SIEMを用いて、セキュリティログ分析の可視化と分析を実現し、 PDCAサイクルを回してみた

Copyright coconala Inc. All Rights Reserved. SIEMを用いて、セキュリティログ分析の可視化と分析を実現し、 PDCAサイクルを回してみた株式会社ココナラ
川崎雄太

Copyright coconala Inc. All Rights Reserved. 本セッションに関するご質問、ご感想は「#srenext_b」をつけてツイートをお願いします！また、懇親会にも参加しますので、
ぜひ対面でもご質問ください！私のXアカウント（@yuta_k0911）も良かったらフォローしてください！ 2

Copyright coconala Inc. All Rights Reserved. 3 Agenda ココナラで抱えていたセキュリティの課題セキュリティログ分析への取り組み
セキュリティの課題をどのように解決していったか？ SIEM on Amazon OpenSearch Serviceの導入効果今後の取り組み 1 2 3 4 5

Copyright coconala Inc. All Rights Reserved. 発表者紹介 4 川崎雄太　Yuta
Kawasaki 株式会社ココナラシステムプラットフォーム部部長 / Head of Information 2020年　株式会社ココナラ入社プロダクトインフラ・SRE領域と社内情報システム / セキュリティ領域を担当 2023年から技術広報 / エンジニアブランディングの立ち上げにも携わっている

一人ひとりが「自分のストーリー」を生きていく世の中を作る

Copyright coconala Inc. All Rights Reserved. 6 ココナラの事業内容「知識・スキル・経験」を売り買いできるスキルマー
ケット  「ココナラ」 ITフリーランス向け  業務委託案件紹介サービス  「ココナラエージェント」  ビジネス向けに特化した  スキルマーケット  「ココナラビジネス」  一人ひとりにあった弁護士が見つかる検索メディア  「ココナラ法律相談」 

Copyright coconala Inc. All Rights Reserved. ココナラのエンジニア数の変遷 7 事業拡大に合わせて3年で約3倍の組織規模に成長 2020年
2023年フェーズ上場前上場後エンジニア数 20人強 60人強リポジトリ数 45 146

Copyright coconala Inc. All Rights Reserved. 2021年上場前後のセキュリティ課題 9 課題の把握が弱く、どの順番で何をすればよいか？が不明確 •
2021年3月に上場したが、その時点でセキュリティの専門部署がなく、どのようにロードマップを描き、合意形成し、推進していけばよいか不明確。 • セキュリティの課題がリストアップされておらず、「もぐらたたき」で対応をしていた。 • 自己流でログの取得だけは行っていたが、プロアクティブ・リアクティブな活用が出来ていない。 ◦ 今回はここにフォーカス！

Copyright coconala Inc. All Rights Reserved. ココナラでは、どのようにセキュリティ課題へ向き合ったか？ 10 内部脅威・外部脅威に分類し、状況の可視化を実現 ※2021年時点の状況
数字が小さいところが対策できていない箇所＝優先して対応すべき事項。例えば、DDoS攻撃や脆弱性攻撃の対策が不十分だった。

Copyright coconala Inc. All Rights Reserved. セキュリティログ分析とは？ 16 システムのコンディション把握と打ち手の創出をすること •
分析、検知、監査、監視など目的は様々だが、「ある時点のシステムの状態（コンディション）を把握」し、そこから「対応が必要な場合の打ち手を創出する」ことを目的としている。 • システムの規模が多くなればなるほど、ログの量が膨大となるため、分析の仕組みが不可欠となる。

Copyright coconala Inc. All Rights Reserved. 19 ## AWS WAFログのサンプル
{"timestamp":1660500016184,"formatVersion":1,"webaclId":"arn:aws:wafv2:xxxxxxxxxx:x xxxxxxxxxxx:regional/webacl/coconala-xxx-xxx/fxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx","t erminatingRuleId":"Default_Action","terminatingRuleType":"REGULAR","action":"ALLOW ","terminatingRuleMatchDetails":[],"httpSourceName":"ALB","httpSourceId":"xxxxxxxxxxx x-app/coconala-xxxxxxxxx/62e94fe4ea5bbd7d","ruleGroupList": 〜〜中略〜〜 "requestHeadersInserted":null,"responseCodeSent":null,"httpRequest":{"clientIp":"xxx.xx x.xxx.xxx","country":"JP","headers":[{"name":"host","value":"coconala.com"},{"name":"acc ept","value":"application/octet-stream,image/x-icon,image/jpg,image/jpeg,image/png,ima ge/x-win-bitmap,image/ico,image/x-bmp,image/tiff,image/gif,image/bmp,image/x-xbitmap ,binary/octet-stream,image/x-ms-bmp"},{"name":"user-agent","value":"Coconala/x.xx.x (com.coconala.ios.portal; build:x.xx.x; iOS xx.x.x) 〜〜後略〜〜

Copyright coconala Inc. All Rights Reserved. そこで「SIEM on Amazon OpenSearch
Service」の出番。ココナラではアクセス状況や攻撃・インシデントの可視化・予測を行うことを目的として導入した。 22

Copyright coconala Inc. All Rights Reserved. セキュリティの課題をどのように解決していったか？ Chapter 03
23

Copyright coconala Inc. All Rights Reserved. 「餅は餅屋」ということで、ハンズオンを個別に開催してもらう 25 SIEM on
Amazon OpenSearch Serviceの個別ハンズオン実施

