Upgrade to Pro — share decks privately, control downloads, hide ads and more …

第125回 雲勉【オンライン】AWS環境のセキュリティ強化 発見的統制系サービスについて

Avatar for iret.kumoben iret.kumoben
January 18, 2024
Technology
0
160

第125回 雲勉【オンライン】AWS環境のセキュリティ強化 発見的統制系サービスについて

下記、勉強会での資料です。
https://youtu.be/aCyjI5kRNOM

Avatar for iret.kumoben

iret.kumoben

January 18, 2024
Tweet

More Decks by iret.kumoben

See All by iret.kumoben
第173回 雲勉 ノーコードで生成 AI アプリを構築!Google Cloud AI Applications(旧 Vertex AI Agent Builder)入門
Avatar for iret.kumoben iret
0
33
第170回 雲勉 Lyria が切り拓く音楽制作の未来
Avatar for iret.kumoben iret
1
26
第169回 雲勉 AWS WAF 構築 RTA
Avatar for iret.kumoben iret
0
34
第168回 雲勉 JITNAの使い方とハマったポイントについて語る回
Avatar for iret.kumoben iret
0
36
第167回 雲勉 エージェント開発を加速する Agent Development Kit 入門
Avatar for iret.kumoben iret
1
48
第166回 雲勉 コードを読んで理解する AWS Amplify Gen2 Backend
Avatar for iret.kumoben iret
0
45
第165回 雲勉 Google Agentspace について
Avatar for iret.kumoben iret
0
58
第164回 雲勉 Agent Development Kit と MCP Toolbox for Databases で MCP 連携してみた
Avatar for iret.kumoben iret
1
110
第163回 雲勉 CircleCIで複数リポジトリ間のパイプラインを連携する
Avatar for iret.kumoben iret
1
41

Other Decks in Technology

See All in Technology
Android Studio の 新しいAI機能を試してみよう / Try out the new AI features in Android Studio
Avatar for Yuki Anzai yanzm
0
260
モバイルアプリ研修
Avatar for Recruit recruitengineers
PRO
2
220
人と組織に偏重したEMへのアンチテーゼ──なぜ、EMに設計力が必要なのか/An antithesis to the overemphasis of people and organizations in EM
Avatar for Daisuke Sato dskst
5
600
広島発!スタートアップ開発の裏側
Avatar for Sankyo Toshio tsankyo
0
240
R-SCoRe: Revisiting Scene Coordinate Regression for Robust Large-Scale Visual Localization
Avatar for Takuya MINAGAWA takmin
0
430
退屈なことはDevinにやらせよう〜〜Devin APIを使ったVisual Regression Testの自動追加〜
Avatar for ryo kawamataryo
1
120
生成AI利用プログラミング:誰でもプログラムが書けると 世の中どうなる?/opencampus202508
Avatar for Oka Natsuki okana2ki
0
190
RAID6 を楔形文字で組んで現代人を怖がらせましょう(実装編)
Avatar for mimifuwacc mimifuwa
0
300
Postman MCP 関連機能アップデート / Postman MCP feature updates
Avatar for Yoichi Kawasaki yokawasa
0
140
Evolution on AI Agent and Beyond - AGI への道のりと、シンギュラリティの3つのシナリオ
Avatar for Masaya Mori (森正弥) / CAIO (Chief AI Officer) masayamoriofficial
0
170
AIとTDDによるNext.js「隙間ツール」開発の実践
Avatar for Makoto Tateno makotot
5
660
MySQL HeatWave:サービス概要のご紹介
Avatar for oracle4engineer oracle4engineer
PRO
4
1.7k

Featured

See All Featured
Making Projects Easy
Avatar for Brett Harned brettharned
117
6.3k
Scaling GitHub
Avatar for Zach Holman holman
462
140k
Rebuilding a faster, lazier Slack
Avatar for samanthasiow samanthasiow
83
9.1k
Sharpening the Axe: The Primacy of Toolmaking
Avatar for Bryan Cantrill bcantrill
44
2.4k
A Modern Web Designer's Workflow
Avatar for Chris Coyier chriscoyier
695
190k
StorybookのUI Testing Handbookを読んだ
Avatar for Shingo Yamazaki zakiyama
30
6k
RailsConf 2023
Avatar for Aaron Patterson tenderlove
30
1.2k
Unsuck your backbone
Avatar for Amy Palamountain ammeep
671
58k
JavaScript: Past, Present, and Future - NDC Porto 2020
Avatar for David Neal reverentgeek
50
5.5k
Producing Creativity
Avatar for Steve Smith orderedlist
PRO
347
40k
For a Future-Friendly Web
Avatar for Brad Frost brad_frost
179
9.9k
Build The Right Thing And Hit Your Dates
Avatar for Maggie C. maggiecrowley
37
2.8k

