Upgrade to Pro — share decks privately, control downloads, hide ads and more …

Security HubとGuardDutyで予防的統制と発見的統制を運用する

Avatar for cm-usuda-keisuke cm-usuda-keisuke
January 28, 2022
Technology
1
8.1k

Security HubとGuardDutyで予防的統制と発見的統制を運用する

以下ブログ用資料です。
https://dev.classmethod.jp/articles/22020128_jawsug_nagoya_security_control/

以下イベントでの登壇資料です。
JAWS-UG 名古屋 あけましておめでとう! セキュリティで始める2022年!!
https://jawsug-nagoya.doorkeeper.jp/events/132210
Avatar for cm-usuda-keisuke

cm-usuda-keisuke

January 28, 2022
Tweet

More Decks by cm-usuda-keisuke

See All by cm-usuda-keisuke
Security Hubの利用者調査とお悩み相談をやってます! in JAWS-UG東京
Avatar for cm-usuda-keisuke cmusudakeisuke
0
56
新機能Amazon GuardDuty Extended Threat Detectionはネ申って話
Avatar for cm-usuda-keisuke cmusudakeisuke
0
970
初心者向けAWS Securityの勉強会mini Security-JAWSを9ヶ月ぐらい実施してきての近況
Avatar for cm-usuda-keisuke cmusudakeisuke
0
320
ツンデレなGuardDutyをプロデュースして世界一のアイドルにする話
Avatar for cm-usuda-keisuke cmusudakeisuke
0
620
GuardDutyを可視化して、君もGuardDutyマスターになろう!
Avatar for cm-usuda-keisuke cmusudakeisuke
1
1.6k
AWSセキュリティを「日本語で」学習していくための良いコンテンツをまとめてみた
Avatar for cm-usuda-keisuke cmusudakeisuke
1
16k
10分で完全に理解するGuardDutyのS3マルウェア保護
Avatar for cm-usuda-keisuke cmusudakeisuke
0
2.8k
AWSセンセーション 私とみんなが作ったAWSセキュリティ
Avatar for cm-usuda-keisuke cmusudakeisuke
4
4.8k
新しい初心者向けのSecurity-JAWSをやるよ!って話
Avatar for cm-usuda-keisuke cmusudakeisuke
0
1.4k

Other Decks in Technology

See All in Technology
20 Years of Domain-Driven Design: What I’ve Learned About DDD
Avatar for Eberhard Wolff ewolff
1
390
MagicPod MCPサーバー開発の裏側とAIエージェント活用の展望
Avatar for MagicPod magicpod
0
280
計装を見直してアプリケーションパフォーマンスを改善させた話
Avatar for Kazuki Obata donkomura
2
170
インラインRBSコメントに鯛pe checkersもニッコリ
Avatar for SansanTech sansantech
PRO
1
140
AWSを利用する上で知っておきたい名前解決の話
Avatar for nagisa_53 nagisa53
6
850
Sleep-time Compute: LLM推論コスト削減のための事前推論
Avatar for sergicalsix sergicalsix
1
150
さくらのクラウド開発の裏側
Avatar for metakoma metakoma
PRO
18
5.6k
ホワイトボックス& SONiC アーキテクチャ(全体像) - SONiC Workshop Japan 2025
Avatar for ebiken ebiken
PRO
1
290
Tailwind CSS の小話「コンテナークエリーって便利」
Avatar for Yuki Yamada yamaday
0
130
Google CloudのAI Agent関連のサービス紹介
Avatar for Shu Kobuchi shukob
0
130
木を見て森も見る-モジュールが織りなすプロダクトの森
Avatar for KNOWLEDGE WORK / 株式会社ナレッジワーク kworkdev
PRO
0
260
20250514 1Passwordを使い倒す道場 vol.1
Avatar for Takumi Abe east_takumi
0
140

Featured

See All Featured
JavaScript: Past, Present, and Future - NDC Porto 2020
Avatar for David Neal reverentgeek
48
5.4k
What’s in a name? Adding method to the madness
Avatar for Product Marketing Alliance productmarketing
PRO
22
3.4k
StorybookのUI Testing Handbookを読んだ
Avatar for Shingo Yamazaki zakiyama
30
5.7k
CoffeeScript is Beautiful & I Never Want to Write Plain JavaScript Again
Avatar for Sam Stephenson sstephenson
160
15k
The Language of Interfaces
Avatar for Des Traynor destraynor
158
25k
Thoughts on Productivity
Avatar for Jon Yablonski jonyablonski
69
4.6k
Build The Right Thing And Hit Your Dates
Avatar for Maggie C. maggiecrowley
35
2.7k
Sharpening the Axe: The Primacy of Toolmaking
Avatar for Bryan Cantrill bcantrill
41
2.3k
We Have a Design System, Now What?
Avatar for Morgane Peng morganepeng
52
7.6k
Code Review Best Practice
Avatar for Trisha Gee trishagee
68
18k
Performance Is Good for Brains [We Love Speed 2024]
Avatar for Tammy Everts tammyeverts
10
800
Principles of Awesome APIs and How to Build Them.
Avatar for Keavy McMinn keavy
126
17k

