巨人の肩に乗る

　今やセキュリティ対策として検討する必用がある領域は、非常に多岐に渡っています。何の対策が必用か、自分で考えるのは現実的ではなくなっています。そこで、先人たちが考えたフレームワークに乗っかかるというのは非常に有効です。いわゆる巨人の肩に乗るということですね。

　AWSのセキュリティ分野であれば、NISTのサイバーセキュリティフレームワークとAWS Well−Architectedフレームワークをまず読むことをおすすめします。

NIST サイバーセキュリティフレームワーク　コア（IPA公開版）
AWS Well-Architected フレームワーク

　この2つを読み比べると解るのですが、どちらも結構似たことを言っています。それもそのはずで、AWS Well-Architectedのセキュリティの柱はNIST サイバーセキュリティフレームワークを下敷きにしている部分も多々あります。また既にWell-Architectedフレームワーク読んだよという方も、もう一度読んで見ることをお勧めします。2020年3月と7月に改訂されています。フレームワークもどんどん進化しているということですね。

　NIST サイバーセキュリティフレームワークの解説については、次の記事がお勧めです。

www.secure-sketch.com

フレームワークを当てはめる

　フレームワークでセキュリティ対策の概要を知ったら、次は実際のシステムにどのように当てはめればよいのかを考えてみましょう。その際のお勧めは、要素・構成を抽出して、同じシステムでも目的別・レイヤー別・アーキテクチャ別などいろいろな観点から構成を考えてみるのがよいです。

　実は上記の図は全て、私が書いた技術同人誌である『AWSの薄い本Ⅱ アカウントセキュリティのベーシックセオリー』からの引用です。当日話した内容をテキストベースで詳しく説明しているので、もし興味がありましたらBOOTHで見てください。2章までの無料版を公開しています。

booth.pm

伴走者を見つける

　これも持論ですが、この手の対策は机上でドキュメント読むだけで身につけるのは中々難しいです。実際に自分で設定して運用してみると、セキュリティーフレームワークが言わんとしていた事が理解できるようになってきます。で、実際に対策しようと、最初の取り掛かりが非常に大変です。なぜならばフレームワーク読んだとしても、実際に手を動かそうとした瞬間に何からすれば良いのか全く解らなくて途方にくれるからです。
　そんな際にお勧めは、最初は伴走者をつけることです。スタート時点で自分の少し前で走ってくれる伴走者がいると、走り出しが非常にスムーズになります。最初にすべきこと、次にすべきことといった優先順位の付け方の相談ができるだけで、心理的な負荷も小さいです。そして、気がついたら自走しているという形が理想的ですね。
　少し宣伝が入りますが、最近AWSのセキュリティ相談に関する案件が増えていることもあり、セキュリティ支援のサービスも開始しています。どういったアプローチで対策するかや、定番の対策方法についてはテンプレート化して提供もしています。も興味があれば、お気軽にお問い合わせください。

www.nri-net.com