Datadog を使ったプロダクトとクラウドの セキュリティモニタリング 実例から学ぶセキュリティ監視 / 2024-09-05 株式会社グラファー 森田 浩平

森田 浩平 / Kohei Morita 自己紹介 2018年にGMOペパボ株式会社に新卒入社。 2022年より株式会社グラファーにてプロダクトセキュリティ等に従事。 OWASP Fukuoka Chapter Leader，セキュリティ・キャンプ講師， 著書に「基礎から学ぶコンテナセキュリティ」など。

プロダクトの力で 行動を変え 社会を変える ミッション 誰もが等しくテクノロジーの恩恵を受け、自由を享受することができる社会へ。

4 行政サービスのデジタル変革

市民と行政の接点をデジタルに置き換え、行政手続きの負担をなくす 5 ※2023年6月時点の情報です。サービスの提供状況が変更となる場合があります。 Graffer 手続きガイド ~まずは必要な手続きを簡単に検索~ 1 Graffer スマート申請 ～オンラインで申請から決済まで完結~ Graffer 窓口予約 ~混雑を避けるため、あらかじめ予約をセット~ Graffer 窓口書類作成 ～窓口でもデジタルで簡単入力~ 2 3 4 選 択 質問に答える 確 認 Graffer市役所 入 力 署 名 決 済 申 請 手続きガイドと連携できる 「書かない窓口」を実現 来庁せずに、スマートフォンで手続きが行える 申請サービス本人確認から決済まですべて手元での実施が可能 簡単な質問に答えていくだけで、 自分に必要な手続きや持ち物が分かる手続き案内サービス 手続きに来庁された市民向けの申請書作成サービス 窓口への来庁予約を簡便に行えるサービス 対面で必要な手続きや相談したい場合 オンラインで できるもの 窓口に 行った後は 日時選択 予約情報入力・確認 完了

Graffer AI Solution 6 事業者向け ①生成AIプロダクト 実際に業務で生成AIを活用していきたい場合に、企業がセキュアな環境で利用できる 「Graffer AI Studio」を提供 ②生成AI活用伴走支援 生成AIをどう活用して何を解決していきたいか、生成AIによって何ができるようになる のか、課題分析やゴール設定を実施し、活用できるように伴走支援を実施 ③ 生成AI研修・人材育成 一時的にではなく中長期的に、社員一人一人が生成AIを正しく使え、業務で活用できる ようになるための、研修や人材育成のコンテンツを多数ご用意 ● 伴走支援や生成AI活用プロダクト、研修まで生成AIを業務で活用するために必要なソリューションを提供

企業向け生成AI活用プラットフォーム：Graffer AI Studio 7 事業者向け ● 汎用的に活用できるチャットサービスを起点としながら、より簡易的に生成AIを活用できるアプリケーションや、高 度な活用や定常業務の効率化につながるような機能を幅広く提供 チャットサービス ChatGPTで利用できるようなマルチターン の機能はもちろん、大企業において活用し やすいテンプレート共有機能・アカウント 管理・ログ出力・SSOやIPアドレス制限な ど多数搭載。 データ分析・処理 ／ファイル検索 ExcelやCSVなどのファイルを読み込んで集計 処理やデータ分析を行うことが可能。 また、PDFファイルをアップロードして情報 を検索、そこから要約したり文章を生成した りすることも。 カスタムモデル ユーザーが、特定の用途ごとに、入出力の基 盤となる指示などを予め設定したカスタムモ デルを作成可能。 利用時には最低限の入力指示で済むため、テ ンプレート以上に利用難易度の低減や可視性 の向上が見込まれる。 ※2024年6月時点での画面イメージであり、今後変更となる可能性あり

セキュリティモニタリングの構築 8

セキュリティモニタリングの構築 ポリシー 組織として守るべきこと 外部から要求されていること MFA を設定する バックアップは N 世代保持 ポートの解放をしないこと セキュリティ モニタリング リスクアセスメント どのような脅威が考えられるのか 誤ってバケットを公開する サーバーでのコマンド実行 DoS 監視の種類 アクター 監視の対象 コンポーネント 外部からの攻撃 内部犯 sshd RDS 攻撃の兆候・異常検知 設定不備の検知 イベント・ログ リソースの設定内容 メトリクス サプライチェーン ツールの選定 インシデント対応 監視頻度 監視運用 オーケストレーション アラート化 9

Datadog とセキュリティモニタリング https://devops.com/datadog-cloud-security-platform-advances-devsecops/

グラファーでのセキュリティモニタリング 11

グラファーでのセキュリティモニタリング 各種クラウド・SaaS SaaS も含めてあらゆるセキュリティイベントは Datadog へ集約している。柔軟な検索や可視化が容易であること、部内 全員が一定水準使えるツールであるため。CloudWatch Logs や Athena は基本的に使わない。 Log Management CSM Monitor Metrics Integrations アプリケーション・サーバー 🚨アラート 📝定期的な確認 Dashboard ログの収集 構成情報や 脆弱性等の収集 メトリクスの収集 12

ログインイベントログには Datadog が推奨する 下記の属性を含ませている。 ● usr.id ● evt.name ● evt.outcome ● network.client.ip メトリクス化し、サービスに対する不正ログイ ンが発生していないかを監視。 例1: プロダクトのセキュリティモニタリング プロダクトに対する攻撃の兆候を検知するために、重要なイベントは記録・監視を行っている。 13

例2: インフラのセキュリティモニタリング 当社は AWS を利用しており、プロダクトは EKS 上で動作している。 Datadog CSM / Workload Security によってインフラのセキュリティモニタリングを行っている。 AWS EKS Pod Pod Pod App App App ● アプリケーションログ・監査ログ ● 悪性なドメインへの接続・システムコール呼び出し ● コンテナイメージスキャン ● EKS 監査ログ ● 構成情報 ● アクティビティ・API ログ (CloudTrail) ● 脅威検出 (GuardDuty / Access Analyzer) ● などなど... GuardDuty や CloudTrail のログは監査用アカウントに集約 → Datadog Forwarder で転送している 各アカウント 監査用アカウント Datadog Forwader 集約 転送 14

例3: アラートの定義 Datadog では脅威ベースのマネージドなルール OOTB Rules [1] が提供されている。 当社では、これに加えて独自のアラートを定義 / Terraform で管理している。 [1] https://docs.datadoghq.com/ja/security/default_rules 15

例4: カスタムポリシー クラウドの利用方針・ポリシーを決めても、うっかり設定を忘れてしまったりする可能性が考えられる。 IaC の段階での検知も実施しているが、俯瞰して監査を行うためにも Datadog CSM を利用している。 方針・ポリシーを決める 実装・運用する 新しいサービスを作るぞ! … … 「🚨新規サービスがポリシーに則っていないぞ!」 ポリシーは Rego で記述し、 CSM のルールは Terraform で管理 防止したい事象例 CSM を使った検知 16

その他の取り組み Kubernetes の Audit Log や ArgoCD のイベ ントなどを集約。Pod へのアタッチなど通常 行わない API 呼び出しを確認。 アラートに至らなかった不審なイベントを見落とさないようにチームで定期的にダッシュボード等を確認している Kubernetes Audit Logs AWS CloudTrail や GuardDuty の検出を集 約。珍しい API Call がないか、国外から異常 なアクセスがないかなどを確認。 CloudTrail GitHub の Audit Log を Datadog に集約。リ ポジトリへのアクセス、インストールされた GitHub App に不審な点がないかを確認。 GitHub Audit Logs 17

We are hiring Product Developer, PdM, SRE を募集しています! https://career.graffer.inc/ 18