AWS セキュアデザイン(IAM) Deep Dive

アマゾン データ サービス ジャパン株式会社ソリューションアーキテクト 瀧澤 与一

■Silver Sponsors

■Global Sponsors

■Gold Sponsors

2

■Bronze Sponsors

■Global Tech Sponsors

■Logo Sponsors

3

【コースター配布場所】メイン展示会場、メイン会場1F受付、デベロッパーカンファレンス会場

ハッシュタグ #AWSSummitで、皆さんのツイートが展示エリアの大画面に表示されます

公式アカウント@awscloud_jpをフォローすると、ロゴ入りコースターをプレゼント

4

Agenda

1. AWSのセキュリティ2. IAM（アカウント管理）

5

Agenda

1. AWSのセキュリティ2. IAM（アカウント管理）

6

2007 2008 2009 2010 2011 2012 2013 2014

48 6182

159

280

516

セキュリティ、コンプライアンス、ガバナンス、監査に関するアップデート

AWSはお客様の要求に応じて、継続的にイノベーションし、サービスを提供

7

ＡＷＳのセキュリティ・コンプライアンス方針

• AWSクラウドのセキュリティ/コンプライアンス– AWSにおいて最優先されるべき事項– セキュリティ/コンプライアンスに対する継続的な投資– 専門部隊の設置

• 責任共有モデルの採用– AWSと利用者の2者で確保

8

AWS 基本サービス

コンピュート ストレージ データベース ネットワーク

AWSグローバルインフラストラクチャ

リージョン

アベイラビリティゾーンエッジロケーション

ネットワークセキュリティ

サーバー(OS)セキュリティ

お客様のアプリケーション・コンテンツお客様自身でクラウドをコントロール可能

AWSがクラウドのセキュリティを担当

お客様

AWS責任共有モデル

データセキュリティ

アクセスコントロール

9

AWSは主要な、規制/標準/ベストプラクティスに準拠

10

金融機関向け『Amazon Web Services』対応セキュリティリファレンス

• http://aws.amazon.com/jp/aws-jp-fisclist/• 2013年10月、FISC安全対策基準（第8追補版）へのAWSの準拠状況を調査した資料を

SI/ISV ８社(現在は9社)が共同で調査して一般公開• AWSと利用者で責任分担することで、FISC安対基準を満たせるとの見解を一般公開

サマリー版

詳細版

Amazon Web Services対応セキュリティリファレンス

FISC安全対策基

準

設備：138項目

運用：115項目

技術： 53項目

各基準に対応 Amazon Web

Services

システム構築・運用

調査・対応案検討

各金融事業者のセキュリティ指針・監査指針

クラウドを活用したシステム

安心・安全かつ、機動性の高い金融サービスの実現

金融事業者（銀行、証券、保険等）

セキュリティ対応調査協力

作成/更新

支援

SCSK

ISID

NRI

MKI

TrendMicro

TIS

CAC

11

ホワイトペーパーでAWSの統制を確認可能

• AWS リスクとコンプライアンス（日本語）

• AWS の使用に際してのセキュリティ監査チェックリスト

• AWセキュリティプロセスの概要

など

12

AWSを活用する際のセキュリティ対策/監査のポイント• OS以上は既存のセキュリティ対策/監査と同様に対応可能

– OSやアプリケーションの認証ログ、アクセスログ– ファイヤーウォールの設定確認– アンチウィルスの導入やパッチバージョンの確認– システム/リソースの監視– ユーザー管理・パスワードポリシー

