AWS re:Invent 2017 振り返り－SOCの立場からみたre:Invent

Transcript

1. AWS re:Invent 2017 振り返り SOCの立場からみたre:Invent リクルートテクノロジーズ サイバーセキュリティエンジニアリング部 セキュリティオペレーションセンター 安東美穂

2. (C) Recruit Technologies Co.,Ltd. All rights reserved. 自己紹介 2 安東

   美穂 (あんどう みほ) 株式会社リクルートテクノロジーズ 2014年 12月 リクルートテクノロジーズ 入社/現職 セキュリティオペレーションセンター（SOC）所属 2011年 4月 GMOクラウド株式会社 新卒入社 パブリッククラウド商材のテクニカルサポート担当 氏名 所属 略歴 R-CSIRT発足の直前の2014年末に 未経験の第二新卒として入社 セキュリティ歴 3年 日経コンピュータ連載記事に寄稿 （書籍：「現場で使えるセキュリティ事故対応」） 休日はパン作り

3. (C) Recruit Technologies Co.,Ltd. All rights reserved. 本日お話すること • Recruitについて

   • Recruitのセキュリティ監視と今回の参加背景 • 注目のリリース & アップデート • AWS re:Invent 2017 レポート • AWS re:Invent & LasVegas Tips 3

4. (C) Recruit Technologies Co.,Ltd. All rights reserved. Recruitについて 4

5. (C) Recruit Technologies Co.,Ltd. All rights reserved. Recruitについて -企業概要- 5

   ※2016年3月末時点 グループ従業員数 38,451名※ 連結売上高 約15,886億円※ 連結経常利益 約1,193億円※ グループ企業数 287社※ 創業 1960年 本社所在地 東京都千代田区 世界中の生活者と産業界に「まだ、ここにない、出会い。」を提供。

6. (C) Recruit Technologies Co.,Ltd. All rights reserved. Recruitについて -ビジネスモデル- 6

   選択・意思決定 を支援する情報サービスの提供。

7. (C) Recruit Technologies Co.,Ltd. All rights reserved. Recruitについて -構成- 7

   リクルートグループは複数の事業会社、機能会社から構成。 リクルートホールディングス リクルートキャリア リクルート住まいカンパニー リクルートライフスタイル リクルートジョブズ リクルートスタッフィング リクルートマーケティングパートナーズ スタッフサービス・ホールディングス リクルートマネジメントソリューションズ リクルートテクノロジーズ リクルートアドミニストレーション リクルートコミュニケーションズ 主要な事業会社 主要な機能会社 ビッグデータ機能部門 UI設計/SEO部門 テクノロジーR&D部門 事業・社内IT推進部門 インフラ部門 大規模プロジェクト推進部門

8. (C) Recruit Technologies Co.,Ltd. All rights reserved. Recruitのセキュリティ監視と 今回の参加背景 8

9. (C) Recruit Technologies Co.,Ltd. All rights reserved. Recruit-CSIRTのご紹介 9 SOC

   QMG IRG CSIRT IRG Incident Response Group QMG Quality Management Group SOC Security Operation Center サイバー攻撃への対応をリード ・事故発生時の対応支援 ・外部関連機関との連携 ・Recruit-CSIRTの運営、各社展開 被害最小化 未然防止 早期検知 サイバー攻撃を早期検知し、被害拡大を防止 ・グループ共通インフラのセキュリティ監視 ・未知マルウェアの監視、解析、一次対応 ・被害発生時のフォレンジック (NWおよびPC) ・内部不正のモニタリング 平時からセキュリティを向上、被害を未然に防止 ・脆弱性診断、開発者教育などのセキュア開発支援 ・セキュリティパッチの情報収集および各社展開 ・早期警戒(脅威情報の収集および対策検討)

10. (C) Recruit Technologies Co.,Ltd. All rights reserved. SOCで担当している業務 • リクルートのWEB商用環境（オンプレ、クラウドともに複

    数）の24/365のセキュリティ監視、解析 • リクルートのWEB商用環境へのWAF監視導入支援 • セキュリティ運用設計、オペーレション周りのシステム検 討や改善

11. (C) Recruit Technologies Co.,Ltd. All rights reserved. 現状のセキュリティ監視・悩み • しかし今後、開発者や事業がAWSのようなクラウドを選択していくことになる

    ことは明白 • セキュリティにおいて、オンプレと同等の品質・レベルで監視やインシデント レスポンスをしなくてはならない • 主要の商用インフラはWAF、IDS、NWフォレンジックを入れて監視 • オンプレの商用インフラにおけるセキュリティ監視は一定のレベルで対応がで きている

12. (C) Recruit Technologies Co.,Ltd. All rights reserved. AWS re:Inventに参加した目的 

    主要クラウドインフラであるAWSにおけるトレン ドや方向性を知る・感じる  クラウド環境におけるセキュリティソリューショ ン（特にWEB監視）の模索  ログ分析基盤やセキュリティ運用の自動化へ活か せるアイデア探し

