早くも夏が到来しました。暑いですね。
そして AWS Summit Japan 2022 も、なかなかアツいセッションが目白押しでしたね。

そんな数々のセッションの中から、
今回は「運用視点で考える AWS のセキュリティ体制強化」をレポートします！

セッション概要

タイトル

運用視点で考える AWS のセキュリティ体制強化(AWS-24)

スピーカー

AWS 技術統括本部 金融ソリューション本部 シニアソリューションアーキテクト　辻本 雄哉 氏

概要

成長・変化を続けるシステムに対し、セキュリティ対応が取り残されていませんか。このセッションでは、これから AWS の本格活用を検討されている方向けに、「開発チーム／運用チーム／セキュリティチームで意識すべきセキュリティ運用のポイント」と、「AWS Security Hub 等の AWS サービスを活用した効率的なセキュリティ運用」についてご紹介します。

レポート

セッション対象者

• AWSアカウントが増えるにつれ、効果的なセキュリティ対応について課題感を持っている方
• 運用効率が良くないという課題感を持っている方
• セキュリティ対応の作業が増え、システム開発のスピードに課題感を持っている方

クラウド活用におけるセキュリティ運用の課題

セキュリティチームの課題

• 対象のシステムが多種多様化し、時間的・人員的余裕が無い
• セキュリティチェックシートのようなセルフチェックになりがちで、回答者の解釈に強く依存する
• セキュリティインシデントの際は、運用・開発チームに対応を任せることになりがち

運用チームの課題

• 設計・開発工程に関与しないため、運用に関する要件が適切に伝達されない
• 運用回避対応 (俗に言う「運用でカバー」ですね) による負担増
• 決められた手順に従うことが第一で、新しいチャレンジよりもミスを起こさないことに意識が向きがち

開発チームの課題

• アプリケーション開発が最優先事項となり、運用設計や手順の整備が後回しにされがち
• リリース後は関与が薄くなり、本番運用フェーズの評価が十分におこなわれない
• 最後の手段は運用回避

いずれの課題も、それぞれのチームに閉じた活動が原因。
課題を解決するために「視認性の向上」と「セキュリティ体制の強化」が大切！

課題解決のポイント① クラウドのメリットを活かした運用

---

セキュリティ・運用・開発の各チームが情報収集に主体性を持ち、

何を可視化すべきなのか視認性を共有する

• セキュリティチーム: セキュリティ監査に対する主体性が必要
• 開発チーム: 運用フェーズで適切なフィードバックを得るために必要な出力を検討し実装する
• 運用チーム: 開発チームへ、業務に対する適切なフィードバックを行う

セキュリティ対策の負担を減らし、立ち止まらず進み続けるために必要なこと

• 設計フェーズ: セキュリティ要件を整理し、セキュリティリスクについて3チームで
  共通認識を持つようにする
• 構築フェーズ: CI/CDパイプラインにセキュリティチェックを組み込み自動化する
• 構築フェーズ: 承認プロセスにセキュリティ観点の項目を加える
• 運用フェーズ: 問題が発生した場合は、ツールを用いて対応し負担を軽減する

クラウドのメリットを活かした運用を実現するには、
全てのチームでシステムのライフサイクルを最適化していく必要がある。

課題解決のポイント② AWSサービスを活用したセキュリティ運用

---

Amazon QuickSight

• インタラクティブなダッシュボードを数クリックで作成できるBIツール
• チームを横断した情報の可視化に有用

Amazon Athena

• Amazon Simple Storage Service (Amazon S3) 内に保存されたログを
  標準SQLを使用して簡単に分析できるサービス
• 可視化の仕組みと非常に親和性が高い組み合わせ

各チームで統一されたダッシュボードを持つことでダッシュボードが共通言語となり
チームを横断したコミュニケーションがスムーズになる。

各チームが、必要な情報に必要なタイミングでアクセスできることで
適切なフィードバックが行われるようになる。

Amazon Inspector

• Amazon EC2とAmazon ECR のフルマネージド型脆弱性管理ソリューション
• Amazon EventBridge や AWS Security Hubと統合することで
  スキャン結果を担当者へ自動通知、修復までの平均時間を削減可能
• リソースを自動検出、継続的にスキャンすることで属人的な作業を排除できる

AWSマネージドサービスを活用することで、人による対応工数を削減。
機械的なチェックにより属人性を排除し、担当者のスキルに依らない安定的な品質を担保できる。
結果、全てのチームの対応負荷を軽減することにつながる。

AWS Security Hub

• 組織内の様々なセキュリティデータを集約して、一元的に可視化するサービス

AWS Organizations

• AWSリソースの増加やスケーリングに合わせて、環境を一元的に管理し、統制するサービス
• AWS Security Hubとの統合により、複数AWSアカウントのセキュリティ運用効率を高められる

AWS Security HubとAWS Organizationsの機能によりセキュリティ管理対象への自動追加や一元管理が可能に。
結果、各チームの作業負荷が軽減される。
AWS Security Hubを中心としたセキュリティ運用を行うことで
検出、調査、対応などのアクションをスムーズに繋げることが可能。

まとめ

セキュリティ運用においては、チームに閉じた単独の視点が「チーム横断的な視点の欠如」「問題の後回し」
「属人的で非効率な運用」「スケールするシステムへの対応が困難」といった課題を生んでいた。

これらの課題に対して、「グループ間での視認性の共有」「システムのライフサイクル全体のバランスを均一・効率化」するクラウドのメリットを活かした運用を行なっていくことが大切。

AWSのマネージドサービスを上手く活用すれば
自動化や可視化の仕組みを素早く実現することが可能となり、
属人性の排除やシステムのスケールに柔軟に対応できるようになる。

セキュリティは決してブレーキを踏ませるだけのものではない。
セキュリティ体制の強化を突き詰めていくことで、開発や運用チームを非効率な対応から開放し、
イノベーションを加速させるものである。

感想

セキュリティ体制の強化が、結果として開発・運用チームを非効率な対応から開放しイノベーションを加速させる、というまとめの言葉が印象的でした。
運用チームでの経験が長い身として、本セッションで提示された課題はまさに身につまされる思いがします。
既に用意されている豊富なセキュリティサービスをいかに上手く活用していくか、今後はこういったクラウドならではの視点が必要になってくると感じました。