Upgrade to Pro — share decks privately, control downloads, hide ads and more …

AWS固有のセキュリティリスクと対策

 AWS固有のセキュリティリスクと対策

AKIBA.AWS #10 Developers.IO東京 前夜祭!AWS Update LT大会の資料です。
AWS使ってればセキュリティは安心?
きちんと理解してAWSでもセキュリティ対策しましょう。
#akibaaws

cm-usuda-keisuke

October 04, 2018
Tweet

More Decks by cm-usuda-keisuke

Other Decks in Technology

Transcript

  1. "84ݻ༗ͷηΩϡϦςΟϦεΫͱରࡦ

    ӓాՂ༞
    ",*#"BXTୈճ

    View Slide

  2. ࣗݾ঺հ

    ӓాɹՂ༞
    ɾΫϥεϝιουגࣜձࣾ
    ɾ"84ࣄۀຊ෦
    ɹιϦϡʔγϣϯΞʔΩςΫτ
    ɹɹηΩϡϦςΟνʔϜ
    ɾ4FDVSJUZ+"84ӡӦ
    ɾ޷͖ͳαʔϏε
    ɹ"848"'Ϛωʔδυϧʔϧ
    New

    View Slide

  3. Attention
    ࠓճ͸ਖ਼࿦ͰϚ΢ϯτΛऔͬͯԥΓ͔͔ΔελΠϧ
    ͱͳ͓ͬͯΓա৒ͳදݱؚ͕·Ε·͢
    ౰೔͸΍΍ڵฃؾຯͰ͠Ό΂͍ͬͯ·ͨ͠
    ੜஆ͔͍໨Ͱݟ͍ͯͩ͘͞

    View Slide

  4. ಥવͰ͕͢

    ʮAWSͬͯηΩϡϦςΟ΋͔ͬ͠Γ͍ͯͯ͠
    ҆৺ͯ͠࢖͑·͢ΑͶʯ
    ͱ͔ฉ͍ͨ͜ͱ͋Γ·ͤΜ͔ʁ

    View Slide

  5. ࠷ۙ͜Μͳهࣄ͕ग़͍ͯ·ͨ͠

    &$্ͷ"84$-*Ͱ࢖ΘΕ͍ͯΔʹ͍ͭͯ
    IUUQLB[VIIBUFOBCMPHKQFOUSZ
    &$Ͱ͸ɺΠϯελϯε಺͔ΒIUUQ
    ʹΞΫηε͢ΔͱɺͦͷΠϯελϯεʹؔ͢Δ৘ใ͕औಘͰ͖Δ
    Α͏ʹͳ͍ͬͯ·͢ɻ
    ŠŠŠŠŠŠŠŠŠŠŠŠŠŠŠŠŠŠŠŠŠŠŠŠŠŠŠŠ
    ྫ͑͹͜͜ʹIUUQMBUFTUNFUBEBUB
    JBNTFDVSJUZDSFEFOUJBMTͱ͍͏63-Λ౤͛Δͱʜʜ͝૝
    ૾ͷ௨ΓɺDSFEFOUJBM͕ୣ͑·͢ɻ

    View Slide

  6. &$্Ͱಈ͘XFCγεςϜͰ*".3PMFͷ৘ใࡡऔ

    ಺༰ͱͯ͠͸γεςϜ͕Ϣʔβ͔Βड͚औͬͨෆਖ਼ͳ63-ʹΞΫηε͢Δͱ*".
    3PMFͷҰ࣌ΫϨσϯγϟϧΛΠϯελϯεϝλσʔλ͔ΒऔಘͰ͖ͯ͠·͏ͱ͍͏
    ΋ͷ
    Ӭଓతʹར༻Ͱ͖ΔΘ͚Ͱ͸ͳ͍͕ɺͦͷ*".3PMFͷݖݶͰ"84؀ڥΛૢ࡞Ͱ͖
    Δ
    4΁ͷॻ͖ࠐΈݖݶͱ͔&$
    ͷૢ࡞ݖݶ͕͋Δͱ·͋େม
    ϑΝΠϧΛϚϧ΢ΣΞʹஔ͖׵
    ͑ͨΓେྔͷ&$ͰԾ૝௨՟Λ
    ϚΠχϯάͨ͠ΓͰ͖Δ

