Slide 1
Slide 1 text
Copyright coconala Inc. All Rights Reserved.
SIEM on Amazon OpenSearch
Serviceを活用しよう!
~WAFログ分析の課題と勘所~
株式会社ココナラ
システムプラットフォーム部
システムプラットフォームグループ
川崎 雄太
Slide 2
Slide 2 text
Copyright coconala Inc. All Rights Reserved.
2
Agenda
ココナラで抱えていたセキュリティの課題
SIEM on Amazon OpenSearch Serviceによる打ち手
AWS社とのコラボレーションによる対策推進
今後のテーマ
まとめ
1
2
3
4
5
Slide 3
Slide 3 text
Copyright coconala Inc. All Rights Reserved.
発表者紹介
3
川崎 雄太 Yuta Kawasaki
株式会社ココナラ
システムプラットフォーム部
システムプラットフォームグループ
Group Manager
2020年 株式会社ココナラ入社
プロダクトインフラ・SRE領域と社内情報システ
ム領域を担当
2021年にCSIRT立ち上げから携わり、セキュリ
ティの企画から運用まで従事
Slide 4
Slide 4 text
一人ひとりが「自分のストーリー」を
生きていく世の中を作る
Slide 5
Slide 5 text
Copyright coconala Inc. All Rights Reserved.
5
知識・スキル・経験を商品化して
「ECのように売買できる」マッチングプラットフォーム
product
ココナラの事業内容
Slide 6
Slide 6 text
Copyright coconala Inc. All Rights Reserved.
6
スキルシェア領域において圧倒的No.1を目指す
知識・スキル・経験を商品化し、「ECのように売り買いできる」
マッチング型プラットフォーム。
6
スキルマーケット「ココナラ」とは?(
1/2)
Slide 7
Slide 7 text
Copyright coconala Inc. All Rights Reserved.
各主要KPI共に継続的に増加
会員登録者数は 296万人以上(2022年5月時点)
スキルマーケット「ココナラ」とは?(
2/2)
Slide 8
Slide 8 text
Copyright coconala Inc. All Rights Reserved.
ココナラのセキュリティ組織(1/2)
8
「CSIRT」がプロダクト・社内情報システムの両方を見る
● 2021年9月にCSIRTを立ち上げた。
○ それまではセキュリティ専門組織はなく、インフラ
・SREエンジニアが手の空いたときに対応
● 2022年9月時点で3名の組織、プロダクト・社内情報システ
ム両方のセキュリティ施策の企画からモニタリング運用まで
担当している。
○ リソースが限られているので、優先度の高い施策を効
率的に遂行することが不可欠
Slide 9
Slide 9 text
Copyright coconala Inc. All Rights Reserved.
ココナラのセキュリティ組織(2/2)
9
社員数は増加中、セキュリティの役割範囲はより広がる
※2021年8月の情報
「社員数が増加する
=セキュリティリスク
にさらされる機会が増
える」という構図のた
め、CSIRTに求めら
れる期待値も高
まっていく。
Slide 10
Slide 10 text
Copyright coconala Inc. All Rights Reserved.
ココナラで抱えていたセキュリティの課題
Chapter 01
10
Slide 11
Slide 11 text
Copyright coconala Inc. All Rights Reserved.
2021年CSIRT立ち上げ時のセキュリティ課題
11
現状の認識が弱く、どの順番で何をすればよいか?が不明確
● セキュリティの専門部署がなく、どのようにロードマップを描
き、合意形成し、計画して登っていけばよいか不明確。
● セキュリティの課題がリストアップされておらず、「もぐらたた
き」で対応をしていた。
● 自己流でログの取得だけは行っていたが、プロアクティブ・
リアクティブな活用が出来ていない。
○ 今回はここにフォーカス!
Slide 12
Slide 12 text
Copyright coconala Inc. All Rights Reserved.
【参考】セキュリティ課題の対応サマリ(
1/2)
12
内部脅威・外部脅威に分類し、状況の可視化を実現
※2021年時点の状況
数字が小さいところが
対策できていない箇
所=優先して対応す
べき事項。
例えば、DDoS攻撃
や脆弱性攻撃の対
策が不十分だった。
Slide 13
Slide 13 text
Copyright coconala Inc. All Rights Reserved.
【参考】セキュリティ課題の対応サマリ(
2/2)
13
月次でセキュリティ課題の状況をモニタリングする運用を実現
Slide 14
Slide 14 text
Copyright coconala Inc. All Rights Reserved.
話を戻しますが、
今回のテーマはこちらです。
14
Slide 15
Slide 15 text
Copyright coconala Inc. All Rights Reserved.
