AWS固有のセキュリティリスクと対策

Transcript

1. "84ݻ༗ͷηΩϡϦςΟϦεΫͱରࡦ 
   ӓాՂ༞ ",*#"BXT
   ୈճ

2. ࣗݾ঺հ
    ӓాɹՂ༞
   ɾΫϥεϝιουגࣜձࣾ
   ɾ"84ࣄۀຊ෦
   ɹιϦϡʔγϣϯΞʔΩςΫτ
   ɹɹηΩϡϦςΟνʔϜ
   ɾ4FDVSJUZ+"84ӡӦ
   ɾ޷͖ͳαʔϏε
   

   ɹ"84
   8"'Ϛωʔδυϧʔϧ New

3. Attention ࠓճ͸ਖ਼࿦ͰϚ΢ϯτΛऔͬͯԥΓ͔͔ΔελΠϧ ͱͳ͓ͬͯΓա৒ͳදݱؚ͕·Ε·͢ ౰೔͸΍΍ڵฃؾຯͰ͠Ό΂͍ͬͯ·ͨ͠ ੜஆ͔͍໨Ͱݟ͍ͯͩ͘͞

4. ಥવͰ͕͢
    ʮAWSͬͯηΩϡϦςΟ΋͔ͬ͠Γ͍ͯͯ͠ ҆৺ͯ͠࢖͑·͢ΑͶʯ ͱ͔ฉ͍ͨ͜ͱ͋Γ·ͤΜ͔ʁ

5. ࠷ۙ͜Μͳهࣄ͕ग़͍ͯ·ͨ͠
    &$্ͷ"84
   $-*Ͱ࢖ΘΕ͍ͯΔʹ͍ͭͯ
   IUUQLB[VIIBUFOBCMPHKQFOUSZ
   &$Ͱ͸ɺΠϯελϯε಺͔Β
   IUUQ
   ʹΞΫηε͢ΔͱɺͦͷΠϯελϯεʹؔ͢Δ৘ใ͕औಘͰ͖Δ Α͏ʹͳ͍ͬͯ·͢ɻ
   ŠŠŠŠŠŠŠŠŠŠŠŠŠŠŠŠŠŠŠŠŠŠŠŠŠŠŠŠ
   ྫ͑͹͜͜ʹ
   IUUQMBUFTUNFUBEBUB

   JBNTFDVSJUZDSFEFOUJBMT
   ͱ͍͏63-Λ౤͛Δͱʜʜ
   ͝૝ ૾ͷ௨ΓɺDSFEFOUJBM͕ୣ͑·͢ɻ

6. &$্Ͱಈ͘XFCγεςϜͰ*".
   3PMFͷ৘ใࡡऔ
    ಺༰ͱͯ͠͸γεςϜ͕Ϣʔβ͔Βड͚औͬͨෆਖ਼ͳ63-ʹΞΫηε͢Δͱ*".
   3PMFͷҰ࣌ΫϨσϯγϟϧΛΠϯελϯεϝλσʔλ͔ΒऔಘͰ͖ͯ͠·͏ͱ͍͏ ΋ͷ
   Ӭଓతʹར༻Ͱ͖ΔΘ͚Ͱ͸ͳ͍͕ɺͦͷ*".
   3PMFͷݖݶͰ"84؀ڥΛૢ࡞Ͱ͖ Δ 4΁ͷॻ͖ࠐΈݖݶͱ͔&$ ͷૢ࡞ݖݶ͕͋Δͱ·͋େม
   

   ϑΝΠϧΛϚϧ΢ΣΞʹஔ͖׵ ͑ͨΓେྔͷ&$ͰԾ૝௨՟Λ ϚΠχϯάͨ͠ΓͰ͖Δ

7. ΋͏Ұݸهࣄ͕͋Γ·͢
    ʮ"TTVNF
   UIF
   8PSTU
   &OVNFSBUJOH
   "84
   3PMFT
   UISPVHI
   b"TTVNF3PMF`ʯ "84ͷ໾ׂΛʮ"TTVNF3PMFʯ Ͱྻڍ͢Δ࠷ѱͷ৔߹Λ૝ఆ͠·͢ɻQPXFSFE
   CZ
   HPPHMF
   IUUQTSIJOPTFDVSJUZMBCTDPNBXTBTTVNFXPSTUBXTBTTVNFSPMFFOVNFSBUJPO
   ಺༰͸ΞΧ΢ϯτ*%ͷ࿙Ӯ΍*".
   3PMFͷਪଌ͔Β

