AWSではじめる クラウドセキュリティ の商品レビュー

■責任共有モデル ・オンプレとクラウドの大きな違いの一つ ・システムを各種レイヤーに分けたときに、AWS側が責任を持つ部分とユーザが責任を持つ部分がある ・責任の範囲はサービスで変わる ・ユーザが責任を持つ部分はしっかりセキュリティ対策を入れることが重要 ・クラウドではセキュリティの問題に費用増加も挙げられる（e.g.DDoSによるスケールアップ、EDoS） ■セキュリティポリシーをつくる ・ルールが増えて運用が難しくなると形骸化・陳腐化する ・そもそも何を実現したい（防ぎたい）ためにルールを作るかを考える（形骸化への対策） ・ゲートキーパーではなくガードレールへ ・DevSecOpsという考え方 ■AWSの利用を開始する際のセキュリティ ・ルートユーザは基本的にアクセスしない ・代わりにIAMユーザを使う ・ルートユーザは多要素認証を有効化し、アクセスキーは有効化しない・削除する ■セキュリティ検知の仕組み作り ・アクセス権限管理は利便性と表裏一体で、セキュリティ強度が高まるが開発の自由度は落ちる ・予防的対策の課題に対して併用して求められる対策が「検知」 ・Control Towerでは複数のAWSアカウントを開設し運用する際にセキュリティのベストプラクティスを簡単に実装できる ■ガードレールとゲートキーパー型 ・ガードレールは検知と併用する ・完璧な防御は難しいから、それを補うのが検知 ・検知をする主なサービス(p.145参照) ・検知の目的は２つ。「異常アクティビティと影響の把握」「情報資産に対するセキュリティ対策の有効性検証」 ・「異常アクティビティ」→SQLインジェクションとか。外部的な話。 ・「セキュリティ対策の有効性検証」→本来暗号化されるはずのS3バケットがされてないとか。どちらかと言えば内部的な話。 ・検知は発見的統制に含まれる ・検知をするためには監視が必要。 ・監視を実現するにはログを取得する。 ・ログの取得は内部統制にも効く(不正な行為の隠蔽をさせないため) ・AWSにおけるログの取得はCloudTrail ・CloudTrailではログに重要な4W1Hが出力される ・セキュリティ対策の有効性検証にはTrusted Advisorが良い(初めから有効化されてる) ・Configも有効性検証に良い ・Configはカスタムルールとマネージドルールがある ・また、SecurityHubではConfigと連携してベスプラ状態を確認できる機能が提供されてる ・CloudWatchではインフラやアプリのログを監視、集約できる。 ・VPCフローログはネットワーク。 ・マルチアカウントでの運用(P.158) ・ログ保管にはS3を使うと良い(耐久性の観点から) ・CloudTrailで収集したログをCloudWatchlogsでフィルターすることができる。 ・AWSサービスを利用したインシデントレスポンスの自動化 ・新めのサービスでSecurityLakeがある。これはオンプレクラウド問わずセキュリティサービスを一元管理するもの。

前評判では結構いいと聞いていたけれど、まあ、一般論が書かれているな、という感じ。 CIS Controlsというベストプラクティスの話は知らなかったのでしれて良かった。 あとは第3部の内容が面白かったとは思うものの、AWSが公開しているコンテンツをベースにしているということでこの書籍としての目新しさを感じにくく、もう少しケース別に掘り下げた内容を期待していただけに、入門書的立ち位置だったことに残念に思う。 最新の内容を盛り込みながらの紹介があって少しワクワクしたところで終わったので、もう少しそこに厚みがあったらとても嬉しかった。 前振りは長めだが第1部でセキュリティの一般論も触れているので、その辺りも含めて知りたい、という人には良いかも。

本書は以下の構成になっており、抽象的すぎず具体的すぎず丁度良い感じにまとまっていると思いました。 ・AWSに限定しない企業レベルの情報セキュリティについて説明 ・NIST(米国立標準技術研究所)が策定しているCSF(Cyber Security Framework)をAWSに当てはめて説明 ・AWSの操作をハンズオン形式で説明 情報セキュリティ概要の記述レベルについては、エンジニアが知っておくべき丁度良い深さな気がしました。 エンジニアはトップダウンされた方針に従うことが多いと思いますが、 方針を立てる時の考え方や、参考にされている標準やフレームワークを知ることで ちゃんと意味を分かった上でセキュリティ対応ができれば「やらされている感」がなく仕事ができるかもしれません。 AWSは使いこなせばセキュアな構成がオンプレよりも簡単に作れそうですが 使いこなせなければ意味がないので、AWSでのセキュリティを知る最初の一歩に良い本だと思いました。