$30 off During Our Annual Pro Sale. View Details »

Product Security Casual Talk #1 - Datadog を使ったセキュリティモニタリングと 自動化の取り組み

mrtc0
July 26, 2023

Product Security Casual Talk #1 - Datadog を使ったセキュリティモニタリングと 自動化の取り組み

mrtc0

July 26, 2023
Tweet

More Decks by mrtc0

Other Decks in Technology

Transcript

  1. Datadog を使ったセキュリティモニタリングと
    自動化の取り組み
    Product Security Casual Talk #1 - 2023/07/26
    株式会社グラファー 森田 浩平

    View Slide

  2. 森田 浩平 / Kohei Morita
    自己紹介
    2018年にGMOペパボ株式会社に新卒入社後,事業部を横断したセキュリ
    ティに取り組む。
    2022年より株式会社グラファーにてプロダクトセキュリティに従事。
    OWASP Fukuoka Chapter Leader,セキュリティ・キャンプ講師,
    著書に「基礎から学ぶコンテナセキュリティ」など。

    View Slide

  3. Graffer Platform
    行政と市民をつなぐ業務プロセス全体をデジタル技術
    で変革し、行政サービスをより便利にしつつ
    業務全体の最適化へ
    現在の事業
    2
    行政サービスのデジタル変革 生成AIの安全な活用促進
    Graffer AI Studio
    企業経営における業務のAI変革
    (AX = AI Transformation)を加速、支援する
    統合サービスプラットフォーム

    View Slide

  4. 市民と行政の接点をデジタルに置き換え、行政手続きの負担をなくす
    4
    ※2023年6月時点の情報です。サービスの提供状況が変更となる場合があります。
    Graffer 手続きガイド
    ~まずは必要な手続きを簡単に検索~
    1
    Graffer スマート申請
    ~オンラインで申請から決済まで完結~
    Graffer 窓口予約
    ~混雑を避けるため、あらかじめ予約をセット~
    Graffer 窓口書類作成
    ~窓口でもデジタルで簡単入力~
    2
    3 4
    選 択 質問に答える 確 認
    Graffer市役所
    入 力 署 名 決 済 申 請
    手続きガイドと連携できる
    「書かない窓口」を実現
    来庁せずに、スマートフォンで手続きが行える
    申請サービス本人確認から決済まですべて手元での実施が可能
    簡単な質問に答えていくだけで、
    自分に必要な手続きや持ち物が分かる手続き案内サービス
    手続きに来庁された市民向けの申請書作成サービス
    窓口への来庁予約を簡便に行えるサービス
    対面で必要な手続きや相談したい場合
    オンラインで
    できるもの
    窓口に
    行った後は
    日時選択 予約情報入力・確認 完了

    View Slide

  5. 企業向け生成AI活用プラットフォーム:Graffer AI Studio
    どんな使い方がされているのか、
    確認したい
    AIの学習による漏洩を避けたい
    LLMの法人利用に対応
    ChatGPTを始めとするLLMを、AIに学習されな
    い環境(オプトアウト)で利用することができ
    ます。利用履歴も可視化、エクスポートができ
    るため、良い使い方の共有や利用が禁止されて
    いる使い方の監視が可能です。
    プロンプトを組織で共有可能
    様々な業務に応用できるプロンプトのテンプ
    レートを用い、クリック操作でプロンプトを簡
    単に作成できます。作成したテンプレートは組
    織で共有することもできるため、個人だけでな
    く組織単位での業務効率改善に役立てることが
    できます。
    プロンプトのアイデアは、組織のナ
    レッジとして活用したい
    どのようなプロンプトを入れれば
    いいのかわからない
    「生成AIを活用し、業務変革を進めたい」という企業の声に対し、誰もが安全に生成AIを利活用するための環境を提供
    必要に応じてモデルを選べる
    1回のチャット毎にGPT-3.5、GPT-4の切り替
    えが可能です。(※GPT-4は8K context)今後
    はChatGPT以外のモデルにも対応し、各モデル
    の利用規約や得意分野の理解、契約を当社が担
    い、企業内で利用できる対応モデルを拡充し利
    活用の幅を広げていきます。
    最新のモデルを使いたい
    4

