$30 off During Our Annual Pro Sale. View Details »

Product Security Casual Talk #1 - Datadog を使ったセキュリティモニタリングと 自動化の取り組み

mrtc0
July 26, 2023
Technology
1
240

Product Security Casual Talk #1 - Datadog を使ったセキュリティモニタリングと 自動化の取り組み

https://10x.connpass.com/event/290042/

mrtc0

July 26, 2023
Tweet

More Decks by mrtc0

See All by mrtc0
GMO ペパボ株式会社 23卒・24卒向け セキュリティ勉強会 実践 DevSecOps パイプライン
mrtc0
1
360
実践 DevSecOps パイプライン ~システム開発へのセキュリティの取り入れ方~
mrtc0
2
290
脅威モデリングで考える Kubernetes セキュリティ / CloudNative Days Tokyo 2021 #CNDT2021 #CNDT2021_B
mrtc0
7
2.2k
ProSec-IT 2021 Container Security
mrtc0
2
530
GMO Developer Day 2021 - DevSecOps 推進の取り組みの紹介.pdf
mrtc0
4
1.3k
Web セキュリティ研修 / GMO ペパボ 新卒研修 2021
mrtc0
7
41k
実践コンテナ & Kubernetes セキュリティ
mrtc0
12
3.6k
Introduction to Seccomp
mrtc0
4
8.8k
Kubernetes Security for penetration testers
mrtc0
2
2.4k

Other Decks in Technology

See All in Technology
CPOが開発する覚悟 〜コンパウンドスタートアップにおける、爆速の新規プロダクト開発スタイル〜
mosa_siru
9
6.9k
GPT APIを使ったテキスト生成コンペ@YANS2023に参加した話
naohachi89
2
900
EMのスケールとマネジメントがチームになるということ / Team Building And Scaling Engineering Managers
yoshikiiida
0
150
AutoGenで作るLLM Agen
peisuke
1
350
2023-12-01 吉祥寺.pm ベストプラクティスと組織とIaC
masasuzu
1
390
pmconf 2023 プロダクトと事業を無限にスケールするための最強のロードマップの作り方 / The Greatest Roadmap for Unlimited Scaling your Business and Products
yamamuteki
16
9.8k
AWS re:Invent 2023の期間中に出たコンテナアップデート集
yoshiitaka
3
330
Rest Clientユーザーの自分がPostman の VS Code拡張機能を扱ってみた感想
smt7174
0
150
開発チーム横断タスクフォース 「Goサブ会」の 運用事例と今後の展望
stefafafan
0
130
Garoon 開発チーム / Garoon development team
cybozuinsideout
PRO
0
2.3k
Building smarter apps with machine learning, from magic to reality
picardparis
4
3.7k
ライブラリとの上手な付き合い方
sekido
PRO
0
180

Featured

See All Featured
JavaScript: Past, Present, and Future - NDC Porto 2020
reverentgeek
39
4k
VelocityConf: Rendering Performance Case Studies
addyosmani
319
23k
Creating an realtime collaboration tool: Agile Flush - .NET Oxford
marcduiker
10
1.3k
Robots, Beer and Maslow
schacon
154
7.7k
Building an army of robots
kneath
299
41k
How GitHub Uses GitHub to Build GitHub
holman
467
280k
Embracing the Ebb and Flow
colly
77
3.9k
Designing with Data
zakiwarfel
93
4.6k
Building a Scalable Design System with Sketch
lauravandoore
453
32k
[RailsConf 2023] Rails as a piece of cake
palkan
17
3.2k
Pencils Down: Stop Designing & Start Developing
hursman
115
11k
How STYLIGHT went responsive
nonsquared
89
4.5k

