ガードレールの有用性とリスク対策 2024年11月22日 NRIネットコム株式会社 デジタルソリューション事業本部 クラウド事業推進部 大林 優斗

1 Copyright（C） NRI Netcom, Ltd. All rights reserved. 転載、複製、改変等、および許諾のない二次利用を禁止します ◼ 登壇者：大林 優斗 ◼ 2024 Japan AWS Jr. Champions ◼ 業務：AWSを活用したシステムの設計・開発を担当 ⚫ 450以上あるAWSアカウントに統制を効かせる ◼ AWS認定資格 ◼ 書籍執筆：AWS の薄い本の合本 Vol.01 自己紹介

2 Copyright（C） NRI Netcom, Ltd. All rights reserved. 転載、複製、改変等、および許諾のない二次利用を禁止します AWSで起きるインシデント

3 Copyright（C） NRI Netcom, Ltd. All rights reserved. 転載、複製、改変等、および許諾のない二次利用を禁止します インシデント例 ◼ アクセスキーの漏洩 ⚫ 共有ストレージやチャットツールでの不適切な共有 ⚫ アクセスキーが記載されたファイルをコード管理ツールに上げてしまう ◼ S3バケットのオブジェクトをパブリック公開 ⚫ バケットポリシーの設定ミスなどで生じる AWSで起きるインシデント Amazon S3 匿名

4 Copyright（C） NRI Netcom, Ltd. All rights reserved. 転載、複製、改変等、および許諾のない二次利用を禁止します インシデントによる影響 ◼ インシデントの発生によって、下記の影響が発生し得る AWSで起きるインシデント コストの急増 情報漏洩 攻撃に利用される

5 Copyright（C） NRI Netcom, Ltd. All rights reserved. 転載、複製、改変等、および許諾のない二次利用を禁止します ガードレール

6 Copyright（C） NRI Netcom, Ltd. All rights reserved. 転載、複製、改変等、および許諾のない二次利用を禁止します 予防的ガードレール ◼ イベントの発生を防止するためのガードレール ⚫ 例：特定のIAMロール以外はIAMリソースの作成を禁止する ガードレール Workloads_1 OU Workloads_2 OU SCP：IAMリソースの作成を禁止 IAMロール IAMリソース作成 IAMロール アクセスキー IAMユーザー IAMロール IAMユーザー IAMリソース作成 IAMロール アクセスキー IAMユーザー IAMロール

7 Copyright（C） NRI Netcom, Ltd. All rights reserved. 転載、複製、改変等、および許諾のない二次利用を禁止します 発見的ガードレール ◼ イベントが発生したときに検出されるように設計されたガードレール ◼ 例：Amazon GuardDuty S3 Protection ガードレール Amazon GuardDuty AWS CloudTrail Amazon S3 S3 Data Plane Events データソース

8 Copyright（C） NRI Netcom, Ltd. All rights reserved. 転載、複製、改変等、および許諾のない二次利用を禁止します AWSアカウントを運用するあるべき姿 ガードレール 調査・修正 分析 改善 検知・通知 セキュリティ検知にどのような 傾向があるのか分析する 検知内容を確認して リソースの設定変更 分析した結果を踏まえて 改善アクションを実施 ガードレールからの逸脱などを検出

9 Copyright（C） NRI Netcom, Ltd. All rights reserved. 転載、複製、改変等、および許諾のない二次利用を禁止します AWSアカウントの運用における課題

10 Copyright（C） NRI Netcom, Ltd. All rights reserved. 転載、複製、改変等、および許諾のない二次利用を禁止します 人材・コスト ◼ 人材・コスト削減は思ったよりうまくいかない ⚫ AWSアカウントの理想的な運用方法を実現しようとすると、結局コストが増加してしまう ⚫ コストを抑えるために自動化する仕組みを導入する AWSアカウントの運用における課題 理想 現実

11 Copyright（C） NRI Netcom, Ltd. All rights reserved. 転載、複製、改変等、および許諾のない二次利用を禁止します 自動化のリスク ◼ GuardDutyで不正だと判断されたIPアドレスを脅威IPリストに自動で登録する ⚫ 意図しないIPアドレスを脅威として検知するようになるリスク AWSアカウントの運用における課題 Amazon GuardDuty Amazon EventBridge AWS Lambda Amazon SNS 脅威IPリストを更新 SNS通知 Amazon Simple Storage Service (Amazon S3) 運用担当者

12 Copyright（C） NRI Netcom, Ltd. All rights reserved. 転載、複製、改変等、および許諾のない二次利用を禁止します 自動化のリスク ◼ 自動でWAF IP setsを更新する仕組みを導入 ⚫ 運用負荷が減少するが、意図しないIPアドレスをブロックするリスク AWSアカウントの運用における課題 AWS WAF Amazon EventBridge AWS Step Functions Amazon SNS Amazon Simple Storage Service (Amazon S3) SNS通知 運用担当者 IP setsを更新 Amazon Athena

13 Copyright（C） NRI Netcom, Ltd. All rights reserved. 転載、複製、改変等、および許諾のない二次利用を禁止します 自動化のリスク ◼ 自動化の仕組みを導入した際に起こりうるリスク AWSアカウントの運用における課題 Step1 人材不足 Step2 自動化を導入 Step3 インシデント発生 Step4 インシデント対応

14 Copyright（C） NRI Netcom, Ltd. All rights reserved. 転載、複製、改変等、および許諾のない二次利用を禁止します 自動化のリスク ◼ 自動化の仕組みを導入した際に起こりうるリスク AWSアカウントの運用における課題 Step1 人材不足 Step2 自動化を導入 Step3 インシデント発生 Step4 インシデント対応

