Upgrade to Pro
— share decks privately, control downloads, hide ads and more …
Speaker Deck
Features
Speaker Deck
PRO
Sign in
Sign up for free
Search
Search
第125回 雲勉【オンライン】AWS環境のセキュリティ強化 発見的統制系サービスについて
Search
iret.kumoben
January 18, 2024
Technology
0
130
第125回 雲勉【オンライン】AWS環境のセキュリティ強化 発見的統制系サービスについて
下記、勉強会での資料です。
https://youtu.be/aCyjI5kRNOM
iret.kumoben
January 18, 2024
Tweet
Share
More Decks by iret.kumoben
See All by iret.kumoben
第155回 雲勉 サーバレスアーキテクチャを 用いたコスト重視 AI サービス
iret
0
37
第154回 雲勉 AWS Codeシリーズ盛り上げ隊 ~ Codeシリーズは砕けない ~
iret
0
38
第153回 雲勉 トラシューが秒で終わる新機能 Amazon Q Developer operational investigations
iret
0
52
第150回 雲勉 AWS AppSyncではじめるGraphQL体験
iret
0
46
第151回 雲勉 プロジェクトのドキュメントにおける課題をAmazon Bedrockで解決してみる
iret
0
61
第152回 雲勉 シームレスなマルチリージョンへの移行と検討 ~Amazon EKSとAWS Global Acceleratorを使用した環境〜
iret
0
57
第149回 雲勉 AWS ベストプラクティスの最新と実際 AWS Well-Architected
iret
0
89
第148回 雲勉 Web アプリケーションセキュリティ
iret
0
52
第147回 雲勉 Amazon CloudWatchをウォッチ!
iret
0
66
Other Decks in Technology
See All in Technology
Exadata Database Service on Cloud@Customer セキュリティ、ネットワーク、および管理について
oracle4engineer
PRO
2
1.5k
偏光画像処理ライブラリを作った話
elerac
1
170
株式会社Awarefy(アウェアファイ)会社説明資料 / Awarefy-Company-Deck
awarefy
3
11k
Snowflakeの開発・運用コストをApache Icebergで効率化しよう!~機能と活用例のご紹介~
sagara
1
460
IoTシステム開発の複雑さを低減するための統合的アーキテクチャ
kentaro
1
110
php-conference-nagoya-2025
fuwasegu
0
150
Windows の新しい管理者保護モード
murachiakira
0
200
Perlの生きのこり - エンジニアがこの先生きのこるためのカンファレンス2025
kfly8
2
270
エンジニアリング価値を黒字化する バリューベース戦略を用いた 技術戦略策定の道のり
kzkmaeda
6
2.7k
急成長する企業で作った、エンジニアが輝ける制度/ 20250227 Rinto Ikenoue
shift_evolve
0
130
2/18 Making Security Scale: メルカリが考えるセキュリティ戦略 - Coincheck x LayerX x Mercari
jsonf
0
210
設計を積み重ねてシステムを刷新する
sansantech
PRO
0
160
Featured
See All Featured
Put a Button on it: Removing Barriers to Going Fast.
kastner
60
3.7k
Code Reviewing Like a Champion
maltzj
521
39k
Become a Pro
speakerdeck
PRO
26
5.2k
Principles of Awesome APIs and How to Build Them.
