Upgrade to Pro — share decks privately, control downloads, hide ads and more …

第125回 雲勉【オンライン】AWS環境のセキュリティ強化 発見的統制系サービスについて

Avatar for iret.kumoben iret.kumoben
January 18, 2024
Technology
0
170

第125回 雲勉【オンライン】AWS環境のセキュリティ強化 発見的統制系サービスについて

下記、勉強会での資料です。
https://youtu.be/aCyjI5kRNOM

Avatar for iret.kumoben

iret.kumoben

January 18, 2024
Tweet

More Decks by iret.kumoben

See All by iret.kumoben
第177回 雲勉 IdP 移行を楽に! Amazon Cognito でアプリへの影響をゼロにするアイデア
Avatar for iret.kumoben iret
0
16
第176回 雲勉 VPC 間サービス接続を考える!Private Service Connect 入門
Avatar for iret.kumoben iret
0
23
第175回 雲勉 Amazon ECS入門:コンテナ実行の基本を学ぶ
Avatar for iret.kumoben iret
0
36
第174回 雲勉 Google Agentspace × ADK Vertex AI Agent Engineにデプロイしたエージェントを呼び出す
Avatar for iret.kumoben iret
0
49
第173回 雲勉 ノーコードで生成 AI アプリを構築!Google Cloud AI Applications(旧 Vertex AI Agent Builder)入門
Avatar for iret.kumoben iret
0
52
第170回 雲勉 Lyria が切り拓く音楽制作の未来
Avatar for iret.kumoben iret
1
35
第169回 雲勉 AWS WAF 構築 RTA
Avatar for iret.kumoben iret
0
38
第168回 雲勉 JITNAの使い方とハマったポイントについて語る回
Avatar for iret.kumoben iret
0
46
第167回 雲勉 エージェント開発を加速する Agent Development Kit 入門
Avatar for iret.kumoben iret
1
61

Other Decks in Technology

See All in Technology
「Verify with Wallet API」を アプリに導入するために
Avatar for hinakko hinakko
1
230
Azure Well-Architected Framework入門
Avatar for tomokusaba tomokusaba
1
300
関係性が駆動するアジャイル──GPTに人格を与えたら、対話を通してふりかえりを 習慣化できた話
Avatar for リリカル mhlyc
0
130
GopherCon Tour 概略
Avatar for Takuto Nagami logica0419
2
190
フルカイテン株式会社 エンジニア向け採用資料
Avatar for FULL KAITEN fullkaiten
0
9k
神回のメカニズムと再現方法/Mechanisms and Playbook for Kamikai scrumat2025
Avatar for moriyuya moriyuya
4
530
Goにおける 生成AIによるコード生成の ベンチマーク評価入門
Avatar for どすこい daisuketakeda
2
100
SOC2取得の全体像
Avatar for shonansurvivors shonansurvivors
1
380
SwiftUIのGeometryReaderとScrollViewを基礎から応用まで学び直す:設計と活用事例
Avatar for Fumiya Sakai fumiyasac0921
0
140
20201008_ファインディ_品質意識を育てる役目は人かAIか___2_.pdf
Avatar for ファインディ株式会社(イベント資料アップ用) findy_eventslides
0
140
AI ReadyなData PlatformとしてのAutonomous Databaseアップデート
Avatar for oracle4engineer oracle4engineer
PRO
0
180
Green Tea Garbage Collector の今
Avatar for zchee zchee
PRO
2
390

Featured

See All Featured
Producing Creativity
Avatar for Steve Smith orderedlist
PRO
347
40k
"I'm Feeling Lucky" - Building Great Search Experiences for Today's Users (#IAC19)
Avatar for Dan Newman danielanewman
229
22k
The Language of Interfaces
Avatar for Des Traynor destraynor
162
25k
No one is an island. Learnings from fostering a developers community.
Avatar for Antonio thoeni
21
3.5k
Chrome DevTools: State of the Union 2024 - Debugging React & Beyond
Avatar for Addy Osmani addyosmani
7
890
Raft: Consensus for Rubyists
Avatar for Patrick Van Stee vanstee
139
7.1k
Large-scale JavaScript Application Architecture
Avatar for Addy Osmani addyosmani
514
110k
実際に使うSQLの書き方 徹底解説 / pgcon21j-tutorial
Avatar for soudai sone soudai
PRO
188
55k
Performance Is Good for Brains [We Love Speed 2024]
Avatar for Tammy Everts tammyeverts
12
1.2k
Code Review Best Practice
Avatar for Trisha Gee trishagee
72
19k
RailsConf & Balkan Ruby 2019: The Past, Present, and Future of Rails at GitHub
Avatar for Eileen M. Uchitelle eileencodes
140
34k
Typedesign – Prime Four
Avatar for Hannes Fritz hannesfritz
42
2.8k

