Slide 1
Slide 1 text
Copyright coconala Inc. All Rights Reserved.
SIEMってサイトの信頼性向上に
寄与するの?
株式会社ココナラ
川崎 雄太
2024/02/14
TechBrew in 東京 〜SRE大集合!信
頼性を高める取り組み〜
Slide 2
Slide 2 text
Copyright coconala Inc. All Rights Reserved.
発表者紹介
2
川崎 雄太 Yuta Kawasaki
株式会社ココナラ
システムプラットフォーム部
部長 / Head of Information
2020年 株式会社ココナラ入社
去年の自慢はPR TIMESに3回載ったこと✨
Xアカウント(@yuta_k0911)も
ぜひフォローしてください!
Slide 3
Slide 3 text
Copyright coconala Inc. All Rights Reserved.
3
Agenda
信頼性向上 × SIEM
セキュリティログ分析の課題と効果
今後の取り組み
2
1
3
Slide 4
Slide 4 text
Copyright coconala Inc. All Rights Reserved.
信頼性向上 × SIEM
Chapter 01
4
Slide 5
Slide 5 text
Copyright coconala Inc. All Rights Reserved.
突然ですが、
「セキュリティログ分析」に
取り組んでいますか?🤔
5
Slide 6
Slide 6 text
Copyright coconala Inc. All Rights Reserved.
ココナラはログを溜めていたものの
「セキュリティログ分析」に
取り組みだしたのは2022年からです💦
6
Slide 7
Slide 7 text
Copyright coconala Inc. All Rights Reserved.
セキュリティログ分析とは?
7
システムのコンディション把握と打ち手の創出をすること
分析、検知、監査、監視など目的は様々だ
が、「ある時点のシステムの状態(コン
ディション)を把握」し、そこから「対応
が必要な場合の打ち手を創出する」こ
とを目的としている。
システムの規模が多くなればなるほど、ログの
量が膨大となるため、分析の仕組みが不
可欠となる。
Slide 8
Slide 8 text
Copyright coconala Inc. All Rights Reserved.
セキュリティログ分析をする
↓
攻撃の痕跡・予兆を見つける
↓
プロアクティブな対策を講じる
↓
これって信頼性向上では!?💪
8
Slide 9
Slide 9 text
Copyright coconala Inc. All Rights Reserved.
セキュリティログ分析の課題と効果
Chapter 02
9
Slide 10
Slide 10 text
Copyright coconala Inc. All Rights Reserved.
さて、どうやって
「セキュリティログ分析」をするか?🤔
1.人に読みやすくない😵
→情報量が多すぎる&相関関係がわかりにくい
2.ログの量が膨大😵
→WAFログだけで120GB以上/日
10
Slide 11
Slide 11 text
Copyright coconala Inc. All Rights Reserved.
SIEM on Amazon OpenSearch Serviceとは?
11
「S3+Athena」でも実現できるが、検知と視認性を優先
Slide 12
Slide 12 text
Copyright coconala Inc. All Rights Reserved.
SIEM on Amazon OpenSearch Serviceを用いたセキュリティログ分析
12
日次で傾向把握と分析、過去との比較からパターン化
ココナラは国内を中心にサービスをしてい
るため、国内・海外のIPアドレスによる
アクセス状況 / ブロック状況 / エラー
発生状況などをモニタリングする。
アクセス状況を見て、WAFルールの点
検などを行い、プロアクティブに攻撃
への対策を実施。
Slide 13
Slide 13 text
Copyright coconala Inc. All Rights Reserved.
セキュリティログ分析を行ってみてわかったこと
13
意外と攻撃やお行儀の悪いアクセスは来ている
想像以上にお行儀の悪いアクセス・攻撃と思
われるアクセスが頻繁に来ていた。
例えば、◯snbotがとんでもない頻度でアク
セス(スクレイピング)していて、アラートに
引っかかっていた。
怪しいアクセスは「5xx系」ではなく、
「403」で返せれば、アクセスが止まるこ
とが大多数!
Slide 14
Slide 14 text
Copyright coconala Inc. All Rights Reserved.
今後の取り組み
Chapter 03
14
Slide 15
Slide 15 text
Copyright coconala Inc. All Rights Reserved.
継続したリファクタリングの実践
15
一度、導入して終わりではなく、継続したリファクタリングを行う
攻撃は日々進化しているため、チューニング
/ リファクタリングが必要。
怪しいアクセスを403で返されば信頼性は高
まると言えるが、油断はできない。
・ソリューションは「導入する」よりも「導入
後の運用」が重要
・「リアクティブ」だけでなく、「プロアクティ
ブ」な仕掛けが重要
Slide 16
Slide 16 text
Copyright coconala Inc. All Rights Reserved.
セキュリティログの分析👀により、
サイトの信頼性向上の糸口💡が
見つかります!!😁
16
Slide 17
Slide 17 text
Fin