Transcript

  1. Security HubとGuardDutyで 予防的統制と発⾒的統制を運⽤する ハッシュタグ: #jawsug #jawsug_nagoya 2022/01/28 うすだけいすけ

  2. 2 ⾃⼰紹介 ⾅⽥佳祐 ・クラスメソッド株式会社 AWS事業本部 シニアソリューションアーキテクト セキュリティチームリーダー AWS公認インストラクター ・Security-JAWS運営 ・好きなサービス:

    Amazon Detective みんなのAWS (技術評論社)

  3. 3 セッションテーマ AWSセキュリティを運⽤しよう

  4. 4 持ち帰ってもらうもの • AWSのセキュリティベストプラクティスに基づ く2つの保護機能を理解する • 怖がらないセキュリティ対策に挑戦する気持ち • 実運⽤を開始するための情報

  5. 5 みなさんはどちらですか︖ AWSのセキュリティは 簡単︖ or 難しい︖

  6. 6 AWSのセキュリティ対策を怖がらないで • 難しそうと思うなら理解しよう︕ • やってみると意外とできる︕

  7. 7 予防的統制と発⾒的統制

  8. 8 簡単に⾔うと • 予防的統制 • セキュリティ事故が起きないように安全かチェックしよ う︕ • 発⾒的統制 •

    万が⼀セキュリティ事故が起きても気づいて対応できる ようにしよう︕

  9. 9 予防と発⾒ どっちがだいじ︖

  10. 10 どちらか⽚⽅をとるなら… • 予防的統制だけやる • 安全にして未然に防げる︕ • でも実は事故が起きているかも • 発⾒的統制だけやる

    • 事故が起きていることに気づいた︕ • そもそも起きないようにしたいよね

  11. 11 どっちもやろう︕

  12. 12 簡単に始める • 予防的統制 -> AWS Security Hub • 危ない設定を⾒つけてくれる︕

    • 発⾒的統制 -> Amazon GuardDuty • 事故が起きたり、怪しい動きがあったら知らせてくれ る︕

  13. 13 もしも 対策できていないと

  14. 14 実際のインシデントの事例 実際にアクセス キーが漏洩した ときに何が起き たか記録したブ ログ https://dev.class method.jp/articl es/accesskey-

    leak/

  15. 15 実際のインシデントの事例 GitHubに乗ってから10分で悪⽤された No 時間 状況 1 00:00 お客様がPoweruser権限のアクセスキーをPublicなGitHubリポジ トリにPush

    2 00:10 当該アクセスキーを利⽤した不正な操作が⾏われる 3 00:30 AWS様からの連絡を受け、弊社からお客様へアクセスキーが漏 洩した旨、および、対応⽅法をご連絡(電話、メール) 4 01:00 当該キー経由で作成されたリソースを全て削除 5 XX:XX IAMユーザーのアクセスキーをローテーション 5 XX:XX IAMユーザーのパスワードをローテーション

  16. 16 その他のセキュリティ対策

  17. 17 合わせて読みたい セキュリティ対策 はだいたいここに 全部ある https://dev.classmethod.jp /articles/aws-security-all- in-one-2021/

  18. 18 予防的統制

  19. 19 AWS Security Hubとは • 2つの役割 • AWS上やサードパーティからセキュリティのイベントを 集約 •

    AWS上の危ない設定をチェックして危険がないか知らせ てくれる • 特にセキュリティチェックが強⼒

  20. 20 直感的なスコア表⽰ 達成度が わかりや すい

  21. 21 セキュリティチェック⽅法 • Security Hubはセキュリティチェック運⽤の理想形 • 直感的なスコア表⽰ • 無効化・例外の設定管理 •

    AWSが最新のベストプラクティスを適⽤ • 「AWS の基本的なセキュリティのベストプラクティスコント ロール(AWS Foundational Security Best Practices)」の ルールが優秀 • 現状30リソースタイプ・121種類のチェック • 更新頻度が⾼い(リリースから約1年半で13回更新) • ⾃動修復ソリューション • マルチアカウントの集約