    View Slide

  7. ΋͏Ұݸهࣄ͕͋Γ·͢

    ʮ"TTVNFUIF8PSTU&OVNFSBUJOH"843PMFT
    UISPVHIb"TTVNF3PMF`ʯ "84ͷ໾ׂΛʮ"TTVNF3PMFʯ
    Ͱྻڍ͢Δ࠷ѱͷ৔߹Λ૝ఆ͠·͢ɻQPXFSFECZHPPHMF

    IUUQTSIJOPTFDVSJUZMBCTDPNBXTBTTVNFXPSTUBXTBTTVNFSPMFFOVNFSBUJPO
    ಺༰͸ΞΧ΢ϯτ*%ͷ࿙Ӯ΍*".3PMFͷਪଌ͔Β
    "TTVNF3PMFΛར༻ͯ͠"84ΞΧ΢ϯτΛ৐ͬऔΔ͜
    ͱ͕Ͱ͖Δͱ͍͏΋ͷ

    View Slide

  8. ஌ͬͯΔਓ͸஌͍ͬͯΔ͚Ͳ

    ʮAWS͔ͩΒ҆৺ͯ͠࢖͑Δʁʯ
    ͋Ε͸ӕͩ

    View Slide

  9. "84Ͱ΋͍ͭ΋Ͳ͓ΓͷηΩϡϦςΟΛ

    w "84Ͱ΋࣮૷΍ӡ༻Ͱ࡞Γࠐ·ΕΔ੬ऑੑ͸Φϯϓ
    Ϩ΍ଞͷΫϥ΢υͱಉ͡Α͏ʹ͋Δ
    w ΋ͪΖΜɺ"84ݻ༗ͷηΩϡϦςΟϦεΫ΋͋Δʂ

    View Slide

  10. ิ଍΋ͪΖΜ"84͔ͩΒྑ͍෦෼΋͍ͬͺ͍͋Δ

    w ΦϯϓϨϛεͰ'JSFXBMMΛ ༧ࢉΛένͬͯ
    ೖΕͣʹ࢖ͬ
    ͍ͯΔΑΓ΋4FDVSJUZ(SPVQͰແঈͰ؆୯ʹ--ͷอ
    ޢ͕Ͱ͖Δ
    w ෺ཧ؀ڥͷ؅ཧ͸"84͕ΊͬͪΌ͔ͬ͠Γ͍ͯͯ҆͠৺
    Ͱ͖Δ
    w ͳͲͳͲϝϦοτ͸ͨ͘͞Μ͋Δʜ
    w ʮηΩϡϦςΟ͔ͬ͠Γ͍ͯ͠ΔʯͷൣғΛऔΓҧ͑Δͳʂ

    View Slide

  11. ͱ͍͏Θ͚Ͱ

    AWSݻ༗ͷηΩϡϦςΟϦεΫΛ
    ߟ͍͑ͯ͘

    View Slide

  12. ઌʹޙ൒ͷ"TTVNF3PMFʹΑΔ৐ͬऔΓͷରࡦ

    ͪ͜Β͸هࣄʹৄࡉͳղઆ͕͋ΔͷͰׂѪ
    ๷ࢭࡦ͸࣍ͷ͕ͭڍ͛ΒΕ͍ͯΔ
    ௥ՃͷΞΫηεΛඞཁͱ͢Δ"84αʔϏε·ͨ͸*".Ϣʔ
    βʔΞΧ΢ϯτͷΈΛ۩ମతʹϦετ͢Δݫີͳ
    "TTVNF3PMFϙϦγʔΛཁٻ͢Δ
    "84Ϧιʔεʹڞ௨ͷਪଌՄೳͳ໊લΛ࢖༻͠ͳ͍Ͱͩ͘
    ͍͞
    "84ΞΧ΢ϯτ*%Λެ։͠ͳ͍Α͏ʹ͢Δ

