NIST サイバーセキュリティフレームワーク準拠から読み解く自組織の AWS セキュリティ

133件のシェア(ちょっぴり話題の記事)

こんにちは。
ご機嫌いかがでしょうか。
"No human labor is no human error" が大好きな吉井 亮です。

これからクラウドを使ってみたい、または、すでに使っているが
セキュリティ対策をどうすれば良いか不安に思っている方は多いと思います。

そうした漠然とした不安を解消するために
どうしたらものかと悩んでいましたが、
AWS クラウドにおける NIST サイバーセキュリティフレームワークへの準拠 – 日本語のホワイトペーパー が公開されましたので自分なりの解釈で要約してみました。

このホワイトペーパーでは AWS の責任範囲とセキュリティ管理が何であるか、
自組織で実施すべきセキュリティ管理が何であるか、を明確にして
セキュリティのニーズに対する AWS サービスのマッピングを可能にしています。

本エントリでは、自組織と AWS の責任範囲を理解し
自組織に適切なセキュリティ対策を導入するための AWS サービスを考えてみます。

責任共有モデル

まずは AWS の責任共有モデルを理解します。
AWS を利用するにあたり、自組織が責任を負う範囲を正しくコントロールすることが大切です。

AWS の責任範囲である部分は AWS に任せ、運用上の負担を軽減させつつ、
OS、ネットワークトラフィック、データ、ID 管理など
自組織のワークロードに最適化されたセキュリティコントロールを導入していきます。

Shared_Responsibility_Model_V2_JP

NIST CyberSecurity Framework とは

※本エントリでは CSF と略します。
米国国立標準技術研究所 (NIST) が発行しているサイバーセキュリティに関するガイドラインで
部門や規模に関わらず、どの組織でも使用できる推奨ベースラインとして、世界中の政府および業界で採用されています。

ガートナー社によれば、CSF は米国の民間セクターの約 30% で利用され、
この割合は 2020年までに 50% に達すると予測されています。

CSF の一般的な応用例

  • CSF に照らし合わせたシステム評価を行い、以下を実現
    • 組織のセキュリティ成熟度を評価する
    • セキュリティ目標を決める
    • セキュリティに関する取り組みを計画し、優先順位を付ける
  • CSF のカテゴリ/サブカテゴリに合致したセキュリティを達成するために、製品やサービスを評価する
  • セキュリティチーム、プロセス、トレーニングの参考資料

CSF のメリット

CSF は3つの要素で構成されています。
これら3つを複合的に活用することで、ビジネスやニーズに沿ってサイバーセキュリティリスクに優先順位を設定し、対処することが可能になります。
導入する組織が責任をもって CSF を導入し、サイバーセキュリティに対処していきます。

要素 説明
コア 識別、防御、検知、対応、復旧という5つのリスク管理機能を支援するための実施手順、成果、技術上/運用上/管理上の参考情報です。
ティア CSF の機能と統制の管理に関して、組織の適性と成熟度を特徴に沿って分類するものです。
プロファイル サイバーセキュリティ体制に関する組織の現状と理想像を表現することを目的としています。

NIST CSF への準拠を可能にする AWS サービス

CSF には5つのコア機能(識別、防御、検知、対応、復旧)があります。

さらに機能ごとに複数のカテゴリ、その下に合計108のサブカテゴリによるアクティビティが設定されています。

識別

このセクションでは、「システム、 人員、資産、データ、機能に対するサイバーセキュリティリスク管理を組織で把握する」ための要素を取り上げます。

自組織の責任範囲

効果的な IT ガバナンスとセキュリティの第一歩は IT 資産を識別して管理することです。
AWS サービスを使うと、資産インベントリの収集と管理が容易になります。
以下を使い「埋もれたリソース」を産み出さないように識別しておきます。

  • CloudTrail
  • CloudWatch Logs
  • Config / Config Rules
  • Macie
  • Resource Tagging
  • Systems Manager

タグ付けされたサービスやデータに対して、要員やサービスのビジネス役割に基づいてアクセス役割を割り当てます。
自組織のプロセスを自動化することで、リスクに関する意思決定の評価や担当者のストップゲートを導入することが可能です。

  • IAM
  • Systems Manager

ガバナンスは、サイバーセキュリティにおける「陰の立役者」です。
要員、プロセス、テクノロジーに対してガバナンスを導入し、
テクノロジー上の脆弱性を識別して、リスク対応の把握と管理に役立てます。
以下を使いガバナンスを導入、監視、強制することができます。

  • CloudTrail
  • Config / Config Rules
  • IAM
  • Inspector
  • Organization
  • Service Catalog
  • Systems Manager

AWS の責任範囲

データセンターや物理機器の管理は AWS の責任です。
これらへのアクセスに関し AWS は厳格なアクセス制御管理を維持しています。
調達やインストール、廃棄は決められたポリシーと手続きによって実行されています。

AWS は外部の認定機関および独立監査人と連携し、多数の業界ベストプラクティスを取り入れ
統制環境全体を確認およびテストしています。
自組織がすべきことは、AWS がこれらの統制を正しく運営していることを評価することです。

