Slide 1

Slide 1 text

Datadog を使ったセキュリティモニタリングと 自動化の取り組み Product Security Casual Talk #1 - 2023/07/26 株式会社グラファー 森田 浩平

Slide 2

Slide 2 text

森田 浩平 / Kohei Morita 自己紹介 2018年にGMOペパボ株式会社に新卒入社後,事業部を横断したセキュリ ティに取り組む。 2022年より株式会社グラファーにてプロダクトセキュリティに従事。 OWASP Fukuoka Chapter Leader,セキュリティ・キャンプ講師, 著書に「基礎から学ぶコンテナセキュリティ」など。

Slide 3

Slide 3 text

Graffer Platform 行政と市民をつなぐ業務プロセス全体をデジタル技術 で変革し、行政サービスをより便利にしつつ 業務全体の最適化へ 現在の事業 2 行政サービスのデジタル変革 生成AIの安全な活用促進 Graffer AI Studio 企業経営における業務のAI変革 (AX = AI Transformation)を加速、支援する 統合サービスプラットフォーム

Slide 4

Slide 4 text

市民と行政の接点をデジタルに置き換え、行政手続きの負担をなくす 4 ※2023年6月時点の情報です。サービスの提供状況が変更となる場合があります。 Graffer 手続きガイド ~まずは必要な手続きを簡単に検索~ 1 Graffer スマート申請 ~オンラインで申請から決済まで完結~ Graffer 窓口予約 ~混雑を避けるため、あらかじめ予約をセット~ Graffer 窓口書類作成 ~窓口でもデジタルで簡単入力~ 2 3 4 選 択 質問に答える 確 認 Graffer市役所 入 力 署 名 決 済 申 請 手続きガイドと連携できる 「書かない窓口」を実現 来庁せずに、スマートフォンで手続きが行える 申請サービス本人確認から決済まですべて手元での実施が可能 簡単な質問に答えていくだけで、 自分に必要な手続きや持ち物が分かる手続き案内サービス 手続きに来庁された市民向けの申請書作成サービス 窓口への来庁予約を簡便に行えるサービス 対面で必要な手続きや相談したい場合 オンラインで できるもの 窓口に 行った後は 日時選択 予約情報入力・確認 完了

Slide 5

Slide 5 text

企業向け生成AI活用プラットフォーム:Graffer AI Studio どんな使い方がされているのか、 確認したい AIの学習による漏洩を避けたい LLMの法人利用に対応 ChatGPTを始めとするLLMを、AIに学習されな い環境(オプトアウト)で利用することができ ます。利用履歴も可視化、エクスポートができ るため、良い使い方の共有や利用が禁止されて いる使い方の監視が可能です。 プロンプトを組織で共有可能 様々な業務に応用できるプロンプトのテンプ レートを用い、クリック操作でプロンプトを簡 単に作成できます。作成したテンプレートは組 織で共有することもできるため、個人だけでな く組織単位での業務効率改善に役立てることが できます。 プロンプトのアイデアは、組織のナ レッジとして活用したい どのようなプロンプトを入れれば いいのかわからない 「生成AIを活用し、業務変革を進めたい」という企業の声に対し、誰もが安全に生成AIを利活用するための環境を提供 必要に応じてモデルを選べる 1回のチャット毎にGPT-3.5、GPT-4の切り替 えが可能です。(※GPT-4は8K context)今後 はChatGPT以外のモデルにも対応し、各モデル の利用規約や得意分野の理解、契約を当社が担 い、企業内で利用できる対応モデルを拡充し利 活用の幅を広げていきます。 最新のモデルを使いたい 4