    View Slide

  13. *".3PMFͷҰ࣌ΫϨσϯγϟϧ࿙Ӯʹ͍ͭͯͷ֓ཁ

    w &$ʹ͸Πϯελϯεͷ৘ใΛऔಘ͢ΔͨΊͷΠϯελϯε
    ϝλσʔλ͕͋ΓɺIUUQ ϦϯΫ
    ϩʔΧϧΞυϨε
    ͰΞΫηεͰ͖Δ
    w ΠϯελϯεϝλσʔλͰ*".3PMFͷҰ࣌ΫϨσϯγϟϧ
    ΛऔಘՄೳ
    w XFCγεςϜͰ֎෦͔Βࢦఆͨ͠63-΁ΞΫηε͢Δ࢓૊
    ΈΛ࣋ͭ৔߹ʹ͜ͷϦεΫ͕͋Δ ྫͱͯ͠֎෦ͷը૾Λऔ
    ಘͯ͠ϦαΠζͨ͠ΓɺϢʔβ౤ߘͷ63-Λݕূ͢Δγες
    Ϝ౳

    View Slide

  14. ͜͜Ͱɺ֤୲౰ऀͷݟղ

    w Πϯϑϥ୲౰ऀ
    w ʮͲ͏ߟ͑ͯ΋ΞϓϦͷ࣮૷ͷ໰୊΍ΖɻΞϓϦ୲౰ऀͳ
    Μͱ͔͠Ζʯ
    w ΞϓϦ୲౰ऀ
    w ʮΠϯϑϥʹ"84࢖͏ͷ͕ѱ͍Μ΍ΖɻΠϯϑϥ୲౰ऀͳ
    Μͱ͔͠Ζʯ

    View Slide

  15. ࢲͷҙݟ

    ͓લΒ(ͪΌΜͱࣗ෼ͷ)࢓ࣄ͠Ζ

    View Slide

  16. ໾ׂతͳਖ਼࿦

    w Πϯϑϥ୲౰ऀ͸Πϯϑϥʹ੹೚͕͋ΔΜ͔ͩΒΠϯ
    ϑϥͰͰ͖ΔηΩϡϦςΟରࡦ͸͖ͬͪΓ΍Ε
    w ΠϯϑϥͷಛੑͰΞϓϦʹӨڹ͕͋Γͦ͏ͳΒͪΌΜ
    ͱ৘ใڞ༗͠Ζ
    w ΞϓϦ୲౰ऀ͸Ϣʔβʹ௚઀ૢ࡞͞ΕΔ෦෼͔ͩΒΑ
    ΓηΩϡϦςΟʹؾΛ͚ͭΖ
    w ΠϯϑϥͷಛੑͳΜ͔஌ΒΜͱ͸ݴΘͤͳ͍ͧ

    View Slide

  17. ͭ·Γ

    ηΩϡϦςΟؚΊ
    ࣗ෼ͨͪͷγεςϜ͸
    ࣗ෼ͨͪͰ࿈ܞͯ͠ͳΜͱ͔͠Ζ

    View Slide

  18. ࿩͸ҳΕ·͕ͨ͠

    ΋͏গٕ͠ज़తͳ࿩

    View Slide

  19. ·ͣେࣄͳߟ͑

    w ηΩϡϦςΟ͸ͭͷཁૉͰ͸कΕ·ͤΜ
    w جຊ͸ଟ૚๷ޚͰ͢
    w ͍ΖΜͳ΋ͷΛ૊Έ߹Θͤͯରࡦ͠·͠ΐ͏
    w Πϯϑϥ΋ΞϓϦ΋ͦΕͧΕͰؤுΔඞཁ͕͋Γ·͢

