この記事は公開されてから1年以上経過しています。情報が古い可能性がありますので、ご注意ください。
こんにちは、臼田です。
みなさん、AWSのセキュリティキャッチアップしてますか?(挨拶
今回はAWS最大のセキュリティカンファレンスであるre:Inforceのキャッチアップとハンズオンが合わさり、オンラインで行われたAWS re:Inforce 2022 re:Cap Seminar and Amazon Inspector Workshopのうち、re:Cap Seminarのレポートをします。
既にre:Inforceのレポートや動画や資料は公式から出ていますので詳細はこちらを確認していただくといいですが、このre:CapではKeynoteのわかりやすいまとめになります。
レポート
Keynoteの概要
- AWSセキュリティとコンプライアンスに関する最大規模のカンファレンス
- 6000人以上参加
- 様々なセッションがあった
-
5つの新発表あり
-
今回は新しくサーキットトレーニングという形態も採用した
- 45分を3パートでローテーションする
- ソリューションを学んで、どう活用されるかみて、自分で実装してみる
-
IRトレーニングと同じようなアプローチ
- AWSを利用するセキュリティメリット
-
1つの企業の体験するセキュリティインシデントは限定的
-
AWSでは地球の裏側のインシデントを参考にしたインテリジェンスがすぐに使える
-
規模の経済によるメリット
- Amazon自体も沢山の脅威にさらされている
- このインテリジェンスがすぐに利用できるようになる
-
- AWSにはセキュリティガーディアンがいる
- セキュリティ専門チームではなく、開発チームにいるエンジニアなどを任命する
- すぐに開発から入れるようにこのような仕組みにしている
- 初期の段階からすべての段階にセキュリティを組み込める
- これはAWSのやり方だが、いいやり方なのでまねしてほしい
- MongoDB社でもセキュリティチャンピオンシップという同様の取り組みをやっていて、これを実際に紹介してもらった
- 「人を重要データから切り離す」
- 重要なデータにアクセスできるのはツールのみ
- 人間がやるのはツールを調達したり利用可能にしたりするツーリングに集中する
- ツールが効果を発揮するのは多層防御の全体戦略の一部
- CISOの話
- 毎週やっているミーティングはセキュリティを強化する仕組み
- CEOが、ビジネス責任者がセキュリティの最高責任者でなくてはならない
- 例として、AWSが買収した企業との最初のミーティングにビジネス責任者が出席しなかったため一度中断して、ビジネス責任者の出席を求めたという逸話がある
- セキュアなやり方
- 抵抗勢力にならないように、事業部に「No」という組織から「Yes but / Yes and」と否定しないように文化を変える必要がある
- チームの中に多様性が必要
- 変わるためには今までにない考え方を持てるようにする必要がある
- Neurodiversity
- いろんなダイバーシティがあるがこれは神経のダイバーシティ
- 考え方や価値観
- 多様性が多様性を生む
- 最初の多様性は意識して設計する
- それ以降は自然発生的に多様性が生まれる
- AWSのパートナーセキュリティ
- 新しいセキュリティコンピテンシーパートナープログラムを発表
- AWS Level1 MSSPが発表されている
- フルマネージド型セキュリティサービスを提供
- AWS Marketplace Vendor InsightのPreviewが開始
- いろんなベンダーのセキュリティ評価を確認できる
- 調達担当者がベンダーの認定を受けているとかをAWSの管理画面上で確認できる
- 内部的にはAWS ConfigやAWS Audit Managerを利用した評価結果を表示
- 新しいセキュリティコンピテンシーパートナープログラムを発表
- 人材教育の話
- Cloud Audit Academy
- PCI DSS準拠に関するアシュアランス、リスク、コンプライアンス専門家向け学習プログラム
- ISACAと共同開発
- Security Awareness Training
- AWSでも使用しているセキュリティ意識向上トレーニングの無償公開
- アカウント保護には多要素認証セキュリティキーの仕様を強く推奨
- Threat Modeling Workshop
- 脅威モデリングのワークショップ
- 脅威モデルを考慮してサービスを設計構築する際の基本を学べる
- AWS Workshop StudioやAWS Skill Builderからアクセス可能
