SIEMによるセキュリティログの可視化と分析を通じた信頼性向上プロセスと実践

Transcript

1. Copyright coconala Inc. All Rights Reserved. SIEMによるセキュリティログの可視化と 分析を通じた信頼性向上プロセスと実践 株式会社ココナラ 川崎

   雄太 2025/01/26 SRE Kaigi 2025 ＠中野セントラルパーク カンファレ ンス

2. Copyright coconala Inc. All Rights Reserved. 自己紹介 2 川崎 雄太　Yuta

   Kawasaki @yuta_k0911 株式会社ココナラ Head of Information 🆕 株式会社ココナラテック 執行役員 情報基盤統括本部長 SRE / 情シス / セキュリティ領域のEM SRE NEXT 2025のコアスタッフ

3. Copyright coconala Inc. All Rights Reserved. 3 ココナラの事業内容

4. Copyright coconala Inc. All Rights Reserved. ココナラのエンジニア数の変遷 4 事業拡大に合わせて 4年で約4倍の組織規模に成長

   2020年 2024年 フェーズ 上場前 上場後 エンジニア数 20人強 80人強 リポジトリ数 45 200以上

5. #srenext SRE NEXT 2025 • 日付 ◦ 2025年7月11日(金) - 12日(土)

   • 場所 ◦ TOC有明 • 今回もハイブリッドで開催予定

6. #srenext 有明でお会いしましょう！

7. Copyright coconala Inc. All Rights Reserved. まずは導入として・・・ 2024年の年末はDDoS攻撃による システム障害が多かった ですよね😥

   SREのプラクティス × セキュリティ に ついてお話するので、このセッションが 対策の一助になると嬉しいです！😁 7

8. Copyright coconala Inc. All Rights Reserved. 8 Agenda ココナラで抱えていたセキュリティの課題 セキュリティログ分析へのアプローチ

   セキュリティの課題をどのように解決していったか？ SIEMの導入効果 今後の取り組み 2 1 5 3 4

9. Copyright coconala Inc. All Rights Reserved. ココナラで抱えていたセキュリティの課題 Chapter 01 9

10. Copyright coconala Inc. All Rights Reserved. プロダクトセキュリティ専門組織が不在 10 SREが兼務しているが、施策の優先度は上がりにくい 　プロダクトプラット

    フォームグループ 情報システム グループ インフラ・ SREチーム （5名） CSIRTチーム （2名） CITチーム （4名） - AWSアカウント分離 - IAMロール整備 - 攻撃対策ソリューショ ン導入 - アクセス権限精緻化 - 新デバイス / OS検証 ・導入 - アクセス権限精緻化 ※SREチームがセキュリ ティ業務を兼務している企 業は少なくない！

11. Copyright coconala Inc. All Rights Reserved. そのような状況下でも対応すべきことは結構ある 11 ココナラでは「外部脅威」に対する対策の弱さを感じていた ※2021年時点の情報

    対策度合いを数値で表 し、数値が小さい＝優 先度高と定義。 例えば、この時点では 「DDoS攻撃」や「脆 弱性攻撃」の対策が 弱み。

12. Copyright coconala Inc. All Rights Reserved. アセスメント後、急いで対策を進めた ものの、リアクティブなものばかり…😵 攻撃にさらされる機会は増えており、 何かプロアクティブな対策はないか

    と真剣に考えました🤔 12

13. Copyright coconala Inc. All Rights Reserved. 他社の事例を見たり、ベンダーと 相談して、気づいたことが・・・💡 突然ですが、 「セキュリティログ分析」

    に 取り組んでいますか？🤔 13

14. Copyright coconala Inc. All Rights Reserved. セキュリティログ分析をする ↓ 攻撃の痕跡・予兆を見つける ↓

    プロアクティブな対策を講じる ↓ これって信頼性向上だし、リアクティブを 減らす＝生産性向上では！？ 💪 14

15. Copyright coconala Inc. All Rights Reserved. ということで本日のテーマは セキュリティログの可視化と分析の実 践を通じた信頼性向上。 セキュリティ

    とSRE / DevOpsを 掛け算する ことで、より良いシステム運 用やキャリア形成ができます！😁 15

16. Copyright coconala Inc. All Rights Reserved. セキュリティログ分析へのアプローチ Chapter 02 16

17. Copyright coconala Inc. All Rights Reserved. セキュリティログ分析とは？ 17 システムのコンディション把握と打ち手の創出をすること 分析、検知、監査、監視など目的は様々だ

    が、「ある時点のシステムの状態（コン ディション）を把握」し、そこから「対応 が必要な場合の打ち手を創出する」 ことを目的としている。 システムの規模が大きくなればなるほど、ログ の量が膨大となるため、分析の仕組みが 不可欠となる。

