年始に勉強したい AWS セキュリティのコンテンツまとめ
Author : 臼田 佳祐 (クラスメソッド株式会社 / AWS Security Hero)
概要と対象者
この記事では AWS セキュリティを学習するための参考になるコンテンツをまとめますが、AWS という膨大なプラットフォームとセキュリティという広大な領域について、すべての人の需要を満たすことが難しいのは自明の理であります。コンテンツの種類もたくさんあるので以下の 5 編にまとめ、レベル感は初級者から上級者までごちゃまぜでその都度解説していくので、まずは全部眺めてから自身にあったものを選択してください。
コンテンツだけをババっと紹介してもいいのですが、とてつもなく多数のコンテンツがある中から厳選して選んでいるので、その背景なども踏まえてじっくり説明します。そのままこの記事が AWS セキュリティを理解する助けにもなるでしょう。
AWS とセキュリティの基礎編
まず最初に AWS とセキュリティの基礎です。AWS セキュリティの基礎とは、つまり AWS とセキュリティそれぞれの基礎です。このあたりは初心者向けでもありますが、きっと中級者でも実際には基礎が足りていない事が多いため、常に意識する必要がある領域です。基礎はすべてに通用します。基礎こそ根幹。
AWS の基礎でいうと、例えば Amazon EC2 がどのようなサービスであるかを理解することが基本の 1 つです。Amazon VPC の内部で展開するサービスであることからネットワークアクセスの制御が必要であることや、利用者に OS レベルの権限が与えられることから OS 以上のセキュリティを意識する必要があること、IAM Role をアタッチしてこれを利用できることから OS より上だけでなくAWSレイヤーの権限管理も意識する必要があるなど、それぞれの特徴や機能に応じたセキュリティを理解するための前提となります。
逆もしかりで、セキュリティの基礎でいうと、情報セキュリティとは何なのかというところから始まります。情報セキュリティの 3 要素 (機密性・可用性・完全性)、アクセス制御や暗号化等の技術、コンピュータサイエンスなど幅広い理解が必要で、これら自体も基礎の塊です。例えばコンピュータがメモリをどのように扱うかを理解していなければ、バッファオーバーフローの動作原理を正確に理解できないでしょう。総務省の「国民のためのサイバーセキュリティサイト」の「企業・組織の対策」の「情報セキュリティの概念」などから始まる一連のページなども参考になります。
「AWS とセキュリティの基礎編」の AWS コンテンツ
AWS とセキュリティの基礎を学ぶためのアプローチはありとあらゆるものがありますが、基礎は幅広いものですから、私は資格取得を目指して勉強することを推奨します。
本当に AWS を始めたて、あるいはこれから始めるのであれば、AWS Certified Cloud Practitioner 認定 はちょうどよい試験です。AWS の認定試験を勉強するコツは、試験ガイドをよく確認し、各コンポーネントの「よくある質問」ページの内容を理解し、そしてクラウドを使いこなす考え方を身につけることです。まずは以下のコンテンツを確認してください。
試験範囲を理解したら勉強を開始していくわけですが、前述した「クラウドを使いこなす考え方」はドキュメントを眺めたりするだけでは身に付きづらいです。
そこで、めちゃくちゃオススメの勉強方法を紹介します。
それは無料で利用できる AWS Skill builder で「AWS Cloud Practitioner Essentials (Japanese) (Na) 日本語実写版」コースを受講することです !
こちらのコースは何度もリメイクされ洗練されているのですが、最近ではコーヒーショップをベースにしたシナリオで内容が展開され、AWS やクラウドの概念に熟知していなくても、ユーモアあふれる分かりやすいコンテンツになっています。6 時間と長丁場のコースですが、初めて試験を受ける場合、これから AWS を理解していきたい場合、なんとなく AWS を使ってはいるけどクラウドらしさを体感できていないという方は体系立てて学ぶいい機会ですので、ぜひ受講しましょう !
AWS をきちんと使い始めて 1-2 年経って、しっかり知識や技術が身についてきたな、という方はぜひアソシエイトレベルの資格や、更にその上位のプロフェッショナルレベルの資格を目指してください。試験勉強の進め方は上記と同じで OK です。
最近では AWS Skill builder で模擬試験が無料で受けられます。ある程度勉強が進んだら、どれくらいの力がついているのか試しましょう。
「AWS とセキュリティの基礎編」のセキュリティコンテンツ
AWS と同様に、情報セキュリティも資格取得がおすすめです。もし目指せるなら、IPA の情報処理安全確保支援士試験の合格を目指してください。といっても、これは IPA の試験では一番高度なレベル 4 試験であるため、IT パスポート・基本情報技術者・応用情報技術者とレベルに合った積み上げをしていただくといいでしょう。
これらの試験は情報セキュリティだけでなく、幅広い IT のドメイン知識が求められますので、基礎を積むのにすごく最適です。私も学生時代に IT の仕事のイメージがないままこれらの資格の勉強をして取得していましたが、社会に出ると点と点が線になりまくっています。ちょーおすすめです。
どの試験が自分にあったレベルか分からなければ シラバス を確認しましょう。
情報処理安全確保支援士試験を受験する場合、私は以下の教科書がめちゃくちゃ役に立ったので、個人的にはこちらのシリーズをおすすめします。
詳細を理解しようユーザーガイド編
AWS の様々なサービスを使っていて、それぞれのサービスのセキュリティを気にして使えていますか ? AWS のユーザーガイドは非常に行き届いていて、サービスごとに「セキュリティ」のページが存在します。そして、実はそれを 1 箇所にまとめたページがあります。
ここから普段利用しているサービスのセキュリティに関するユーザーガイドのページに飛べます。普段使っているサービスのセキュリティちゃんと考えられているっけ ? と疑問に思う方は見に行きましょう !