    View Slide

  20. ੬ऑੑͷ௚઀తݪҼͱͳΔΞϓϦ͔Β

    w ࠓճ͸IUUQ΁ΞΫηεͰ͖
    Δ͜ͱ͕໰୊Ͱ͋Δ
    w ࠓճ͜Ε͸443' αʔόαΠυϦΫΤετϑΥʔδΣ
    Ϧʔ
    ͱ͍͏੬ऑੑͱͯ͠දݱ͞Ε͍ͯΔ
    ೖྗ஋ͱͯ͠ड͚औͬͨ*1ΞυϨε΍63-΁αʔόʔଆͷΞϓϦέʔ
    γϣϯ͕ϦΫΤετ͢Δॲཧ͕͋Δɻͦͷࡍͷೖྗ஋ݕূʹෆඋ͕
    ͋Γɺ಺෦ωοτϫʔΫͷϗετ΁ͷϦΫΤετΛِ૷͞ΕΔ໰୊
    ͕αʔόʔαΠυϦΫΤετϑΥʔδΣϦʢ443'ʣͰ͋Δɻ
    αΠϘ΢ζ੬ऑੑใ঑੍ۚ౓Ͱೝఆ͞Εͨ443'u(JU)VC
    IUUQTHJTUHJUIVCDPNBUTVOPEBFCDCDCCCBDBDFG

    View Slide

  21. 443'΁ͷରࡦ͸"84ݻ༗Ͱ͸ͳ͍

    w ݹདྷΑΓ֎෦63-΍'2%/Λࢦఆ͢Δ෦෼Ͱ
    MPDBMIPTU΍ɺਪଌ͞ΕΔϓϥΠϕʔτ*1
    Λࢦఆ͢Δ߈ܸ͸͋Γɺೖྗ஋ͷݕূ͸ΞϓϦଆͰߦ
    ͏ඞཁ͕͋Δ
    w ϒϥοΫϦετ΍ਖ਼نදݱͰରࡦ͢Δ͕ɺΑ͘ݕূෆ
    උ͕ى͜Δ

    View Slide

  22. ೖྗ஋ͷݕূ͸؆୯Ͱ͸ͳ͍

    w *1ΞυϨεͷදݱʹ͸ਐ਺΍ਐ਺͕࢖͑Δ
    w ΍ͷΑ͏ͳҰൠతͰͳ
    ͍ܗࣜͷ*1ΞυϨε΋ɺͱಉ͘͡ϧʔϓ
    όοΫΞυϨεͱͯ͠ղऍ͞ΕΔ
    w ϚΠφʔͳදݱ΋ߟ͑Δͱ໢ཏతʹೖྗ஋ݕূ͢Δ͜
    ͱ͚ͩʹཔͬͯ͸͍͚ͳ͍

    View Slide

  23. ΞϓϦϨΠϠʔͰͷଞͷରࡦ

    w ෆ༻ҙʹ֎෦ͷ஋Λར༻͠ͳ͍͍ͯ͘ͳΒͦΕ͕Ұ൪
    w Ͳ͏ͯ͠΋63-Λऔಘͯ͠ΞΫηε͢Δඞཁ͕͋Δͳ
    ΒϨεϙϯεͷݕূ΋ߦ͏
    w ը૾ͳΒ$POUFOU5ZQF͕JNBHFͰ͋Δ͔΍ϑΝΠϧϔο
    μ͕ը૾Ͱ͋Δ͔౳
    w ظ଴ͯ͠ͳ͍஋΍Τϥʔͷ৔߹͸ෆཁͳ৘ใΛϢʔβ
    ʹϨεϙϯε͠ͳ͍ ϩάʹ͸ग़͢

