Upgrade to Pro — share decks privately, control downloads, hide ads and more …

防衛への一歩!AWSアカウントを不正利用から守るための必須防止対策ナビ

松波 花奈
July 07, 2023
Business
1
4.9k

 防衛への一歩!AWSアカウントを不正利用から守るための必須防止対策ナビ

松波 花奈

July 07, 2023
Tweet

More Decks by 松波 花奈

See All by 松波 花奈
どこから始める?AWSセキュリティ成熟度モデルで次のアクションを可視化しよう!
o2mami
2
470
払いすぎていませんか?AWSコスト最適化へのはじめの一歩
o2mami
1
1.7k
JAWS-UG 朝会 #58 登壇資料
o2mami
1
600
第24回クラウド女子会 登壇資料
o2mami
1
1.9k
Hibiya.Tech #1 登壇資料
o2mami
1
2.7k
JAWS-UG 朝会 #45 登壇資料
o2mami
2
1.4k
[ウェビナー資料] AWSエンジニア1年目が考える学習エンジンを止めない4つのコツ
o2mami
0
3.3k
JAWS-UG 朝会 #41 登壇資料
o2mami
1
2k

Other Decks in Business

See All in Business
データガバナンスチームの結成で得た学び / Insights from the Data Governance Team
auto_yak_ant
3
2.1k
タスクブレイクダウンのすすめ〜タスクを刻んで進捗のビートを鳴らせ〜
natty_natty254
1
280
XENDOU会社概要
xendou
0
130
もしドラッカーがアジャイルコーチになったら / If Drucker Were an Agile Coach
fkino
2
370
東京都ツキノワグマ目撃等情報マップ
tokyo_metropolitan_gov_digital_hr
0
230
LINEヤフー新卒採用 ビジネスコンサルタント職種説明資料
lycorp_recruit_jp
0
3.7k
Nstock 採用資料 / We are hiring
nstock
26
240k
採用資料
daichihayashi
0
220
요즘 팀장 생존법 (SLIT-CON)
lemonadegt
0
170
都営住宅建替え工事におけるDXの取組
tokyo_metropolitan_gov_digital_hr
0
180
受託開発のアジャイル奮闘記
mifujita
1
8.9k
kubell COMPASS Ver 1.0.0
kubell_hr
0
2.4k

Featured

See All Featured
Typedesign – Prime Four
hannesfritz
40
2.4k
YesSQL, Process and Tooling at Scale
rocio
168
14k
The World Runs on Bad Software
bkeepers
PRO
65
11k
How to Ace a Technical Interview
jacobian
276
23k
RailsConf & Balkan Ruby 2019: The Past, Present, and Future of Rails at GitHub
eileencodes
131
33k
How To Stay Up To Date on Web Technology
chriscoyier
788
250k
The Myth of the Modular Monolith - Day 2 Keynote - Rails World 2024
eileencodes
16
2.1k
Mobile First: as difficult as doing things right
swwweet
222
8.9k
Let's Do A Bunch of Simple Stuff to Make Websites Faster
chriscoyier
506
140k
Teambox: Starting and Learning
jrom
133
8.8k
Embracing the Ebb and Flow
colly
84
4.5k
What's in a price? How to price your products and services
michaelherold
243
12k

Transcript

  1. 防衛への一歩! AWSアカウントを不正利用から 守るための必須防止対策ナビ 2023/7/7 AWS事業本部 松波花奈

  2. 自分の身(アカウント)は 自分で守ろう 本セッションのテーマ 2

  3. 自己紹介 名前:松波 花奈(まつなみ かな)/ おつまみ 所属:AWS事業本部コンサルティング部 経歴:Slerでシステムエンジニア(約4年半)    クラスメソッド(2022/9~) 好きなサービス:AWS Security

    Hub 3

  4. 本セッションの対象者 4 •AWSの基本的な概念は知っている方 •AWSを使う上でセキュリティ対策に不安がある方 •AWSアカウントの管理者

  5. 本セッションのゴール 5 •AWSアカウントの不正利用による被害を理解する •実際に不正利用が起きてしまったときのフローを知っ ておく •セッション後、すぐに必須防止対策を実施できるように なる ゴールに必要なことをお 話しします

