『Sysdigで始めてみる [偉い人] < “弊社のセキュリティ大丈夫？” ← “大丈夫！” > [現場] なセキュリティ対策』

by Kazuhiro Hashimoto

Slide 1

Slide 1 text

実例から学ぶセキュリティ監視〜Sysdigで始めてみる [偉い人] < “弊社のセキュリティ大丈夫？” “大丈夫！” > [現場] なセキュリティ対策〜

Slide 2

Slide 2 text

自己紹介 ● 経歴 ○ 2002〜2014 SIer ネットワークエンジニア ○ 2015〜2024 ゲーム会社サーバインフラ/SREチームリード ○ 2024/07〜本業タイミープラットフォームエンジニアリンググループ ○ & 今年〜副業フリーランス複数企業支援 ← ここの立ち位置でのお話 ● 技術領域・役割 ○ SRE、プラットフォームエンジニアリング ○ クラウド（AWS / GCP）、IaC ○ プロダクト・セキュリティ

Slide 3

Slide 3 text

ある日のやりとり利用: https://hi0a.com/demo/-js/js-talk-line/

Slide 4

Slide 4 text

『セキュリティ』難しいですよね。 ● 広い ● 深い ● 重い

Slide 5

Slide 5 text

『セキュリティ』難しいですよね。 ● 広い ● 深い ● 重い ※この資料では”インフラ寄り”の部分ですコード(フロントエンド) コード(バックエンド) ランタイムクラウド PC等開発環境このへん

Slide 6

Slide 6 text

やっていくしかない ● クラウド知識 ● インフラ知識 ● 認証(IAM)

Slide 7

Slide 7 text

ここで何を言えると良い？ - インフラ変更管理・レビューを厳格に行っています - 資産台帳管理と定期的な棚卸しを行っています - 外部通信をプロキシにより制限しています - セキュリティ診断をして定期的に是正しています - ウィルススキャンをサーバにインストールしています - … etc. （でも、今この瞬間のセキュリティは不安なんだよなぁ...）

Slide 8

Slide 8 text

最近の”クラウドネイティブ”を前提にすると ● 100% 完璧な防御の構築は無理 ○ 侵入をされないシステムはない ○ 侵入されたらどう気づくか？を前提にした監視 ● 100% 完璧な状態の維持は無理 ○ 人はミスをする ○ 人のミスにどう気づくか？を前提にした監視 ● “素早いシステム開発”だとなおさら [厳格さ = 大変さ] に侵入されないシステム → 侵入されてもダメージコントロールが可能なシステム

Slide 9

Slide 9 text

ふたたび。ここで何を言えると良い？

Slide 10

Slide 10 text

これをやっていくには？いろいろあってどこから手をつけたらいいんだろうイチから作るの大変そう

Slide 11

Slide 11 text

Sysdigを中心にやってみる。が、色んな機能が... 引用: https://sysdig.jp

Slide 12

Slide 12 text

Sysdigで出来るセキュリティ対策（取り急ぎ版）どんどん機能強化がされていたり・様々な機能があるので取り急ぎできると良いものをpick-upしています

Slide 13

Slide 13 text

runtime脅威検知の雰囲気 (&マルウェア) ★万が一侵入されたときに気づく ※ 以下、添付している画像は Sysdig Secure評価アカウントの画面イメージを使用しています

Slide 14

Slide 14 text

- Cloud Audit Logベースでの検知 - SystemCall（Agent）での検知 - Saasサービス（Github, Okta）での検知

Slide 15

Slide 15 text

No content

Slide 16

Slide 16 text

No content

Slide 17

Slide 17 text

No content

Slide 18

Slide 18 text

No content

Slide 19

Slide 19 text

脆弱性・マルウェア検知の雰囲気 ★侵入されないための堅固さの維持

Slide 20

Slide 20 text

No content

Slide 21

Slide 21 text

No content

Slide 22

Slide 22 text

IAM（CIEM）の雰囲気 ★侵入されないための堅固さの維持・人のミス（設定ミス・誤った操作）に気づく

Slide 23

Slide 23 text

No content

Slide 24

Slide 24 text

No content

Slide 25

Slide 25 text

benchmarkの雰囲気 ★侵入されないための堅固さの維持・人のミス（設定ミス・誤った操作）に気づく

Slide 26

Slide 26 text

No content

Slide 27

Slide 27 text

GuardDuty, Security Command Center？ - AWS, GCP等のクラウドセキュリティ機能との棲み分けは？ - マルチクラウドだとSysdigに寄せつつ併用もアリ - 各クラウドのセットアップやクセの把握が大変な場面も - なので、同じUI/UX(Sysdig)で監視を集約するのが良いことも - ただ、Sysdigだけで全部完結といかないところも - アノマリ検知はクラウド固有のセキュリティ監視が強い場合も - 監視はFalsePositiveとの戦い - falco ruleやregoによるPolicy as Codeを実装しやすい点はsysdig優位 ※個人の感想を多く含みます

Slide 28

Slide 28 text

おまけ（残り時間でできるだけ説明） false positiveとの戦いについて ● Cloud, Workload(syscall), SaaS ○ Falco Rule’s Exception ● Benchmark ○ Rego

Slide 29

Slide 29 text

No content

Slide 30

Slide 30 text

No content

Slide 31

Slide 31 text

まとめ ● セキュリティは時間とともに劣化していくもの ○ 鉄壁防御のシステムがなければ ○ ミスしない人・組織もない ○ 侵入される前提で監視をする必要性 ● どのように監視するの？どこから手をつければいいの？ ○ 自分たちで仕組みを作っていくのも大変 ○ 仕組みづくりで力尽きてセキュリティ運用回せていないかも？ ○ 全力でツールに頼ってセキュリティ監視を回せるようにするのもオススメ ● セキュリティ大丈夫！と言い切れない不安解消の参考になれば幸いです