AWSになぜセキュリティが必要なのか　エフセキュアのコンサル担当が教えるAWSセキュリティ対策

「エフセキュア」はどういう会社か

河野真一郎 氏（以下、河野）：みなさんこんばんは。

一同：こんばんは。

河野：えびすセキュリティボーイズ meetup online #1の一発目を担当します、河野です。「初心者のあなたに捧げるCloud SecurityあとCyber Security Sauna」というタイトルで、10分ほど喋りたいと思いますます。私は、エフセキュアという会社の法人営業本部で営業担当でして、主にクラウドセキュリティとセキュリティコンサルティングサービスを担当しています。

今日の資料は既にSlideShareにアップロードしてありますので、読み直したい方はそれをご覧ください。

エフセキュアはこういう会社ですというのが書いてありまして。フィンランドのヘルシンキにある会社で、サイバーセキュリティコンサルティングサービスやアンチウイルス製品、EDR製品、脆弱性診断ツールなどを提供している会社なんですが、特徴としてはここのスライドに書いていますけど、300人以上のホワイトハッカーがいる会社です。といったところで、会社紹介おしまいです！

質問、ツッコミ、何でもいただきたい

さて今日のお願いです。（ビデオ配信画面下部に）「質問、ツッコミ、なんでも＃EbiSecBoysでTweet！　いますぐ！」と書いています。いいですか？　リモート勉強会をやっていると、LTをやってもぜんぜん反応がわからないんです。手応えがありません！　喋る側はマイクとモニタが友だちで、一緒に運営している人たちの顔は見えているんですけど、さみしいです。聞いている人たちもぶっちゃけ、たぶん暇だと思います。

なので一人ひとりが参加しましょう。というか参加強制です！　いいですか？　みなさん参加強制ですよ？　今161人いるはずなので、みんなTwitterアカウントはありますよね？　私がこれをしゃべる前に、ずっとみなさんのところに「参加してください」とか「ツイートしてね」とかを書いていたのは。これが理由です。

呟いてください。質問事項とか気になったこととか、「こいつ喋ってること間違ってんじゃね？」とか、「俺はこういうことを気にしている」とか、それこそなんでもいいから書いてください。＃EbiSecBoysと、ほぼ全スライドの青いところに書いてあるのが、質問やツッコミなど、なんでもTwitterに書いてもらいたいという私の気持ちの現れなのです。

今すぐ呟いてください。なんでかと言うと、ビデオ見てるだけでは暇じゃないですか？　いつもだったら、オフサイトな会議室とかでも「みなさん元気ですか？」「こんばんは！」とかやると、「こんばんは」とか返ってくるわけですよ。でもオンラインイベントはこない。つまんない。みんなの声が聞きたい！　デジタルデータでもテキストでもかまいません！　というわけで、呟いてくださいと言ってるから、俺は30秒Twitterを見に行きますよ。誰か書いてるでしょうね？　ちょっと待ってくださいよ？（Twitter を見に行く）

松本照吾 氏（以下、松本）：「フィンランド行きたい」って書いてある。

河野：「フィンランド行きたい」、そう！　そういうの！　俺はそういうのを待ってます。ちょっと待ってくださいね。「まだビールは我慢します」、正しい！

（一同笑）

河野：よし、そうそう。「いますぐつぶきました」と言っているMasaさん、ありがとうございます。あと他の人のコメント「見てる」。そう、こういう勢いでいきましょう。それで、私今日は持ち時間を20分もらっているんですけど、私は10分でスライドをやめます。あとの10分はツイートを見ながら「みんな元気？」という話をしようかなと思っています。

前半はLTで、後半はTwitterでQ＆Aなどをしようと思っていますので、質問がなかったら後半は雑談をするだけになってしまうので、困っちゃいますから、ぜひTwitterでコメントください。なお、前半のLTは10分ですが、スライドは90枚あります。

さぁ、本題に行ってみましょう！

AWSのセキュリティ対策は、まずは公式の資料を読む

今日のお題は、Cloud Securityの営業をやっていると、いろいろな相談を受けるという話を喋ろうかなと思っています。主な対象者は、クラウドセキュリティをこれから対策する人です。

さっきお話しした通り、私はエフセキュアというサイバーセキュリティの企業に勤務しています。そうすると、こういう質問をもらうことがあります。「これから本格的にAWSを使う予定なのですが、セキュリティ対策は何から始めればいいですか？」と。これ、けっこう聞かれます。1ヶ月に4、5回聞かれることもありますね。

こういう質問をもらったときによく話をする回答としては「まずは公式の資料を読みましょうね」と。『AWSのセキュリティベストプラクティス』『AWS Well-Architected フレームワーク』、こういったところでAWSのセキュリティ対策は何すべきなのか、どういう考え方なのか、クラウドがどうなっているのかを一通り書いてる資料を紹介しています。