  6. 本題の前に 6 軽い前置き

  7. 不正利用時の復旧支援サービス 7 不正利用時の復旧支援

  8. アジェンダ 8 前半 1. AWSアカウントの不正利用とは? 2. AWS不正利用の具体例・被害 後半 1. AWS不正利用対策の進め方

    2. 具体的な対策方法 3. おわりに

  9. アジェンダ 9 前半 1. AWSアカウントの不正利用とは? 2. AWS不正利用の具体例・被害 後半 1. AWS不正利用対策の進め方

    2. 具体的な対策方法 3. おわりに

  10. AWSアカウントの不正利用とは? 第三者が AWSアカウントの認証情報を盗んだり、 セキュリティの脆弱性をついてAWSリソースに不 正アクセスしたりすること 10

  11. AWSアカウントの不正利用による悪影響 11 多額のコスト が要求される サービス品質が 悪化する 法的・規制上の問題が 生じることがある

  12. AWSの不正利用は誰も得しない 12

  13. 13 AWS利用者 多額のコスト請求 無駄なリソース消費 ステークホルダー全体に悪影響 エンドユーザー サービス利用不可

  14. 14 不正利用の具体例

  15. ①アクセスキー漏洩 15

  16. ①アクセスキー漏洩 16

  17. ②IAMユーザーのパスワード流出 17

  18. ③アプリケーションの脆弱性をついた攻撃 18 S3バケットの設 定ミス ↓ データ漏洩 SSHポート開放 ↓ EC2インスタンス への不正アクセス

    WAFの設定ミス ↓ 個人情報漏洩

  19. 19 不正利用による被害

  20. 1. 多額の利用費請求 20

  21. 2. 情報漏洩 21 データ漏洩 スナップショットから復元 アクセスキー漏洩

  22. 3. 攻撃の加害者になる 22

  23. 前半まとめ 23 •不正利用の具体例 ◦ アクセスキー漏洩 ◦ IAMユーザーのパスワード流出 ◦ アプリケーションの脆弱性をついた攻撃 •不正利用の被害

    ◦ 多額の利用費請求 ◦ 情報漏洩 ◦ 攻撃の加害者になる

  24. アジェンダ 24 前半 1. AWSアカウントの不正利用とは? 2. AWS不正利用の具体例・被害 後半 1. AWS不正利用対策の進め方

    2. 具体的な対策方法 3. おわりに

  25. AWSからの〇〇が受け取れるように 設定されていますか? 25

  26. AWSからの通知が受け取れるように 設定されていますか? 26

  27. メール通知例 27 件名:Your Amazon EC2 Abuse Report

  28. 2カ所で通知設定できる 28 参考 :https://docs.aws.amazon.com/ja_jp/accounts/latest/reference/manage-acct-updat e-contact.html

  29. Slackにも連携しよう 29 参考ブログ:https://dev.classmethod.jp/articles/abuse-chatbot-slack/

  30. メンバーズのお客様はポータルサイトから 30

  31. 不正利用が発生した場合の対応 STEP 01 31 STEP 02 STEP 03 臨時対応 必須防止対策

    恒久対策 1時間以内 1~2日以内 1ヶ月以内

  32. 32 1.臨時対応

  33. すぐにアクセスキーを無効化・削除する アクセスキー漏洩の場合 33

  34. AWSアカウントの調査観点 34 IAM認証情報 レポート IAMよって実行された 不正なアクションを特定 CloudTrail アカウントに対する不正アク セスや変更を特定 Trusted

    Advisor 承認されていないリソース/ IAM ユーザーの作成を特定 参考:https://repost.aws/ja/knowledge-center/potential-account-compromise

  35. 詳細な対応について知りたい方 35 参考ブログ:https://dev.classmethod.jp/articles/leak-accesskey-what-do-i-do

  36. メンバーズのお客様は弊社にて調査実施 アクセスキー漏洩の場合 36

  37. 37 2. 必須防止対策

  38. 必須防止対策 38 01 IAMの棚卸し・アクセスキー 漏洩防止ソリューション導入 02 セキュリティサービスの有効化 03 Security HubによるAWS環境のセキュリ

    ティ状況スコアリング 04 GuardDutyによる 脅威検知の暫定体制づくり

  39. 必須防止対策 39 01 IAMの棚卸し・アクセスキー 漏洩防止ソリューション導入 02 セキュリティサービスの有効化 03 Security HubによるAWS環境のセキュリ

