こんにちは、ひろかずです。
AWS re:Invent 2016 Security Follow Up に行ってきたので、一筆書きます。

例によって、リアルタイム執筆ですので、誤字、脱字、表記ゆれはご容赦ください。

スタートが19:00のせいか、半分くらいの人出からのスタートです。
最終的には8割位埋まっていました。

[AWSセッション]

「セキュリティ新サービス紹介① AWS Organizations」

桐山隼人
アマゾンウェブサービスジャパン株式会社
技術本部レディネスソリューション部
セキュリティソリューションアーキテクト

AWS Organizations は...

現在プレビュー申し込みできます。

サービス概要

複数のAWSアカウントの一元管理

アプリケーションや環境、チームのような単位でAWSアカウントをグループ管理
グループポリシーを適用

AWSアカウント管理の自動化

コンソール、SDK、CLIでの管理操作
管理操作をCloudTrailでロギング

請求の簡素化

複数アカウントの一括請求（Consolidated Billing）
Consolidated Billing ファミリーの自動移行

主要なコンセプト（用語）

組織

一元管理可能な複数のAWSアカウントのセット

AWSアカウント

管理される最小単位
IAMを用いてAWSリソースへアクセス

マスターアカウント

組織内の他アカウントの作成招待削除ができる特別なアカウント
組織内コントロールポリシーの適用
組織における支払いアカウント

組織単位(OU)

後述

管理ルート

後述

利用の流れ

1. 組織の作成

マスターアカウントは支払いアカウントになるので、慎重に決めましょう

2. AWSアカウントの自動作成

マスターアカウントからの自動作成

入力要素

メアド(必須)
アカウント名(必須)
IAMロール名(必須)
BillingへのIAMユーザアクセス（任意設定）

モードは二つ

FullControlモード
Billingモード

FullControlモード

Billingモードを含む
Billingからの昇格には、全てのAWSのアカウントからの同意が必要

Billingモード
- 課金状況を見れる

3. 既存AWSのアカウントの組織への招待

招待されたアカウントは、了解/拒否を選べる。（デフォルト拒否）
参加した瞬間にポリシーが適用される

4. AWSアカウントのグループ化

AWSアカウントは組織単位（OU）に所属できる

アプリケーションとか環境とかチームとか
階層になるので、最上位が 管理ルート になる。

5. 組織Controlポリシー

適用対象は、組織全体、OU、AWSアカウント
ポリシーは、階層構造に基いて継承される。
ローカル管理者からは上書きできない
IAMと記述方式は一緒
IAMユーザ、IAMロールの権限は、 組織ControlポリシーとIAMポリシーの最大公約数

どんなことができるの？

例：サービスControlポリシー

呼び出しを許可するAPIを定義（ホワイト、ブラックリスト）
業界で認可されたサービスのみを許可する（本番環境）
開発環境はちょっと緩くすることもアリ

「セキュリティ新サービス紹介② AWS Shield」

荒木靖宏
アマゾンウェブサービスジャパン株式会社
技術本部レディネスソリューション部部長

AWS Shieldとは？

AWSが管理(マネージ)するDDoSプロテクションサービス

攻撃の種別

ボリューム攻撃（UDP反射型：全体の6割を占める：SSDP反射型が一番多い、その他NTPやDNS、SNMPも）
ステート管理攻撃（SYNフラッドとか：2割くらい）
アプリケーションレイヤー（F5攻撃とか、slowles：15%くらい）

DDoSを緩和する取り組み

難しさはどこに？

複雑な前準備（オペレータやISPとの調整、スクレイピングサービスへのトラフィック誘導）
事前の帯域確保（工事時間がかかる）
アプリの見直し（仕様書起こすとか大変）

難しいのはマニュアルでの対応
AWSでスクレイピングしても、ユーザーからはレイテンシ向上にしか見えない。お金は？
AWSの解

ありきたり攻撃の自動保護（サービス差別化につながらない部分を持つ）
可用性の確保

DDoS防御はAWSにあらかじめ組み込まれている

各リージョン
常時オン（外部Routingなし）
SYB/ACK、UDPフラッド反射型
追加費用無し

お客様の声

大きなDDoS対策
見える化
アプリレイヤー守ってよ

AWSの解

無料サービス（Standard）
有料サービス（Advanced）

Standard

BLACK Watch

決定論的フィルタリング
不正な形式のTCPパケットはドロップする
インライン検査のスコアリングに基づくトラフィック優先順位付け（優先順位の低い攻撃トラフィックを優先的に破棄）

キャパ追加

Routingポリシーで内部的に分散

検知と緩和を継続（ヒューリスティック異常検出：通常のベースラインから異常を知る）

リクエスト数/s
送信元IP
URL
UserAgent

Advanced

コンセプト

AWS内で完結する
常時オン
レイテンシは最小限
手頃な価格(後述)