18. Copyright coconala Inc. All Rights Reserved. では、どうやって 「セキュリティログ分析」をするか？🤔 1.人に読みやすくない 😵

    →情報量が多すぎる＆相関関係がわかりにくい 2.ログの量が膨大 😵 →WAFログだけで150GB以上/日 18

19. Copyright coconala Inc. All Rights Reserved. 仕組みが必要なら「SIEM」のツールを使ってみよう！ 19 「SIEM」はセキュリティ領域でのログやイベント管理のこと 以下の3つが目的。

    1. 脅威の早期検出 2. 監査とフォレンジクス 3. コンプライアンス SIEMのツールは複数存在し ており、ココナラは AWS環 境で動作している ため、次 ページの2択で比較を行った。

20. Copyright coconala Inc. All Rights Reserved. SIEMの手段比較 20 無計画に使うとコストがかかるが、容易性の高さで決めた SIEM

    on Amazon OpenSearch Service S3 + Athena メリット 可視化・モニタリングが容易 継続したモニタリング / アラート 発報にも適している コストが比較的安価 特定時点のモニタリングに適し ている デメリット 取り込むデータ量に応じて、コ ストが増加 継続したモニタリングに不向き アラート発報などの作り込みが 必要

21. Copyright coconala Inc. All Rights Reserved. SIEM on Amazon OpenSearch

    Serviceとは？ 21 AWSが提供するログ相関分析・可視化のソリューション

22. Copyright coconala Inc. All Rights Reserved. SIEM on Amazon OpenSearch

    Serviceでモニタリングしているもの 22 主には以下の 4つ、随時モニタリング可能なものを拡充中 • AWS WAF ⭐後ほど紹介します！ • Amazon Elastic Load Balancing ⭐後ほど紹介します！ • Amazon GuardDuty ※Appendix参照 • AWS CloudTrail

23. Copyright coconala Inc. All Rights Reserved. セキュリティの課題をどのように 解決していったか？ Chapter 03

    23

24. Copyright coconala Inc. All Rights Reserved. 「餅は餅屋」ということで、まずはディスカッションから始める 24 AWS社との定例 MTGや個別のハンズオンを開催

25. Copyright coconala Inc. All Rights Reserved. SIEM on Amazon OpenSearch

    Serviceを用いたWAFログのモニタリング（ 1/3） 25 日次で傾向把握と分析、過去との比較からパターン化 ココナラは国内を中心にサービスをしてい るため、国内・海外の IPアドレスによ るアクセス状況 / ブロック状況 / エ ラー発生状況 などをモニタリングする。 アクセス状況を見て、WAFルールの点 検などを行い、プロアクティブに攻撃 への対策を実施。

26. Copyright coconala Inc. All Rights Reserved. SIEM on Amazon OpenSearch

    Serviceを用いたWAFログのモニタリング（ 2/3） 26 システム全体のアクセス状況を把握

27. Copyright coconala Inc. All Rights Reserved. SIEM on Amazon OpenSearch

    Serviceを用いたWAFログのモニタリング（ 3/3） 27 アクセス状況の詳細を把握、分析

28. Copyright coconala Inc. All Rights Reserved. SIEM on Amazon OpenSearch

    Serviceを用いたELBログのモニタリング（ 1/3） 28 日次で傾向把握と分析、攻撃の芽を早めに摘む 4xx系と5xx系のリクエストが 30秒 あたりに100回を超えた場合 に怪し いアクセスが増加したと判断し（アラート 発報）、随時セキュリティログ分析を行う 運用をしている。 特に不正なURLへのアクセスを多数確 認したら、WAFのIPアドレス拒否リス トへ追加する運用を実現。

29. Copyright coconala Inc. All Rights Reserved. SIEM on Amazon OpenSearch

    Serviceを用いたELBログのモニタリング（ 2/3） 29 HTTPレスポンスコードの状況から攻撃の芽を特定する

30. Copyright coconala Inc. All Rights Reserved. SIEM on Amazon OpenSearch

    Serviceを用いたELBログのモニタリング（ 3/3） 30 IPアドレス別、国別、 UA別、URL別のアクセス状況を分析する

31. Copyright coconala Inc. All Rights Reserved. ココナラで実践しているセキュリティモニタリング運用 31 毎営業日モニタリングを実施し、アクションを創出する 毎営業日17:00時

    点の情報で定点確 認（WAFログ以外 も含めて、レポート 作成） 問題があれば、 毎 営業日18:00に集 まり、確認・議論 当日〜翌日以降の アクションを決め て、チケット化 ※↑は定常運用なので、異常が発生した場合は 　アラートを発報し、随時調査しています！