セキュリティログの分析。
特に「WAFログ」にフォーカスして、課題
や勘所をお伝えします。
15
Slide 16
Slide 16 text
Copyright coconala Inc. All Rights Reserved.
SIEM on Amazon OpenSearch Serviceによ
る打ち手
Chapter 02
16
Slide 17
Slide 17 text
Copyright coconala Inc. All Rights Reserved.
セキュリティログ分析とは?
(私個人の解釈で説明します)
17
Slide 18
Slide 18 text
Copyright coconala Inc. All Rights Reserved.
セキュリティログ分析とは?
18
システムのコンディション把握と打ち手の創出をすること
● 分析、検知、監査、監視など目的は様々だが、「ある時点
のシステムの状態(コンディション)を把握」し、そこ
から「対応が必要な場合の打ち手を創出する」こと
を目的としている。
● システムの規模が多くなればなるほど、ログの量が膨大と
なるため、分析の仕組みが不可欠となる。
Slide 19
Slide 19 text
Copyright coconala Inc. All Rights Reserved.
では、WAFログのセキュリティ分析は何
が難しいか?
19
Slide 20
Slide 20 text
Copyright coconala Inc. All Rights Reserved.
まずはそのままのデータ形式では、
人に読みやすくないこと。
20
Slide 21
Slide 21 text
Copyright coconala Inc. All Rights Reserved.
21
## WAFログのサンプル
{"timestamp":1660500016184,"formatVersion":1,"webaclId":"arn:aws:wafv2:xxxxxxxxxx:x
xxxxxxxxxxx:regional/webacl/coconala-xxx-xxx/fa1c1322-be20-40b4-bd60-57a76114df6
5","terminatingRuleId":"Default_Action","terminatingRuleType":"REGULAR","action":"ALL
OW","terminatingRuleMatchDetails":[],"httpSourceName":"ALB","httpSourceId":"xxxxxxxx
xxxx-app/coconala-xxxxxxxxx/62e94fe4ea5bbd7d","ruleGroupList":
〜〜中略〜〜
"requestHeadersInserted":null,"responseCodeSent":null,"httpRequest":{"clientIp":"xxx.xx
x.xxx.xxx","country":"JP","headers":[{"name":"host","value":"coconala.com"},{"name":"acc
ept","value":"application/octet-stream,image/x-icon,image/jpg,image/jpeg,image/png,ima
ge/x-win-bitmap,image/ico,image/x-bmp,image/tiff,image/gif,image/bmp,image/x-xbitmap
,binary/octet-stream,image/x-ms-bmp"},{"name":"user-agent","value":"Coconala/x.xx.x
(com.coconala.ios.portal; build:x.xx.x; iOS xx.x.x)
〜〜後略〜〜
Slide 22
Slide 22 text
Copyright coconala Inc. All Rights Reserved.
???
なんとなくわかるところもあるが、
ほとんどわからない…
22
Slide 23
Slide 23 text
Copyright coconala Inc. All Rights Reserved.
次に、ログの量が膨大。
ココナラでは1日で120GB以上。
人が1つ1つ確認するのは非現実的。
23
Slide 24
Slide 24 text
Copyright coconala Inc. All Rights Reserved.
そこで「SIEM on Amazon OpenSearch
Service」の出番。
ココナラではアクセス状況や攻撃・インシデン
トの可視化・予測を行うことを
目的として導入した。
24
Slide 25
Slide 25 text
Copyright coconala Inc. All Rights Reserved.
SIEM on Amazon OpenSearch Serviceとは?(1/2)
25
AWSサービスのログ可視化やセキュリティ分析を可能にする
● SIEMはSecurity Infomation and Event Managementの
略であらゆるログの収集と一元管理を行い、相関分析に
よる脅威検出とインシデントレスポンスをサポート。
● オープンソースのOpenSearchとKibanaを用いて、上記を
実現している。
Slide 26
Slide 26 text
Copyright coconala Inc. All Rights Reserved.
SIEM on Amazon OpenSearch Serviceとは?(2/2)
26
Slide 27
Slide 27 text
Copyright coconala Inc. All Rights Reserved.
SIEM on Amazon OpenSearch Serviceでモニタリングしているもの
27
主には以下の4つ、随時モニタリング可能なものを拡充中
● AWS WAF
● Amazon Elastic Load Balancing
● Amazon GuardDuty
● AWS CloudTrail
Slide 28
Slide 28 text
Copyright coconala Inc. All Rights Reserved.
ココナラのセキュリティ基盤イメージ図(代表的なサービスのみ記載)
28
Slide 29
Slide 29 text
Copyright coconala Inc. All Rights Reserved.
