話題の記事

[書評]クラウドに限らないセキュリティの原理原則を学びすぐに組織に適用できる本「AWSではじめるクラウドセキュリティ」 #AWS #クラウドセキュリティ #AWSではじめるクラウドセキュリティ

AWSなどクラウドに限らない、セキュリティの原理原則から学べる本です。まずは私の熱い思いを聞いてください。
2023.02.19

この記事は公開されてから1年以上経過しています。情報が古い可能性がありますので、ご注意ください。

こんにちは、臼田です。

みなさん、セキュリティを学んで適用してますか?(挨拶

「セキュリティ対策やらなきゃ、でも何からやれば?」とお悩みのみなさんが読むべき本がリリースされました。「AWSではじめるクラウドセキュリティ」を紹介します。

まずは私の思いを聞いてくれ

まずは書籍を読み終わって興奮しているテンションの私の話を聞いてください。

みなさんは自分たちのIT環境のセキュリティ対策でどんなことをやっていますか?

やっていることは説明できると思います。AWSであれば、「EC2へのネットワークアクセスをSecurity Groupで絞っています」とか「「CloudTrailでAWSの操作ログを保存しています」とか「Amazon GuardDutyを有効化しています」、いろいろありますよね。

では、そのセキュリティ対策はなぜ、やっていますか?

この「なぜ」を説明できない方は多いのではないでしょうか?

本来、企業でセキュリティ対策を行っていく場合はこの「なぜ」それを行うのかが適切に整理され判断されるべきですが、これが様々な場面で抜け落ちて、ついつい場当たり的なセキュリティ対策になっていることは多いでしょう。

セキュリティ対策に近道はありませんから、セキュリティの原理原則を理解して、自分たちの企業の状況を確認したり、どうなりたいのかを定義して実施をしていく必要があります。

セキュリティの原理原則を理解してこれを実践することは簡単ではありませんが、この「AWSではじめるクラウドセキュリティ」を読めばやっていくことが可能でしょう。つまり全員読んでくれ!

「AWSではじめるクラウドセキュリティ」の概要

少し長いですが書籍の概要を出版社のテッキーメディアさんより引用します。

本書はAWSを題材に、セキュリティの基本を学ぶことのできる本です。「セキュリティを考えたいが何から始めるべきか知りたい」、「クラウドにおける特徴やポイントを知りたい」など、ユーザーの方が抱きがちな疑問に答え、セキュリティと上手く付き合っていくための指針を得ることができます。 本書はセキュリティの概念からその業務、セキュリティ資産の把握や対応策の策定、実装の方法などを説明します。大きく3つのパートに分かれ、まず基礎編の第1部では、セキュリティの基本やその業務、AWSなどのクラウドに特徴的な責任共有モデルの考え方などについて解説していきます。中盤の第2部では、セキュリティの設計/実装の流れや仕組み作りについて解説します。AWSの利用を開始するにあたって対応しておきたい初期設定から、「識別」「防御」「検知」「対応・復旧」というセキュリティ業務の解説を行い、組織的なセキュリティ活動を具体的にガイドしていきます。第3部はセキュリティの実践編として、代表的なAWSのセキュリティサービスを活用した防御と検知、対応をハンズオン形式で演習できるように構成されています。 本書はセキュリティに特別な知識のないユーザーの方でも読めることを前提に、組織としてセキュリティに取り組むための具体的な活動内容を説明しています。「防御」や「検知」などのセキュリティ業務の概念だけではなく、実際に活用できるAWSの機能やサービスを交えて解説していることが特徴です。本書を読むことで、業務としてとらえたセキュリティ対応の全体を俯瞰できます。

もちろんAWSを題材にしているので、AWSセキュリティの具体的な内容も含まれていますが、それ以上に「セキュリティとはなにか?」といったところから「企業における具体的なセキュリティ設計/実装」を扱っていて、これを読んでいただけば自分たちの組織やITシステムに適用していくことができます。

目次は以下のようになっています。

  • 第1部 クラウドとセキュリティの基本
    • 第1章 セキュリティって何だろう、クラウドって何だろう
    • 第2章 セキュリティと責任共有モデル
    • 第3章 ガバナンスとセキュリティの要件
    • 第4章 セキュリティポリシーを作る
  • 第2部 AWSでセキュリティを実装する
    • 第5章 AWSの利用を開始する際のセキュリティ
    • 第6章 リスクの特定とセキュリティ管理策の決定
    • 第7章 セキュリティ管理策の要となる防御
    • 第8章 セキュリティ検知の仕組み作り
    • 第9章 AWSで対応/復旧を始める
  • 第3部 AWSのセキュリティを試す
    • 第10章 代表的なセキュリティサービスの操作
    • 第11章 セキュリティ対応環境の構築、脅威検知/対応