今Twitterで「監視されてるらしい」と書いてくれた人、いいですよ。どんどん書きましょう。どんどん書きましょう！

（一同笑）

AWSのこういう資料を読まず、クラウドセキュリティをこれからどう対策するのか悩んでる。とくにAWSで何をしたらいいか悩んでる方がいる場合は、「まずは公式の資料を読んだらどうですか？」とお話をした上で、「公式の資料を読みました。もう少し詳しい話を聞いてみたいです」といわれた場合は、「じゃあいい資料があります」と紹介する資料がこちらです。

クラスメソッドの臼田さんが「AWSでのセキュリティ対策全部盛り」というとてもいい資料を作っていらっしゃいまして。これは素晴らしい資料なのでおすすめです。

さらに2020年3月に開催されたJAWS DAYS 2020 Online で、やはりクラスメソッドの臼田さんが「みんなでセキュリティを強化！　仕組みで解決するAWS環境のマネジメント＆ガバナンス」という資料を公開されています。これも素晴らしい資料です。初心者がこれらの資料を参照するのはメリットがあると思っています。。ここまでをまとめると、AWSのクラウドセキュリティの資料紹介でした。

なぜAWSのセキュリティ対策でマルウェア対策が必要なのか

それでこの辺の資料を読んだ方からのお問合せで、マルウェア対策とか脆弱性診断ツールとかセキュリティコンサルティングとか、そういうのが必要だった場合は、エフセキュアがお手伝いできますよという話をすることがありますね。でも、ここまでお話しすると、だいたいよくいただくコメントとして「AWS環境になんでアンチウイルス環境が必要なの？」と言われることがあります。

もう1回言いますけど、私のこのセッションは初心者向けで、クラウドをどうしたらいいかなと悩んでいる人向けなので、今日の参加者の多くは「いや、知ってるから」という人がかなりいると思うんですけど、そういう人たちはニコニコしながらTweetしてください。

では、責任共有モデルの紹介です。AWSのセキュリティの考え方として、"AWSを利用するお客様の側が実施するクラウド内でのセキュリティに対する責任""AWS側で実施するクラウドのセキュリティに対する責任"が記載されているのがこちらのスライドです。顧客のデータは顧客自身が責任をもって管理することになりますので、顧客のところで、Windows ServerやLinux Serverを動かしていて、外部からファイルを送信されたら、その中にマルウェアが混入される危険性も考えられます。

その外部から送信されてくるファイルの中に、ランサムウェアとかマイニングツールとかが入っている危険性もあるので、これらの攻撃から保護する際には、アンチウイルスは必要になります。

もう1つのマルウェアの攻撃ルートとして考えられるケースとしては、クラウド環境を直接攻撃されるのではなく、社内のPCがハッキングされたり標的型攻撃されたりして、そこからクラウド環境へ侵入されるリスクですね。今Twitterを見たら、「クラメソの臼田さんのスライド読め。そこから先はエフセキュアに相談しろ（宣伝）」と書いてある'or/**/1=1#'さん、素晴らしい。ありがとうございます。

それで標的型攻撃されてから、社内のPCに侵入されて、社内のパソコンからAWS環境に侵入されてしまう。そこからマイニングやランサムウェアに感染させられてしまう攻撃というのは海外でも比較的よく出てくる話です。

なので、なんでAWSのセキュリティ対策でマルウェア対策が必要なのかというと、外部からのファイルアップロードに伴うマルウェア混入リスクやマルウェアによる標的型攻撃から保護する際に必要になってくるという話です。

脆弱性対策には自動化ツールを使用しましょう

ここまでアンチウイルスは必要なんですよという話をすると、けっこもらう質問として「そもそもどういうふうにマルウェアは悪いことするの？」と聞かれるのですが、例えば脆弱性を突かれるパターンがありますね。

みなさんWindowsのアップデートとかLinuxのアップデートはちゃんとやってますか？　という話です。OSやミドルウェアの設定における脆弱性を悪用してマルウェアが動いたりすることがあるので、そういうことの対策するために、OSやミドルウェアの設定に脆弱性が残ったままだと、攻撃されてしまうリスクがある。

なので、脆弱性対策をしましょうね、WindowsやLinux、ミドルウェアのアップデートをしましょうね、というお話をすると、そうは言ってもサーバが10、20あると、どこをアップデートするのかをチェックが大変だということで、脆弱性診断の自動化ツールを使用しましょうという話が出て来ます。

自動化ツールはいろいろありますね。AWSのInspectorもあるし、Vulsもあるし。

エフセキュアは、脆弱性診断ツールにRadarというのを提供しています。ちゃんとAPI連携ができたりするんですよという話があるんですが、今日は初心者向けのお話なので、この辺に興味がある方は、あとで河野のセッションのSlideShareで公開されていますので、その関連資料を見てもらえばいいんじゃないかなと思います。

何からすればいいのと悩む場合はコンサルティングから

さて、脆弱性診断のお話でツールとかがあるんだよという話までしたところで、とは言うものの、使っているAWS環境をそもそもどこから診断すればいいのか？　と悩んでしまう場合。（Twitterを見て） Twitterで今いいコメントがありました。「護るべき資産が存在するポイントで守らないといけないよね？」という考えがユーザーに浸透してないって感じですな」とコメントしてくれました。ありがとうございます。