Transcript

  1. 第125回 雲勉【オンライン】 AWS環境のセキュリティ強化 発⾒的統制系 サービスについて

  2. 0.講師⾃⼰紹介 2 n 名前 ⼤川 雅登(Masato Okawa) • (所属) クラウドインテグレーション事業部

    • (経歴) SIer→SES→CIer • (アイレット歴) 2年11ヶ⽉ • (何か⼀⾔) 資格の更新頑張るぞ。

  3. アジェンダ 3 0.⾃⼰紹介 1.昨今のセキュリティインシデントの状況とこれから 2.AWSの主要なセキュリティサービスについて 3.AWS Configルールを使ってみた 4.終わりに

  4. 本⽇のゴール 4 n 昨今のセキュリティインシデントの状況とこれから • IPAやGartnerの情報から昨今のセキュリティインシデントと今後の展望を概括的に 理解する。 n AWSの主要なセキュリティサービスについて •

    AWSの数あるサービスから主なセキュリティ関連サービスを認知する。 n AWS Configルールを使ってみた • AWS ConfigのProactiveモードとDetectiveモード(⾃動修復機能込み)の紹介から 実際にDetectiveモード(⾃動修復機能込み)を設定してみた。 ※今回の内容は2024年1⽉時点で確認できる情報を元に作成しています。

  5. 1.昨今のセキュリティインシデントの 状況とこれから 5

  6. 1.昨今のセキュリティインシデントの状況とこれから 6 n 引⽤元︓ίϯϐϡʔλ΢Πϧεɾෆਖ਼ΞΫηεͷಧग़ঢ়گʦ2022 ೥ʢ1 ݄ʙ12 ݄ʣʧ ಠཱߦ੓๏ਓ৘ใॲཧਪਐػߏ ηΩϡϦςΟηϯλʔ 2023

    ೥ 2 ݄ 8 ೔ IUUQTXXXJQBHPKQTFDVSJUZUPEPLFEFDSBDLWJSVTVHQOOQBBUUQEG • 不正アクセス届出件数は2020年に急増し、その⽔準でやや上昇傾向にある。

  7. 1.昨今のセキュリティインシデントの状況とこれから 7 n 引⽤元︓ίϯϐϡʔλ΢Πϧεɾෆਖ਼ΞΫηεͷಧग़ঢ়گʦ2022 ೥ʢ1 ݄ʙ12 ݄ʣʧ ಠཱߦ੓๏ਓ৘ใॲཧਪਐػߏ ηΩϡϦςΟηϯλʔ 2023

    ೥ 2 ݄ 8 ೔ IUUQTXXXJQBHPKQTFDVSJUZUPEPLFEFDSBDLWJSVTVHQOOQBBUUQEG • 不正アクセスの原因 1. 古いバージョンの利⽤や修正プログラム・必 要なプラグイン等の未導⼊によるもの 2. 設定の不備(セキュリティ上問題のあるデフォ ルト設定を含む) 3. ID、パスワード管理の不備

  8. 1.昨今のセキュリティインシデントの状況とこれから 8 n 引⽤元︓Is the Cloud Secure? Gartner October 10,

    2019 Contributor: Kasey Panetta https://www.gartner.com/smarterwithgartner/is-the-cloud-secure • パブリッククラウドを利⽤するにあたり、利⽤戦略を設けなければ、環境をコントロール できず、それがセキュリティリスクになりかねる。

  9. 1.昨今のセキュリティインシデントの状況とこれから 9 n 引⽤元︓Is the Cloud Secure? Gartner October 10,

    2019 Contributor: Kasey Panetta https://www.gartner.com/smarterwithgartner/is-the-cloud-secure • クラウドリスクを過⼤評価する傾向から過⼩評価する傾向となっており、利⽤戦略にはリ スク管理を組む必要がある。

