防衛への一歩！AWSアカウントを不正利用から守るための必須防止対策ナビ

Transcript

1. 防衛への一歩！ AWSアカウントを不正利用から 守るための必須防止対策ナビ 2023/7/7 AWS事業本部　松波花奈

2. 自分の身（アカウント）は 自分で守ろう 本セッションのテーマ 2

3. 自己紹介 名前：松波 花奈（まつなみ かな）/ おつまみ 所属：AWS事業本部コンサルティング部 経歴：Slerでシステムエンジニア(約4年半) 　　　クラスメソッド(2022/9~) 好きなサービス：AWS Security

   Hub 3

4. 本セッションの対象者 4 •AWSの基本的な概念は知っている方 •AWSを使う上でセキュリティ対策に不安がある方 •AWSアカウントの管理者

5. 本セッションのゴール 5 •AWSアカウントの不正利用による被害を理解する •実際に不正利用が起きてしまったときのフローを知っ ておく •セッション後、すぐに必須防止対策を実施できるように なる ゴールに必要なことをお 話しします

6. 本題の前に 6 軽い前置き

7. 不正利用時の復旧支援サービス 7 不正利用時の復旧支援

8. アジェンダ 8 前半 1. AWSアカウントの不正利用とは？ 2. AWS不正利用の具体例・被害 後半 1. AWS不正利用対策の進め方

   2. 具体的な対策方法 3. おわりに

9. アジェンダ 9 前半 1. AWSアカウントの不正利用とは？ 2. AWS不正利用の具体例・被害 後半 1. AWS不正利用対策の進め方

   2. 具体的な対策方法 3. おわりに

10. AWSアカウントの不正利用とは？ 第三者が AWSアカウントの認証情報を盗んだり、 セキュリティの脆弱性をついてAWSリソースに不 正アクセスしたりすること 10

11. AWSアカウントの不正利用による悪影響 11 多額のコスト が要求される サービス品質が 悪化する 法的・規制上の問題が 生じることがある

12. AWSの不正利用は誰も得しない 12

13. 13 AWS利用者 多額のコスト請求 無駄なリソース消費 ステークホルダー全体に悪影響 エンドユーザー サービス利用不可

14. 14 不正利用の具体例

15. ①アクセスキー漏洩 15

16. ①アクセスキー漏洩 16

17. ②IAMユーザーのパスワード流出 17

18. ③アプリケーションの脆弱性をついた攻撃 18 S3バケットの設 定ミス ↓ データ漏洩 SSHポート開放 ↓ EC2インスタンス への不正アクセス

    WAFの設定ミス ↓ 個人情報漏洩

19. 19 不正利用による被害

20. 1. 多額の利用費請求 20

21. 2. 情報漏洩 21 データ漏洩 スナップショットから復元 アクセスキー漏洩

22. 3. 攻撃の加害者になる 22

23. 前半まとめ 23 •不正利用の具体例 ◦ アクセスキー漏洩 ◦ IAMユーザーのパスワード流出 ◦ アプリケーションの脆弱性をついた攻撃 •不正利用の被害

    ◦ 多額の利用費請求 ◦ 情報漏洩 ◦ 攻撃の加害者になる

24. アジェンダ 24 前半 1. AWSアカウントの不正利用とは？ 2. AWS不正利用の具体例・被害 後半 1. AWS不正利用対策の進め方

    2. 具体的な対策方法 3. おわりに

25. AWSからの〇〇が受け取れるように 設定されていますか？ 25

26. AWSからの通知が受け取れるように 設定されていますか？ 26

27. メール通知例 27 件名：Your Amazon EC2 Abuse Report

28. 2カ所で通知設定できる 28 参考 ：https://docs.aws.amazon.com/ja_jp/accounts/latest/reference/manage-acct-updat e-contact.html

29. Slackにも連携しよう 29 参考ブログ：https://dev.classmethod.jp/articles/abuse-chatbot-slack/

30. メンバーズのお客様はポータルサイトから 30

31. 不正利用が発生した場合の対応 STEP 01 31 STEP 02 STEP 03 臨時対応 必須防止対策

    恒久対策 1時間以内 1~2日以内 1ヶ月以内

32. 32 1.臨時対応

33. すぐにアクセスキーを無効化・削除する アクセスキー漏洩の場合 33

34. AWSアカウントの調査観点 34 IAM認証情報 レポート IAMよって実行された 不正なアクションを特定 CloudTrail アカウントに対する不正アク セスや変更を特定 Trusted

    Advisor 承認されていないリソース/ IAM ユーザーの作成を特定 参考：https://repost.aws/ja/knowledge-center/potential-account-compromise

35. 詳細な対応について知りたい方 35 参考ブログ：https://dev.classmethod.jp/articles/leak-accesskey-what-do-i-do

