【初心者向け】「今日からスタート！AWS セキュリティ 初めの一歩」というセッションを視聴しました。＃AWSBuilders

AWS Builders Online Seriestとは

AWS Builders Online Seriesとは2022年7月14日に開催されたAWS初心者のためにゼロからAWSを学ぶイベントです。

AWS 初心者向けの大規模イベント AWS Builders Online Series が本日を開催です。ゼロから AWS を知りたい方や、Web アプリケーション開発、機械学習、コンテナ、サーバーレス、分析などの AWS サービスを基礎から学びたい方は必見です。

「AWSについて学びたいけど、用語が分からない。。」という方にも、「いちばんはじめに押さえておきたい！初学者向け AWS キーワード Top 10」というセッションも用意されていますので、安心してイベントに参加できるようになっています。

セッション概要

「今日からスタート！AWS セキュリティ 初めの一歩」
登壇者：AWS 技術統括本部 技術推進本部 セキュリティ ソリューションアーキテクト 勝原 達也 氏

このセッションでは、AWS アカウントを取得したその日から始まるお客様のクラウドジャーニーを安心して歩んでいただくのに役立つ、セキュリティのファーストステップについて紹介します。

ということで、AWSを始めて間もない初心者の方がAWSのセキュリティに関して学ぶにはもってこいのセッションとなっています。

AWSにおけるセキュリティの考え方

クラウドサービスの利用は引き続き増加傾向にあり、何らかの形でクラウドを利用している企業は７０％程ある。
クラウドを利用していない３０％ほどの企業がクラウドを利用しない理由として上げているのは「セキュリティへの不安」というところが大きい。

同時にクラウド利用企業はセキュリティに関して高い評価をしているという統計結果もある。 このことから、クラウドのセキュリティに関してギャップがあることが分かる、と勝原氏は語る。
このギャップを埋めるためには以下の３つが重要になってくる

• セキュリティはAWSの最優先事項
  • AWSはセキュリティ、ID、コンプライアンスのための包括的なサービスを提供している
  • 独立した監査人による継続的なセキュリティとコンプライアンスの確認の実施
  • ユーザーはAWSを活用することで柔軟かつセキュアな環境を実現可能
• AWSにおける責任共有モデル
  • AWSとユーザーが協力して、システム全体で優れたセキュリティを実現するための理想的なアプローチ
  • AWSの責任範囲：データセンターなどの物理的な設備、ネットワーク回線、サーバーやストレージなど
  • ユーザーの責任範囲：ユーザー固有のアプリケーションのセキュリティ対策、OSへのパッチ適用、ユーザーデータの暗号化、ファイアウォールの設定
    
  • AWSにセキュリティの一部を任せることができる。
• AWSを葛生下お客様のセキュリティ統制の実現
  • 予防的統制：あらかじめリスクを想定し、それが発生しないように予防できる対策を行う
  • 発見的統制：あらかじめリスクを想定し、それが発生した場合に検知し影響を抑える対策を行う
  • この二つを組み合わせて、継続的に改善していくことが重要

実施していただきたいはじめの一歩

AWSアカウントをセキュアにしよう

IAM

IAMはリソースをセキュアに操作するために、認証/認可を行うマネージドサービスで、AWSの200以上のサービスを同一の枠組みで管理ができるという特徴を持っている。
AWSセキュリティの根幹という位置づけのサービスであると勝原氏は語る。