じっくり読む課題ホワイトペーパー編
AWS はホワイトペーパーも数多くリリースしていますが、一番有名と言って過言ではないのは AWS Well-Architected Framework でしょう。これを最初から最後まですべて読んだ方はどれくらいいますか ? 私は読みました。2020 年から 2021 年までの約 1 年をかけて毎週 1 時間、社内で勉強会を行って読みました。進め方は、毎回読む場所を決めて 10 ~ 15 分程度で読み、読みながら Slack 上で (ここは各自任意のツールで) 気になることなどをメモしておき、読み終わった後みんなでメモを見ながらディスカッションします。いろんなバックグラウンドを持つメンバーと実施するとより理解が深まるでしょう。
AWS Well-Architected Framework はすべての人が読んだほうが本当はいいですが、すべての人には推奨しません。初心者の場合には少しハードルが高いでしょう。もし読むとしたら「概要とイントロダクション」に含まれる定義・アーキテクチャについて・一般的な設計原則だけ、まず読んでみてください。初心者以外は必ず読みましょう。
昔は直接 PDF で AWS Well-Architected Framework が読める状態でしたが、現在では HTML で提供されるフォーマットとなり、フレームワークの概要と 6 つの柱それぞれの内容をブラウジングしながら確認していく形式となっています。
私のおすすめの読み方は、これらの HTML のページを開いた後、ページ上部にある「PDF」ボタンを押して、全体の HTML ページにまたがった PDF の状態で確認する方法です。これなら都度画面遷移が要りませんので集中して読めます。
記事執筆の 2023 年 11 月時点ではこれでフレームワークの概要と 6 つの柱それぞれの内容が 1 つの PDF にまとまり、592 ページの大ボリュームになります。時間があるときにおすすめの読み物ですね。
私の個人的な意見としてよく言っているのは、「AWS Well-Architected Framework はスルメ」という言葉です。これを読むのは 1 回ではありません。いろんなときにどうなっていたか確認しに戻ってきたりして、読めば読むほど味が出ます。前理解できなかったことも、読み直すと理解できたりします。
AWS Well-Architected Framework はすべての AWS 関係者がすべてのフェーズで読んで役に立つベストプラクティス集です。みなさんもスルメのように咀嚼しましょう。
読み進めるコツは、わからないものは「そんなものがあるのか」ぐらいに捉えてとにかく進むことです。そのうち段々と理解できますので心配しないで進みましょう。
AWS Well-Architected Framework以外にも、いくつか簡単にホワイトペーパーを紹介します。
積読しないで参考書編
2023 年は素晴らしい年です。私が思う最強の AWS セキュリティ本が誕生しました !
「AWS ではじめるクラウドセキュリティ」です。すべての人類に読んでもらいたいです。
この本は AWS などクラウドに限らない、セキュリティの原理原則から学べる本です。第 1 部の第 1 章は「セキュリティって何だろう、クラウドって何だろう」です。わかりやすいイメージ図も多くて入っていきやすいです。私の愛はここには書ききれないため、気になる方はぜひ手にとってみてください。
オフェンシブに挑戦編
AWS 上のシステムを守るには、ただ防御の知識をつけるだけでは足りません。攻撃者の心理を理解する必要があります。なんと有志が AWS 上で実際に脆弱な環境を用意して、攻撃者の心理や行動を学習できる仕組みを提供してくれています。いわゆる常設 CTF (Capture The Flag) と呼ばれるコンテンツです。
flAWS は非常に古くからあるスタティックな常設 CTF です。かなりステップバイステップの優しいヒントも用意されていて、AWS 上でシステムを構築する際の特に注意すべき権限周りの設定などを実際に体感できます。
flAWS は 2 もあります。こちらは Attacker と Defender 両方のシナリオがあります。
Wiz の The Big IAM Challenge は IAM の設定ミスをひたすら突き詰めていく常設 CTF です。結構レベル高めですよ。
Wiz The Big IAM Challenge より引用
これらのコンテンツは、かなりのレベルで AWS に熟知していないと難しいのと、情報セキュリティの知識としてもオフェンシブなものが求められるため上級者向けです。腕に自信のある方は挑戦しましょう。
まとめ
AWS セキュリティに関する様々なコンテンツをピックアップして紹介しました。どれも私のおすすめのコンテンツです。気になったものから是非チェックしてください。
おまけに、これらのコンテンツなどがまとめられているリンク集を紹介します。ここには私の解説にないコンテンツが山ほどありますが、開拓していくのは大変ですので覚悟して臨んでください。
せっかく時間があるはずなので、時間のかかるコンテンツに挑戦するいい機会です。チャレンジして、そしてアウトプットしていきましょう !
著者について
臼田 佳祐 (AWS Security Hero)
クラスメソッド株式会社 AWS事業本部カスタマーソリューション部
シニアソリューションアーキテクト
クラスメソッド株式会社で AWS とセキュリティに関する様々な活動を行っていて、最近ではセキュリティサービスの開発に注力。社外では Security-JAWS の運営を実施。Amazon GuardDuty を始め、AWS Security Hub や Amazon Detective などの AWS のセキュリティサービスを愛するエンジニア。CISSP。AWS Security Hero (2023~)。
AWS を無料でお試しいただけます