SIEM on Amazon OpenSearch Serviceを用いたWAFログのモニタリング(1/7)
29
日次で傾向把握と分析、過去との比較からパターン化
● 予めAWSサービスごとのダッシュボードが準備されている
ため、所定のS3へログを格納するだけで、可視化・分析が
可能。可視化したデータを日次で分析。
○ クロスアカウントのS3レプリケーションで実現
● ココナラは国内を中心にサービスをしているため、国内・海
外のIPアドレスによるアクセス状況 / ブロック状況 / エ
ラー発生状況などをモニタリングする。
Slide 30
Slide 30 text
Copyright coconala Inc. All Rights Reserved.
SIEM on Amazon OpenSearch Serviceを用いたWAFログのモニタリング(2/7)
30
システム全体のアクセス状況を把握
Slide 31
Slide 31 text
Copyright coconala Inc. All Rights Reserved.
SIEM on Amazon OpenSearch Serviceを用いたWAFログのモニタリング(3/7)
31
システム全体のアクセス状況を把握
Slide 32
Slide 32 text
Copyright coconala Inc. All Rights Reserved.
SIEM on Amazon OpenSearch Serviceを用いたWAFログのモニタリング(4/7)
32
アクセス状況の詳細を把握、分析
Slide 33
Slide 33 text
Copyright coconala Inc. All Rights Reserved.
SIEM on Amazon OpenSearch Serviceを用いたWAFログのモニタリング(5/7)
33
アクセス状況の詳細を把握、分析
Slide 34
Slide 34 text
Copyright coconala Inc. All Rights Reserved.
SIEM on Amazon OpenSearch Serviceを用いたWAFログのモニタリング(6/7)
34
WAFログ1行1行を人にわかりやすい形で確認
Slide 35
Slide 35 text
Copyright coconala Inc. All Rights Reserved.
SIEM on Amazon OpenSearch Serviceを用いたWAFログのモニタリング(7/7)
35
WAFログ1行1行を人にわかりやすい形で確認
Slide 36
Slide 36 text
Copyright coconala Inc. All Rights Reserved.
ココナラで実践しているセキュリティモニタリング運用
36
毎営業日モニタリングを実施し、アクションを創出する
毎営業日17:00時
点の情報で定点確
認(WAFログ以外
も含めて、レポート
作成)
問題があれば、毎
営業日18:00に
CSIRTで集まり、
議論
当日〜翌日以降の
アクションを決め
て、チケット化
Slide 37
Slide 37 text
Copyright coconala Inc. All Rights Reserved.
【参考】ココナラにおけるセキュリティモニタリング(
1/2)
37
ログイン試行回数、侵入検知状況などもモニタリング
Slide 38
Slide 38 text
Copyright coconala Inc. All Rights Reserved.
【参考】ココナラにおけるセキュリティモニタリング(
2/2)
38
日次モニタリングを待たずに侵入行為やWAFブロック状況を検知
Slide 39
Slide 39 text
Copyright coconala Inc. All Rights Reserved.
SIEM on Amazon OpenSearch Serviceでのモニタリングの効果
39
2022年からモニタリング運用をローンチ、効果は上々
● WAFのブロックルールに合致しない悪意のある or お行
儀の悪いアクセスをしているIPアドレスを30以上捕捉
し、ブロックを実施。
○ 累計1,000万回以上のアクセスをブロックし、正規の
ユーザーのアクセスを守っている
● また、AWS WAF Bot Controlを並用し、botのアクセス状況
(例えば、20%以上はbotアクセス)を把握。
○ 詳細はAppendix参照
Slide 40
Slide 40 text
Copyright coconala Inc. All Rights Reserved.
AWS社とのコラボレーションによる
対策推進
Chapter 03
40
Slide 41
Slide 41 text
Copyright coconala Inc. All Rights Reserved.
ココナラが採用したアプローチ(1/2)
41
AWS社と定例MTGを設けることで、検討の加速度を上げる
● ココナラではAWS社と月例会や個別テーマの定例を設けて
おり、その1つが「セキュリティ」をテーマにしたもの
であった。
● その中で「Well−Architectedツール」のレビューも実施して
もらった。
○ 「SEC4.セキュリティイベントをどのように検出
し、調査していますか?」がWAFログ分析
Slide 42
Slide 42 text
Copyright coconala Inc. All Rights Reserved.
ココナラが採用したアプローチ(2/2)
42
SIEM on Amazon OpenSearch Serviceの個別ハンズオン実施
● 1day / 3時間のハンズオンを個別に実施。
○ ココナラの参加者はCSIRTとインフラ・SRE
● 以下のワークショップコンテンツに従って、環境構築から模
擬運用まで実践することで、PoC工数・期間を省き、本格運
用を開始。
○ https://catalog.us-east-1.prod.workshops.aws/works
hops/60a6ee4e-e32d-42f5-bd9b-4a2f7c135a72/en-
US/01-introduction
Slide 43
Slide 43 text
Copyright coconala Inc. All Rights Reserved.
