AWS re:Inforce 2019振り返し- Keynoteを軸にしつつ
こんにちは。Japan Digital Design(JDD)で、セキュリティ担当を務めている唐沢です。
2019年6月25日(火)~26日(水)にボストンで開催された「AWS re:Inforce 2019」に参加してまいりましたので、その内容をシェアします。といっても、すでに多くのセッションはYouTubeで公開されておりますので、気になるセッションを直接聴きたい方はこちらをどうぞ。
https://aws.amazon.com/jp/blogs/security/reinforce-2019-wrap-up-and-session-links/
「AWS re:Inforce」は例年開催されている「AWS re:Invent」からの初のスピンオフスイベントで、セキュリティをテーマにしたカンファレンスです。今年は7,000人が参加したそうです。JDDからは社長以下5人が参加し、2日間みっちり勉強してきました。会場はボストンのウォーターフロントにほど近い「Boston Convention & Exhibition Center (MCCA)」で、東京ビッグサイトの1つの展示棟より一回り小さいくらいでしょうか。ちなみに来年はヒューストンで開催されるようです。
キーノートセッションを振り返りつつ、re:Inforce全体を概観したいと思います。
AWSのセキュリティ機能
キーノートはAWSのCISOであるSteve Schmidtさんです。FBIのテクノロジー部門に10年以上勤めた後にAmazonにジョインし、2010年からAWSのCISOを務めてらっしゃいます。その後、AWS Principal TechnologistのAbbyさん、Liberty Mutual社サイバーリスク担当役員のBrianさん、Capital One社CISO Michaelさんが入れ替わり登壇しました。
新機能だけではないですが、いくつか気になったAWSのセキュリティ機能をピックアップします。
AWS Iot Device Defender
IoTのセキュリティをワンストップで提供するソリューション。特にパッチマネジメントを提供してくれるのは開発者にとってうれしい機能なのではないでしょうか。
GuardDuty
新機能ではありませんが、「とりあえず有効にしておいた方が良い」と言われる脅威検知サービス。AWS環境内のモニタリングにより異常を検知してくれます。「GEが週末のうちに旧来のIPSからGuardDutyへの移行を完了した」との言は導入の容易さを物語っていました。確かに有効にするだけなので導入は容易ですね。(運用が容易かは把握できていないのですが)
AWS Security Hub
re:Inforce当日にGAした機能で今回の目玉の一つではないでしょうか。re:Invent 2018で発表済みの機能ではありますが、やはりセキュリティ関連のオペレーションを中央管理できる本機能は私のような統制する側の人間にとってはとても魅力的です。関連セッションの1つ「How to Act on Your Security & Compliance Alerts with AWS Security Hub (FND218)」も立ち見が出る人気ぶりでした。このセッションではSecurity Hub利用企業の事例も紹介されているので、これから導入を検討される方の参考になるのではないかと思います。
Amazon Macie
クラウド上に飛び交うデータに対して発見的統制を行うために重宝するであろう機能。クラウドにデータを置くことに対する危険性を心配する声も根強いと思いますが、統制の効かない紙とチェックリストの管理とは違う未来を感じさせてくれる機能です。Macie自体のセッションはなかったように思いますが、「Beyond security & compliance, with healthcare compliance analytics」(YouTube公開なし)という医療データコンプライアンスに関するProtenus社のセッションは面白かったです。
AWS Control Tower
こちらもre:InforceでGAが発表された複数アカウント環境を統制する標準となっていきそうな機能。Guardrailsを全社や部署ごとに適用するハブとなる機能です(多くのAWS利用企業からリクエストがあった模様)。残念ながら時間の都合でセッションを聞くことができなかったのですが、「Using AWS Control Tower to Govern Multi-Account AWS Environments (GRC313-R)」などは参考になりそうです。
