リクルートにおけるクラウドセキュリティ

Transcript

1. 株式会社リクルートテクノロジーズ サイバーセキュリティ部 セキュリティコンサルティンググループ 高橋 正人 サイバーセキュリティ部 セキュリティオペレーションセンター（SOC) 安東 美穂 リクルートにおけるクラウドセキュリティ

   ～リスクアセスメントと外部攻撃監視の現場から～

2. (C) Recruit Technologies Co., Ltd. All rights reserved. 自己紹介 高橋

   正人 (たかはし まさと) 株式会社リクルートテクノロジーズ 2017年 10月 リクルートテクノロジーズ 入社/現職 システムセキュリティ相談センター 2007年 7月 ある金融企業 システム子会社入社 セキュリティ要件の検討および実装系PJのPMを担当。 ・グループCSIRT立上げ・初期メンバー ・グループ全端末へのセキュリティパッチ強制配信 ・グループ全商用Webサイトの脆弱性診断 ・各種セキュリティ要求事項の整理 氏名 所属 略歴 セキュリティは誰のためのもの？ →事業部門、ひいてはサービスをご利用頂くお客様のためのもの。 セキュリティの統制とは？ →ルールを振りかざして正面から縛りに行くのではなく、 事業部門のパートナーとして、一緒にビジネスを伸長させる事。 ポリシー 2

3. (C) Recruit Technologies Co., Ltd. All rights reserved. 3 「オラクルとKPMGによるクラウドの脅威レポート2018年」

   p.6より抜粋

4. (C) Recruit Technologies Co., Ltd. All rights reserved. • リクルートは、お預かりした情報を守るために

   高いセキュリティ要求を策定しています。 • よって、情報基盤がオンプレでもクラウドでも、 セキュリティ要求は変えていません。 • でも(監視などの)運用は、ちょっと違います。 • 具体的にはどんな施策・どんな運用しているのか？ 概要をご紹介します。 4 本日のメッセージ

5. (C) Recruit Technologies Co., Ltd. All rights reserved. 内容に入る前に・・・・ 5

   リクルートのセキュリティに関わる数字 10 100～200 3 276 629

6. (C) Recruit Technologies Co., Ltd. All rights reserved. アジェンダ 2.

   セキュリティ組織のご紹介  ルールを作る人／要求を出す人  (作る人)  チェック／モニタリングする人 3. ガバナンスプロセスのご紹介 ～業務とセキュリティの関わり方～ 1. Recruitについて 6 4. セキュリティ運用のご紹介

7. (C) Recruit Technologies Co., Ltd. All rights reserved. 目次 1.

   Recruitについて 7

8. (C) Recruit Technologies Co., Ltd. All rights reserved. 1. Recruitについて

   -企業概要- ※2018年3月末時点 8

9. (C) Recruit Technologies Co., Ltd. All rights reserved. 1. Recruitについて

   -沿革- 1960 広告代理店大学新聞広告社として創業 年 1963 株式会社日本リクルートセンターへ社名変更 年 1984 株式会社リクルートへ社名変更 年 2012 7事業会社、3機能会社からなる リクルートグループへ体制変更 年 2014 東証1部に上場 年 9

10. (C) Recruit Technologies Co., Ltd. All rights reserved. 1. Recruitについて

    -ソリューションの変化- 紙からネット への展開が促進。 ITの進化とともにソリューションの進化も求められる。 PC 紙 スマートデバイス 10

11. (C) Recruit Technologies Co., Ltd. All rights reserved. 1. Recruitについて

    -サービスの思想- 11

12. (C) Recruit Technologies Co., Ltd. All rights reserved. 1. Recruitについて

    -セキュリティ強化の背景- リクルートグループのビジネスモデル リクルートグループのビジネスモデルは大量の情報をお預かりする構造。 お預かりした情報のセキュリティ対策と管理は、グループ全体の経営課題。 12 リクルートには、ユーザーとクライアントという2つのお客様が存在します。 企業と人（B to C）、企業と企業（B to B）、人と人（C to C）、すべての間に立ち、 双方にとって最適なマッチングを図る「場」を提供しています。

