AWS re:Invent 2017 振り返り－SOCの立場からみたre:Invent

AWS re:Invent 2017 振り返り SOCの立場からみたre:Invent リクルートテクノロジーズサイバーセキュリティエンジニアリング部セキュリティオペレーションセンター安東美穂

(C) Recruit Technologies Co.,Ltd. All rights reserved. 自己紹介 2 安東
美穂 (あんどうみほ) 株式会社リクルートテクノロジーズ 2014年 12月リクルートテクノロジーズ入社/現職セキュリティオペレーションセンター（SOC）所属 2011年 4月 GMOクラウド株式会社新卒入社パブリッククラウド商材のテクニカルサポート担当氏名所属略歴 R-CSIRT発足の直前の2014年末に未経験の第二新卒として入社セキュリティ歴 3年日経コンピュータ連載記事に寄稿（書籍：「現場で使えるセキュリティ事故対応」）休日はパン作り

(C) Recruit Technologies Co.,Ltd. All rights reserved. 本日お話すること • Recruitについて
• Recruitのセキュリティ監視と今回の参加背景 • 注目のリリース & アップデート • AWS re:Invent 2017 レポート • AWS re:Invent & LasVegas Tips 3

(C) Recruit Technologies Co.,Ltd. All rights reserved. Recruitについて -企業概要- 5
※2016年3月末時点グループ従業員数 38,451名※ 連結売上高約15,886億円※ 連結経常利益約1,193億円※ グループ企業数 287社※ 創業 1960年本社所在地東京都千代田区世界中の生活者と産業界に「まだ、ここにない、出会い。」を提供。

(C) Recruit Technologies Co.,Ltd. All rights reserved. Recruitについて -ビジネスモデル- 6
選択・意思決定を支援する情報サービスの提供。

(C) Recruit Technologies Co.,Ltd. All rights reserved. Recruitについて -構成- 7
リクルートグループは複数の事業会社、機能会社から構成。リクルートホールディングスリクルートキャリアリクルート住まいカンパニーリクルートライフスタイルリクルートジョブズリクルートスタッフィングリクルートマーケティングパートナーズスタッフサービス・ホールディングスリクルートマネジメントソリューションズリクルートテクノロジーズリクルートアドミニストレーションリクルートコミュニケーションズ主要な事業会社主要な機能会社ビッグデータ機能部門 UI設計/SEO部門テクノロジーR&D部門事業・社内IT推進部門インフラ部門大規模プロジェクト推進部門

(C) Recruit Technologies Co.,Ltd. All rights reserved. Recruit-CSIRTのご紹介 9 SOC
QMG IRG CSIRT IRG Incident Response Group QMG Quality Management Group SOC Security Operation Center サイバー攻撃への対応をリード・事故発生時の対応支援・外部関連機関との連携・Recruit-CSIRTの運営、各社展開被害最小化未然防止早期検知サイバー攻撃を早期検知し、被害拡大を防止・グループ共通インフラのセキュリティ監視・未知マルウェアの監視、解析、一次対応・被害発生時のフォレンジック (NWおよびPC) ・内部不正のモニタリング平時からセキュリティを向上、被害を未然に防止・脆弱性診断、開発者教育などのセキュア開発支援・セキュリティパッチの情報収集および各社展開・早期警戒(脅威情報の収集および対策検討)

(C) Recruit Technologies Co.,Ltd. All rights reserved. SOCで担当している業務 • リクルートのWEB商用環境（オンプレ、クラウドともに複
数）の24/365のセキュリティ監視、解析 • リクルートのWEB商用環境へのWAF監視導入支援 • セキュリティ運用設計、オペーレション周りのシステム検討や改善

(C) Recruit Technologies Co.,Ltd. All rights reserved. 現状のセキュリティ監視・悩み • しかし今後、開発者や事業がAWSのようなクラウドを選択していくことになる
ことは明白 • セキュリティにおいて、オンプレと同等の品質・レベルで監視やインシデントレスポンスをしなくてはならない • 主要の商用インフラはWAF、IDS、NWフォレンジックを入れて監視 • オンプレの商用インフラにおけるセキュリティ監視は一定のレベルで対応ができている

(C) Recruit Technologies Co.,Ltd. All rights reserved. AWS re:Inventに参加した目的 
主要クラウドインフラであるAWSにおけるトレンドや方向性を知る・感じる  クラウド環境におけるセキュリティソリューション（特にWEB監視）の模索  ログ分析基盤やセキュリティ運用の自動化へ活かせるアイデア探し

(C) Recruit Technologies Co.,Ltd. All rights reserved. AWS re:Invent 2017
レポート 13

(C) Recruit Technologies Co.,Ltd. All rights reserved. 参加したイベント • ハッカソン（Security
Jam） • セッション（Security、DevOps系） • EBC（個別ミーティングセッション） • ブートキャンプ • Keynote • Re:Playパーティ

(C) Recruit Technologies Co.,Ltd. All rights reserved. Security Jam •
４人のチームで行うCTF形式の競技（７時間。110チームが参加。） • 全１０問程度の問題に対しそれぞれAWSコンソールとアカウントが用意されており、設問で求められる操作を実行したり、情報を得て回答する • AWSの各サービスの使いこなしとスピード、アイデアが求められる

(C) Recruit Technologies Co.,Ltd. All rights reserved. Security Jam ↑問題が表示されていた画面
地図上に表示されているアイコンをクリックすると問題が表示される。 ←スコアボード私のチーム（Global Fun Patrol）は39/110ランクでした。