Transcript

  1. 第125回 雲勉【オンライン】 AWS環境のセキュリティ強化 発⾒的統制系 サービスについて

  2. 0.講師⾃⼰紹介 2 n 名前 ⼤川 雅登(Masato Okawa) • (所属) クラウドインテグレーション事業部

    • (経歴) SIer→SES→CIer • (アイレット歴) 2年11ヶ⽉ • (何か⼀⾔) 資格の更新頑張るぞ。

  3. アジェンダ 3 0.⾃⼰紹介 1.昨今のセキュリティインシデントの状況とこれから 2.AWSの主要なセキュリティサービスについて 3.AWS Configルールを使ってみた 4.終わりに

  4. 本⽇のゴール 4 n 昨今のセキュリティインシデントの状況とこれから • IPAやGartnerの情報から昨今のセキュリティインシデントと今後の展望を概括的に 理解する。 n AWSの主要なセキュリティサービスについて •

    AWSの数あるサービスから主なセキュリティ関連サービスを認知する。 n AWS Configルールを使ってみた • AWS ConfigのProactiveモードとDetectiveモード(⾃動修復機能込み)の紹介から 実際にDetectiveモード(⾃動修復機能込み)を設定してみた。 ※今回の内容は2024年1⽉時点で確認できる情報を元に作成しています。

  5. 1.昨今のセキュリティインシデントの 状況とこれから 5

  6. 1.昨今のセキュリティインシデントの状況とこれから 6 n 引⽤元︓ίϯϐϡʔλ΢Πϧεɾෆਖ਼ΞΫηεͷಧग़ঢ়گʦ2022 ೥ʢ1 ݄ʙ12 ݄ʣʧ ಠཱߦ੓๏ਓ৘ใॲཧਪਐػߏ ηΩϡϦςΟηϯλʔ 2023

    ೥ 2 ݄ 8 ೔ IUUQTXXXJQBHPKQTFDVSJUZUPEPLFEFDSBDLWJSVTVHQOOQBBUUQEG • 不正アクセス届出件数は2020年に急増し、その⽔準でやや上昇傾向にある。

  7. 1.昨今のセキュリティインシデントの状況とこれから 7 n 引⽤元︓ίϯϐϡʔλ΢Πϧεɾෆਖ਼ΞΫηεͷಧग़ঢ়گʦ2022 ೥ʢ1 ݄ʙ12 ݄ʣʧ ಠཱߦ੓๏ਓ৘ใॲཧਪਐػߏ ηΩϡϦςΟηϯλʔ 2023

    ೥ 2 ݄ 8 ೔ IUUQTXXXJQBHPKQTFDVSJUZUPEPLFEFDSBDLWJSVTVHQOOQBBUUQEG • 不正アクセスの原因 1. 古いバージョンの利⽤や修正プログラム・必 要なプラグイン等の未導⼊によるもの 2. 設定の不備(セキュリティ上問題のあるデフォ ルト設定を含む) 3. ID、パスワード管理の不備

  8. 1.昨今のセキュリティインシデントの状況とこれから 8 n 引⽤元︓Is the Cloud Secure? Gartner October 10,

    2019 Contributor: Kasey Panetta https://www.gartner.com/smarterwithgartner/is-the-cloud-secure • パブリッククラウドを利⽤するにあたり、利⽤戦略を設けなければ、環境をコントロール できず、それがセキュリティリスクになりかねる。

  9. 1.昨今のセキュリティインシデントの状況とこれから 9 n 引⽤元︓Is the Cloud Secure? Gartner October 10,

    2019 Contributor: Kasey Panetta https://www.gartner.com/smarterwithgartner/is-the-cloud-secure • クラウドリスクを過⼤評価する傾向から過⼩評価する傾向となっており、利⽤戦略にはリ スク管理を組む必要がある。