- 1人でもできるが少人数グループで実施を推奨
- 日本語化したい
- Cloud Audit Academy
- ポスト量子暗号標準
- AWSはNISTが発表したポスト量子暗号標準をAWSはサービス設計に取り入れている
- 量子コンピューティング時代の暗号化方式を検討する時期に来ている
- ハイブリッドポスト量子暗号鍵交換のライブラリを実装してOSSで公開
- s2n(signal-to-noise)
- TLS接続オプションとしていまは3つのAWSサービスで利用できる
- AWS KMS
- ACM
- AWS Secrets Manager
- AWSはNISTが発表したポスト量子暗号標準をAWSはサービス設計に取り入れている
- Call to Action
- これをやってくれという3項目
- 全てを暗号化する
- ブロックパブリックアクセス
- MFA有効化
- これをやってくれという3項目
新サービス紹介
- AWS IAM Roles Anywhere
- AWS環境外にあるワークロードからAWSリソースにアクセスさせる仕組み
- AWS環境と同じIAMポリシーとルールを使用できる
- なぜ使うのか
- 安全性
- 一時的なクレデンシャルが利用できる
- 永続的なアクセスキーが不要
- 運用コストの削減
- 統一された運用にできる
- 効率的な移行
- AWS環境外から移行してくる時に先にこれを利用すると簡単になる
- 安全性
- 仕組み
- 公開鍵基盤を使う
- CAが発行した証明書を元にIAM Roleを引き受ける
- Amazon Detective
- セキュリティインシデントを調査するサービス
- 今回EKSに対応した
- EKS特有の活動を確認できる
- コンテナクラスタ感染時の振る舞いなど確認できる
- Amazon GuardDuty
- 脅威検知のサービス
- エージェントなど必要ない
- コンテナ対応している
- パフォーマンスも影響ない
- 今回Malware Protectionという機能がリリース
- 対応範囲
- EC2インスタンス
- ECS
- EKS
- EC2上で独自に管理しているコンテナ
- マルウェアスキャンのタイミング
- GuardDutyが潜在的に感染した可能性のあるEC2インスタンスを検知すると自動的にスキャン開始
- EBSをバックアップしてスキャン
- スキャン間隔は24時間
- AWS Security Hub
- 今回GuardDuty Malware Protection検出結果も統合できるようになった
- Amazon Macies
- S3上の機密データを検知
- ワンクリックで一時的にデータを参照可能
- すぐに確認できて運用が楽になった
- Wickr
- AWSが買収したサービス
- AWS WickrをPreviewとして提供開始
- テレビ会議やメッセージアプリなどで社外秘のデータが含まれている場合にはその機密性が必要
- WickrはそれらをE2Eで暗号化
- もともとのWickrがAWSと連携して強化された
- AWS WAF
- SQLインジェクションルールの感度レベル追加
- 高・低の感度レベルを提供
- これまでのルールは低
- 高くすることでより多くのシグニチャが適用される
- 高が推奨
- AWS Network Firewall
- Prefix Listを利用できるようになった
- AWS IAM Identity Center
- AWS SSOの名前が変わった
- 中身の技術的な変更やAPIの変更はなし
Top 5セッション
- 参加者数が多かったセッション5つ
- AWS Identity and Access Management (IAM) deep dive
- Crawl, walk, run: Accelerating security maturity
- What’s new with AWS threat detection services
- An overview of AWS firewall services and where to use them
- Automating patch management and compliance using AWS
まとめ
re:InforceのKeynoteでは最新機能もそうですが、どのようにセキュリティに関する取り組みを行っていくか、という考え方や取り組み方法のヒントなどもいっぱい詰まっていました。
更に沢山のセッション資料や動画などもありますので、是非チェックしていきましょう!
12
