Slide 1
Slide 1 text
APN AWS Top Engineersが語る
AWSの最新セキュリティ
2022/10/17
⾅⽥佳祐
1
Slide 2
Slide 2 text
2
こんにちは、⾅⽥です。
みなさん、
AWSのセキュリティ対策してますか︖(挨拶
Slide 3
Slide 3 text
3
⾃⼰紹介
⾅⽥佳祐(うすだけいすけ)
・クラスメソッド株式会社 / AWS事業本部
シニアソリューションアーキテクト
セキュリティチームリーダー
AWS公認インストラクター
2021 APN Ambassador
2022 APN AWS Top Engineers (Security)
・CISSP
・Security-JAWS運営
・好きなサービス:
GuardDuty / Detective
Security Hub
みんなのAWS
(技術評論社)
Slide 4
Slide 4 text
4
セッションの概要
1. Amazon GuardDutyと新機能Malware
Protectionの動作
2. Cloud One Workload Securityの役割
3. 現実的な対策範囲
Slide 5
Slide 5 text
5
ちなみに
今回のセッションでは
AWSセキュリティの
⼀部しか話しません
Slide 6
Slide 6 text
6
合わせて読みたい
セキュリティ対
策はだいたいこ
こに全部ある
https://dev.classmethod.
jp/articles/aws-security-
all-in-one-2021/
Slide 7
Slide 7 text
7
合わせて読みたい
よりAWS全体の
セキュリティ管
理で上級者を⽬
指すならこちら
も参照
https://dev.class
method.jp/articles
/devio-2022-
how2make-
strongest-aws-
secure-accounts/
Slide 8
Slide 8 text
8
1. Amazon GuardDutyと
新機能Malware Protectionの動作
Slide 9
Slide 9 text
9
Amazon GuardDutyとは
• 脅威検知サービス
• CloudTrail / VPC Flow Logs / DNS Logs等を
バックグラウンドで⾃動収集(利⽤者の⼿間なし)
• ポチッと有効化するだけ
• IAM / EC2 / S3に関するインシデントを検知
• 脅威インテリジェンスと連携
• 機械学習による異常識別
Slide 10
Slide 10 text
10
GuardDutyの検知内容(ほんの⼀部)
• IAMタイプ
• 不正ログイン
• 漏洩したクレデンシャル利⽤
• CloudTrail無効化
• EC2タイプ
• コインマイニング
• C&Cサーバー接続
• SSHブルートフォース(受信 or 送信)
• S3タイプ
• バケット公開
• Torアクセス
Slide 11
Slide 11 text
11
Amazon GuardDutyの動作
有効化すればGuardDuty
が⾃動的に各種ログを
バックグラウンドで収集
してくれる(ログ収集の設
定や維持の必要なし)
仕組みの維持管理の⼿間
がかからないマネージド
サービスであるメリット
Slide 12
Slide 12 text
12
対応⽅法
GuardDutyのユー
ザーガイドに検知
結果毎の対応⽅法
がわかりやすく記
載されている
https://docs.aws.amazon.co
m/ja_jp/guardduty/latest/u
g/guardduty_finding-types-
active.html
Slide 13
Slide 13 text
13
初動対応計画
• 検知結果毎ざっくり3種類準備しておく
• IAMタイプ
• 認証情報を無効化する
• EC2タイプ
• EC2を隔離、保全、調査する
• 調査は得意な会社に依頼できる準備でもいい
• S3タイプ
• アクセス権限を絞る
Slide 14
Slide 14 text
14
IAMタイプの初動対応例
• IAM Userならアクセスキーを無効化・削除
• IAM Roleならセッションの無効化をポチ
• CloudTrailで何をされたか調査
Slide 15
Slide 15 text
15
EC2タイプの初動対応例
Security Groupを
変更して隔離
(in/out無し)
AMIバックアップ
取得
サーバーやストレー
ジ調査(できれば、
プロに任せたほうが
いい)
Slide 16
Slide 16 text
16