keavy
126
17k
Performance Is Good for Brains [We Love Speed 2024]
tammyeverts
7
640
The Psychology of Web Performance [Beyond Tellerrand 2023]
tammyeverts
46
2.3k
A Tale of Four Properties
chriscoyier
158
23k
For a Future-Friendly Web
brad_frost
176
9.6k
Designing Experiences People Love
moore
140
23k
Practical Tips for Bootstrapping Information Extraction Pipelines
honnibal
PRO
12
990
Rails Girls Zürich Keynote
gr2m
94
13k
[RailsConf 2023 Opening Keynote] The Magic of Rails
eileencodes
28
9.3k
Transcript
第125回 雲勉【オンライン】 AWS環境のセキュリティ強化 発⾒的統制系 サービスについて
0.講師⾃⼰紹介 2 n 名前 ⼤川 雅登(Masato Okawa) • (所属) クラウドインテグレーション事業部
• (経歴) SIer→SES→CIer • (アイレット歴) 2年11ヶ⽉ • (何か⼀⾔) 資格の更新頑張るぞ。
アジェンダ 3 0.⾃⼰紹介 1.昨今のセキュリティインシデントの状況とこれから 2.AWSの主要なセキュリティサービスについて 3.AWS Configルールを使ってみた 4.終わりに
本⽇のゴール 4 n 昨今のセキュリティインシデントの状況とこれから • IPAやGartnerの情報から昨今のセキュリティインシデントと今後の展望を概括的に 理解する。 n AWSの主要なセキュリティサービスについて •
AWSの数あるサービスから主なセキュリティ関連サービスを認知する。 n AWS Configルールを使ってみた • AWS ConfigのProactiveモードとDetectiveモード(⾃動修復機能込み)の紹介から 実際にDetectiveモード(⾃動修復機能込み)を設定してみた。 ※今回の内容は2024年1⽉時点で確認できる情報を元に作成しています。
1.昨今のセキュリティインシデントの 状況とこれから 5
1.昨今のセキュリティインシデントの状況とこれから 6 n 引⽤元︓ίϯϐϡʔλΠϧεɾෆਖ਼ΞΫηεͷಧग़ঢ়گʦ2022 ʢ1 ݄ʙ12 ݄ʣʧ ಠཱߦ๏ਓใॲཧਪਐػߏ ηΩϡϦςΟηϯλʔ 2023
2 ݄ 8 IUUQTXXXJQBHPKQTFDVSJUZUPEPLFEFDSBDLWJSVTVHQOOQBBUUQEG • 不正アクセス届出件数は2020年に急増し、その⽔準でやや上昇傾向にある。
1.昨今のセキュリティインシデントの状況とこれから 7 n 引⽤元︓ίϯϐϡʔλΠϧεɾෆਖ਼ΞΫηεͷಧग़ঢ়گʦ2022 ʢ1 ݄ʙ12 ݄ʣʧ ಠཱߦ๏ਓใॲཧਪਐػߏ ηΩϡϦςΟηϯλʔ 2023
2 ݄ 8 IUUQTXXXJQBHPKQTFDVSJUZUPEPLFEFDSBDLWJSVTVHQOOQBBUUQEG • 不正アクセスの原因 1. 古いバージョンの利⽤や修正プログラム・必 要なプラグイン等の未導⼊によるもの 2. 設定の不備(セキュリティ上問題のあるデフォ ルト設定を含む) 3. ID、パスワード管理の不備
1.昨今のセキュリティインシデントの状況とこれから 8 n 引⽤元︓Is the Cloud Secure? Gartner October 10,
2019 Contributor: Kasey Panetta https://www.gartner.com/smarterwithgartner/is-the-cloud-secure • パブリッククラウドを利⽤するにあたり、利⽤戦略を設けなければ、環境をコントロール できず、それがセキュリティリスクになりかねる。
1.昨今のセキュリティインシデントの状況とこれから 9 n 引⽤元︓Is the Cloud Secure? Gartner October 10,
2019 Contributor: Kasey Panetta https://www.gartner.com/smarterwithgartner/is-the-cloud-secure • クラウドリスクを過⼤評価する傾向から過⼩評価する傾向となっており、利⽤戦略にはリ スク管理を組む必要がある。
1.昨今のセキュリティインシデントの状況とこれから 10 n 引⽤元︓Is the Cloud Secure? Gartner October 10,
2019 Contributor: Kasey Panetta https://www.gartner.com/smarterwithgartner/is-the-cloud-secure • クラウド下のセキュリティ障害の99%は設定不備によって⽣じる。
要するに、セキュリティ設定を きちんとしましょう。 11
2. AWSの主要なセキュリティサービス について 12
2.AWSの主要なセキュリティサービスについて 13 n CloudTrail n IAM Access Analyzer n GuardDuty
n Amazon Detective n Security Hub n AWS Config n etc..
