8月13日に開催されたFin-JAWS 第14回 Fin人類育成計画で、論理登壇しました。全体のテーマは人材育成ということで、AWS認定試験の対策本の著者たちが集まってそれぞれ話しています。私は、セキュリティ専門知識の対策本を出した縁で、AWSのセキュリティの考え方を軸に話しました。
登壇資料とTogetterまとめ
当日の登壇資料は、これです。
当日のTwitterのまとめです。かなり活発に意見が飛び交いまして、最後には#finjawsのハッシュタグがトレンド入りしていました。
AWSのセキュリティの考え方
資料中に書いていますが、当日話したことをダイジェストでお伝えします。
巨人の肩に乗る
今やセキュリティ対策として検討する必用がある領域は、非常に多岐に渡っています。何の対策が必用か、自分で考えるのは現実的ではなくなっています。そこで、先人たちが考えたフレームワークに乗っかかるというのは非常に有効です。いわゆる巨人の肩に乗るということですね。
AWSのセキュリティ分野であれば、NISTのサイバーセキュリティフレームワークとAWS Well−Architectedフレームワークをまず読むことをおすすめします。
NIST サイバーセキュリティフレームワーク コア(IPA公開版)
AWS Well-Architected フレームワーク
この2つを読み比べると解るのですが、どちらも結構似たことを言っています。それもそのはずで、AWS Well-Architectedのセキュリティの柱はNIST サイバーセキュリティフレームワークを下敷きにしている部分も多々あります。また既にWell-Architectedフレームワーク読んだよという方も、もう一度読んで見ることをお勧めします。2020年3月と7月に改訂されています。フレームワークもどんどん進化しているということですね。
NIST サイバーセキュリティフレームワークの解説については、次の記事がお勧めです。
フレームワークを当てはめる
フレームワークでセキュリティ対策の概要を知ったら、次は実際のシステムにどのように当てはめればよいのかを考えてみましょう。その際のお勧めは、要素・構成を抽出して、同じシステムでも目的別・レイヤー別・アーキテクチャ別などいろいろな観点から構成を考えてみるのがよいです。
実は上記の図は全て、私が書いた技術同人誌である『AWSの薄い本Ⅱ アカウントセキュリティのベーシックセオリー』からの引用です。当日話した内容をテキストベースで詳しく説明しているので、もし興味がありましたらBOOTHで見てください。2章までの無料版を公開しています。
伴走者を見つける
これも持論ですが、この手の対策は机上でドキュメント読むだけで身につけるのは中々難しいです。実際に自分で設定して運用してみると、セキュリティーフレームワークが言わんとしていた事が理解できるようになってきます。で、実際に対策しようと、最初の取り掛かりが非常に大変です。なぜならばフレームワーク読んだとしても、実際に手を動かそうとした瞬間に何からすれば良いのか全く解らなくて途方にくれるからです。
そんな際にお勧めは、最初は伴走者をつけることです。スタート時点で自分の少し前で走ってくれる伴走者がいると、走り出しが非常にスムーズになります。最初にすべきこと、次にすべきことといった優先順位の付け方の相談ができるだけで、心理的な負荷も小さいです。そして、気がついたら自走しているという形が理想的ですね。
少し宣伝が入りますが、最近AWSのセキュリティ相談に関する案件が増えていることもあり、セキュリティ支援のサービスも開始しています。どういったアプローチで対策するかや、定番の対策方法についてはテンプレート化して提供もしています。も興味があれば、お気軽にお問い合わせください。
まとめ
ということで、AWSのセキュリティをどのような観点で考えて対策していくのかということの紹介でした。何から始めればよいか途方にくれている人の一助となれればと思っています。あと今月は、8/25にJAWS-UG朝会、8/28にSecurity-JAWS と立て続けに登壇します。朝会の方はCloudFormation StackSets × Organizations、Security-JAWSは試験対策寄りの話しをする予定です。お時間の都合が付けば、ぜひご参加ください。
- 作者:NRIネットコム株式会社,佐々木 拓郎,上野 史瑛,小林 恭平
- 発売日: 2020/07/29
- メディア: 単行本(ソフトカバー)