Slide 1
Slide 1 text
Copyright coconala Inc. All Rights Reserved.
SREの視点で考える SIEM活用術
〜AWS環境でのセキュリティ強化〜
株式会社ココナラ
川崎 雄太
2025/04/15
JAWS-UG東京
AWS Community Builders
Night
Slide 2
Slide 2 text
Copyright coconala Inc. All Rights Reserved.
自己紹介
2
川崎 雄太 Yuta Kawasaki
@yuta_k0911
株式会社ココナラ
Head of Information / Dev Enabling室 室長
株式会社ココナラテック
執行役員 情報基盤統括本部長
SRE / 情シス / セキュリティ領域のEM
SRE NEXT 2025のコアスタッフ
🆕 AWS Community Builders(Security)
Slide 3
Slide 3 text
Copyright coconala Inc. All Rights Reserved.
3
ココナラの事業内容
Slide 4
Slide 4 text
Copyright coconala Inc. All Rights Reserved.
まずは導入として・・・
2024年の年末はDDoS攻撃による
システム障害が多かった ですよね😥
SREのプラクティス × セキュリティ に
ついてお話するので、このセッションが
対策の一助になると嬉しいです!😁
4
Slide 5
Slide 5 text
Copyright coconala Inc. All Rights Reserved.
5
Agenda
セキュリティの課題と解決の糸口
SIEMの導入効果
今後の取り組み
2
1
3
Slide 6
Slide 6 text
Copyright coconala Inc. All Rights Reserved.
セキュリティの課題と解決の糸口
Chapter 01
6
Slide 7
Slide 7 text
Copyright coconala Inc. All Rights Reserved.
プロダクトセキュリティ専門組織が不在
7
SREが兼務しているが、施策の優先度は上がりにくい
プロダクトプラット
フォームグループ
情報システム
グループ
インフラ・ SREチーム
(5名)
CSIRTチーム
(2名)
CITチーム
(4名)
- AWSアカウント分離
- IAMロール整備
- 攻撃対策ソリューショ
ン導入
- アクセス権限精緻化
- 新デバイス / OS検証
・導入
- アクセス権限精緻化
※SREチームがセキュリ
ティ業務を兼務している企
業は少なくない!
Slide 8
Slide 8 text
Copyright coconala Inc. All Rights Reserved.
そのような状況下でも対応すべきことは結構ある
8
ココナラでは「外部脅威」に対する対策の弱さを感じていた
※2021年時点の情報
対策度合いを数値で表
し、数値が小さい=優
先度高と定義。
例えば、この時点では
「DDoS攻撃」や「脆
弱性攻撃」の対策が
弱み。
Slide 9
Slide 9 text
Copyright coconala Inc. All Rights Reserved.
アセスメント後、急いで対策を進めた
ものの、リアクティブなものばかり…😵
攻撃にさらされる機会は増えており、
何かプロアクティブな対策はないか
と真剣に考えました🤔
9
Slide 10
Slide 10 text
Copyright coconala Inc. All Rights Reserved.
他社の事例を見たり、ベンダーと
相談して、気づいたことが・・・💡
突然ですが、
「セキュリティログ分析」 に
取り組んでいますか?🤔
10
Slide 11
Slide 11 text
Copyright coconala Inc. All Rights Reserved.
セキュリティログ分析をする
↓
攻撃の痕跡・予兆を見つける
↓
プロアクティブな対策を講じる
↓
これって信頼性向上だし、リアクティブを
減らす=生産性向上では!? 💪
11
Slide 12
Slide 12 text
Copyright coconala Inc. All Rights Reserved.
SIEMの導入効果
Chapter 02
12
Slide 13
Slide 13 text
Copyright coconala Inc. All Rights Reserved.
セキュリティログ分析とは?
13
システムのコンディション把握と打ち手の創出をすること
分析、検知、監査、監視など目的は様々だ
が、「ある時点のシステムの状態(コン
ディション)を把握」し、そこから「対応
が必要な場合の打ち手を創出する」
ことを目的としている。
システムの規模が大きくなればなるほど、ログ
の量が膨大となるため、分析の仕組みが
不可欠となる。
Slide 14
Slide 14 text
Copyright coconala Inc. All Rights Reserved.
仕組みが必要なら「SIEM」のツールを使ってみよう!
14
「SIEM」はセキュリティ領域でのログやイベント管理のこと
以下の3つが目的。
1. 脅威の早期検出
2. 監査とフォレンジクス
3. コンプライアンス
SIEMのツールは複数存在し
ており、ココナラは AWS環
境で動作している ため、次
ページの2択で比較を行った。
Slide 15
Slide 15 text
Copyright coconala Inc. All Rights Reserved.
