1.5K Views
February 04, 24
スライド概要
【第10回】サイバーセキュリティ勉強会2024冬 in 塩尻
https://shiojiri-cyber.connpass.com/event/302612/
13:30-14:00(30分)
・AWS Japan 平賀博司 氏
「AWS での学生のクラウドセキュリティ学習の サポート - AWS Academy の紹介 とその演習でクラウドセキュリティ設定を体感する」
🤔I'm a beginner.
AWS での学生のクラウド(セキュリティ) 学習のサポート – AWS Academy の紹介 その演習(クラウドセキュリティ設定)を ご紹介(体感)する 塩尻サーバーセキュリティ勉強会 2024年2月3日 平賀博司 AWS Academy Technical Trainer 1
本セッションの Agenda 以下の内容をお話しします • AWS AWS の教育プログラム 「AWS Academy」の紹介 • セキュリティカリキュラムの内容 • ハンズオン演習例としてのクラウドでの セキュリティ対策例の紹介 4
AWS Academy プログラム 5
AWS Academy プログラムとは? • 学校を主とする教育機関に対して提供される教育用プログラム • 対象 • 原則として「国公立・私立の学校を主とする教育機関」 (卒業/修了などの制度が確立しており、校内で判定する仕組みがあること) • 受講者は当該教育機関に学籍をもって所属していること • 受講者の年齢は日本では16歳(高校一年生)以上 • 条件 • 最低18か月に一回はAcademyプログラムのカリキュラムが実施されること • 当該学校の先生(常勤、非常勤問わず)が実施する授業で利用すること (フリーで自習用に開放するような利用方法はできません) • 特典 • ご加盟の先生が、AWS認定試験を受験する際には、半額バウチャーを提供 • 加盟及び利用に伴う費用負担はゼロ(費用として発生するのは上記の試験受験料のみ)
AWS Academy プログラムが提供するもの 教科書 講義動画 ハンズオンラボ演習 知識確認テスト プロジェクト 形式の演習* 教室、オンライン、 独自に設定された環境の中で実際に 各モジュールの最後に、 シナリオ形式のプロジェクトを通して、 または双方の形式に対応した環境で AWS コンソールを使い、ガイドに 複数選択形式の小テストがあるので、 学生は AWS のソリューションを実際 技術的なコンセプトなどの講義を行います。 沿ってラボ演習に取り組みます。 学生の理解度確認に活用できます。 に開発、実行することができます。
AWS Academy コースおよび学習リソース(1) AWS Academy Cloud Foundations • AWS クラウドの概要を提供 • Foundationレベル • 20 時間のコンテンツ 日本語版対応済 AWS Academy Cloud Architecting • AWS クラウドの使用の最適化に特化 • Associateレベル • 40 時間のコンテンツ 日本語版対応済 AWS Academy Cloud Developing • 学生がクラウド技術を活用した開発に関する専門知識を身 に着けられるようサポート • Associateレベル 日本語版対応済 • 40 時間のコンテンツ AWS Academy Cloud Security Foundations • 学生が AWS やクラウドのサイバーセキュリティの原則と サービスに関する基礎知識を習得する • Foundationレベル 日本語版対応済 • 20 時間のコンテンツ AWS Academy ML Foundations • 学生に AI と機械学習の概念を教える • Foundationレベル • 20 時間のコンテンツ 日本語版対応済
AWS Academy コースおよび学習リソース(1) AWS Academy Cloud Foundations • AWS クラウドの概要を提供 • Foundationレベル • 20 時間のコンテンツ 日本語版対応済 AWS Academy Cloud Architecting • AWS クラウドの使用の最適化に特化 • Associateレベル • 40 時間のコンテンツ 日本語版対応済 AWS Academy Cloud Developing • 学生がクラウド技術を活用した開発に関する専門知識を身 に着けられるようサポート • Associateレベル 日本語版対応済 • 40 時間のコンテンツ AWS Academy Cloud Security Foundations • 学生が AWS やクラウドのサイバーセキュリティの原則と サービスに関する基礎知識を習得する • Foundationレベル 日本語版対応済 • 20 時間のコンテンツ AWS Academy ML Foundations • 学生に AI と機械学習の概念を教える • Foundationレベル • 20 時間のコンテンツ 日本語版対応済
AWS Academy コースおよび学習リソース(2) AWS Academy Cloud Operations • 学生が AWS インフラストラクチャを理解できるよう準備 • Associateレベル • 40 時間のコンテンツ AWS Academy Data Engineering •データ分析基盤の構築、可視化の方法や、データドリブン な組織や考え方を学習する • Associateレベル • 40 時間のコンテンツ
