JAWS-UG 初心者支部に参加してきました!
JAWS(日本AWSのグループ)の初心者支部のFin-JAWSコラボ&ミニハンズオン会に参加してきました。
AWSアカウントを作ったら最初にやるべきこと-セキュリティ編-
以下を使用したミニハンズオンでした。
アカウント作った際にやるべきことは、以下のためだそうです。 - 不正アクセスの対策 - もしもの時のログの有効化 - 不正アクセスされた際に通知させる
そのために、以下に記載されている20項目を、AWSアカウントを作ったら最初にやるべきだそうです。
時間の関係上、以下の設定を実施しました。 - ルートアクセスキーの削除 - ルートアカウントは全てのサービスへのアクセスが出来てしまうため、ルートアカウントは使用せず、IAMユーザーを使用しましょう。
ルートアカウントのMFA有効化
- もしメールアドレスとパスワードが流出してしまっても、ログインできないように多要素認証を有効化しておきます。
パスワードポリシーの変更
- デフォルトの設定は「6文字以上」となっていますが、もう少し複雑なパスワードポリシーに変更します。
IAMグループの作成
- IAMグループを作成することで、権限管理がしやすくなります。
IAMユーザーの作成
- ルートアカウント以外にログインできるアカウント(IAMユーザー)を作成します。
CloudTrailの有効化
- 有効化しておくと、いつ、どのアカウントが、どのような操作を行ったかを確認することが出来ます。
GuardDutyの有効化
Fin-JAWSの紹介と金融の現状
元々、金融業界では他の業界と比較して、クラウド化の動きは鈍かったそうです。
特に、勘定系(預金、貸付、為替)と呼ばれるシステムは、オンプレの銀行がほとんど。
しかし、大阪リージョンが開設されることが、発表されたことで今までクラウド化されてこなかった勘定系の業務システムもクラウド化を進める動きがあるそうです。
セキュリティが重視される金融業では、国内でマルチリージョン構成ができるのはかなり大きいようです。
データはどこからくるの?〜AWSとオンプレとの違いで学んだあれやこれ〜
発表された資料は以下になります。
検証環境の出来事だったので大きな問題にはならなかったそうですが、Lambdaの同時実行上限には気をつけましょう。。
以下を参考させていただくと、CloudWatchメトリクスから同時実行数を確認できる様です。
FISCから学ぶAWSセキュリティことはじめ
発表された資料は以下になります。
FISCから学ぶAWSセキュリティことはじめ.pdf - Speaker Deck
FISCとは・・金融情報システムに関連する様々な問題についての調査研究を行う公益財団法人のことです。
FISCが金融機関等コンピュータシステムの安全性基準を提供していて、金融業界は、FISCガイドラインを意識した設計が重要視されているそうです。
AWSでも、FISCガイドラインに準拠したリファレンスガイドが提供されています。
そして、AWSと利用者側の責任に関する線引きも明確にされています。お客様がAWSを利用される場合には障害発生時の責任、対応はAWSかお客様か明確にし、要件に応じて、対策や確認が必要だそうです。
最新のFISCガイドライン(9版)に対応した、AWSのリファレンスガイドはまだ発表されていないそうです。
マルチアカウント運用のはじめかた(Japan Degital Design)
発表された資料は以下になります。
JAWS-UG初心者支部 - 2020-01-29 - マルチアカウント運用のはじめかた
AWS Organizationsを利用すると、
また、OUで階層化、子アカウントの権限管理できます。
設定の流れは、
そのほかのポイント
- なるべくアカウントは共有しない
- 組織単位ではなく、AWS準拠でグループを分けたほうが良い
- 1アカウント 1用途を基本にして考える
感想
ソリューションアーキテクトの資格を取得してから、AWSとどう関わっていこうか悩みどころでしたが、もっと触ってみようというモチベーションをもらえたので参加してよかったです!
次回(2/19)も参加しようと思います!