SIEMの手段比較
15
無計画に使うとコストがかかるが、容易性の高さで決めた
SIEM on Amazon
OpenSearch Service
S3 + Athena
メリット
可視化・モニタリングが容易
継続したモニタリング / アラート
発報にも適している
コストが比較的安価
特定時点のモニタリングに適し
ている
デメリット
取り込むデータ量に応じて、コ
ストが増加
継続したモニタリングに不向き
アラート発報などの作り込みが
必要
Slide 16
Slide 16 text
Copyright coconala Inc. All Rights Reserved.
SIEM on Amazon OpenSearch Serviceとは?
16
AWSが提供するログ相関分析・可視化のソリューション
Slide 17
Slide 17 text
Copyright coconala Inc. All Rights Reserved.
SIEM on Amazon OpenSearch Serviceを用いたWAFログのモニタリング
17
日次で傾向把握と分析、過去との比較からパターン化
ココナラは国内を中心にサービスをしてい
るため、国内・海外の IPアドレスによ
るアクセス状況 / ブロック状況 / エ
ラー発生状況 などをモニタリングする。
アクセス状況を見て、WAFルールの点
検などを行い、プロアクティブに攻撃
への対策を実施。
Slide 18
Slide 18 text
Copyright coconala Inc. All Rights Reserved.
SIEM on Amazon OpenSearch Serviceを用いたELBログのモニタリング
18
日次で傾向把握と分析、攻撃の芽を早めに摘む
4xx系と5xx系のリクエストが 30秒
あたりに100回を超えた場合 に怪し
いアクセスが増加したと判断し(アラート
発報)、随時セキュリティログ分析を行う
運用をしている。
特に不正なURLへのアクセスを多数確
認したら、WAFのIPアドレス拒否リス
トへ追加する運用を実現。
Slide 19
Slide 19 text
Copyright coconala Inc. All Rights Reserved.
ココナラで実践しているセキュリティモニタリング運用
19
毎営業日モニタリングを実施し、アクションを創出する
毎営業日17:00時
点の情報で定点確
認(WAFログ以外
も含めて、レポート
作成)
問題があれば、 毎
営業日18:00に集
まり、確認・議論
当日〜翌日以降の
アクションを決め
て、チケット化
※↑は定常運用なので、異常が発生した場合は
アラートを発報し、随時調査しています!
Slide 20
Slide 20 text
Copyright coconala Inc. All Rights Reserved.
SRE組織がセキュリティログ分析 → 信頼性向上へのアプローチができるようになった
20
可視化 → 分析 → 改善のサイクルを回せるようになった
システム全体のアクセス状況をダッシュボード
化し、ドリルダウンによって、セキュリティイン
シデントの予兆検知と発生後の分析高速
化を実現した。
その結果、たとえば悪意のある IPアドレス
の拒否リスト登録〜定期リファクタリング
までつなげることができた。
リクエスト成功率は99.95% → 99.99%以上
を実現。
Slide 21
Slide 21 text
Copyright coconala Inc. All Rights Reserved.
「SRE × セキュリティ」と「セキュリティ × SRE」というキャリアの掛け算
21
キャリアの掛け算 = 複数ロールの経験は強み
複数ロールの掛け算自体が、そもそも希少
性を作り出すことができた。
たとえば、以下を実現できた。
・SRE:DevSecOpsの実践、SRE領域以外
のトイル削減 / 運用改善
・セキュリティ:IaCの取り組み、監視改善など
のプロアクティブな運用改善
これらは汎用的に使える武器となる。
Slide 22
Slide 22 text
Copyright coconala Inc. All Rights Reserved.
今後の取り組み
Chapter 03
22
Slide 23
Slide 23 text
Copyright coconala Inc. All Rights Reserved.
継続したリファクタリングの実践
23
一度、導入して終わりではなく、継続したリファクタリングを行う
攻撃は日々進化しているため、チューニング
/ リファクタリングが必要。
今のアーキテクチャーが最適解では無くなる
ので、新たなソリューション導入検討 も必
要なアクションとなる。
・閾値によるモニタリングの脱却 → 機
械学習による異常予測検知
・AIOpsによる速やかな原因分析
・・・and more!
Slide 24
Slide 24 text
Copyright coconala Inc. All Rights Reserved.
サービスの特性を認識したうえで対策を講じる
24
意外と攻撃やお行儀の悪いアクセスは来ている
例えば、◯snbotがとんでもない頻度でアク
セス(おそらくスクレイピング)していて、閾値
に引っかかっていた。
怪しいアクセスは「5xx系」ではなく、
「403」で返せれば止まる(諦める) ことが
大多数!
サービスの提供範囲(たとえば、国・地
域)を元にドラスティックに対策するのもあ
り。
Slide 25
Slide 25 text
Copyright coconala Inc. All Rights Reserved.
セキュリティログの分析👀により、
サイトの信頼性向上の糸口💡が
見つかります!!😁
Security logs analysis could be a
silver bullet…??
The journey of combining a career in
SRE and security has only just begun.
25
Slide 26
Slide 26 text
Fin
Slide 27
Slide 27 text
Copyright coconala Inc. All Rights Reserved.
