AWS公式トレーニング「Security Operations on AWS」受講レポート

この記事は公開されてから1年以上経過しています。情報が古い可能性がありますので、ご注意ください。

こんにちは、虎塚です。

先日、AWSの公式トレーニング「Security Operations on AWS」を受講してきました。日本では2015年12月8日に初めて開催されたトレーニングです。

素晴らしい内容でしたので、これから受講を考えている方のために、トレーニングでどんなことが学べるかと、学んだ内容をどう活用できるかをお伝えします。

「Security Operations on AWS」トレーニング会場入り口

トレーニングの概要

「Security Operations on AWS 」では、AWS クラウドでの安全性やコンプライアンスを維持するのに役立つ AWS セキュリティサービスを効果的に使用する方法を説明します。このコースでは、クラウドのデータとシステムのセキュリティを強化するために実装できる、AWS で推奨されるセキュリティのベストプラクティスに焦点を当てます。

AWS トレーニング | Security Operations on AWS

トレーニングは3日間あり、内容は大きく次の3部構成になっています。

  • AWSの考えるセキュリティについて(概要)
  • 各AWSサービスにおけるセキュリティベストプラクティス(詳細)
  • AWSでのセキュリティ事例

詳しいカリキュラムは、AWS トレーニング | Security Operations on AWSの「コースの概要」をご覧ください。

前提知識

このトレーニングでは、受講する前に次の知識を身につけておくことが推奨されています。

  • Amazon Web Services 実践入門 1」および「Amazon Web Services 実践入門 2」を修了済み、もしくは同等の知識がある方 (必須)
  • ガバナンス、リスク、および規則と統制目標へのコンプライアンスに関する知識
  • IT セキュリティプラクティスの知識
  • IT インフラストラクチャの知識
  • クラウドコンピューティングの理解

ただ、AWSをこれから使い始める方でも問題ありませんとのことで、実際に受講者の中には「これからAWSを使っていきたいです」という方もいらっしゃいました。トレーニングでは、各AWSサービスのセキュリティについて解説があるため、各サービスの概要にも触れられます。AWS初心者の方もご安心ください。

当日の流れ

今回の会場は、東京の目黒にあるAWSオフィスでした。開始後、講師につづいて受講者の自己紹介で、アイスブレイクしたところで本編に入りました。

今回は、AWSの松本さんと鬼形さんが講師を担当してくれました。会場、講師や当日の流れは、トレーニングの日程によって異なる可能性があります。

トレーニングで学べることと、それがどう役立つか

「Security Operations on AWS」を受講することで何を学ぶことができて、今後どういうふうに役立てることができそうかについて記述します。

セキュリティモデルの新しい要素と、それを扱うマインドセット

システムの非機能要件について考えるときは、網羅性の高いモデルやフレームワークを利用すると効率的です。セキュリティ分野では、たとえば、Confidentiality(機密性)、Integrity(完全性)、Availability(可用性)の頭文字をとったCIAモデルがあります。

最近は上の要素に加えて、可視性可監査性可制御性俊敏性なども一緒に語られるようになりました。その背景には、社会やシステムの変化と、技術で実現できるようになった内容の広がりがあります。

一方で、AWSはクラウドをプログラマブルに管理する"Infrastructure as Code"の手法を取り入れており、セキュリティを確保するための設定や自動化によるセキュリティの維持も、その延長線上で実現しようとしています。

このトレーニングでは、前述した一般的なセキュリティモデルとAWSならではのセキュリティ管理の両方について網羅的な解説があります。そのため、AWSネイティブなセキュリティのベストプラクティスとは何かを体系的に理解し、セキュリティ設計の中でAWSの考え方を十分踏まえることの必要性を改めて確認することができました。

コンプライアンスのフレームワークを使ったAWSサービスの分解

企業が重視するコンプライアンスに基づいて、近年さまざまな規格への準拠がシステムに要求されています。世の中にあるたくさんの規格を分解して再構成したのが、このトレーニングで提示されるコンプライアンスのフレームワークです。コンプライアンスのフレームワークには、次の7つのカテゴリがあります。

  • 物理面と環境面のセキュリティ
  • コンプライアンス
  • アクセスコントロール
  • ネットワークセキュリティ
  • 監査とトレース
  • データセキュリティ
  • インシデントとリスクの管理

このトレーニングを受けると、7つのカテゴリが要求するのはどんなことか、AWSサービスがコンプライアンスの要求をどのようにカバーできるかを理解できます。

これから開発や運用するシステムが、なんらかのコンプライアンス規格に準拠する必要がある場合、規格が求める要素をこのフレームワークにしたがって分解できるようになるでしょう。その上で、AWSがそなえている解決の手段を当てはめ、カバーできる部分とできない部分を明らかにして、対応を考えることができるはずです。

コンプライアンスのフレームワークについて、受講者同士でディスカッションをする時間もありました。上のカテゴリに分類されるようなコンプライアンスを守るために実施していることは何かについて、同じ業種の技術者と意見交換しました。講義で学んだ理論に普段の業務を結びつけて考えるきっかけになったと思います。

トレーニング講師の松本さん

(トレーニング講師の松本さん。わかりやすく解説してくれました)

各AWSサービスへのセキュリティ責任共有モデルの適用

AWSセキュリティ責任共有モデル(責任分担モデル)について、単に「OSより下はAWS、OSより上は利用者の責任なんでしょ」とざっくり捉えていないでしょうか。それでは理解が足りないといえます。

