AWS環境のセキュリティ対策を根拠を持って実行して経営層にドヤる

AWS

aws環境のセキュリティに悩んでいるかは非常に多いです。

  • awsのセキュリティって何をやればいいかわからない
  • 過去の経験からセキュリティ設定したけど、経営層に説明できない

そんな貴方のお悩みを解決していきましょう

本記事のセキュリティ範囲

AWS環境のセキュリティとは言ってもいくつかの軸に分けられます。

  • インスタンスのOSレベルのセキュリティ
  • インスタンスのミドルウェアレベルのセキュリティ
  • AWSの設定レベルのセキュリティ
  • AWSの設計レベルのセキュリティ

パッと思いついただけでもこんなにあります。

そんな中で、今回はAWSの設定レベルのセキュリティを範囲として語っていきます。

ちなみにAWSの設計レベルのセキュリティはAWS Well-Architectedが良いかと思います。

ふわっとセキュリティから根拠あるセキュリティへ

従来、セキュリティは担当者の経験値を元に対策がなされていました。現在でも過去の会社ではこういう設定をしていた一般的にはこういう設定をする という内容をベースに設定がなされている状況を多く見てきました。

わかりやすいようにクライアントサイドで言い換えると、PPAP(パスワード付きzipファイルで暗号化)やメール送信に上司の承認を入れる、などでしょう。

いわゆる根拠が薄い、ふわっとしたセキュリティポリシーです。

そんな中で数年前から日本でもNISTやCIS Controlsが知られるようになってきました。これらは一言でいうと、セキュリティの専門家が考えたセキュリティポリシーです。

まだ日本での知名度は低いですが、これらの基準をベースにセキュリティ対策を行っていくことで、世界中にセキュリティの専門家が考えたグローバルな基準という根拠をもって、お手軽にセキュリティを向上させることができます。

AWS Security Hubとは

AWS環境でセキュリティ基準に則ってベストプラクティスを適用させていくことを考えていったときに、一番にあがるサービスはAWS Security Hubになります。

AWS Security Hub では、AWS のセキュリティ状態を包括的に把握し、セキュリティ業界標準およびベストプラクティスに照らして環境をチェックするのに役立ちます。Security Hub は、複数の AWS アカウント、サービス、およびサポートされているサードパーティーパートナー製品からセキュリティデータを収集して、セキュリティの傾向を分析し、最も優先度の高いセキュリティの問題を特定するのに役立ちます。

AWS公式ドキュメント AWS Security Hubとは

現在、Security Hubには適用できる基準が3つあります。

  1. CIS AWS Foundations Benchmark v1.2.0
  2. AWS 基礎セキュリティのベストプラクティス v1.0.0
  3. PCI DSS v3.2.1

これらの基準を設定することで現状と基準とのギャップがひと目でわかります。

ではどの基準を使えばよいの?

現時点でAWS Security Hubには3つの基準があることはお話しましたが、どの基準を適用すればよいでしょうか?

結論からお話すれば、どれでもよい と考えています。

本質的に一番重要なことは、

  1. 説明可能な根拠のある基準を元にセキュリティ対策を行うこと
  2. 基準を元にギャップのモニタリング(可視化)ができること

というセキュリティマネジメント体制を確立することだと思います。

その上でどの基準を選ぶかですが、個人的には CIS AWS Foundations Benchmark v1.2.0 もしくは PCI DSS v3.2.1 がおすすめです。

理由はグローバルで知られている基準であること、別の組織が出しているAWS向けの基準であるため客観性があることです。とはいえ、PCI DSS v3.2.1にもこの理由は当てはまるため、この基準を使って 弊社はクレジットカード情報を扱うプロダクトではないけど、それに準じたセキュリティ対策を行っています と謳ってビジネスに付加価値を付けていくという判断もありだと思っています。

まとめ

さて、まとめです。本記事の課題に対する答えです。

  • awsのセキュリティって何をやればいいかわからない

 → [su_highlight background=”#ffe299″]Security Hubで基準を適用する[/su_highlight]

  • 過去の経験からセキュリティ設定したけど、経営層に説明できない

 → [su_highlight background=”#ffe299″]CIS AWS Foundations Benchmark もしくは PCI DSSを適用する。そして経営層に世界中のセキュリティのプロが作成した基準に沿ってセキュリティ対策をしています、と説明する[/su_highlight]

ではでは、次の記事でお会いしましょう!

タイトルとURLをコピーしました