20200925 iret tech labo #2
- 1. AWSアカウントの脅威対策 iret tech labo #2 2020/09/25 Toshiaki Aoike
- 2. 自己紹介 青池 利昭 ▷ iret CI事業部 セキュリティセクション所属 ▷ 座右の銘「怠惰を求めて勤勉に行き着く」 2
- 3. アジェンダ ❏ クラウド環境における脅威 ❏ 脅威への対策 ❏ まとめ 3
- 4. ❏ クラウド環境における脅威 ❏ 脅威への対策 ❏ まとめ 4
- 6. 出典:Identity Theft Resource Center ITRC END-OF-YEAR DATA BREACH REPORT 2019年版 情報漏洩事件の件数は一年で 17% 増加 センシティブなデータの漏洩件数は一年で 85% 増加 (マリオネット社の3億8300件の漏洩を除いて計算) 米国における情報漏洩の状況 6
- 7. 出典:https://www.gartner.com/jp/newsroom/press-releases/pr-20180725 5. クラウドのセキュリティで注目すべきポイントは何か クラウドに関するセキュリティは多種多様で、さまざまな角度からのものがあり、その粒度もさまざ まです。クラウドに関しては、近年ではサービスとしてのインフラストラクチャ (IaaS) の利用に関す る初歩的なインシデントが多発しています。そうしたものの大半は、単純な「設定ミス」によるもの であり、IaaSを利用するユーザー側に原因があります。クラウドはデジタル・ビジネスを推進して いく上で中核となるものであり、ユーザー自らクラウドをセキュアに使いこなす必要があります。セ キュリティのプロフェッショナルは、クラウド視点でのリテラシを向上させ、DevSecOpsで求められ る新たなスキルや経験を積み、デジタル・ビジネスの推進をサポートしていくべきです。 ガートナーセキュリティの重要アジェンダ 5番 7
- 8. ❏ クラウド環境における脅威 ❏ 脅威への対策 ❏ まとめ 8
- 11. AWS CloudTrail AWS Config AWS Trusted Advisor AWS Security Hub Amazon GuardDuty Amazon Detective etc ... 状態を見えるようにするためには 11
- 15. AWS Security Hub 15 メンバーアカウントのクォータは 1,000
- 16. ❏ AWS 基礎セキュリティのベストプラクティス v1.0.0 ❏ CIS AWS Foundations Benchmark v1.2.0 ❏ PCI DSS v3.2.1 セキュリティ基準 16
- 17. 出典:https://docs.aws.amazon.com/securityhub/latest/userguide/securityhub-standards-cis-checks-not-supported.html CIS AWS Foundations Benchmark security checks that are not supported in Security Hub The following rules are not supported in the CIS AWS Foundations Benchmark standard in Security Hub, because they cannot be evaluated in an automated way. Security Hub focuses on automated security checks. 1.15 – Ensure security questions are registered in the AWS account 1.17 – Maintain current contact details 1.18 – Ensure security contact information is registered 1.19 – Ensure IAM instance roles are used for AWS resource access from instances 1.21 – Do not set up access keys during initial user setup for all IAM users that have a console password 4.4 – Ensure routing tables for VPC peering are "least access" サポートされていないセキュリティチェック 17
- 18. 出典:https://docs.aws.amazon.com/securityhub/latest/userguide/securityhub-standards-cis-checks-not-supported.html Security Hubでサポートされていない CIS AWS Foundations Benchmarkセキュリティチェック 次のルールは、自動化された方法で評価できないため、Security HubのCIS AWS Foundations Benchmark標 準ではサポートされていません。Security Hubは自動セキュリティチェックに重点を置いています。 1.15 – セキュリティの質問がAWSアカウントに登録されていることを確認します 1.17 – 現在の連絡先の詳細を維持する 1.18 – セキュリティ連絡先情報が登録されていることを確認します 1.19 – インスタンスからのAWSリソースアクセスにIAMインスタンスロールが使用されていることを確認します 1.21 – コンソールパスワードを持つすべてのIAMユーザーの初期ユーザーセットアップ中にアクセスキーをセットアップし ないでください 4.4 – VPCピアリングのルーティングテーブルが「最小アクセス」であることを確認する サポートされていないセキュリティチェック 18
- 19. インサイト 19
- 20. インサイト 20
- 21. インサイト 21
- 24. Detectiveの機能 24
- 25. Detectiveの機能 25
- 26. Detectiveの機能 26
- 27. Detectiveの機能 27
- 28. Detectiveの機能 28
- 29. Detectiveの機能 29
- 31. ❏ クラウド環境における脅威 ❏ 脅威への対策 ❏ まとめ 31
- 32. ❏ 本日紹介したのはごく一部のサービス ❏ 目的を明確にしてからサービスの利用 ❏ インシデントの検知、調査の仕組みは必要 ❏ セキュリティサービスの導入はコストではなく投資 ❏ 本日の内容はスタートラインに立つための道標 まとめ 32