今後のテーマ
Chapter 04
43
Slide 44
Slide 44 text
Copyright coconala Inc. All Rights Reserved.
今後のテーマ(1/2)
44
一度、導入して終わりではなく、継続したリファクタリングを行う
● 攻撃は日々進化しているため、防御策も日々チューニング
/ リファクタリングを行う必要がある。
○ ソリューションは「導入する」よりも「導入後の運用」
が重要
○ 「リアクティブ」だけでなく、「プロアクティブ」な仕掛
けが重要
Slide 45
Slide 45 text
Copyright coconala Inc. All Rights Reserved.
今後のテーマ(2/2)
45
経営層にセキュリティ対策の必要性・効果を理解してもらう
● セキュリティ強化を進めていくためには、経営層の理解が
不可欠。
○ 「インシデント発生時の対応費」 > 「セキュリティ対
策費」という構図を理解してもらい、経営層と一緒に
セキュリティ対策を進めていく
● 予算は限られるので、効率的・効果的に対策を進めること
が重要。
Slide 46
Slide 46 text
Copyright coconala Inc. All Rights Reserved.
まとめ
Chapter 05
46
Slide 47
Slide 47 text
Copyright coconala Inc. All Rights Reserved.
まとめ
47
WAFログ等からプロアクティブなアクションを創出、周りを巻き込む
● WAFログの内容を正しく理解すればリアクティブ / プロアク
ティブなセキュリティ対策を実現可能。
● AWS社が保持している膨大なノウハウを積極的に活用し、
二人三脚であるべき姿へ着実に登っていくことが効率的か
つ効果的。
● 経営層にセキュリティの重要性を認識してもらう。
Slide 48
Slide 48 text
Copyright coconala Inc. All Rights Reserved.
最後に…
48
Slide 49
Slide 49 text
Copyright coconala Inc. All Rights Reserved.
ココナラでは、一緒に事業のグロースを
推進していただける様々な領域のエンジ
ニアを募集しています。
49
Slide 50
Slide 50 text
ユーザーのストーリーを
テクノロジーでサポートする
エントリーお待ちしてます!
coconala engineer 採用
https://coconala.co.jp/recruit/engineer
Slide 51
Slide 51 text
Fin
Slide 52
Slide 52 text
Copyright coconala Inc. All Rights Reserved.
Appendix
Chapter 06
52
Slide 53
Slide 53 text
Copyright coconala Inc. All Rights Reserved.
SIEM on Amazon OpenSearch Serviceの導入時に参考にした資料
53
● SIEM on Amazon OpenSearch Serviceのリポジトリ
○ https://github.com/aws-samples/siem-on-amazon-op
ensearch-service/blob/main/README_ja.md
● AWS社のハンズオン資料
○ https://speakerdeck.com/prog893/startup-dot-fm-eas
ier-log-analysis-with-siem-on-amazon-elasticsearch-
service
Slide 54
Slide 54 text
Copyright coconala Inc. All Rights Reserved.
ココナラのユーザーとボットのアクセス割合(
AWS WAF Bot Controlの活用)
54
AWS WAF Bot Controlでモニ
タリングしたところ、23.5%のア
クセスがボットによるもの。(無
償の範囲で確認可能)
ボットが「正常なクローラー」
なのか「悪意のあるボット」
なのか、などを識別をしてく
れる。
Slide 55
Slide 55 text
Copyright coconala Inc. All Rights Reserved.
ココナラで運用しているAWS WAFのルール(一例)
55
● 検索エンジンのクローラーのUA許可。
● 海外のIPアドレスに対するレートベース。
○ 同一IPアドレスから、閾値を超過するアクセスを検知し
たら一定時間遮断する
● 日本国内のIPアドレスに対するレートベース。
○ 同上
Slide 56
Slide 56 text
Copyright coconala Inc. All Rights Reserved.
SIEM on Amazon OpenSearch Serviceを用いたモニタリング
56
● リクエスト数の増減の確認
○ ココナラは20:00 - 24:00ごろがアクセス数がピークとな
り、深夜はアクセス数が下がる
● 普段と異なる波形を示している場合、WAFログ / ELBログ
を突き合わせて、深堀り・傾向分析を実施
○ アクセスしているパスの妥当性
○ 単位時間あたりにアクセスしている回数の妥当性
○ その他攻撃のようなアクセスをしていないか?など