13. (C) Recruit Technologies Co., Ltd. All rights reserved. 2. セキュリティ組織のご紹介

    13

14. (C) Recruit Technologies Co., Ltd. All rights reserved. 14 リクルート

    ホールディングス リクルートキャリア リクルート住まいカンパニー リクルートライフスタイル リクルートジョブズ リクルートマーケティングパートナーズ リクルートテクノロジーズ リクルートスタッフィング スタッフサービス・ホールディングス リクルートコミュニケーションズ メディア & ソリューション 事業 （株）リクルート 人材派遣事業 Recruit Global Staffing B.V. HRテクノロジ― 事業 RGF OHR USA, Inc. その他海外派遣グループ会社 Indeed,Inc. 1. Recruitについて -構成- リクルートグループは複数の事業会社、機能会社から構成。

15. (C) Recruit Technologies Co., Ltd. All rights reserved. 15 1.

    Recruitについて -構成- リクルートグループは複数の事業会社、機能会社から構成。 ㈱リクルート リクルートキャリア リクルート住まいカンパニー リクルートライフスタイル リクルートジョブズ リクルートマーケティングパートナーズ リクルートテクノロジーズ リクルートコミュニケーションズ 主要な事業会社 主要な機能会社 ビッグデータ機能部門 UI設計/SEO部門 テクノロジーR&D部門 インフラ部門 セキュリティ部門

16. (C) Recruit Technologies Co., Ltd. All rights reserved. 1. Recruitについて

    -Recruit Technologiesについて- 16 将来のニーズを見据え、新しい技術のR＆D・ソリューションの開拓を実現。 検証を続け、いち早く活用できるレベルに引きあげることで、中長期的な ビジネス競争優位を構築していきます。

17. (C) Recruit Technologies Co., Ltd. All rights reserved. ㈱リクルート リクルートキャリア

    リクルート住まいカンパニー リクルートライフスタイル リクルートジョブズ リクルートスタッフィング リクルートマーケティングパートナーズ スタッフサービス・ホールディングス リクルートマネジメントソリューションズ リクルートテクノロジーズ リクルートコミュニケーションズ 主要な事業会社 主要な機能会社 ビッグデータ機能部門 UI設計/SEO部門 テクノロジーR&D部門 インフラ部門 セキュリティ部門 = コンサルティング部隊 = エンジニアリング部隊 ㈱リクルート直下にセキュリティを統括するバーチャル部署を設置。 実務面では会社横断で役割分担。 2. セキュリティガバナンス -組織構造- セキュリティ統括室 システムセキュリティ 業務セキュリティ バーチャル 組織 17

18. (C) Recruit Technologies Co., Ltd. All rights reserved. ASP セキュリティ

    組織 グループ会社事業組織 グループ子会社 経営企画 総務 各事業部 内 部 統 制 経営企画 総務 各事業部 委託先 (一般& ｼｽﾃﾑ) 要件共有 施策詳細 グループ会社体制(約60社) 総 務 シス テム 内部 統制 ルール策定 執行依頼 保有する情報資産の例 リクルートグループの セキュリティ機能 リクルートグループにおける セキュリティ対策の対象 セキュリティ対策の対象 戦略 全体統括 方針・ 規定 規約確認 運用管理 (CSIRT) リスク 管理運用 セキュリティ戦略策定 経営との合意 予算管理 セキュリティ組織全体の管理 アーキテクチャ設計 ソリューションPOC システム構築方針、要件の策定 ポリシーへの適合判定 インシデント対応 セキュリティ監視（SOC） 脆弱性管理 機能 役割 業務・法務観点アセスメント システム観点アセスメント 2. セキュリティガバナンス -機能と役割、グループ展開- 委託先 (一般& ｼｽﾃﾑ) 内部統制責任者／ システムセキュリティ リーダー サービス アプリ インフラ 18

19. (C) Recruit Technologies Co., Ltd. All rights reserved. 3. ガバナンスプロセスのご紹介

    （マネジメントサイクル） 19

20. (C) Recruit Technologies Co., Ltd. All rights reserved. 社外 3.