• 重要なデータに対する暗号化と鍵管理– AWSが提供する暗号化機能の利用– 利用者で任意の暗号鍵を使用することも可能

• 第三者認証の活用、AWSセキュリティホワイトペーパの評価

13

AWS 基本サービス

コンピュート ストレージ データベース ネットワーク

AWSグローバルインフラストラクチャ

リージョン

アベイラビリティゾーンエッジロケーション

ネットワークセキュリティ

サーバー(OS)セキュリティ

お客様のアプリケーション・コンテンツお客様自身でクラウドをコントロール可能

AWSがクラウドのセキュリティを担当

お客様

AWS責任共有モデル

データセキュリティ

アクセスコントロール

14

ネットワークセキュリティ

サーバー(OS)セキュリティ

お客様のアプリケーション・コンテンツお客様自身でクラウドをコントロール可能

お客様

AWSのセキュリティツール・機能

データセキュリティ

アクセスコントロール

AWSとAWSのパートナーは、700以上のセキュリティサービスや、ツール、機能を提供。既存の環境で実施していたことと同じコントコントロールを実現可能。

15

ネットワークセキュリティ

Security-groupNetwork Access Control ListS3バケットポリシー、S3エンドポイントSSLや、通信の暗号化

16

ネットワークセキュリティ

Availability Zone Availability Zone

region

Amazon Route 53

NAT

Publ

ic

Segm

ent

Public Subnet (DMZ)

NAT

Public Subnet (DMZ)

NAT

操作ログ

リソース監視

通知

データ暗号化

権限管理

Private Subnet

Srv

Private Subnet

Srv

Private Subnet Private Subnet

Priv

ate

Segm

ent

Priv

ate

Segm

ent

17

新機能：S3のVPCエンドポイント

Availability Zone A

pl-xxxxxxxx

Route Table

Destination Target

10.1.0.0/16 local

pl-xxxxxxxx vpce-xxxxxxxx

Private Subnet: 10.1.10.0/24

vpcendpoint

S3 Prefix

VPCエンドポイントをVPCに作成すると、プライベートサブネットからS3バケットにアクセスが可能

vpce-xxxxxxxx

サーバ(OS)セキュリティ

独自の仕様にEC2インスタンスを設定し強化

ホストベースの保護ソフトウェアの使用

Administratorユーザーの管理

職務分離や権限の最小化

SIEM, パッチ管理など、既存のサービスとの接続

EC2

Template catalog Running instance Your instance

要塞化

監査・ロギング

脆弱性管理

マルウェア対策

改ざん検知

ユーザ管理

OS

19

暗号化・暗号鍵管理

エンドポイントプロテク

ション

アプリケーションセキュ

リティ

脆弱性診断脅威分析 アクセス管理 ネットワークセキュリティ

AWSマーケットプレイスで提供するセキュリティツール

20

WAFとWeb/AP/DB構成例

Availability Zone Availability Zone

region

Amazon Route 53

NATPubl

ic/D

MZ

Segm

ent

NAT NAT

操作ログ

リソース監視

通知

データ暗号化

権限管理

Priv

ate

Segm

ent

Priv

ate

Segm

ent

WAF WAF

Web/AP Web/AP

DB DB

Priv

ate

Segm

ent

21

データセキュリティ

データの分類（機密度・漏洩した時の損害額）暗号化暗号鍵の管理（保管場所、権限）データの削除

22

重要なデータの暗号化

23

CloudHSMを用いた暗号化

専用ハードウェアアプライアンス

高いコンプライアンス要求に対応

AWS Key Management

Service

暗号鍵はAWS上にSecureに保管、管理はUserにて実施

SDKと連携することで、3rd Party製ソフトにも適応可能

オンプレミスからの利用も可能

Userによる暗号鍵の持ち込みによる

暗号化

暗号化の範囲指定、暗号化鍵のローテション等、実行管理がユーザで実施

S3、EBS等に実装されたAWSによる暗号化（AWSによる鍵管理）

ユーザが暗号化鍵に対するコントロールをもっていない

KMSのセキュリティ鍵の管理はお客様が実施マスターキーには誰もアクセスできない幅広い堅牢化技術を使用してマスターキーを保護するように設計サービス内でソフトウェアをアップデートするためのアクセスは複数段階の承認プロセスによって管理Amazonの独立したグループによって監査およびレビューを実施キーは作成されたリージョンにのみ保存。他のリージョンに移動できない。一年おきのマスターキーの自動ローテーションが可能AWS CloudTrailによる管理操作、暗号化操作の記録

