Slide 1
Slide 1 text
防衛への一歩!
AWSアカウントを不正利用から
守るための必須防止対策ナビ
2023/7/7
AWS事業本部 松波花奈
Slide 2
Slide 2 text
自分の身(アカウント)は
自分で守ろう
本セッションのテーマ 2
Slide 3
Slide 3 text
自己紹介
名前:松波 花奈(まつなみ かな)/ おつまみ
所属:AWS事業本部コンサルティング部
経歴:Slerでシステムエンジニア(約4年半)
クラスメソッド(2022/9~)
好きなサービス:AWS Security Hub
3
Slide 4
Slide 4 text
本セッションの対象者 4
●AWSの基本的な概念は知っている方
●AWSを使う上でセキュリティ対策に不安がある方
●AWSアカウントの管理者
Slide 5
Slide 5 text
本セッションのゴール 5
●AWSアカウントの不正利用による被害を理解する
●実際に不正利用が起きてしまったときのフローを知っ
ておく
●セッション後、すぐに必須防止対策を実施できるように
なる ゴールに必要なことをお
話しします
Slide 6
Slide 6 text
本題の前に 6
軽い前置き
Slide 7
Slide 7 text
不正利用時の復旧支援サービス 7
不正利用時の復旧支援
Slide 8
Slide 8 text
アジェンダ 8
前半
1. AWSアカウントの不正利用とは?
2. AWS不正利用の具体例・被害
後半
1. AWS不正利用対策の進め方
2. 具体的な対策方法
3. おわりに
Slide 9
Slide 9 text
アジェンダ 9
前半
1. AWSアカウントの不正利用とは?
2. AWS不正利用の具体例・被害
後半
1. AWS不正利用対策の進め方
2. 具体的な対策方法
3. おわりに
Slide 10
Slide 10 text
AWSアカウントの不正利用とは?
第三者が
AWSアカウントの認証情報を盗んだり、
セキュリティの脆弱性をついてAWSリソースに不
正アクセスしたりすること
10
Slide 11
Slide 11 text
AWSアカウントの不正利用による悪影響 11
多額のコスト
が要求される
サービス品質が
悪化する
法的・規制上の問題が
生じることがある
Slide 12
Slide 12 text
AWSの不正利用は誰も得しない
12
Slide 13
Slide 13 text
13
AWS利用者
多額のコスト請求
無駄なリソース消費
ステークホルダー全体に悪影響
エンドユーザー
サービス利用不可
Slide 14
Slide 14 text
14
不正利用の具体例
Slide 15
Slide 15 text
①アクセスキー漏洩 15
Slide 16
Slide 16 text
①アクセスキー漏洩 16
Slide 17
Slide 17 text
②IAMユーザーのパスワード流出 17
Slide 18
Slide 18 text
③アプリケーションの脆弱性をついた攻撃 18
S3バケットの設
定ミス
↓
データ漏洩
SSHポート開放
↓
EC2インスタンス
への不正アクセス
WAFの設定ミス
↓
個人情報漏洩
Slide 19
Slide 19 text
19
不正利用による被害
Slide 20
Slide 20 text
1. 多額の利用費請求 20
Slide 21
Slide 21 text
2. 情報漏洩 21
データ漏洩 スナップショットから復元
アクセスキー漏洩
Slide 22
Slide 22 text
3. 攻撃の加害者になる 22
Slide 23
Slide 23 text
前半まとめ 23
●不正利用の具体例
○ アクセスキー漏洩
○ IAMユーザーのパスワード流出
○ アプリケーションの脆弱性をついた攻撃
●不正利用の被害
○ 多額の利用費請求
○ 情報漏洩
○ 攻撃の加害者になる
Slide 24
Slide 24 text
アジェンダ 24
前半
1. AWSアカウントの不正利用とは?
2. AWS不正利用の具体例・被害
後半
1. AWS不正利用対策の進め方
2. 具体的な対策方法
3. おわりに
Slide 25
Slide 25 text
AWSからの〇〇が受け取れるように
設定されていますか?