合わせて読みたい
セキュリティ会社の
実際のEC2調査の例
https://ierae.co.jp/bl
og/awsec2-hdd-
analytics/
Slide 17
Slide 17 text
17
S3タイプの初動対応例
パブリックアクセスブロックする
Slide 18
Slide 18 text
18
合わせて読みたい
GuardDutyの解説と
どんな⾵に運⽤した
らいいかをまとめて
います
https://dev.classmethod.jp/articl
es/aws-security-operation-with-
guardduty-2021/
Slide 19
Slide 19 text
19
最近のアップデート
Malware Protectionのリリース
Slide 20
Slide 20 text
20
Malware Protection概要
• EC2やコンテナに感染したマルウェアなどを検知す
るMalware Protection機能がGuardDutyに実装
• 機能名はMalware Protectionだけど、動作として
は検知
• マルウェアの動きを直接⽌めない
• EBSのスナップショットを取得しこれをスキャンす
るため、動作している実環境に影響ない
Slide 21
Slide 21 text
21
Malware Protection検知例
どのようなタイプのマル
ウェアか、ファイルパス、
ファイル名を確認できる
下のファイルは.tar.gzだ
が中⾝までちゃんと⾒てく
れている
Slide 22
Slide 22 text
22
Malware Protection動作例
トリガーを検知するとスナップショットを取る
Slide 23
Slide 23 text
23
合わせて読みたい
ついに来たマル
ウェアスキャン
ガッツリ解説して
いるのでどうぞ
https://dev.classm
ethod.jp/articles/g
uardduty-support-
malware-
protection/
Slide 24
Slide 24 text
24
2. Cloud One Workload Securityの役割
Slide 25
Slide 25 text
25
Cloud One Workload Security概要
• 略してC1WS
• EC2にエージェント
を導⼊してOS上保護
• 昔からDeep
SecurityとしてAWS
環境上でも利⽤
• クラウド上に管理マ
ネージャー(ユーザー
が構築しなくていい)
Slide 26
Slide 26 text
26
責任共有モデル
OSより上はユーザーの責任範囲
Slide 27
Slide 27 text
27
Workload Securityの保護機能
• 侵⼊防御(IDS/IPS)
• 不正プログラム対策(マルウェア対策)
• 変更監視
• セキュリティログ監視
• アプリケーションコントロール
• などなど
様々な保護機能で多層防御
AWSやAWSの機能でカバーできない範囲を保護
Slide 28
Slide 28 text
28
Workload SecurityのAWS連携
• ⻑い実績があり親和性が⾼い
• アーキテクチャの親和性
• ホストに導⼊するためシステムのスケールに合わせてセ
キュリティ機能がスケールする(サーバーの⼿前でセキュ
リティを機能させるとボトルネックとなる)
• 機能の親和性
• AutoScalingで増減するEC2を⾃動認識して管理
• 増減に合わせたライセンス体系
Slide 29
Slide 29 text
29
3.現実的な対策範囲
Slide 30
Slide 30 text
30
マルウェア対策の⼿法
GuardDutyとC1WSはカバレッジが違うがマルウェア
対策部分で重複するところがある
どう使い分ければいいか実際の侵害ケースで考えてみる
GuardDuty C1WS
マルウェア対策
Slide 31
Slide 31 text
31
Webアプリケーションが侵害される例
https://success.trendmicro.com/dcx/s/solution/000283514 から引⽤、⼀部改変
インターネットからWebア
プリケーションの脆弱性を
利⽤しWeb Shell設置
Web Shellからサーバー内部
や周辺の調査、権限昇格
バックドアを仕込む
バックドア経由でさらなる
永続化や⽔平展開
Adminの認証情報や
重要情報の収集
C&Cサーバーへ情報の送信
Slide 32
Slide 32 text
32
GuardDutyによる検知
GuardDutyで30分以内に検知
