Upgrade to Pro — share decks privately, control downloads, hide ads and more …

SIEMを用いて、セキュリティログ分析の可視化と分析を実現し、PDCAサイクルを回してみた

 SIEMを用いて、セキュリティログ分析の可視化と分析を実現し、PDCAサイクルを回してみた

# サマリ
「Cyber-sec+ Meetup vol.2」に登壇した際の資料。
https://cyber-sec-plus.connpass.com/event/301326/

タイトルは「SIEMを用いて、セキュリティログ分析の可視化と分析を実現し、PDCAサイクルを回してみた」。

# 補足
昨今、DDoS 攻撃や不正アクセスなど、攻撃にさらされる機会は少なくありません。 その中でセキュリティ観点でのログ分析の重要性は高く、例えば「インシデント発生時のリアクティブな調査・分析」から「日々の傾向分析〜アクション創出といったプロアクティブな対応」を可能とします。 「ココナラで抱えていたセキュリティの課題」や「どのように SIEM on Amazon OpenSearch Service を導入し、セキュリティログ分析やモニタリングを実現していったか ?」について、具体的な取り組みをご紹介します。

coconala_engineer

December 03, 2023
Tweet

More Decks by coconala_engineer

Other Decks in Technology

Transcript

  1. Copyright coconala Inc. All Rights Reserved.
    SIEMを用いて、セキュリティログ分析の可
    視化と分析を実現し、
    PDCAサイクルを回してみた
    株式会社ココナラ
    川崎 雄太

    View full-size slide

  2. Copyright coconala Inc. All Rights Reserved.
    の登壇内容から、
    カスタマイズしてお話します!
    Xアカウント(@yuta_k0911)も
    ぜひフォローしてください!
    2

    View full-size slide

  3. Copyright coconala Inc. All Rights Reserved.
    3
    Agenda
    ココナラで抱えていたセキュリティの課題
    セキュリティログ分析への取り組み
    セキュリティの課題をどのように解決していったか?
    今後の取り組み
    1
    2
    3
    4

    View full-size slide

  4. Copyright coconala Inc. All Rights Reserved.
    発表者紹介
    4
    川崎 雄太 Yuta Kawasaki
    株式会社ココナラ
    システムプラットフォーム部
    部長 / Head of Information
    2020年 株式会社ココナラ入社
    「システム基盤」を管轄
    2023年から見様見真似でDevRelに着手
    今年の自慢はPR TIMESに3回載ったこと✨

    View full-size slide

  5. Copyright coconala Inc. All Rights Reserved.
    5
    ココナラの事業内容

    View full-size slide

  6. Copyright coconala Inc. All Rights Reserved.
    ココナラで抱えていたセキュリティの課題
    Chapter 01
    6

    View full-size slide

  7. Copyright coconala Inc. All Rights Reserved.
    2021年上場前後のセキュリティ課題
    7
    課題の把握が弱く、どの順番で何をすればよいか?が不明確
    ● 2021年3月の上場時にセキュリティ専門部署がない。
    ● ↑の状況なので、セキュリティの課題がリストアップされてお
    らず、インシデントドリブンの「もぐらたたき」で対応をしてい
    た。
    ● 自己流でログの取得だけは行っていたが、利活用が出
    来ていない。 ★ここにフォーカス!

    View full-size slide

  8. Copyright coconala Inc. All Rights Reserved.
    ココナラでは、どのようにセキュリティ課題へ向き合ったか?
    8
    内部脅威・外部脅威に分類し、状況の可視化を実現
    ※2021年時点の状況
    数字が小さいところが
    対策できていない箇
    所=優先して対応す
    べき事項。
    例えば、DDoS攻撃
    や脆弱性攻撃の対
    策が不十分だった。

    View full-size slide

  9. Copyright coconala Inc. All Rights Reserved.
    セキュリティログ分析への取り組み
    Chapter 02
    9

    View full-size slide

  10. Copyright coconala Inc. All Rights Reserved.
    「セキュリティログ分析」と聞いて、
    何をイメージしますでしょうか?🤔
    私個人の解釈で説明します。
    10

    View full-size slide

  11. Copyright coconala Inc. All Rights Reserved.
    セキュリティログ分析とは?
    11
    システムのコンディション把握と打ち手の創出をすること
    分析、検知、監査、監視など目的は様々だ
    が、「ある時点のシステムの状態(コン
    ディション)を把握」し、そこから「対応
    が必要な場合の打ち手を創出する」こ
    とを目的としている。
    システムの規模が多くなればなるほど、ログの
    量が膨大となるため、分析の仕組みが不
    可欠となる。