    セキュリティマネジメントサイクル 把握 セキュリティ 統括室 商用サービス （オンプレ/クラ ウド/ASPなど） 各社現場 20 経営 リスク 情報管理 各社統制 分析・ 経営判断 軽減 コントロール （対策） 移転 受容 回避 セキュリティ ポリシー リスク管理 (PDCA)

21. (C) Recruit Technologies Co., Ltd. All rights reserved. このサイクルを、 どのくらい回しているのか？

    21

22. (C) Recruit Technologies Co., Ltd. All rights reserved. リクルートのセキュリティに関わる数字 22

    10 100～200 3 276 629 再掲

23. (C) Recruit Technologies Co., Ltd. All rights reserved. リクルートのセキュリティに関わる数字 23

    10年以上 100～200件/月 3週間 (最短) 276p 629p ガバナンスプロセス 磨きこみ期間 セキュリティ ルールブック ページ数 開発教本 ページ数 企画～リリース セキュリティ 相談件数

24. (C) Recruit Technologies Co., Ltd. All rights reserved. このサイクルを、 どのように回しているのか？

    24

25. (C) Recruit Technologies Co., Ltd. All rights reserved. 25 開発プロセス

    セキュリティ管理施策 （全体） 各種開発プロセスの工程に沿って、 様々なセキュリティ施策が実施されています。

26. (C) Recruit Technologies Co., Ltd. All rights reserved. 26 開発プロセス

    個別相談 事業からのセキュリティに関する相談に対し、 必要となる対応の提示やセキュリティ評価を行う セキュリティ管理施策 （1. 個別相談）

27. (C) Recruit Technologies Co., Ltd. All rights reserved. 27 セキュリティ管理施策

    （1. 個別相談） 相談の経路

28. (C) Recruit Technologies Co., Ltd. All rights reserved. 28 セキュリティ管理施策

    （1. 個別相談） クラウド系のセキュリティ 相談割合は増加傾向

29. (C) Recruit Technologies Co., Ltd. All rights reserved. 29 セキュリティ管理施策

    （1. 個別相談） 早い段階(企画・設計)で 相談受領

30. (C) Recruit Technologies Co., Ltd. All rights reserved. 30 セキュリティ管理施策

    （2. ポリシー合致チェック） ～要求事項の例～ ・アクセス権限 ・ログ取得と保存 ・接続経路制限 ・セキュリティソリューションの導入 :

31. (C) Recruit Technologies Co., Ltd. All rights reserved. 31 開発プロセス

    ポリシー合致チェック サービスやエンハンスに対する以下4つの観点を もったサイトレビューのうち、①②を実施 ①業務セキュリティ ②システムセキュリティ ③法務 ④企業ブランド セキュリティ管理施策 （2. ポリシー合致チェック）

32. (C) Recruit Technologies Co., Ltd. All rights reserved. 32 事務局

    法務 業務 システム アプリ ★システムセキュリティ対策 ★利用規約 ★契約締結 ★法令順守 ★情報保護・管理 ★Ｐマーク対応 ★リクルートロゴ ★プラットフォーマ 規約準拠 新しい企画を 考えたんだけど 何に気をつけたら よいのだろう？ リクルートグループ各社がサービスを提供するにあたり、 必要なセキュリティ施策がとられているか、 法律や社内規程に基づいているかを 効率的にリスクマネジメントしています。 サービス企画者 セキュリティ管理施策 （2. ポリシー合致チェック）

33. (C) Recruit Technologies Co., Ltd. All rights reserved. 開発の初期工程で相談を受け、セキュリティ視点で支援を行っています。 法務

    ブランド 業務セキュリティ スマートデバイス システム セキュリティ 分類 法令・政令・条例 RECRUIT ブランドルール 細則・Pマーク・ 個人情報保護法 スマートデバイス プラットフォーマー規約 細則 観点 サイトデザイン ／利用規約 ／各種使用権 業務プロセス／運用 スマートデバイス アプリ システム／ASP 支援対象 33 ポリシー 合致 チェック （要件定義） セキュリティ管理施策 （2. ポリシー合致チェック）

34. (C) Recruit Technologies Co., Ltd. All rights reserved. ① 個人情報を適切に取得しているか？

    ・正しくプライバシーポリシーを提示し、明示的な同意を取っているか？ ・メルマガの配信許諾を得ているか？ など ② 個人情報を適切に管理しているか？ ・個人情報管理台帳への登録 ・委託先の管理 1. カスタマ個人情報の大量漏洩を防止する 2. 誰が何をどうしたかを追跡できるようにする 3. 情報の保護に関する法律・要件を順守する 個人情報管理チェックシート 委託先単位で、個人情報の管理状況を確認するチェック シート（会社単位で確認） 個人情報取扱い誓約書 業務案件単位で、個人情報を取扱う際に最低限決めるべ きルールをまとめたもの（委託する案件単位で確認） 34 お預かりした大切な情報を、業務上・法令上・システム上 営業現場が適切に扱えるか、を確認しています。 例えば法令順守ならば・・・ セキュリティ管理施策 （2. ポリシー合致チェック）

