はじめに
こんにちは。Security Solutions Architect の平賀です。
先月公開された記事「AWS Security Hub とリスク分析を考慮したアラート対応アプローチ」でも取り扱われていた AWS Security Hub について、まだ試せていないという方もいらっしゃるかもしれません。特に初学者の方にとっては、理論的な必要性は理解できても、実際にサービスを使ってみることのハードルは高いかもしれませんね。
今回は、 AWS Security Hub を利用して、8 つの統制項目に従ってアカウントの簡易なヘルスチェックが行える日本語ワークショップ「Security Onramp Workshop」をご紹介いたします。
おさらい : AWS Security Hub とは
AWS Security Hub は、セキュリティのベストプラクティスに関する自動的なチェックを行い、アラートの一元化、自動修正を可能とする、クラウドセキュリティ体制管理 (Cloud Security Posture Management: CSPM) のサービスです。セキュリティチェックは自動的かつ継続的に行われるため、環境のセキュリティ対策状況の継続的な可視化が行えます。
また、検出結果を標準化された形式で集約することが可能であるため、より簡単にセキュリティ体制の調査、検出結果の優先度付け、修正対応などができるようになります。
画像をクリックすると拡大します »
builders.flash メールメンバー登録
はじめに:Security Onramp Workshop とは
「Security Onramp Workshop」は、セキュリティの最初の一歩としてお勧めするワークショップです。特に、AWS の利用を始めたばかりの方、セキュリティ初学者の方、実施すべきセキュリティ対策にお悩みの方などを対象としています。もちろん、現状の対策に考慮漏れがないのか確認するためにも有効なため、既にセキュリティ対策に取り組まれている方にも活用いただけます。
本ワークショップでは、セキュリティ対策の中でも、特に実施していただきたい基礎的な項目について、8 つの統制項目にカテゴライズした評価を行います。統制項目の詳細は表のとおりです。
本ワークショップを体験いただくことで、CSPM としての AWS Security Hub を体験いただけるだけでなく、実際の皆様の環境のセキュリティ体制の可視化やセキュリティ体制を高めることを通じた、プラクティスの学習を行うことができます。本ワークショップを体験いただくメリットをカテゴライズすると、下記の 3 つにわけられます。
最初の一歩として対応いただきたい基礎的なセキュリティ対策について、セキュリティ体制を実際に可視化できる
ワークショップを通じて、セキュリティのプラクティスに関する理解を深めることができる
可視化に加え、改善に向けたアクションの具体的な計画ができる
1. 最初の一歩として対応いただきたい基礎的なセキュリティ対策について、セキュリティ体制を実際に可視化できる
Security Onramp では、Automated Assessment と Manual Assessment という二つの評価方法で皆様の環境のセキュリティ対策状況の可視化を行います。
Automated Assessment は AWS Security Hub を利用した自動的かつ継続的な評価方法です。評価には AWS Security Hub の利用コストがかかります。一方の Manual Assessment は、質問票へ回答する方法で、無料で実施可能です。質問票形式なので、AWS Security Hub では可視化しきれない組織的な内容についてもカバーが可能です。ただし、各質問内容への理解と組織内での調査が必要となります。
準備不要で気軽に可視化を行える Automated Assessment と、組織のセキュリティ対策状況の理解を深めながら可視化ができる Manual Assessment について、皆様の状況に応じて使い分けていただければ幸いです。もちろん、両方実施いただくことで得られることも多いと思います。
Automated Assessment
Automated Assessment では、カスタムインサイトと呼ばれる特定の問題やリソースを追跡するための AWS Security Hub の機能を用います。カスタムインサイトを利用することで、上述の 8 つの統制項目に関わるセキュリティチェックに集中して、セキュリティの評価を可視化することができます。
カスタムインサイトには AWS CloudFormation テンプレートを用意していますので、ワークショップのガイド に従って簡単に導入が可能です。各統制項目と AWS Security Hub におけるセキュリティチェックの具体的なマッピングについて興味のある方は、こちら を御参照ください。
こちらの画面例は、私の環境で作成したカスタムインサイトによる評価結果です。画面例右側でグラフが表示されており、CRITICAL, HIGH, MEDIUM, LOW などの重大度がどういった割合で検出されているのか把握できます。また、Resource Type の表示から、Amazon S3 サービスに関する問題が多いことがわかります。
このように、直感的に、セキュリティ対策を行うべき箇所を把握することが可能です。また、画面例左側に表示されている重大度のリンクをクリックすることで、具体的な検出結果をひとつひとつ確認することも可能となっています。
Manual Assessment
Manual Assessment では、AWS Well-Architected Tool を活用します。 AWS Security Hub からは少し外れますが、大変便利な仕組みであるため、説明いたします。
本ワークショップ内では、AWS Well-Architected Tool で利用できる Security Onramp カスタムレンズ を公開しています。このカスタムレンズを利用することで上述の 8 つの統制項目に関わるセキュリティチェックに沿った質問票が作成されます。質問票に回答することを通じて、環境のセキュリティ状況の可視化を行います。回答が終わると、出力されたリスクとそのリスクに対する推奨される修正方法をまとめたレポートを参照できます。このレポートは、 PDF レポートとしての出力や、その時点の対策状況をマイルストーンとして保存しておくこともできます。
