2017年12月14日、目黒のAmazon Web Services (AWS) Japanオフィスにて、AWS re:Invent 2017前後にて発表されたセキュリティ関連情報を振り返るセミナーが開催されました。
AWS re:Invent 2017とは、2017年11月27日から12月1日までラスベガスで開催されたAWS最大のカンファレンスです。エンドユーザー様、パートナー様を中心に、世界中から40000人以上の来場者を集めました。re:Inventは基調講演やブレイクアウトセッション、ブートキャンプ、パートナー様ソリューション展示、参加者同士のネットワーキングなどからなります。例年同様、一人では回りきれないほど大量で多種多様なイベントが行われました。
そこで本セミナーは、セキュリティという観点に絞り、re:Invent 2017での情報を効率的に収集いただくと同時に、来年以降の日本からのre:Invent参加者を増やし、re:Inventセッション登壇者を輩出する目的で開催されました。AWSソリューションアーキテクトによる新サービスアップデートに加えて、AWSに関わりの深いエンドユーザー様、パートナー様からre:Inventの魅力を伝えていただきました!
【オープニング】 AWSセキュリティ基調講演メッセージ
by AWSセキュリティソリューションアーキテクト 桐山 隼人
AWS re:Invent 2017@Las Vegasに参加した方は、本セミナー会場にいる130名強のうち10%前後でした(re:Invent3回以上経験者はわずか2名!)。ほとんどの方にとってre:Invent情報は新鮮だったのではないかと思われます。
まずは、re:Invent 2017の基調講演におけるAWSセキュリティに関するキーメッセージの紹介です。AWSのCISOであるStephen Schmidtが、基調講演で話した「AWSはSecurity Operations Center(SOC)は持っていない」という台詞に驚く方もいました。世の中の多くの人が想像するような所謂SOCは無く、ツール化と自動化を進めた結果として、今のAWSセキュリティの姿があると語っています。
【AWSセッション】セキュリティサービスアップデート① AWS Single Sign-On (SSO)
by AWSソリューションアーキテクト 辻 義一
本セミナーで最初に紹介するサービスアップデートは、re:Inventで発表されなかった(!)、その翌週発表されたAWS Single Sign-On (SSO)についてです。re:Inventで発表されなかったサービスのため、このセミナーでその詳細を知った方がほとんどだったと思います。AWSソリューションアーキテクト辻より、サービスの内容とお勧めの使い方が説明されました。
既存の認証基盤を使って、AWS管理コンソールやSAML2.0対応アプリケーションにシングルサインオンできるのは、ユーザー利便性が向上しますが、それだけではありません。複数AWSアカウントを管理しなければならない管理者にとって、誰がどこにアクセスしているかの認証ログをCloudTrailで一元的に取得できるのは管理性向上にも寄与します。
また、一ユーザーに複数のAWSアカウントをマップすることで、開発アカウントでログインして開発アカウント権限内で必要な作業をした後に、ログアウトして、次に本番アカウントでログインすることもできる、といった使い方例も紹介されました。オペレーションミス防止や統制要件を満たすためにも使える便利なサービスとなります。
登壇資料はこちらです。
【エンドユーザー様セッション】re:Inventと今後のdwangoでのAWSセキュリティについて
by 株式会社ドワンゴ 鈴木 栄伍 様
続いてのセッションは株式会社ドワンゴ鈴木様による講演です。その風貌からは想像できないほど(!)、穏やかで紳士的な語り口調の鈴木様から、re:Invent現場で感じた熱気とAWSセキュリティに関する期待について述べていただきました。
ドワンゴ様では複数アカウント管理に課題感があり、少数精鋭のセキュリティチームで効率的にセキュリティ統制をとっていく方法を模索されています。AWS Organizationsを使ってAWSアカウント管理を統一化をしつつ、既存認証基盤(Active Directory)連携できるAWS SSOでの更なる効率化を検討されるようです。
また、ID管理以外のセキュリティ対策強化と効率化を同時に考えるため、Amazon GuardDuty, Amazon Macie, AWS Systems Manager, Amazon Inspectorなどの連携ソリューションについても期待されていました。
登壇資料はこちらです。
【AWSセッション】セキュリティサービスアップデート② Amazon GuardDuty
by AWSパートナーソリューションアーキテクト 酒徳 知明
ここからは発見的統制に関連するセッションが始まります。その最新サービスがre:Invent 2017で発表された脅威検知サービスAmazon GuardDutyです。AWSパートナーソリューションアーキテクトの酒徳より、サービス詳細、提供価値、使用開始の仕方、デモを含めた包括的な説明がなされました。
