SlideShare a Scribd company logo

クラウドセキュリティFAQ セキュリティ対策を分解して考える

Download as PPTX, PDF
K
koki abe

2017/2/2(木)「F5とAWSで構築するセキュアなエンタープライズアプリケーションセミナー」

Technology
1 of 41
クラウドセキュリティFAQ セキュリティ対策を分解して考える 2017年2月2日 AWS事業部 阿部 洸樹
自己紹介 • AWS事業部 • 阿部 洸樹 • アーキテクトグループ(設計/構築) • セキュリティチーム • AWS資格5冠 2
本セッションでお伝えすること 3 • セキュリティ対策は難しい • 対策を分解して考える事が大切 • よく行う対策
4 セキュリティ対策は 難しい はじめに
5 3つの理由 1 2 3 完璧なセキュリティ対策は存在しない セキュリティ対策が難しい理由
6 3つの理由 1 2 3 いい感じの対策が望ましい セキュリティ対策が難しい理由
3つの理由 1 2 3 セキュリティという言葉は便利に使われている 7セキュリティ対策が難しい理由
8 セキュリティ対策を 分解して考える セキュリティ対策で大切なこと
セキュリティ対策分解図 セキュリティ対策 AWS ユーザ 担当者 9
責任共有モデル AWSの担当 = クラウドのセキュリティ ユーザーの担当 = クラウド内のセキュリティ ハードディスクの廃棄 データセンターのセキュリティ 適切なAWS設定(ネットワーク、アカウント) OS、アプリケーション 10 https://aws.amazon.com/jp/compliance/shared-responsibility-model/
11 AWSの担当箇所は任せよう セキュリティ対策を担当者で分解
セキュリティ対策分解図 ユーザ 必須 オプション 要件 12
人のセキュリティ対策 必須 • 出かける前に戸締りをする • 遅い時間帯の外出は避ける • 治安の悪い場所には近づかない 13
人のセキュリティ対策 オプション • 警備サービスに加入する • 番犬を飼う 家や家にいる人を守る 人を守る • ボディガードを雇う 14
15 必須の対策 + (要件に応じて)オプション セキュリティ対策を要件で分解
16 Amazon EC2の セキュリティ対策を分解 Amazon EC2
セキュリティ対策分解図 ユーザ 必須 オプション オンプレと同じ AWS固有か否か AWS固有 17
EC2の必須セキュリティ対策 オンプレミスと同様 • 最新のOSを使う • 最新のアプリケーションを使う 脆弱性をついた攻撃を軽減 アクセス制限 • 悪意のある人がアクセス出来ないようにする 18
EC2 アクセス制限の基本 SecurityGroup • インスタンス単位 • Inbound/Outbound • Permit • ステートフル NACL Security Group EC2 19
EC2 アクセス制限の基本 SecurityGroup NACL HTTP 0.0.0.0/0 SSH 自拠点のIPアドレス Inbound Outbound ALL 0.0.0.0/0 最低限の許可 基本はALL許可 要件に応じて制御 20
VPC Subnet VPC Subnet EC2 アクセス制限の基本 NACLSecurityGroup • サブネット単位 • Inbound/Outbound • Permit/Deny • 番号順にルール適用 • ステートレス 21
EC2 アクセス制限の基本 NACLSecurityGroup ALL Deny BlockしたいIP ALL Permit 0.0.0.0/0 OutboundInbound ALL Permit 0.0.0.0/0 デフォルトは許可 IP指定でブロック 基本はALL許可 要件に応じて制御 22
EC2の必須セキュリティ対策 AWS固有の対策 23 http://dev.classmethod.jp/cloud/aws/ec2-sec/
セキュリティ対策分解図 ユーザ 必須 オプション AWSサービス 手段 AWSパートナー 24
オプション AWSサービス パートナー • 気楽に試せる 25 • AWSでは出来ないこと • EC2にインストール • AWS Marketplace • 外部SaaS
26 AWSサービス オプション
AWS API記録 AWS CloudTrail • 有効化を強くオススメ • AWSで実行されたAPIを記録 • 弊社では全アカウントで有効 27 http://www.slideshare.net/AmazonWebServicesJapan/aws-black-belt-online- seminar-2016-aws-cloudtrail-aws-config
AWS構成管理 AWS Config • 有効化をオススメ • AWSの構成記録 • AWSリソースの作成/変更を記録 • タイムラインで可視化 28 http://dev.classmethod.jp/cloud/aws/aws-config-
DDoS対策 AWS Shield • ELB、CloudFront、Route53に自動適用 • L3/L4 DDoS攻撃に対する保護 • DDoS レスポンスチームへのアクセス(Advanced) 29
WAF(Web Application Firewall) AWS WAF • WAF機能 • 用意されているシグネチャが少ない 30
プラットフォーム診断 AWS Inspector • プラットフォーム診断 • エージェント型 • CVE(OSやミドルウェアの脆弱性) • CIS(OSやミドルウェアの設定) 31 http://www.slideshare.net/AmazonWebServicesJapa n/aws-black-belt-online-seminar-amazon-inspector
32 パートナーが提供する 製品/サービス セキュリティ対策 – オプション
リモートメンテナンス SSL-VPN • メンテナンス拠点のIPを絞れないとき • ユーザーごとに接続出来るインスタンスを絞る 33
マルウェア対策 Anti-Virus • マルウェア対策 • バーチャルアプライアンス型 • ホスト型 34
WAF • SaaS型(Imperva Incapsula) • バーチャルアプライアンス型(F5 BIG-IPなど) • ホスト型(Trend Micro Deep Securityなど) WAF 35 http://dev.classmethod.jp/security/getting-started-waf/
36 セキュリティ製品を選ぶ前に ポイント
セキュリティ製品を選ぶ前に 何を何から守りたいのかを明確化 2つのポイント 1 2 37
セキュリティ製品を選ぶ前に 2つのポイント 1 2 副作用(運用の手間、誤検知など)の確認 38
39 まとめ まとめ
まとめ(セキュリティ対策分解図) ユーザ 要件 AWSサービス AWSパートナー 手段 AWS固有 オンプレと同じ オプション必須 固有 AWS 40
まとめ(3行) 分解して考える 必須の対策を行う 要件に応じて追加の対策 クラスメソッドにご相談下さい 41

Recommended

AWS Well-Architected Security とベストプラクティス
AWS Well-Architected Security とベストプラクティスAWS Well-Architected Security とベストプラクティス
AWS Well-Architected Security とベストプラクティスAmazon Web Services Japan
 
Well Architected Tool 使い方セミナー(コスト最適化編)
Well Architected Tool 使い方セミナー(コスト最適化編)Well Architected Tool 使い方セミナー(コスト最適化編)
Well Architected Tool 使い方セミナー(コスト最適化編)Nobuhiro Nakayama
 
適切な Azure AD 認証方式の選択の決め手
適切な Azure AD 認証方式の選択の決め手適切な Azure AD 認証方式の選択の決め手
適切な Azure AD 認証方式の選択の決め手Yusuke Kodama
 
20191106 AWS Black Belt Online Seminar AWS認定にチャレンジしょう – まずはクラウドプラクティショナーから
20191106 AWS Black Belt Online Seminar AWS認定にチャレンジしょう – まずはクラウドプラクティショナーから20191106 AWS Black Belt Online Seminar AWS認定にチャレンジしょう – まずはクラウドプラクティショナーから
20191106 AWS Black Belt Online Seminar AWS認定にチャレンジしょう – まずはクラウドプラクティショナーからAmazon Web Services Japan
 