2. ワークショップを通じて、セキュリティのプラクティスに関する理解を深めることができる
皆様の環境のセキュリティ体制を評価する際に、各セキュリティのプラクティスの意味を説明するガイドラインを参照することができます。このため、ワークショップを通じて、セキュリティのプラクティスに関する理解を深めることも可能となっています。
こちらの画面例は、Manual Assessment の質問票の一部です。この画面例では、アクセスキーとはどのようなものなのか、なぜルートユーザではアクセスキーを作成しないことが望ましいのか、といった情報が示されています。また、より詳細な情報については、AWS の公式ドキュメントへのリンクも付与されています。
Automated Assessment においても、AWS Security Hub の各コントロールのリファレンス には関連するプラクティスや基準が示されているため、検出結果と共になぜその項目がチェックされているのかを確認することが可能となっています。
3. 可視化に加え、改善に向けたアクションの具体的な計画ができる
セキュリティ対策として実施すべき問題が可視化され、その背景にあるプラクティスを理解したところで、その課題に対する対策を実施する必要があります。特に初学者の方にとっては、どのように操作することで問題に対処できるのか、実際に修正が問題なく完了できているのか、不安が付きまとうかもしれません。本ワークショップを通じて検出された結果について、実際に修正してみることを通じて、改善アクションについても理解を深めることが可能です。
AWS Security Hub の各セキュリティチェックでは、そのセキュリティチェックがどのようなことをチェックしているのか、さらに、修正方法としてどのようなことをすべきなのかを記載したリファレンスを提供しています。
例えば こちら は、Amazon S3 バケットがパブリックアクセス可能になっていることを検出するチェックのリファレンスです。初学者の方でもガイドに沿うことで独力で設定変更を行うことが可能です。また、”スケジュールタイプ: 変更がトリガーされた場合” となっているので、設定変更が正しく行えているのか、その結果を AWS Security Hub を利用してニアリアルタイムで把握することも可能になっています。
所要時間とコスト
本ワークショップは、1 時間程度で実施できます。皆様の実際に利用している環境で実施いただくことで、環境のセキュリティ実施状況を実際に可視化、改善することが可能です。さらに、本ワークショップで作成したリソースをそのまま継続的にお使いいただくことで、継続的なセキュリティ体制の可視化を実現できます。
本ワークショップの Automated Assessment 実施にかかるコストについては、ワークショップ内の ガイダンス に掲載されております。もし詳細なコスト試算がしたい場合には、AWS Pricing Calculator を使うことで試算を行うこともできます。
AWS Security Hub は継続的にご利用いただきたいサービスですので、ワークショップ完了後もぜひ継続的にご利用ください。また、初回利用時には 30 日間の無料トライアルが可能ですので、是非ご活用ください。もし、ワークショップ完了後にクリーンアップを行いたい場合には、リソースの削除に加えて、有効化したサービスの無効化も必ず実施ください。
また、builders.flash の メールメンバーに登録 いただくと毎月抽選で 300 名の方にハンズオンをお試しいただくための無料クーポンを差し上げておりますので、ぜご登録いただいて、当選を狙ってみるのも良いですね !
さらに AWS Security Hub を深く学びたい人に
今回紹介した「Security Onramp Workshop」は、セキュリティチェックとその対策や運用に特化したワークショップとなっています。AWS Security Hub サービスの持つ、検出結果の対応自動化、通知の自動化、検出結果のエンリッチメントなどの各種機能について、さらに理解を深めたい場合、「AWS Security Hub Workshop」をお勧めします。ただし、「AWS Security Hub Workshop」は、AWS の各種イベントにおいて、AWS が用意した環境で実施されることを前提に作成されているため、皆様の環境では一部のモジュールの実施に制限が発生する点に御留意ください。制限はあるものの、AWS Security Hub が提供している数々の機能について十分に体験いただける内容となっておりますのでご安心ください。
また、英語ではあるものの、定期的に AWS Activation Day という無料イベントも開催しておりますので、ぜひご活用ください!
まとめ
本記事では、AWS Security Hub を使って、ワークショップを通じてセキュリティプラクティスを学べ、さらに、環境のセキュリティ体制を可視化、かつ、可視化したセキュリティ課題の改善計画をたてるためのワークショップである「Security Onramp Workshop」をご紹介いたしました。
セキュリティは難しい、あるいは、終わりのないセキュリティ対策に、面倒さを感じてしまっているという方も少なくないかと思います。しかし、AWS サービスを利用することで、セキュリティの導入と継続を、より簡単に仕組み化することができます。
AWS サービスをご利用いただくことで、セキュリティが、皆様にとって少しでも楽なもの、楽しいものになれば大変嬉しく思います。
筆者プロフィール
平賀 敬博
アマゾン ウェブ サービス ジャパン合同会社
セキュリティソリューションアーキテクト
セキュリティ系サービスの支援を担当するソリューションアーキテクト。セキュリティの敷居を下げることが仕事上での目標。
趣味は観葉植物を育てること。ブルーベリー、レモン、オリーブ、バナナなどの果樹を順調に増やしているが、着地点が見えなくなっているのが最近の悩み。