35. (C) Recruit Technologies Co., Ltd. All rights reserved. 35 開発プロセス

    脆弱性検査 サイトレビューにて必要と判断された対象に対し、 Webアプリ、ネットワークの脆弱性検査を実施 セキュリティ管理施策 （3. 検査）

36. (C) Recruit Technologies Co., Ltd. All rights reserved. 36 開発プロセス

    IDクリーニング リクルートグループの各システムにおけるアクセ ス権の管理を徹底するため、以下を実施。 ①ID発行基準書の作成依頼・管理 ②ID棚卸の実施依頼・管理 CSIRT（インシデント発生時対応・統括） リクルートへの攻撃や内部不正によるインシデン ト発生時の対応を、事業会社の支援として行う。 SOC（監視外部/内部・分析） 各種ログの監視や分析を行い、サイバー攻撃や内 部不正の検出・通知を行う。 セキュリティ管理施策 （4. IDクリーニング・IR・SOC）

37. (C) Recruit Technologies Co., Ltd. All rights reserved. 次は運用の話をします 37

38. (C) Recruit Technologies Co., Ltd. All rights reserved. 自己紹介 安東

    美穂 (あんどう みほ) 株式会社リクルートテクノロジーズ 2014年 12月 リクルートテクノロジーズ 入社/現職 セキュリティオペレーションセンター（SOC）所属 2011年 4月 国内某ホスティング会社 新卒入社 パブリッククラウド商材のテクニカルサポート担当 氏名 所属 略歴 38 日経コンピュータ連載記事に寄稿 書籍「現場で使えるセキュリティ事故対応」 好きなコマンド：nmap 課外活動：ミニ四駆 ・リクルートのサービスのセキュリティ監視、解析（IDS/WAF） ・WAF監視導入支援 など 担当 業務

39. (C) Recruit Technologies Co., Ltd. All rights reserved. 私からお話すること -

    Recruit-CSIRTとSOCについて - 商用のセキュリティ監視事情とクラウドにおける課題 - クラウド環境におけるセキュリティ運用 - クラウド環境におけるセキュリティインシデント対応 39

40. (C) Recruit Technologies Co., Ltd. All rights reserved. - Recruit-CSIRTとSOCについて

41. (C) Recruit Technologies Co., Ltd. All rights reserved. Recruit CSIRTのSOCについて

    41 早期検知 未然防止 ▪脆弱性診断、開発者教育 ▪パッチマネジメント（情報収集と展開） ▪早期警戒 被害最小化 ▪事故発生時の対応支援 ▪現場対応（証拠保全、影響調査など） ▪外部関連機関との連携 ▪セキュリティ監視運用 （商用インフラ、マルウェア解析、内部不正） ▪監視基盤の運用・開発 ▪監視機器チューニング Recruit CSIRTはリクルートグループのセキュリティ監視/事故対応/開発支援を 行う専門部隊です。

42. (C) Recruit Technologies Co., Ltd. All rights reserved. Recruit CSIRTのSOCについて

    42 早期検知 セキュリティ事故の予兆の検知、および事故発生時の対応を 迅速に・効率良く行うのがSOCの役割 未然防止 ▪脆弱性診断、開発者教育 ▪パッチマネジメント（情報収集と展開） ▪早期警戒 被害最小化 ▪事故発生時の対応支援 ▪現場対応（証拠保全、影響調査など） ▪外部関連機関との連携 ▪セキュリティ監視運用 （商用インフラ、マルウェア解析、内部不正） ▪監視基盤の運用・開発 ▪監視機器チューニング Recruit CSIRTはリクルートグループのセキュリティ監視/事故対応/開発支援を 行う専門部隊です。

43. (C) Recruit Technologies Co., Ltd. All rights reserved. 担当している業務 

    リクルートのWEB商用環境の24/365のセキュリティ監視、 解析（オンプレ、クラウドともに複数）  リクルートのWEB商用環境へのWAF監視導入支援  セキュリティ監視運用設計、オペレーション検討/改善