  10. 1.昨今のセキュリティインシデントの状況とこれから 10 n 引⽤元︓Is the Cloud Secure? Gartner October 10,

    2019 Contributor: Kasey Panetta https://www.gartner.com/smarterwithgartner/is-the-cloud-secure • クラウド下のセキュリティ障害の99%は設定不備によって⽣じる。

  11. 要するに、セキュリティ設定を きちんとしましょう。 11

  12. 2. AWSの主要なセキュリティサービス について 12

  13. 2.AWSの主要なセキュリティサービスについて 13 n CloudTrail n IAM Access Analyzer n GuardDuty

    n Amazon Detective n Security Hub n AWS Config n etc..

  14. 2.AWSの主要なセキュリティサービスについて 14 n CloudTrail • IAMユーザー、ロール、AWSのサービスによって実⾏されたアクションを記録する。 • 「いつ」「誰れが」「どのAWSサービス、リソースに」「どのような操作を⾏なった か」API操作のイベントログを記録している。 •

    イベントログは「管理イベント」、「データイベント」、「インサイトイベント」の3種 類である。

  15. 2.AWSの主要なセキュリティサービスについて 15 n IAM Access Analyzer • 対象サービスにおいて外部とアクセス可能状態のリソースを検出する。 • 検出結果のステータスは「アクティブ」、「アーカイブ済み」、「解決済み」の3つ。

    • アーカイブルールの設定で検出結果を⾃動的に「アーカイブ済み」にできる。 • 未使⽤のIAMロール、アクションの確認ができる。

  16. 2.AWSの主要なセキュリティサービスについて 16 n GuardDuty • DNSクエリログなどのデータソースを元に悪意あるアクティビティがないか確認し、検出 結果を提供する脅威検出サービス。 • EC2やIAM、S3などが脅威検出確認対象。 •

    脅威は「HIGH」、「MEDIUM」、「LOW」に分類される。

  17. 2.AWSの主要なセキュリティサービスについて 17 n Amazon Detective • セキュリティに関する検出結果や疑わしいアクティビティの原因分析、調査に利⽤でき る。 • CloudTrailやVPC

    flow logs、GuardDutyのデータを収集している。 • 機械学習 (ML)、統計分析、グラフ理論を活⽤しており、セキュリティ調査の視覚化を実 現している。

  18. 2.AWSの主要なセキュリティサービスについて 18 n Security Hub • AWSの環境をセキュリティ観点で包括的に把握できるサービス。 • セキュリティ系サービス(ex.GuardDuty)の検出結果を統合できる。 •

    下記のセキュリティ標準がある。 1. AWS Foundational Security Best Practices (FSBP) 標準 2. Center for Internet Security (CIS) AWS Foundations Benchmark v1.2.0 ͓Αͼ v1.4.0 3. ⽶国国⽴標準技術研究所 (NIST) SP 800-53 Rev. 5 4. Payment Card Industry Data Security Standard (PCI DSS)

  19. 2.AWSの主要なセキュリティサービスについて 19 n AWS Config • AWSリソースの設定変更を継続的に記録する。 • あるべき設定との乖離の検知、修復ができる。 •

    評価モードは「Proactive」と「Detective」がある。

  20. 3. AWS Configルールを使ってみた 20

  21. 3.AWS Configルールを使ってみた 21 n ルールの種類 • マネージドルール_評価内容が事前定義されたルール • カスタムルール_評価内容を⾃前で定義するルール

  22. 3.AWS Configルールを使ってみた 22 n マネージドルールについて • 数はおよそ300個 • 評価モード下記2つ 1.

    Proactive 2. Detective • トリガータイプは下記3つ 1. 設定変更 2. 定期的 3. ハイブリッド

  23. 3.AWS Configルールを使ってみた 23 n 評価モード Proactive NEW ̶ AWS Config

    ルールがプロアクティブなコンプライアンスをサポートする ようになりました 2022年12⽉11⽇ https://aws.amazon.com/jp/blogs/news/new-aws-config-rules-now-support-proactive-compliance/ • 予防的統制が可能となった。 • Proactiveモードで利⽤できるマネージドルールは限られている。(およそ17個) • AWS Config APIを利⽤してリソースがルールを準拠しているかチェックできる。 1. StartResourceEvaluation API 2. GetResourceEvaluationSummary API • 上記APIをCI/CDパイプラインに組み込む。