AWSを利用したA社システムの提案
AWSを利用したA社システムの提案AWSを利用したA社システムの提案
AWSを利用したA社システムの提案Tomohiro Amemori
 
Aws well architected-framework_seminar_overview
Aws well architected-framework_seminar_overviewAws well architected-framework_seminar_overview
Aws well architected-framework_seminar_overviewYoshii Ryo
 
20210526 AWS Expert Online マルチアカウント管理の基本
20210526 AWS Expert Online マルチアカウント管理の基本20210526 AWS Expert Online マルチアカウント管理の基本
20210526 AWS Expert Online マルチアカウント管理の基本Amazon Web Services Japan
 
Reinforce2021 recap session2
Reinforce2021 recap session2Reinforce2021 recap session2
Reinforce2021 recap session2Shogo Matsumoto
 

Recommended

AWS Well-Architected Security とベストプラクティス
AWS Well-Architected Security とベストプラクティスAWS Well-Architected Security とベストプラクティス
AWS Well-Architected Security とベストプラクティスAmazon Web Services Japan
 
Well Architected Tool 使い方セミナー(コスト最適化編)
Well Architected Tool 使い方セミナー(コスト最適化編)Well Architected Tool 使い方セミナー(コスト最適化編)
Well Architected Tool 使い方セミナー(コスト最適化編)Nobuhiro Nakayama
 
適切な Azure AD 認証方式の選択の決め手
適切な Azure AD 認証方式の選択の決め手適切な Azure AD 認証方式の選択の決め手
適切な Azure AD 認証方式の選択の決め手Yusuke Kodama
 
20191106 AWS Black Belt Online Seminar AWS認定にチャレンジしょう – まずはクラウドプラクティショナーから
20191106 AWS Black Belt Online Seminar AWS認定にチャレンジしょう – まずはクラウドプラクティショナーから20191106 AWS Black Belt Online Seminar AWS認定にチャレンジしょう – まずはクラウドプラクティショナーから
20191106 AWS Black Belt Online Seminar AWS認定にチャレンジしょう – まずはクラウドプラクティショナーからAmazon Web Services Japan
 
AWSを利用したA社システムの提案
AWSを利用したA社システムの提案AWSを利用したA社システムの提案
AWSを利用したA社システムの提案Tomohiro Amemori
 
Aws well architected-framework_seminar_overview
Aws well architected-framework_seminar_overviewAws well architected-framework_seminar_overview
Aws well architected-framework_seminar_overviewYoshii Ryo
 
20210526 AWS Expert Online マルチアカウント管理の基本
20210526 AWS Expert Online マルチアカウント管理の基本20210526 AWS Expert Online マルチアカウント管理の基本
20210526 AWS Expert Online マルチアカウント管理の基本Amazon Web Services Japan
 
Reinforce2021 recap session2
Reinforce2021 recap session2Reinforce2021 recap session2
Reinforce2021 recap session2Shogo Matsumoto
 
20151030 オープンデータとセキュリティon aws
20151030 オープンデータとセキュリティon aws20151030 オープンデータとセキュリティon aws
20151030 オープンデータとセキュリティon awstakaoka susumu
 
AWSではじめるDNSSEC
AWSではじめるDNSSECAWSではじめるDNSSEC
AWSではじめるDNSSECTomohiro Nakashima
 
AWS における Microservices Architecture と DevOps を推進する組織と人とツール
AWS における Microservices Architecture と DevOps を推進する組織と人とツールAWS における Microservices Architecture と DevOps を推進する組織と人とツール
AWS における Microservices Architecture と DevOps を推進する組織と人とツールAmazon Web Services Japan
 
20191125 Container Security
20191125 Container Security20191125 Container Security
20191125 Container SecurityAmazon Web Services Japan
 
セキュリティ基準、標準、規制 との付き合い方
セキュリティ基準、標準、規制 との付き合い方セキュリティ基準、標準、規制 との付き合い方
セキュリティ基準、標準、規制 との付き合い方Tomohiro Nakashima
 
2000年代SaaS on AWS
2000年代SaaS on AWS2000年代SaaS on AWS
2000年代SaaS on AWSAmazon Web Services Japan
 
「落ちない」AWSのインフラ構成、システム要件にあわせたパターンをご紹介
「落ちない」AWSのインフラ構成、システム要件にあわせたパターンをご紹介「落ちない」AWSのインフラ構成、システム要件にあわせたパターンをご紹介
「落ちない」AWSのインフラ構成、システム要件にあわせたパターンをご紹介NHN テコラス株式会社
 
20190130 AWS Well-Architectedの活用方法とレビューの進め方をお伝えしていきたい
20190130 AWS Well-Architectedの活用方法とレビューの進め方をお伝えしていきたい20190130 AWS Well-Architectedの活用方法とレビューの進め方をお伝えしていきたい
20190130 AWS Well-Architectedの活用方法とレビューの進め方をお伝えしていきたいAmazon Web Services Japan
 
Amazon Game Tech Night #21 Game Development on AWS
Amazon Game Tech Night #21 Game Development on AWSAmazon Game Tech Night #21 Game Development on AWS
Amazon Game Tech Night #21 Game Development on AWSAmazon Web Services Japan
 
AWS Black Belt Online Seminar 2018 Amazon Sumerian
AWS Black Belt Online Seminar 2018 Amazon SumerianAWS Black Belt Online Seminar 2018 Amazon Sumerian
AWS Black Belt Online Seminar 2018 Amazon SumerianAmazon Web Services Japan
 
20190919 よくご相談いただくセキュリティの質問と考え方
20190919 よくご相談いただくセキュリティの質問と考え方20190919 よくご相談いただくセキュリティの質問と考え方
20190919 よくご相談いただくセキュリティの質問と考え方Amazon Web Services Japan
 
障害に備えたアーキテクチャを考える
障害に備えたアーキテクチャを考える障害に備えたアーキテクチャを考える
障害に備えたアーキテクチャを考えるYoshii Ryo
 
aws blackbelt amazon elasticsearch service
aws blackbelt amazon elasticsearch service aws blackbelt amazon elasticsearch service
aws blackbelt amazon elasticsearch service Amazon Web Services Japan
 
20201125 EC Solution Seminar Live Commerce
20201125 EC Solution Seminar Live Commerce20201125 EC Solution Seminar Live Commerce
20201125 EC Solution Seminar Live CommerceAmazon Web Services Japan
 
AWSでのPCI DSS準拠決定版! PCI DSS Ready Cloud AWSモデルのご紹介
AWSでのPCI DSS準拠決定版! PCI DSS Ready Cloud AWSモデルのご紹介AWSでのPCI DSS準拠決定版! PCI DSS Ready Cloud AWSモデルのご紹介
AWSでのPCI DSS準拠決定版! PCI DSS Ready Cloud AWSモデルのご紹介KinoshitaHiroyuki1
 
20180306 AWS Black Belt Online Seminar 働き方改革を実現するAWSのエンドユーザーコンピューティングサービス
20180306 AWS Black Belt Online Seminar 働き方改革を実現するAWSのエンドユーザーコンピューティングサービス20180306 AWS Black Belt Online Seminar 働き方改革を実現するAWSのエンドユーザーコンピューティングサービス
20180306 AWS Black Belt Online Seminar 働き方改革を実現するAWSのエンドユーザーコンピューティングサービスAmazon Web Services Japan
 
「これ危ない設定じゃないでしょうか」とヒアリングするための仕組み @AWS Summit Tokyo 2018
「これ危ない設定じゃないでしょうか」とヒアリングするための仕組み @AWS Summit Tokyo 2018「これ危ない設定じゃないでしょうか」とヒアリングするための仕組み @AWS Summit Tokyo 2018
「これ危ない設定じゃないでしょうか」とヒアリングするための仕組み @AWS Summit Tokyo 2018cyberagent
 
ぼくらのアカウント戦略〜マルチアカウントでのガバナンスと権限管理の全て〜
ぼくらのアカウント戦略〜マルチアカウントでのガバナンスと権限管理の全て〜ぼくらのアカウント戦略〜マルチアカウントでのガバナンスと権限管理の全て〜
ぼくらのアカウント戦略〜マルチアカウントでのガバナンスと権限管理の全て〜Mamoru Ohashi
 
SecurityJAWS AWS Security Services Update 20200214
SecurityJAWS AWS Security Services Update 20200214SecurityJAWS AWS Security Services Update 20200214
SecurityJAWS AWS Security Services Update 20200214Hayato Kiriyama
 
AWS Organizations
AWS OrganizationsAWS Organizations
AWS OrganizationsServerworks Co.,Ltd.
 
