クラウドセキュリティエンジニアブログ

ニューリジェンセキュリティのクラウドセキュリティエンジニアチームが AWSなどのクラウドセキュリティについて気になることや調べたことを書くブログ

セキュリティの基本を学ぶのに最適な良書「AWSではじめるクラウドセキュリティ」を読んでみた

yujioshima AWS

こんにちは、クラウドセキュリティアーキテクトの大島悠司です。
先日発売された「セキュリティAWSではじめるクラウドセキュリティ」という書籍を読んでみました。
非常に良い書籍で多くの方に読んでもらいたいので、参考として私の感想を書かせていただきます。

本書の概要

AWSでご活躍されているセキュリティスペシャリストたちによって執筆された書籍です。
セキュリティの基本的な考え方からクラウドでの取り組み方、セキュリティの実装から運用の方法、ハンズオン形式の演習を1冊に凝縮した内容です。
構成は以下の通りです。

第1部 クラウドとセキュリティの基本

  • 第1章 セキュリティって何だろう、クラウドって何だろう
  • 第2章 セキュリティと責任共有モデル
  • 第3章 ガバナンスとセキュリティの要件
  • 第4章 セキュリティポリシーを作る

第2部 AWSでセキュリティを実装する

  • 第5章 AWSの利用を開始する際のセキュリティ
  • 第6章 リスクの特定とセキュリティ管理策の決定
  • 第7章 セキュリティ管理策の要となる防御
  • 第8章 セキュリティ検知の仕組み作り
  • 第9章 AWSで対応/復旧を始める

第3部 AWSのセキュリティを試す

  • 第10章 代表的なセキュリティサービスの操作
  • 第11章 セキュリティ対応環境の構築、脅威検知/対応

本書の素晴らしい点

セキュリティの原理原則を中心にした解説

クラウドセキュリティについて述べている書籍はいくつかありますが、多くはサービスの紹介や使い方が中心になっています。
しかし、本書では「なぜセキュリティ対策をしなければならないか?」という点に重きを置いています。

ありがちなセキュリティ対策だと、とりあえずWAFやIDS / IPSやEDRといった様々な製品を導入したくなりますが、本来は守りたい資産や費用対効果を整理し、合理的な判断の上で対策を行うべきです。
セキュリティ対策自体が目的ではなく、お客様にサービスを提供することが目的なはずです。
そして、そのサービスを運用していくには当然リスクも付いて回るので、サービスを妨げないように適切なセキュリティ対策を施していく必要があります。

本書では、そのようなセキュリティの基本的な考え方や目的、原理原則を中心に解説が行われており、今までのクラウドセキュリティに関する書籍にはないアプローチがとられています。
また、分かりやすい図も豊富でイメージがしやすくなっています。
クラウドセキュリティの書籍ですが、本書を通してセキュリティの基本的な考え方を学ぶことができるので、これからセキュリティを学びたい人にお勧めできる点です。

セキュリティの業務経験がある人もクラウドセキュリティに入門しやすい構成

特に第1部はセキュリティ業界が長い人なら、馴染みの深い考え方や用語を目にすることができると思います。
例えば、「ISO/IEC27000ファミリー」や「NIST CSF(サイバーセキュリティフレームワーク)」など、様々な規格やフレームワークを業務で活用したことがあるのではないでしょうか。

本書では、様々なフレームワークの中でも、NIST CSFに沿った解説がされています。
CSFに関して深く触れるものではなく、CSFに沿ったセキュリティ対策をどのようにAWSで実現していくのかを解説しています。
CSFには5つのコア機能があり、「識別」、「防御」、「検知」、「対応」、「復旧」の5つで、英語の頭文字をとってIPDRRと呼ばれることもあります。
例えば、「防御」観点ではWAF / NFW / VPC / IAMで対策し、「検知」観点でCloudWatch / GuardDutyを活用するといった感じです。
CSF各フェーズで必要なセキュリティ対策の進め方と、関連するAWSセキュリティサービスは第2部で詳細に解説しています。

その他にも、「ガバナンス」や「コンプライアンス」の違い、「ポリシー」と「スタンダード」と「プロシージャ」の3階層、情報セキュリティの「CIA」や「3つのディフェンスライン」の考え方などについても触れています。
いずれも、セキュリティ業界の方なら馴染みの深い用語のはずで、これらをベースとしてAWSでの実装方法が紹介されています。

このことからも分かるように、クラウドになったからと言って、セキュリティの基本的な考え方は昔から変わっていないのです。
そのため、これからセキュリティを学ぶ方だけでなく、セキュリティの業務経験はあるけどクラウドセキュリティを敬遠してきた方にとっても、クラウドセキュリティの世界に入りやすい構成になっており、お勧めできる点です。

また、筆者はセキュリティ資格CISSPとクラウドセキュリティ資格CCSPを取得していますが、この書籍で紹介されていることと重複する考え方が多いです。
それは、CISSPやCCSPもまた、セキュリティの原理原則や規格、フレームワークを中心として構成された試験だからです。
そのため、これからCISSPやCCSPを取得しようとしている方には、資格勉強の参考書としてもお勧めできます。

代表的なAWSセキュリティサービスをハンズオン形式で学べる

第3部では、実際にAWSセキュリティサービスを触りながら学んでいくハンズオンになっています。
ステップバイステップで手順が記載されており、スクリーンショットも豊富なので、簡単に取り組むことができます。

演習では、用意されているCloudFormationテンプレートを自身のAWSアカウントに展開することで、疑似攻撃をシミュレートします。
検知されたイベントをもとに、GuardDutyやSecurity Hub、Detectiveで詳細調査を行い、必要な是正を行っていきます。

インシデントレスポンスは平時にどれだけ準備してきたかがものをいうので、このような演習を通してAWSセキュリティサービスに慣れておくことが大切です。

まとめ

セキュリティの原理原則、クラウドセキュリティの考え方を学ぶのに最適な書籍だと思います。
これからセキュリティを学ぶ人や、セキュリティは分かるけどクラウドセキュリティはとっつきにくいと思っている方にぜひ読んで頂きたいです。

Amazon.co.jp: AWSではじめるクラウドセキュリティ: クラウドで学ぶセキュリティ設計/実装

ちなみに、筆者は以前に兄弟本である「AWSではじめるデータレイク」も購入しており、すっかりこのシリーズのファンになっています。
どちらも非常に素晴らしい書籍なので、ぜひお手に取っていただければと思います。