Link
Embed
Share
Beginning
This slide
Copy link URL
Copy link URL
Copy iframe embed code
Copy iframe embed code
Copy javascript embed code
Copy javascript embed code
Share
Tweet
Share
Tweet
Slide 1
Slide 1 text
1000+プロジェクトを超えるサイ バーエージェントグループのクラウ ドセキュリティモニタリング @CyberAgent Developers Conference 2022.03
Slide 2
Slide 2 text
小笠原 清志 2017年 CyberAgent ジョイン System Security 推進 Group @gassara-kys サイバーセキュリティに対して技術的な課題解決の 提案・提供を行っています @gassara5
Slide 3
Slide 3 text
● クラウド利用の実態 ● インシデント増加と難しさ ● RISKENのご紹介 Agenda
Slide 4
Slide 4 text
クラウド利用の実態
Slide 5
Slide 5 text
主なCSP 636+ 458+ * 2021.10 時点
Slide 6
Slide 6 text
● 1プロダクトで複数環境を用意する傾向 ● 個人用に環境を用意しているところも ● 棚卸しされずに残り続ける 急に増えた要因
Slide 7
Slide 7 text
● 利用実態の把握が困難 ● セキュリティリスク増 増えるとどうなるか
Slide 8
Slide 8 text
インシデント増加と難しさ
Slide 9
Slide 9 text
インシデント対応フロー インシデント発生 エスカレ 調査 暫定対応 トリアージ 対応方針立案 アサイン CyberAgent CSIRTインシデント対応フローより 初動対応 ステークホルダー への報告 恒久対応 報告書作成 各省庁への報告 本対応 完了
Slide 10
Slide 10 text
インシデント対応フロー CyberAgent CSIRTインシデント対応フローより この辺から入 ることになる インシデント発生 エスカレ 調査 暫定対応 トリアージ 対応方針立案 アサイン 初動対応 ステークホルダー への報告 恒久対応 報告書作成 各省庁への報告 本対応 完了
Slide 11
Slide 11 text
クラウド系のインシデント 例えばIAMクレデンシャルの流出事故の場合 ● 流出した可能性のあるIAMを特定 ● IAMに紐づく権限を把握 ● 監査ログなどでアクティビティの確認 ● 実被害の整理 ● さらに権限の範囲内でどういったリソースに影響があるかの 確認(ラテラルムーブメント) ● 確実に流出してる場合はキーの無効化や権限の最小化の判断 ● 流出原因の特定→恒久対応方針の検討
Slide 12
Slide 12 text
● サービスの特性だったり、クラウドの状況を 知らない状態で対応に入るケースがほとんど ● 調査や対応はケース・バイ・ケース ● クラウドリソースの変更を伴う作業が必要な ケースでも判断できないことが多々ある(権 限変更、NW隔離、インスタンス停止) 難しさ
Slide 13
Slide 13 text
● 実態の把握に時間がかかる ● セキュリティ担当者だけでは適切な判断 ができない セキュリティチームの課題
Slide 14
Slide 14 text
考え方の変化 Product-A Product-B Product-C 専門性の分離 生産性 アジリティ Security Cloud Admin 今まで...
Slide 15
Slide 15 text
考え方の変化 Security Cloud Admin Product-A Product-B Product-C 巻き込み 責任共有 透明性 少しづつ変化... PSIRT
Slide 16
Slide 16 text
RISKENのご紹介
Slide 17
Slide 17 text
CyberAgentでは「セキュリティリスクを可視化するためのツー ル」RISKENを内製し、セキュリティ課題に取り組んでいます RISKENのご紹介
Slide 18
Slide 18 text
デモ
Slide 19
Slide 19 text
内製化のモチベーション ● CSPMなどのソリューションはだいたい高かった ● 外部のソリューションは数が多くなると運用が 困難だった ● セキュリティチームにナレッジが貯まっていた のでそれを活かす場所がほしかった
Slide 20
Slide 20 text
マルチクラウドの必要性 ● 1サービスで複数のCSPを利用するケースが増え てきた ● 適材適所でサービスを使い分けるパターン(動 画配信やDB・ストレージ、ML等) ● 見たいのはIaaSだけじゃない ● 今後も増えそうなので早めに手を打っておきた かった
Slide 21
Slide 21 text
RISKENの運用実態と導入効果 画像 画像 画像 プロジェクト数 879 ユーザ数 305 Finding総数 944k * 2022.01時点 ● AWSを中心に社内での利用が増えた ● 問題が可視化され積極的にセキュリティ対応してくれた ● 利用してないリソースが削除され大幅なコストカット
Slide 22
Slide 22 text
アーキテクチャ 小規模の Elastic Kubernetes Service (Amazon EKS) クラスタで構築
Slide 23
Slide 23 text
アーキテクチャ 小規模の Elastic Kubernetes Service (Amazon EKS) クラスタで構築 Cognito経由で社内IdPと連携 (ユーザ管理の運用◎) データストアなどステートフルな ものはマネージドに寄せて運用面 や可用性を向上 マイクロサービスごとの細かいス ペックチューニング
Slide 24
Slide 24 text
スケーラビリティ … … Queue Worker Subscribe Scan Ondemand Message Scheduled 増え続けるクラウド環境をどう継続的にスキャンしていくか
Slide 25
Slide 25 text
認可制御(AWS) 大量のクラウドに対して導入のハードルを下げる、かつセキュアに実現 Account-A Scan用ロール AssumeRole (ExternalID) Scan Account-B Scan用ロール Scan AssumeRole (ExternalID) IAM
Slide 26
Slide 26 text
認可制御(GCP) Project-A IAM Scan Project-B Scan ServiceAccount IAM risken: Verification Code risken: Verification Code VerificationCode VerificationCode GCPの場合はサービスアカウントへの認可と検証コードで実現
Slide 27
Slide 27 text
汎用的なデータモデル 🔎 Finding Data Source ストレージコスト⬇ 分析・集計・検索パフォーマンス⬆ finding ・Project ・DataSource ・レベル ・スコア ・タグ ・生データ … Console format ・Scan ・Analyze ・Alert ・Report ・Search
Slide 28
Slide 28 text
OSS ● RISKENはOSSとして公開しています ● もし興味もって頂ければ、まずはローカルPC用 のガイドも用意していますので試してみてもら えると嬉しいです ● GitHubもしくはTwitter等でフィードバックお 待ちしております
Slide 29
Slide 29 text
まとめ ● クラウド利用が増えている ● インシデント対応は難しい ● RISKENというツールを作った
Slide 30
Slide 30 text
まとめ ご視聴ありがとうございました🙏
Slide 31
Slide 31 text
Appendix
Slide 32
Slide 32 text
Reference ● RISKENドキュメント ● GitHubリポジトリ ● CyberAgentの情報セキュリティへの取り組み