スカイアーチセミナー:【AWS基礎講座】提案で差をつける3つの条件:150325
スカイアーチセミナー:【AWS基礎講座】提案で差をつける3つの条件:150325スカイアーチセミナー:【AWS基礎講座】提案で差をつける3つの条件:150325
スカイアーチセミナー:【AWS基礎講座】提案で差をつける3つの条件:150325株式会社スカイアーチネットワークス
 
Introduction of-aws-well-architected
Introduction of-aws-well-architectedIntroduction of-aws-well-architected
Introduction of-aws-well-architectedShota Tsuge
 

More Related Content

What's hot

20151030 オープンデータとセキュリティon aws
20151030 オープンデータとセキュリティon aws20151030 オープンデータとセキュリティon aws
20151030 オープンデータとセキュリティon awstakaoka susumu
 
AWS における Microservices Architecture と DevOps を推進する組織と人とツール
AWS における Microservices Architecture と DevOps を推進する組織と人とツールAWS における Microservices Architecture と DevOps を推進する組織と人とツール
AWS における Microservices Architecture と DevOps を推進する組織と人とツールAmazon Web Services Japan
 
セキュリティ基準、標準、規制 との付き合い方
セキュリティ基準、標準、規制 との付き合い方セキュリティ基準、標準、規制 との付き合い方
セキュリティ基準、標準、規制 との付き合い方Tomohiro Nakashima
 
「落ちない」AWSのインフラ構成、システム要件にあわせたパターンをご紹介
「落ちない」AWSのインフラ構成、システム要件にあわせたパターンをご紹介「落ちない」AWSのインフラ構成、システム要件にあわせたパターンをご紹介
「落ちない」AWSのインフラ構成、システム要件にあわせたパターンをご紹介NHN テコラス株式会社
 
20190130 AWS Well-Architectedの活用方法とレビューの進め方をお伝えしていきたい
20190130 AWS Well-Architectedの活用方法とレビューの進め方をお伝えしていきたい20190130 AWS Well-Architectedの活用方法とレビューの進め方をお伝えしていきたい
20190130 AWS Well-Architectedの活用方法とレビューの進め方をお伝えしていきたいAmazon Web Services Japan
 
Amazon Game Tech Night #21 Game Development on AWS
Amazon Game Tech Night #21 Game Development on AWSAmazon Game Tech Night #21 Game Development on AWS
Amazon Game Tech Night #21 Game Development on AWSAmazon Web Services Japan
 
AWS Black Belt Online Seminar 2018 Amazon Sumerian
AWS Black Belt Online Seminar 2018 Amazon SumerianAWS Black Belt Online Seminar 2018 Amazon Sumerian
AWS Black Belt Online Seminar 2018 Amazon SumerianAmazon Web Services Japan
 
20190919 よくご相談いただくセキュリティの質問と考え方
20190919 よくご相談いただくセキュリティの質問と考え方20190919 よくご相談いただくセキュリティの質問と考え方
20190919 よくご相談いただくセキュリティの質問と考え方Amazon Web Services Japan
 
障害に備えたアーキテクチャを考える
障害に備えたアーキテクチャを考える障害に備えたアーキテクチャを考える
障害に備えたアーキテクチャを考えるYoshii Ryo
 
AWSでのPCI DSS準拠決定版! PCI DSS Ready Cloud AWSモデルのご紹介
AWSでのPCI DSS準拠決定版! PCI DSS Ready Cloud AWSモデルのご紹介AWSでのPCI DSS準拠決定版! PCI DSS Ready Cloud AWSモデルのご紹介
AWSでのPCI DSS準拠決定版! PCI DSS Ready Cloud AWSモデルのご紹介KinoshitaHiroyuki1
 
20180306 AWS Black Belt Online Seminar 働き方改革を実現するAWSのエンドユーザーコンピューティングサービス
20180306 AWS Black Belt Online Seminar 働き方改革を実現するAWSのエンドユーザーコンピューティングサービス20180306 AWS Black Belt Online Seminar 働き方改革を実現するAWSのエンドユーザーコンピューティングサービス
20180306 AWS Black Belt Online Seminar 働き方改革を実現するAWSのエンドユーザーコンピューティングサービスAmazon Web Services Japan
 
「これ危ない設定じゃないでしょうか」とヒアリングするための仕組み @AWS Summit Tokyo 2018
「これ危ない設定じゃないでしょうか」とヒアリングするための仕組み @AWS Summit Tokyo 2018「これ危ない設定じゃないでしょうか」とヒアリングするための仕組み @AWS Summit Tokyo 2018
「これ危ない設定じゃないでしょうか」とヒアリングするための仕組み @AWS Summit Tokyo 2018cyberagent
 
ぼくらのアカウント戦略〜マルチアカウントでのガバナンスと権限管理の全て〜
ぼくらのアカウント戦略〜マルチアカウントでのガバナンスと権限管理の全て〜ぼくらのアカウント戦略〜マルチアカウントでのガバナンスと権限管理の全て〜
ぼくらのアカウント戦略〜マルチアカウントでのガバナンスと権限管理の全て〜Mamoru Ohashi
 
SecurityJAWS AWS Security Services Update 20200214
SecurityJAWS AWS Security Services Update 20200214SecurityJAWS AWS Security Services Update 20200214
SecurityJAWS AWS Security Services Update 20200214Hayato Kiriyama
 

What's hot (20)

20151030 オープンデータとセキュリティon aws
20151030 オープンデータとセキュリティon aws20151030 オープンデータとセキュリティon aws
20151030 オープンデータとセキュリティon aws
 
AWSではじめるDNSSEC
AWSではじめるDNSSECAWSではじめるDNSSEC
AWSではじめるDNSSEC
 
AWS における Microservices Architecture と DevOps を推進する組織と人とツール
AWS における Microservices Architecture と DevOps を推進する組織と人とツールAWS における Microservices Architecture と DevOps を推進する組織と人とツール
AWS における Microservices Architecture と DevOps を推進する組織と人とツール
 
20191125 Container Security
20191125 Container Security20191125 Container Security
20191125 Container Security
 
セキュリティ基準、標準、規制 との付き合い方
セキュリティ基準、標準、規制 との付き合い方セキュリティ基準、標準、規制 との付き合い方
セキュリティ基準、標準、規制 との付き合い方
 