    View full-size slide

  12. Copyright coconala Inc. All Rights Reserved.
    では、セキュリティログ分析は
    何が難しいか?🤔
    1.人に読みやすくない😵
    →情報量が多すぎる&相関関係がわかりにくい
    2.ログの量が膨大😵
    →WAFログだけで120GB以上/日
    12

    View full-size slide

  13. Copyright coconala Inc. All Rights Reserved.
    そこで仕組みが必要と考えた🤔
    「SIEM on Amazon OpenSearch
    Service」の出番。
    13

    View full-size slide

  14. Copyright coconala Inc. All Rights Reserved.
    セキュリティの課題を
    どのように解決していったか?
    Chapter 03
    14

    View full-size slide

  15. Copyright coconala Inc. All Rights Reserved.
    「餅は餅屋」ということで、ハンズオンを個別に開催してもらう
    15
    SIEM on Amazon OpenSearch Serviceの個別ハンズオン実施

    View full-size slide

  16. Copyright coconala Inc. All Rights Reserved.
    SIEM on Amazon OpenSearch Serviceとは?
    16

    View full-size slide

  17. Copyright coconala Inc. All Rights Reserved.
    SIEM on Amazon OpenSearch Serviceを用いたWAFログのモニタリング
    17
    日次で傾向把握と分析、過去との比較からパターン化
    ココナラは国内を中心にサービスをしてい
    るため、国内・海外のIPアドレスによる
    アクセス状況 / ブロック状況 / エラー
    発生状況などをモニタリングする。
    アクセス状況を見て、WAFルールの点
    検などを行い、プロアクティブに攻撃
    への対策を実施。

    View full-size slide

  18. Copyright coconala Inc. All Rights Reserved.
    ココナラで実践しているセキュリティモニタリング運用
    18
    毎営業日モニタリングを実施し、アクションを創出する
    毎営業日17:00時
    点の情報で定点確
    認(WAFログ以外
    も含めて、レポート
    作成)
    問題があれば、毎
    営業日18:00に集
    まり、確認・議論
    当日〜翌日以降の
    アクションを決め
    て、チケット化

    View full-size slide

  19. Copyright coconala Inc. All Rights Reserved.
    システム全体の健康状態が一目瞭然になった
    19
    即時の分析とアクションへの転換ができた
    例えば、「リクエスト数の急な増加」が発生し
    た場合にそれが悪意のあるアクセスなの
    かどうか?をダッシュボードを見るだけで
    一目瞭然になった。
    ↑結果から、悪意のある or お行儀の悪い
    アクセスをしているIPアドレスを捕捉し、
    拒否リストへ登録した。(累計1億回以上の
    アクセスをブロック)

    View full-size slide

  20. Copyright coconala Inc. All Rights Reserved.
    今後の取り組み
    Chapter 04
    20

    View full-size slide

  21. Copyright coconala Inc. All Rights Reserved.
    継続したリファクタリングの実践
    21
    一度、導入して終わりではなく、継続したリファクタリングを行う
    攻撃は日々進化しているため、防御策も
    日々チューニング / リファクタリングを行う必
    要がある。
    ・ソリューションは「導入する」よりも「導入
    後の運用」が重要
    ・「リアクティブ」だけでなく、「プロアクティ
    ブ」な仕掛けが重要

    View full-size slide

  22. Copyright coconala Inc. All Rights Reserved.
    経営層を巻き込んでセキュリティ対策をより推進していく
    22
    経営層にセキュリティ対策の必要性・効果を理解してもらう
    セキュリティ強化を進めていくためには、経営層の
    理解が不可欠。
    「インシデント発生時の対応費」 > 「セキュリ
    ティ対策費」という構図を理解してもらい、経営
    層と一緒にセキュリティ対策を進めていく。
    「銀の弾丸」はない。
    予算は限られるので、取捨選択しつつ、効率的・
    効果的に対策を進めることが重要。

    View full-size slide

  23. Copyright coconala Inc. All Rights Reserved.
    セキュリティログの分析👀により、
    サイトの信頼性向上の糸口💡が
    見つかります!!😁
    23

    View full-size slide

  24. Copyright coconala Inc. All Rights Reserved.
    Appendix
    Chapter 06
    25

    View full-size slide

  25. Copyright coconala Inc. All Rights Reserved.
    SIEM on Amazon OpenSearch Serviceのダッシュボードイメージ
    26
    アクセス状況の詳細を把握、分析

    View full-size slide