13. (C) Recruit Technologies Co.,Ltd. All rights reserved. AWS re:Invent 2017

    レポート 13

14. (C) Recruit Technologies Co.,Ltd. All rights reserved. 参加したイベント • ハッカソン（Security

    Jam） • セッション（Security、DevOps系） • EBC（個別ミーティングセッション） • ブートキャンプ • Keynote • Re:Playパーティ

15. (C) Recruit Technologies Co.,Ltd. All rights reserved. 参加したイベント • ハッカソン（Security

    Jam） • セッション（Security、DevOps系） • EBC（個別ミーティングセッション） • ブートキャンプ • Keynote • Re:Playパーティ

16. (C) Recruit Technologies Co.,Ltd. All rights reserved. Security Jam •

    ４人のチームで行うCTF形式の競技（７時間。110チームが参加。） • 全１０問程度の問題に対しそれぞれAWSコンソールとアカウントが用意されて おり、設問で求められる操作を実行したり、情報を得て回答する • AWSの各サービスの使いこなしとスピード、アイデアが求められる

17. (C) Recruit Technologies Co.,Ltd. All rights reserved. Security Jam ↑問題が表示されていた画面

    地図上に表示されているアイコンをクリックすると問 題が表示される。 ←スコアボード 私のチーム（Global Fun Patrol）は39/110ランクでした。

18. (C) Recruit Technologies Co.,Ltd. All rights reserved. Security Jam 設問例

    •サーバーの監査をし、要件を満たしていない状態を解消せ よ →AWS configの監査でcompliantになるかを確認。１台 のサーバーのPHPバージョンが古いことを確認し、 System managerを使ってPHPのバージョンをアップ デートするスクリプトを実行。 •Athenaを使ってWEBサイトにあったbotアクセスのtop5のIP を特定せよ →ELBのログをAthenaに取り込んでSQLを書き、アクセ ス数top5を回答

19. (C) Recruit Technologies Co.,Ltd. All rights reserved. Security Jam 設問例

    などなど・・ •WAFを使ってWEBページへの怪しいアクセスを遮断せよ →ページにアクセスがあったIPを自動でWAFフィルター に放り込むLambdaファンクションを設定し、遮断され たログからIPを回答 •Macieアラートで情報流出が発覚。情報流出の原因を探し て解消せよ →Lambdaで書かれたログインフォームのアプリのコー ドで、ログインログを出力するようになっていたため、 コードを修正。

20. (C) Recruit Technologies Co.,Ltd. All rights reserved. Security Jam お土産とチーム分けのカード。

    スポンサーはTrendMicroさん, Splunkさん。 スポンサーからの設問も１問 づつありました。 SecurityJamは長 時間&コミュニ ケーション必須の ため若干ハードル は高いですが、 オンサイトならで はの体験と交流が できるので非常に おすすめです！

21. (C) Recruit Technologies Co.,Ltd. All rights reserved. 参加したイベント • ハッカソン（Security

    Jam） • セッション（Security、DevOps系） • EBC（個別ミーティングセッション） • ブートキャンプ • Keynote • Re:Playパーティ

22. (C) Recruit Technologies Co.,Ltd. All rights reserved. EBC（個別ミーティング） 2枠のEBCをセッティングいただきました •

    Inspector • Detective Controls -Logging and monitoring for security on AWS(GuardDuty)

23. (C) Recruit Technologies Co.,Ltd. All rights reserved. EBC（個別ミーティング） よかったこと –

    製品やロードマップについての質問をダイレクトにできる • GuardDutyはいわゆるIDSの代替として活用できるかどうか • ルールのカスタマイズ性 • SIEMのように使用できるかどうか – ロードマップにはない、製品担当者の思想が聞ける • Inspectorは極力発生させるトラフィックを減らし、プロダクション環 境に影響が少なく安全に検査をすることを目指している – 製品担当者にユーザーの声や要望を伝えることができる • WAFのログをレスポンスも含めてもう少し出せるようにして欲しい • SSHのログが取れるサービスが欲しい（踏み台サーバーに代わるも の） • フルパケットキャプチャに近いソリューションが欲しい（VPCFlowlogs の拡張）

24. (C) Recruit Technologies Co.,Ltd. All rights reserved. EBC（個別ミーティング） EBCではできなかったこと –

    モニタを見ながらの説明やデモ – 詳細な質問（時間が限られているため） →翌日GuardDutyの説明ブースを見かけて立ち寄り、追加で質問をしま した。（リリース当日はシステムトラブルでエラーになっていたことも 教えてもらえた）

25. (C) Recruit Technologies Co.,Ltd. All rights reserved. 参加したイベント • ハッカソン（Security

    Jam） • セッション（Security、DevOps系） • EBC（個別ミーティングセッション） • ブートキャンプ • Keynote • Re:Playパーティ

26. (C) Recruit Technologies Co.,Ltd. All rights reserved. トレーニング（Bootcamp） ”People,Organization, and

    Operating Model Transformation” ‥クラウド移行、クラウドチームへの切り替えを検討している組織リー ダー向けのワークショップ アジェンダ – Cloud Adoption Framework(CAF)の考え方の紹介 https://aws.amazon.com/jp/professional-services/CAF/ – クラウド移行のポイント（コスト算出や心構え） – オペレーションモデルの設計 – クラウドチームの組織設計 オペレー ションモ デルの例