  10. 1.昨今のセキュリティインシデントの状況とこれから 10 n 引⽤元︓Is the Cloud Secure? Gartner October 10,

    2019 Contributor: Kasey Panetta https://www.gartner.com/smarterwithgartner/is-the-cloud-secure • クラウド下のセキュリティ障害の99%は設定不備によって⽣じる。

  11. 要するに、セキュリティ設定を きちんとしましょう。 11

  12. 2. AWSの主要なセキュリティサービス について 12

  13. 2.AWSの主要なセキュリティサービスについて 13 n CloudTrail n IAM Access Analyzer n GuardDuty

    n Amazon Detective n Security Hub n AWS Config n etc..

  14. 2.AWSの主要なセキュリティサービスについて 14 n CloudTrail • IAMユーザー、ロール、AWSのサービスによって実⾏されたアクションを記録する。 • 「いつ」「誰れが」「どのAWSサービス、リソースに」「どのような操作を⾏なった か」API操作のイベントログを記録している。 •

    イベントログは「管理イベント」、「データイベント」、「インサイトイベント」の3種 類である。

  15. 2.AWSの主要なセキュリティサービスについて 15 n IAM Access Analyzer • 対象サービスにおいて外部とアクセス可能状態のリソースを検出する。 • 検出結果のステータスは「アクティブ」、「アーカイブ済み」、「解決済み」の3つ。

    • アーカイブルールの設定で検出結果を⾃動的に「アーカイブ済み」にできる。 • 未使⽤のIAMロール、アクションの確認ができる。

  16. 2.AWSの主要なセキュリティサービスについて 16 n GuardDuty • DNSクエリログなどのデータソースを元に悪意あるアクティビティがないか確認し、検出 結果を提供する脅威検出サービス。 • EC2やIAM、S3などが脅威検出確認対象。 •

    脅威は「HIGH」、「MEDIUM」、「LOW」に分類される。

  17. 2.AWSの主要なセキュリティサービスについて 17 n Amazon Detective • セキュリティに関する検出結果や疑わしいアクティビティの原因分析、調査に利⽤でき る。 • CloudTrailやVPC

    flow logs、GuardDutyのデータを収集している。 • 機械学習 (ML)、統計分析、グラフ理論を活⽤しており、セキュリティ調査の視覚化を実 現している。

  18. 2.AWSの主要なセキュリティサービスについて 18 n Security Hub • AWSの環境をセキュリティ観点で包括的に把握できるサービス。 • セキュリティ系サービス(ex.GuardDuty)の検出結果を統合できる。 •

    下記のセキュリティ標準がある。 1. AWS Foundational Security Best Practices (FSBP) 標準 2. Center for Internet Security (CIS) AWS Foundations Benchmark v1.2.0 ͓Αͼ v1.4.0 3. ⽶国国⽴標準技術研究所 (NIST) SP 800-53 Rev. 5 4. Payment Card Industry Data Security Standard (PCI DSS)

  19. 2.AWSの主要なセキュリティサービスについて 19 n AWS Config • AWSリソースの設定変更を継続的に記録する。 • あるべき設定との乖離の検知、修復ができる。 •

    評価モードは「Proactive」と「Detective」がある。

  20. 3. AWS Configルールを使ってみた 20

  21. 3.AWS Configルールを使ってみた 21 n ルールの種類 • マネージドルール_評価内容が事前定義されたルール • カスタムルール_評価内容を⾃前で定義するルール

  22. 3.AWS Configルールを使ってみた 22 n マネージドルールについて • 数はおよそ300個 • 評価モード下記2つ 1.

    Proactive 2. Detective • トリガータイプは下記3つ 1. 設定変更 2. 定期的 3. ハイブリッド

  23. 3.AWS Configルールを使ってみた 23 n 評価モード Proactive NEW ̶ AWS Config

    ルールがプロアクティブなコンプライアンスをサポートする ようになりました 2022年12⽉11⽇ https://aws.amazon.com/jp/blogs/news/new-aws-config-rules-now-support-proactive-compliance/ • 予防的統制が可能となった。 • Proactiveモードで利⽤できるマネージドルールは限られている。(およそ17個) • AWS Config APIを利⽤してリソースがルールを準拠しているかチェックできる。 1. StartResourceEvaluation API 2. GetResourceEvaluationSummary API • 上記APIをCI/CDパイプラインに組み込む。

