[レポート]ベストプラクティスに基づくリスク評価と保護 #AWSSummit

AWS Summit 2018 Tokyo

この記事は公開されてから1年以上経過しています。情報が古い可能性がありますので、ご注意ください。

今日は2018/05/30より3日間に渡って東京で開催されている「AWS Summit Tokyo 2018」からセッションをレポートします。

このレポートはTech初級 「AWS セキュリティ入門 1 ー リスク評価と保護 ー」です。スピーカーはアマゾンウェブサービスジャパン株式会社 ソリューションアーキテクトの保里 善太氏です。

レポート

自己紹介

中規模のスタートアップから、大手企業に渡ってゲーム業界とFinTech業界を中心に支援。 ゲーム業界とFinTech業界はDDoS攻撃を受けやすいという共通点がある。

セッションは、セキュリティの事前予防対策に焦点を当てる。 セキュリティ対策には継続的なシステムのリスク評価と保護が必要。 AWSには蓄積されたベストプラクティスに基づくリスク評価や保護を効率的に行う仕組みがある。

アンケート

AWSの利用中のお客様はどれぐらいいるのか? > 会場中2割程度

数字から見える事実

56万

1 IPアドレスあたりに送信された不正パケット数(2017年)

1万3792件

JVN iPediaに2017年に登録されたソフトウェアの脆弱性情報

現代の情報セキュリティの課題

  • 標的型攻撃などのサイバー攻撃の巧妙さと執拗さ
  • あたらに発見される多数のセキュリティ脆弱性
  • 日々開発され変化し続けるインフラストラクチャ

100%防御可能なセキュリティ対策は存在しない

事故前提社会でのセキュリティ対策

  1. 継続的なシステムのリスク評価と保護が必要
  2. インシデント発生時に素早く脅威を検知して、被害を最小限に抑える

リスク評価(リスクアセスメント)とは?

  • 組織なシステムに内在するリスクの大きさや影響度を知ることで、効果的なセキュリティ対策プランを導き出すこと
  • 限られた予算を有効活用して最大限の対策効果を得ることが可能

リスク評価と対応のプロセス

  • リスクの特定
  • リスクの分析
  • 判断: リスクレベル > リスク基準
  • 必要な場合: 保護や防御を実施、問題点を修正

カテゴリ別のリスク評価と対応例

  • インフラストラクチャ
    • 対応例: ネットワークの境界防御
  • データ
    • 対応例: 保存されたデータの暗号化
  • 論理アクセス管理
    • 対応例: 役割に応じたアクセス管理

AWSセキュリティサービス

インフラストラクチャのリスク評価と保護

ここでいうインフラストラクチャはネットワークやOSなどを指す。 リスク評価のサービス。

  • AWS Well-Architected Framework(ベストプラクティスに基づいたチェック)
  • AWS Trusted Advisor(リスクレベルの可視化)
  • Amazon Inspector(脆弱性診断ツール)

AWS Well-Architected Framework

設計に関するベストプラクティスとチェックリスト。 セキュリティ、信頼性、パフォーマンス、コスト最適化、運用性の5つの柱で構成される。 セキュリティの設計原則に合わせて、システムのリスク評価ができる。

AWS Trusted Advisor

自動的にセキュリティリスクの指摘やコスト最適化を実施するツール。 コスト最適化、セキュリティ、信頼性、パフォーマンス効率の4つの観点でチェックできる。

Amazon Inspector

自動化された脆弱性とセキュリティの診断サービス。 Amazon EC2にエージェントを導入し、プラットフォームのセキュリティを評価するホスト型診断。 AWSへの事前申請は不要。 4種類のルールパッケージを利用できる。

  • CVE
  • CISベンチマーク
  • セキュリティのベストプラクティス
    • 例) SSHのRootログイン
  • 実行時の振る舞い分析
    • 例) 不要なポートが動作していないか、安全でないサービスが動作していないか

リスク評価の例

  • Well - Architected Framework = DDoS対策しているのか?
  • Trusted Advisor = Portチェック
  • Inspector = OS脆弱性チェック

ネットワークの境界防御

セキュリティグループ

OSより外側を防御する仮想ファイアウォール

AWS Shield

DDoS防御(レイヤー3/4)はAWSに無料であらかじめ組み込まれている。 さらなる防御は有償のSheild AdvancedやAWS WAFで防御する

AWS WAF

HTTPトラフィックをフィルタなどで制御する。 カスタムルールによるWEbトラフィックフィルタ。 SQLインジェクション、クロスサイトスクリプティングなどのよくある攻撃への対策。 モニタリング機能。 WAFにOWASP Top 10ルールをすぐに適用可能。ルールはCloudFormationテンプレートとして提供される。

データーのリスク評価

  • Well Architected Framework = ベストプラクティスに基づいたチェック
  • Trusted Advisor = アクセス権限
  • Macie = 機密データを検出、分類、リスク評価、警告

Amazon Macie

データの検出と分類。S3のデータを自動分類。 特定のイベントや機密データへの警告。 クレジットカードや個人情報がS3にあることを警告してくれる。 東京リージョンは未提供。

データのリスク評価と対策例

リスク評価の実施例は、S3のアクセス権限チェック、暗号化チェック、機密データの検出、暗号化チェック。 対策例として、保存されたデータの暗号化を行う。 AWSのデータストアはサーバーサイド暗号化(SSE)の機能。

論理アクセスのリスク評価

  • Well Architected Framework
  • AWS Trusted Advisor
  • IAMのチェック機能

IAM

権限管理のサービス。管理者グループ、開発グループ、運用グループなどに分けて、それぞれに権限を付与できる。 IAMの認証情報レポート、Security Status、Access Advisorによりリスク評価。

認証情報の管理を行う

データベース認証情報やAPIキーなどのシークレット情報はどこに保存すべきか? AWS Secrets Managerは、多様な機密情報を一元管理、ローテーションできる。 アプリケーションは認証情報を保持しないで、必要な時にアクセスする。

セッションのまとめ

セキュリティ対策には継続的なシステムのリスク評価と保護が必要。 AWSには蓄積されたベストプラクティスに基づくリスク評価や保護を効率的に行う仕組みがある。

まとめ

Well Architected Frameworkなどの具体的なサービスやドキュメントの名前をあげながら、リスク評価と保護方法が紹介されました。 AWSが提供するツールやサービスを利用して、セキュリティ対策を行うと、効率的な対策ができると感じました。