   "TTVNF3PMFΛར༻ͯ͠"84ΞΧ΢ϯτΛ৐ͬऔΔ͜ ͱ͕Ͱ͖Δͱ͍͏΋ͷ

8. ஌ͬͯΔਓ͸஌͍ͬͯΔ͚Ͳ
    ʮAWS͔ͩΒ҆৺ͯ͠࢖͑Δʁʯ ͋Ε͸ӕͩ

9. "84Ͱ΋͍ͭ΋Ͳ͓ΓͷηΩϡϦςΟΛ
    w "84Ͱ΋࣮૷΍ӡ༻Ͱ࡞Γࠐ·ΕΔ੬ऑੑ͸Φϯϓ Ϩ΍ଞͷΫϥ΢υͱಉ͡Α͏ʹ͋Δ
   w ΋ͪΖΜɺ"84ݻ༗ͷηΩϡϦςΟϦεΫ΋͋Δʂ

10. ิ଍
    ΋ͪΖΜ"84͔ͩΒྑ͍෦෼΋͍ͬͺ͍͋Δ
     w ΦϯϓϨϛεͰ'JSFXBMMΛ ༧ࢉΛένͬͯ ೖΕͣʹ࢖ͬ ͍ͯΔΑΓ΋4FDVSJUZ
    (SPVQͰແঈͰ؆୯ʹ--ͷอ ޢ͕Ͱ͖Δ
    w

    ෺ཧ؀ڥͷ؅ཧ͸"84͕ΊͬͪΌ͔ͬ͠Γ͍ͯͯ҆͠৺ Ͱ͖Δ
    w ͳͲͳͲϝϦοτ͸ͨ͘͞Μ͋Δʜ
    w ʮηΩϡϦςΟ͔ͬ͠Γ͍ͯ͠ΔʯͷൣғΛऔΓҧ͑Δͳʂ

11. ͱ͍͏Θ͚Ͱ
     AWSݻ༗ͷηΩϡϦςΟϦεΫΛ ߟ͍͑ͯ͘

12. ઌʹޙ൒ͷ"TTVNF3PMFʹΑΔ৐ͬऔΓͷରࡦ
     ͪ͜Β͸هࣄʹৄࡉͳղઆ͕͋ΔͷͰׂѪ
    ๷ࢭࡦ͸࣍ͷ͕ͭڍ͛ΒΕ͍ͯΔ
     ௥ՃͷΞΫηεΛඞཁͱ͢Δ"84αʔϏε·ͨ͸*".Ϣʔ βʔΞΧ΢ϯτͷΈΛ۩ମతʹϦετ͢Δݫີͳ "TTVNF3PMFϙϦγʔΛཁٻ͢Δ
    

    "84Ϧιʔεʹڞ௨ͷਪଌՄೳͳ໊લΛ࢖༻͠ͳ͍Ͱͩ͘ ͍͞
     "84ΞΧ΢ϯτ*%Λެ։͠ͳ͍Α͏ʹ͢Δ

13. *".
    3PMFͷҰ࣌ΫϨσϯγϟϧ࿙Ӯʹ͍ͭͯͷ֓ཁ
     w &$ʹ͸Πϯελϯεͷ৘ใΛऔಘ͢ΔͨΊͷΠϯελϯε ϝλσʔλ͕͋ΓɺIUUQ
    ϦϯΫ ϩʔΧϧΞυϨε ͰΞΫηεͰ͖Δ
    w

    ΠϯελϯεϝλσʔλͰ*".
    3PMFͷҰ࣌ΫϨσϯγϟϧ ΛऔಘՄೳ
    w XFCγεςϜͰ֎෦͔Βࢦఆͨ͠63-΁ΞΫηε͢Δ࢓૊ ΈΛ࣋ͭ৔߹ʹ͜ͷϦεΫ͕͋Δ ྫͱͯ͠֎෦ͷը૾Λऔ ಘͯ͠ϦαΠζͨ͠ΓɺϢʔβ౤ߘͷ63-Λݕূ͢Δγες Ϝ౳

14. ͜͜Ͱɺ֤୲౰ऀͷݟղ
     w Πϯϑϥ୲౰ऀ
    w ʮͲ͏ߟ͑ͯ΋ΞϓϦͷ࣮૷ͷ໰୊΍ΖɻΞϓϦ୲౰ऀͳ Μͱ͔͠Ζʯ
    w ΞϓϦ୲౰ऀ
    

    w ʮΠϯϑϥʹ"84࢖͏ͷ͕ѱ͍Μ΍ΖɻΠϯϑϥ୲౰ऀͳ Μͱ͔͠Ζʯ

15. ࢲͷҙݟ
     ͓લΒ(ͪΌΜͱࣗ෼ͷ)࢓ࣄ͠Ζ

16. ໾ׂతͳਖ਼࿦
     w Πϯϑϥ୲౰ऀ͸Πϯϑϥʹ੹೚͕͋ΔΜ͔ͩΒΠϯ ϑϥͰͰ͖ΔηΩϡϦςΟରࡦ͸͖ͬͪΓ΍Ε
    w ΠϯϑϥͷಛੑͰΞϓϦʹӨڹ͕͋Γͦ͏ͳΒͪΌΜ ͱ৘ใڞ༗͠Ζ
    w

