Upgrade to Pro
— share decks privately, control downloads, hide ads and more …
Speaker Deck
Features
Speaker Deck
PRO
Sign in
Sign up for free
Search
Search
第125回 雲勉【オンライン】AWS環境のセキュリティ強化 発見的統制系サービスについて
Search
iret.kumoben
January 18, 2024
Technology
0
130
第125回 雲勉【オンライン】AWS環境のセキュリティ強化 発見的統制系サービスについて
下記、勉強会での資料です。
https://youtu.be/aCyjI5kRNOM
iret.kumoben
January 18, 2024
Tweet
Share
More Decks by iret.kumoben
See All by iret.kumoben
第154回 雲勉 AWS Codeシリーズ盛り上げ隊 ~ Codeシリーズは砕けない ~
iret
0
15
第153回 雲勉 トラシューが秒で終わる新機能 Amazon Q Developer operational investigations
iret
0
45
第150回 雲勉 AWS AppSyncではじめるGraphQL体験
iret
0
41
第151回 雲勉 プロジェクトのドキュメントにおける課題をAmazon Bedrockで解決してみる
iret
0
57
第152回 雲勉 シームレスなマルチリージョンへの移行と検討 ~Amazon EKSとAWS Global Acceleratorを使用した環境〜
iret
0
48
第149回 雲勉 AWS ベストプラクティスの最新と実際 AWS Well-Architected
iret
0
82
第148回 雲勉 Web アプリケーションセキュリティ
iret
0
46
第147回 雲勉 Amazon CloudWatchをウォッチ!
iret
0
58
第146回 雲勉 BLEAを眺めてCDKの書き方について学ぶ
iret
1
70
Other Decks in Technology
See All in Technology
Developer Summit 2025 [14-D-1] Yuki Hattori
yuhattor
19
5.1k
関東Kaggler会LT: 人狼コンペとLLM量子化について
nejumi
3
460
AWSでRAGを実現する上で感じた3つの大事なこと
ymae
3
1k
Platform Engineeringは自由のめまい
nwiizo
4
1.9k
エンジニアの育成を支える爆速フィードバック文化
sansantech
PRO
3
670
バックエンドエンジニアのためのフロントエンド入門 #devsumiC
panda_program
16
6.5k
Ask! NIKKEI RAG検索技術の深層
hotchpotch
13
2.8k
FastConnect の冗長性
ocise
1
9.6k
テストアーキテクチャ設計で実現する高品質で高スピードな開発の実践 / Test Architecture Design in Practice
ropqa
3
710
CZII - CryoET Object Identification 参加振り返り・解法共有
tattaka
0
240
現場の種を事業の芽にする - エンジニア主導のイノベーションを事業戦略に装着する方法 -
kzkmaeda
2
1.5k
室長と気ままに学ぶマイクロソフトのビジネスアプリケーションとビジネスプロセス
ryoheig0405
0
320
Featured
See All Featured
ピンチをチャンスに:未来をつくるプロダクトロードマップ #pmconf2020
aki_iinuma
114
50k
KATA
mclloyd
29
14k
Documentation Writing (for coders)
carmenintech
67
4.6k
Performance Is Good for Brains [We Love Speed 2024]
tammyeverts
7
630
Bootstrapping a Software Product
garrettdimon
PRO
305
110k
StorybookのUI Testing Handbookを読んだ
zakiyama
28
5.5k
RailsConf 2023
tenderlove
29
1k
GraphQLとの向き合い方2022年版
quramy
44
13k
Designing Dashboards & Data Visualisations in Web Apps