24

Nasdaq データ分析基盤の暗号化

オンプレミスにHSMを構築。暗号鍵をHSMで管理。S3上のデータの暗号化EMR利用時のみ復号化

25

誰が、いつ、なんのために、何を、という観点でアクセス制御が可能。

AWSクラウドへのアクセスを完全に制御するための、MFAデバイス

Active Directoryとの連携によるシングルサインオンも可能 AWS

アカウント

ネットワーク管理者

セキュリティ管理者

サーバ管理者

ストレージ管理者

アクセスコントロール

26

Agenda

1. AWSのセキュリティ2. IAM（アカウント管理）

27

AWS Identity & Access Management(IAM)サービスインターフェイス

コマンドライン,PowerShell

SDK その他AWSサービスから

AWSマネジメントコンソール

IAMをサポートするサービスIAMのサポート 対応状況アクションレベルの権限

ほとんど全てのAWSサービスでサポート。（AWS Supportを除く）

リソースレベルの権限

多くのAWSサービスに対応。下記はサポートしていない。ECS, Auto Scaling, CloudFront, Import/Export, ElastiCache, Direct Connect, Directory Service, CloudTrail, Config, CloudWatch, CloudHSM, EMR, AppStream, SES, Cognito, Mobile Analytics, WorkDocs

タグベースのアクセス権限

下記のみサポート。EC2, RDS, VPC, Data Pipeline, SWF

一時的なセキュリティ認証のサポート

ほとんど全てのAWSサービスでサポート。（Cloud HSMを除く）

http://docs.aws.amazon.com/ja_jp/IAM/latest/UserGuide/Using_SpecificProducts.html29

IAM Top10ベストプラクティス1. AWSアカウントのアクセスキーをロック2. 個々にIAMユーザを作成3. 特権ユーザにはMFA4. 強度の高いパスワード5. 最小限の特権6. EC2で動作するアプリにはIAMロール7. ポリシー条件を使いこなす8. ローテーション9. アカウント履歴の監査10.不要な認証情報の削除

30

AWSアカウントのアクセスキーをロック

Last Usedをチェック

できるだけ使用しない。

なぜなら全てのリソースにアクセス可能万が一、流出した際のリスクが大きい。

31

個々にIAMユーザを作成

AWSルートアカウントを使用しない・貸し借りしない。代わりに、IAMユーザを作成。必要に応じて、IAMユーザに、管理者特権を与える。IAMユーザを作成する際には、下記の３点に注意。特権ユーザにはMFA最小限の特権強度の高いパスワード

32

MFAによる高い権限を持つアカウントの保護

ハードウェア ソフトウェア製品 Gemalto Google Authenticator

AuthenticatorAWS Virtual MFA

形式 トークン型／カード型 スマホアプリ

コスト 有料（数千円程度） 無料

保管 持ち歩くことも可能だし、金庫などに厳重に保管も可能

常に持ち歩く

交換 交換時のために予備の準備が必要 ー

セキュリィ 一般的に高い 登録時のセキュリティ担保が必要

多要素認証（MFA）によるなりすましの防止 AWSルートアカウントはMFAで保護し通常利用しない運用に

3333

個別のIAMユーザーを作成し、IAMグループで管理

IAMユーザー IAMグループIAMポリシー IAMユーザー IAMポリシー IAMポリシー IAMグループ

• IAMユーザー：AWS操作用のユーザー• IAMグループ：IAMユーザーをまとめるグループ• IAMポリシー：AWSのサービスの操作に対する権限設定、IAMユーザーやIAMグループ等に対して付与する

利用者に対しては個別のIAMユーザーを作成し、共有は極力避ける。IAMユーザーはIAMグループに所属させ、権限の付与はIAMグループに対して行うと便利。

3434

強度の強いパスワードポリシーの利用AWSの管理コンソールにログインするために必要となるIAMユーザーのパスワードには以下のようなパスワードポリシーを持たせることが可能。