    ΞϓϦ୲౰ऀ͸Ϣʔβʹ௚઀ૢ࡞͞ΕΔ෦෼͔ͩΒΑ ΓηΩϡϦςΟʹؾΛ͚ͭΖ
    w ΠϯϑϥͷಛੑͳΜ͔஌ΒΜͱ͸ݴΘͤͳ͍ͧ

17. ͭ·Γ
     ηΩϡϦςΟؚΊ ࣗ෼ͨͪͷγεςϜ͸ ࣗ෼ͨͪͰ࿈ܞͯ͠ͳΜͱ͔͠Ζ

18. ࿩͸ҳΕ·͕ͨ͠
     ΋͏গٕ͠ज़తͳ࿩

19. ·ͣେࣄͳߟ͑
     w ηΩϡϦςΟ͸ͭͷཁૉͰ͸कΕ·ͤΜ
    w جຊ͸ଟ૚๷ޚͰ͢
    w ͍ΖΜͳ΋ͷΛ૊Έ߹Θͤͯରࡦ͠·͠ΐ͏
    w

    Πϯϑϥ΋ΞϓϦ΋ͦΕͧΕͰؤுΔඞཁ͕͋Γ·͢

20. ੬ऑੑͷ௚઀తݪҼͱͳΔΞϓϦ͔Β
     w ࠓճ͸IUUQ΁ΞΫηεͰ͖ Δ͜ͱ͕໰୊Ͱ͋Δ
    w ࠓճ͜Ε͸443' αʔόαΠυϦΫΤετϑΥʔδΣ Ϧʔ

    ͱ͍͏੬ऑੑͱͯ͠දݱ͞Ε͍ͯΔ ೖྗ஋ͱͯ͠ड͚औͬͨ*1ΞυϨε΍63-΁αʔόʔଆͷΞϓϦέʔ γϣϯ͕ϦΫΤετ͢Δॲཧ͕͋Δɻͦͷࡍͷೖྗ஋ݕূʹෆඋ͕ ͋Γɺ಺෦ωοτϫʔΫͷϗετ΁ͷϦΫΤετΛِ૷͞ΕΔ໰୊ ͕αʔόʔαΠυϦΫΤετϑΥʔδΣϦʢ443'ʣͰ͋Δɻ αΠϘ΢ζ੬ऑੑใ঑੍ۚ౓Ͱೝఆ͞Εͨ443'
    u
    (JU)VC
    IUUQTHJTUHJUIVCDPNBUTVOPEBFCDCDCCCBDBDFG

21. 443'΁ͷରࡦ͸"84ݻ༗Ͱ͸ͳ͍
     w ݹདྷΑΓ֎෦63-΍'2%/Λࢦఆ͢Δ෦෼Ͱ MPDBMIPTU΍ɺਪଌ͞ΕΔϓϥΠϕʔτ*1 Λࢦఆ͢Δ߈ܸ͸͋Γɺೖྗ஋ͷݕূ͸ΞϓϦଆͰߦ ͏ඞཁ͕͋Δ
    w ϒϥοΫϦετ΍ਖ਼نදݱͰରࡦ͢Δ͕ɺΑ͘ݕূෆ

    උ͕ى͜Δ

22. ೖྗ஋ͷݕূ͸؆୯Ͱ͸ͳ͍
     w *1ΞυϨεͷදݱʹ͸ਐ਺΍ਐ਺͕࢖͑Δ
    w 
    ΍
    
    ͷΑ͏ͳҰൠతͰͳ ͍ܗࣜͷ*1ΞυϨε΋ɺ
    ͱಉ͘͡ϧʔϓ όοΫΞυϨεͱͯ͠ղऍ͞ΕΔ
    w

    ϚΠφʔͳදݱ΋ߟ͑Δͱ໢ཏతʹೖྗ஋ݕূ͢Δ͜ ͱ͚ͩʹཔͬͯ͸͍͚ͳ͍

23. ΞϓϦϨΠϠʔͰͷଞͷରࡦ
     w ෆ༻ҙʹ֎෦ͷ஋Λར༻͠ͳ͍͍ͯ͘ͳΒͦΕ͕Ұ൪
    w Ͳ͏ͯ͠΋63-Λऔಘͯ͠ΞΫηε͢Δඞཁ͕͋Δͳ ΒϨεϙϯεͷݕূ΋ߦ͏
    w ը૾ͳΒ$POUFOU5ZQF͕JNBHF