  24. 3.AWS Configルールを使ってみた 24 n 評価モード Proactive NEW ̶ AWS Config

    ルールがプロアクティブなコンプライアンスをサポートする ようになりました 2022年12⽉11⽇ https://aws.amazon.com/jp/blogs/news/new-aws-config-rules-now-support-proactive-compliance/ • ルール設定時に各評価モードの有効、無効を設定する。

  25. 3.AWS Configルールを使ってみた 25 n 評価モード Proactive NEW ̶ AWS Config

    ルールがプロアクティブなコンプライアンスをサポートする ようになりました 2022年12⽉11⽇ https://aws.amazon.com/jp/blogs/news/new-aws-config-rules-now-support-proactive-compliance/ • StartResourceEvaluation API を実⾏し、ResourceEvaluationIdを取得する。

  26. 3.AWS Configルールを使ってみた 26 n 評価モード Proactive NEW ̶ AWS Config

    ルールがプロアクティブなコンプライアンスをサポートする ようになりました 2022年12⽉11⽇ https://aws.amazon.com/jp/blogs/news/new-aws-config-rules-now-support-proactive-compliance/ • GetResourceEvaluationSummary API を実⾏すると評価結果とルー ルに準拠しているか、 「COMPLIANT」もしくは 「 NON_COMPLIANT 」が出⼒さ れる。

  27. 3.AWS Configルールを使ってみた 27 n 評価モード Detective • 発⾒的統制。 • 利⽤できるマネージドルール数はおよそ300個。

    • ルール⾮準拠時の修復アクションを設定できる。 →マネージドルール「guardduty-enabled-centralized」に修復アクション 「AWSConfigRemediation-CreateGuardDutyDetector」を設定してみる。

  28. 3.AWS Configルールを使ってみた 28 n ⼿順 1. AWS Systems Managerオートメーション⽤IAMロールと実⾏したいオート メーションランブックのアクションを持つIAMポリシーを作成する。

    2. ルールを作成する。 3. 作成したルールの編集で修復を設定する。

  29. 3.AWS Configルールを使ってみた 29 n AWS Systems Managerオートメーション⽤IAMロールと実⾏したいオートメーション ランブックのアクションを持つIAMポリシーを作成する。 1. IAMロールにはssm.amazonaws.comの信頼ポリシーを設定する。arnを控える。

    2. IAMポリシーには下記アクションを付与する。 https://docs.aws.amazon.com/ja_jp/systems-manager-automation-runbooks/latest/userguide/automation-aws-enable-guard-detect.html ・ssm:StartAutomationExecution ・ssm:GetAutomationExecution ・guardduty:CreateDetector ・guardduty:GetDetector

  30. 3.AWS Configルールを使ってみた 30 n ルールを作成し、修復の設定を加える。 1. マネージドルールから「guardduty-enabled- centralized」を選択する。 https://docs.aws.amazon.com/ja_jp/config/latest/developerguide/guardduty-enabled- centralized.html

    2. 作成したルールのアクションから修復の管理を選 び、修復アクションを設定する。 「AWSConfigRemediation- CreateGuardDutyDetector」を選択し、パラ メータには先ほど作成したIAMロールのarnを設 定する。

  31. 3.AWS Configルールを使ってみた 31 • 修復アクションが設定される。現在の設定はマネージドルール準拠状態なので、修復アクション は稼働しない。

  32. 3.AWS Configルールを使ってみた 32 • ルールが⾮準拠を検知すると対象範囲内のリソース欄のステータスに修復アクション実⾏結果 が表⽰される。

  33. 3.AWS Configルールを使ってみた 33 • ちなみに今回利⽤したルールはトリガータイプが定期的なので、⾃動修復アクションで設定が 修復→定期的チェック(ex.24時間)実⾏→ルール⾮準拠から準拠状態となる。

  34. 4.終わりに 34 • セキュリティインシデントの状況とAWSのセキュリティ系サービスについて説明しました。 • AWS Well-Architectedのセキュリティのフレームワーク、とりわけ「検出」項⽬を考慮する にあたり、今回扱ったサービスは全て有⽤なので、導⼊していただく事をお勧めします。 https://wa.aws.amazon.com/wellarchitected/2020-07-02T19-33-23/wat.pillar.security.ja.html#sec.detective