    View Slide

  6. セキュリティと自動化
    グラファーで取り組んでいる「セキュリティ x 自動化」において、「インフラ / アプリケーションのセキュリティモニタ
    リング」に絞っていくつかの事例を紹介します。
    セキュリティモニタリングのキーポイント
    ● 適切なルール・アラートの設定 … False Positive を最小限にしつつ、インシデントを見逃さない設定
    ● Integration … 様々なログ形式、ソースから関連するログを集約し統合して分析できる環境
    ● AI / 機械学習などの活用 … ルールベースに加えて、パターンや挙動の分析で新規の脅威を検出する
    セキュリティモニタリングの自動化が難しい理由
    ● ルール設計とチューニング … 経験や知識への依存、False Positive の増加
    ● データの多様性 … 異なる形式のログを統合して解析する必要性
    5

    View Slide

  7. セキュリティモニタリングと Datadog
    理由がない限り、あらゆるセキュリティイベントは Datadog へ集約している。柔軟な検索や可視化が容易であること、
    部内全員が一定水準使えるツールであるため。CloudWatch Logs や Athena を使った検索は基本的に使わない。
    AWS
    EKS
    Pod Pod Pod
    App App App ● アプリケーションログ・監査ログ
    ● ファイルアクセス・ネットワークアクセス・
    システムコール呼び出し
    ● コンテナイメージスキャン / EKS 監査ログ
    ● 構成情報 (AWS Config)
    ● アクティビティ・API ログ (CloudTrail)
    ● 脅威検出 (GuardDuty / Access Analyzer)
    ● などなど...
    集約
    セキュリティモニタリングで利用している Datadog の機能
    Logs / Dashboard / Monitor
    Posture Management / Workload Security
    6
    グラファーでのモニタリング活動
    各セキュリティイベントのアラート化 / モニタリング定例

    View Slide

  8. セキュリティモニタリング x 自動化
    セキュリティモニタリングの自動化が難しい理由
    ● ルール設計とチューニング … 経験や知識への依存、False Positive の増加
    ● データの多様性 … 異なる形式のログを統合して解析する必要性
    Datadog を使ったルール設計とチューニング例
    Workload Security と Security Profiles
    コンテナで発生したイベントを学習してイメージの「プロファイ
    ル」を生成してくれる機能。
    過去に記録のないイベントが発生すると「異常」の疑いが強いと
    言える。
    ルールベースによる検知に対する参考情報として活用できる。
    7

    View Slide

  9. セキュリティモニタリング x 自動化
    Datadog を使ったルール設計とチューニング例
    セキュリティモニタリングの自動化が難しい理由
    ● ルール設計とチューニング … 経験や知識への依存、False Positive の増加
    ● データの多様性 … 異なる形式のログを統合して解析する必要性
    不正ログインの Anomaly Detection
    ログインログに evt.outcome などの情報を追加[^1]。
    認証の成否を Metrics として作成することで、Anomaly
    Detection が利用できる[^2]。
    これにより、以前のログイン数と比較して大きく増加していれば
    アラートとして通知できる。
    [^1] … このあたりはプレイドさんの「Datadogを使った不正ログインのモニタリング実装」とい
    うブログ記事が参考になりました。https://tech.plaid.co.jp/datadog-login-monitoring
    [^2] … Anomaly Detection 以外に Application Security Management でも、ルールがあるよう
    です。Cloud SIEM の機能として Anomaly Detection があるのでしょうか...
    8

    View Slide

  10. セキュリティモニタリング x 自動化
    経験・知識依存を減らすための取り組み
    セキュリティモニタリングの自動化が難しい理由
    ● ルール設計とチューニング … 経験や知識への依存、False Positive の増加
    ● データの多様性 … 異なる形式のログを統合して解析する必要性
    Datadog Dashboard を使ったインシデントレスポンス支援
    「誰が何をしようとしているのか」という調査を少しでも簡単に
    するために Playbook として用意。ダッシュボードパラメータに
    トークンの ID やユーザー名などを入力することで、対象のログ
    を絞り込み、影響範囲を特定する。訓練でも使ってみるなど。
    Workflow Automation も利用することで、よりプログラマ
    ティックな調査や自動化された対応が可能。
    e.g.
    ● 該当 IAM アクセスキーや Personal Access Token で呼び出された API を調査
    ● 悪意ある IP アドレスをブロックする設定を AWS WAF に追加
    9

    View Slide