Transcript

  1. Datadog を使ったセキュリティモニタリングと
    自動化の取り組み
    Product Security Casual Talk #1 - 2023/07/26
    株式会社グラファー 森田 浩平

    View Slide

  2. 森田 浩平 / Kohei Morita
    自己紹介
    2018年にGMOペパボ株式会社に新卒入社後,事業部を横断したセキュリ
    ティに取り組む。
    2022年より株式会社グラファーにてプロダクトセキュリティに従事。
    OWASP Fukuoka Chapter Leader,セキュリティ・キャンプ講師,
    著書に「基礎から学ぶコンテナセキュリティ」など。

    View Slide

  3. Graffer Platform
    行政と市民をつなぐ業務プロセス全体をデジタル技術
    で変革し、行政サービスをより便利にしつつ
    業務全体の最適化へ
    現在の事業
    2
    行政サービスのデジタル変革 生成AIの安全な活用促進
    Graffer AI Studio
    企業経営における業務のAI変革
    (AX = AI Transformation)を加速、支援する
    統合サービスプラットフォーム

    View Slide

  4. 市民と行政の接点をデジタルに置き換え、行政手続きの負担をなくす
    4
    ※2023年6月時点の情報です。サービスの提供状況が変更となる場合があります。
    Graffer 手続きガイド
    ~まずは必要な手続きを簡単に検索~
    1
    Graffer スマート申請
    ~オンラインで申請から決済まで完結~
    Graffer 窓口予約
    ~混雑を避けるため、あらかじめ予約をセット~
    Graffer 窓口書類作成
    ~窓口でもデジタルで簡単入力~
    2
    3 4
    選 択 質問に答える 確 認
    Graffer市役所
    入 力 署 名 決 済 申 請
    手続きガイドと連携できる
    「書かない窓口」を実現
    来庁せずに、スマートフォンで手続きが行える
    申請サービス本人確認から決済まですべて手元での実施が可能
    簡単な質問に答えていくだけで、
    自分に必要な手続きや持ち物が分かる手続き案内サービス
    手続きに来庁された市民向けの申請書作成サービス
    窓口への来庁予約を簡便に行えるサービス
    対面で必要な手続きや相談したい場合
    オンラインで
    できるもの
    窓口に
    行った後は
    日時選択 予約情報入力・確認 完了

    View Slide

  5. 企業向け生成AI活用プラットフォーム:Graffer AI Studio
    どんな使い方がされているのか、
    確認したい
    AIの学習による漏洩を避けたい
    LLMの法人利用に対応
    ChatGPTを始めとするLLMを、AIに学習されな
    い環境(オプトアウト)で利用することができ
    ます。利用履歴も可視化、エクスポートができ
    るため、良い使い方の共有や利用が禁止されて
    いる使い方の監視が可能です。
    プロンプトを組織で共有可能
    様々な業務に応用できるプロンプトのテンプ
    レートを用い、クリック操作でプロンプトを簡
    単に作成できます。作成したテンプレートは組
    織で共有することもできるため、個人だけでな
    く組織単位での業務効率改善に役立てることが
    できます。
    プロンプトのアイデアは、組織のナ
    レッジとして活用したい
    どのようなプロンプトを入れれば
    いいのかわからない
    「生成AIを活用し、業務変革を進めたい」という企業の声に対し、誰もが安全に生成AIを利活用するための環境を提供
    必要に応じてモデルを選べる
    1回のチャット毎にGPT-3.5、GPT-4の切り替
    えが可能です。(※GPT-4は8K context)今後
    はChatGPT以外のモデルにも対応し、各モデル
    の利用規約や得意分野の理解、契約を当社が担
    い、企業内で利用できる対応モデルを拡充し利
    活用の幅を広げていきます。
    最新のモデルを使いたい
    4

    View Slide

  6. セキュリティと自動化
    グラファーで取り組んでいる「セキュリティ x 自動化」において、「インフラ / アプリケーションのセキュリティモニタ
    リング」に絞っていくつかの事例を紹介します。
    セキュリティモニタリングのキーポイント
    ● 適切なルール・アラートの設定 … False Positive を最小限にしつつ、インシデントを見逃さない設定
    ● Integration … 様々なログ形式、ソースから関連するログを集約し統合して分析できる環境
    ● AI / 機械学習などの活用 … ルールベースに加えて、パターンや挙動の分析で新規の脅威を検出する
    セキュリティモニタリングの自動化が難しい理由
    ● ルール設計とチューニング … 経験や知識への依存、False Positive の増加
    ● データの多様性 … 異なる形式のログを統合して解析する必要性
    5