AWS Academy コースおよび学習リソース(3) AWS Academy Lab Project Cloud Data Pipeline Builder • 詳細な手順のない長期間Lab • テーマ: カフェのウェブサイトの クリックストリームデータの分析基盤の構築 • 数時間~数週間程度を想定 日本語版対応 AWS Academy Lab Project Cloud Web Application Builder • 詳細な手順のない長期間Lab • テーマ: AWS クラウドでウェブアプリケーションを ホストするための概念実証 (PoC) を作成する • 数時間~数週間程度を想定 日本語版対応 AWS Academy Lab Project Microservices and CI/CD Pipeline Builder • 詳細な手順のない長期間Lab • テーマ: カフェシステムの ブルーグリーンデプロイ戦略 や、コンテナ化の開発 • 数時間~数週間程度を想定 日本語版対応 AWS Academy Lab Project Cloud Security Builder • 詳細な手順のない長期間Lab • テーマ: 銀行で、個人情報などの扱いを含む、 AWS クラウドのセキュリティを向上させる • 数時間~数週間程度を想定 日本語版対応
AWS Academy コースおよび学習リソース(4) AWS Academy Introduction to Cloud: 1 学期 • クラウドコンピューティングの概要を説明 • Foundationレベル 日本語版対応 • 60 時間のコンテンツ AWS Academy Introduction to Cloud: 2 学期 • クラウドコンピューティングのスキルについて説明、教育 課程の中で学生が次のステップへと進めるよう支援する • Foundationレベル 日本語版対応 • 60 時間のコンテンツ AWS Academy ML for Natural Language Processing • 学生に、NLP 固有のビジネス上の問題に対応するために AWS で機械学習パイプラインを実行する方法を指導 • Associateレベル • 20 時間のコンテンツ AWS Academy Engineering Operation Technician • 学生がエンジニアリングオペレーションの技術的専門知識 を習得するのを支援 • Foundationレベル • 21 時間のコンテンツ AWS Academy Data Center Technician • データセンター運用業務において必要な技術的専門知識の 習得を支援 • Foundationレベル • 36 時間のコンテンツ
AWS Academy LMS - Canvas https://awsacademy.instructure.com/login/canvas からアクセス(登録済みの方しかログインできません)
加盟校の講師サポート実施 • 先生方への授業実施のお手伝いとして先生方向け研修を実施 • 夏休み・春休みの期間に定期開催し、人数が集まれば個別開催も実施。 (この2年間オンラインで行ってきたが、今夏は1コースだけオンサイトを想定)
AWS Academy カリキュラム AWS Academy Cloud Security Foundations 15
コースの目標 このコースを修了するとできるようになること: • Amazon Web Services (AWS) クラウドを使用する際のセキュリティ上の利点と 責務を特定する • AWS のアイデンティティとアクセスの管理機能を使用する • AWS リソースへのネットワークアクセスを保護する方法について説明する • 保管中と転送中のデータの暗号化に使用できる方法を説明する • モニタリングとインシデント対応に使用できる AWS のサービスを判断する 16
コースモジュール • モジュール 1: はじめに • モジュール 2: AWS におけるセキュリティの概要 • モジュール 3: クラウドリソースへのアクセスの保護 • モジュール 4: インフラストラクチャの保護 • モジュール 5: アプリケーションでのデータの保護 • モジュール 6: ログ記録とモニタリング • モジュール 7: インシデントへの対応と管理 • モジュール 8: AWS 認定取得に向けて 17
コンテンツの内容 アクティビティ (机上演習、ディスカッション) • モジュール 1: AWS ドキュメント徹底検索 • モジュール 2: 責任共有モデル • モジュール 6: ログファイルの読み方 デモ(デモ動画) • モジュール 3: Amazon S3 クロスアカウントの リソースベースのポリシー • モジュール 6: Security Hub ラボ • モジュール 3: リソースベースのポリシーを使用して S3 バケットをセキュリティ保護する • モジュール 4: セキュリティグループを使用して VPC リソースを保護する • モジュール 5: AWS KMS を使用して保管中のデータを 暗号化する • モジュール 6: CloudTrail と CloudWatch を使用して モニタリングとアラートを行う • モジュール 7: AWS Config と Lambda を使用して インシデントを修復する 18