• パスワードの最小文字数• 大文字英字の要求• 小文字英字の要求• 数字を含めることの要求• 特殊文字の要求• ユーザー自身によるパスワード変更の許可• パスワードの有効期限の設定• パスワードの再利用の制限• パスワードが期限切れになった場合管理者によるリセットの有無

3535

大規模な組織で、マネジメントコンソールのアカウント管理を効率化するためには？

36

Active Directory連携

• IAMのSAML連携、ADFS（Active Directory Federation Service）の使用

• 既存のActive Directory(AD)のユーザを利用• ADのグループとIAMロールを対応付け

権限 Active-Directoryグループ

AWS IAMロール

開発 AWS-Test ADFS-Test本番 AWS-Production ADFS-Production監査 AWS-Audit ADFS-Audit

大規模なエンタープライズ環境ではおすすめ

37

ADFSログインページ

38

ADFS経由でのマネジメントコンソールアクセス

39

Active DirectoryとADFS

ブラウザ

①ブラウザでアクセス②ユーザ認証

③認証レスポンス

⑤アクセス④サインイン

URL

ADFS ActiveDirectory

40

ADFS側での要求規則の編集

c:[Type == "http://temp/variable", Value =~ "(?i)^AWS-"]=> issue(

Type = "https://aws.amazon.com/SAML/Attributes/Role", Value = RegExReplace(c.Value, "AWS-",

"arn:aws:iam::123456789012:saml-provider/ADFS,arn:aws:iam::123456789012:role/ADFS-"));

41

マネジメントコンソールアクセスのActive Directory連携

アカウント管理が統合され、リスクが低減する

既存のユーザ情報をそのまま利用既存の権限ベースでの管理が可能既存と同様のポリシーの利用が可能

アカウントロックポリシーや、パスワード管理ポリシー

入退社など一元的な管理が可能イントラネットからのみアクセス可能なログイン画面

49

EC2にはIAMロールの利用EC2のようなAWSサービスに対してAWS操作権限を付与するための仕組み。IAMユーザーの認証情報のようなものをOS/アプリケーション側に持たせる必要がなく、認証情報の漏えいリスクを低減可能。IAMロールによる認証情報はAWSが自動的にローテーション。

プログラム

IAM Roleメタデータ

IAMロール利用

プログラム

メタデータ

IAMユーザー利用認証情報をEC2内に持たせる。認証情報の保管・ローテーション等の検討

が必要

IAMロールによる権限はEC2上に恒久的に保管されるものではなくテンポラリ。ローテーション等は自動で

行われる。

IAMロール利用の利点• EC2上のアクセスキーの管理が容易• 自動的に認証情報のローテーションが行われる• EC2上のアプリケーションに最低権限を与えることに適している

• AWS SDK及びAWS CLIのサポート• IAMユーザーの認証情報を外部に漏えいしてしまうリスクを低減させる

5050

IAM ポリシー

IAM ユーザーがリソースを作成または変更、およびタスクを実行できるようにするには、IAM ポリシーを作成。

デフォルトでは、何の権限もない

• {• "Statement• {• "Effect": "Allow",• "Action": [• " s3:ListBuckets ",• " s3:Get ＊ "• ], • "Resource": [• " arn:aws:s3:::mybucket "• ],• "Condition": {• "IpAddress": {• "aws:SourceIP": [“176.32.92.49/32“]• }• }• }• ]• }

アクセス条件の記述{"Effect": "Allow","Action": [" s3:ListBuckets "," s3:Get ＊ "

], "Resource": ["arn:aws:s3:::mybucket"

],"Condition": {"IpAddress": {"aws:SourceIP":

[“176.32.92.49/32“]}

}}

Effect:許可の設定なら”Allow”拒否の設定なら”Deny”