32. Copyright coconala Inc. All Rights Reserved. 実際にセキュリティログ分析をしてみてわかったこと 32 意外と攻撃やお行儀の悪いアクセスは来ている 想像していたよりもお行儀の悪いアクセス

    ・攻撃と思われるアクセスが頻繁に来 ていた。 例えば、◯snbotがとんでもない頻度でアク セス（おそらくスクレイピング）していて、閾値 に引っかかっていた。 怪しいアクセスは「 5xx系」ではなく、 「403」で返せれば止まる（諦める）こと が大多数！

33. Copyright coconala Inc. All Rights Reserved. SIEMの導入効果 Chapter 04 33

34. Copyright coconala Inc. All Rights Reserved. システム全体の健康状態が一目瞭然になった 34 可視化とドリルダウンによる分析が可能になった 例えば、「リクエスト数の急な増

    加」が発生した場合にそれが悪 意のあるアクセスなのかど うか？をダッシュボードを見 るだけで一目瞭然になっ た。 その結果、次のアクションの 意思決定を即座にできるよ うになった。

35. Copyright coconala Inc. All Rights Reserved. SRE組織がセキュリティログ分析 → 信頼性向上へのアプローチができるようになった 35

    可視化 → 分析 → 改善のサイクルを回せるようになった システム全体のアクセス状況をダッシュボード 化し、ドリルダウンによって、セキュリティイン シデントの予兆検知と発生後の分析高速 化を実現した。 その結果、たとえば悪意のある IPアドレス の拒否リスト登録〜定期リファクタリング までつなげることができた。 リクエスト成功率は99.95% → 99.99%以上 を実現。

36. Copyright coconala Inc. All Rights Reserved. SRE組織とセキュリティ組織の協業 36 今まで縦割りだったものが、シナジーを創出できた もともとの目指す方向性は同じだが、手段が

    違う2つの組織の協業を可能にした。 たとえば、以下を実現できた。 ・セキュリティ運用（トイルとなっていたモニタリ ング、アラート運用）をSREが効率化 ・SREの観点になかった攻撃と判断するノウハ ウの共有とそこへの対策オペレーションのスキ ルトランスファー

37. Copyright coconala Inc. All Rights Reserved. 「SRE × セキュリティ」と「セキュリティ ×

    SRE」というキャリアの掛け算 37 複数ロールの経験は強み 複数ロールの掛け算自体が、そもそも希少 性を作り出すことができた。 たとえば、以下を実現できた。 ・SRE：DevSecOpsの実践、SRE領域以外 のトイル削減 / 運用改善 ・セキュリティ：IaCの取り組み、監視改善など のプロアクティブな運用改善 これらは汎用的に使える武器となる。

38. Copyright coconala Inc. All Rights Reserved. 今後の取り組み Chapter 05 38

39. Copyright coconala Inc. All Rights Reserved. 継続したリファクタリングの実践 39 一度、導入して終わりではなく、継続したリファクタリングを行う 攻撃は日々進化しているため、チューニング

    / リファクタリングが必要。（日頃の運用が攻 撃をさせない仕組み） 怪しいアクセスを403で返せれば信頼性は高 まると言えるが、油断はできない。 ・閾値によるモニタリングの脱却 → 機 械学習による異常予測検知 ・AIOpsによる速やかな原因分析 ・・・and more！

40. Copyright coconala Inc. All Rights Reserved. 新たなソリューションへの積極的なアプローチ 40 より良いソリューションを積極的にキャッチアップする セキュリティ対策ソリューションも日々進化し

    ているので、今のアーキテクチャーや運 用が最適解ではなくなるタイミングもい ずれは訪れる。 急にそのタイミングが訪れてあたふたしない ように日々、他社事例の収集や最新ソ リューションの動向を追いかけることが 大事。

41. Copyright coconala Inc. All Rights Reserved. SREはどんどんセキュリティ領域に進出していくべき 41 キャリアの掛け算をより強みとして活かしていく 繰り返しではあるが、「キャリアの掛け算

    ＝ 強み」であることは自明なので、SRE / セ キュリティといった役割・職責の垣根を良 い意味で継続して超えられるようにす る。 その結果、全員が信頼性向上とセキュリ ティ向上の意識改革ができ、改善に向 けて動ければベスト。

