AWSではじめる クラウドセキュリティ クラウドで学ぶセキュリティ設計/実装

■責任共有モデル ・オンプレとクラウドの大きな違いの一つ ・システムを各種レイヤーに分けたときに、AWS側が責任を持つ部分とユーザが責任を持つ部分がある ・責任の範囲はサービスで変わる ・ユーザが責任を持つ部分はしっかりセキュリティ対策を入れることが重要 ・クラウドではセキュリティの問題に費用増加も挙げられる（e.g.DDoSによるスケールアップ、EDoS） ■セキュリティポリシーをつくる ・ルールが増えて運用が難しくなると形骸化・陳腐化する ・そもそも何を実現したい（防ぎたい）ためにルールを作るかを考える（形骸化への対策） ・ゲートキーパーではなくガードレールへ ・DevSecOpsという考え方 ■AWSの利用を開始する際のセキュリティ ・ルートユーザは基本的にアクセスしない ・代わりにIAMユーザを使う ・ルートユーザは多要素認証を有効化し、アクセスキーは有効化しない・削除する ■セキュリティ検知の仕組み作り ・アクセス権限管理は利便性と表裏一体で、セキュリティ強度が高まるが開発の自由度は落ちる ・予防的対策の課題に対して併用して求められる対策が「検知」 ・Control Towerでは複数のAWSアカウントを開設し運用する際にセキュリティのベストプラクティスを簡単に実装できる ■ガードレールとゲートキーパー型 ・ガードレールは検知と併用する ・完璧な防御は難しいから、それを補うのが検知 ・検知をする主なサービス(p.145参照) ・検知の目的は２つ。「異常アクティビティと影響の把握」「情報資産に対するセキュリティ対策の有効性検証」 ・「異常アクティビティ」→SQLインジェクションとか。外部的な話。 ・「セキュリティ対策の有効性検証」→本来暗号化されるはずのS3バケットがされてないとか。どちらかと言えば内部的な話。 ・検知は発見的統制に含まれる ・検知をするためには監視が必要。 ・監視を実現するにはログを取得する。 ・ログの取得は内部統制にも効く(不正な行為の隠蔽をさせないため) ・AWSにおけるログの取得はCloudTrail ・CloudTrailではログに重要な4W1Hが出力される ・セキュリティ対策の有効性検証にはTrusted Advisorが良い(初めから有効化されてる) ・Configも有効性検証に良い ・Configはカスタムルールとマネージドルールがある ・また、SecurityHubではConfigと連携してベスプラ状態を確認できる機能が提供されてる ・CloudWatchではインフラやアプリのログを監視、集約できる。 ・VPCフローログはネットワーク。 ・マルチアカウントでの運用(P.158) ・ログ保管にはS3を使うと良い(耐久性の観点から) ・CloudTrailで収集したログをCloudWatchlogsでフィルターすることができる。 ・AWSサービスを利用したインシデントレスポンスの自動化 ・新めのサービスでSecurityLakeがある。これはオンプレクラウド問わずセキュリティサービスを一元管理するもの。

前評判では結構いいと聞いていたけれど、まあ、一般論が書かれているな、という感じ。 CIS Controlsというベストプラクティスの話は知らなかったのでしれて良かった。 あとは第3部の内容が面白かったとは思うものの、AWSが公開しているコンテンツをベースにしているということでこの書籍としての目新しさを感じにくく、もう少しケース別に掘り下げた内容を期待していただけに、入門書的立ち位置だったことに残念に思う。 最新の内容を盛り込みながらの紹介があって少しワクワクしたところで終わったので、もう少しそこに厚みがあったらとても嬉しかった。 前振りは長めだが第1部でセキュリティの一般論も触れているので、その辺りも含めて知りたい、という人には良いかも。