防御

このセクションでは、ID 管理、アクセス制御、データセキュリティといったシステムを保護するための項目を取り上げます。

自組織の責任範囲

AWS は高可用性なインフラストラクチャです。
1箇所もしくは2箇所のデータセンターが稼働停止に陥った場合もサービスを継続できるアーキテクチャを構築します。

  • Availability Zone
  • S3

気密性を維持するために、保存時および転送時のデータを暗号化します。
地組織の既存のソリューション、または、AWS サービスを利用します。

  • CloudHSM
  • Direct Connect
  • EBS
  • KMS
  • RDS
  • S3
  • VPN

様々な手段で安全性を促進し、確認します。

  • CloudTrail ログおよびダイジェストファイル
  • Config

AWS 環境の ID 認証、アクセス権限の実装、保護、レポートを実現します。

  • Cognito
  • Directory Service
  • IAM
  • MAF
  • SSO

ネットワークを制御し通信を保護します。

  • Network ACL
  • Security Group
  • VPC Flowlogs
  • WAF

自組織の従業員に対して、環境管理の方針と手順についてのトレーニングを実施します。
セキュリティ防御に関する技術と意識の向上を実現します。

  • 認定試験
  • トレーニング

AWS の責任範囲

データセンターへの物理的なアクセスは、承認を受けた従業員に対して許可されます。
承認を受けた従業員は最小の権限と時限付きアクセスが与えられます。

物理インフラストラクチャの変更が正しい手順と方針で実施され、
冗長性と緊急対応をどのように提供していくかは AWS の責任です。
不要記憶媒体の消去、データの破壊も同様です。

検知

このセクションでは、異常とイベント、セキュリティの継続的なモニタリング、検知プロセスを取り上げます。

自組織の責任範囲

セキュリティ関連のイベント収集、アラート通知はセキュリティリスク管理の根本です。

クラウドは API で駆動するといった性質上、操作ごとの監査ログを取得することが可能です。
ログを取得し、継続的にモニタリングし、イベントを検知します。

  • Athena
  • CloudTrail
  • CloudWatch / CloudWatch Logs / CloudWatch Events
  • Config
  • GuardDuty
  • Macie
  • SNS
  • VPC Flowlogs

AWS の責任範囲

AWS はセキュリティ侵害または潜在的なセキュリティの兆候が示されると、ほぼリアルタイムでアラートします。
Personal Health Dashboard はアラートおよび改善のためのガイダンスを提供します。

対応

このセクションでは、セキュリティイベントに対応するための計画、提供の低減、コミュニケーション、分析、改善を取り上げます。

自組織の責任範囲

セキュリティイベントへのタイムリーな対応を行うために、プロセスと手順を策定し維持管理します。
繰り返し可能な計画を策定すると、脅威にさらされる危険性が最小限に抑えれ復旧が迅速になります。

セキュリティイベントの影響拡大を阻止するために、
インスタンスの分離やフォレンジックスナップショットを取得する方法、
分析するためのチケット登録など動作を自動化を検討します。

  • CloudTrail
  • CloudWatch / CloudWatch Logs / CloudWatch Events
  • Macie
  • SES
  • SNS
  • VPC Flowlogs

AWS の責任範囲

AWS はインシデントに関して正式な方針とプログラムを導入しています。
インシデント対応計画とインシデント対応テスト計画を年1回作成しています。

未知の不具合と障害について広い範囲を検出対象とする、インシデント対応のテストを実施しています。
テスト結果は第三者の監査人による審査を受けています。

復旧

このセクションでは、復旧計画の作成、改善、コミュニケーションを取り上げます。

自組織の責任範囲

セキュリティイベントの影響を受けたシステムの復旧は自組織の責任です。
そのための計画立案や、関係各所とのコミュニケーションを形成しておきます。

AWS サービスを駆使して、修復および復旧を早期に行い事業継続性を維持します。

  • Amazon Machine Image
  • Auto Scaling
  • CloudFormation

AWS の責任範囲

すべてのリージョンでセキュリティコントロールを維持しています。
各データセンターは、物理、環境、セキュリティに関する基準に沿ってアクティブ - アクティブ構成として構築されており、
n+1 の冗長モデルを採用することによって、コンポーネントに障害が発生した際のシステム可用性を確保しています。

n+1 の「+1」であるバックアップコンポーネントもアクティブで機能しており、
あるデータセンター/コンポーネントで障害が発生した場合でも、
残りのデータセンター/コンポーネントによって負荷を分散できる十分な処理能力を有しています。

AWSのコンプライアンスレポート

マネジメントコンソールから AWS Artifact へアクセスすると
AWS のセキュリティおよびコンプライアンスレポートと特定のオンライン契約を参照できます。
AWS Artifact Reports を使用し、AWS ISO 認定、Payment Card Industry (PCI) レポート、
System and Organization Control (SOC) レポートのような AWS セキュリティおよびコンプライアンスの
ドキュメントをダウンロードできます。

自組織でセキュリティ監査がある場合、
AWS の責任範囲については Artifact Reports で証明することが可能です。

トレーニング

クラウドを利用する場合、物理レイヤーはクラウド業者の責任でコントロールされていますが、
その場合でも、自組織でコントロールする範囲は広いと考えます。

自組織の要員に対する教育には、十分な予算と時間をかけて
長期的に計画していくことが大切です。

  • AWS 認定資格
  • AWS のデジタルトレーニング または クラスルームトレーニング
  • AWS Well-Architected フレームワーク

参考

AWS クラウドにおける NIST サイバーセキュリティフレームワークへの準拠 – 日本語のホワイトペーパー
Standardized Architecture for NIST-based Assurance Frameworks on the AWS Cloud: Quick Start Reference Deployment
CSF への準拠に関する AWS サービスの責任範囲とお客様の責任範囲のマトリクス
責任共有モデル
AWS Artifact
AWS トレーニングと認定

以上、吉井 亮 がお届けしました。