    View Slide

  7. セキュリティモニタリングと Datadog
    理由がない限り、あらゆるセキュリティイベントは Datadog へ集約している。柔軟な検索や可視化が容易であること、
    部内全員が一定水準使えるツールであるため。CloudWatch Logs や Athena を使った検索は基本的に使わない。
    AWS
    EKS
    Pod Pod Pod
    App App App ● アプリケーションログ・監査ログ
    ● ファイルアクセス・ネットワークアクセス・
    システムコール呼び出し
    ● コンテナイメージスキャン / EKS 監査ログ
    ● 構成情報 (AWS Config)
    ● アクティビティ・API ログ (CloudTrail)
    ● 脅威検出 (GuardDuty / Access Analyzer)
    ● などなど...
    集約
    セキュリティモニタリングで利用している Datadog の機能
    Logs / Dashboard / Monitor
    Posture Management / Workload Security
    6
    グラファーでのモニタリング活動
    各セキュリティイベントのアラート化 / モニタリング定例

    View Slide

  8. セキュリティモニタリング x 自動化
    セキュリティモニタリングの自動化が難しい理由
    ● ルール設計とチューニング … 経験や知識への依存、False Positive の増加
    ● データの多様性 … 異なる形式のログを統合して解析する必要性
    Datadog を使ったルール設計とチューニング例
    Workload Security と Security Profiles
    コンテナで発生したイベントを学習してイメージの「プロファイ
    ル」を生成してくれる機能。
    過去に記録のないイベントが発生すると「異常」の疑いが強いと
    言える。
    ルールベースによる検知に対する参考情報として活用できる。
    7

    View Slide

  9. セキュリティモニタリング x 自動化
    Datadog を使ったルール設計とチューニング例
    セキュリティモニタリングの自動化が難しい理由
    ● ルール設計とチューニング … 経験や知識への依存、False Positive の増加
    ● データの多様性 … 異なる形式のログを統合して解析する必要性
    不正ログインの Anomaly Detection
    ログインログに evt.outcome などの情報を追加[^1]。
    認証の成否を Metrics として作成することで、Anomaly
    Detection が利用できる[^2]。
    これにより、以前のログイン数と比較して大きく増加していれば
    アラートとして通知できる。
    [^1] … このあたりはプレイドさんの「Datadogを使った不正ログインのモニタリング実装」とい
    うブログ記事が参考になりました。https://tech.plaid.co.jp/datadog-login-monitoring
    [^2] … Anomaly Detection 以外に Application Security Management でも、ルールがあるよう
    です。Cloud SIEM の機能として Anomaly Detection があるのでしょうか...
    8

    View Slide

  10. セキュリティモニタリング x 自動化
    経験・知識依存を減らすための取り組み
    セキュリティモニタリングの自動化が難しい理由
    ● ルール設計とチューニング … 経験や知識への依存、False Positive の増加
    ● データの多様性 … 異なる形式のログを統合して解析する必要性
    Datadog Dashboard を使ったインシデントレスポンス支援
    「誰が何をしようとしているのか」という調査を少しでも簡単に
    するために Playbook として用意。ダッシュボードパラメータに
    トークンの ID やユーザー名などを入力することで、対象のログ
    を絞り込み、影響範囲を特定する。訓練でも使ってみるなど。
    Workflow Automation も利用することで、よりプログラマ
    ティックな調査や自動化された対応が可能。
    e.g.
    ● 該当 IAM アクセスキーや Personal Access Token で呼び出された API を調査
    ● 悪意ある IP アドレスをブロックする設定を AWS WAF に追加
    9

    View Slide