Upgrade to Pro — share decks privately, control downloads, hide ads and more …

600アカウントのセキュリティを見る

gassara-kys
November 08, 2021
Technology
0
460

 600アカウントのセキュリティを見る

AWS SecurityRoadshow2021で登壇しました。弊社でのクラウドセキュリティ(特にAWS関連)の運用についての話になります。

資料中に登場するRISKENというツールは今後OSSとして公開予定しています。登壇時点ではコンテナイメージとドキュメントを公開しています(ソースコードの公開は後日予定しています)

RISKENのデモ動画やリポジトリは以下になります。

RISKEN: https://github.com/ca-risken/doc
デモ動画: https://youtu.be/3HbIpBDmSRw
AWS Security Roadshow 2021: https://aws.amazon.com/jp/about-aws/events/2021/securityroadshow/

gassara-kys

November 08, 2021
Tweet

More Decks by gassara-kys

See All by gassara-kys
生成AIをセキュリティ業務に導入した話 / generative-ai for security operations
gassara
0
35
FIRST Annual Conference LT RISKEN / FIRST LT RISKEN
gassara
0
32
クラウドセキュリティとの付き合い方 / wakate.org 2022
gassara
0
70
1000+プロジェクトを超えるサイバーエージェントグループのクラウドセキュリティモニタリング/ cloud-security-monitoring
gassara
1
390

Other Decks in Technology

See All in Technology
アクセス制御にまつわる改善 / Improving access control
itkq
0
530
EMとして2023年度に頑張ったこと / What we did well in FY2023 as a EM
pauli
1
160
ServiceNow Knowledge Learning Rise up
manarobot
0
210
長期運用プロジェクトでのMySQLからTiDB移行の検証
colopl
2
850
日本におけるデータエンジニアリングのこれまでとこれから
foursue
16
4.2k
Tellus の衛星データを見てみよう #mf_fukuoka
kongmingstrap
0
180
MLOpsの「壁」を乗り越える、LINEヤフーの Data Quality as Code
lycorptech_jp
PRO
5
490
DevOpsメトリクスとアウトカムの接続にトライ!開発プロセスを通して計測できるメトリクスの活用方法
ham0215
2
230
Azure Container Apps + Bicep 〜 こんな感じで運用しています
kaz29
2
460
Meta Quest 3 で動く桜マシマシ WebXR アプリを IBM Cloud Code Engine と Babylon.js で作った話
1ftseabass
PRO
0
120
Azure犬駆動開発の記録/GlobalAzureFukuoka2024_20240420
nina01
1
210
私が trocco を推す理由
__allllllllez__
1
210

Featured

See All Featured
Optimizing for Happiness
mojombo
370
69k
Mobile First: as difficult as doing things right
swwweet
216
8.6k
How to Ace a Technical Interview
jacobian
272
22k
What's in a price? How to price your products and services
michaelherold
237
11k
How to Create Impact in a Changing Tech Landscape [PerfNow 2023]
tammyeverts
14
1.6k
Being A Developer After 40
akosma
57
580k
Creating an realtime collaboration tool: Agile Flush - .NET Oxford
marcduiker
14
1.5k
GraphQLの誤解/rethinking-graphql
sonatard
50
9.2k
Learning to Love Humans: Emotional Interface Design
aarron
267
39k
We Have a Design System, Now What?
morganepeng
43
6.7k
Bootstrapping a Software Product
garrettdimon
PRO
302
110k
Atom: Resistance is Futile
akmur
259
25k

Transcript

  1. 600アカウントの セキュリティを見る @AWS Security Roadshow 2021-11-12

  2. こんにちは 小笠原 清志 画像 2017年度 CyberAgent ジョイン System Security 推進

    Group @gassara-kys 娘とフォートナイト(ゲーム)にハマってます @gassara5

  3. お話する内容 • 質問 • 悩み • ツール • まとめ

  4. 質問

  5. Q1 社内のクラウド利用は増えてますか?

  6. Q2 セキュリティ事故や事故につながるヒヤリハッ トの経験はありますか?

  7. Q3 セキュリティ的に問題あるかを確認するの大 変じゃないですか?

  8. Q4 セキュリティ関連のオペレーションって属人 化してません?

  9. Q5 世の中のセキュリティ関連のソリューショ ンって、正直高すぎません?

  10. Q6 クラウドって AWS 以外も, , , ありますよね?

  11. 悩み

  12. ぼくらの課題 • 確認作業がツライ 😢 • 増え続けるクラウド ☁ • 属人化 💪

    • お金かかりすぎ 💸

  13. ソリューション そんな悩みを解決できる(?)ツールを作り ました

  14. ツール

  15. RISKEN

  16. None

  17. さまざまなデータを収集し継続的にセキュリティ評価 • 日々変化する開発環境のデータを収集 • 複数のプラットフォームをモニタリングする ことで問題の確度を高めます ◦ クラウド環境 ◦ ソースコードリポジトリ