2000年代SaaS on AWS
2000年代SaaS on AWS2000年代SaaS on AWS
2000年代SaaS on AWS
 
「落ちない」AWSのインフラ構成、システム要件にあわせたパターンをご紹介
「落ちない」AWSのインフラ構成、システム要件にあわせたパターンをご紹介「落ちない」AWSのインフラ構成、システム要件にあわせたパターンをご紹介
「落ちない」AWSのインフラ構成、システム要件にあわせたパターンをご紹介
 
20190130 AWS Well-Architectedの活用方法とレビューの進め方をお伝えしていきたい
20190130 AWS Well-Architectedの活用方法とレビューの進め方をお伝えしていきたい20190130 AWS Well-Architectedの活用方法とレビューの進め方をお伝えしていきたい
20190130 AWS Well-Architectedの活用方法とレビューの進め方をお伝えしていきたい
 
Amazon Game Tech Night #21 Game Development on AWS
Amazon Game Tech Night #21 Game Development on AWSAmazon Game Tech Night #21 Game Development on AWS
Amazon Game Tech Night #21 Game Development on AWS
 
AWS Black Belt Online Seminar 2018 Amazon Sumerian
AWS Black Belt Online Seminar 2018 Amazon SumerianAWS Black Belt Online Seminar 2018 Amazon Sumerian
AWS Black Belt Online Seminar 2018 Amazon Sumerian
 
20190919 よくご相談いただくセキュリティの質問と考え方
20190919 よくご相談いただくセキュリティの質問と考え方20190919 よくご相談いただくセキュリティの質問と考え方
20190919 よくご相談いただくセキュリティの質問と考え方
 
障害に備えたアーキテクチャを考える
障害に備えたアーキテクチャを考える障害に備えたアーキテクチャを考える
障害に備えたアーキテクチャを考える
 
aws blackbelt amazon elasticsearch service
aws blackbelt amazon elasticsearch service aws blackbelt amazon elasticsearch service
aws blackbelt amazon elasticsearch service
 
20201125 EC Solution Seminar Live Commerce
20201125 EC Solution Seminar Live Commerce20201125 EC Solution Seminar Live Commerce
20201125 EC Solution Seminar Live Commerce
 
AWSでのPCI DSS準拠決定版! PCI DSS Ready Cloud AWSモデルのご紹介
AWSでのPCI DSS準拠決定版! PCI DSS Ready Cloud AWSモデルのご紹介AWSでのPCI DSS準拠決定版! PCI DSS Ready Cloud AWSモデルのご紹介
AWSでのPCI DSS準拠決定版! PCI DSS Ready Cloud AWSモデルのご紹介
 
20180306 AWS Black Belt Online Seminar 働き方改革を実現するAWSのエンドユーザーコンピューティングサービス
20180306 AWS Black Belt Online Seminar 働き方改革を実現するAWSのエンドユーザーコンピューティングサービス20180306 AWS Black Belt Online Seminar 働き方改革を実現するAWSのエンドユーザーコンピューティングサービス
20180306 AWS Black Belt Online Seminar 働き方改革を実現するAWSのエンドユーザーコンピューティングサービス
 
「これ危ない設定じゃないでしょうか」とヒアリングするための仕組み @AWS Summit Tokyo 2018
「これ危ない設定じゃないでしょうか」とヒアリングするための仕組み @AWS Summit Tokyo 2018「これ危ない設定じゃないでしょうか」とヒアリングするための仕組み @AWS Summit Tokyo 2018
「これ危ない設定じゃないでしょうか」とヒアリングするための仕組み @AWS Summit Tokyo 2018
 
ぼくらのアカウント戦略〜マルチアカウントでのガバナンスと権限管理の全て〜
ぼくらのアカウント戦略〜マルチアカウントでのガバナンスと権限管理の全て〜ぼくらのアカウント戦略〜マルチアカウントでのガバナンスと権限管理の全て〜
ぼくらのアカウント戦略〜マルチアカウントでのガバナンスと権限管理の全て〜
 
SecurityJAWS AWS Security Services Update 20200214
SecurityJAWS AWS Security Services Update 20200214SecurityJAWS AWS Security Services Update 20200214
SecurityJAWS AWS Security Services Update 20200214
 
AWS Organizations
AWS OrganizationsAWS Organizations
AWS Organizations
 

Similar to クラウドセキュリティFAQ セキュリティ対策を分解して考える

スカイアーチセミナー:【AWS基礎講座】提案で差をつける3つの条件:150325
スカイアーチセミナー:【AWS基礎講座】提案で差をつける3つの条件:150325スカイアーチセミナー:【AWS基礎講座】提案で差をつける3つの条件:150325
スカイアーチセミナー:【AWS基礎講座】提案で差をつける3つの条件:150325株式会社スカイアーチネットワークス
 
Introduction of-aws-well-architected
Introduction of-aws-well-architectedIntroduction of-aws-well-architected
Introduction of-aws-well-architectedShota Tsuge
 
[SC12] あなたのチームのセキュリティスキルは十分ですか?DevSecOpsを見据えたセキュリティ人材の育成方法
[SC12] あなたのチームのセキュリティスキルは十分ですか?DevSecOpsを見据えたセキュリティ人材の育成方法[SC12] あなたのチームのセキュリティスキルは十分ですか?DevSecOpsを見据えたセキュリティ人材の育成方法
[SC12] あなたのチームのセキュリティスキルは十分ですか?DevSecOpsを見据えたセキュリティ人材の育成方法de:code 2017
 
導入事例_継続的セキュリティチェック成功体験
導入事例_継続的セキュリティチェック成功体験導入事例_継続的セキュリティチェック成功体験
導入事例_継続的セキュリティチェック成功体験Yoshii Ryo
 
【ITソリューション塾・特別講義】Security Fundamentals/2017.5
【ITソリューション塾・特別講義】Security Fundamentals/2017.5【ITソリューション塾・特別講義】Security Fundamentals/2017.5
【ITソリューション塾・特別講義】Security Fundamentals/2017.5Masanori Saito
 
スカイアーチセミナー:[スカイアーチ AWS共催]AWS移行のプロが教える!導入への3ステップ:150521
スカイアーチセミナー:[スカイアーチ AWS共催]AWS移行のプロが教える!導入への3ステップ:150521スカイアーチセミナー:[スカイアーチ AWS共催]AWS移行のプロが教える!導入への3ステップ:150521
スカイアーチセミナー:[スカイアーチ AWS共催]AWS移行のプロが教える!導入への3ステップ:150521株式会社スカイアーチネットワークス
 
【AWS初心者向けWebinar】AWSのプロビジョニングからデプロイまで
【AWS初心者向けWebinar】AWSのプロビジョニングからデプロイまで【AWS初心者向けWebinar】AWSのプロビジョニングからデプロイまで
【AWS初心者向けWebinar】AWSのプロビジョニングからデプロイまでAmazon Web Services Japan
 
20121221 AWS re:Invent 凱旋報告
20121221 AWS re:Invent 凱旋報告20121221 AWS re:Invent 凱旋報告
20121221 AWS re:Invent 凱旋報告真吾 吉田
 
AWSはMSSまで提供してくれるのか!?
AWSはMSSまで提供してくれるのか!?AWSはMSSまで提供してくれるのか!?
AWSはMSSまで提供してくれるのか!?Masaya Tahara
 
AWSサムライハンズオン CDPから始めよう #jawsdays
AWSサムライハンズオン CDPから始めよう #jawsdays AWSサムライハンズオン CDPから始めよう #jawsdays
AWSサムライハンズオン CDPから始めよう #jawsdays 真吾 吉田
 