destraynor
231
53k
Statistics for Hackers
jakevdp
797
220k
Practical Orchestrator
shlominoach
186
10k
Faster Mobile Websites
deanohume
306
31k
Transcript
第125回 雲勉【オンライン】 AWS環境のセキュリティ強化 発⾒的統制系 サービスについて
0.講師⾃⼰紹介 2 n 名前 ⼤川 雅登(Masato Okawa) • (所属) クラウドインテグレーション事業部
• (経歴) SIer→SES→CIer • (アイレット歴) 2年11ヶ⽉ • (何か⼀⾔) 資格の更新頑張るぞ。
アジェンダ 3 0.⾃⼰紹介 1.昨今のセキュリティインシデントの状況とこれから 2.AWSの主要なセキュリティサービスについて 3.AWS Configルールを使ってみた 4.終わりに
本⽇のゴール 4 n 昨今のセキュリティインシデントの状況とこれから • IPAやGartnerの情報から昨今のセキュリティインシデントと今後の展望を概括的に 理解する。 n AWSの主要なセキュリティサービスについて •
AWSの数あるサービスから主なセキュリティ関連サービスを認知する。 n AWS Configルールを使ってみた • AWS ConfigのProactiveモードとDetectiveモード(⾃動修復機能込み)の紹介から 実際にDetectiveモード(⾃動修復機能込み)を設定してみた。 ※今回の内容は2024年1⽉時点で確認できる情報を元に作成しています。
1.昨今のセキュリティインシデントの 状況とこれから 5
1.昨今のセキュリティインシデントの状況とこれから 6 n 引⽤元︓ίϯϐϡʔλΠϧεɾෆਖ਼ΞΫηεͷಧग़ঢ়گʦ2022 ʢ1 ݄ʙ12 ݄ʣʧ ಠཱߦ๏ਓใॲཧਪਐػߏ ηΩϡϦςΟηϯλʔ 2023
2 ݄ 8 IUUQTXXXJQBHPKQTFDVSJUZUPEPLFEFDSBDLWJSVTVHQOOQBBUUQEG • 不正アクセス届出件数は2020年に急増し、その⽔準でやや上昇傾向にある。
1.昨今のセキュリティインシデントの状況とこれから 7 n 引⽤元︓ίϯϐϡʔλΠϧεɾෆਖ਼ΞΫηεͷಧग़ঢ়گʦ2022 ʢ1 ݄ʙ12 ݄ʣʧ ಠཱߦ๏ਓใॲཧਪਐػߏ ηΩϡϦςΟηϯλʔ 2023
2 ݄ 8 IUUQTXXXJQBHPKQTFDVSJUZUPEPLFEFDSBDLWJSVTVHQOOQBBUUQEG • 不正アクセスの原因 1. 古いバージョンの利⽤や修正プログラム・必 要なプラグイン等の未導⼊によるもの 2. 設定の不備(セキュリティ上問題のあるデフォ ルト設定を含む) 3. ID、パスワード管理の不備
1.昨今のセキュリティインシデントの状況とこれから 8 n 引⽤元︓Is the Cloud Secure? Gartner October 10,
2019 Contributor: Kasey Panetta https://www.gartner.com/smarterwithgartner/is-the-cloud-secure • パブリッククラウドを利⽤するにあたり、利⽤戦略を設けなければ、環境をコントロール できず、それがセキュリティリスクになりかねる。
1.昨今のセキュリティインシデントの状況とこれから 9 n 引⽤元︓Is the Cloud Secure? Gartner October 10,
2019 Contributor: Kasey Panetta https://www.gartner.com/smarterwithgartner/is-the-cloud-secure • クラウドリスクを過⼤評価する傾向から過⼩評価する傾向となっており、利⽤戦略にはリ スク管理を組む必要がある。
1.昨今のセキュリティインシデントの状況とこれから 10 n 引⽤元︓Is the Cloud Secure? Gartner October 10,
2019 Contributor: Kasey Panetta https://www.gartner.com/smarterwithgartner/is-the-cloud-secure • クラウド下のセキュリティ障害の99%は設定不備によって⽣じる。
要するに、セキュリティ設定を きちんとしましょう。 11
2. AWSの主要なセキュリティサービス について 12
2.AWSの主要なセキュリティサービスについて 13 n CloudTrail n IAM Access Analyzer n GuardDuty
n Amazon Detective n Security Hub n AWS Config n etc..
