Upgrade to Pro
— share decks privately, control downloads, hide ads and more …
Speaker Deck
Features
Speaker Deck
PRO
Sign in
Sign up for free
Search
Search
防衛への一歩!AWSアカウントを不正利用から守るための必須防止対策ナビ
Search
松波 花奈
July 07, 2023
Business
1
4.8k
防衛への一歩!AWSアカウントを不正利用から守るための必須防止対策ナビ
松波 花奈
July 07, 2023
Tweet
Share
More Decks by 松波 花奈
See All by 松波 花奈
どこから始める?AWSセキュリティ成熟度モデルで次のアクションを可視化しよう!
o2mami
2
380
払いすぎていませんか?AWSコスト最適化へのはじめの一歩
o2mami
1
1.5k
JAWS-UG 朝会 #58 登壇資料
o2mami
1
580
第24回クラウド女子会 登壇資料
o2mami
1
1.9k
Hibiya.Tech #1 登壇資料
o2mami
1
2.6k
JAWS-UG 朝会 #45 登壇資料
o2mami
2
1.4k
[ウェビナー資料] AWSエンジニア1年目が考える学習エンジンを止めない4つのコツ
o2mami
0
3.2k
JAWS-UG 朝会 #41 登壇資料
o2mami
1
2k
Other Decks in Business
See All in Business
2023 Sustainability Report
mpower_partners
PRO
0
180
レイド株式会社_会社紹介資料
rayd
0
280
会社説明資料
yanase
0
150
Woodstock Culture Deck
woodstockclub
0
1.3k
Company Introduction Slides
recruiting
0
980
家族アルバム みてね 事業紹介 / Our Business
familyalbum
4
21k
スターフェスティバル株式会社 エンジニア職向け会社紹介資料
stafes
2
560
【会社説明資料】ヒューレックス株式会社
hurex
0
470
楽観的スクラムマスター
tonionagauzzi
0
230
株式会社エアロネクスト_会社紹介資料
aeronext
0
130
アソビュー株式会社 / Company Deck
asoviewinc
0
22k
トイネガイ事業紹介資料
kyosukeokayama
0
180
Featured
See All Featured
GraphQLの誤解/rethinking-graphql
sonatard
65
9.9k
How to name files
jennybc
77
99k
A Tale of Four Properties
chriscoyier
156
22k
KATA
mclloyd
27
13k
Designing the Hi-DPI Web
ddemaree
280
34k
Thoughts on Productivity
jonyablonski
67
4.2k
No one is an island. Learnings from fostering a developers community.
thoeni
19
2.9k
Fantastic passwords and where to find them - at NoRuKo
philnash
50
2.8k
Refactoring Trust on Your Teams (GOTO; Chicago 2020)
rmw
31
2.6k
The Art of Programming - Codeland 2020
erikaheidi
51
13k
Visualizing Your Data: Incorporating Mongo into Loggly Infrastructure
mongodb
41
9.2k
Build your cross-platform service in a week with App Engine
jlugia
229
18k
Transcript
防衛への一歩! AWSアカウントを不正利用から 守るための必須防止対策ナビ 2023/7/7 AWS事業本部 松波花奈
自分の身(アカウント)は 自分で守ろう 本セッションのテーマ 2
自己紹介 名前:松波 花奈(まつなみ かな)/ おつまみ 所属:AWS事業本部コンサルティング部 経歴:Slerでシステムエンジニア(約4年半) クラスメソッド(2022/9~) 好きなサービス:AWS Security
Hub 3
本セッションの対象者 4 •AWSの基本的な概念は知っている方 •AWSを使う上でセキュリティ対策に不安がある方 •AWSアカウントの管理者