対応しているのは以下サービス(EC2は入っていない。TCPのみ。UDPは使えない。)

ALB
CLB
CF
Route53

L7は、AWS WAFの利用

Standard：セルフサービス（自分でカスタムシグネチャを書く）
Standard/Advanced：DDoSエキスパートチームからのアドバイス
Advanced：積極的DRT(DDoS Response Team)が関与する

DRT(DDoS Response チーム)はなにやるの？

常時モニタがDRTを呼び出す
トリアージ
DRTチームがルールを書いて提供

レポート

ニアリアルタイムで、パケット情報見れる（サンプル取得：全部じゃない）

DRTへのコンタクト

第一報はサポート経由でしてね（エンタープライズサポート）

費用

Standard：アドバイスに基づくスケール費用は 有料 ：月額課金なし
Advance：アドバイスに基づくスケール費用は無料だが、 $3000/月：一年継続コミット が必要

[パートナーセッション]

「スポンサー側から見た AWS re:Invent の醍醐味と感じたセキュリティの流れ」

南原正樹様
トレンドマイクロ株式会社　パートナービジネス推進本部
アライアンスパートナーグループ　担当課長代理

Trend MicroとAWS re:invent

ダイヤモンドスポンサー
並び順は一番最後（アルファベット順）
出展したのは、DeepSecurityとDSaaS
スポンサーアクティビティ（セッションは各1時間：youtubeに上ってるよ）

AWSに特化したセッション
CISOに聞いてみよう（コンプライアンス、レギュレーションの話）
ブースは、DevSecOpsを安全な空の旅をモチーフに表現

スポンサーで感じたこと（日本 vs 北米）

日本は、捕まると長いので敬遠される。アンケート欠かされる。製品売ろう。
北米は、コンタクト獲得と製品が分業。スキャンしたらノベルティたくさんくれる。コンプライアンス準拠。ビジネス視点。

来場者

北米はカジュアルに自分のアイデアを語ってくる。Tシャツ大好き。

re:inventで見た気になるセキュリティの流れ

Security Automation

セキュリティオペレーションの自動化を目指すことでセキュリティ運用コストの低減と対応の迅速化を目指す。
セキュリティはインフラ構築と分離しない。併せて考える。

AWS WAFとLambdaとの連携（ブラックIPとか）
CloudTrailのIPを検査とか
GitHubに公開されてるよ！

Security for ServerLess

サーバレスを主体として組み上げた環境でのセキュリティのポイント

IAMを中心とした権限管理
許可されたトラフィックの精査(サニタイズからログの精査まで)
例えば、CF/WAF前、API Gateway中、Lambda後ろ、最後はDB

最後に

AWSはエコシステムとマーケットチャンス
セキュリティもニューノーマルからスーパーパワー
積極的に新しい取り組みに挑戦しよう（日本の方がセキュリティに深く真面目に考えている）

「攻撃傾向と企業が取るべきセキュリティ施策 in Las Vegas」

佐藤裕貴様
三井物産セキュアディレクション株式会社
Alert Logic事業部マネージャー

大橋和正様
三井物産セキュアディレクション株式会社
プロフェッショナルサービス事業部
アカウントマネージャー

昨今の攻撃傾向

海外（Verizonレポート）

WebAPに対する攻撃が増えてきている。（前年度4倍）

日本（IPAレポート）

インターネットバンキング、標的型、ランサム、Webサービス不正ログイン、サイト改ざん

事前対策

セキュアコーディング
脆弱性診断
アクセス分離（SG、NACL、ELB）、２要素認証（IAMロール、MFA）

監視ポイントが限定できて運用負荷を軽減

ログの収集

平時のログ傾向を把握する
ログは不変であること（削除/改ざんの防止）
以下の状態であること（アクセス性,検索性,継続モニタ）

セキュリティ運用の最適化

L1:SG,IAM
L2:IDS/WAF,脆弱性スキャン
L3:CloudTrail,SIEM

[エンドユーザー様セッション]

「ユーザーからみたre:Invent のこれまでと今後」

宮崎幸恵様
株式会社リクルートテクノロジーズ
ITソリューション統括部　インフラソリューション2部　RAFTEL2G

2012年からre:invent皆勤賞
一年おきにセキュリティ系サービスのビッグウェーブが来る傾向
Organizationsキター
現地は熱い！体感！感じろ！

バッテリー切れでライブでかけませんでした！すみません！

「AWS re:Invent の衝撃～Large Scale Violence & Security Culture Shock～」

大橋衛様
KDDI株式会社
技術統括本部プラットフォーム開発本部
アジャイル開発センター　フレームワークＧ　課長補佐

現地は熱い！体感！感じろ！飯はマズイ！
予防、検知、回復の話
日本は、予防に重点を置いている制約型.検知が最小限で、回復は手動と尻すぼみ
海外は、予防はsoso、検知にかなり力を入れて、回復は自動化とパワーのかけ方が日本と逆