成熟度モデルを活用すると、組織やプロジェクトのセキュリティの現在地を確認できます。

まずは一度試して可視化してみましょう。

そして、可視化できたらそれぞれのステップを進めていきましょう！