セキュリティ監視の内製化 効率とリスク

Transcript

1. ©MIXI セキュリティ監視の内製化 効率とリスク セキュリティ室 セキュリティ技術グループ 軽部 正太

2. 2 ©MIXI 株式会社MIXI 名前 軽部 正太 部署 セキュリティ室 セキュリティ技術グループ 開発本部

   CTO室 SREグループ Vantageスタジオ 事業推進室 仕事 横断的なセキュリティ対策、新規プロジェクト開発 ⾃⼰紹介

3. 3 ©MIXI クラウドセキュリティ監視の内製化について、MIXIでどのように効率化を⾏なってい るかをお話ししつつ、内製化における課題点ついてもお話させていただきます。 内製化を始めてみようという⽅が後で失敗しないように、利点と課題を把握してどの ように進めるかの検討材料になればと思っています。 特に以下の⽅向けの内容になっています。 • 横断的にセキュリティの仕事を⾏っている⼈ ◦

   他部署の資産が監視対象 • クラウドセキュリティ監視専任ではない ◦ 他にも仕事があるので割ける時間が限られる ◦ 効率的に仕事を捌きたい はじめに

4. ©MIXI 監視構成

5. 5 ©MIXI • AWS / Google Cloudをメインとしたセキュリティ監視 ◦ 検知はマネージドのサービスを利用(一部内製でも検知の仕組みを導入） ◦

   設定の不備や侵害の検知がメイン ◦ 特定の設定を出来なくするなどの強制は行っていない • アラートは１日100件~ほど ◦ 内製のシステムによって対応を自動化することで少ない工数で対応できている • 運用体制は2人 ◦ フルで張り付いているわけではなく、業務の一部でアラートを対応 • 内製化のシステムで効率化+監視の強化を⾏なっている 監視体制

6. 6 ©MIXI • Amazon Web Services ◦ 約100アカウント • Google

   Cloud ◦ 4組織 / 100プロジェクト以上 • Microsoft Azure (絶賛構築中) ◦ 10~ ◦ ※監視基盤との連携はこれから 監視アカウント

7. 7 ©MIXI • AWS CloudTrail ◦ 監査ログ • AWS CloudTrail

   Insights ◦ 異常なアクティビティの検出 • Amazon GuardDuty ◦ 脅威検出 • AWS Config / 設定監視ツール ◦ 設定の監視を行う Amazon Web Servicesの監視設定

8. 8 ©MIXI Amazon Web Servicesの監視設定 • Amazon Inspector ◦ 脆弱性管理

   • AWS Security Hub ◦ セキュリティアラートの一元化 • AWS IAM Access Analyzer ◦ AWS IAMに特化した検知やポリシーの作成をしてくれるサービス

9. 9 ©MIXI • Security Command Center ◦ 設定の監視と脅威の検知 • リソース収集ツール

   ◦ Security Command Centerだけでは不十分な所を補っています ◦ Google Cloud上の各種リソースの設定を収集して監視基盤に送っています Google Cloudの監視設定

10. 10 ©MIXI • Defender for Cloud ◦ 設定の監視と脅威の検知 • Azure

    Lighthouse ◦ 他テナント・サブスクリプションのリソース収集 ※ 絶賛構築中なので変わる可能性あります！ Microsoft Azureの監視設定

11. ©MIXI 内製基盤

12. 12 ©MIXI AWS上に構築している、セキュリティ監視の課題を解決し効率化するた めの基盤です。 内製化前の運⽤ではこんな課題がありました。 • 内製化前はアラートをSlackに通知しているだけだった ◦ プロジェクトも多く、それに比例してアラートも大量にあるため管理が かなり辛い

    • 過去の似たような対応を探すのも⾟い • アラートの通知がサービスごとにばらけてる • アラートの調査で時間がかかるので効率的に⾃動でやりたい 内製の監視基盤

13. 13 ©MIXI 先ほどの課題を解決するために内製化では以下のような機能を作成して 効率化を達成しています。 これらの機能によって、1⽇100件を超えるアラートを少ないリソースで 効率的に捌けています。 • アラートのチケット化による管理 • アラートの評価機能

    • アラートに関連する情報の⾃動調査とチケットへのコメント • アラートの⾃動クローズ機能 • 各リソースから独⾃のアラートを作成する機能 • etc… 内製化による課題解決

14. 14 ©MIXI どのように効率化や監視を強化しているか⼀部紹介したいと思います。 アラートのチケット化による管理 各クラウド/各サービスに散らばっているアラートの情報を⼀箇所にまとめてチケット管理 するようにしてしています。（チケットはGithubのIssueを利⽤) 基本的にそこでオープンなチケットを⾒るだけで対応が必要なアラートがわかるように なっています。 対応履歴もそこに残しておくことで、似たようなアラートがあった場合や、同じアラート が再オープンされた際も過去の経緯を確認しながら対応が⾏えます。