本セッションのゴール 5 •AWSアカウントの不正利用による被害を理解する •実際に不正利用が起きてしまったときのフローを知っ ておく •セッション後、すぐに必須防止対策を実施できるように なる ゴールに必要なことをお 話しします
本題の前に 6 軽い前置き
不正利用時の復旧支援サービス 7 不正利用時の復旧支援
アジェンダ 8 前半 1. AWSアカウントの不正利用とは? 2. AWS不正利用の具体例・被害 後半 1. AWS不正利用対策の進め方
2. 具体的な対策方法 3. おわりに
アジェンダ 9 前半 1. AWSアカウントの不正利用とは? 2. AWS不正利用の具体例・被害 後半 1. AWS不正利用対策の進め方
2. 具体的な対策方法 3. おわりに
AWSアカウントの不正利用とは? 第三者が AWSアカウントの認証情報を盗んだり、 セキュリティの脆弱性をついてAWSリソースに不 正アクセスしたりすること 10
AWSアカウントの不正利用による悪影響 11 多額のコスト が要求される サービス品質が 悪化する 法的・規制上の問題が 生じることがある
AWSの不正利用は誰も得しない 12
13 AWS利用者 多額のコスト請求 無駄なリソース消費 ステークホルダー全体に悪影響 エンドユーザー サービス利用不可
14 不正利用の具体例
①アクセスキー漏洩 15
①アクセスキー漏洩 16
②IAMユーザーのパスワード流出 17
③アプリケーションの脆弱性をついた攻撃 18 S3バケットの設 定ミス ↓ データ漏洩 SSHポート開放 ↓ EC2インスタンス への不正アクセス
WAFの設定ミス ↓ 個人情報漏洩
19 不正利用による被害
1. 多額の利用費請求 20
2. 情報漏洩 21 データ漏洩 スナップショットから復元 アクセスキー漏洩
3. 攻撃の加害者になる 22
前半まとめ 23 •不正利用の具体例 ◦ アクセスキー漏洩 ◦ IAMユーザーのパスワード流出 ◦ アプリケーションの脆弱性をついた攻撃 •不正利用の被害
◦ 多額の利用費請求 ◦ 情報漏洩 ◦ 攻撃の加害者になる
アジェンダ 24 前半 1. AWSアカウントの不正利用とは? 2. AWS不正利用の具体例・被害 後半 1. AWS不正利用対策の進め方
2. 具体的な対策方法 3. おわりに
AWSからの〇〇が受け取れるように 設定されていますか? 25
AWSからの通知が受け取れるように 設定されていますか? 26
メール通知例 27 件名:Your Amazon EC2 Abuse Report
2カ所で通知設定できる 28 参考 :https://docs.aws.amazon.com/ja_jp/accounts/latest/reference/manage-acct-updat e-contact.html
Slackにも連携しよう 29 参考ブログ:https://dev.classmethod.jp/articles/abuse-chatbot-slack/
メンバーズのお客様はポータルサイトから 30
不正利用が発生した場合の対応 STEP 01 31 STEP 02 STEP 03 臨時対応 必須防止対策
恒久対策 1時間以内 1~2日以内 1ヶ月以内
32 1.臨時対応
すぐにアクセスキーを無効化・削除する アクセスキー漏洩の場合 33
AWSアカウントの調査観点 34 IAM認証情報 レポート IAMよって実行された 不正なアクションを特定 CloudTrail アカウントに対する不正アク セスや変更を特定 Trusted
Advisor 承認されていないリソース/ IAM ユーザーの作成を特定 参考:https://repost.aws/ja/knowledge-center/potential-account-compromise
詳細な対応について知りたい方 35 参考ブログ:https://dev.classmethod.jp/articles/leak-accesskey-what-do-i-do
メンバーズのお客様は弊社にて調査実施 アクセスキー漏洩の場合 36
37 2. 必須防止対策
必須防止対策 38 01 IAMの棚卸し・アクセスキー 漏洩防止ソリューション導入 02 セキュリティサービスの有効化 03 Security HubによるAWS環境のセキュリ
ティ状況スコアリング 04 GuardDutyによる 脅威検知の暫定体制づくり
必須防止対策 39 01 IAMの棚卸し・アクセスキー 漏洩防止ソリューション導入 02 セキュリティサービスの有効化 03 Security HubによるAWS環境のセキュリ
ティ状況スコアリング 04 GuardDutyによる 脅威検知の暫定体制づくり
CloudTrailは有効化されていますか? AWS リソースを記録するサービス • 「誰が」 • 「いつ」 • 「何に対して」 •
「どのような」操作をしたのか 40 参考ブログ:https://dev.classmethod.jp/articles/securityhub-fsbp-remediation-cloudtrail-1/