  22. 22 無効化・例外の設定管理 ルール・リソース単位のステータス管理

  23. 23 対応リソースタイプ • ACM • APIGateway • AutoScaling • CloudFront

    • CloudTrail • CodeBuild • Config • DMS • DynamoDB • EC2 • ECS • EFS • ElasticBeanstalk • ELB • ELBv2 • EMR • ES • GuardDuty • IAM • KMS • Lambda • RDS • Redshift • S3 • SageMaker • SecretsManager • SNS • SQS • SSM • WAF

  24. 24 Security Hubの運⽤ポイント • 全AWSアカウント全リージョンで有効化 • 東京リージョンに集約 • 「AWSの基本的なセキュリティのベストプラクティス」 を適⽤する

    • ⾒つかる問題を解決する • 新しい問題が出たら通知する • みんなが⾒える場所に通知してみんなで直す • スコアが⾒えるのでみんなで達成しやすい

  25. 25 合わせて読みたい Security Hubの解 説とどんな⾵に運⽤ したらいいかをまと めています https://dev.classmethod. jp/articles/aws-security- operation-with-

    securityhub-2021/

  26. 26 ⾃動修復ソリューション マルチアカ ウント連携 した修復の 仕組みを展 開できる

  27. 27 発⾒的統制

  28. 28 Amazon GuardDutyとは • 脅威検知サービス • CloudTrail / VPC Flow

    Logs / DNS Logsをバッ クグラウンドで⾃動収集(利⽤者の⼿間なし) • ポチッと有効化するだけ • IAM / EC2 / S3に関するインシデントを検知 • 脅威インテリジェンスと連携 • 機械学習による異常識別

  29. 29 GuardDutyの検知内容(ほんの⼀部) • IAMタイプ • 不正ログイン • 漏洩したクレデンシャル利⽤ • CloudTrail無効化

    • EC2タイプ • コインマイニング • C&Cサーバー接続 • SSHブルートフォース(受信 or 送信) • S3タイプ • バケット公開 • Torアクセス

  30. 30 対応⽅法 GuardDutyのユー ザーガイドに検知 結果毎の対応⽅法 がわかりやすく記 載されている https://docs.aws.amazon.co m/ja_jp/guardduty/latest/u g/guardduty_finding-types-

    active.html

  31. 31 初動対応計画 • 検知結果毎ざっくり3種類準備しておく • IAMタイプ • 認証情報を無効化する • EC2タイプ

    • EC2を隔離、保全、調査する • 調査は得意な会社に依頼できる準備でもいい • S3タイプ • アクセス権限を絞る

  32. 32 IAMタイプの初動対応例 • IAM Userならアクセスキーを無効化・削除 • IAM Roleならセッションの無効化をポチ • CloudTrailで何をされたか調査

  33. 33 EC2タイプの初動対応例 Security Groupを 変更して隔離 (in/out無し) AMIバックアップ取 得 サーバーやストレー ジ調査(できれば、

    プロに任せたほうが いい)

  34. 34 S3タイプの初動対応例 パブリックアクセスブロックする

  35. 35 GuardDutyの運⽤ポイント • 全AWSアカウント全リージョンで有効化 • 通知設定をしてすぐに気付けるようにする • みんなが⾒える場所に通知してみんなで直す • スコアが⾒えるのでみんなで達成しやすい

    • 対応の準備をしておく • ⼿順の整理 • 誰に連絡するのか • 誰が判断するのか

  36. 36 合わせて読みたい GuardDutyの解説と どんな⾵に運⽤した らいいかをまとめて います https://dev.classmethod.jp/articl es/aws-security-operation-with- guardduty-2021/

  37. 37 合わせて読みたい GuardDutyがEKSク ラスターの検知に対 応しました https://dev.classmetho d.jp/articles/guardduty -for-eks-protection/

  38. 38 インシデント調査には Amazon Detectiveもおすすめ

  39. 39 Detectiveのいいところ 内部のグラフDBで関連付けしてくれる

  40. 40 合わせて読みたい 実際の画⾯とともにガッ ツリデモしているブログ 動きを⾒ながらより対応 イメージを⾼めよう https://dev.classmethod.jp/articles/a mazon-detective-investigation-demo/

  41. 41 まとめ

  42. 42 まとめ • 予防的統制と発⾒的統制はどちらも必要 • マネージドなサービスを駆使して簡単に AWSセキュリティの運⽤を開始しよう︕ • やればできる︕

  43. 43