27. (C) Recruit Technologies Co.,Ltd. All rights reserved. トレーニング（Bootcamp）  印象的だったメッセージ

    – クラウドに移行すると、”人とプロセス”もトランスフォームしてい かないといけない。 – インフラ、アプリ、運用、セキュリティを含めた１つのチームでプ ロダクト横断で対応する（“Two-pizza” Team） – 参加者同士のディスカッションでどのクラウドを選択するか」など のガイドラインを定めようとしている/定めたいと言っている参加 者が多かった 27 技術/セキュリティというよりはマネ ジメント面のトピックでしたが、 クラウドへのトランスフォームに向 けて同じような悩みを抱えている企 業が多いということを実感しました。

28. (C) Recruit Technologies Co.,Ltd. All rights reserved. 参加したイベント • ハッカソン（Security

    Jam） • セッション（Security、DevOps系） • EBC（個別ミーティングセッション） • ブートキャンプ • Keynote • Re:Playパーティ

29. (C) Recruit Technologies Co.,Ltd. All rights reserved. TuesdayNightSession (AWSにおけるセキュリティの話) •

    AWS にはSOCが無く、全て自動化されている • とあるシフトでは1 人のセキュリティエンジニアがオペ レーションを実施している • 復旧に必要なアクションや、フォレンジック調査なども自 動化 • ほかのKeynoteやセッシ ョンでも「今後のセキュ リティチームは開発が中 心」、「Automation, Event driven, Serverless」 などのキーワードが目立 ちました。 • セキュリティ担当者も求 められるスキルやスタン スが変わるだろう、と強 く感じました。

30. (C) Recruit Technologies Co.,Ltd. All rights reserved. 注目のリリース & アップデート

    30

31. (C) Recruit Technologies Co.,Ltd. All rights reserved. AWS WAF managed

    rules https://aws.amazon.com/jp/blogs/news/ready-to-use-managed-rules-now-available-on- aws-waf/ 31 • AWS WAFが、セキュリ ティベンダーが提供す るルールやIntelligence 情報を活用するプラッ トフォームとなってい きそう。 • 高度なルールや細かな カスタマイズができる ことを今後期待。

32. (C) Recruit Technologies Co.,Ltd. All rights reserved. AWS re:Invent &

    LasVegas Tips

33. (C) Recruit Technologies Co.,Ltd. All rights reserved. ①とにかく規模が大きい！会場に着くまでかなり迷う • とにかくエリアが広範囲

    • 会場であるホテルも全て広い • 会場間の移動は最大徒歩40分 • ホテル内を徒歩15分 “Please Ask Me”と書 いたシャツを着たス タッフさんが街中に いるので割と安心 「前の人について行 け」と言われ、２０ 分ほど何もない道を 歩き続けること に・・ 最終的に迷った人同 士で助け合い無事辿 り着く

34. (C) Recruit Technologies Co.,Ltd. All rights reserved. ②会場のホテル間はシャトルバスがある • 滞在中のメインの交通手段

    • 初日はシャトルバスの存在を知らず、乗り場もわからずタ クシーを使っていた • ただピーク時は長蛇の列になっており、歩いて移動するの と所要時間がかわらなかったりする

35. (C) Recruit Technologies Co.,Ltd. All rights reserved. ③セッションはだいたい満席。Walk-inは早めに • セッションの予約が取れなかった場合はWalk-inに並ぶこと

    になる • 意外とWalk-inでも入れるが、20分前には列ができているの で早めに並ばないと入れない

36. (C) Recruit Technologies Co.,Ltd. All rights reserved. ④参加者同士で気軽に交流できる • BootCampやSecurityJam、ランチでもすぐに同じテーブル同

    士で交流が始まる • 英語が拙くても会話に混ぜてくれて、名刺交換や情報共有 ができる（女性自体あまりいなかったので珍しかったかも）

37. (C) Recruit Technologies Co.,Ltd. All rights reserved. ⑤食事には意外と困らない • 毎日、朝食とランチが用意されている

    • 朝食ではマフィン、フルーツ、ヨーグルト。ランチではお 肉料理、魚料理、スープなど。 • コーヒーもデカフェがあったのが嬉しかったです • MEAL会場の一つが倉庫のように広くて驚愕

38. (C) Recruit Technologies Co.,Ltd. All rights reserved. ⑥やっぱりシルク・ド・ソレイユ • ”カー”を鑑賞。

    • 日本のシルク・ド・ソレイユに比べてかなり迫力満点、演 出が豪華でした • チケットは当日でも入手可能

39. (C) Recruit Technologies Co.,Ltd. All rights reserved. ⑦やっぱりグランドキャニオン • 通常の観光ツアーでは丸一日かかってしまうのでなかなか

    行けない • 帰りの便までの５時間を使って行ける方法＝空路ツアー!! • 360度THEアメリカな景色に始終興奮でした

40. (C) Recruit Technologies Co.,Ltd. All rights reserved. ご清聴ありがとうございました