どの章も非常に重要ですが、私が特に推したいのは「第2章 セキュリティと責任共有モデル」と「第6章 リスクの特定とセキュリティ管理策の決定」です。

これらの内容も含めて推しポイントをいくつか紹介します。

推しポイント

わかりやすいイメージ図が多い

セキュリティや実態のないITの話は頭の中でイメージしづらい事が多いです。この書籍ではわかりやすく説明するためにイメージ図が沢山用意されています。初めてセキュリティやAWSのことを学ぶ場合でも、すごく入りやすいと思います。特に序盤のセキュリティってなんだろう?というところは手厚く図が入っているので導入からつまずくことが無いように丁寧に作ってあると感じました。

もちろんイメージ図以外にも、情報をわかりやすく整理したグラフやAWSの構成図、実際のAWSの画面なども多用されています。

セキュリティの原理原則の手厚い解説

セキュリティの原理原則は、セキュリティ対策を行っていくために必須の考え方ですが、同時に分かりづらいものでもあります。この書籍では先述の図と共に、わかりやすく概念を説明したり、その用語や考え方が具体的にどこから来ているのか説明されています。

例えば下記図ではセキュリティにおける「責任」について、2つの責任があるという話から、説明責任(Accountability)と実行責任(Responsibility)について解説されています。

このように、理解しにくかったり、混同しがちな言葉や考え方を手厚く解説してくれています。

「第2章 セキュリティと責任共有モデル」ではこのような責任の考え方から責任共有モデルをどう解釈すればいいか説明されています。この章で登場する「説明責任はアウトソーシングできない」という言葉はクラウドのセキュリティを特に的確に表していて、そしてほとんどの人が間違えてしまいそうなところを正すのにふさわしい言葉です。

ぜひ読んで心に刻んでください。

実践できるリスクアセスメントを学べる

序盤でお話した「そのセキュリティ対策はなぜやるのか」という元になるのは、本来リスクアセスメントを行った結果のセキュリティ管理策です。

しかしながら、実際の現場では適切なリスクの評価がされていないことがよくあります。なぜなら「そもそもリスクアセスメントってどうやるの?」「リスクアセスメントってなに?」となっているからです。

「第6章 リスクの特定とセキュリティ管理策の決定」ではリスクアセスメントの手法について手厚く説明してあり、例えば下図のようにリスク分析をどのような手法を使って行っていくのかや、定量的なスコアリングを行いセキュリティ管理策を検討する具体的な方法が書かれています。

具体的な実践のイメージもつきますので、すぐに自分たちの組織やITシステムに適用してみましょう。

AWSセキュリティのハンズオン

この書籍のスコープはセキュリティの考え方やドキュメンテーションの方法といった上位の概念だけではありません。AWSを題材にしていますので、実際にAWS環境上でどのようにセキュリティ対策の設定を行っていくのか、あるいはどのようなセキュリティ対策が実現できるのかを、「第3部 AWSのセキュリティを試す」の2つの章でハンズオンをしながら学ぶことができます。

「第10章 代表的なセキュリティサービスの操作」では、AWSアカウントを作成して利用し始める際に設定していくAWSのセキュリティ設定やマネージドサービスについて、その操作方法や確認観点が学べます。

「第11章 セキュリティ対応環境の構築、脅威検知/対応」では、危なくない範囲で実際のセキュリティインシデントをシミュレートし、Amazon GuardDutyを利用した脅威の検知をトリガーに、自身のAWS環境で何が起きたのかをGuardDutyのイベント・AWS Security Hubやリソースの状態を確認したり、Amazon Detectiveを使って調査し、暫定対応・封じ込めを行います。実際のインシデントに対応するための経験を積むことで、事前の備えに必要なものや実際に対応する際の自信が得られます。

セキュリティ学習のための根拠と参考ドキュメント

セキュリティを理解し実践していくためには、常に学習をし続ける必要があります(これはIT全般でもそうですが)。「セキュリティの原理原則の手厚い解説」のところでも触れましたが、この書籍はその用語や考え方が具体的にどこから来ているのかという根拠や参考ドキュメントが沢山紹介されています。

例えば、序盤のセキュリティの3要素の説明では、その定義がされているISO/IEC27000に触れたり、第2部ではセキュリティ管理策を検討する時に利用できるNIST CSFというフレームワークのコア機能をベースとした順序の説明をしたり、第6章のリスクアセスメントの最初の工程の説明では資産を把握するための構成管理がITILでも重視されていることが説明されたりしています。

これらの参考情報からどのような考え方があるのかや現場で活用できるフレームワークを知ることができるため、正しく深く学習していく足がかりになります。

まとめ

セキュリティの原理原則から学習していくのに最適な本だということをお伝えしました。なんのためにやるのか、なぜやるのか、理解して実践したい方はぜひ手に取ってください。

Amazonのリンクを貼っておきます。

Amazon.co.jp: AWSではじめるクラウドセキュリティ: クラウドで学ぶセキュリティ設計/実装 : 松本 照吾, 桐谷 彰一, 畠中 亮, 前田 駿介: 本

Kindle版は「できれば3月中くらいに」ということで準備中だそうですが、PDF版はBOOTHから購入できるそうです。

追記: Kindle版出ました!

ちなみに、下記ブログでも同じ書籍の紹介をしていますが、私も書きたくなった気持ちを抑えられなかったので書きました。