特に課金体系について触れた際は、Amazon GuardDutyの高機能性に対して、30日間の無料使用期間を通じてコスト対効果を判断していただきたいとのことでした。CloudTrailイベント数やVPC Flow Logs分析処理量による従量課金のため、まずは自社環境で使ってみてコスト感と機能性を把握するのが最適なやり方です。
マルチアカウントデプロイメントやマルチリージョンデプロイメントに関して、自分の身を切ることも厭わない(!)デモの実施により、参加者もAmazon GuardDutyの使い方を非常に分かりやすく理解できたのではないかと思います。
登壇資料はこちらです。
【エンドユーザー様セッション】AWS re:Invent 2017振り返り SOCの立場からみたre:Invent
by 株式会社リクルートテクノロジーズ 安東 美穂 様
株式会社リクルートテクノロジーズでSOCに所属している安東様からは、re:Inventで体験したセキュリティイベントの共有と、SOCビジネスに活用できるAWSセキュリティサービスについてご登壇いただきました。
SOC業務として、Web商用環境監視やWAF導入支援・運用をされているということで、Amazon GuardDutyやAmazon Inspector、パートナー様が提供するAWS WAF Managed Rulesなどに高い関心を示されていました。安東様の、AWS WAFが外部ナレッジを集めていくプラットフォームになるのではないか、というコメントは大変興味深いです。
re:Invent 2017では、前述のStephen Schmidtの基調講演や、その他のセッションも聴講いただきました。セキュリティが自動化された世界では、セキュリティ担当者の求められるスキルやスタンスが変わってくるという感想をもったとのことです。また、AWSのサービス開発責任者ともお話しされ、サービスの詳細やロードマップだけでなく、開発思想を感じ取れることがre:Invent参加の醍醐味とおっしゃっていただきました。
登壇資料はこちらです。
【LTセッション】by 三井物産セキュアディレクション株式会社 佐藤 裕貴 様
AWSを利用する企業は世界中にいらっしゃいますが、その中でも特にT社が好きな三井物産セキュアディレクション(MBSD)佐藤様のご登壇です。
MBSD様が日本で展開しているAlertLogic社のサービスとAmazon GuardDutyの連携や、AlertLogic社がAWS WAFに提供しているManaged Ruleの話をしていただきました。
【LTセッション】Security re:Cap 2017 by トレンドマイクロ株式会社 姜 貴日 様
自社の忘年会を蹴ってまで(!)、本セミナーに駆けつけていただいたトレンドマイクロ株式会社 姜 様からは、Trend Micro Deep SecurityとAmazon GuardDutyの棲み分けと連携の話、Trend Micro様がAWS WAFに提供しているManaged Ruleの話をしていただきました。
トレンドマイクロ様とAWSのパートナーシップの歴史は長いですし、両社がそれぞれ技術革新を続けることで、その連携ソリューションも大きく進化を遂げてきていることが感じられました。
登壇資料はこちらです。
【LTセッション】5分で始めるAWS WAFマネージドルールによる手軽なセキュリティ対策
by AWSソリューションアーキテクト 藤倉 和明
AWSソリューションアーキテクト藤倉によるAWS WAF Managed Rulesの実践編です。 ソリューションアーキテクトならではの自分の身を切ることも厭わないデモで、AWS WAF Managed Rulesがお手軽に始められることを示しました。
登壇資料はこちらです(下画像をクリック)。
【クロージング】AWSセキュリティマネージドサービス
by AWSセキュリティソリューションアーキテクト 桐山 隼人
本セミナーでご紹介した新サービス、AWS SSO, Amazon GuardDuty, AWS WAF Managed Rulesは全てマネージドサービスと言えます。これからセキュリティの自動化が推進されて、イノベーションを加速させる存在となる上で、マネージドサービスの利用は欠かせません。AWS利用者にとっても、サービスレベルの向上や業務効率化のために是非AWSセキュリティのマネージドサービスをご利用いただければと思います。
最後に、AWS re:Invent 2018に日本からの参加者をもっと増やすこと、そして日本のAWSユーザー様からre:Invent登壇者を輩出することを誓って、本セミナーは幕を下ろしました。
こちらは登壇者の集合写真です。本セミナーにご参加いただいた皆様、登壇者の皆様、誠にありがとうございました!
AWS re:Invent 2017 Security re:Cap セミナーURL:https://connpass.com/event/73369/
ブログ執筆: AWSセキュリティソリューションアーキテクト 桐山 隼人
撮影協力:AWSソリューションアーキテクト 保里 善太、安司 仁
昨年(2016年)の開催報告ブログ:http://aws.typepad.com/sajp/2017/03/aws-reinvent-2016-security-follow-up-seminar-report.html