Action:対象となるAWS操作を指定

Resource:対象となるAWSリソースを指定

Condition:このアクセス制御が有効になる条件の設定

新機能：IAM Policy Validator

ポリシー言語の文法チェック、自動フォーマットを実施。

ポリシードキュメントは最大5バージョン分管理可能。

53

新機能：IAM Policy Simulator

• IAMロールのアクセスコントロールポリシーをテスト、確認が容易に。

– 既存のポリシーを選択し、AWSサービス、評価するActionを選択し、「Run Simulation」を実行すると、アクセス可能か否かの結果を一覧表示。

54

Web アイデンティティフェデレーション(AssumeRoleWithWebIdentity)

AWS IAM

US

-EA

ST-1

region

region

AWS サービス

Amazon DynamoDB

S3

認証要求 1

6

7

トークン認証4

ウェブアイデンティティプロバイダ

3

5ポリシーの確認

Id トークン

2

Mobile App Amazon SQS

監査

IAM認証情報レポートアクセスキーのローテーション

AWS CloudTrailAWS Config

AWS CloudWatch, AWS CloudWatch Logs各サービスのログ

S3, ELB, CloudFront, RDS, RedshiftなどOS, アプリケーションのログ

56

• パスワードやアクセスキーのローテーションなど、認証情報ライフサイクルの要件の結果を監査可能。

• 認証情報レポートは、カンマ区切り値（CSV）ファイルとしてダウンロード可能。

IAM認証情報レポート

認証情報レポート

57

IAMユーザーのパスワードローテーション

IAMのパスワードポリシーでユーザーがパスワードを変更できるように設定

パスワードに有効期限を設けることで利用者が自分で定期的にパスワードをローテーションできるようにする

5858

認証情報の定期的なローテーション IAMユーザーのパスワードやAccess Key/Secret

Access Keyは定期的にローテーションすることを推奨

認証情報の利用状況はIAMのCredential Report機能で確認可能 ユーザーの作成日時 最後にパスワードが使われた日時 最後にパスワードが変更された日時 MFAを利用しているか Access KeyがActiveか Access Keyのローテートした日時 Access Keyを最後に使用した日時 Access Keyを最後に利用したAWSサービス 証明書はActiveか 証明書のローテートした日時

5959

アクセスキーのローテーション IAMユーザーの「認証情報」の「アクセスキー」から「アクセスキーの管理」を選択

「アクセスキーの作成」で新しい認証情報の作成（２つまで）

新しい認証情報でテストを行い、古いAccess KeyはInactiveにする

万が一問題が起きた時は再びActivateすることが可能

認証情報の更新http://docs.aws.amazon.com/ja_jp/IAM/latest/UserGuide/Using_RotatingCredentials.html6060

記録される情報には以下のようなものが含まれる。

• APIを呼び出した身元（Who）

• APIを呼び出した時間（When）

• API呼び出し元のSource IP（Where）

• 呼び出されたAPI（What）

• APIの対象となるAWSリソース（What）

• 管理コンソールへのログインの成功・失敗（rootアカウントの失敗は2015年4月現在未サポート）

AWS CloudTrailはAWSアカウントで利用されたAPI Callを記録し、S3上にログを保存するサービス。AWSのリソースにどのような操作が加えられたか記録に残す機能ですので必ず有効化。全リージョンで有効化することを推奨。

AWS環境の操作ログの取得について

6161

CloudTrail対応サービスの確認2015年4月現在CloudTrailは下記のサービスをサポート。十分なサービスがサポートされているか確認。S3等サポートされていない機能に関してはアクセスログの有効化など必要な代替コントロールを利用する必要あり。

対応サービス:• Amazon EC2• Amazon VPC• Auto Scaling• ELB• Amazon EBS• AWS Storage Gateway• Amazon Glacier• Amazon CloudFront• Amazon RDS• Amazon Redshift• Amazon Elasticache• AWS DirectConnect• Amazon Kinesis• EMR• AWS Data Pipeline

• AWS IAM• AWS STS• AWS Key Management Service• AWS CloudHSM• AWS CloudTrail• AWS CloudFormation• AWS OpsWorks• AWS CodeDeploy• AWS Elastic Beanstalk