15 Copyright（C） NRI Netcom, Ltd. All rights reserved. 転載、複製、改変等、および許諾のない二次利用を禁止します 自動化のリスク ◼ 自動化の仕組みを導入した際に起こりうるリスク AWSアカウントの運用における課題 Step1 人材不足 Step2 自動化を導入 Step3 インシデント発生 Step4 インシデント対応

16 Copyright（C） NRI Netcom, Ltd. All rights reserved. 転載、複製、改変等、および許諾のない二次利用を禁止します 自動化のリスク ◼ 自動化の仕組みを導入した際に起こりうるリスク AWSアカウントの運用における課題 Step1 人材不足 Step2 自動化を導入 Step3 インシデント発生 Step4 インシデント対応 小さく自動化を進めていく必要がある

17 Copyright（C） NRI Netcom, Ltd. All rights reserved. 転載、複製、改変等、および許諾のない二次利用を禁止します 小さく自動化を進める ◼ 遮断対象のIPアドレスを運用担当者が判断してWAF IP setsを更新する ⚫ 遮断対象のIPアドレスのリストは手動で、その後の処理は自動化する AWSアカウントの運用における課題 運用担当者 Amazon Simple Storage Service (Amazon S3) AWS Lambda 遮断リスト アップロード 成功/失敗 完了連絡 Amazon EventBridge AWS Step Functions workflow Amazon SNS AWS WAF AWS Lambda

18 Copyright（C） NRI Netcom, Ltd. All rights reserved. 転載、複製、改変等、および許諾のない二次利用を禁止します 小さく自動化を進める ◼ Configの自動修復はタグで制御すれば使いやすい ⚫ 例：「TestKey：True」というタグが設定されている場合はインバウンドルールを削除する AWSアカウントの運用における課題 Security group Public subnet Amazon Elastic Compute Cloud (Amazon EC2) AWS Config [インバウンドルール] 0.0.0.0/0 [タグ] TestKey：True Amazon EventBridge AWS Lambda 「インバウンドルール 0.0.0.0/0」を削除

19 Copyright（C） NRI Netcom, Ltd. All rights reserved. 転載、複製、改変等、および許諾のない二次利用を禁止します 小さく自動化を進める ◼ Security Hubオートメーションルールを活用 ⚫ 検出結果の重要度(Severity)を引き上げる ⚫ 検出結果の重要度(Severity)が「Informational」の場合は抑制(SUPPRESSED)に変更する ◼ 環境に合わせた重要度の変更が強み AWSアカウントの運用における課題

20 Copyright（C） NRI Netcom, Ltd. All rights reserved. 転載、複製、改変等、および許諾のない二次利用を禁止します 大量課金リスクが発生する一例 ◼ Config の大量課金が発生する可能性がある ⚫ 特に繰り返しリソースを作成・削除する開発環境で起こりうる ⚫ IaCでの作業でConfigの料金が急増する ガードレールの実装におけるリスク Public subnet Container ECS Cluster Virtual private cloud (VPC) AWS Config

21 Copyright（C） NRI Netcom, Ltd. All rights reserved. 転載、複製、改変等、および許諾のない二次利用を禁止します 大量課金リスクが発生する原因 ◼ 記録頻度を「継続的な記録」にしている場合は特に注意 ⚫ Configがリソースタイプを記録するたびに料金が発生する ⚫ だが、絶対に日時記録を推奨するわけではない ガードレールの実装におけるリスク

22 Copyright（C） NRI Netcom, Ltd. All rights reserved. 転載、複製、改変等、および許諾のない二次利用を禁止します セキュリティとコストのバランスを考える ガードレールの実装におけるリスク コスト セキュリティ ◼ ケースに応じたセキュリティとコストのバランスが重要 ◼ セキュリティを強化するためには一定のコストがかかってしまう ➢ 必ずしもコストの増加が悪ではない

23 Copyright（C） NRI Netcom, Ltd. All rights reserved. 転載、複製、改変等、および許諾のない二次利用を禁止します 大量課金リスクを抑制する ◼ Configの記録頻度設定をオーバーライド ⚫ 特定のリソースタイプのみ記録頻度の設定を変更 ガードレールの実装におけるリスク

24 Copyright（C） NRI Netcom, Ltd. All rights reserved. 転載、複製、改変等、および許諾のない二次利用を禁止します 大量課金リスクを抑制する ◼ マルチアカウント構成における記録頻度の設定をオーバーライド ⚫ 環境の柔軟性を保ちつつ、統制を効かせていくことが重要 ガードレールの実装におけるリスク Root OU マネジメントアカウント Security OU 監査アカウント System OU アカウント_01 アカウント_02 AWS Control Tower AWS Security Hub AWS Config AWS Config オーバーライド

25 Copyright（C） NRI Netcom, Ltd. All rights reserved. 転載、複製、改変等、および許諾のない二次利用を禁止します 大量課金リスクへの継続的な対応 ◼ 予算作成 ⚫ アカウント全体で予算を作成して、請求金額の閾値を設定する ⚫ 特定のサービスで予算を作成して、請求金額の閾値を設定する ◼ コスト分析 ⚫ 月次、日次などでAWSサービスごとにコスト推移を分析する ◼ メトリクス分析 ⚫ Configがどのリソースタイプを一番記録しているのか確認する ガードレールの実装におけるリスク AWS Cost Explorer AWS Budgets Amazon CloudWatch 予算作成 コスト分析 メトリクス分析

No content