    ◦ CI/CD環境

  18. 統一的な基準でスコアリング • 発見した問題はすべてスコアが付きます • スコア化することで優先度の意思決定を助けた り、現在の状態や改善具合の把握が容易になりま す

  19. プロジェクトの一元管理 • 複数のプラットフォームを見てる人には特 におすすめです

  20. IAM ロール一つ用意するだけで開始できます

  21. AWS のモニタリング データソース 区分 概要 Amazon GuardDuty AWS AWS が提供するマネージド型の脅威検知サービスです。

    有料ですが非常にコスパがよくオススメです。 AWS IAM AccessAnalyzer AWS AWS が提供するセキュリティサービスです。Amazon Simple Storage Service (Amazon S3) や Amazon Simple Queue Service (Amazon SQS) などのリソースが外部NWからアクセス可能かを 解析してくれます AdminChecker 独自 リスクの高い IAM ユーザや IAM ロールを解析してくれる独自サービスです CloudSploit OSS aqua securityさんのCloudSploitというオープンソースです。AWS 全体を網羅的に見てくれる CSPMツールです。 Portscan 独自 nmapを用いたポートスキャンをベースにNW境界の問題点を解析するサービスです Activity 独自 AWS ConfigとCloudTrailからリソースの構成変更の履歴やアクティビティのタイムラインを表示 してくれるサービスです

  22. AWS のセキュリティサービスを使い倒す • AWS はセキュリティサービスが充実しています ◦ しかも無料のものがかなり多い! • それらを使いこなすためには少しテクニックとセキュリ ティ知識が必要

    • RISKENはそのあたりを補助します

  23. 例えば情報漏えいにつながる問題を検知したい AWS リソースがインターネットに公開されてることを検知したいというユースケー スってよくありますよね

  24. 例えば情報漏えいにつながる問題を検知したい 運用していると細かいチューニングしたくなるケースも、、、 すぐに見る あとで見る

  25. AWS 以外のモニタリング機能 ソースコード WEBサイト その他のCSP OSINT インターネット情報 サーバ証明書/ドメイ ン

  26. 運用

  27. AWSアカウント 約636+アカウント

  28. RISKENのアーキテクチャ 小規模の Elastic Kubernetes Service (Amazon EKS) クラスタで構築しています

  29. RISKENのアーキテクチャ なるべくマネージドサービスを使って運用を楽に Cognito経由で社内IdPと連携 (ユーザ管理の運用◎) マイクロサービスごとの細かいス ペックチューニング データストアなどステートフルな ものはマネージドに寄せて運用面 や可用性を向上

  30. モニタリング体制 いろんな人を巻き込んでセキュリティを見る Security Cloud Admin Product-A Product-B Product-C

  31. 実績 画像 画像 画像 プロジェクト数 818 ユーザ数 246 Finding総数 515k

  32. 事故る前に防げてます

  33. 目指すべきセキュリティ状態   リスク定義・特定 データ収集・問題検知 修復・対応・リスク受容 自動化 まずはセキュリティの状態を 可視化するところを目指す Tier 1:

    Tier 2: Tier 3: Tier 4:

  34. 他にもいろいろやってます 識別 Identity 防御 Protect 検知 Detect 対応 Respond 復旧

    Recover いいラーニング EDR 脆弱性診断 SIEM on Amazon OpenSearch Service NIST Cyber Security Framework(AWSのホワイトペーパー) IdP (SSO)

  35. まとめ

  36. まとめ • 確認作業がツライ 😢 • 増え続けるクラウド ☁ • 属人化 💪

    • お金かかりすぎ 💸 自動化 ✅ 横展開するだけの状態☀ モデル化してツールに組み 込んだ 🤖 数億円/年→200万円/年 📉

  37. RISKENをOSSとして公開予定です • 弊社社内で利用してるRISKENをOSSとして公開予定です ◦ https://github.com/ca-risken • OSS化の際はTwitter(@gassara5)でつぶやこうと思います (ご質問等ありましたらDMでよろしくお願いします)

  38. ご視聴ありがとうございました