AWSへのWindows Server 2003の移行 そして今後インフラとどう向き合うべきか
AWSへのWindows Server 2003の移行 そして今後インフラとどう向き合うべきかAWSへのWindows Server 2003の移行 そして今後インフラとどう向き合うべきか
AWSへのWindows Server 2003の移行 そして今後インフラとどう向き合うべきか真吾 吉田
 
セキュリティの基本とAWSでのセキュリティ対策をフルコースで味あう
セキュリティの基本とAWSでのセキュリティ対策をフルコースで味あうセキュリティの基本とAWSでのセキュリティ対策をフルコースで味あう
セキュリティの基本とAWSでのセキュリティ対策をフルコースで味あうShinodaYukihiro
 
スタートアップならおさえておきたいAWS(Amazon Web Services)入門 1限目:サービス概要と基礎知識編 先生:
スタートアップならおさえておきたいAWS(Amazon Web Services)入門 1限目:サービス概要と基礎知識編 先生:スタートアップならおさえておきたいAWS(Amazon Web Services)入門 1限目:サービス概要と基礎知識編 先生:
スタートアップならおさえておきたいAWS(Amazon Web Services)入門 1限目:サービス概要と基礎知識編 先生:schoowebcampus
 
Office365 および Azure AD 管理者が必ずやっておくべきセキュリティ対策
Office365 および Azure AD 管理者が必ずやっておくべきセキュリティ対策Office365 および Azure AD 管理者が必ずやっておくべきセキュリティ対策
Office365 および Azure AD 管理者が必ずやっておくべきセキュリティ対策Yusuke Kodama
 
IVS_CTO_Night_and_Day_2016_Morning_Session_A-4_hkiriyam
IVS_CTO_Night_and_Day_2016_Morning_Session_A-4_hkiriyamIVS_CTO_Night_and_Day_2016_Morning_Session_A-4_hkiriyam
IVS_CTO_Night_and_Day_2016_Morning_Session_A-4_hkiriyamHayato Kiriyama
 
AWSのセキュリティを考える!「AWS Well-Architected Tool」活用術セミナー セキュリティの柱を解説
AWSのセキュリティを考える!「AWS Well-Architected Tool」活用術セミナー セキュリティの柱を解説AWSのセキュリティを考える!「AWS Well-Architected Tool」活用術セミナー セキュリティの柱を解説
AWSのセキュリティを考える!「AWS Well-Architected Tool」活用術セミナー セキュリティの柱を解説Nobuhiro Nakayama
 
エンジニアの為のAWS実践講座
エンジニアの為のAWS実践講座エンジニアの為のAWS実践講座
エンジニアの為のAWS実践講座Eiji Shinohara
 
マニアックス5Sql azure
マニアックス5Sql azureマニアックス5Sql azure
マニアックス5Sql azure貴仁 大和屋
 
セキュリティの基本とAWSでのセキュリティ対策をフルコースで味あう_公開修正版
セキュリティの基本とAWSでのセキュリティ対策をフルコースで味あう_公開修正版セキュリティの基本とAWSでのセキュリティ対策をフルコースで味あう_公開修正版
セキュリティの基本とAWSでのセキュリティ対策をフルコースで味あう_公開修正版ShinodaYukihiro
 

Similar to クラウドセキュリティFAQ セキュリティ対策を分解して考える (20)

スカイアーチセミナー:【AWS基礎講座】提案で差をつける3つの条件:150325
スカイアーチセミナー:【AWS基礎講座】提案で差をつける3つの条件:150325スカイアーチセミナー:【AWS基礎講座】提案で差をつける3つの条件:150325
スカイアーチセミナー:【AWS基礎講座】提案で差をつける3つの条件:150325
 
Introduction of-aws-well-architected
Introduction of-aws-well-architectedIntroduction of-aws-well-architected
Introduction of-aws-well-architected
 
[SC12] あなたのチームのセキュリティスキルは十分ですか?DevSecOpsを見据えたセキュリティ人材の育成方法
[SC12] あなたのチームのセキュリティスキルは十分ですか?DevSecOpsを見据えたセキュリティ人材の育成方法[SC12] あなたのチームのセキュリティスキルは十分ですか?DevSecOpsを見据えたセキュリティ人材の育成方法
[SC12] あなたのチームのセキュリティスキルは十分ですか?DevSecOpsを見据えたセキュリティ人材の育成方法
 
導入事例_継続的セキュリティチェック成功体験
導入事例_継続的セキュリティチェック成功体験導入事例_継続的セキュリティチェック成功体験
導入事例_継続的セキュリティチェック成功体験
 
【ITソリューション塾・特別講義】Security Fundamentals/2017.5
【ITソリューション塾・特別講義】Security Fundamentals/2017.5【ITソリューション塾・特別講義】Security Fundamentals/2017.5
【ITソリューション塾・特別講義】Security Fundamentals/2017.5
 
スカイアーチセミナー:[スカイアーチ AWS共催]AWS移行のプロが教える!導入への3ステップ:150521
スカイアーチセミナー:[スカイアーチ AWS共催]AWS移行のプロが教える!導入への3ステップ:150521スカイアーチセミナー:[スカイアーチ AWS共催]AWS移行のプロが教える!導入への3ステップ:150521
スカイアーチセミナー:[スカイアーチ AWS共催]AWS移行のプロが教える!導入への3ステップ:150521
 
【AWS初心者向けWebinar】AWSのプロビジョニングからデプロイまで
【AWS初心者向けWebinar】AWSのプロビジョニングからデプロイまで【AWS初心者向けWebinar】AWSのプロビジョニングからデプロイまで
【AWS初心者向けWebinar】AWSのプロビジョニングからデプロイまで
 
JAWS-UG 情シス支部 #3
JAWS-UG 情シス支部 #3JAWS-UG 情シス支部 #3
JAWS-UG 情シス支部 #3
 
20121221 AWS re:Invent 凱旋報告
20121221 AWS re:Invent 凱旋報告20121221 AWS re:Invent 凱旋報告
20121221 AWS re:Invent 凱旋報告
 
AWSはMSSまで提供してくれるのか!?
AWSはMSSまで提供してくれるのか!?AWSはMSSまで提供してくれるのか!?
AWSはMSSまで提供してくれるのか!?
 
AWSサムライハンズオン CDPから始めよう #jawsdays
AWSサムライハンズオン CDPから始めよう #jawsdays AWSサムライハンズオン CDPから始めよう #jawsdays
AWSサムライハンズオン CDPから始めよう #jawsdays
 
AWSへのWindows Server 2003の移行 そして今後インフラとどう向き合うべきか
AWSへのWindows Server 2003の移行 そして今後インフラとどう向き合うべきかAWSへのWindows Server 2003の移行 そして今後インフラとどう向き合うべきか
AWSへのWindows Server 2003の移行 そして今後インフラとどう向き合うべきか
 
セキュリティの基本とAWSでのセキュリティ対策をフルコースで味あう
セキュリティの基本とAWSでのセキュリティ対策をフルコースで味あうセキュリティの基本とAWSでのセキュリティ対策をフルコースで味あう
セキュリティの基本とAWSでのセキュリティ対策をフルコースで味あう
 
スタートアップならおさえておきたいAWS(Amazon Web Services)入門 1限目:サービス概要と基礎知識編 先生:
スタートアップならおさえておきたいAWS(Amazon Web Services)入門 1限目:サービス概要と基礎知識編 先生:スタートアップならおさえておきたいAWS(Amazon Web Services)入門 1限目:サービス概要と基礎知識編 先生:
スタートアップならおさえておきたいAWS(Amazon Web Services)入門 1限目:サービス概要と基礎知識編 先生:
 
