Slide 1
Slide 1 text
Copyright coconala Inc. All Rights Reserved.
SIEMを用いて、セキュリティログ分析の可
視化と分析を実現し、
PDCAサイクルを回してみた
株式会社ココナラ
川崎 雄太
Slide 2
Slide 2 text
Copyright coconala Inc. All Rights Reserved.
の登壇内容から、
カスタマイズしてお話します!
Xアカウント(@yuta_k0911)も
ぜひフォローしてください!
2
Slide 3
Slide 3 text
Copyright coconala Inc. All Rights Reserved.
3
Agenda
ココナラで抱えていたセキュリティの課題
セキュリティログ分析への取り組み
セキュリティの課題をどのように解決していったか?
今後の取り組み
1
2
3
4
Slide 4
Slide 4 text
Copyright coconala Inc. All Rights Reserved.
発表者紹介
4
川崎 雄太 Yuta Kawasaki
株式会社ココナラ
システムプラットフォーム部
部長 / Head of Information
2020年 株式会社ココナラ入社
「システム基盤」を管轄
2023年から見様見真似でDevRelに着手
今年の自慢はPR TIMESに3回載ったこと✨
Slide 5
Slide 5 text
Copyright coconala Inc. All Rights Reserved.
5
ココナラの事業内容
Slide 6
Slide 6 text
Copyright coconala Inc. All Rights Reserved.
ココナラで抱えていたセキュリティの課題
Chapter 01
6
Slide 7
Slide 7 text
Copyright coconala Inc. All Rights Reserved.
2021年上場前後のセキュリティ課題
7
課題の把握が弱く、どの順番で何をすればよいか?が不明確
● 2021年3月の上場時にセキュリティ専門部署がない。
● ↑の状況なので、セキュリティの課題がリストアップされてお
らず、インシデントドリブンの「もぐらたたき」で対応をしてい
た。
● 自己流でログの取得だけは行っていたが、利活用が出
来ていない。 ★ここにフォーカス!
Slide 8
Slide 8 text
Copyright coconala Inc. All Rights Reserved.
ココナラでは、どのようにセキュリティ課題へ向き合ったか?
8
内部脅威・外部脅威に分類し、状況の可視化を実現
※2021年時点の状況
数字が小さいところが
対策できていない箇
所=優先して対応す
べき事項。
例えば、DDoS攻撃
や脆弱性攻撃の対
策が不十分だった。
Slide 9
Slide 9 text
Copyright coconala Inc. All Rights Reserved.
セキュリティログ分析への取り組み
Chapter 02
9
Slide 10
Slide 10 text
Copyright coconala Inc. All Rights Reserved.
「セキュリティログ分析」と聞いて、
何をイメージしますでしょうか?🤔
私個人の解釈で説明します。
10
Slide 11
Slide 11 text
Copyright coconala Inc. All Rights Reserved.
セキュリティログ分析とは?
11
システムのコンディション把握と打ち手の創出をすること
分析、検知、監査、監視など目的は様々だ
が、「ある時点のシステムの状態(コン
ディション)を把握」し、そこから「対応
が必要な場合の打ち手を創出する」こ
とを目的としている。
システムの規模が多くなればなるほど、ログの
量が膨大となるため、分析の仕組みが不
可欠となる。
Slide 12
Slide 12 text
Copyright coconala Inc. All Rights Reserved.
では、セキュリティログ分析は
何が難しいか?🤔
1.人に読みやすくない😵
→情報量が多すぎる&相関関係がわかりにくい
2.ログの量が膨大😵
→WAFログだけで120GB以上/日
12
Slide 13
Slide 13 text
Copyright coconala Inc. All Rights Reserved.
そこで仕組みが必要と考えた🤔
「SIEM on Amazon OpenSearch
Service」の出番。
13
Slide 14
Slide 14 text
Copyright coconala Inc. All Rights Reserved.
セキュリティの課題を
どのように解決していったか?
Chapter 03
14
Slide 15
Slide 15 text
Copyright coconala Inc. All Rights Reserved.
「餅は餅屋」ということで、ハンズオンを個別に開催してもらう
15
SIEM on Amazon OpenSearch Serviceの個別ハンズオン実施
Slide 16
Slide 16 text
Copyright coconala Inc. All Rights Reserved.
SIEM on Amazon OpenSearch Serviceとは?
16
Slide 17
Slide 17 text
Copyright coconala Inc. All Rights Reserved.
SIEM on Amazon OpenSearch Serviceを用いたWAFログのモニタリング
17
日次で傾向把握と分析、過去との比較からパターン化
ココナラは国内を中心にサービスをしてい
るため、国内・海外のIPアドレスによる
アクセス状況 / ブロック状況 / エラー
発生状況などをモニタリングする。
アクセス状況を見て、WAFルールの点
検などを行い、プロアクティブに攻撃
への対策を実施。
Slide 18
Slide 18 text
Copyright coconala Inc. All Rights Reserved.
ココナラで実践しているセキュリティモニタリング運用
18
毎営業日モニタリングを実施し、アクションを創出する
毎営業日17:00時
点の情報で定点確
認(WAFログ以外
も含めて、レポート
作成)
問題があれば、毎
営業日18:00に集
まり、確認・議論
当日〜翌日以降の
アクションを決め
て、チケット化
Slide 19
Slide 19 text
Copyright coconala Inc. All Rights Reserved.
システム全体の健康状態が一目瞭然になった
19
即時の分析とアクションへの転換ができた
例えば、「リクエスト数の急な増加」が発生し
た場合にそれが悪意のあるアクセスなの
かどうか?をダッシュボードを見るだけで
一目瞭然になった。
↑結果から、悪意のある or お行儀の悪い
アクセスをしているIPアドレスを捕捉し、
拒否リストへ登録した。(累計1億回以上の
アクセスをブロック)
Slide 20
Slide 20 text
Copyright coconala Inc. All Rights Reserved.
今後の取り組み
Chapter 04
20
Slide 21
Slide 21 text
Copyright coconala Inc. All Rights Reserved.
継続したリファクタリングの実践
21
一度、導入して終わりではなく、継続したリファクタリングを行う
攻撃は日々進化しているため、防御策も
日々チューニング / リファクタリングを行う必
要がある。
・ソリューションは「導入する」よりも「導入
後の運用」が重要
・「リアクティブ」だけでなく、「プロアクティ
ブ」な仕掛けが重要
Slide 22
Slide 22 text
Copyright coconala Inc. All Rights Reserved.
経営層を巻き込んでセキュリティ対策をより推進していく
22
経営層にセキュリティ対策の必要性・効果を理解してもらう
セキュリティ強化を進めていくためには、経営層の
理解が不可欠。
「インシデント発生時の対応費」 > 「セキュリ
ティ対策費」という構図を理解してもらい、経営
層と一緒にセキュリティ対策を進めていく。
「銀の弾丸」はない。
予算は限られるので、取捨選択しつつ、効率的・
効果的に対策を進めることが重要。
Slide 23
Slide 23 text
Copyright coconala Inc. All Rights Reserved.
セキュリティログの分析👀により、
サイトの信頼性向上の糸口💡が
見つかります!!😁
23
Slide 24
Slide 24 text
Fin
Slide 25
Slide 25 text
Copyright coconala Inc. All Rights Reserved.
Appendix
Chapter 06
25
Slide 26
Slide 26 text
Copyright coconala Inc. All Rights Reserved.
SIEM on Amazon OpenSearch Serviceのダッシュボードイメージ
26
アクセス状況の詳細を把握、分析