42. Copyright coconala Inc. All Rights Reserved. セキュリティはどんどん SRE領域に進出していくべき 42 キャリアの掛け算を〜（大事なことなので

    2回） セキュリティエンジニアは「セキュリティ」を 手段として、信頼性の向上を実現 してい る。 信頼性の向上を実現する手段は複数あるの で、SREと協力したり、より良い関係性を構 築し、「サイトの信頼性を向上する仲間 との信頼性」を高めていくのも大事。

43. Copyright coconala Inc. All Rights Reserved. セキュリティログの分析👀により、 サイトの信頼性向上の糸口💡が 見つかります！！😁 Security

    logs analysis could be a silver bullet…?? The journey of combining a career in SRE and security has only just begun. 43

44. Fin

45. Copyright coconala Inc. All Rights Reserved. Appendix 45

46. Copyright coconala Inc. All Rights Reserved. 46 ## AWS WAFログのサンプル

    {"timestamp":1660500016184,"formatVersion":1,"webaclId":"arn:aws:wafv2:xxxxxxxxxx:x xxxxxxxxxxx:regional/webacl/coconala-xxx-xxx/fxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx","t erminatingRuleId":"Default_Action","terminatingRuleType":"REGULAR","action":"ALLOW ","terminatingRuleMatchDetails":[],"httpSourceName":"ALB","httpSourceId":"xxxxxxxxxxx x-app/coconala-xxxxxxxxx/62e94fe4ea5bbd7d","ruleGroupList": 〜〜中略〜〜 "requestHeadersInserted":null,"responseCodeSent":null,"httpRequest":{"clientIp":"xxx.xx x.xxx.xxx","country":"JP","headers":[{"name":"host","value":"coconala.com"},{"name":"acc ept","value":"application/octet-stream,image/x-icon,image/jpg,image/jpeg,image/png,ima ge/x-win-bitmap,image/ico,image/x-bmp,image/tiff,image/gif,image/bmp,image/x-xbitmap ,binary/octet-stream,image/x-ms-bmp"},{"name":"user-agent","value":"Coconala/x.xx.x (com.coconala.ios.portal; build:x.xx.x; iOS xx.x.x) 〜〜後略〜〜

47. Copyright coconala Inc. All Rights Reserved. SIEM on Amazon OpenSearch

    Serviceを用いたWAFログのモニタリング 47 WAFログ1行1行を人にわかりやすい形で確認

48. Copyright coconala Inc. All Rights Reserved. ココナラのセキュリティ基盤イメージ図（代表的なサービスのみ記載） 48

49. Copyright coconala Inc. All Rights Reserved. SIEMの仕組みとAWS WAF Bot Controlを組み合わせてみた

    49 Botのアクセスを深掘りし、悪意を早期発見 BotとBot以外のアクセス状況 可視化やBotをカテゴライズし て、Block / Countなどの対策 を決めることが可能。 ココナラでは、誤検知・誤遮断 をさけるためにデータを参考 値にして、実態は SIEMを確 認して、判断を行う運用を 実施。

50. Copyright coconala Inc. All Rights Reserved. SIEM on Amazon OpenSearch

    Serviceを用いたGuardDutyのモニタリング（1/3） 50 日次で傾向把握と分析、攻撃の芽を早めに摘む ココナラでは、脅威発生状況（脅威の種 類、IPアドレス別、国別、など）を確認・分 析。 脅威を行うIPアドレスはHTTPリクエストと しても攻撃を仕掛けてくる可能性があるの で、AWS WAF / ELBログの状況と突き合 わせを行い、こちらもWAFのIPアドレス 拒否リストへ追加する運用を実現。

51. Copyright coconala Inc. All Rights Reserved. SIEM on Amazon OpenSearch

    Serviceを用いたGuardDutyのモニタリング（2/3） 51 リージョン別、時間帯別の脅威状況を分析する

52. Copyright coconala Inc. All Rights Reserved. SIEM on Amazon OpenSearch

    Serviceを用いたGuardDutyのモニタリング（3/3） 52 種類別、IPアドレス別、ロケーション別の脅威状況を分析する

53. Copyright coconala Inc. All Rights Reserved. ココナラにおける別観点のセキュリティモニタリング（ 1/2） 53 ログイン試行回数、侵入検知状況などもモニタリング

54. Copyright coconala Inc. All Rights Reserved. ココナラにおける別観点のセキュリティモニタリング（ 2/2） 54 日次モニタリングを待たずに侵入行為や

    WAFブロック状況を検知