Office365 および Azure AD 管理者が必ずやっておくべきセキュリティ対策
Office365 および Azure AD 管理者が必ずやっておくべきセキュリティ対策Office365 および Azure AD 管理者が必ずやっておくべきセキュリティ対策
Office365 および Azure AD 管理者が必ずやっておくべきセキュリティ対策
 
IVS_CTO_Night_and_Day_2016_Morning_Session_A-4_hkiriyam
IVS_CTO_Night_and_Day_2016_Morning_Session_A-4_hkiriyamIVS_CTO_Night_and_Day_2016_Morning_Session_A-4_hkiriyam
IVS_CTO_Night_and_Day_2016_Morning_Session_A-4_hkiriyam
 
AWSのセキュリティを考える!「AWS Well-Architected Tool」活用術セミナー セキュリティの柱を解説
AWSのセキュリティを考える!「AWS Well-Architected Tool」活用術セミナー セキュリティの柱を解説AWSのセキュリティを考える!「AWS Well-Architected Tool」活用術セミナー セキュリティの柱を解説
AWSのセキュリティを考える!「AWS Well-Architected Tool」活用術セミナー セキュリティの柱を解説
 
エンジニアの為のAWS実践講座
エンジニアの為のAWS実践講座エンジニアの為のAWS実践講座
エンジニアの為のAWS実践講座
 
マニアックス5Sql azure
マニアックス5Sql azureマニアックス5Sql azure
マニアックス5Sql azure
 
セキュリティの基本とAWSでのセキュリティ対策をフルコースで味あう_公開修正版
セキュリティの基本とAWSでのセキュリティ対策をフルコースで味あう_公開修正版セキュリティの基本とAWSでのセキュリティ対策をフルコースで味あう_公開修正版
セキュリティの基本とAWSでのセキュリティ対策をフルコースで味あう_公開修正版
 

Recently uploaded

Amazon SES を勉強してみる その32024/04/26の勉強会で発表されたものです。
Amazon SES を勉強してみる その32024/04/26の勉強会で発表されたものです。Amazon SES を勉強してみる その32024/04/26の勉強会で発表されたものです。
Amazon SES を勉強してみる その32024/04/26の勉強会で発表されたものです。iPride Co., Ltd.
 
業務で生成AIを活用したい人のための生成AI入門講座(社外公開版:キンドリルジャパン社内勉強会:2024年4月発表)
業務で生成AIを活用したい人のための生成AI入門講座(社外公開版:キンドリルジャパン社内勉強会:2024年4月発表)業務で生成AIを活用したい人のための生成AI入門講座(社外公開版:キンドリルジャパン社内勉強会:2024年4月発表)
業務で生成AIを活用したい人のための生成AI入門講座(社外公開版:キンドリルジャパン社内勉強会:2024年4月発表)Hiroshi Tomioka
 
論文紹介:Video-GroundingDINO: Towards Open-Vocabulary Spatio-Temporal Video Groun...
論文紹介:Video-GroundingDINO: Towards Open-Vocabulary Spatio-Temporal Video Groun...論文紹介:Video-GroundingDINO: Towards Open-Vocabulary Spatio-Temporal Video Groun...
論文紹介:Video-GroundingDINO: Towards Open-Vocabulary Spatio-Temporal Video Groun...Toru Tamaki
 
Observabilityは従来型の監視と何が違うのか(キンドリルジャパン社内勉強会:2022年10月27日発表)
Observabilityは従来型の監視と何が違うのか(キンドリルジャパン社内勉強会:2022年10月27日発表)Observabilityは従来型の監視と何が違うのか(キンドリルジャパン社内勉強会:2022年10月27日発表)
Observabilityは従来型の監視と何が違うのか(キンドリルジャパン社内勉強会:2022年10月27日発表)Hiroshi Tomioka
 
NewSQLの可用性構成パターン(OCHaCafe Season 8 #4 発表資料)
NewSQLの可用性構成パターン(OCHaCafe Season 8 #4 発表資料)NewSQLの可用性構成パターン(OCHaCafe Season 8 #4 発表資料)
NewSQLの可用性構成パターン(OCHaCafe Season 8 #4 発表資料)NTT DATA Technology & Innovation
 
論文紹介:Selective Structured State-Spaces for Long-Form Video Understanding
論文紹介:Selective Structured State-Spaces for Long-Form Video Understanding論文紹介:Selective Structured State-Spaces for Long-Form Video Understanding
論文紹介:Selective Structured State-Spaces for Long-Form Video UnderstandingToru Tamaki
 
論文紹介: The Surprising Effectiveness of PPO in Cooperative Multi-Agent Games
論文紹介: The Surprising Effectiveness of PPO in Cooperative Multi-Agent Games論文紹介: The Surprising Effectiveness of PPO in Cooperative Multi-Agent Games
論文紹介: The Surprising Effectiveness of PPO in Cooperative Multi-Agent Gamesatsushi061452
 
LoRaWAN スマート距離検出デバイスDS20L日本語マニュアル
LoRaWAN スマート距離検出デバイスDS20L日本語マニュアルLoRaWAN スマート距離検出デバイスDS20L日本語マニュアル
LoRaWAN スマート距離検出デバイスDS20L日本語マニュアルCRI Japan, Inc.
 
新人研修 後半 2024/04/26の勉強会で発表されたものです。
新人研修 後半 2024/04/26の勉強会で発表されたものです。新人研修 後半 2024/04/26の勉強会で発表されたものです。
新人研修 後半 2024/04/26の勉強会で発表されたものです。iPride Co., Ltd.
 
Amazon SES を勉強してみる その22024/04/26の勉強会で発表されたものです。
Amazon SES を勉強してみる その22024/04/26の勉強会で発表されたものです。Amazon SES を勉強してみる その22024/04/26の勉強会で発表されたものです。
Amazon SES を勉強してみる その22024/04/26の勉強会で発表されたものです。iPride Co., Ltd.
 
LoRaWANスマート距離検出センサー DS20L カタログ LiDARデバイス
LoRaWANスマート距離検出センサー DS20L カタログ LiDARデバイスLoRaWANスマート距離検出センサー DS20L カタログ LiDARデバイス
LoRaWANスマート距離検出センサー DS20L カタログ LiDARデバイスCRI Japan, Inc.
 

Recently uploaded (11)

Amazon SES を勉強してみる その32024/04/26の勉強会で発表されたものです。
Amazon SES を勉強してみる その32024/04/26の勉強会で発表されたものです。Amazon SES を勉強してみる その32024/04/26の勉強会で発表されたものです。
Amazon SES を勉強してみる その32024/04/26の勉強会で発表されたものです。
 
業務で生成AIを活用したい人のための生成AI入門講座(社外公開版:キンドリルジャパン社内勉強会:2024年4月発表)
業務で生成AIを活用したい人のための生成AI入門講座(社外公開版:キンドリルジャパン社内勉強会:2024年4月発表)業務で生成AIを活用したい人のための生成AI入門講座(社外公開版:キンドリルジャパン社内勉強会:2024年4月発表)
業務で生成AIを活用したい人のための生成AI入門講座(社外公開版:キンドリルジャパン社内勉強会:2024年4月発表)
 
論文紹介:Video-GroundingDINO: Towards Open-Vocabulary Spatio-Temporal Video Groun...
論文紹介:Video-GroundingDINO: Towards Open-Vocabulary Spatio-Temporal Video Groun...論文紹介:Video-GroundingDINO: Towards Open-Vocabulary Spatio-Temporal Video Groun...
論文紹介:Video-GroundingDINO: Towards Open-Vocabulary Spatio-Temporal Video Groun...
 