CloudTrailのイベント履歴 41 ユーザー名 発信元IPアドレス 対象のリソースなど 詳細を確認
AWS Configは有効化されていますか? AWS リソースの変更の追跡を⼿うこ とができるサービス 42 参考ブログ:https://dev.classmethod.jp/articles/securityhub-fsbp-remediation-config-1/
Configのタイムライン 43 イベント時間 ユーザー名 イベント名など を記録
リソース変更が多い場合は注意 44 参考ブログ:https://dev.classmethod.jp/articles/aws-config-amazon-athena/
Security Hubは有効化されていますか? セキュリティのコンプライアンスとス テータスを⼿括で管理できるサービス 45 参考ブログ:https://dev.classmethod.jp/articles/lets-learn-aws-security-hub/
Security Hubのセキュリティチェック 46
GuardDutyは有効化されていますか? AWS環境を継続的にモニタリングし て、セキュリティに関する異常を検出 してくれるサービス 47 参考ブログ :https://dev.classmethod.jp/articles/securityhub-fsbp-remediation-guardduty-1/
GuardDutyのサマリーダッシュボード 48
必須防止対策 49 01 IAMの棚卸し・アクセスキー 漏洩防止ソリューション導入 02 セキュリティサービスの有効化 03 Security HubによるAWS環境のセキュリ
ティ状況スコアリング 04 GuardDutyによる 脅威検知の暫定体制づくり
IAMの概念知っていますか? 50 AWS Foundations: Securing Your AWS Cloud (Japanese) (⽇本語吹き替え版)
:AWSセキュリティの基本(50分) Introduction to AWS Identity and Access Management (IAM) (Japanese) (⽇本語 吹き替え版) :簡単なIAMの概要(10分)
不要なIAMユーザー・アクセスキーを管理していませんか? 51 参考ブログ:https://dev.classmethod.jp/articles/inventory-iam-users-and-access-keys-in-iam-report/ 削除基準 • 90⼿間以上ログイン・使用されていない • 退職、異動、⼿時的に作成したものが残っている等で、不要となっている
IAMユーザーのパスワードポリシーは強固ですか? 52 参考動画:https://www.youtube.com/watch?v=C2I5JefT8Zg NISCに準拠する場合、パスワード 最小文字数は10文字以上
IAMユーザーのMFAは有効化されていますか? 53 参考ブログ:https://dev.classmethod.jp/articles/mfa-for-iam-user-management/
不要なIAMロールを管理していませんか? 54 参考ブログ:https://dev.classmethod.jp/articles/inventory-iam-resources 削除基準 • 90⼿間以上使用されていない • ⼿時的に作成したものが残っている等で、不要となっている
git-secretsは導入されていますか? 55 参考ブログ:https://dev.classmethod.jp/articles/startup-git-secrets/
IAMユーザー・ロールに強力な権限を与えていませんか? 56 参考ブログ :https://dev.classmethod.jp/articles/inventory-powerful-authority-iam-users-and-roles/
必須防止対策 57 01 IAMの棚卸し・アクセスキー 漏洩防止ソリューション導入 02 セキュリティサービスの有効化 03 Security HubによるAWS環境のセキュリ
ティ状況スコアリング 04 GuardDutyによる 脅威検知の暫定体制づくり
有効化したまま放置していませんか? 58
スコア100%にしましょう! 59 1. 修復⼿順に沿って、修復 2. 修復せずリソースを抑制済みとして登録 3. 修復せずルールを無効化
修復必須項目 ※2023.7時点 •CloudFront.1 •CloudTrail.1 •CodeBuild.1 •CodeBuild.2 •Config.1 •EC2.1 •EC2.2 •EC2.16
