本記事はガバメントクラウド Advent Calendar 2024の2日目の記事です。

はじめに

NTTデータの西川です。
普段は公共部門の技術集約組織でクラウドの導入支援に従事しています。

最近、ガバメントクラウドで利用されているAWSのセキュリティサービスを学べるハンズオンを体験する機会がありました。他の方の役に立てればと思い、ハンズオンの紹介記事をまとめてみました。ガバメントクラウドに携わっていない方も役に立つように、補助資料として参考となるBlack Beltや書籍もあわせて紹介しています。

紹介するハンズオン：AWS セキュリティサービス概観 ワークショップ

【参考】ガバメントクラウドとは
「デジタル社会の実現に向けた重点計画」等の政府⽅針に基づき、「政府情報システムにおけるクラウドサービスの適切な利⽤に係る基本⽅針」を踏まえて構築する利⽤システムに、デジタル庁が提供する複数のクラウドサービスの利⽤環境のこと。
引用元：先⾏事例から分かってきた、⾃治体職員がガバメントクラウド利⽤をする上で考えておくこと

前提：ガバメントクラウドで利用するAWSのセキュリティサービス

2023/4に開催されたAWS Summit Tokyoのセッションにおいて、ガバメントクラウドとして利用する代表的なAWSサービスとして以下のサービスが紹介されています。

• AWS CloudTrail
• Amazon GuardDuty
• AWS Security Hub
  ※各サービス概要は後述。

引用元：自治体がガバメントクラウド利用に向けておさえておきたい 10 のこと

また事実として、2024/5にデジタル庁から公開されている「ガバメントクラウド利用における推奨構成」の中でも上記サービス群が実際に利用されていることが示されています。

引用元：ガバメントクラウド利用における推奨構成（ZIP／11,802KB）（2024年5月22日作成）

ハンズオン概要

対象者

以下のいずれかに該当する方が対象者です。「運用管理補助業務とは？」となる方も、後者2つのいずれかに該当すれば問題ないです。ガバメントクラウドはもちろん、それ以外でAWSを利用する際に扱う可能性が高いAWSのセキュリティサービスを体験しながら学べるハンズオンとなっています。

対象者

• ガバメントクラウドの運用管理補助業務を調達する・担当する方
• AWS のセキュリティサービスに触れてみたい方
• AWS での監視・モニタリングの方法について知りたい方
  1. イントロダクションより抜粋

ハンズオンの目的

ハンズオンの目的は以下の通りです。まず、AWSのIaCサービスであるCloudFormationテンプレートとマネジメントコンソールを用いて下図の環境を構築します。その後、APIコールのログを探索したり、脆弱性や脅威の検出結果を参照したり、脅威からの自動防衛を行っていきながら、各種AWSのセキュリティサービスを体験しつつ学ぶことができます。

本ハンズオンの目的は、AWS のセキュリティサービスで模擬環境を監視することで、以下の点について理解することです。

• AWS CloudTrail でアクティビティを監視し、CloudTrail Lake で分析する方法
• Amazon GuardDuty の検出結果を確認し、 Lambda 関数と連携して自動防衛を行う方法
• Amazon Inspector を有効化し、検出結果を確認する方法
  2.ハンズオンの目的より抜粋

※詳細はハンズオンを行う方へのネタバレになるため割愛する。

ハンズオンで学べるAWSのセキュリティサービス

• AWS CloudTrail：ユーザーのアクティビティを API レベルでトラッキングし、モニタリングや監査、分析に活用することができるサービスです。「誰が、どこで、いつ、何をしたのか?」という疑問に答えるのに役立ちます。
• Amazon GuardDuty：AWS アカウントとワークロードを継続的にモニタリングして悪意のあるアクティビティがないかを確認し、可視化と修復のための詳細なセキュリティ検出結果を提供する脅威検出サービスです。
• Amazon Inspector：ソフトウェアの脆弱性や意図しないネットワークの露出がないか継続的に AWS ワークロードをスキャンする自動脆弱性管理サービスです。
• AWS Security Hub：セキュリティのベストプラクティスのチェックを行い、アラートを集約し、自動修復を可能にするクラウドセキュリティ体制管理サービスです。

補助資料

Black Belt

• AWS CloudTrail(2024/09)：余裕があればBlack BeltとあわせてAWS CloudTrailのセキュリティのベストプラクティスを読むことを推奨します。
• Amazon GuardDuty(2018/05)：少し古い資料なので、概要はBlack Belt、詳細はユーザーガイドといった形で読み分けすると良いです。
• Amazon Inspector(2023/02)
• AWS Security Hub(2020/10)：GuardDutyと同じく少し古い資料なので、概要はBlack Belt、詳細はユーザーガイドといった形で読み分けすると良いです。

書籍

• AWSではじめるクラウドセキュリティ：AWSに閉じないセキュリティの基本から、セキュリティ設計/実装の流れ・仕組み作りなどについて説明されている書籍です。最後にハンズオン形式の演習も含まれています。
  
  『AWSではじめるクラウドセキュリティ』の裏側を。より抜粋

関連記事

• 10年間は生き続ける考え方が凝縮された良書「AWSではじめるクラウドセキュリティ」
• 『AWSではじめるクラウドセキュリティ』のつまみ⾷いで学ぶセキュリティ

所感

• 費用：クラウド利用料は5USD前後くらいでした。（半日放置）
• 所要時間：1.5h前後くらいでした。

ある程度紹介されているAWSサービスに馴染みがある方は2hくらいをみておけば大丈夫です。自信がない方は3h程を取って、補助資料を参照しつつ行えば大丈夫だと思います。

• 感想：
  • CloudTrail Lakeは初めて触りました。CloudWatch Logs Insightsとの使い分けもハンズオン内で丁寧に解説されていた印象でした。
  • ガバメントクラウドのガバナンス・セキュリティ関連でニーズが高そうなテーマを考えてるきっかけになりました。以下に例を示します。
    • マルチアカウント連携のトピック：ガバメントクラウド独自のAWS Organizationsの制約を踏まえたようなもの。
    • IAM関連のトピック：複数事業者※がガバメントクラウドを利用する中で、最小権限実現を目指すようなもの。
      ※ 地方公共団体においてガバメントクラウドを利用する際における関係者の一例
      
      引用元：第3回　自治体システム標準化・ガバメントクラウド勉強会資料

さいごに

興味を持った方は是非今回紹介したハンズオンを体験しつつAWSのセキュリティサービスを学んでみてください。補助資料は適宜参照しつつ、一般的なAWSのセキュリティサービス、ガバメントクラウドの理解の一助となれば幸いです。

本ブログは2024/12時点の情報となります。最新状況については公開情報をご確認ください。
※ 本ブログに記載した内容は個人の見解であり、所属する会社、組織とは関係ありません。