セキュリティ監視の内製化効率とリスク

by MIXI ENGINEERS

Slide 1

Slide 1 text

©MIXI セキュリティ監視の内製化効率とリスクセキュリティ室セキュリティ技術グループ軽部正太

Slide 2

Slide 2 text

2 ©MIXI 株式会社MIXI 名前軽部正太部署セキュリティ室セキュリティ技術グループ開発本部 CTO室 SREグループ Vantageスタジオ事業推進室仕事横断的なセキュリティ対策、新規プロジェクト開発⾃⼰紹介

Slide 3

Slide 3 text

3 ©MIXI クラウドセキュリティ監視の内製化について、MIXIでどのように効率化を⾏なっているかをお話ししつつ、内製化における課題点ついてもお話させていただきます。内製化を始めてみようという⽅が後で失敗しないように、利点と課題を把握してどのように進めるかの検討材料になればと思っています。特に以下の⽅向けの内容になっています。 ● 横断的にセキュリティの仕事を⾏っている⼈ ○ 他部署の資産が監視対象 ● クラウドセキュリティ監視専任ではない ○ 他にも仕事があるので割ける時間が限られる ○ 効率的に仕事を捌きたいはじめに

Slide 4

Slide 4 text

©MIXI 監視構成

Slide 5

Slide 5 text

5 ©MIXI ● AWS / Google Cloudをメインとしたセキュリティ監視 ○ 検知はマネージドのサービスを利用(一部内製でも検知の仕組みを導入） ○ 設定の不備や侵害の検知がメイン ○ 特定の設定を出来なくするなどの強制は行っていない ● アラートは１日100件~ほど ○ 内製のシステムによって対応を自動化することで少ない工数で対応できている ● 運用体制は2人 ○ フルで張り付いているわけではなく、業務の一部でアラートを対応 ● 内製化のシステムで効率化+監視の強化を⾏なっている監視体制

Slide 6

Slide 6 text

6 ©MIXI ● Amazon Web Services ○ 約100アカウント ● Google Cloud ○ 4組織 / 100プロジェクト以上 ● Microsoft Azure (絶賛構築中) ○ 10~ ○ ※監視基盤との連携はこれから監視アカウント

Slide 7

Slide 7 text

7 ©MIXI ● AWS CloudTrail ○ 監査ログ ● AWS CloudTrail Insights ○ 異常なアクティビティの検出 ● Amazon GuardDuty ○ 脅威検出 ● AWS Conﬁg / 設定監視ツール ○ 設定の監視を行う Amazon Web Servicesの監視設定

Slide 8

Slide 8 text

8 ©MIXI Amazon Web Servicesの監視設定 ● Amazon Inspector ○ 脆弱性管理 ● AWS Security Hub ○ セキュリティアラートの一元化 ● AWS IAM Access Analyzer ○ AWS IAMに特化した検知やポリシーの作成をしてくれるサービス

Slide 9

Slide 9 text

9 ©MIXI ● Security Command Center ○ 設定の監視と脅威の検知 ● リソース収集ツール ○ Security Command Centerだけでは不十分な所を補っています ○ Google Cloud上の各種リソースの設定を収集して監視基盤に送っています Google Cloudの監視設定

Slide 10

Slide 10 text

10 ©MIXI ● Defender for Cloud ○ 設定の監視と脅威の検知 ● Azure Lighthouse ○ 他テナント・サブスクリプションのリソース収集 ※ 絶賛構築中なので変わる可能性あります！ Microsoft Azureの監視設定

Slide 11

Slide 11 text

©MIXI 内製基盤

Slide 12

Slide 12 text

12 ©MIXI AWS上に構築している、セキュリティ監視の課題を解決し効率化するための基盤です。内製化前の運⽤ではこんな課題がありました。 ● 内製化前はアラートをSlackに通知しているだけだった ○ プロジェクトも多く、それに比例してアラートも大量にあるため管理がかなり辛い ● 過去の似たような対応を探すのも⾟い ● アラートの通知がサービスごとにばらけてる ● アラートの調査で時間がかかるので効率的に⾃動でやりたい内製の監視基盤

Slide 13

Slide 13 text

13 ©MIXI 先ほどの課題を解決するために内製化では以下のような機能を作成して効率化を達成しています。これらの機能によって、1⽇100件を超えるアラートを少ないリソースで効率的に捌けています。 ● アラートのチケット化による管理 ● アラートの評価機能 ● アラートに関連する情報の⾃動調査とチケットへのコメント ● アラートの⾃動クローズ機能 ● 各リソースから独⾃のアラートを作成する機能 ● etc… 内製化による課題解決