Traffic Mirroring
キーノートで発表された新機能の一つで仮想TAPです。EC2でNitro世代のインスタンスに限りますが、通信をキャプチャして解析することが可能です。より詳しい通信のモニタリングができるようになりました。
その他、気になった発言・トピックなど
- Security Automation
これはキーノートでも様々なセッションでもとにかく自動化の機能/事例が何度も強調されていたように思います。クラウド使うのですから当たり前ですが、そうした設計がしやすかったり事例が豊富にあるのがAWSの良さではないでしょうか。 - “Infrastructure as code requires security as code”
ボストンに拠点を置くLiberty Mutualという保険会社のサイバーリスク担当役員が登壇。”Rader”と名付けられた仕組みによって、クラウド上のセキュリティポリシーを自動的に強制する仕組みについて紹介していました。re:Inforceを通じて様々なセッションやワークショップで強調されていたように思いますが、資料やインタビューをベースにしたリスク統制はクラウドをベースにした速い環境変化についていくことができず、CloudWatchなどのテクノロジーをフルに活用して”security as code”を実装していく必要があり、どう実践したかを発表されていました。 - “Auditing gets transformed” (監査のトランスフォーメーション)
前述している話と重なりますが、「年1回、紙ベース」「手書きの証跡」「手書きのコントロール」による監査から、「リアルタイムで、ほぼ瞬時の結果確認」「数学的な証跡」「自動的なコントロール」による監査に変えていこうというメッセージがありました。誤解を恐れずに言えば、「エクセルを捨て、ダッシュボードで監査しよう」ということになるでしょうか。こうした考え方は多くのセッションに見られましたし、また、この考えを実践するためのワークショップも多く開催されていました。私自身は「Building Serverless Compliance-as-code」というワークショップに参加し、CLIを使った監査のさわりを体験したり、「Scout2」「Prowler」「CS-Suite」といったオープンソースのチェックツールについてデモを見ることができました。
目指すべき未来であることは確かでJDDでも実践していきたいと思いますが、一方で監査基準(各社のスタンダードをどこに置くか)について非技術者含めて合意をとっていくプロセスについてはベストプラクティスがなく、今後の課題のようにも感じます。 - 新しいアンチマネーロンダリング(AML)の形
金融機関として少し面白かったのが、監査のトランスフォーメーションの文脈で出てきたAMLに関する以下の2枚のスライドです。最初のスライドにあるような現在のAMLのプロセスを、AWS Data Lake FormationとAmazon SageMakerを使って自動的に早期に実現してしまおうというアイデアです。法令上の問題もあるので簡単にはいかないと思いますが、アイデアとしては面白いと感じました。
- DevSecOps
Schmidtさんの”I am not fan of DevSecOps”という発言に拍手が沸いていたのは笑いましたが、「開発プロセスにセキュリティを埋め込みたい」との言には納得です。個人的にCI/CDの中でどうセキュリティを確保していくべきかは今回のテーマの1つではあったのですが、時間的に適切なセッションを聞くことができず、展示スペースで色々な製品を見て回っただけになってしまったのが残念でした。コンテナイメージの検査ツールなど様々な製品がありましたが、各社の開発プロセスというものがある中で考えると、自社なりのセキュリティの埋め込み方というのを考えていくしかないんだろうという至極一般的な結論になっているのが現状です。これはAWSに限った話ではないのですし、JDDとしてのスタンダードをしっかり作っていかなければという思いを新たにしました。
追記:ボストン情報
ボストンは治安もよくきれいな街でした。(ホテルが少ないようでカンファレンス時期の価格が普段の2倍くらいになっていたのには閉口しましたが)
カンファレンス期間に入る前に現地入りしたので少し時間があり、ケネディ元大統領が愛したといわれる「UNION OYSTER HOUSE」へ。ロブスターはさすがの美味しさでした。なお、お酒を飲むには年齢確認が義務付けられているのでパスポートの携帯をおすすめします。(必ずしも聞かない店員さんもいますが)