    Ͱ͋Δ͔΍ϑΝΠϧϔο μ͕ը૾Ͱ͋Δ͔౳
    w ظ଴ͯ͠ͳ͍஋΍Τϥʔͷ৔߹͸ෆཁͳ৘ใΛϢʔβ ʹϨεϙϯε͠ͳ͍ ϩάʹ͸ग़͢

24. ΠϯϑϥͰͷରࡦ
     w ಛʹϑϩϯτͷXFCαʔό΍"1αʔό͕֎෦ΞΫηε ͢Δ໾ׂΛ࣋ͭ৔߹ɺΞλον͢Δ໾ׂ *".
    3PMF Λ ࠷খݶʹ͢Δ ࠷খݖݶͷݪଇ

    
    w ηΩϡϦςΟάϧʔϓ͸૝ఆ͞ΕΔΞΫηεͷΈʹߜ Δ ෆਖ਼ར༻࣌ͷ૝ఆ֎ͷଞͷαʔό΁ͷϦΫΤετͷ ๷ࢭ
    w 71$ϑϩʔϩάͰ3FKFDUΛऔಘ ෆਖ਼ͳ௨৴ͷه࿥ɾ ݕ஌

25. ΠϯϑϥͰͷରࡦ
     w Πϯελϯεϝλσʔλ΁ͷΞΫηε͸ࢭΊΒΕͳ͍
    w *".
    3PMFͷݖݶͰ"1*Λ࣮ߦ͢Δࡍʹ͸ඞਢ
    w ඞཁҎ্ͷ੍ݶΛߦͬͯརศੑΛԼ͛ΔͷͰ͸ͳ͘ɺ ݕ஌΍ແ֐ԽΛ૊Έ߹Θ͍ͤͯ͘
    

    w "84ͷΠέͯΔαʔϏε΋ซ༻͠Α͏
    w "84
    8"'΋༗ޮ ϧʔϧબఆ͸ؾΛ͚ͭͯ

26. "NB[PO
    (VBSE%VUZΛ࢖͓͏
     w (VBSE%VUZ͸"84্ͷڴҖΛݕ஌͢ΔϚωʔδυαʔϏε
    w $MPVE5SBJM΍71$ϑϩʔϩά౳͔ΒػցֶशͰҟৗΛݕ஌ͯ͘͠ΕΔ߇ ͑ΊʹݴͬͯαΠίʔͳαʔϏε
    w ࠓճͷΑ͏ʹෆਖ਼ʹࡡऔ͞ΕͨΫϨσϯγϟϧΛ֎෦͔Βར༻ͨ͠৔߹ʹ

    ͙͢ݕ஌Ͱ͖Δ
    w ଞʹ΋TTIͷϒϧʔτϑΥʔε΍$$΁ͷ௨৴ɺԾ૝௨՟ͷϚΠχϯά౳ ෯޿͘ݕ஌Ͱ͖Δ https://dev.classmethod.jp/cloud/aws/ guardduty-add-twelve-finding-types/

27. ͜Ε͚ͩ͸ݴΘͤͯ͘Ε
     Amazon GuardDuty͸ ࠓ͙͢༗ޮԽ͢΂͖

28. (VBSE%VUZΛ༗ޮʹ͢ΔͳΒ
     ϒϩά͕͋ΔͷͰݟͯͶ
    IUUQTEFWDMBTTNFUIPEKQDMPVEBXTTFUHVBSEEVUZBMMSFHJPO
    ͍ͭͰʹγΣΞͯ͠Ͷˑϛ

29. ·ͱΊ
     w "84͔ͩΒηΩϡϦςΟ͸҆৺Ͱ͸ͳ͍ͷͰɺ͍ͭ ΋௨Γ΍Δ΂͖͜ͱΛ΍Δ
    w "84ݻ༗ͳ෦෼͸ҙࣝͭͭ͠΋جຊ௨Γʹɺଟ૚๷ ޚΛҙࣝ͢Δ
    w

    "84ͷΠέͯΔαʔϏεΛซ༻͢Δͱָ
    w ੹೚Λԡ͠෇͚߹Θͣʹ͓ޓ͍าΈدΖ͏