2.AWSの主要なセキュリティサービスについて 14 n CloudTrail • IAMユーザー、ロール、AWSのサービスによって実⾏されたアクションを記録する。 • 「いつ」「誰れが」「どのAWSサービス、リソースに」「どのような操作を⾏なった か」API操作のイベントログを記録している。 •
イベントログは「管理イベント」、「データイベント」、「インサイトイベント」の3種 類である。
2.AWSの主要なセキュリティサービスについて 15 n IAM Access Analyzer • 対象サービスにおいて外部とアクセス可能状態のリソースを検出する。 • 検出結果のステータスは「アクティブ」、「アーカイブ済み」、「解決済み」の3つ。
• アーカイブルールの設定で検出結果を⾃動的に「アーカイブ済み」にできる。 • 未使⽤のIAMロール、アクションの確認ができる。
2.AWSの主要なセキュリティサービスについて 16 n GuardDuty • DNSクエリログなどのデータソースを元に悪意あるアクティビティがないか確認し、検出 結果を提供する脅威検出サービス。 • EC2やIAM、S3などが脅威検出確認対象。 •
脅威は「HIGH」、「MEDIUM」、「LOW」に分類される。
2.AWSの主要なセキュリティサービスについて 17 n Amazon Detective • セキュリティに関する検出結果や疑わしいアクティビティの原因分析、調査に利⽤でき る。 • CloudTrailやVPC
flow logs、GuardDutyのデータを収集している。 • 機械学習 (ML)、統計分析、グラフ理論を活⽤しており、セキュリティ調査の視覚化を実 現している。
2.AWSの主要なセキュリティサービスについて 18 n Security Hub • AWSの環境をセキュリティ観点で包括的に把握できるサービス。 • セキュリティ系サービス(ex.GuardDuty)の検出結果を統合できる。 •
下記のセキュリティ標準がある。 1. AWS Foundational Security Best Practices (FSBP) 標準 2. Center for Internet Security (CIS) AWS Foundations Benchmark v1.2.0 ͓Αͼ v1.4.0 3. ⽶国国⽴標準技術研究所 (NIST) SP 800-53 Rev. 5 4. Payment Card Industry Data Security Standard (PCI DSS)
2.AWSの主要なセキュリティサービスについて 19 n AWS Config • AWSリソースの設定変更を継続的に記録する。 • あるべき設定との乖離の検知、修復ができる。 •
評価モードは「Proactive」と「Detective」がある。
3. AWS Configルールを使ってみた 20
3.AWS Configルールを使ってみた 21 n ルールの種類 • マネージドルール_評価内容が事前定義されたルール • カスタムルール_評価内容を⾃前で定義するルール
3.AWS Configルールを使ってみた 22 n マネージドルールについて • 数はおよそ300個 • 評価モード下記2つ 1.