インターネットからWebア
プリケーションの脆弱性を
利⽤しWeb Shell設置
Web Shellからサーバー内部
や周辺の調査、権限昇格
バックドアを仕込む
バックドア経由でさらなる
永続化や⽔平展開
Adminの認証情報や
重要情報の収集
C&Cサーバーへ情報の送信
Slide 33
Slide 33 text
33
GuardDutyによる検知
• C&Cへの通信が開始されてだいたい30分以内には検
知できる
• DNSとVPC Flow Logsから、脅威情報と照らし合
わせて特定する
• ただしブロックはできない
• Malware Protectionも利⽤すると、検知後にマル
ウェアを特定できる
• OS情報など何もない状態からAWS環境全体で検知
が働くのは素晴らしい
Slide 34
Slide 34 text
34
C1WSでのブロック
脆弱性を突く攻撃をブロック
インターネットからWebア
プリケーションの脆弱性を
利⽤しWeb Shell設置
Web Shellからサーバー内部
や周辺の調査、権限昇格
バックドアを仕込む
バックドア経由でさらなる
永続化や⽔平展開
Adminの認証情報や
重要情報の収集
C&Cサーバーへ情報の送信
Slide 35
Slide 35 text
35
C1WSでのブロック
• C1WSではGuardDutyとは動作の段階が違う
• 最初から攻撃が成⽴しない
• マルウェアの通信をブロックでもなく、マルウェア
アップロードでもなく、Web Shell設置でもなく、
脆弱性をつくところから侵⼊防御(IPS)で⽌まる
Slide 36
Slide 36 text
36
C1WSでの多層防御
ファイル書き込み検知
インターネットからWebア
プリケーションの脆弱性を
利⽤しWeb Shell設置
Web Shellからサーバー内部
や周辺の調査、権限昇格
バックドアを仕込む
バックドア経由でさらなる
永続化や⽔平展開
Adminの認証情報や
重要情報の収集
C&Cサーバーへ情報の送信
不正なアプリケーション動作の検知やブロック
Slide 37
Slide 37 text
37
C1WSでの多層防御
• 万が⼀最初の攻撃が⽌まらなくても各ステップで検
知したり⽌められる
• WSが1つのホスト上で多層防御している最⼤の強み
• 通信でも⽌められるしプロセスでも⽌められる
• GuardDutyでは⼿が出せない領域
Slide 38
Slide 38 text
38
導⼊の検討
Slide 39
Slide 39 text
39
C1WSの導⼊検討
• じゃあ全部のEC2にC1WS導⼊でいいか︖
• できるならそれがベスト
• クラスメソッドでもいつもそう⾔っている
• ただ実際にはリスクベースで考える
Slide 40
Slide 40 text
40
リスクの判断⽅法(⼀例)
• 外部から遠ければリスクが下がるため、コストと照
らし合わせてC1WSを導⼊しないことはある
• コストもセキュリティで守るべきものの1つ
• でもなにもないと気づけない
• GuardDutyはカバレッジが広く持てるから必ず利⽤
する
機微な情報を扱う︖
(機密性)
システム重要度は
⾼い︖(可⽤性)
インターネットから
近い︖(攻撃難易度)
Slide 41
Slide 41 text
41
コストを守る⽅法
• C1WSがAWSと親和性が⾼いのはこの部分も
• 年間サブスクリプションではなく従量課⾦で、しか
も安く利⽤できるSPPOという仕組みがある
• かなりコストエフェクティブなので、全EC2に導⼊
する理想に近づけやすい
Slide 42
Slide 42 text
42
合わせて読みたい
AWS Marketplace
でWorkload
Security を従量課
⾦で利⽤する仕組み
https://dev.classmethod.jp/articles/trend-micro-cloud-one-sppo/
Slide 43
Slide 43 text
43
まとめ
Slide 44
Slide 44 text
44
まとめ
• GuardDutyとCloud One Workload Securityは
カバレッジが違うのでどちらも活⽤する
• AWS全体のセキュリティとしてGuardDuty
• EC2上はCloud One Workload Security
• コストを意識してSPPOを活⽤する
Slide 45
Slide 45 text
45
結論
Amazon GuardDutyと
Cloud One Workload Securityは
引き続き両⽅活⽤すべきです
Slide 46
Slide 46 text
46