Datadog を使ったセキュリティモニタリングと 自動化の取り組み Product Security Casual Talk #1 - 2023/07/26 株式会社グラファー 森田 浩平

森田 浩平 / Kohei Morita 自己紹介 2018年にGMOペパボ株式会社に新卒入社後，事業部を横断したセキュリ ティに取り組む。 2022年より株式会社グラファーにてプロダクトセキュリティに従事。 OWASP Fukuoka Chapter Leader，セキュリティ・キャンプ講師， 著書に「基礎から学ぶコンテナセキュリティ」など。

Graffer Platform 行政と市民をつなぐ業務プロセス全体をデジタル技術 で変革し、行政サービスをより便利にしつつ 業務全体の最適化へ 現在の事業 2 行政サービスのデジタル変革 生成AIの安全な活用促進 Graffer AI Studio 企業経営における業務のAI変革 （AX = AI Transformation）を加速、支援する 統合サービスプラットフォーム

市民と行政の接点をデジタルに置き換え、行政手続きの負担をなくす 4 ※2023年6月時点の情報です。サービスの提供状況が変更となる場合があります。 Graffer 手続きガイド ~まずは必要な手続きを簡単に検索~ 1 Graffer スマート申請 ～オンラインで申請から決済まで完結~ Graffer 窓口予約 ~混雑を避けるため、あらかじめ予約をセット~ Graffer 窓口書類作成 ～窓口でもデジタルで簡単入力~ 2 3 4 選 択 質問に答える 確 認 Graffer市役所 入 力 署 名 決 済 申 請 手続きガイドと連携できる 「書かない窓口」を実現 来庁せずに、スマートフォンで手続きが行える 申請サービス本人確認から決済まですべて手元での実施が可能 簡単な質問に答えていくだけで、 自分に必要な手続きや持ち物が分かる手続き案内サービス 手続きに来庁された市民向けの申請書作成サービス 窓口への来庁予約を簡便に行えるサービス 対面で必要な手続きや相談したい場合 オンラインで できるもの 窓口に 行った後は 日時選択 予約情報入力・確認 完了

企業向け生成AI活用プラットフォーム：Graffer AI Studio どんな使い方がされているのか、 確認したい AIの学習による漏洩を避けたい LLMの法人利用に対応 ChatGPTを始めとするLLMを、AIに学習されな い環境（オプトアウト）で利用することができ ます。利用履歴も可視化、エクスポートができ るため、良い使い方の共有や利用が禁止されて いる使い方の監視が可能です。 プロンプトを組織で共有可能 様々な業務に応用できるプロンプトのテンプ レートを用い、クリック操作でプロンプトを簡 単に作成できます。作成したテンプレートは組 織で共有することもできるため、個人だけでな く組織単位での業務効率改善に役立てることが できます。 プロンプトのアイデアは、組織のナ レッジとして活用したい どのようなプロンプトを入れれば いいのかわからない 「生成AIを活用し、業務変革を進めたい」という企業の声に対し、誰もが安全に生成AIを利活用するための環境を提供 必要に応じてモデルを選べる １回のチャット毎にGPT-3.5、GPT-4の切り替 えが可能です。（※GPT-4は8K context）今後 はChatGPT以外のモデルにも対応し、各モデル の利用規約や得意分野の理解、契約を当社が担 い、企業内で利用できる対応モデルを拡充し利 活用の幅を広げていきます。 最新のモデルを使いたい 4

セキュリティと自動化 グラファーで取り組んでいる「セキュリティ x 自動化」において、「インフラ / アプリケーションのセキュリティモニタ リング」に絞っていくつかの事例を紹介します。 セキュリティモニタリングのキーポイント ● 適切なルール・アラートの設定 … False Positive を最小限にしつつ、インシデントを見逃さない設定 ● Integration … 様々なログ形式、ソースから関連するログを集約し統合して分析できる環境 ● AI / 機械学習などの活用 … ルールベースに加えて、パターンや挙動の分析で新規の脅威を検出する セキュリティモニタリングの自動化が難しい理由 ● ルール設計とチューニング … 経験や知識への依存、False Positive の増加 ● データの多様性 … 異なる形式のログを統合して解析する必要性 5

セキュリティモニタリングと Datadog 理由がない限り、あらゆるセキュリティイベントは Datadog へ集約している。柔軟な検索や可視化が容易であること、 部内全員が一定水準使えるツールであるため。CloudWatch Logs や Athena を使った検索は基本的に使わない。 AWS EKS Pod Pod Pod App App App ● アプリケーションログ・監査ログ ● ファイルアクセス・ネットワークアクセス・ システムコール呼び出し ● コンテナイメージスキャン / EKS 監査ログ ● 構成情報 (AWS Config) ● アクティビティ・API ログ (CloudTrail) ● 脅威検出 (GuardDuty / Access Analyzer) ● などなど... 集約 セキュリティモニタリングで利用している Datadog の機能 Logs / Dashboard / Monitor Posture Management / Workload Security 6 グラファーでのモニタリング活動 各セキュリティイベントのアラート化 / モニタリング定例

セキュリティモニタリング x 自動化 セキュリティモニタリングの自動化が難しい理由 ● ルール設計とチューニング … 経験や知識への依存、False Positive の増加 ● データの多様性 … 異なる形式のログを統合して解析する必要性 Datadog を使ったルール設計とチューニング例 Workload Security と Security Profiles コンテナで発生したイベントを学習してイメージの「プロファイ ル」を生成してくれる機能。 過去に記録のないイベントが発生すると「異常」の疑いが強いと 言える。 ルールベースによる検知に対する参考情報として活用できる。 7

セキュリティモニタリング x 自動化 Datadog を使ったルール設計とチューニング例 セキュリティモニタリングの自動化が難しい理由 ● ルール設計とチューニング … 経験や知識への依存、False Positive の増加 ● データの多様性 … 異なる形式のログを統合して解析する必要性 不正ログインの Anomaly Detection ログインログに evt.outcome などの情報を追加[^1]。 認証の成否を Metrics として作成することで、Anomaly Detection が利用できる[^2]。 これにより、以前のログイン数と比較して大きく増加していれば アラートとして通知できる。 [^1] … このあたりはプレイドさんの「Datadogを使った不正ログインのモニタリング実装」とい うブログ記事が参考になりました。https://tech.plaid.co.jp/datadog-login-monitoring [^2] … Anomaly Detection 以外に Application Security Management でも、ルールがあるよう です。Cloud SIEM の機能として Anomaly Detection があるのでしょうか... 8

セキュリティモニタリング x 自動化 経験・知識依存を減らすための取り組み セキュリティモニタリングの自動化が難しい理由 ● ルール設計とチューニング … 経験や知識への依存、False Positive の増加 ● データの多様性 … 異なる形式のログを統合して解析する必要性 Datadog Dashboard を使ったインシデントレスポンス支援 「誰が何をしようとしているのか」という調査を少しでも簡単に するために Playbook として用意。ダッシュボードパラメータに トークンの ID やユーザー名などを入力することで、対象のログ を絞り込み、影響範囲を特定する。訓練でも使ってみるなど。 Workflow Automation も利用することで、よりプログラマ ティックな調査や自動化された対応が可能。 e.g. ● 該当 IAM アクセスキーや Personal Access Token で呼び出された API を調査 ● 悪意ある IP アドレスをブロックする設定を AWS WAF に追加 9