    View Slide

  24. ΠϯϑϥͰͷରࡦ

    w ಛʹϑϩϯτͷXFCαʔό΍"1αʔό͕֎෦ΞΫηε
    ͢Δ໾ׂΛ࣋ͭ৔߹ɺΞλον͢Δ໾ׂ *".3PMF
    Λ
    ࠷খݶʹ͢Δ ࠷খݖݶͷݪଇ

    w ηΩϡϦςΟάϧʔϓ͸૝ఆ͞ΕΔΞΫηεͷΈʹߜ
    Δ ෆਖ਼ར༻࣌ͷ૝ఆ֎ͷଞͷαʔό΁ͷϦΫΤετͷ
    ๷ࢭ

    w 71$ϑϩʔϩάͰ3FKFDUΛऔಘ ෆਖ਼ͳ௨৴ͷه࿥ɾ
    ݕ஌

    View Slide

  25. ΠϯϑϥͰͷରࡦ

    w Πϯελϯεϝλσʔλ΁ͷΞΫηε͸ࢭΊΒΕͳ͍
    w *".3PMFͷݖݶͰ"1*Λ࣮ߦ͢Δࡍʹ͸ඞਢ
    w ඞཁҎ্ͷ੍ݶΛߦͬͯརศੑΛԼ͛ΔͷͰ͸ͳ͘ɺ
    ݕ஌΍ແ֐ԽΛ૊Έ߹Θ͍ͤͯ͘
    w "84ͷΠέͯΔαʔϏε΋ซ༻͠Α͏
    w "848"'΋༗ޮ ϧʔϧબఆ͸ؾΛ͚ͭͯ

    View Slide

  26. "NB[PO(VBSE%VUZΛ࢖͓͏

    w (VBSE%VUZ͸"84্ͷڴҖΛݕ஌͢ΔϚωʔδυαʔϏε
    w $MPVE5SBJM΍71$ϑϩʔϩά౳͔ΒػցֶशͰҟৗΛݕ஌ͯ͘͠ΕΔ߇
    ͑ΊʹݴͬͯαΠίʔͳαʔϏε
    w ࠓճͷΑ͏ʹෆਖ਼ʹࡡऔ͞ΕͨΫϨσϯγϟϧΛ֎෦͔Βར༻ͨ͠৔߹ʹ
    ͙͢ݕ஌Ͱ͖Δ
    w ଞʹ΋TTIͷϒϧʔτϑΥʔε΍$$΁ͷ௨৴ɺԾ૝௨՟ͷϚΠχϯά౳
    ෯޿͘ݕ஌Ͱ͖Δ
    https://dev.classmethod.jp/cloud/aws/
    guardduty-add-twelve-finding-types/

    View Slide

  27. ͜Ε͚ͩ͸ݴΘͤͯ͘Ε

    Amazon GuardDuty͸
    ࠓ͙͢༗ޮԽ͢΂͖

    View Slide

  28. (VBSE%VUZΛ༗ޮʹ͢ΔͳΒ

    ϒϩά͕͋ΔͷͰݟͯͶIUUQTEFWDMBTTNFUIPEKQDMPVEBXTTFUHVBSEEVUZBMMSFHJPO

    ͍ͭͰʹγΣΞͯ͠Ͷˑϛ

    View Slide

  29. ·ͱΊ

    w "84͔ͩΒηΩϡϦςΟ͸҆৺Ͱ͸ͳ͍ͷͰɺ͍ͭ
    ΋௨Γ΍Δ΂͖͜ͱΛ΍Δ
    w "84ݻ༗ͳ෦෼͸ҙࣝͭͭ͠΋جຊ௨Γʹɺଟ૚๷
    ޚΛҙࣝ͢Δ
    w "84ͷΠέͯΔαʔϏεΛซ༻͢Δͱָ
    w ੹೚Λԡ͠෇͚߹Θͣʹ͓ޓ͍าΈدΖ͏

    View Slide