  24. 3.AWS Configルールを使ってみた 24 n 評価モード Proactive NEW ̶ AWS Config

    ルールがプロアクティブなコンプライアンスをサポートする ようになりました 2022年12⽉11⽇ https://aws.amazon.com/jp/blogs/news/new-aws-config-rules-now-support-proactive-compliance/ • ルール設定時に各評価モードの有効、無効を設定する。

  25. 3.AWS Configルールを使ってみた 25 n 評価モード Proactive NEW ̶ AWS Config

    ルールがプロアクティブなコンプライアンスをサポートする ようになりました 2022年12⽉11⽇ https://aws.amazon.com/jp/blogs/news/new-aws-config-rules-now-support-proactive-compliance/ • StartResourceEvaluation API を実⾏し、ResourceEvaluationIdを取得する。

  26. 3.AWS Configルールを使ってみた 26 n 評価モード Proactive NEW ̶ AWS Config

    ルールがプロアクティブなコンプライアンスをサポートする ようになりました 2022年12⽉11⽇ https://aws.amazon.com/jp/blogs/news/new-aws-config-rules-now-support-proactive-compliance/ • GetResourceEvaluationSummary API を実⾏すると評価結果とルー ルに準拠しているか、 「COMPLIANT」もしくは 「 NON_COMPLIANT 」が出⼒さ れる。

  27. 3.AWS Configルールを使ってみた 27 n 評価モード Detective • 発⾒的統制。 • 利⽤できるマネージドルール数はおよそ300個。

    • ルール⾮準拠時の修復アクションを設定できる。 →マネージドルール「guardduty-enabled-centralized」に修復アクション 「AWSConfigRemediation-CreateGuardDutyDetector」を設定してみる。

  28. 3.AWS Configルールを使ってみた 28 n ⼿順 1. AWS Systems Managerオートメーション⽤IAMロールと実⾏したいオート メーションランブックのアクションを持つIAMポリシーを作成する。

    2. ルールを作成する。 3. 作成したルールの編集で修復を設定する。

  29. 3.AWS Configルールを使ってみた 29 n AWS Systems Managerオートメーション⽤IAMロールと実⾏したいオートメーション ランブックのアクションを持つIAMポリシーを作成する。 1. IAMロールにはssm.amazonaws.comの信頼ポリシーを設定する。arnを控える。

    2. IAMポリシーには下記アクションを付与する。 https://docs.aws.amazon.com/ja_jp/systems-manager-automation-runbooks/latest/userguide/automation-aws-enable-guard-detect.html ・ssm:StartAutomationExecution ・ssm:GetAutomationExecution ・guardduty:CreateDetector ・guardduty:GetDetector

  30. 3.AWS Configルールを使ってみた 30 n ルールを作成し、修復の設定を加える。 1. マネージドルールから「guardduty-enabled- centralized」を選択する。 https://docs.aws.amazon.com/ja_jp/config/latest/developerguide/guardduty-enabled- centralized.html

    2. 作成したルールのアクションから修復の管理を選 び、修復アクションを設定する。 「AWSConfigRemediation- CreateGuardDutyDetector」を選択し、パラ メータには先ほど作成したIAMロールのarnを設 定する。

  31. 3.AWS Configルールを使ってみた 31 • 修復アクションが設定される。現在の設定はマネージドルール準拠状態なので、修復アクション は稼働しない。

  32. 3.AWS Configルールを使ってみた 32 • ルールが⾮準拠を検知すると対象範囲内のリソース欄のステータスに修復アクション実⾏結果 が表⽰される。

  33. 3.AWS Configルールを使ってみた 33 • ちなみに今回利⽤したルールはトリガータイプが定期的なので、⾃動修復アクションで設定が 修復→定期的チェック(ex.24時間)実⾏→ルール⾮準拠から準拠状態となる。

  34. 4.終わりに 34 • セキュリティインシデントの状況とAWSのセキュリティ系サービスについて説明しました。 • AWS Well-Architectedのセキュリティのフレームワーク、とりわけ「検出」項⽬を考慮する にあたり、今回扱ったサービスは全て有⽤なので、導⼊していただく事をお勧めします。 https://wa.aws.amazon.com/wellarchitected/2020-07-02T19-33-23/wat.pillar.security.ja.html#sec.detective