どこから診断したらいいかと悩んでいる人には、クラウド環境向けのサイバーセキュリティコンサルティングを検討する必要があるかもしれません。エフセキュアは、セキュリティコンサルティングも提供している会社ですので、Webアプリケーションの診断とか、お客さまがソーシャル攻撃も含めた攻撃テストをやってくれよとか言われたりすると、そういうこともやります。

クラウド環境に特化した診断テストも実績が多数あります。国内のお客さまの例で言うとエウレカさん。国内でNo.1の会員数を誇るいわゆる恋愛活動・婚活活動のマッチングアプリを提供されているエウレカさんは、エフセキュアがAWS環境のセキュリティ診断、コンサルティングサービスをご提供しています。

さて、エウレカさんみたいに「こういうふうに診断してほしいんだ」というのがちゃんと定まっている場合はいいんですけど、そうじゃないお客さんにとって「何からすればいいの？」と言われたりすると、こういう考え方がありますよという参考資料として「Pre-Study」を紹介します。

専門のコンサルタントが現状ヒアリングと書いていますけど、どこに脅威があるか、現状のリスク分析をやって、診断するならこういうことをするべきだというのを専門家がまとめるコンサルティングです。

もちろんこれを自力でできるなら自力でやればいいんですけど、自力でできない方はこういうコンサルティングがあるよということで。ここまでの話をまとめると、公式資料を読みましょう。責任共有モデルとマルウェア対策の必要性はちゃんとわかっておきましょうね。脆弱性診断、コンサルティングという話もありますよといったところで、ざっと10分で71ページまで来て……やばいな。

Q＆Aの時間があまりないやと思いつつ、ちょっとTwitterを見てみましょうか。

みんなTwitter でコメントを書いてくれています。いいですね。「脆弱性診断対象？　まずはトリアージしましょう」というコメントがいいです。「どこがリスクかを知らないと守れないよね」と、いい話です。もうみなさまたくさんのツイートをありがとうございます。意外に会議室で打ち合わせをやっているよりも、ツイートがこういうふうに出てくるのはうれしいですね。

もっとサイバーセキュリティを知りたいあなたへ

さて、中間のチェックの時間が終わりましたので、次のトピックです。

もっとサイバーセキュリティを知りたいあなたへ、エフセキュアはhttps://blog.f-secure.com/ja/というブログがあるんですが、ここに5G時代のセキュリティどうするか？　ということから、新型コロナウイルスに関連したフィッシングに関することなども紹介しています。

もっとサイバーセキュリティを知りたい方はぜひ読んでみてください。さらにサイバーセキュリティを知りたいという方はCyber Security Saunaというものがあります。

Cyber Security Sauna、これは何かというと Podcastです。英語でサイバーセキュリティに関する最新情報をお話ししています。なんでサイバーセキュリティでサウナなのかと言いますと、エフセキュアの本社はフィンランドにあります。サウナの本場です。なにせエフセキュアの本社最上階にはサウナがありますから。なのでサイバーセキュリティのHotな話題を提供するという意味合いで、F-Secure の Pod Cat は “Cyber Security Sauna” という名前で提供されています。

まずは公式資料、最新情報はエフセキュア公式ブログもおすすめ

河野：さぁ、みなさん。サイバーセキュリティに関する参考情報を2つ追加で紹介しました。エフセキュアの最新情報のエフセキュア公式ブログと、Cyber Security SaunaというPodcast。あと余談ですが、フィンランドはサウナの本場だということ。

というわけでこのセッション、全体をまとめます。AWS、サイバーセキュリティのクラウドに関する初心者向けまとめとしては、公式資料を読むといいと思いますとうことと、やっぱり責任共有モデルのお話を常に考えておくべきです。マルウェア対策の必要性や脆弱性診断、コンサルといったところは、これらの公式資料だったり責任共有モデルのお話をチェックした上で、対策を検討していくのはいかがでしょうか。

あともう1個、セキュリティの最新情報が載っているエフセキュア公式ブログとかCyber Security Saunaは、サイバーセキュリティ情報をもっと知りたいよという人にはオススメですし、余談としてフィンランドはサウナの本場というのはもう一回言いますね。

といったところで、釜山さんが今日の冒頭にお話をしていましたが、新型コロナウイルスの関係とかリモートワークの関係で、今までみんなの会議室で集まってやっていた勉強会が、ビデオ会議ツールを使ったりTwitterを使ったりとか、けっこうコミュニケーションのやり方が変わりつつありますけど、河野は喋りながらたまにこっちを見て「Twitterを書いてますか？」とか言っていました。

何らかのかたちで相互コミュニケーションをしながら、自分たちのもつノウハウ、私は初心者向けのクラウドセキュリティというお題で喋りましたが、他の方がもっているノウハウとかを共有して、コミュニケーションして、みんなでやったオフサイトの会議室やセミナールームでやっていた勉強会はぜひ続けていけたらうれしいです。