    どう効率化しているか？

15. 15 ©MIXI アラートの評価機能 各アラートについて対応が必要ないものをフィルタしたり、優先度を⾼く対応したいア ラートに関しては優先的に対応できるようにするといったことも⾏っています。 これはアラートの中⾝と外部のリソースを紐づけたりなど、柔軟にルールが設定可能と なっています。 最終的に対応や確認が必要なものがチケット化されます。 アラートに関連する情報の⾃動調査とチケットへのコメント チケット化されたアラートに対して、確認に必要な情報を⾃動で調査してコメントする機

    能もあります。 これによって⼿作業で調査していたコストを削減しています。 どう効率化しているか？

16. 16 ©MIXI どう効率化しているか？ アラートの⾃動クローズ機能 アラートのステータスが対応済みと判断できるものについては、対応するチケットを⾃動 でクローズする機能もあります。 これによって毎回⼿動で対応の完了確認を⾏わず、機械的にチケットの対応を完了するこ とができます。 各リソースから独⾃のアラートを作成する機能 効率化というよりは監視の強化になりますが、アラートだけでなく各クラウドのリソース

    を収集しており、そこに危険な設定がないかチェックし、あればアラートと同様にチケッ ト化する仕組みもあります。 これによって、マネージドのサービスだけでは不⾜している部分を 補っています。

17. 17 ©MIXI 監視の構成

18. ©MIXI 内製化の課題点

19. 19 ©MIXI 内製化はメリットもたくさんありますが、それと同時にさまざまな課題も発生しま す。 特に、限られたリソースで内製化を成功させるためには、さまざまな要素を考 慮する必要があります。 そこで、内製化での課題についても見ていき、失敗を避けるためのポイントを 探っていきたいと思います。 内製化における課題

20. 20 ©MIXI 大きなシステムになるほど高いコントロールを実現できるという大きなメリットがありますが、反面リ ソースと時間の投資が必要になり、設計も複雑になってきます。 また、セキュリティに関する知識だけでなく、アプリケーション設計や、可用性を意識したインフラ設 計の知識など、専門的なスキルも求められます。これらを適切に設計できなければ、かえって組織 にとって負担となる可能性があります。 • アップデートしにくい環境 ◦

    毎回複雑な手順が求められて時間がかかる ... • エラーが多発してずっとエラー対応に時間がとられる ... • すぐ落ちるインフラ環境 • アラートが消える/届かない ◦ これは致命的 個⼈的にはいきなり⼤きなものを作らずに、 ⼩規模なものから始めて徐々に拡張していくのがオススメです ① 幅広い知識が必要になってくる

21. 21 ©MIXI 内製化には初期段階での開発や実装にかかるコストだけでなく、システムを運用し続けるためのコ ストが発生します。 これが内製化のリスクのポイントで、内製化を進める際はここを特に意識して進めるのが良いかと 思っています。 現在の監視コスト < 内製化の実装/運⽤コスト＋監視コスト にならないように注意！(効率化の場合)

    運用コストとして考えられるのは例えば以下のようなものがあります。 • アプリケーションのアップデート • サーバー管理 ◦ OSアップデート、脆弱性管理... • 外部システムのアップデート対応 • エラー対応 ◦ アプリケーションエラー、関連システムの障害、 システムのレートリミット... • etc… ②運⽤コスト

22. 22 ©MIXI ③⼈員の流動性 内製化を進める際、担当者に知識が偏りがちになることが課題となります。特に、担当 者が異動や退職した場合、その知識や経験が失われることで、システムの運用が難し くなるリスクがあります。 一般的な対応策として、ドキュメント化や人材の冗長化が挙げられますが、リソースが 限られている状況では、これらの対策を十分に実施することが難しい場合もあります。 場合によっては内製部分は必要最低限にしつつ、マネージドで妥協できる部分は委ね てしまうのも手かと思います。これにより、内製化の柔軟性等のメリットを失う可能性は

    ありますが、長期の安定運用を目指す場合の選択肢としては有効だと思います。

23. ©MIXI まとめ

24. 24 ©MIXI 今回はセキュリティ監視の内製化における実例と共に、課題点についてもお話 させていただきました。 内製化による効率化は自由度が高く、課題に対してピンポイントにアプローチ できる利点があります。 その一方で内製化に伴う課題も無視できません。 組織の体制や皆さんの業務内容に応じて、その最適なバランスを見極める一 助になれば幸いです。 ご清聴ありがとうございました。

    まとめ

25. ©MIXI