Observabilityは従来型の監視と何が違うのか(キンドリルジャパン社内勉強会:2022年10月27日発表)
Observabilityは従来型の監視と何が違うのか(キンドリルジャパン社内勉強会:2022年10月27日発表)Observabilityは従来型の監視と何が違うのか(キンドリルジャパン社内勉強会:2022年10月27日発表)
Observabilityは従来型の監視と何が違うのか(キンドリルジャパン社内勉強会:2022年10月27日発表)
 
NewSQLの可用性構成パターン(OCHaCafe Season 8 #4 発表資料)
NewSQLの可用性構成パターン(OCHaCafe Season 8 #4 発表資料)NewSQLの可用性構成パターン(OCHaCafe Season 8 #4 発表資料)
NewSQLの可用性構成パターン(OCHaCafe Season 8 #4 発表資料)
 
論文紹介:Selective Structured State-Spaces for Long-Form Video Understanding
論文紹介:Selective Structured State-Spaces for Long-Form Video Understanding論文紹介:Selective Structured State-Spaces for Long-Form Video Understanding
論文紹介:Selective Structured State-Spaces for Long-Form Video Understanding
 
論文紹介: The Surprising Effectiveness of PPO in Cooperative Multi-Agent Games
論文紹介: The Surprising Effectiveness of PPO in Cooperative Multi-Agent Games論文紹介: The Surprising Effectiveness of PPO in Cooperative Multi-Agent Games
論文紹介: The Surprising Effectiveness of PPO in Cooperative Multi-Agent Games
 
LoRaWAN スマート距離検出デバイスDS20L日本語マニュアル
LoRaWAN スマート距離検出デバイスDS20L日本語マニュアルLoRaWAN スマート距離検出デバイスDS20L日本語マニュアル
LoRaWAN スマート距離検出デバイスDS20L日本語マニュアル
 
新人研修 後半 2024/04/26の勉強会で発表されたものです。
新人研修 後半 2024/04/26の勉強会で発表されたものです。新人研修 後半 2024/04/26の勉強会で発表されたものです。
新人研修 後半 2024/04/26の勉強会で発表されたものです。
 
Amazon SES を勉強してみる その22024/04/26の勉強会で発表されたものです。
Amazon SES を勉強してみる その22024/04/26の勉強会で発表されたものです。Amazon SES を勉強してみる その22024/04/26の勉強会で発表されたものです。
Amazon SES を勉強してみる その22024/04/26の勉強会で発表されたものです。
 
LoRaWANスマート距離検出センサー DS20L カタログ LiDARデバイス
LoRaWANスマート距離検出センサー DS20L カタログ LiDARデバイスLoRaWANスマート距離検出センサー DS20L カタログ LiDARデバイス
LoRaWANスマート距離検出センサー DS20L カタログ LiDARデバイス
 