(C) Recruit Technologies Co.,Ltd. All rights reserved. Security Jam 設問例
•サーバーの監査をし、要件を満たしていない状態を解消せよ →AWS configの監査でcompliantになるかを確認。１台のサーバーのPHPバージョンが古いことを確認し、 System managerを使ってPHPのバージョンをアップデートするスクリプトを実行。 •Athenaを使ってWEBサイトにあったbotアクセスのtop5のIP を特定せよ →ELBのログをAthenaに取り込んでSQLを書き、アクセス数top5を回答

(C) Recruit Technologies Co.,Ltd. All rights reserved. Security Jam 設問例
などなど・・ •WAFを使ってWEBページへの怪しいアクセスを遮断せよ →ページにアクセスがあったIPを自動でWAFフィルターに放り込むLambdaファンクションを設定し、遮断されたログからIPを回答 •Macieアラートで情報流出が発覚。情報流出の原因を探して解消せよ →Lambdaで書かれたログインフォームのアプリのコードで、ログインログを出力するようになっていたため、コードを修正。

(C) Recruit Technologies Co.,Ltd. All rights reserved. Security Jam お土産とチーム分けのカード。
スポンサーはTrendMicroさん, Splunkさん。スポンサーからの設問も１問づつありました。 SecurityJamは長時間&コミュニケーション必須のため若干ハードルは高いですが、オンサイトならではの体験と交流ができるので非常におすすめです！

(C) Recruit Technologies Co.,Ltd. All rights reserved. EBC（個別ミーティング） 2枠のEBCをセッティングいただきました •
Inspector • Detective Controls -Logging and monitoring for security on AWS(GuardDuty)

(C) Recruit Technologies Co.,Ltd. All rights reserved. EBC（個別ミーティング）よかったこと –
製品やロードマップについての質問をダイレクトにできる • GuardDutyはいわゆるIDSの代替として活用できるかどうか • ルールのカスタマイズ性 • SIEMのように使用できるかどうか – ロードマップにはない、製品担当者の思想が聞ける • Inspectorは極力発生させるトラフィックを減らし、プロダクション環境に影響が少なく安全に検査をすることを目指している – 製品担当者にユーザーの声や要望を伝えることができる • WAFのログをレスポンスも含めてもう少し出せるようにして欲しい • SSHのログが取れるサービスが欲しい（踏み台サーバーに代わるもの） • フルパケットキャプチャに近いソリューションが欲しい（VPCFlowlogs の拡張）

(C) Recruit Technologies Co.,Ltd. All rights reserved. EBC（個別ミーティング） EBCではできなかったこと –
モニタを見ながらの説明やデモ – 詳細な質問（時間が限られているため） →翌日GuardDutyの説明ブースを見かけて立ち寄り、追加で質問をしました。（リリース当日はシステムトラブルでエラーになっていたことも教えてもらえた）

(C) Recruit Technologies Co.,Ltd. All rights reserved. トレーニング（Bootcamp） ”People,Organization, and
Operating Model Transformation” ‥クラウド移行、クラウドチームへの切り替えを検討している組織リーダー向けのワークショップ アジェンダ – Cloud Adoption Framework(CAF)の考え方の紹介 https://aws.amazon.com/jp/professional-services/CAF/ – クラウド移行のポイント（コスト算出や心構え） – オペレーションモデルの設計 – クラウドチームの組織設計オペレーションモデルの例

(C) Recruit Technologies Co.,Ltd. All rights reserved. トレーニング（Bootcamp）  印象的だったメッセージ
– クラウドに移行すると、”人とプロセス”もトランスフォームしていかないといけない。 – インフラ、アプリ、運用、セキュリティを含めた１つのチームでプロダクト横断で対応する（“Two-pizza” Team） – 参加者同士のディスカッションでどのクラウドを選択するか」などのガイドラインを定めようとしている/定めたいと言っている参加者が多かった 27 技術/セキュリティというよりはマネジメント面のトピックでしたが、クラウドへのトランスフォームに向けて同じような悩みを抱えている企業が多いということを実感しました。

(C) Recruit Technologies Co.,Ltd. All rights reserved. TuesdayNightSession (AWSにおけるセキュリティの話) •
AWS にはSOCが無く、全て自動化されている • とあるシフトでは1 人のセキュリティエンジニアがオペレーションを実施している • 復旧に必要なアクションや、フォレンジック調査なども自動化 • ほかのKeynoteやセッションでも「今後のセキュリティチームは開発が中心」、「Automation, Event driven, Serverless」などのキーワードが目立ちました。 • セキュリティ担当者も求められるスキルやスタンスが変わるだろう、と強く感じました。

(C) Recruit Technologies Co.,Ltd. All rights reserved. AWS WAF managed
rules https://aws.amazon.com/jp/blogs/news/ready-to-use-managed-rules-now-available-on- aws-waf/ 31 • AWS WAFが、セキュリティベンダーが提供するルールやIntelligence 情報を活用するプラットフォームとなっていきそう。 • 高度なルールや細かなカスタマイズができることを今後期待。

(C) Recruit Technologies Co.,Ltd. All rights reserved. ①とにかく規模が大きい！会場に着くまでかなり迷う • とにかくエリアが広範囲
• 会場であるホテルも全て広い • 会場間の移動は最大徒歩40分 • ホテル内を徒歩15分 “Please Ask Me”と書いたシャツを着たスタッフさんが街中にいるので割と安心「前の人について行け」と言われ、２０分ほど何もない道を歩き続けることに・・最終的に迷った人同士で助け合い無事辿り着く

AWS re:Invent 2017 振り返り－SOCの立場からみたre:Invent

AWS re:Invent 2017 振り返り－SOCの立場からみたre:Invent

More Decks by Recruit Technologies

Other Decks in Technology

Featured

Transcript