44. (C) Recruit Technologies Co., Ltd. All rights reserved. 担当している業務 

    リクルートのWEB商用環境の24/365のセキュリティ監視、 解析（オンプレ、クラウドともに複数）  リクルートのWEB商用環境へのWAF監視導入支援  セキュリティ監視運用設計、オペレーション検討/改善 本日は商用システムの監視（WAF/IDS）の例を中心にお話します

45. (C) Recruit Technologies Co., Ltd. All rights reserved. - 商用のセキュリティ監視事情とクラウ

    ド環境における課題

46. (C) Recruit Technologies Co., Ltd. All rights reserved. リクルートの商用監視 三種の神器

    46 IDS Intrusion Detection System WAF Web Application Firewall NWF Network Forensics 主にOSやミドルウェアの脆弱性を狙った通信 を検知するシステム 主にWEBアプリケーションの脆弱性を狙った 通信を検知/遮断するシステム 環境内に流れる通信のパケットをキャプチャし て収集、解析するためのシステム

47. (C) Recruit Technologies Co., Ltd. All rights reserved. リクルートの商用監視 現状

     社内の要求において、商用インフラ（WEBサイト）のうち、セキュリティレベ ルとして一定の基準に該当するものは、要件を満たしたWAF、IDS、NWFを導入 することが定められている。  主要なオンプレの商用インフラにおけるセキュリティ監視は一定のレベルで対 応ができている。

48. (C) Recruit Technologies Co., Ltd. All rights reserved. 時代の変化 オンプレから

49. (C) Recruit Technologies Co., Ltd. All rights reserved. クラウドへ 時代の変化

50. (C) Recruit Technologies Co., Ltd. All rights reserved. セキュリティ監視のトランスフォーメーション 

    監視対象がオンプレからクラウドへ移行した際に、 セキュリティ監視はどうなるか？  守らなければいけないことの基本的な考え方は 変わらない としても、  対策やセキュリティ監視は変更が必要では？ 50

51. (C) Recruit Technologies Co., Ltd. All rights reserved.  どのソリューションを導入するか

    • 構成の柔軟性/可用性 • 監視性能 • コスト  誰がどのように運用するか • 導入したソリューションの構築/保守 • 導入後のアラートチューニングやルールのアップデート  何をどう守るべきか • マネージドサービス、サーバーレスなどオンプレにはない概念 • 物理収容リージョン • 責任共有モデル セキュリティ監視のトランスフォーメーション 開発/事業 ルール/ガバナンス セキュリティ運用

52. (C) Recruit Technologies Co., Ltd. All rights reserved.  どのソリューションを導入するか

    • 構成の柔軟性/可用性 • 監視性能 • コスト  誰がどのように運用するか • 導入したソリューションの構築/保守 • 導入後のアラートチューニングやルールのアップデート  何をどう守るべきか • マネージドサービス、サーバーレスなどオンプレにはない概念 • 物理収容リージョン • 責任共有モデル セキュリティ監視のトランスフォーメーション 開発/事業 ルール/ガバナンス セキュリティ運用 立場や担当によって観点が異なることを踏まえて検討する必要がある

53. (C) Recruit Technologies Co., Ltd. All rights reserved. これまでの「三種の神器」に代わりどのようなソリュー ションが考えられるか？

    53

54. (C) Recruit Technologies Co., Ltd. All rights reserved. クラウド環境における商用監視のソリューション例 種類

    マーケットプレイス 提供ソフトウェア （ホスト型） マーケットプレイス 提供ソフトウェア （NW型） クラウドベンダー 監視機能 クラウド型監視 サービス 説明 各種セキュリティベ ンダーのIDS/IPS/WAF。 監視対象のサーバー にからログを収集し 監視する。 （ログ収集用のエー ジェントをインス トールするなど） 各種セキュリティベ ンダーのIDS/IPS/WAF。 監視対象のNWに流 れる通信を監視する。 （スイッチなどでミ ラーしたトラフィッ クを流し込むなど） AWS やGoogleなどク ラウドホスティング ベンダーが提供して いる監視機能。 プロキシ型で導入 する監視サービス。 （ドメインの名前 解決を利用し中継 させる） CDNやDDoS検知 サービスなどと一 体型となっている ことが多い。 主な特 徴 • サーバーへのエー ジェントの導入/ソ フトウェアインスタ ンスの保守運用が必 要 • パケットミラーする 製品の導入が必要 • ソフトウェアインス タンスの保守運用が 必要 • 費用が比較的安価 • 導入が容易 • ルールは限定的 • 導入が比較的容易 • 構成変更が不要 • マルチクラウド対 応可能（マルチテ ナント対応製品の 場合） 54 →リクルートのクラウド環境における最適なソリューションは検討中