Proactive 2. Detective • トリガータイプは下記3つ 1. 設定変更 2. 定期的 3. ハイブリッド
3.AWS Configルールを使ってみた 23 n 評価モード Proactive NEW ̶ AWS Config
ルールがプロアクティブなコンプライアンスをサポートする ようになりました 2022年12⽉11⽇ https://aws.amazon.com/jp/blogs/news/new-aws-config-rules-now-support-proactive-compliance/ • 予防的統制が可能となった。 • Proactiveモードで利⽤できるマネージドルールは限られている。(およそ17個) • AWS Config APIを利⽤してリソースがルールを準拠しているかチェックできる。 1. StartResourceEvaluation API 2. GetResourceEvaluationSummary API • 上記APIをCI/CDパイプラインに組み込む。
3.AWS Configルールを使ってみた 24 n 評価モード Proactive NEW ̶ AWS Config
ルールがプロアクティブなコンプライアンスをサポートする ようになりました 2022年12⽉11⽇ https://aws.amazon.com/jp/blogs/news/new-aws-config-rules-now-support-proactive-compliance/ • ルール設定時に各評価モードの有効、無効を設定する。
3.AWS Configルールを使ってみた 25 n 評価モード Proactive NEW ̶ AWS Config
ルールがプロアクティブなコンプライアンスをサポートする ようになりました 2022年12⽉11⽇ https://aws.amazon.com/jp/blogs/news/new-aws-config-rules-now-support-proactive-compliance/ • StartResourceEvaluation API を実⾏し、ResourceEvaluationIdを取得する。
3.AWS Configルールを使ってみた 26 n 評価モード Proactive NEW ̶ AWS Config
ルールがプロアクティブなコンプライアンスをサポートする ようになりました 2022年12⽉11⽇ https://aws.amazon.com/jp/blogs/news/new-aws-config-rules-now-support-proactive-compliance/ • GetResourceEvaluationSummary API を実⾏すると評価結果とルー ルに準拠しているか、 「COMPLIANT」もしくは 「 NON_COMPLIANT 」が出⼒さ れる。
3.AWS Configルールを使ってみた 27 n 評価モード Detective • 発⾒的統制。 • 利⽤できるマネージドルール数はおよそ300個。
• ルール⾮準拠時の修復アクションを設定できる。 →マネージドルール「guardduty-enabled-centralized」に修復アクション 「AWSConfigRemediation-CreateGuardDutyDetector」を設定してみる。
3.AWS Configルールを使ってみた 28 n ⼿順 1. AWS Systems Managerオートメーション⽤IAMロールと実⾏したいオート メーションランブックのアクションを持つIAMポリシーを作成する。
2. ルールを作成する。 3. 作成したルールの編集で修復を設定する。
3.AWS Configルールを使ってみた 29 n AWS Systems Managerオートメーション⽤IAMロールと実⾏したいオートメーション ランブックのアクションを持つIAMポリシーを作成する。 1. IAMロールにはssm.amazonaws.comの信頼ポリシーを設定する。arnを控える。
2. IAMポリシーには下記アクションを付与する。 https://docs.aws.amazon.com/ja_jp/systems-manager-automation-runbooks/latest/userguide/automation-aws-enable-guard-detect.html ・ssm:StartAutomationExecution ・ssm:GetAutomationExecution ・guardduty:CreateDetector ・guardduty:GetDetector
3.AWS Configルールを使ってみた 30 n ルールを作成し、修復の設定を加える。 1. マネージドルールから「guardduty-enabled- centralized」を選択する。 https://docs.aws.amazon.com/ja_jp/config/latest/developerguide/guardduty-enabled- centralized.html
2. 作成したルールのアクションから修復の管理を選 び、修復アクションを設定する。 「AWSConfigRemediation- CreateGuardDutyDetector」を選択し、パラ メータには先ほど作成したIAMロールのarnを設 定する。
3.AWS Configルールを使ってみた 31 • 修復アクションが設定される。現在の設定はマネージドルール準拠状態なので、修復アクション は稼働しない。
3.AWS Configルールを使ってみた 32 • ルールが⾮準拠を検知すると対象範囲内のリソース欄のステータスに修復アクション実⾏結果 が表⽰される。
3.AWS Configルールを使ってみた 33 • ちなみに今回利⽤したルールはトリガータイプが定期的なので、⾃動修復アクションで設定が 修復→定期的チェック(ex.24時間)実⾏→ルール⾮準拠から準拠状態となる。
4.終わりに 34 • セキュリティインシデントの状況とAWSのセキュリティ系サービスについて説明しました。 • AWS Well-Architectedのセキュリティのフレームワーク、とりわけ「検出」項⽬を考慮する にあたり、今回扱ったサービスは全て有⽤なので、導⼊していただく事をお勧めします。 https://wa.aws.amazon.com/wellarchitected/2020-07-02T19-33-23/wat.pillar.security.ja.html#sec.detective