25
Slide 26
Slide 26 text
AWSからの通知が受け取れるように
設定されていますか?
26
Slide 27
Slide 27 text
メール通知例 27
件名:Your Amazon EC2 Abuse Report
Slide 28
Slide 28 text
2カ所で通知設定できる 28
参考
:https://docs.aws.amazon.com/ja_jp/accounts/latest/reference/manage-acct-updat
e-contact.html
Slide 29
Slide 29 text
Slackにも連携しよう 29
参考ブログ:https://dev.classmethod.jp/articles/abuse-chatbot-slack/
Slide 30
Slide 30 text
メンバーズのお客様はポータルサイトから 30
Slide 31
Slide 31 text
不正利用が発生した場合の対応
STEP 01
31
STEP 02 STEP 03
臨時対応 必須防止対策 恒久対策
1時間以内 1~2日以内 1ヶ月以内
Slide 32
Slide 32 text
32
1.臨時対応
Slide 33
Slide 33 text
すぐにアクセスキーを無効化・削除する
アクセスキー漏洩の場合
33
Slide 34
Slide 34 text
AWSアカウントの調査観点 34
IAM認証情報
レポート
IAMよって実行された
不正なアクションを特定
CloudTrail
アカウントに対する不正アク
セスや変更を特定
Trusted Advisor
承認されていないリソース/
IAM ユーザーの作成を特定
参考:https://repost.aws/ja/knowledge-center/potential-account-compromise
Slide 35
Slide 35 text
詳細な対応について知りたい方 35
参考ブログ:https://dev.classmethod.jp/articles/leak-accesskey-what-do-i-do
Slide 36
Slide 36 text
メンバーズのお客様は弊社にて調査実施
アクセスキー漏洩の場合
36
Slide 37
Slide 37 text
37
2. 必須防止対策
Slide 38
Slide 38 text
必須防止対策 38
01
IAMの棚卸し・アクセスキー
漏洩防止ソリューション導入
02
セキュリティサービスの有効化
03
Security HubによるAWS環境のセキュリ
ティ状況スコアリング
04
GuardDutyによる
脅威検知の暫定体制づくり
Slide 39
Slide 39 text
必須防止対策 39
01
IAMの棚卸し・アクセスキー
漏洩防止ソリューション導入
02
セキュリティサービスの有効化
03
Security HubによるAWS環境のセキュリ
ティ状況スコアリング
04
GuardDutyによる
脅威検知の暫定体制づくり
Slide 40
Slide 40 text
CloudTrailは有効化されていますか?
AWS リソースを記録するサービス
● 「誰が」
● 「いつ」
● 「何に対して」
● 「どのような」操作をしたのか
40
参考ブログ:https://dev.classmethod.jp/articles/securityhub-fsbp-remediation-cloudtrail-1/
Slide 41
Slide 41 text
CloudTrailのイベント履歴 41
ユーザー名
発信元IPアドレス
対象のリソースなど
詳細を確認
Slide 42
Slide 42 text
AWS Configは有効化されていますか?
AWS リソースの変更の追跡を⼿うこ
とができるサービス
42
参考ブログ:https://dev.classmethod.jp/articles/securityhub-fsbp-remediation-config-1/
Slide 43
Slide 43 text
Configのタイムライン 43
イベント時間
ユーザー名
イベント名など
を記録
Slide 44
Slide 44 text
リソース変更が多い場合は注意 44
参考ブログ:https://dev.classmethod.jp/articles/aws-config-amazon-athena/
Slide 45
Slide 45 text
Security Hubは有効化されていますか?
セキュリティのコンプライアンスとス
テータスを⼿括で管理できるサービス
45
参考ブログ:https://dev.classmethod.jp/articles/lets-learn-aws-security-hub/
Slide 46
Slide 46 text
Security Hubのセキュリティチェック 46
Slide 47
Slide 47 text
GuardDutyは有効化されていますか?
