[レポート]Security Fundamentals ブートキャンプ #AWSSummit

こんにちは、菅野です。
AWS Summit Tokyo 2016 の 「Security Fundamentals ブートキャンプ」を受講してきました。
このブートキャンプは、AWSの公式トレーニングとして3日間で開催される座学、ハンズオン形式のコースである「Security Operations on AWS」の短縮版となっています。
本記事はそのレポートとなります。

ブートキャンプの概要

講師

• 鬼形 愛さん（ AWS Training and Certification テクニカルトレーナー）
  
  ※本来 AWS Summit Tokyo では写真撮影は禁止されているのですが、松本さん、鬼形さんへお願いして許可をいただきました。

内容（ブートキャンプの説明文より）

• クラウドコンピューティングと AWS セキュリティの基礎的な概念を学びます。
  AWS アクセスコントロールと管理、ガバナンス、ロギング、および暗号化の方法を理解し、さらに、セキュリティ関連のコンプライアンスプロトコル、リスクマネジメント戦略、および AWS セキュリティインフラストラクチャの監査に関連する手順についても扱います。

対象者

• AWS に関わる全てのエンジニア
• セキュリティ監査担当者

アジェンダ

• モジュール 1：クラウドコンピューティングと AWS セキュリティの紹介
• モジュール 2：アクセスコントロールとアクセス管理（実機演習あり）
• モジュール 3：AWS セキュリティ: ガバナンス、ロギング、および暗号化（実機演習あり）
• モジュール 4：コンプライアンスとリスク管理

モジュール 1：クラウドコンピューティングと AWS セキュリティの紹介

ここでは AWS 全体でどのようなセキュリティ対策が行われているか、利用者がどのようなサービスを使ってセキュリティ対策を行えるのかについて学べました。

クラウドセキュリティの概要

• セキュリティの重要性についての話から始まり、クラウドセキュリティとは何か、どのようなレベルのものなのか、その対象についての説明となります。

AWS グローバルインフラストラクチャ

• AWS の特徴、歩み、世界中でどのように展開しているかやリージョンとアベイラビリティーゾーンといった基礎知識を学びます。

AWS 責任共有モデル

• AWS を利用するにあたって、セキュリティに関して利用者と AWS がどのように責任範囲を分担しているかを学びます。
• 説明はインフラストラクチャサービス、コンテナサービス、アブストラクテッドサービスに分けて行われます。

AWS 側のセキュリティの概要

• AWS 側がネットワークに対してどのようなセキュリティ対策を行っているのか、可用性をどのように確保しているのか、AWS 社内のセキュリティ対策はどのような内容かの説明となります。
• また、AWS を利用する側の「適正利用規約」についても触れられています。

AWS のセキュリティ関連サービス

• AWS Identity and Access Management (IAM) や AWS CloudTrail といった「緑のアイコン」で表現されているサービスについて、それぞれの役割についての説明となります。

その他のリソース

• Trusted Advisor の見方や AWS サポートの概要と AWS プロフェッショナルサービスの紹介、AWS が提供している各種情報についての説明となります。
• AWS プロフェッショナルサービスの紹介では、実際に所属されている松本 照吾さん（プロフェッショナルサービス本部 コンサルタント）が登場して直接説明してくださいました。
  

モジュール 2：アクセスコントロールとアクセス管理

ここでは利用者が AWS Identity and Access Management (IAM) を使って権限をコントロールし、AWS の各種サービスをいかに適切に制御するかについて学べました。

AWS Identity and Access Management (IAM)

• ルートアカウントや IAM ユーザーの説明とセキュリティ認証情報の種類についての説明となります。

ポリシー

• 記述例や使用方法と IAM Policy Simulator の説明があります。

認証情報の利用における問題について

• 問題に対してロールを用いてどのように解決するか、その他の問題を解決する機能についての説明となります。

ユーザーの認証履歴を確認する方法について

• AWS マネジメントコンソールで確認出来る内容やAWS CloudTrail の説明となります。

ラボ 1

ここまで AWS Identity and Access Management (IAM) について説明していただいた内容を踏まえての実機演習となります。
操作は qwikLABS のラボ環境を利用し、隣の方とペアを組んで役割分担をして作業と検証を行いました。
詳しい内容は記載しませんが、ポリシー・IAMロールを使ったクロスアカウントアクセスに関する内容となっています。
ラボ 1の開始時点で約2時間経過しており、座学で疲れ始めている状態でのラボでしたのでとても良いアクセントになっていましたし、実際に体験すると理解度も違います。

モジュール 3：AWS セキュリティ: ガバナンス、ロギング、および暗号化

ここでは利用者がどのように AWS 上で監視やセキュリティを統制していくのかと、データを統制していく為に用意されているサービスについて学べました。

AWS におけるガバナンス対応

• AWS が提供しているシステム（グローバルにおいて均一）のもたらすメリットやシステムのインベントリ情報の取得方法についての説明となります。

AWS におけるロギング

• ログの重要性や適切な管理方法と、API 操作ログや各種サービスのログについての説明となります。

AWS におけるデータ保護

• AWS が提供しているデータ統制のための機能として、暗号化や鍵の管理についての説明となります。

ラボ 2

ここまでの説明の中で出てきた AWS CloudTrail を使用した実機演習を qwikLABS のラボ環境で行います。
説明だけでなく実際にどのように見れるのかを体験する機会を用意してもらえたのでより理解を深められます。

モジュール 4：コンプライアンスとリスク管理

ここでは、クラウドで実行するIT環境に対するガバナンスを維持するにあたり何をしなければいけないのか、AWS がそのために提供しているものやそれらがもたらすメリットについての説明となります。

このモジュールでの説明の終わりに以下の質問がありましたが、これらはAWSを利用していく上で必要な考え方を再認識させられるものだと思います。

• AWS で実行するワークロードは全て自動的にコンプライアンスに準拠したワークロードとなりますか？
• AWS が取得していない第三者認証に適合させたいシステムを AWS にのせることができますか？

受講した感想

このブートキャンプは、約4時間の講義の中で AWS の基礎知識からクラウドで実施すべき基本的なセキュリティ対策について学べた上に、実機を使ったラボまであるというすばらしい構成と内容でした。
また、所々に AWS のマメ知識的な話があって、それもまた楽しませてもらえました。（何回心の中で「へぇ〜」と言っていただろうか）

まとめ

責任共有モデルやIAMユーザー、IAMロールのように「 AWS を利用するにあたって基本だけど必要なこと」が含まれており、AWS を利用する人全員におすすめの内容です。

今回参加したかったが出来なかった方、このレポートを読んで興味を持った方、これから本格的に AWS を利用していくという方は、「Security Operations on AWS」コースの受講をお勧めします。
※「Security Operations on AWS」については過去のブログエントリーもご覧ください。

また、「AWS トレーニングと認定」にて AWS が開催している様々なテクニカルトレーニングが紹介されていますので、気になるトレーニングがありましたら是非参加してみてください。

おまけ（鬼形さんが教えてくれたトリビア）

IAMロールのアイコンはなぜ「ヘルメット」なのか、皆さんご存知ですか？ちゃんと意味があるんですよ。
ここでは書きませんので、ネットで調べるかAWS のイベントに参加して聞いてみてください！