36. メンバーズのお客様は弊社にて調査実施 アクセスキー漏洩の場合 36

37. 37 2. 必須防止対策

38. 必須防止対策 38 01 IAMの棚卸し・アクセスキー 漏洩防止ソリューション導入 02 セキュリティサービスの有効化 03 Security HubによるAWS環境のセキュリ

    ティ状況スコアリング 04 GuardDutyによる 脅威検知の暫定体制づくり

39. 必須防止対策 39 01 IAMの棚卸し・アクセスキー 漏洩防止ソリューション導入 02 セキュリティサービスの有効化 03 Security HubによるAWS環境のセキュリ

    ティ状況スコアリング 04 GuardDutyによる 脅威検知の暫定体制づくり

40. CloudTrailは有効化されていますか？ AWS リソースを記録するサービス • 「誰が」 • 「いつ」 • 「何に対して」 •

    「どのような」操作をしたのか 40 参考ブログ：https://dev.classmethod.jp/articles/securityhub-fsbp-remediation-cloudtrail-1/

41. CloudTrailのイベント履歴 41 ユーザー名 発信元IPアドレス 対象のリソースなど 詳細を確認

42. AWS Configは有効化されていますか？ AWS リソースの変更の追跡を⼿うこ とができるサービス 42 参考ブログ：https://dev.classmethod.jp/articles/securityhub-fsbp-remediation-config-1/

43. Configのタイムライン 43 イベント時間 ユーザー名 イベント名など を記録

44. リソース変更が多い場合は注意 44 参考ブログ：https://dev.classmethod.jp/articles/aws-config-amazon-athena/

45. Security Hubは有効化されていますか？ セキュリティのコンプライアンスとス テータスを⼿括で管理できるサービス 45 参考ブログ：https://dev.classmethod.jp/articles/lets-learn-aws-security-hub/

46. Security Hubのセキュリティチェック 46

47. GuardDutyは有効化されていますか？ AWS環境を継続的にモニタリングし て、セキュリティに関する異常を検出 してくれるサービス 47 参考ブログ ：https://dev.classmethod.jp/articles/securityhub-fsbp-remediation-guardduty-1/

48. GuardDutyのサマリーダッシュボード 48

49. 必須防止対策 49 01 IAMの棚卸し・アクセスキー 漏洩防止ソリューション導入 02 セキュリティサービスの有効化 03 Security HubによるAWS環境のセキュリ

    ティ状況スコアリング 04 GuardDutyによる 脅威検知の暫定体制づくり

50. IAMの概念知っていますか？ 50 AWS Foundations: Securing Your AWS Cloud (Japanese) (⽇本語吹き替え版)

    ：AWSセキュリティの基本（50分） Introduction to AWS Identity and Access Management (IAM) (Japanese) (⽇本語 吹き替え版) ：簡単なIAMの概要（10分）

51. 不要なIAMユーザー・アクセスキーを管理していませんか？ 51 参考ブログ：https://dev.classmethod.jp/articles/inventory-iam-users-and-access-keys-in-iam-report/ 削除基準 • 90⼿間以上ログイン・使用されていない • 退職、異動、⼿時的に作成したものが残っている等で、不要となっている

52. IAMユーザーのパスワードポリシーは強固ですか？ 52 参考動画：https://www.youtube.com/watch?v=C2I5JefT8Zg NISCに準拠する場合、パスワード 最小文字数は10文字以上

53. IAMユーザーのMFAは有効化されていますか？ 53 参考ブログ：https://dev.classmethod.jp/articles/mfa-for-iam-user-management/

54. 不要なIAMロールを管理していませんか？ 54 参考ブログ：https://dev.classmethod.jp/articles/inventory-iam-resources 削除基準 • 90⼿間以上使用されていない • ⼿時的に作成したものが残っている等で、不要となっている

55. git-secretsは導入されていますか？ 55 参考ブログ：https://dev.classmethod.jp/articles/startup-git-secrets/

56. IAMユーザー・ロールに強力な権限を与えていませんか？ 56 参考ブログ ：https://dev.classmethod.jp/articles/inventory-powerful-authority-iam-users-and-roles/

57. 必須防止対策 57 01 IAMの棚卸し・アクセスキー 漏洩防止ソリューション導入 02 セキュリティサービスの有効化 03 Security HubによるAWS環境のセキュリ

    ティ状況スコアリング 04 GuardDutyによる 脅威検知の暫定体制づくり

58. 有効化したまま放置していませんか？ 58

59. スコア100%にしましょう！ 59 1. 修復⼿順に沿って、修復 2. 修復せずリソースを抑制済みとして登録 3. 修復せずルールを無効化

60. 修復必須項目 ※2023.7時点 •CloudFront.1 •CloudTrail.1 •CodeBuild.1 •CodeBuild.2 •Config.1 •EC2.1 •EC2.2 •EC2.16