AWS環境を継続的にモニタリングし
て、セキュリティに関する異常を検出
してくれるサービス
47
参考ブログ
:https://dev.classmethod.jp/articles/securityhub-fsbp-remediation-guardduty-1/
Slide 48
Slide 48 text
GuardDutyのサマリーダッシュボード 48
Slide 49
Slide 49 text
必須防止対策 49
01
IAMの棚卸し・アクセスキー
漏洩防止ソリューション導入
02
セキュリティサービスの有効化
03
Security HubによるAWS環境のセキュリ
ティ状況スコアリング
04
GuardDutyによる
脅威検知の暫定体制づくり
Slide 50
Slide 50 text
IAMの概念知っていますか? 50
AWS Foundations: Securing Your AWS Cloud (Japanese) (⽇本語吹き替え版)
:AWSセキュリティの基本(50分)
Introduction to AWS Identity and Access Management (IAM) (Japanese) (⽇本語
吹き替え版) :簡単なIAMの概要(10分)
Slide 51
Slide 51 text
不要なIAMユーザー・アクセスキーを管理していませんか? 51
参考ブログ:https://dev.classmethod.jp/articles/inventory-iam-users-and-access-keys-in-iam-report/
削除基準
● 90⼿間以上ログイン・使用されていない
● 退職、異動、⼿時的に作成したものが残っている等で、不要となっている
Slide 52
Slide 52 text
IAMユーザーのパスワードポリシーは強固ですか? 52
参考動画:https://www.youtube.com/watch?v=C2I5JefT8Zg
NISCに準拠する場合、パスワード
最小文字数は10文字以上
Slide 53
Slide 53 text
IAMユーザーのMFAは有効化されていますか? 53
参考ブログ:https://dev.classmethod.jp/articles/mfa-for-iam-user-management/
Slide 54
Slide 54 text
不要なIAMロールを管理していませんか? 54
参考ブログ:https://dev.classmethod.jp/articles/inventory-iam-resources
削除基準
● 90⼿間以上使用されていない
● ⼿時的に作成したものが残っている等で、不要となっている
Slide 55
Slide 55 text
git-secretsは導入されていますか? 55
参考ブログ:https://dev.classmethod.jp/articles/startup-git-secrets/
Slide 56
Slide 56 text
IAMユーザー・ロールに強力な権限を与えていませんか? 56
参考ブログ
:https://dev.classmethod.jp/articles/inventory-powerful-authority-iam-users-and-roles/
Slide 57
Slide 57 text
必須防止対策 57
01
IAMの棚卸し・アクセスキー
漏洩防止ソリューション導入
02
セキュリティサービスの有効化
03
Security HubによるAWS環境のセキュリ
ティ状況スコアリング
04
GuardDutyによる
脅威検知の暫定体制づくり
Slide 58
Slide 58 text
有効化したまま放置していませんか? 58
Slide 59
Slide 59 text
スコア100%にしましょう! 59
1. 修復⼿順に沿って、修復
2. 修復せずリソースを抑制済みとして登録
3. 修復せずルールを無効化
Slide 60
Slide 60 text
修復必須項目 ※2023.7時点
●CloudFront.1
●CloudTrail.1
●CodeBuild.1
●CodeBuild.2
●Config.1
●EC2.1
●EC2.2
●EC2.16
●EC2.18
●EC2.19
●ECS.1
60
●ECS.2
●ECS.3
●ECS.4
●ElasticBeanstalk.2
●GuardDuty.1
●IAM.1
●IAM.5
●IAM.7
●IAM.8
●IAM.21
●Lambda.1
●Lambda.2
●RDS.1
●RDS.2
●RDS.18
●Redshift.1
●Redshift.7
●S3.2
●S3.3
●S3.6
●S3.8
●SSM.4
Slide 61
Slide 61 text
参考:修復手順ブログ 61
https://dev.classmethod.jp/referencecat/securityhub-fsbp-remediation/
Slide 62
Slide 62 text
参考:Classmethod Cloud Guidebook 62
参考ブログ:https://dev.classmethod.jp/articles/how-to-use-ccg/
Slide 63
Slide 63 text
必須防止対策 63
01
IAMの棚卸し・アクセスキー
漏洩防止ソリューション導入
02
セキュリティサービスの有効化
03
Security HubによるAWS環境のセキュリ
ティ状況スコアリング
04
GuardDutyによる
脅威検知の暫定体制づくり
Slide 64
Slide 64 text
GuardDutyの通知先は設定されていますか? 64
参考動画:https://www.youtube.com/watch?v=ExK6MJWT1y0
Slide 65
Slide 65 text
65
参考ブログ:https://dev.classmethod.jp/articles/notify_guardduty_by_severity/
Slack連携もおすすめ
Slide 66
Slide 66 text
66
脅威を検知した際の対応方法を把握していますか?