セキュリティの概要 • AWS / クラウドの基本知識の確認 • クラウドのメリット • 一般的なセキュリティのポイント • 機密性、整合性、可用性 • AWS クラウドのセキュリティ面での目標 • 可制御性、監査機能、可視性、俊敏性、自動化 • セキュリティの設計原則 • 責任共有モデル 19
アクセス保護 • 責任共有モデルの理解 • IAM の基礎 • IAM とは? IAM の役割、用語 • サービスエンドポイント • IAM ロール、認証 • アクセス権の管理 / IAM ポリシー • その他の認証サービス • AWS Organizations 20
インフラ ストラクチャ― • 3層 Webアプリケーション • VPC • サブネット(パブリック、プライベート) • インターネットゲートウェイ、NAT ゲートウェイ • IP アドレスの管理 • ルートテーブル • セキュリティグループ • ネットワークアクセスコントロールリスト • ロードバランサー • コンピューティングリソースの保護 21
データ保護 • 保管中のデータの保護 • Amazon S3 • 暗号化 • クライアント側暗号化とサーバー側暗号化 • Amazon S3 サーバー側暗号化の種類 • 暗号化と復号の仕組み • AWS Key Management Service (AWS KMS) • 送信中のデータの保護 • AWS Certificate Manager(ACM) • Amazon S3 でデータを保護するための ベストプラクティス • 署名付き URL • その他のデータ保護サービス • AWS Secrets Manager • Amazon Macie 22
ログとモニタリング • ログ記録とモニタリングの重要性 • ログとモニタリング • AWS CloudTrail • ログ記録機能が組み込まれているサービス • Amazon S3 • Amazon VPC • Elastic Load Balancing • モニタリングとレポート • Amazon CloudWatch • ログとモニタリングのベストプラクティス • その他のサービス • • • • AWS Trusted Advisor Amazon EventBridge AWS Security Hub AWS Config 23
インシデント対応 • インシデントの特定 • インシデントとは • 発見と認識 • 解決と復旧 • 発見と認識のフェーズをサポートするサービス • • • • • • AWS Trusted Advisor Amazon CloudWatch Amazon Inspector Amazon GuardDuty AWS Shield AWS Config • 解決と復旧のフェーズをサポートするサービス • • • • • AWS Systems Manager AWS CloudFormation Amazon Simple Notification Service (Amazon SNS) AWS Step Functions AWS Lambda • インシデント対応のベストプラクティス 24
カリキュラム内のラボ デモによる AWS の基本的なセキュリティ設定と モニタリングの機能体験
AWS CloudTrail • AWS アカウントのガバナンスとコンプライアンス、 ならびに運用監査とリスク監査を支援する • ユーザー、ロール、AWS のサービスによって 実行されたアクションを記録する AWS CloudTrail • CloudTrail コンソールでイベントを確認できる • AWS インフラストラクチャ全体の、 アカウントアクティビティを表示、検索、 ダウンロード、アーカイブ、分析し、対応するため に使用できる 26
Amazon CloudWatch • モニター対象 • AWS リソース • AWS で実行されるアプリケーション • 収集と追跡 - Amazon CloudWatch • 標準メトリクス • カスタムメトリクス • アラーム • Amazon SNS トピックに通知を送信 • Amazon EC2 Auto Scaling または Amazon EC2 アクションを実行 • イベント • AWS 環境の変化に適合するルールを定義し、 これらのイベントを 1 つ以上のターゲット関数 またはストリームにルーティングして処理する
CloudWatch アラーム • 以下に基づくアラームを作成する • 静的なしきい値 • 異常検出 • メトリクスに基づく数式 • 以下を指定する • • • • • • • 名前空間 メトリクス 統計 期間 条件 追加設定 アクション 28
API のセキュリティ関連情報 29
デモ ー ラボ: CloudTrail と CloudWatch を使用してモニタリングとアラートを行う 30
デモ:CloudTrail の活用によるログイン失敗のアラート発行
AWS Academy に関するお問い合わせは こちらまで・・・ [email protected] ※塩尻セキュリティ勉強会で聞いた旨ご記載ください! (平賀が受け取りますので、お気軽に!)
ご視聴、ご聴講いただきまして ありがとうございました! 33