AWSは、統制タイプという概念を持ちこみ、各AWSサービスがどのタイプに分類されるかを説明します。その上で、統制タイプごとに、AWSセキュリティ責任共有モデルがどのように適用されるかを解説します。

統制タイプには、AWSが整備する環境からそのまま利用者の環境に引き継がれる統制タイプ(継承統制)をはじめ、次の4つがあります。

  • 継承統制
  • ハイブリッド統制
  • 共有統制
  • お客様固有の統制

システムの要件定義やプロジェクトのリスク管理は、「わからないこと」「あいまいなこと」を明確にしていくプロセスといえます。この統制タイプの考え方を利用して、AWSサービスの利用者が責任を持つ範囲を把握することで、セキュリティ対応に必要なタスクを明らかにすることができます。

AWSを使ったシステムをお客さまに提供する技術者にとっては、お客さまから「AWSと当社のセキュリティの責任分解点はどこですか?」と質問を受けた時に説明するためにも必要な知識です。

セキュリティ確保の設定の実地体験

トレーニングで扱うAWSサービスや機能の範囲は広く、セキュリティを考慮するべきAWSサービスのほぼ全般をカバーしています。リリースから間もないAWS Configや、東京リージョンでリリースされたばかりのAWS Service Catalogも含まれていたのには驚きました。

また、トレーニングには、ラボと呼ばれるハンズオンの時間があります。セキュリティを確保するためにどのような設定をする必要があるかを、実際にAWS Management Consoleやインスタンスを操作して体験できます。今回のラボでは、IAM、VPC、VPC Peering、S3のロギング、CloudTrail、CloudWatch Logs、SNS、KMSによるEBSやS3の暗号化、Service Catalogなどを操作しました。

ラボは、手を動かす中で重要なポイントに受講者自ら気づかせるような構成になっています。そのために必要な操作が、ほぼ最小限の手順で実現できるように組まれているといっていいでしょう。

ラボで学んだことは、実際にAWSサービスを使って設定をする際にそのまま活用できます。

代表的なユースケースの構築例の理解

トレーニングでは、セキュリティ観点からよくあるユースケースと、AWS上での構成例の紹介がありました。一部を紹介すると、次のようなユースケースです。

  • データの暗号化とプライバシーの確保(医療系システム)
  • 開発環境と本番環境のネットワークの隔離
  • PCI DSS規格に準拠しながら顧客データを分析処理

AWS導入事例はインターネットにたくさん公開されていますが、構成図をぱっと見ただけでは、設計意図がわからないこともあります。また、事例紹介用の図では、簡潔さを優先して意図的に詳細が省かれてしまうこともあります。ユースケースを実現するための構成について、設計意図を聞きつつ、わからないところは講師に質問しながら、理解することができます。

実際のシステム要件はさまざまなので、ここで見た構成をそのまま使えるとはかぎりません。しかし、基本の型を知っておくことで、提案や設計の時間を短縮し、より要件に沿った構成を考える時間を手にいれることができます。

受講したメンバーの感想

今回は、AWSコンサル部のセキュリティチームから森永虎塚、オペレーションチームからkoyamaが参加しました。それぞれが「ここがよかった!」と思った点を共有します。

公式トレーニングの安心感
AWSが直接提供するトレーニングなので、AWSのセキュリティの概念やサービスの仕様について、あいまいな推測ではなく、根拠のともなった解説をしてくれます。聞いていて、「いま習得しているのは公式の説明だ」という安心感がありました。
講師陣が素晴らしい
講師はUS本国でトレーニングされた高いスキルを持つ方で、講義はもちろん、受講者の質問への回答も満足のいくものでした。トレーニングはせっかくの機会なので、分からないことやAWS内部の人にしか聞けないことを、遠慮せずにどんどん質問するとよいでしょう。もちろん、回答できない内容については、そのように言ってくれます。
テキストの質が高い
大量の概念とサービス仕様が、AWS初心者にもわかりやすい説明で記述されています。扱う内容が多いため、ページ数はPDFで700ページ以上と膨大ですが、ムダがなく読みやすい体裁でした。トレーニング終了後も、このテキストは受講した人の財産になることでしょう。
ディスカッションが面白い
トレーニングでは、受講者同士でのディスカッションが数回設定されていました。話し合いの前提についての厳密な説明が省略されることが多かったので、「テーマ設定の意図を汲めなくて、グループによって話題のばらつきが大きかった」という感想と、「多様な話題が出たのでそれこそがよかった」という意見がありました。
ディスカッションは、メンバー次第で様相がまったく違うものになるのが面白いところですね。これから受講される方は、ぜひ参加して楽しんでください。

今後のトレーニング

今後のトレーニングの開催日程と費用は、国内のクラウドセミナー・イベントのスケジュールにある「Security Operations on AWS」の項目をご確認ください。

各回に定員が設けられていますので、参加したくなった方は早めに申し込みされるのがおすすめです。

まとめ

セキュリティやコンプライアンスのモデルについての抽象度の高い解説から、それを具体的なAWSサービスの操作に落としこんだラボまで、盛りだくさんの内容で充実の3日間でした。

AWSでシステムを開発する方、特にセキュリティ要件の策定や設計にたずさわる方には、おすすめのトレーニングです。当てはまる方はぜひ受講を検討されてみてはいかがでしょうか。

それでは、また。