    ティ状況スコアリング 04 GuardDutyによる 脅威検知の暫定体制づくり

  40. CloudTrailは有効化されていますか? AWS リソースを記録するサービス • 「誰が」 • 「いつ」 • 「何に対して」 •

    「どのような」操作をしたのか 40 参考ブログ:https://dev.classmethod.jp/articles/securityhub-fsbp-remediation-cloudtrail-1/

  41. CloudTrailのイベント履歴 41 ユーザー名 発信元IPアドレス 対象のリソースなど 詳細を確認

  42. AWS Configは有効化されていますか? AWS リソースの変更の追跡を⼿うこ とができるサービス 42 参考ブログ:https://dev.classmethod.jp/articles/securityhub-fsbp-remediation-config-1/

  43. Configのタイムライン 43 イベント時間 ユーザー名 イベント名など を記録

  44. リソース変更が多い場合は注意 44 参考ブログ:https://dev.classmethod.jp/articles/aws-config-amazon-athena/

  45. Security Hubは有効化されていますか? セキュリティのコンプライアンスとス テータスを⼿括で管理できるサービス 45 参考ブログ:https://dev.classmethod.jp/articles/lets-learn-aws-security-hub/

  46. Security Hubのセキュリティチェック 46

  47. GuardDutyは有効化されていますか? AWS環境を継続的にモニタリングし て、セキュリティに関する異常を検出 してくれるサービス 47 参考ブログ :https://dev.classmethod.jp/articles/securityhub-fsbp-remediation-guardduty-1/

  48. GuardDutyのサマリーダッシュボード 48

  49. 必須防止対策 49 01 IAMの棚卸し・アクセスキー 漏洩防止ソリューション導入 02 セキュリティサービスの有効化 03 Security HubによるAWS環境のセキュリ

    ティ状況スコアリング 04 GuardDutyによる 脅威検知の暫定体制づくり

  50. IAMの概念知っていますか? 50 AWS Foundations: Securing Your AWS Cloud (Japanese) (⽇本語吹き替え版)

    :AWSセキュリティの基本(50分) Introduction to AWS Identity and Access Management (IAM) (Japanese) (⽇本語 吹き替え版) :簡単なIAMの概要(10分)

  51. 不要なIAMユーザー・アクセスキーを管理していませんか? 51 参考ブログ:https://dev.classmethod.jp/articles/inventory-iam-users-and-access-keys-in-iam-report/ 削除基準 • 90⼿間以上ログイン・使用されていない • 退職、異動、⼿時的に作成したものが残っている等で、不要となっている

  52. IAMユーザーのパスワードポリシーは強固ですか? 52 参考動画:https://www.youtube.com/watch?v=C2I5JefT8Zg NISCに準拠する場合、パスワード 最小文字数は10文字以上

  53. IAMユーザーのMFAは有効化されていますか? 53 参考ブログ:https://dev.classmethod.jp/articles/mfa-for-iam-user-management/

  54. 不要なIAMロールを管理していませんか? 54 参考ブログ:https://dev.classmethod.jp/articles/inventory-iam-resources 削除基準 • 90⼿間以上使用されていない • ⼿時的に作成したものが残っている等で、不要となっている

  55. git-secretsは導入されていますか? 55 参考ブログ:https://dev.classmethod.jp/articles/startup-git-secrets/

  56. IAMユーザー・ロールに強力な権限を与えていませんか? 56 参考ブログ :https://dev.classmethod.jp/articles/inventory-powerful-authority-iam-users-and-roles/

  57. 必須防止対策 57 01 IAMの棚卸し・アクセスキー 漏洩防止ソリューション導入 02 セキュリティサービスの有効化 03 Security HubによるAWS環境のセキュリ

    ティ状況スコアリング 04 GuardDutyによる 脅威検知の暫定体制づくり

  58. 有効化したまま放置していませんか? 58

  59. スコア100%にしましょう! 59 1. 修復⼿順に沿って、修復 2. 修復せずリソースを抑制済みとして登録 3. 修復せずルールを無効化

  60. 修復必須項目 ※2023.7時点 •CloudFront.1 •CloudTrail.1 •CodeBuild.1 •CodeBuild.2 •Config.1 •EC2.1 •EC2.2 •EC2.16

    •EC2.18 •EC2.19 •ECS.1 60 •ECS.2 •ECS.3 •ECS.4 •ElasticBeanstalk.2 •GuardDuty.1 •IAM.1 •IAM.5 •IAM.7 •IAM.8 •IAM.21 •Lambda.1 •Lambda.2 •RDS.1 •RDS.2 •RDS.18 •Redshift.1 •Redshift.7 •S3.2 •S3.3 •S3.6 •S3.8 •SSM.4