2.AWSの主要なセキュリティサービスについて 14 n CloudTrail • IAMユーザー、ロール、AWSのサービスによって実⾏されたアクションを記録する。 • 「いつ」「誰れが」「どのAWSサービス、リソースに」「どのような操作を⾏なった か」API操作のイベントログを記録している。 •
イベントログは「管理イベント」、「データイベント」、「インサイトイベント」の3種 類である。
2.AWSの主要なセキュリティサービスについて 15 n IAM Access Analyzer • 対象サービスにおいて外部とアクセス可能状態のリソースを検出する。 • 検出結果のステータスは「アクティブ」、「アーカイブ済み」、「解決済み」の3つ。
• アーカイブルールの設定で検出結果を⾃動的に「アーカイブ済み」にできる。 • 未使⽤のIAMロール、アクションの確認ができる。
2.AWSの主要なセキュリティサービスについて 16 n GuardDuty • DNSクエリログなどのデータソースを元に悪意あるアクティビティがないか確認し、検出 結果を提供する脅威検出サービス。 • EC2やIAM、S3などが脅威検出確認対象。 •
脅威は「HIGH」、「MEDIUM」、「LOW」に分類される。
2.AWSの主要なセキュリティサービスについて 17 n Amazon Detective • セキュリティに関する検出結果や疑わしいアクティビティの原因分析、調査に利⽤でき る。 • CloudTrailやVPC
flow logs、GuardDutyのデータを収集している。 • 機械学習 (ML)、統計分析、グラフ理論を活⽤しており、セキュリティ調査の視覚化を実 現している。
2.AWSの主要なセキュリティサービスについて 18 n Security Hub • AWSの環境をセキュリティ観点で包括的に把握できるサービス。 • セキュリティ系サービス(ex.GuardDuty)の検出結果を統合できる。 •
下記のセキュリティ標準がある。 1. AWS Foundational Security Best Practices (FSBP) 標準 2. Center for Internet Security (CIS) AWS Foundations Benchmark v1.2.0 ͓Αͼ v1.4.0 3. ⽶国国⽴標準技術研究所 (NIST) SP 800-53 Rev. 5 4. Payment Card Industry Data Security Standard (PCI DSS)
2.AWSの主要なセキュリティサービスについて 19 n AWS Config • AWSリソースの設定変更を継続的に記録する。 • あるべき設定との乖離の検知、修復ができる。 •
評価モードは「Proactive」と「Detective」がある。
3. AWS Configルールを使ってみた 20
3.AWS Configルールを使ってみた 21 n ルールの種類 • マネージドルール_評価内容が事前定義されたルール • カスタムルール_評価内容を⾃前で定義するルール
3.AWS Configルールを使ってみた 22 n マネージドルールについて • 数はおよそ300個 • 評価モード下記2つ 1.