Copyright coconala Inc. All Rights Reserved. SIEM on Amazon OpenSearch
Serviceとは？（1/2） 26 AWSサービスのログ可視化やセキュリティ分析を可能にする • SIEMはSecurity Infomation and Event Managementの略であらゆるログの収集と一元管理を行い、相関分析による脅威検出とインシデントレスポンスをサポート。 • オープンソースのOpenSearchとKibanaを用いて、上記を実現している。

Serviceとは？（2/2） 27

Serviceでモニタリングしているもの 28 主には以下の4つ、随時モニタリング可能なものを拡充中 • AWS WAF ⭐ご紹介します！ • Amazon Elastic Load Balancing ⭐ご紹介します！ • Amazon GuardDuty ⭐ご紹介します！ • AWS CloudTrail

Serviceを用いたWAFログのモニタリング（1/4） 30 日次で傾向把握と分析、過去との比較からパターン化 • ココナラは国内を中心にサービスをしているため、国内・海外のIPアドレスによるアクセス状況 / ブロック状況 / エラー発生状況などをモニタリングする。 • アクセス状況を見て、WAFルールの点検などを行い、プロアクティブに攻撃への対策を実施。

Serviceを用いたWAFログのモニタリング（2/4） 31 システム全体のアクセス状況を把握

Serviceを用いたWAFログのモニタリング（3/4） 32 アクセス状況の詳細を把握、分析

Serviceを用いたWAFログのモニタリング（4/4） 33 WAFログ1行1行を人にわかりやすい形で確認

Serviceを用いたELBログのモニタリング（1/3） 34 日次で傾向把握と分析、攻撃の芽を早めに摘む • ココナラでは、4xx系と5xx系のリクエストが30秒あたりに100回を超えた場合に怪しいアクセスが増加したと判断。 • IPアドレスの割り出しやアクセスしているURLを確認し、特に不正なURLへアクセスしていることを確認したら、WAF のIPアドレス拒否リストへ追加する運用を実現。

Serviceを用いたELBログのモニタリング（2/3） 35 HTTPレスポンスコードの状況から攻撃の芽を特定する

Serviceを用いたELBログのモニタリング（3/3） 36 IPアドレス別、国別、UA別、URL別のアクセス状況を分析する

Serviceを用いたGuardDutyのモニタリング（1/3） 37 日次で傾向把握と分析、攻撃の芽を早めに摘む • ココナラでは、脅威発生状況（脅威の種類、IPアドレス別、国別、など）を確認・分析。 • 脅威を行うIPアドレスはHTTPリクエストとしても攻撃を仕掛けてくる可能性があるので、AWS WAF / ELBログの状況と突き合わせを行い、こちらもWAFのIPアドレス拒否リストへ追加する運用を実現。

Serviceを用いたGuardDutyのモニタリング（2/3） 38 リージョン別、時間帯別の脅威状況を分析する

Serviceを用いたGuardDutyのモニタリング（3/3） 39 種類別、IPアドレス別、ロケーション別の脅威状況を分析する

Copyright coconala Inc. All Rights Reserved. SIEMの仕組みとAWS WAF Bot Controlを組み合わせてみた
40 Botのアクセスを深掘りし、悪意を早期発見 BotとBot以外のアクセス状況をリアルタイムに可視化。Botをカテゴライズして、状況を見ることが可能。ココナラでは、Botによるアクセスが増加した場合、攻撃の可能性もあるため、SIEM を確認する運用を実施。

Service の導入効果 Chapter 04 42

Copyright coconala Inc. All Rights Reserved. 日次モニタリング運用を効率的・効果的に実現できた 44 可視化・分析結果を確実にアクションまで落とし込めたモニタリングの結果から、悪意のある
or お行儀の悪いアクセスをしているIPアドレスを30以上捕捉し、拒否リストへ登録した。（累計計1億回以上のアクセスをブロック）また、AWS WAF Bot Controlを並用し、ログイン状況などの事業KPIへの影響を他部門と連携して、適切な値を算出した。

Copyright coconala Inc. All Rights Reserved. 状況が見えることで、アクションが打てるようになった 45 可視化 →
分析 → 改善のサイクルを回せるようになったシステム全体のアクセス状況をダッシュボード化し、ドリルダウンによる分析・異常値のを視覚的な把握によって、セキュリティインシデントの予兆検知と発生後の分析高速化を実現した。その結果、前述の拒否リストのアクションまでつなげることができた。

Copyright coconala Inc. All Rights Reserved. 継続したリファクタリングの実践 47 一度、導入して終わりではなく、継続したリファクタリングを行う •
攻撃は日々進化しているため、防御策も日々チューニング / リファクタリングを行う必要がある。 ◦ ソリューションは「導入する」よりも「導入後の運用」が重要 ◦ 「リアクティブ」だけでなく、「プロアクティブ」な仕掛けが重要

Copyright coconala Inc. All Rights Reserved. 経営層を巻き込んでセキュリティ対策をより推進していく 49 経営層にセキュリティ対策の必要性・効果を理解してもらう •
セキュリティ強化を進めていくためには、経営層の理解が不可欠。 ◦ 「インシデント発生時の対応費」＞「セキュリティ対策費」という構図を理解してもらい、経営層と一緒にセキュリティ対策を進めていく • 予算は限られるので、取捨選択しつつ、効率的・効果的に対策を進めることが重要。

SIEMを用いて、セキュリティログ分析の可視化と分析を実現し、 PDCAサイクルを回してみた

SIEMを用いて、セキュリティログ分析の可視化と分析を実現し、 PDCAサイクルを回してみた

More Decks by coconala_engineer

Other Decks in Technology

Featured

Transcript