クラウドセキュリティFAQ セキュリティ対策を分解して考える

Editor's Notes

  1. クラウドセキュリティFAQ セキュリティ対策を分解して考える と題して、 私 クラスメソッドの阿部が発表させていただきます。 資料は遅くとも明日中には弊社のブログにアップしたいと思います。
  2. まず、自己紹介させてください クラスメソッドAWS事業部の阿部と申します。 主にAWS環境の設計/構築を担当しています。 また、セキュリティ製品の評価、導入を行うセキュリティチームにも所属しています。
  3. 本セッションでお伝えすることは3つあります。 1つ目に、セキュリティ対策が難しいという事です。 2つ目に、難しいからこそ対策を分解して考えることが大切ということ。 最後に具体的なよく行う対策です。 今日はセキュリティをふわっと語らずに、AWSのセキュリティ対策を具体的にお伝えしたいと思います。
  4. セキュリティ対策について、「何をしたらよいかわからない」「難しい」とお考えのかたは多いのではないでしょうか。 「簡単だ」とお考えのかたは多分、いないと思います。 なぜ、難しいと感じるのかを整理したいと思います
  5. 3つ理由をあげてみます。 1つ目ですが、完璧なセキュリティ対策は存在しない事があげられます。 これをやっておけば、まるっと100%安全といった対策はありません。
  6. 2つ目ですが、いい感じの対策が望ましい という事があげられます。 セキュリティ対策は、お金がかかる、手間がかかる一面があります。 お金や手間がかからないが、まるっと守ってくれるそんな対策が望ましいわけです。 でも、そんな対策は存在しません。
  7. 3つ目ですが、セキュリティという言葉が便利に使われている事に尽きるかと思います。 セキュリティという言葉は様々なシーンで利用されます。OSやアプリケーションの脆弱性、DDoS対策、内部不正、ログ管理、アンチウイルス、WAFなど例を挙げるときりがありません。 便利に使われている言葉だと思います。
  8. セキュリティという言葉が便利に使われているので、対策として何をなればいいのかが見えづらくなっています。 セキュリティ対策では、分解して考える事が大切 です。 分解する事で、私たちが扱えるレベルまで落とし込んでいきます。
  9. まずは、担当者で分解します。 これにより、AWSとユーザーに分けることが出来ます。
  10. 責任共有モデルをご存知でしょうか? AWSのセキュリティは、AWSとユーザーで確保します。 AWSはクラウドのセキュリティを担当し、ユーザーはクラウド内のセキュリティを担当します。 具体的にいうと、AWSはハードディスクの廃棄や、データセンターのセキュリティといった物理インフラまわり ユーザーは、AWS上でネットワークやアカウントを適切に設定/管理することや OSやアプリケーションを担当します。
  11. セキュリティ対策を担当者で分解しました。 AWSの担当箇所はAWSに任せてしまいましょう。 我々はクラウド内のセキュリティに注力します。
  12. セキュリティ対策をさらに分解します。 要件で分解します。 要件に関わらず、なるべく対応すべき必須の対策と、要件に応じて行うオプションの対策に分かれます。
  13. AWSを一旦、離れて人のセキュリティ対策で考えたいと思います。 必須の対策として3つあげてみました。  出かける前に戸締りをする  遅い時間帯の外出は避ける  治安の悪い場所には近づかない これらは子供、大人、財力など関係なく、全員がなるべく対応すべき内容だと思います。
  14. オプションの対策としては、SECOMのような警備サービスに加入したり、番犬を飼うといった対策があります。 家をどろぼうから守ったり、家にいる人を守ることが出来ます。 ただし、警備サービスや番犬は通勤/通学中の人を守ってくれません。 そこで、ボディガードを雇う 対策も考えられます。 ボディガードを雇うとなると、高いですし、周りから見た目的に浮くと思うですが、それでも良ければ雇うことになると思います。
  15. セキュリティ対策を要件で分解しました。 必須の対策をしつつなるべく行いつつ、要件に応じて追加の対策を行うと良いことが言えます。
  16. AWSに戻りたいとおもいます。 AWSはサービスがたくさんありますが、よく使われるEC2を中心に分解します。
  17. EC2のセキュリティ対策も、必須とオプションに分解されます。 必須のうち、AWS固有化か否かという観点で、さらに分解します。 オンプレと同じとスライドにありますが、オンプレミスでもクラウドでもやるべき対策と AWSならではの対策 に分けられるという事を意図しています。
  18. オンプレミスと同様の対策としては、 脆弱性をついた攻撃を防ぐ、軽減する観点で、最新のOS、アプリケーションを使うということが挙げられます。 古いOSやアプリを使うと、その脆弱性をついた攻撃をうけてしまいます。 またOSやアプリはサポート期限が設けられていることが多いので、古いバージョンを使っているとセキュリティパッチが提供されないリスクがあります。 アクセス制限も重要だと考えます。 オンプレミスでは、ルータやUTMのファイアウォールや、Linuxのiptablesなどで制限をかけているかと思います。 EC2でのアクセス制限について、深掘りしていきます。
  19. EC2のアクセス制限として使うのは、主にセキュリティグループとネットワークACLです。 セキュリティグループについて、整理したいと思います。 セキュリティグループはインスタンス単位で設定します。 InboundとOutbound、つまり受信と送信について、許可する通信を指定します。 ステートフルで許可されるので、戻りのパケットについては自動的に許可されます。
  20. セキュリティグループの例をご説明します。 Inboundでは、必要最低限の許可を指定します。 一般公開するWebサーバであれば、送信元をHTTPをインターネット全体からアクセスできるようにし、 管理用のSSHは、自分の許可点のIPアドレスのみ許可します。 SSHのような管理用のポートは、なるべく送信元をしぼる、 許可するポートは最低限にすることがポイントです。 Outboundはすべて許可することがおおいです。 NTP、OSパッチのダウンロード、AWS APIを実行する事を考えると、慎重に絞り込む必要がありそうです。
  21. ネットワークACLはサブネット単位で設定します。 InboundとOutboundの考え方はセキュリティグループと同じです。 セキュリティグループとは違い、許可と拒否を指定できます。 また、ステートレスなので戻りの通信についても、許可を記載する必要があります。
  22. よくあるネットワークACLの使い方をご紹介します。 Inboundでは、デフォルトは許可とします。 ブロックしたい通信がある場合は、優先順位を高くして拒否ルールを記載します。 アプリケーションログから、攻撃をうけたことがわかった場合などに利用します。 Outboundはセキュリティグループと同様絞らないことが多いです。 絞る場合は、必要な通信までブロックしないように注意します。
  23. AWS固有の対策については、ブログにまとめたのでそちらをご覧ください。 続きはWebでという形になってしまい、申し訳ないです。
  24. 要件に応じて行う対策については、手段で分解します。 AWSサービスを使う方法と、AWSのパートナーの製品を使う方法に分解します。
  25. AWSサービスは、気楽に試せることがメリットだと思います。 パートナーやサードパーティツールは、AWSで出来ないことやAWSサービスでは機能が不足する場合に活躍します。 利用方法としては、大きく3つあります。 アンチウイルスソフトのようなEC2にインストールして使うタイプ AWS MarketplaceからEC2として起動するタイプ 外部SaaSとして利用するタイプにわかれます
  26. AWSサービスで行うセキュリティ対策をご紹介します
  27. まず、AWS CloudTrailです。 有効化を強くおすすめします。 AWSで実行されたAPIを記録するサービスです。 AWSで不正操作が行われた際の調査に使ったり、監査に利用できます。 弊社では全アカウントで有効化しています。
  28. 次にAWS Configですが、こちらも有効化をおすすめします。 AWSリソースの構成変更記録をとることが出来るサービスです。 具体的にいうと、セキュリティグループを作った、ルールを追加した、ルールを削除した。 そういった記録をタイムラインで可視化できます。 変更時にメールを飛ばすこともできます。 詳しいことは、リンクをはっておいたのでブログをご覧ください。
  29. AWS Shiledは比較的最近発表されたサービスです。 ALB、CloudFront、Route53に対するDDoS保護が提供されます。 追加料金なしで自動適用されますので、皆さんの環境でも有効になっています。 専任のチームとのコンタクトが必要な場合は、Advancedを利用します。 Advancedは別途費用がかかります。
  30. Web Application Firewallについても、AWSで利用できます。 AWS WAFといいます。 容易されているシグネチャつまり攻撃パターンが少ないので、 AWSパートナーのWAF製品を使うケースが多いです。
  31. 脆弱性診断では、AWS Inspectorが利用できます。 特徴としては、プラットフォームの診断、つまりOSやミドルウェアNWの診断を行います。 EC2にエージェントをインストールする、エージェント型になっています。 CVEやCISといったルールに基づいて、脆弱性を確認します。 詳しい内容は、AWSのオンラインセミナーがわかりやすいのでリンクをはっておきました。
  32. パートナーが提供する製品やサービスで、よく話にあがるものをご紹介します。
  33. 主にリモートメンテナンスで利用されることが多いのがSSL-VPNです。 メンテナンス拠点のIPアドレスが絞れない場合や、 接続先のインスタンスを絞ったり、ログを残したいときに利用します。 利用形態としては、 AWS上のバーチャルアプライアンスと、作業端末間でSSLVPNをはり、 バーチャルアプライアンス経由で、SSHやリモートデスクトップ接続する形です。
  34. マルウェア対策としては、Anti-Vuirusがあげられます。 バーチャルアプライアンス型と、ホスト型がありますが、多いのはホスト型だと思います。 皆さんのPCにも入っていると思いますが、EC2にインストールして使う形です。
  35. ウェブアプリケーションの保護としては、WAFが有効です。 利用形態として、3つあります。 1つ目に、AWSの外で保護するSaaS型です。ユーザー側でEC2の用意やメンテナンスが要らない点で有利です。 2つ目に、EC2として使うバーチャルアプライアンス型。F5さんのBIG-IPはバーチャルアプライアンス型に該当します。 ユーザー側の自由度が高い点で有利です。 3つ目に、EC2にインストールして使うホスト型です。 詳しいことは、リンクを張っておきましたのでブログをご覧ください。
  36. セキュリティ製品を選ぶ前に、抑えておくべきポイントをご紹介します。
  37. ポイントを2つあげます。 まず、何を何から守りたいのかをはっきりさせる事が重要です。 EC2をマルウェアから守りたいのであれば、AntiVirusソフトが有効ですし、 内部不正を防ぎたいのであれば、SSLVPNでログをとったり、CloudTrailやAWS Configなどが有効です。
  38. 2つ目にセキュリティ製品によって、起こる運用の手間や誤検知などの副作用の確認です。 Anti-Virusであれば、正常なファイルをウイルスと判断してしまうリスクがあります。 また、全般的にいえることですがエージェントやファームウェアのバージョンアップなどの対応が必要になります。 こういった副作用を考えると、オンプレミスで使い慣れた製品をAWSでも使うのは有効だと思います。
  39. まとめに入ります。
  40. セキュリティ対策を分解して、考えました。 セキュリティ対策を、まずは担当者で分解しました。 AWSの担当と、我々ユーザーの担当があります。 AWSの担当はAWSに任せましょう。 ユーザーの担当のうち、必ず実施すべき必須と要件に応じて実施するオプションにわかれます。 必須の対策をやってこそ、オプションの対策がいきるので必須の対策はなるべく実施すべきだと思います。 必須の対策はオンプレミスと同じものと、AWS固有のものにわかれます。 クラウドで全てがガラッと変わるわけではないので、変更点をおさえて頂ければだいじょうぶです。 オプションの対策については、AWSサービスを使う方法とパートナー製品を使う方法にわかれます。 オンプレミスで使い慣れたパートナーの製品をAWSでも使うのは有効だと思います。
  41. 最後のまとめです。 セキュリティやセキュリティ対策という言葉は漠然としているので、分解して考えることが重要です。 必須の対策をベースにして、要件に応じて追加の対策を行うと、セキュアなシステムを作れると思います。 弊社では、AWS環境のコンサルティングやセキュリティ製品の導入を行っていますので、何かあればお気軽にご相談ください。 以上で終わります。ありがとうございました。