600アカウントのセキュリティを見る

Transcript

1. 600アカウントの セキュリティを見る @AWS Security Roadshow 2021-11-12

2. こんにちは 小笠原 清志 画像 2017年度 CyberAgent ジョイン System Security 推進

   Group @gassara-kys 娘とフォートナイト（ゲーム）にハマってます @gassara5

3. お話する内容 • 質問 • 悩み • ツール • まとめ

4. 質問

5. Q１ 社内のクラウド利用は増えてますか？

6. Q２ セキュリティ事故や事故につながるヒヤリハッ トの経験はありますか？

7. Q３ セキュリティ的に問題あるかを確認するの大 変じゃないですか？

8. Q４ セキュリティ関連のオペレーションって属人 化してません？

9. Q５ 世の中のセキュリティ関連のソリューショ ンって、正直高すぎません？

10. Q６ クラウドって AWS 以外も, , , ありますよね？

11. 悩み

12. ぼくらの課題 • 確認作業がツライ 😢 • 増え続けるクラウド ☁ • 属人化 💪

    • お金かかりすぎ 💸

13. ソリューション そんな悩みを解決できる（？）ツールを作り ました

14. ツール

15. RISKEN

16. None

17. さまざまなデータを収集し継続的にセキュリティ評価 • 日々変化する開発環境のデータを収集 • 複数のプラットフォームをモニタリングする ことで問題の確度を高めます ◦ クラウド環境 ◦ ソースコードリポジトリ

    ◦ CI/CD環境

18. 統一的な基準でスコアリング • 発見した問題はすべてスコアが付きます • スコア化することで優先度の意思決定を助けた り、現在の状態や改善具合の把握が容易になりま す

19. プロジェクトの一元管理 • 複数のプラットフォームを見てる人には特 におすすめです

20. IAM ロール一つ用意するだけで開始できます

21. AWS のモニタリング データソース 区分 概要 Amazon GuardDuty AWS AWS が提供するマネージド型の脅威検知サービスです。

    有料ですが非常にコスパがよくオススメです。 AWS IAM AccessAnalyzer AWS AWS が提供するセキュリティサービスです。Amazon Simple Storage Service (Amazon S3) や Amazon Simple Queue Service (Amazon SQS) などのリソースが外部NWからアクセス可能かを 解析してくれます AdminChecker 独自 リスクの高い IAM ユーザや IAM ロールを解析してくれる独自サービスです CloudSploit OSS aqua securityさんのCloudSploitというオープンソースです。AWS 全体を網羅的に見てくれる CSPMツールです。 Portscan 独自 nmapを用いたポートスキャンをベースにNW境界の問題点を解析するサービスです Activity 独自 AWS ConfigとCloudTrailからリソースの構成変更の履歴やアクティビティのタイムラインを表示 してくれるサービスです

22. AWS のセキュリティサービスを使い倒す • AWS はセキュリティサービスが充実しています ◦ しかも無料のものがかなり多い！ • それらを使いこなすためには少しテクニックとセキュリ ティ知識が必要

    • RISKENはそのあたりを補助します

23. 例えば情報漏えいにつながる問題を検知したい AWS リソースがインターネットに公開されてることを検知したいというユースケー スってよくありますよね

24. 例えば情報漏えいにつながる問題を検知したい 運用していると細かいチューニングしたくなるケースも、、、 すぐに見る あとで見る

25. AWS 以外のモニタリング機能 ソースコード WEBサイト その他のCSP OSINT インターネット情報 サーバ証明書／ドメイ ン

26. 運用

27. AWSアカウント 約636+アカウント

28. RISKENのアーキテクチャ 小規模の Elastic Kubernetes Service (Amazon EKS) クラスタで構築しています

29. RISKENのアーキテクチャ なるべくマネージドサービスを使って運用を楽に Cognito経由で社内IdPと連携 （ユーザ管理の運用◎） マイクロサービスごとの細かいス ペックチューニング データストアなどステートフルな ものはマネージドに寄せて運用面 や可用性を向上

30. モニタリング体制 いろんな人を巻き込んでセキュリティを見る Security Cloud Admin Product-A Product-B Product-C

31. 実績 画像 画像 画像 プロジェクト数 818 ユーザ数 246 Finding総数 515k

32. 事故る前に防げてます

33. 目指すべきセキュリティ状態 　 リスク定義・特定 データ収集・問題検知 修復・対応・リスク受容 自動化 まずはセキュリティの状態を 可視化するところを目指す Tier 1:

    Tier 2: Tier 3: Tier 4:

34. 他にもいろいろやってます 識別 Identity 防御 Protect 検知 Detect 対応 Respond 復旧

    Recover いいラーニング EDR 脆弱性診断 SIEM on Amazon OpenSearch Service NIST Cyber Security Framework(AWSのホワイトペーパー) IdP （SSO）

35. まとめ

36. まとめ • 確認作業がツライ 😢 • 増え続けるクラウド ☁ • 属人化 💪

    • お金かかりすぎ 💸 自動化 ✅ 横展開するだけの状態☀ モデル化してツールに組み 込んだ 🤖 数億円/年→200万円/年 📉

37. RISKENをOSSとして公開予定です • 弊社社内で利用してるRISKENをOSSとして公開予定です ◦ https://github.com/ca-risken • OSS化の際はTwitter（@gassara5）でつぶやこうと思います （ご質問等ありましたらDMでよろしくお願いします）

38. ご視聴ありがとうございました