Proactive 2. Detective • トリガータイプは下記3つ 1. 設定変更 2. 定期的 3. ハイブリッド
3.AWS Configルールを使ってみた 23 n 評価モード Proactive NEW ̶ AWS Config
ルールがプロアクティブなコンプライアンスをサポートする ようになりました 2022年12⽉11⽇ https://aws.amazon.com/jp/blogs/news/new-aws-config-rules-now-support-proactive-compliance/ • 予防的統制が可能となった。 • Proactiveモードで利⽤できるマネージドルールは限られている。(およそ17個) • AWS Config APIを利⽤してリソースがルールを準拠しているかチェックできる。 1. StartResourceEvaluation API 2. GetResourceEvaluationSummary API • 上記APIをCI/CDパイプラインに組み込む。
3.AWS Configルールを使ってみた 24 n 評価モード Proactive NEW ̶ AWS Config
ルールがプロアクティブなコンプライアンスをサポートする ようになりました 2022年12⽉11⽇ https://aws.amazon.com/jp/blogs/news/new-aws-config-rules-now-support-proactive-compliance/ • ルール設定時に各評価モードの有効、無効を設定する。
3.AWS Configルールを使ってみた 25 n 評価モード Proactive NEW ̶ AWS Config
ルールがプロアクティブなコンプライアンスをサポートする ようになりました 2022年12⽉11⽇ https://aws.amazon.com/jp/blogs/news/new-aws-config-rules-now-support-proactive-compliance/ • StartResourceEvaluation API を実⾏し、ResourceEvaluationIdを取得する。
3.AWS Configルールを使ってみた 26 n 評価モード Proactive NEW ̶ AWS Config
ルールがプロアクティブなコンプライアンスをサポートする ようになりました 2022年12⽉11⽇ https://aws.amazon.com/jp/blogs/news/new-aws-config-rules-now-support-proactive-compliance/ • GetResourceEvaluationSummary API を実⾏すると評価結果とルー ルに準拠しているか、 「COMPLIANT」もしくは 「 NON_COMPLIANT 」が出⼒さ れる。
3.AWS Configルールを使ってみた 27 n 評価モード Detective • 発⾒的統制。 • 利⽤できるマネージドルール数はおよそ300個。
• ルール⾮準拠時の修復アクションを設定できる。 →マネージドルール「guardduty-enabled-centralized」に修復アクション 「AWSConfigRemediation-CreateGuardDutyDetector」を設定してみる。
3.AWS Configルールを使ってみた 28 n ⼿順 1. AWS Systems Managerオートメーション⽤IAMロールと実⾏したいオート メーションランブックのアクションを持つIAMポリシーを作成する。
2. ルールを作成する。 3. 作成したルールの編集で修復を設定する。
3.AWS Configルールを使ってみた 29 n AWS Systems Managerオートメーション⽤IAMロールと実⾏したいオートメーション ランブックのアクションを持つIAMポリシーを作成する。 1. IAMロールにはssm.amazonaws.comの信頼ポリシーを設定する。arnを控える。
2. IAMポリシーには下記アクションを付与する。 https://docs.aws.amazon.com/ja_jp/systems-manager-automation-runbooks/latest/userguide/automation-aws-enable-guard-detect.html ・ssm:StartAutomationExecution ・ssm:GetAutomationExecution ・guardduty:CreateDetector ・guardduty:GetDetector
3.AWS Configルールを使ってみた 30 n ルールを作成し、修復の設定を加える。 1. マネージドルールから「guardduty-enabled- centralized」を選択する。 https://docs.aws.amazon.com/ja_jp/config/latest/developerguide/guardduty-enabled- centralized.html
2. 作成したルールのアクションから修復の管理を選 び、修復アクションを設定する。 「AWSConfigRemediation- CreateGuardDutyDetector」を選択し、パラ メータには先ほど作成したIAMロールのarnを設 定する。
3.AWS Configルールを使ってみた 31 • 修復アクションが設定される。現在の設定はマネージドルール準拠状態なので、修復アクション は稼働しない。
3.AWS Configルールを使ってみた 32 • ルールが⾮準拠を検知すると対象範囲内のリソース欄のステータスに修復アクション実⾏結果 が表⽰される。
3.AWS Configルールを使ってみた 33 • ちなみに今回利⽤したルールはトリガータイプが定期的なので、⾃動修復アクションで設定が 修復→定期的チェック(ex.24時間)実⾏→ルール⾮準拠から準拠状態となる。
4.終わりに 34 • セキュリティインシデントの状況とAWSのセキュリティ系サービスについて説明しました。 • AWS Well-Architectedのセキュリティのフレームワーク、とりわけ「検出」項⽬を考慮する にあたり、今回扱ったサービスは全て有⽤なので、導⼊していただく事をお勧めします。 https://wa.aws.amazon.com/wellarchitected/2020-07-02T19-33-23/wat.pillar.security.ja.html#sec.detective