    •EC2.18 •EC2.19 •ECS.1 60 •ECS.2 •ECS.3 •ECS.4 •ElasticBeanstalk.2 •GuardDuty.1 •IAM.1 •IAM.5 •IAM.7 •IAM.8 •IAM.21 •Lambda.1 •Lambda.2 •RDS.1 •RDS.2 •RDS.18 •Redshift.1 •Redshift.7 •S3.2 •S3.3 •S3.6 •S3.8 •SSM.4

61. 参考：修復手順ブログ 61 https://dev.classmethod.jp/referencecat/securityhub-fsbp-remediation/

62. 参考：Classmethod Cloud Guidebook 62 参考ブログ：https://dev.classmethod.jp/articles/how-to-use-ccg/

63. 必須防止対策 63 01 IAMの棚卸し・アクセスキー 漏洩防止ソリューション導入 02 セキュリティサービスの有効化 03 Security HubによるAWS環境のセキュリ

    ティ状況スコアリング 04 GuardDutyによる 脅威検知の暫定体制づくり

64. GuardDutyの通知先は設定されていますか？ 64 参考動画：https://www.youtube.com/watch?v=ExK6MJWT1y0

65. 65 参考ブログ：https://dev.classmethod.jp/articles/notify_guardduty_by_severity/ Slack連携もおすすめ

66. 66 脅威を検知した際の対応方法を把握していますか？ 参考：https://dev.classmethod.jp/articles/guardduty-firstaction/ https://docs.aws.amazon.com/ja_jp/guardduty/latest/ug/guardduty_finding-types-active.html 重要度別に関わらず、 基本全て対応

67. 67 GuardDutyの通知が多すぎて困っていませんか？ 抑制方針 •実際に通知があった検出結果のみを抑制。 検出される前から抑制ルールを作成することは避ける。 •繰り返し通知があった検出結果に対して抑制ルールを作成。 •可能な限り細かい単位で抑制ルールを作成。 （例：S3のブロックパブリックアクセス無効の通知を抑制する際は Bucket nameも必ず条件に加える）

68. 68 参考ブログ：https://dev.classmethod.jp/articles/aws-guardduty-suppression-rules-2022/ 抑制ルールでノイズを減らしましょう

69. すべて対応できていましたか？ 69 01 IAMの棚卸し・アクセスキー 漏洩防止ソリューション導入 02 セキュリティサービスの有効化 03 Security HubによるAWS環境のセキュリ

    ティ状況スコアリング 04 GuardDutyによる 脅威検知の暫定体制づくり

70. 70 3. 恒久対策

71. 恒久対策（1/3） •セキュリティ管理体制の確立 ◦ 会社全体のセキュリティを管理するチーム(セキュリティ部門 ・CSIRT・SOC等)の確立 ◦ クラウドを利用した環境の開発・運用のガイドライン策定や支援の体 制づくり ◦ アーキテクチャのセキュリティや実装のレビューフロー整備

    ▪ Well-Architectedフレームワークに沿った設計・構築レビュー ◦ 人材育成・有資格者確保(AWS Certified Security - Specialty等) 71

72. 恒久対策（2/3） •AWS環境全体設計 ◦ AWSアカウント情報集約 ◦ AWSアカウント発行フロー整備 ◦ AWSアカウント管理者・責任範囲の明文化 •予防的統制 ◦

    IAM Access Analyzerの使用 •発見的統制 ◦ Detectiveの利用 72

73. 恒久対策（3/3） •アプリレイヤーのセキュリティ管理 ◦ 脆弱性管理(OS/コンテナ/ミドルウェア/言語ライブラリ)・診断 ◦ アンチマルウェア ◦ 多層防御(IDS/IPS/変更管理) ◦ モニタリング・ロギング

    ◦ アプリケーション保護 ◦ CI/CD 73

74. 中級〜上級の対策がおすすめ 74 参考ブログ：https://dev.classmethod.jp/articles/aws-security-all-in-one-2021/

75. 75 まとめ

76. 本セッションのゴール 76 •AWSアカウントの不正利用による被害を理解する •実際に不正利用が起きてしまったときのフローを知っ ておく •セッション後、すぐに必須防止対策を実施できるように なる ゴールに必要なことをお 話ししました

77. 謝辞 77 •今回ご紹介したブログを執筆してくださった皆様 •日々DevelopersIOを読んでくださる皆様 •今回このセッションを視聴しにきてくださった皆様 •今回ご紹介したブログを執筆してくださった皆様 •日々DevelopersIOを読んでくださる皆様 •今回このセッションを視聴しにきてくださった皆様 ありがとうございました！

78. None