•EC2.18 •EC2.19 •ECS.1 60 •ECS.2 •ECS.3 •ECS.4 •ElasticBeanstalk.2 •GuardDuty.1 •IAM.1 •IAM.5 •IAM.7 •IAM.8 •IAM.21 •Lambda.1 •Lambda.2 •RDS.1 •RDS.2 •RDS.18 •Redshift.1 •Redshift.7 •S3.2 •S3.3 •S3.6 •S3.8 •SSM.4
参考:修復手順ブログ 61 https://dev.classmethod.jp/referencecat/securityhub-fsbp-remediation/
参考:Classmethod Cloud Guidebook 62 参考ブログ:https://dev.classmethod.jp/articles/how-to-use-ccg/
必須防止対策 63 01 IAMの棚卸し・アクセスキー 漏洩防止ソリューション導入 02 セキュリティサービスの有効化 03 Security HubによるAWS環境のセキュリ
ティ状況スコアリング 04 GuardDutyによる 脅威検知の暫定体制づくり
GuardDutyの通知先は設定されていますか? 64 参考動画:https://www.youtube.com/watch?v=ExK6MJWT1y0
65 参考ブログ:https://dev.classmethod.jp/articles/notify_guardduty_by_severity/ Slack連携もおすすめ
66 脅威を検知した際の対応方法を把握していますか? 参考:https://dev.classmethod.jp/articles/guardduty-firstaction/ https://docs.aws.amazon.com/ja_jp/guardduty/latest/ug/guardduty_finding-types-active.html 重要度別に関わらず、 基本全て対応
67 GuardDutyの通知が多すぎて困っていませんか? 抑制方針 •実際に通知があった検出結果のみを抑制。 検出される前から抑制ルールを作成することは避ける。 •繰り返し通知があった検出結果に対して抑制ルールを作成。 •可能な限り細かい単位で抑制ルールを作成。 (例:S3のブロックパブリックアクセス無効の通知を抑制する際は Bucket nameも必ず条件に加える)
68 参考ブログ:https://dev.classmethod.jp/articles/aws-guardduty-suppression-rules-2022/ 抑制ルールでノイズを減らしましょう
すべて対応できていましたか? 69 01 IAMの棚卸し・アクセスキー 漏洩防止ソリューション導入 02 セキュリティサービスの有効化 03 Security HubによるAWS環境のセキュリ
ティ状況スコアリング 04 GuardDutyによる 脅威検知の暫定体制づくり
70 3. 恒久対策
恒久対策(1/3) •セキュリティ管理体制の確立 ◦ 会社全体のセキュリティを管理するチーム(セキュリティ部門 ・CSIRT・SOC等)の確立 ◦ クラウドを利用した環境の開発・運用のガイドライン策定や支援の体 制づくり ◦ アーキテクチャのセキュリティや実装のレビューフロー整備
▪ Well-Architectedフレームワークに沿った設計・構築レビュー ◦ 人材育成・有資格者確保(AWS Certified Security - Specialty等) 71
恒久対策(2/3) •AWS環境全体設計 ◦ AWSアカウント情報集約 ◦ AWSアカウント発行フロー整備 ◦ AWSアカウント管理者・責任範囲の明文化 •予防的統制 ◦
IAM Access Analyzerの使用 •発見的統制 ◦ Detectiveの利用 72
恒久対策(3/3) •アプリレイヤーのセキュリティ管理 ◦ 脆弱性管理(OS/コンテナ/ミドルウェア/言語ライブラリ)・診断 ◦ アンチマルウェア ◦ 多層防御(IDS/IPS/変更管理) ◦ モニタリング・ロギング
◦ アプリケーション保護 ◦ CI/CD 73
中級〜上級の対策がおすすめ 74 参考ブログ:https://dev.classmethod.jp/articles/aws-security-all-in-one-2021/
75 まとめ
本セッションのゴール 76 •AWSアカウントの不正利用による被害を理解する •実際に不正利用が起きてしまったときのフローを知っ ておく •セッション後、すぐに必須防止対策を実施できるように なる ゴールに必要なことをお 話ししました
謝辞 77 •今回ご紹介したブログを執筆してくださった皆様 •日々DevelopersIOを読んでくださる皆様 •今回このセッションを視聴しにきてくださった皆様 •今回ご紹介したブログを執筆してくださった皆様 •日々DevelopersIOを読んでくださる皆様 •今回このセッションを視聴しにきてくださった皆様 ありがとうございました!
None