AWS summit2018レポート(1) 転ばぬ先のITガバナンスとは？AWSのセキュリティ担保責任はユーザーにもあり。

AWSを導入したけれど、セキュリティ面に不安がある、という人もいるのではないでしょうか。

編集部は、2018年5月30日に開幕したAWS summitの場でクラスメソッド株式会社によって語られた「クラウドを梃にしたビジネス トランスフォーメーションに向けて ITリーダーが取り組むべきこととは」に参加しました。

AWSのセキュリティをいかにして守っていくか、話されたポイントをレポートします。

（もうちょっとエンジニア寄りのレポートが読みたいという人はコチラ↓↓）

責任共有モデルの遵守が、AWS利用者のセキュリティを守る

AWSのセキュリティを考える上で最も大切な考え方は責任共有モデル。
責任はAWS側と利用者側の双方に所在しており、今回は利用者側に夜管理が必要なセキュリティ部門について、どのような点に気をつけておくべきなのかが紹介されました。

以下はクラスメソッド株式会社の社員がリストアップした、セキュリティを守る上で大切なこと。

• ログ収集エビデンス
• 特権管理
• WAF
• DDoS（L3 / L4 / ブロック）
• 暗号化（ディスク / ネットワーク）
• 脆弱系（OS / ミドルウェア）
• 脅威検知
• 暗号化鍵生成
• 認証情報管理
• セキュアコーディング
• ソーシャルエンジニアリング

このような項目は、日々運用する中で気をつけていくべき項目。システムが安全かどうかは、使う人次第なのです。

どのくらいAWSを使いこなしているかチェックしてみよう

1. あらゆるログを残す

社内では数十個のプロジェクトが常に動いていますよね。そのログはすべて取れていますか？ログの発生する場所は外部が多いため、Amazon Cloud TrailとAWS Configは必ずオンにし、そのほかは必要に応じて使うようにしましょう。

・AWS API全履歴（Amazon Cloud Trail）
AWSはAPIですべての操作ができます。すべてのAPI操作の記録を取るシステムが、Cloud Trailです。

・ログ収集（Amazon Clowd Watch Logs）
Clowd Watch Logsは、ログを収集するだけではなく、フィルタとアラームを設定できるサービスです。アプリケーションログから転送することも、マネージドサービスから発生したログを流すこともできます。

・VPC内のIP、トラフィック監視（Amazon VPC Flow Logs）
プライベートなネットワークの中に発生するトラフィックは監視していますか？収集しておくことで、脅威検知のサービスを使うことができます。

・アクセスログ（AWS Cloud Front /ELB/S3 Logs）
アクセスログを取っていれば、外部からの問題が発生した時に、いきなりサポートに連絡をするのではなく、まずはログを見て対処、ということができます。

・アプロケーションログ（OS Logs / Application Logs）
ひと昔の前にsshでサーバーに入ってエンジニアが権限を持ってチェックするということがなくなりつつあります。もはやOSにはsshしたら負け。リモートからログインせずともサーバーを管理できる仕組みが整いつつあります。そ

・インフラ設定変更管理（AWS Config）
さまざまな環境設定における履歴を取ることも重要。AWSは素晴らしいサービスを提供していますが、使いこなすのは、ユーザー次第なのです。

2. 外部からのサービス防御

外部からのアクセスについて、ログを収集するのみならず、迫り来る脅威はしっかりと防御しましょう。

・Webアプリファイアウォール（AWS WAF）と、マネージドルール
AWS WAFは、およそ1年前にリリースされた強力なサービスです。昨年まではWAFのルールセットを自作しなければなりませんだが、マネージドルールというルールセットがリリースされました。従来WAFは、非常に大きなインフラを構えて使わなければいけなかったのですが、マネージドルールがあれば、インフラはAWSに依存し、ルールセットは各セキュリティベンダーのものを使えます。価格が月5ドルからと大変安いのも魅力です。デフォルトで使ってもいいのではないでしょうか。

・DDoS対策（AWS shield(L3/L4)）と、AWS shield Advanced（L3/L4/L7　DRTチーム）
AWS shieldはロードバランサーにデフォルトで入っているのであえて申し込む必要はありません。ただ、攻撃があった時にどうブロックしていくべきか。正しいアクセスと攻撃を分けてブロックしていかなければいけません。これはAWS advfancedというAWS社員メンバーと連携してブロックしていくことができます。

3. データや通信の暗号化と鍵の管理

医療や金融など、機密情報を扱う企業では欠かせない項目ですが、それを実現するサービスがAWSに存在しています。

・データの暗号化（SSE-S / SSE-KMS / SSE-C）
2年ほどの歴史をおもつS3はサーバーサイドの暗号化に対応しています。

・ディスクの暗号化（EBS / EBS-KMS）
暗号化した鍵を管理するなら、KMSというキーサービスに鍵を集約できます。

・データベースの暗号化 （Amazon RDS / Amazon DynamoDB）
最近ではRDSやDynamoDBも暗号化に対応。自力で暗号化する必要がないのです。

・SSL / TLSサーバー証明書（AWS Certificate Manager）
SSLの更新切れは結構面倒なものですが、 Certificate Managerは証明書を無料で発行してくれます。さらにそれをローテーションしてくれます。使わない手はないかも。

・暗号化鍵の作成と管理（AWS Key Management Service）
さまざまなサービスの鍵を集中管理します。ブロックチェーンのようなものでしょうか。

・機密情報の管理とローテーション（AWS Secrets Manager）
データベースの管理をする時に、ルートのパスワードをベタがきしてしまっていることはありませんか？GitHub等にあげてしまってはいないでしょうか。これも新たに生成してローテーションしてくれる仕組みがあります。

4. OSやミドルウェアの脆弱性

OSなどの中身の脆弱性にも注意を払いましょう。

・OSやミドルウェアの脆弱性検査（Amazon Inspector）
OSにエージェントをいれて広く一般に公開されている脆弱性を検査・レポーティングしてくれるもの。WindowsやLinuxにも対応しています。

・サーバーメンテナンスとデプロイ（Aws Systems Manager）
面倒なエージェントの管理ですが、sshがいらないサービスもあります。AWSコンソールからsshにログインせずに、パッケージのバージョンアップなどのコマンドを送信できます。運用時には非常に重要なサービスです

・脅威検知（Amazon Guard Duty）
これを使う前提としては、ログのオプションをオンにしていることが挙げられます。機械学習ベースでログを分析し、怪しい操作があった時に検知し報告するという仕組みです。

・IPS、アンチウィルス/アンチスパム（TrendMicro Deep Security、Sophos、F-Secure等）
サードパーティーのサービスをうまく組み合わせて使いましょう。