[レポート] リーダーシップセッション:AWSのセキュリティ #reinvent #SEC201-L

re:Invent 2019で行われたセッション「Leadership session: AWS security」のレポートです。
2019.12.04

AWSを愛する皆さま、こんにちは。
コンサルティング部の西野(@xiye_gen)です。

AWS re:Invent 2019 セッション「Leadership session: AWS security」のレポートです。

目次

セッション概要

タイトル

Leadership session: AWS security

概要

Stephen Schmidt, chief information security officer for AWS, addresses the current state of security in the cloud, with a focus on feature updates, the AWS internal “secret sauce,” and what’s to come in terms of security, identity, and compliance tooling.

動画

※公開後に本ブログに追記します。

レポート

AWSのCISO(Chief Information Security Officer)であるStephen Schmidt氏(@StephenSchmidt)がAWSにおけるクラウドセキュリティの近況を解説したセッションです。

本ブログでは私が「おもしろい」と感じた部分についていくつか紹介したいと思います。

セキュリティの民主化(Democratization of security)

セキュリティにはいつも多くの問題がつきまといます。脆弱性が日々発見され、それを狙う攻撃者もあとを絶ちません。こうした脅威への対策を満足に実行できるような専門家を雇い組織としての体制を整えることはとても難しいです。

しかしながら、Stephen Schmidt氏は、AWSのユーザーはこういった意味でのセキュリティ対策を自ら実施する必要がないと言います。どういうことでしょう?

1 quadrillionという数字が出てきました。

1 quadrillion = 1,000,000,000,000,000 = 1000兆であり、この数字は1ヶ月あたりにAmazon CloudWatchで観測されるメトリックの数です。この膨大な数のメトリックがインターネット空間そのもので何がおきているかというヒントを統計学的な観点から与えてくれます。

AWSはこの観測結果を利用して230以上のセキュリティ/コンプライアンス/ガバナンスに関連するサービスや機能を開発しています。それ故、AWSを利用するものであれば誰しもが(Goldman Sachsのような超大型顧客であれAWSのFree Tierだけを利用する学生であれ)スケールによるメリットを享受できるというわけです。

まさに「民主化」といえるかもしれませんね。

セキュリティ担当者がまっさきに手を付けるべき10のこと(Ten places your security group shoud spend time)

「re:Invent参加者の皆さんはスライドの写真を撮るのが好きですよね。このスライドに関してはそうして(写真を撮って)いただきたいです」とStephen Schmidt氏がおっしゃっていたのがこれ。

一つ一つの項目だけを見ると小さなものだが全てを合わせると大きな価値をもつとのことです。

  • Accurate account info
    • AWSが脅威を検知した際にはアカウントに登録されたEmailアドレスに連絡してくれます。正しいEmailアドレスが設定されていることを確認しましょう。
  • Use MFA
    • MFAを使用しましょう。特にルートアカウント。
  • No hard-coding secrets
    • ユーザー名・パスワード等をハードコーディングしてはいけません。
  • Limit security groups
    • 怠惰な開発者「インターネット空間って超広いじゃん!誰も俺たちを見つけられないからセキュリティグループの設定もテキトーでいいよ」
    • ダメです。ポート番号とソースIPを指定してアクセスを限定しましょう。
  • Intentional data policies
    • 「データを保存してはならない」ではなく「データを保存したいならこうするべき」という指標を作ろう
    • このような指標は非エンジニアが正しい意思決定をするために役立つ。
  • Centralize AWS CloudTrail logs
    • CloudTrailでログを取らないという選択肢は無い。(S3に長期保存すると極めて安価であるため。)
    • 今すぐ有効化しましょう。
  • Validate IAM roles
    • 最小権限を付与しましょう。
  • Take action on GuardDuty findings
    • GuardDuty有効化後、脅威を検知したら対策をしましょう。
  • Rotate your keys
    • キーをローテーションさせましょう。
  • Being involved in dev cycle
    • 開発プロセスにセキュリティ対策を組み込みましょう。

その他最新のアップデート

本セッションではセキュリティ関連のアップデート情報もたくさん紹介されていました。

re:Invent 2019におけるセキュリティ関連のアップデートについては下記のエントリをぜひご参照ください。

re:Invent 2019セキュリティ関連情報まとめ #reinvent

終わりに

このブログがほんの少しでも世界を良くできれば嬉しいです。
コンサルティング部の西野(@xiye_gen)がお送りしました。