  61. 参考:修復手順ブログ 61 https://dev.classmethod.jp/referencecat/securityhub-fsbp-remediation/

  62. 参考:Classmethod Cloud Guidebook 62 参考ブログ:https://dev.classmethod.jp/articles/how-to-use-ccg/

  63. 必須防止対策 63 01 IAMの棚卸し・アクセスキー 漏洩防止ソリューション導入 02 セキュリティサービスの有効化 03 Security HubによるAWS環境のセキュリ

    ティ状況スコアリング 04 GuardDutyによる 脅威検知の暫定体制づくり

  64. GuardDutyの通知先は設定されていますか? 64 参考動画:https://www.youtube.com/watch?v=ExK6MJWT1y0

  65. 65 参考ブログ:https://dev.classmethod.jp/articles/notify_guardduty_by_severity/ Slack連携もおすすめ

  66. 66 脅威を検知した際の対応方法を把握していますか? 参考:https://dev.classmethod.jp/articles/guardduty-firstaction/ https://docs.aws.amazon.com/ja_jp/guardduty/latest/ug/guardduty_finding-types-active.html 重要度別に関わらず、 基本全て対応

  67. 67 GuardDutyの通知が多すぎて困っていませんか? 抑制方針 •実際に通知があった検出結果のみを抑制。 検出される前から抑制ルールを作成することは避ける。 •繰り返し通知があった検出結果に対して抑制ルールを作成。 •可能な限り細かい単位で抑制ルールを作成。 (例:S3のブロックパブリックアクセス無効の通知を抑制する際は Bucket nameも必ず条件に加える)

  68. 68 参考ブログ:https://dev.classmethod.jp/articles/aws-guardduty-suppression-rules-2022/ 抑制ルールでノイズを減らしましょう

  69. すべて対応できていましたか? 69 01 IAMの棚卸し・アクセスキー 漏洩防止ソリューション導入 02 セキュリティサービスの有効化 03 Security HubによるAWS環境のセキュリ

    ティ状況スコアリング 04 GuardDutyによる 脅威検知の暫定体制づくり

  70. 70 3. 恒久対策

  71. 恒久対策(1/3) •セキュリティ管理体制の確立 ◦ 会社全体のセキュリティを管理するチーム(セキュリティ部門 ・CSIRT・SOC等)の確立 ◦ クラウドを利用した環境の開発・運用のガイドライン策定や支援の体 制づくり ◦ アーキテクチャのセキュリティや実装のレビューフロー整備

    ▪ Well-Architectedフレームワークに沿った設計・構築レビュー ◦ 人材育成・有資格者確保(AWS Certified Security - Specialty等) 71

  72. 恒久対策(2/3) •AWS環境全体設計 ◦ AWSアカウント情報集約 ◦ AWSアカウント発行フロー整備 ◦ AWSアカウント管理者・責任範囲の明文化 •予防的統制 ◦

    IAM Access Analyzerの使用 •発見的統制 ◦ Detectiveの利用 72

  73. 恒久対策(3/3) •アプリレイヤーのセキュリティ管理 ◦ 脆弱性管理(OS/コンテナ/ミドルウェア/言語ライブラリ)・診断 ◦ アンチマルウェア ◦ 多層防御(IDS/IPS/変更管理) ◦ モニタリング・ロギング

    ◦ アプリケーション保護 ◦ CI/CD 73

  74. 中級〜上級の対策がおすすめ 74 参考ブログ:https://dev.classmethod.jp/articles/aws-security-all-in-one-2021/

  75. 75 まとめ

  76. 本セッションのゴール 76 •AWSアカウントの不正利用による被害を理解する •実際に不正利用が起きてしまったときのフローを知っ ておく •セッション後、すぐに必須防止対策を実施できるように なる ゴールに必要なことをお 話ししました

  77. 謝辞 77 •今回ご紹介したブログを執筆してくださった皆様 •日々DevelopersIOを読んでくださる皆様 •今回このセッションを視聴しにきてくださった皆様 •今回ご紹介したブログを執筆してくださった皆様 •日々DevelopersIOを読んでくださる皆様 •今回このセッションを視聴しにきてくださった皆様 ありがとうございました!

  78. None