Security-JAWS #41(10周年記念 Day1) #2
AWS Builder Cards セキュリティ拡張パック — ゲームで学ぶ多層防御
Well-Architected Frameworkのセキュリティの柱を、カードゲーム形式で体験的に学べるBuilder Cardsの仕組みと活用法
🎤 製造業 インフラ部門 スクラムマスター / AWS Community Builder申請中(6年目)/ Security-JAWS千葉支部運営
キーテイクアウェイ
Builder Cardsは4つの脅威レイヤー(ネットワーク・アプリ・データ・IAM)に対して多層防御を設計するボードゲーム。実インシデントのシミュレーションをチームで安全に体験できる
登壇者の背景
- 品川区の製造業企業でパブリッククラウド(AWS / Google Cloud)の統制・オペレーション担当
- チームのスクラムマスター
- Builder Cards日本語版の翻訳に初版から参加
- Security-JAWS千葉支部の運営
- AWS Community Builder申請中(承認されれば6年目)
Builder Cardsとは
AWSが提供するボードゲーム形式のセキュリティ学習ツール。AWSサービスのカードを集めてアーキテクチャを構築し、獲得クレジットが多い人が勝つ。
ゲームの基本メカニクス
- AWSサービスカードを集める
- カードを組み合わせてアーキテクチャをビルド
- ビルドした効果に基づいて「クレジット」を獲得
- セキュリティ拡張パック: 特典獲得時に「セキュリティインシデント」が発生
- 自分のアーキテクチャでインシデントを「検知」して「対応」する必要がある
- 検知できなかった場合: 得点が1点に制限 + 次ターンでペナルティ
プレイ人数: 1〜4人(オフライン対面型)
セキュリティ拡張パックの4つの脅威アクター
ペットの動物がそれぞれ異なるレイヤーの攻撃を担当:
| 動物 | 攻撃レイヤー | 対応するセキュリティ領域 |
|---|---|---|
| 🐦 鳥 | ネットワーク・インフラ | VPC, Security Group, WAF |
| 🦝 アライグマ | アプリケーション・ソースコード | CodeGuru, Inspector |
| 🐱 猫 | データベース・データ | S3暗号化, RDS暗号化 |
| 🐕 犬 | IAM・アカウント管理 | IAM, Organizations, SCP |
この4層構造で「多層防御」の考え方をゲームに落とし込んでいる。
具体的なシナリオ例: S3データ漏洩
インシデント内容(猫 = データレイヤー攻撃)
- S3バケットがパブリックアクセス可能な状態
- 顧客の個人識別情報(PII)が漏洩
- トランザクション履歴も含まれていた
検知に必要なAWSサービス
| サービス | 役割 |
|---|---|
| GuardDuty | S3への不審なアクセスパターンを自動検知 |
| CloudTrail | API呼び出しログ(Get, List, Delete等のS3操作を記録) |
対応に必要なAWSサービス
| サービス | 対応内容 |
|---|---|
| S3 Block Public Access | パブリックアクセスをブロック(最も基本的な即時対応) |
| AWS Organizations + SCP | 全アカウントで公開設定を予防的に禁止 |
| AWS Config | 設定コンプライアンスを継続的に監視 |
インシデント対応サイクル
準備(設計・実装)→ 検知(監視・発見)→ 対応(封じ込め・修復)→ 事後対応(振り返り)
↑ |
└───────── 新たな課題があれば準備フェーズに戻る ──────────────┘Well-Architected Framework セキュリティの柱
7つの設計原則
- ID基盤(Identity) — 認証・認可の設計
- トレーサビリティ — 監査性・追跡可能性
- 多層防御 — 単一障害点を作らない
- 自動化 — 人的ミスの排除
- データの保護 — 暗号化・アクセス制御
- アクセス制御 — 最小権限の原則
- イベント対応 — インシデントレスポンス
登壇者の「4+1メソッド」整理
実装に落とし込むための5ステップ:
- Access — アクセス経路の設計
- Defense — 防御の実装
- Detection — 検知の仕組み
- Response — 対応プロセス
- Learning(+1) — 学習と改善
「Well-Architectedは理想論。特にオンプレからリフトアップしたばかりの企業では、自動化や最小権限の実装は難しい。このギャップを埋めるのがBuilder Cards」
入手方法と現状
| 版 | 入手方法 |
|---|---|
| 英語オリジナル版 | Amazon.co.jp で購入可能 |
| 日本語版 | ネット販売なし。Security-JAWS各支部のイベントで配布 |
現状と今後
- 開発者(ドイツAWS所属のDavid氏)がAWSを退職し、メンテナンスモードに移行
- 日本語版アセットはSecurity-JAWS千葉支部が継続管理
- 「リーダーカード」ワーキンググループが発足し、新しいゲーム企画を検討中
- Well-Architected啓発の全国展開フェーズに突入
初心者向け補足
多層防御(Defense in Depth)とは
単一のセキュリティ対策に依存せず、複数のレイヤーで防御を重ねる考え方。1つの層が突破されても、次の層で防ぐ。
インターネット
→ [WAF] ネットワーク層の防御
→ [Security Group] 通信制御
→ [アプリケーション認証] アプリ層の防御
→ [暗号化] データ層の防御
→ [IAM最小権限] 権限層の防御Builder Cardsの4つのペットはこの考え方を具体化したもの。
Why Builder Cards?
セキュリティ教育の課題は「実インシデントを体験できない」こと。本番で障害を起こして学ぶわけにはいかない。Builder Cardsは:
- ゲーム形式で心理的ハードルを下げる
- チームディスカッションでナレッジを共有
- 実際のAWSサービスの組み合わせを覚える
- 何日もかかるインシデント対応を数十分でシミュレート