参考:https://dev.classmethod.jp/articles/guardduty-firstaction/
https://docs.aws.amazon.com/ja_jp/guardduty/latest/ug/guardduty_finding-types-active.html
重要度別に関わらず、
基本全て対応
Slide 67
Slide 67 text
67
GuardDutyの通知が多すぎて困っていませんか?
抑制方針
●実際に通知があった検出結果のみを抑制。
検出される前から抑制ルールを作成することは避ける。
●繰り返し通知があった検出結果に対して抑制ルールを作成。
●可能な限り細かい単位で抑制ルールを作成。
(例:S3のブロックパブリックアクセス無効の通知を抑制する際は
Bucket nameも必ず条件に加える)
Slide 68
Slide 68 text
68
参考ブログ:https://dev.classmethod.jp/articles/aws-guardduty-suppression-rules-2022/
抑制ルールでノイズを減らしましょう
Slide 69
Slide 69 text
すべて対応できていましたか? 69
01
IAMの棚卸し・アクセスキー
漏洩防止ソリューション導入
02
セキュリティサービスの有効化
03
Security HubによるAWS環境のセキュリ
ティ状況スコアリング
04
GuardDutyによる
脅威検知の暫定体制づくり
Slide 70
Slide 70 text
70
3. 恒久対策
Slide 71
Slide 71 text
恒久対策(1/3)
●セキュリティ管理体制の確立
○ 会社全体のセキュリティを管理するチーム(セキュリティ部門
・CSIRT・SOC等)の確立
○ クラウドを利用した環境の開発・運用のガイドライン策定や支援の体
制づくり
○ アーキテクチャのセキュリティや実装のレビューフロー整備
■ Well-Architectedフレームワークに沿った設計・構築レビュー
○ 人材育成・有資格者確保(AWS Certified Security - Specialty等)
71
Slide 72
Slide 72 text
恒久対策(2/3)
●AWS環境全体設計
○ AWSアカウント情報集約
○ AWSアカウント発行フロー整備
○ AWSアカウント管理者・責任範囲の明文化
●予防的統制
○ IAM Access Analyzerの使用
●発見的統制
○ Detectiveの利用
72
Slide 73
Slide 73 text
恒久対策(3/3)
●アプリレイヤーのセキュリティ管理
○ 脆弱性管理(OS/コンテナ/ミドルウェア/言語ライブラリ)・診断
○ アンチマルウェア
○ 多層防御(IDS/IPS/変更管理)
○ モニタリング・ロギング
○ アプリケーション保護
○ CI/CD
73
Slide 74
Slide 74 text
中級〜上級の対策がおすすめ 74
参考ブログ:https://dev.classmethod.jp/articles/aws-security-all-in-one-2021/
Slide 75
Slide 75 text
75
まとめ
Slide 76
Slide 76 text
本セッションのゴール 76
●AWSアカウントの不正利用による被害を理解する
●実際に不正利用が起きてしまったときのフローを知っ
ておく
●セッション後、すぐに必須防止対策を実施できるように
なる ゴールに必要なことをお
話ししました
Slide 77
Slide 77 text
謝辞 77
●今回ご紹介したブログを執筆してくださった皆様
●日々DevelopersIOを読んでくださる皆様
●今回このセッションを視聴しにきてくださった皆様
●今回ご紹介したブログを執筆してくださった皆様
●日々DevelopersIOを読んでくださる皆様
●今回このセッションを視聴しにきてくださった皆様
ありがとうございました!
Slide 78
Slide 78 text
No content