55. (C) Recruit Technologies Co., Ltd. All rights reserved. クラウド環境における商用監視のソリューション 

    オンプレで実績のある商用製品であればルール/セキュリ ティ運用観点で懸念は少ない  インフラ観点では課題が出てくる – NW構成 – 可用性 – コスト …etc  クラウドベンダーのWAFなら上記課題には対応できるが、 機能/検知性能面の評価はできていない状態だった →セキュリティ部門で検知検証を実施する運びに 55

56. (C) Recruit Technologies Co., Ltd. All rights reserved. WAF検証の流れ 

    AWS WAFを適用した検証環境にサンプルトラフィックを 流し、検知状況を確認 – 正常系トラフィック →検知したらNG – 異常系トラフィック →検知しなかったらNG  結果を元に以下内容をチェック  実運用に向けての検討事項の洗い出しを実施した 56 検知性能 •正常通信のFalse Positive(誤検知/過検知) •異常通信のFalse Negative（検知漏れ） 機能 •チューニング機能 •ログ機能 •通知/他システム連携

57. (C) Recruit Technologies Co., Ltd. All rights reserved. WAF検証結果（参考） 57

    検知性能 機能 • 正常通信の False Positive • 異常通信の False Negative • チューニング • 正常系の通信で誤遮断をする可能性あり -特定の関数、SQL構文の文字列（ユーザーの自由入 力で入る可能性がある場合など） →誤遮断の発生時の調査の仕組みや、ユーザー 対応などの検討が必要 • ルールの中身（シグニチャ）がブラックボックス →シグニチャの中身はベンダーにお任せ • ルールの細かい調整が難しい →できない範囲は割り切る覚悟も必要 • ログ • WAFのログには検知箇所（文字列）、POSTの場 合のリクエストbody、およびレスポンスは含まれ ない →特にPOSTの場合の攻撃の詳細調査が難しい →詳細調査をする場合はログ取得に工夫が必要 確認項目 洗い出された検討事項

58. (C) Recruit Technologies Co., Ltd. All rights reserved. -クラウド環境における セキュリティ運用

59. (C) Recruit Technologies Co., Ltd. All rights reserved. 59 では、セキュリティ運用はオンプレの場合と比較すると

    どう変わるか？

60. (C) Recruit Technologies Co., Ltd. All rights reserved. 60 動作検証

    ポリシーチューニング 機器構築・回線敷設 サイト設定・ポリシー設定 ポリシー更新 SWバージョンアップ ライセンス更新 ..etc 監視開始 商用WAF（オンプレ） セキュリティ運用の違い（導入時） チューニング 初期設定 監視開始後 運用 検証 オンプレ（商用製品/非インライン）とクラウドベンダーWAF機能における 基本的な機器導入時の流れの比較

61. (C) Recruit Technologies Co., Ltd. All rights reserved. カスタムルール追加 61

    動作検証 ポリシーチューニング 機器構築・回線敷設 サイト設定・ポリシー設定 ポリシー更新 SWバージョンアップ ALB/CloudFrontに関連づけ ライセンス更新 ..etc ACL作成・ルール設定 監視開始 商用WAF（オンプレ） AWS WAF セキュリティ運用の違い（導入時） オンプレ（商用製品/非インライン）とクラウドベンダーWAF機能における 基本的な機器導入時の流れの比較 チューニング 初期設定 監視開始後 運用 検証

62. (C) Recruit Technologies Co., Ltd. All rights reserved. カスタムルール追加 62

    チューニング 動作検証 ポリシーチューニング 機器構築・回線敷設 初期設定 サイト設定・ポリシー設定 監視開始後 運用 ポリシー更新 SWバージョンアップ ALB/CloudFrontに関連づけ ライセンス更新 ..etc ACL作成・ルール設定 検証 監視開始 商用WAF（オンプレ） AWS WAF WAF自体のメンテナンスは 不要 countモードで 検知状況を確 認 ポリシーの 中身はお任せで、 必要なものは カスタムで追加 セキュリティ運用の違い（導入時） オンプレ（商用製品/非インライン）とクラウドベンダーWAF機能における 基本的な機器導入時の流れの比較