ベストプラクティスについては以下の通りである。

• ルートユーザーを通常の作業に使わない
  • 全AWSサービスとリソースに無制限のアクセス権限を持つ特権ユーザー
  • セキュリティ面だけでなく操作ミスの影響も考えられる
  • 日常業務には利用せず、ルートユーザーしか行えない一部のタスク（サポート契約変更、アカウント解約など）の場合のみ利用する
  • 日常業務で使う一般ユーザー（IAMユーザー）を作成する
  • ユーザーはグループに所属することが可能（IAMグループ）
  • IAMユーザーは事前に許可されてあアクセス権限（IAMポリシー）の範囲で操作が可能
• 多要素認証（MFA）を利用する
  • ID/PW＋ワンタイムパスワードのように複数の「要素」を組み合わせた認証のこと
  • 多要素認証はAWSアカウントン保護ののために強力な手段
  • ユーザーのAWS環境を守る
  • ルートユーザー/IAMユーザーを守る
  • ワークロードを守る
  • その先にいるエンドユーザーを守る
  • 物理MFAデバイスや仮想MFAデバイス（スマートフォンアプリ）を使ってMFA認証が可能
• ルートユーザーのアクセスキーを使わない
  • アクセスキーはプログラムなどからAWS環境を操作するための承認情報
  • デフォルトではアクセスキーは存在しない
  • ルートユーザーのアクセスキーは日常操作で使うユースケースはないため（あらゆる操作が無制限でできてしまうため）もし作成している場合は削除する
  • よりセキュリティを高める手段を使う（例；一時的な認証情報）

AWSで起きた事実を記録しよう

AWS環境で発生した事実を正しく記録しておくことで、セキュリティ調査が必要となった場合に影響があったかどうかの判断、や影響範囲の調査ができる。 さらに、原因の特定や、対策の有効性の裏付けなど調査と対応を進めるためにい非常に役に立つ。

AWS CloudTrail

• AWSアカウントにおける各種操作の、ログ記録、継続的なモニタリング、保持が可能
• いつどこで誰がどんな操作を実行したのかを記録し、容易なセキュリティ分析を可能に
• 設定によりAmazon S3に証跡を自動保存
• CloudTrailコンソールから過去90日間のイベント（操作履歴）を無料で参照、ダウンロード可能
• フィルタリング機能あり

AWS Config

• AWSリソース構成情報の一元管理のためのフルマネージド型サービス
• AWSリソースの構成変更履歴をロギング（保持期間はデフォルトで７年）
• 構成変更の追跡で、どの時点で、どのリソースが、どのような構成だったのかを把握することでセキュリティ分析などを容易に
  

セキュリティ脅威を自動的に検知しよう

Amazon GuardDuty

• 機械学習と豊富な脅威情報に基づいた脅威検知で、ユーザーのAWS環境を保護
• AWSが管理する基盤で動作し、導入時の構成変更不要＆性能影響なし
• 脅威検知手法はAWSが継続的に改善
• 30日の無料トライアルあり
  • 検出結果サンプルを作ることで、脅威が検知されなくても実際にサービスを触ってみることが可能。

コスト面で「安心」を確保しよう

コストが急増する原因としての例がいくつか紹介されていた。

• 運用うっかりミス
  • 大きなEC2インスタンスタイプの検証環境を立ち上げて放置してしまっている
• 不具合い作りこみ
  • Lambda関数で無限ループ発生
• 意図しないアクセス
  • 公開リポジトリにアクセスキーをコミットしてし待ったことが原因で悪用され、仮想通貨のマイニング用インスタンスを大量に作成されてしまった

このようなコスト急増は請求されるまで気づけないということがありがちだという。
これではコスト面で「安心」が確保されているとはいいがたい。

AWS Budgets

• AWS Budgetsの請求アラート機能を使う
  • コストが高額になる兆候を知らせてくれる
  • 実績/予測コストが、予算に対する「しきい値」を超えると警告メール
    
  • 予算の監視とアラート通知の受信は無料

継続的な改善へ取り組もう

AWS Trasuted Adviser

• ユーザーのAWS環境を自動的に検査し、AWSベストプラクティスに基づく改善を提案
• セキュリティ、耐障害性、パフォーマンス効率、コスト最適化、サービスの制限の軸で推奨事項を提示
• セキュリティのチェック項目一覧
  
• これらを手動でチェック/改善するのは非常に手間がかかるため、TrastedAdviserを使って自動化するとよい

まとめ

本セッションで紹介したサービスをすべて使用するとこのような構成になる。
スクショ
今回の施策は、はじめの一歩ではあるが、この先さらにセキュリティ改善を行っていく際にも、本セッション内容はすべて役に立つだろうと勝原氏は語っていた。

視聴を終えて

セキュリティの考え方についてとても分かりやすく解説がなされていて、初心者の方はもちろん、AWSについてよくご存じの方でも一度セキュリティについて 見直すために非常に有効なセッションだと思いました