• Amazon CloudWatch• Amazon SQS• Amazon SNS• Amazon Simple Workflow• Amazon Cloudsearch• Amazon Elastic Transcoder• Amazon WorkDocs• AWS Config• Amazon EC2 Container Service• AWS Lambda

6262

CloudTrailによるログのサンプル

{"eventVersion":"1.01","userIdentity":{

"type":"IAMUser","principalId":"AIDAJCU6NXINSWTC4S2J6",“accountId”:“************","accessKeyId":"",“userName”:“*********“

},"eventTime":"2014-09-02T02:39:01Z","eventSource":"signin.amazonaws.com","eventName":"ConsoleLogin","awsRegion":"us-east-1","sourceIPAddress":"54.240.xxx.xx","userAgent":"Mozilla/5.0,"errorMessage":"Failed authentication","requestParameters":null,"responseElements":{"ConsoleLogin":"Failure"},"additionalEventData":{

"MobileVersion":"No","LoginTo":"https://console.aws.amazon.com/console/home?state,"MFAUsed":"No“

},"eventID":"0013812b-3941-44c2-87d0-0cdbc2dde0d5“

},

誰がいつ

どこから

何を

どうした

CloudTrailによるログイン失敗のサンプルログ

6363

AWS Configの利用• AWSリソースのレポジトリ情報を取得し、リソースの設定履歴を監査、リ

ソース構成の変更を通知することができるフルマネージドサービス• サポートリージョン：

• US West (Oregon), US West (Northern California) , US East (N.Virginia), EU (Ireland), EU (Frankfurt), Asia Pacific (Sydney) ,Asia Pacific (Tokyo), Asia Pacific (Singapore) , South America (Brazil)

• 対象サービス、2015年4月時点• 作成・変更・削除オペレーション情報の取得

Amazon EC2Instance, ENI...

Amazon EBSVolumes

AWS CloudTrailAmazon VPCVPC, Subnet...

6464

AWS Trusted Advisorによる確認

コスト最適化、セキュリティ、可用性、パフォーマンスの４つのカテゴリからAWSの利用状態を評価

170万のベストプラクティス

3億ドルを超えるコスト削減を通知

構成終了後、定期的にTrusted Advisorにより、把握していない未達のチェック項目がないか確認

https://aws.amazon.com/jp/premiumsupport/trustedadvisor/6565

まとめ

66

IAM Top10ベストプラクティス1. AWSアカウントのアクセスキーをロック2. 個々にIAMユーザを作成3. 特権ユーザにはMFA4. 強度の高いパスワード5. 最小限の特権6. EC2で動作するアプリにはIAMロール7. ポリシー条件を使いこなす8. ローテーション9. アカウント履歴の監査10.不要な認証情報の削除

67

AWSでシステムを展開すると

最もセキュリティに厳しい組織向けに構築された環境を利用可能。

お客様が管理する項目をのぞいて、AWSでは1,800以上のセキュリティコントロールを管理。

お客様の業務やシステムの要求に基づき、適切なセキュリティコントロールを定義可能。

お客様は、お客様のデータについて、完全な、所有権とコントロールを保持。

68

AWSトレーニング ＠ AWS Summit Tokyo

セルフペースラボ：@パミール1F 瑞光AWS クラウドに実際に触れてみませんか？ご自分の AWS アカウントをおつくりいただけなくても、AWS クラウドを体験いただけます。

AWS認定試験（有償）：@ パミール1F 黄玉特設認定試験会場を AWS Summit Tokyo 2015 会場に開設Devopsエンジニア-プロフェッショナル認定試験を先行受験いただけます。

AWS認定資格者取得専用ラウンジ：@ パミール1F 青玉他の AWS 認定資格をお持ちの方とのネットワーキングにぜひラウンジをご活用ください。お席や充電器、お飲物などを用意し、皆様をお待ちしております。

69