Appendix
27
Slide 28
Slide 28 text
Copyright coconala Inc. All Rights Reserved.
28
{"timestamp":1660500016184,"formatVersion":1,"webaclId":"arn:aws:wafv2:xxxxxxxxxx:x
xxxxxxxxxxx:regional/webacl/coconala-xxx-xxx/fxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx","t
erminatingRuleId":"Default_Action","terminatingRuleType":"REGULAR","action":"ALLOW
","terminatingRuleMatchDetails":[],"httpSourceName":"ALB","httpSourceId":"xxxxxxxxxxx
x-app/coconala-xxxxxxxxx/62e94fe4ea5bbd7d","ruleGroupList":
〜〜中略〜〜
"requestHeadersInserted":null,"responseCodeSent":null,"httpRequest":{"clientIp":"xxx.xx
x.xxx.xxx","country":"JP","headers":[{"name":"host","value":"coconala.com"},{"name":"acc
ept","value":"application/octet-stream,image/x-icon,image/jpg,image/jpeg,image/png,ima
ge/x-win-bitmap,image/ico,image/x-bmp,image/tiff,image/gif,image/bmp,image/x-xbitmap
,binary/octet-stream,image/x-ms-bmp"},{"name":"user-agent","value":"Coconala/x.xx.x
(com.coconala.ios.portal; build:x.xx.x; iOS xx.x.x)
〜〜後略〜〜
AWS WAFログのサンプル
Slide 29
Slide 29 text
Copyright coconala Inc. All Rights Reserved.
SIEM on Amazon OpenSearch Serviceを用いたWAFログのモニタリング
29
WAFログ1行1行を人にわかりやすい形で確認
Slide 30
Slide 30 text
Copyright coconala Inc. All Rights Reserved.
ココナラのセキュリティ基盤イメージ図(代表的なサービスのみ記載)
30
Slide 31
Slide 31 text
Copyright coconala Inc. All Rights Reserved.
SIEM on Amazon OpenSearch Serviceを用いたWAFログのモニタリング - 図示①
31
システム全体のアクセス状況を把握
Slide 32
Slide 32 text
Copyright coconala Inc. All Rights Reserved.
SIEM on Amazon OpenSearch Serviceを用いたWAFログのモニタリング - 図示②
32
アクセス状況の詳細を把握、分析
Slide 33
Slide 33 text
Copyright coconala Inc. All Rights Reserved.
SIEM on Amazon OpenSearch Serviceを用いたELBログのモニタリング - 図示①
33
HTTPレスポンスコードの状況から攻撃の芽を特定する
Slide 34
Slide 34 text
Copyright coconala Inc. All Rights Reserved.
SIEM on Amazon OpenSearch Serviceを用いたELBログのモニタリング - 図示②
34
IPアドレス別、国別、 UA別、URL別のアクセス状況を分析する
Slide 35
Slide 35 text
Copyright coconala Inc. All Rights Reserved.
SIEM on Amazon OpenSearch Serviceを用いたGuardDutyのモニタリング(1/3)
35
日次で傾向把握と分析、攻撃の芽を早めに摘む
ココナラでは、脅威発生状況(脅威の種
類、IPアドレス別、国別、など)を確認・分
析。
脅威を行うIPアドレスはHTTPリクエストと
しても攻撃を仕掛けてくる可能性があるの
で、AWS WAF / ELBログの状況と突き合
わせを行い、こちらもWAFのIPアドレス
拒否リストへ追加する運用を実現。
Slide 36
Slide 36 text
Copyright coconala Inc. All Rights Reserved.
SIEM on Amazon OpenSearch Serviceを用いたGuardDutyのモニタリング(2/3)
36
リージョン別、時間帯別の脅威状況を分析する
Slide 37
Slide 37 text
Copyright coconala Inc. All Rights Reserved.
ココナラにおける別観点のセキュリティモニタリング( 1/2)
37
ログイン試行回数、侵入検知状況などもモニタリング
Slide 38
Slide 38 text
Copyright coconala Inc. All Rights Reserved.
ココナラにおける別観点のセキュリティモニタリング( 2/2)
38
日次モニタリングを待たずに侵入行為や WAFブロック状況を検知
Slide 39
Slide 39 text
Copyright coconala Inc. All Rights Reserved.
SIEM on Amazon OpenSearch Serviceを用いたGuardDutyのモニタリング(3/3)
39
種類別、IPアドレス別、ロケーション別の脅威状況を分析する
Slide 40
Slide 40 text
Copyright coconala Inc. All Rights Reserved.
SIEMの仕組みとAWS WAF Bot Controlを組み合わせてみた
40
Botのアクセスを深掘りし、悪意を早期発見
BotとBot以外のアクセス状況
可視化やBotをカテゴライズし
て、Block / Countなどの対策
を決めることが可能。
ココナラでは、誤検知・誤遮断
をさけるためにデータを参考
値にして、実態は SIEMを確
認して、判断を行う運用を
実施。