63. (C) Recruit Technologies Co., Ltd. All rights reserved. セキュリティ運用の違い（アラート対応） オンプレ（商用製品/非インライン）とクラウドベンダーWAF機能における

    基本的なアラート対応の流れの比較 検知 二次調査 対象サイトのアセット情報を確認 NWフォレンジック調査 （攻撃の成否・影響の解析） WAFで検知 一次調査 検知ログ調査 （攻撃内容の解析、検知リクエストの特定） 事後対応 FW遮断 脆弱性の修正 ..etc 攻撃成功 攻撃失敗/過検知 ポリシー チューニング 商用WAF（オンプレ）

64. (C) Recruit Technologies Co., Ltd. All rights reserved. セキュリティ運用の違い（アラート対応） 検知

    二次調査 対象サイトのアセット情報を確認 NWフォレンジック調査 （攻撃の成否・影響の解析） WAFで検知 一次調査 検知ログ調査 （攻撃内容の解析、検知リクエストの特定） 事後対応 FW遮断 脆弱性の修正 WAFで検知&遮断 ..etc 攻撃成功 攻撃失敗/過検知 ポリシーチューニング 商用WAF（オンプレ） AWS WAF ポリシー チューニング オンプレ（商用製品/非インライン）とクラウドベンダーWAF機能における 基本的なアラート対応の流れの比較

65. (C) Recruit Technologies Co., Ltd. All rights reserved. セキュリティ運用の違い（アラート対応） 検知

    二次調査 対象サイトのアセット情報を確認 NWフォレンジック調査 （攻撃の成否・影響の解析） WAFで検知 一次調査 検知ログ調査 （攻撃内容の解析、検知リクエストの特定） 事後対応 FW遮断 脆弱性の修正 WAFで検知&遮断 ..etc 攻撃成功 攻撃失敗/過検知 ポリシーチューニング 基本は 特になし 細かい チューニング はできない 検知ログがあ れば見る 商用WAF（オンプレ） AWS WAF ポリシー チューニング オンプレ（商用製品/非インライン）とクラウドベンダーWAF機能における 基本的なアラート対応の流れの比較

66. (C) Recruit Technologies Co., Ltd. All rights reserved. - クラウド環境における

    セキュリティインシデント対応

67. (C) Recruit Technologies Co., Ltd. All rights reserved. クラウドでのインシデント対応の鍵 

    クラウド環境においてクリティカルなこと – 設定の不備 • アクセス制御/権限設定の不備 • 管理外インスタンスの存在 …etc – クレデンシャル情報の管理 • アカウント情報/アクセスキーの漏洩 • 内部からの情報持ち出し …etc 67

68. (C) Recruit Technologies Co., Ltd. All rights reserved. クラウドでのインシデント対応の鍵（調査） 

    ディスクの保全 • ディスク領域(EBSなど)のスナップショット  ログ収集 • Cloud Trail ※AWSの場合 • VPC Flow logs ※AWSの場合 • サーバー内のログ  ログ分析 • SIEM 68

69. (C) Recruit Technologies Co., Ltd. All rights reserved. クラウドでのインシデント対応の鍵（トリアージ） 

    オートメーションの活用 • ログの解析結果や、検知をトリガーにしインスタンス 隔離やディスク保全など自動で実行 • 多くのオープンソースのツールが公開されている 69 Lambda＋サードパーティのIP ブラックリスト →WAFのブラックリストルール を自動更新して遮断 Lambda＋S3のログで ログ解析 →疑わしいIPをWAFルールに追 加して遮断 例）AWS CloudFormation テンプレートで提供されているアーキテクチャ https://aws.amazon.com/jp/answers/security/aws-waf-security-automations/

70. (C) Recruit Technologies Co., Ltd. All rights reserved. 70 総括：クラウド環境におけるセキュリティ要求と運用

     基本的なセキュリティ要求はオンプレ/クラウド で変わらない  実際に利用/運用する際に考慮すべきことが出て くる  対策はユーザー観点、運用観点での検討や検証 を実施した上で適用する必要がある

71. (C) Recruit Technologies Co., Ltd. All rights reserved. ご清聴ありがとうございました 71