Slide 14

Slide 14 text

14 ©MIXI どのように効率化や監視を強化しているか⼀部紹介したいと思います。アラートのチケット化による管理各クラウド/各サービスに散らばっているアラートの情報を⼀箇所にまとめてチケット管理するようにしてしています。（チケットはGithubのIssueを利⽤) 基本的にそこでオープンなチケットを⾒るだけで対応が必要なアラートがわかるようになっています。対応履歴もそこに残しておくことで、似たようなアラートがあった場合や、同じアラートが再オープンされた際も過去の経緯を確認しながら対応が⾏えます。どう効率化しているか？

Slide 15

Slide 15 text

15 ©MIXI アラートの評価機能各アラートについて対応が必要ないものをフィルタしたり、優先度を⾼く対応したいアラートに関しては優先的に対応できるようにするといったことも⾏っています。これはアラートの中⾝と外部のリソースを紐づけたりなど、柔軟にルールが設定可能となっています。最終的に対応や確認が必要なものがチケット化されます。アラートに関連する情報の⾃動調査とチケットへのコメントチケット化されたアラートに対して、確認に必要な情報を⾃動で調査してコメントする機能もあります。これによって⼿作業で調査していたコストを削減しています。どう効率化しているか？

Slide 16

Slide 16 text

16 ©MIXI どう効率化しているか？アラートの⾃動クローズ機能アラートのステータスが対応済みと判断できるものについては、対応するチケットを⾃動でクローズする機能もあります。これによって毎回⼿動で対応の完了確認を⾏わず、機械的にチケットの対応を完了することができます。各リソースから独⾃のアラートを作成する機能効率化というよりは監視の強化になりますが、アラートだけでなく各クラウドのリソースを収集しており、そこに危険な設定がないかチェックし、あればアラートと同様にチケット化する仕組みもあります。これによって、マネージドのサービスだけでは不⾜している部分を補っています。

Slide 17

Slide 17 text

17 ©MIXI 監視の構成

Slide 18

Slide 18 text

©MIXI 内製化の課題点

Slide 19

Slide 19 text

19 ©MIXI 内製化はメリットもたくさんありますが、それと同時にさまざまな課題も発生します。特に、限られたリソースで内製化を成功させるためには、さまざまな要素を考慮する必要があります。そこで、内製化での課題についても見ていき、失敗を避けるためのポイントを探っていきたいと思います。内製化における課題

Slide 20

Slide 20 text

20 ©MIXI 大きなシステムになるほど高いコントロールを実現できるという大きなメリットがありますが、反面リソースと時間の投資が必要になり、設計も複雑になってきます。また、セキュリティに関する知識だけでなく、アプリケーション設計や、可用性を意識したインフラ設計の知識など、専門的なスキルも求められます。これらを適切に設計できなければ、かえって組織にとって負担となる可能性があります。 ● アップデートしにくい環境 ○ 毎回複雑な手順が求められて時間がかかる ... ● エラーが多発してずっとエラー対応に時間がとられる ... ● すぐ落ちるインフラ環境 ● アラートが消える/届かない ○ これは致命的個⼈的にはいきなり⼤きなものを作らずに、⼩規模なものから始めて徐々に拡張していくのがオススメです ① 幅広い知識が必要になってくる

Slide 21

Slide 21 text

21 ©MIXI 内製化には初期段階での開発や実装にかかるコストだけでなく、システムを運用し続けるためのコストが発生します。これが内製化のリスクのポイントで、内製化を進める際はここを特に意識して進めるのが良いかと思っています。現在の監視コスト < 内製化の実装/運⽤コスト＋監視コストにならないように注意！(効率化の場合) 運用コストとして考えられるのは例えば以下のようなものがあります。 ● アプリケーションのアップデート ● サーバー管理 ○ OSアップデート、脆弱性管理... ● 外部システムのアップデート対応 ● エラー対応 ○ アプリケーションエラー、関連システムの障害、システムのレートリミット... ● etc… ②運⽤コスト

Slide 22

Slide 22 text

22 ©MIXI ③⼈員の流動性内製化を進める際、担当者に知識が偏りがちになることが課題となります。特に、担当者が異動や退職した場合、その知識や経験が失われることで、システムの運用が難しくなるリスクがあります。一般的な対応策として、ドキュメント化や人材の冗長化が挙げられますが、リソースが限られている状況では、これらの対策を十分に実施することが難しい場合もあります。場合によっては内製部分は必要最低限にしつつ、マネージドで妥協できる部分は委ねてしまうのも手かと思います。これにより、内製化の柔軟性等のメリットを失う可能性はありますが、長期の安定運用を目指す場合の選択肢としては有効だと思います。

Slide 23

Slide 23 text

©MIXI まとめ

Slide 24

Slide 24 text

24 ©MIXI 今回はセキュリティ監視の内製化における実例と共に、課題点についてもお話させていただきました。内製化による効率化は自由度が高く、課題に対してピンポイントにアプローチできる利点があります。その一方で内製化に伴う課題も無視できません。組織の体制や皆さんの業務内容に応じて、その最適なバランスを見極める一助になれば幸いです。ご清聴ありがとうございました。まとめ