技術書典8で頒布予定だったAWS本です。IAM本の続編として、AWSのアカウントセキュリティをメインのテーマとしています。

■ 本書の目的

「AWSの薄い本Ⅱ　アカウントセキュリティのベーシックセオリー」を手にとっていただき、ありがとうございます。本書は「AWSの薄い本 IAMのマニアックな話」の続編です。前著はIAMの機能のみに絞って解説しましたが、本書はその周辺のセキュリティサービスがターゲットとなります。前著の続きとして読むこともできますし、単体でも成り立つように構成しています。

セキュリティというと難しそうで敬遠してしまいがちです。しかし、重要性は誰しも認識していると思います。特にAWSをはじめクラウドの場合、設定ミスにより不正利用されアカウントを乗っ取られることにより、突然高額の請求されるということが現実に起こりえます。注意しないといけないという点では、個人ユースでも企業ユースでも同じです。そして対策すべきポイントも同じです。

AWSのアカウントセキュリティとしては、IAMの設計・運用をしっかりしていれば６〜７割くらいは大丈夫といえます。しかし、最初はしっかりと設計・運用していても、気が付かないうちに穴があいていることもあります。また、複数人で使うようになると、誰か一人が不用意な使い方をするかもしれません。セキュリティは１箇所でも穴があると、そこから侵入される可能性があります。

AWSアカウントのセキュリティを守るのは、１対１の対決ではなく世界中の悪意ある攻撃者との対決です。24時間365日、人力だけで守り続けるのは難しいでしょう。そんな時に活躍するのがAWSのセキュリティサービスです。最初に設定さえしておけば、日々黙々とAWSアカウントの状況を監視し、問題があれば通知します。また、あらかじめ設定しておけば、自動で修復するといったことも可能です。本書では、そういったサービス群の位置づけと使い方の解説をします。

想定の読者のレベルとしては、AWS認定ソリューションアーキテクトのアソシエイトと置いています。しかし、まだそのレベルに達していない人が読んでも大丈夫なような記述を心掛けています。また、既にプロフェッショナルレベルの方や、AWS認定セキュリティ専門知識の方にも役立てるような内容を目指しています。それでは一緒に、AWSのアカウントセキュリティの道を歩みだしましょう。

■ 対象読者

• AWSのアカウント乗っ取りなど漠然とした不安がある
• 個人ユースで使っているが、AWSをもう少し安全に使いたい
• 企業ユースで使っているが、社内にAWSアカウントが増殖して何か怖い
• にわかだけど、セキュリティ考えてやってるよとマウントとりたい人

■ 本書で得られること

• AWSのセキュリティサービスの全体像が何となく解る
• AWSのアカウントセキュリティを守る上で必要な事の考え方
• Organizations　×　CloudFormation StackSetsファンの称号

■ 本書で得られないこと

• OSやミドルウェア周りのセキュリティ設定の仕方
• これだけやっていれば大丈夫というノウハウ
• IAMマニアの称号

目次
はじめに
　本書の目的
　対象読者
　本書で得られること
　本書で得られないこと
　お問い合わせ先
　免責事項

第1章 AWSアカウントセキュリティ
1.1 AWSのセキュリティとサービスの概念図
　AWS上に構築するシステムのセキュリティ
　AWSアカウント自体の管理（IAMの設計・運用）
　セキュリティを維持管理するための施策
1.2 責任共有モデル
1.3 AWS上に構築するシステムのセキュリティ
1.4 AWSアカウントの管理
1.5 セキュリティを維持管理するための施策
1.6 マルチアカウント管理

第2章 ガードレールという設計と思想
　2.1 Control Towerの全体像
　2.2 ガードレールの設計と思想
　2.3 予防と検知の実体

第3章 AWSのセキュリティサービス
　3.1 NISTサイバーセキュリティフレームワーク
　　CSF コア
　3.2 AWSのセキュリティサービスの全体像と対象領域
　3.3 CloudTrail
　　CloudTrailの注意点
　　CloudTrailのログ集約
　3.4 Config
　　Config
　　Config Rules
　3.5 GuardDuty
　　GuardDutyの分析対象
　　脅威の重要度と通知・対処
　3.6 Security Hub
　　Security Hubの集約対象
　3.7 AWS Organizations
　　AWS Organizationsの構成要素
　　組織単位（OU）と階層構造
　　サービスコントロールポリシー（SCP）
　　SCPとIAMのアクセス許可の境界
　3.8 Trusted Advisor

第4章 サンドボックスアカウントの作成のチュートリアル
　4.1 サンドボックス環境の要件
　4.2 サンドボックス環境の全体像
　4.3 設定の流れ
　4.4 Organizationsの設定
　　Organizationの作成
　　サンドボックスアカウントの作成
　　組織単位（OU）の作成
　　OU配下にアカウントを移動
　4.5 マスターアカウントでの設定
　　設定用のIAMユーザー作成
　　IAMのアクセスアナライザーの設定
　　組織に対するCloudTrailの設定
　　Configの有効化
　　Configのアグリゲータの設定
　　Security Hubの有効化
　4.6 サンドボックスアカウントの設定
　　Organizationsで作成したAWSアカウントへのログイン
　　設定用のIAMユーザー作成
　　監視・監査ログの収集と集約
　4.7 問題の検知と通知
　　セキュリティグループの全開放を検知するConfig Rule
　4.8 問題検知時の復旧
　　SSMで利用するIAMロールの作成
　　自動修復の設定
　　修復の確認
　4.9 アカウントのサンドボックス化
　　サービスコントロールポリシー（SCP）の有効化と設定
　　禁止行為を抑制するポリシーを作成する
　　サンドボックスアカウントにポリシーを適用する

第5章 CloudFormationを利用した構成管理
　5.1 CloudFormationで管理する理由
　5.2 CloudFormationで管理する範囲
　5.3 複数アカウントに適用するCFn StackSets
　　CFn StackSetsとOrganizationsの連携
　5.4 StackSetsのチュートリアル
　　StackSetsの作成
　　テンプレートの選択
　　StackSetsの権限設定
　　デプロイターゲットの設定
　　動作確認
　5.5 テンプレートの設計
　　サービスのセットアップとルール設定の分離
　　アカウント共通設定と個別設定の境界
　　CloudFormationの具体的な構造
　5.6 CloudFormationのまとめ

第6章 アカウントセキュリティの設計の考え方の原則
　6.1 CSFコアとAWSの設計原則にみるセキュリティ
　6.2 AWSのセキュリティ ベストプラクティス
　　アイデンティティ管理とアクセス管理
　　発見的統制
　　インフラストラクチャ保護
　　データ保護
　　インシデント対応
　6.3 セキュリティ設計のまとめ

第7章 障害の検知と復旧の考え方
　7.1 AWSの運用の原則を知る
　7.2 AWSのサービスを使った検知と復旧
　7.3 統合サービス Security Hubの位置づけ
　7.4 Security Hubと個別検知の使い分け
　7.5 監視と検知
　7.6 通知
　7.7 対応と復旧
　　AWSの自動復旧のパターン
　7.8 Security Hubの活用

第8章 まとめとマルチアカウント管理への道
　8.1 セキュリティ設計と運用
　8.2 Organizationsのサービスコントロールポリシー
　8.3 Security Hubの導入
　8.4 マルチアカウント管理への道
　8.5 まとめ

あとがき
　著者紹介
　既刊一覧