Slide 6

Slide 6 text

セキュリティと自動化 グラファーで取り組んでいる「セキュリティ x 自動化」において、「インフラ / アプリケーションのセキュリティモニタ リング」に絞っていくつかの事例を紹介します。 セキュリティモニタリングのキーポイント ● 適切なルール・アラートの設定 … False Positive を最小限にしつつ、インシデントを見逃さない設定 ● Integration … 様々なログ形式、ソースから関連するログを集約し統合して分析できる環境 ● AI / 機械学習などの活用 … ルールベースに加えて、パターンや挙動の分析で新規の脅威を検出する セキュリティモニタリングの自動化が難しい理由 ● ルール設計とチューニング … 経験や知識への依存、False Positive の増加 ● データの多様性 … 異なる形式のログを統合して解析する必要性 5

Slide 7

Slide 7 text

セキュリティモニタリングと Datadog 理由がない限り、あらゆるセキュリティイベントは Datadog へ集約している。柔軟な検索や可視化が容易であること、 部内全員が一定水準使えるツールであるため。CloudWatch Logs や Athena を使った検索は基本的に使わない。 AWS EKS Pod Pod Pod App App App ● アプリケーションログ・監査ログ ● ファイルアクセス・ネットワークアクセス・ システムコール呼び出し ● コンテナイメージスキャン / EKS 監査ログ ● 構成情報 (AWS Config) ● アクティビティ・API ログ (CloudTrail) ● 脅威検出 (GuardDuty / Access Analyzer) ● などなど... 集約 セキュリティモニタリングで利用している Datadog の機能 Logs / Dashboard / Monitor Posture Management / Workload Security 6 グラファーでのモニタリング活動 各セキュリティイベントのアラート化 / モニタリング定例

Slide 8

Slide 8 text

セキュリティモニタリング x 自動化 セキュリティモニタリングの自動化が難しい理由 ● ルール設計とチューニング … 経験や知識への依存、False Positive の増加 ● データの多様性 … 異なる形式のログを統合して解析する必要性 Datadog を使ったルール設計とチューニング例 Workload Security と Security Profiles コンテナで発生したイベントを学習してイメージの「プロファイ ル」を生成してくれる機能。 過去に記録のないイベントが発生すると「異常」の疑いが強いと 言える。 ルールベースによる検知に対する参考情報として活用できる。 7

Slide 9

Slide 9 text

セキュリティモニタリング x 自動化 Datadog を使ったルール設計とチューニング例 セキュリティモニタリングの自動化が難しい理由 ● ルール設計とチューニング … 経験や知識への依存、False Positive の増加 ● データの多様性 … 異なる形式のログを統合して解析する必要性 不正ログインの Anomaly Detection ログインログに evt.outcome などの情報を追加[^1]。 認証の成否を Metrics として作成することで、Anomaly Detection が利用できる[^2]。 これにより、以前のログイン数と比較して大きく増加していれば アラートとして通知できる。 [^1] … このあたりはプレイドさんの「Datadogを使った不正ログインのモニタリング実装」とい うブログ記事が参考になりました。https://tech.plaid.co.jp/datadog-login-monitoring [^2] … Anomaly Detection 以外に Application Security Management でも、ルールがあるよう です。Cloud SIEM の機能として Anomaly Detection があるのでしょうか... 8

Slide 10

Slide 10 text

セキュリティモニタリング x 自動化 経験・知識依存を減らすための取り組み セキュリティモニタリングの自動化が難しい理由 ● ルール設計とチューニング … 経験や知識への依存、False Positive の増加 ● データの多様性 … 異なる形式のログを統合して解析する必要性 Datadog Dashboard を使ったインシデントレスポンス支援 「誰が何をしようとしているのか」という調査を少しでも簡単に するために Playbook として用意。ダッシュボードパラメータに トークンの ID やユーザー名などを入力することで、対象のログ を絞り込み、影響範囲を特定する。訓練でも使ってみるなど。 Workflow Automation も利用することで、よりプログラマ ティックな調査や自動化された対応が可能。 e.g. ● 該当 IAM アクセスキーや Personal Access Token で呼び出された API を調査 ● 悪意ある IP アドレスをブロックする設定を AWS WAF に追加 9