生成AIでセキュリティ運用を効率化する話

Transcript

1. ⽣成AIでセキュリティ 運⽤を効率化する話 酒井 剛 クラウド事業部 コンサルティング部

2. Profile お客様が抱えるセキュリティ課題を AWS、SaaSなど幅広い⼿段で解決 酒井 剛 ソリューションアーキテクト 略歴等 インフラ‧ネットワークSI ゼロトラストセキュリティ製品導⼊ AWS設計‧構築、Splunk

3. 3 今⽇話すこと • Claude Codeを使ってセキュリティ運⽤（AWS の）のどんなことに活⽤できるかを検証したこと の共有

4. 4 ⽣成AIがセキュリティ運⽤に活⽤可能な分野 https://blogs.idc.com/2023/05/19/recent-strides-new-use-cases-for-generative-ai-in-security-analytics/ 脅威インテリジェンスの要約 レポーティング データコネクタやパーサの作成 アラートの相関分析 リアクティブ UEBA ログクエリ

   検知ルールの作成 ガイドに基づく調査 プレイブック実⾏ プレイブック作成 マルウェア解析 パッチ適⽤ 異常な設定検出 脅威ハンティング ガイドに基づく緩和措置 脅威予測モデリング プロアクティブ 単純作業の ⾃動化 専⾨能⼒の向上

5. 5 気をつけるべき⽣成AIの特徴 • ハルシネーション • ⾮決定性 • 過剰な権限での実⾏

6. PC 検証環境 6 Anthropic API Claude Opus 4.1 settings.local.json “env”:

   { “AWS_ACCESS_KEY_ID”: ***, “AWS_SECRET_ACCESS_KEY”: ***, “AWS_SESSION_TOKEN”: *** }

7. インシデント発⽣時の初動対応

8. 8 インシデント発⽣時の初動対応 AWS Cloud Private subnet Endpoints Amazon GuardDuty AWS

   Systems Manager Security group Amazon EC2 Amazon EBS Snapshot ①ネットワーク隔離  SGの変更 ②証拠保全  Snapshotの取得 ③フォレンジック  ダンプファイル取得

9. 9 EC2インスタンスから危険度⾼のアラート EC2 インスタンスから複数のアラート！ 感染している可能性が⾼い！

10. > 10 Amazon GuardDutyから複数のアラートが発⽣しています。 ネットワーク隔離を⾏ってください。 初動対応を依頼する デモ画⾯で流れを⾒てみる

11. 11

12. サプライチェーンの脆弱性管理

13. • ソフトウェアを構成するコンポーネントの名称やバージョ ン情報、依存関係、開発者情報などを含むソフトウェアの 部品表 • 脆弱性管理能⼒の向上 • ライセンス管理能⼒の向上 13 SBOM

    (Software Bill of Materials)とは https://www.ipa.go.jp/jinzai/ics/core_human_resource/final_project/2024/sbn8o10000001y6j-att/sbn8o10000001zcl.pdf

14. 14 SBOMとは https://www.ipa.go.jp/jinzai/ics/core_human_resource/final_project/2024/sbn8o10000001y6j-att/sbn8o10000001zcl.pdf 情報処理推進機構（IPA） - 「SBOM 導⼊‧運⽤の⼿引き」

15. 15 CycloneDX形式のSBOM https://cyclonedx.org/docs/1.6/json/#specVersion

16. 16 AWSサービスでSBOMを⽣成する

17. 17 ところが...

18. > 18 AWSでEC2インスタンスのSBOMをCycloneDX形式で⽣成したいで す。無償ツールを活⽤してSBOMを⽣成するにはどんなツールが良い ですか？最も実績が多く広く利⽤されているツールを検討してくださ い。 Syft（最も推奨） …（Syftの特徴を説明…省略） Trivy …（Trivyの特徴を説明…省略）

    推奨のSBOM⽣成ツールを聞いてみる

19. > 19 Syftを利⽤してEC2インスタンスi-06c10f2d9f5b327acの SBOMを⽣成する⼿段としてどんなものがありますか？ 1. EC2インスタンスに直接SSHして実⾏（最も⼀般的） 2. Systems Manager Session

    Manager経由で実⾏ 3. Systems Manager Run Commandで⾃動実⾏ 4. EBSスナップショットからSBOM⽣成 5. EC2 Image BuilderやCodeBuildでの定期実⾏ 推奨⽅法: Systems Manager Session ManagerまたはRun Commandを使⽤ する⽅法が、セキュアで⾃動化しやすいです。 AWSでSBOM⽣成する⼿段を聞いてみる SSM Run Command経由でSyftをイン ストールしてSBOMを⽣成

20. > 20 SSM Run Command経由でSyftによるSBOMを⽣成してください。 ⏺ PowerShellのバージョン互換性の問題がありました。修正版を作成します： … Run Commandで実⾏するツールの作成

    ⏺ Bash(python3 generate_syft_sbom_ec2_fixed.py) ⎿ Error: Command timed out after 2m 0.0s … > スクリプトを実⾏してください。 > タイムアウトとなった原因を調査して修正してください。… スクリプトの問題を少しずつ改修しながら期 待する結果が得られるまで試⾏錯誤...

21. 21 WindowsのCycloneDXフォーマットのSBOM が⽣成できた

22. 継続的なCSPM運⽤の監査

23. 23 AWS Security Hubのダッシュボード 過去データとの⽐較による継続的な改善結果が 分からない！

24. > 24 組織のセキュリティ状況を可視化したいと思っています。AWS Security Hub CSPMの結果を重要度別で集計してほしいです。また、 コンプライアンス要件ごと、リソースごと（EC2やIAMなど）で集計し た結果を出⼒してください。 まずは可視化の前に集計レポートのみ作成してください。 AWS

    Security Hub CSPMの結果を集計するツールを作成します。まず、タスク を整理しましょう。 AWS Security Hub CSPMの結果を集計するPythonスクリプトを作成します。 Security Hubの情報を集計してもらう

25. 25 Security Hub の結果を取得するPythonスク リプトを作成

26. > 26 次に集計結果をダッシュボード化するツールを作成してくださ い。 ダッシュボード⽣成スクリプトを作成中... ⎿ Next: HTMLテンプレートの作成 可視化ツールを作成してもらう

27. 27 CSPMレポートの集計結果をダッシュボード化 するPythonスクリプトを作成

28. > 28 ダッシュボードのリソース種別分析の部分が表⽰されませんでした。 原因はなんですか？ ⏺ 問題を発⾒しました。Chart.js v3ではhorizontalBarタイプは廃⽌され、代わりにbarタイプでindexAxis: 'y' を使⽤する必要があります。修正します： ⏺

    Update(cspm_dashboard_generator.py) ⎿ Updated cspm_dashboard_generator.py with 1 addition and 1 removal 597 // リソース種別チャート 598 const resourceCtx = document.getElementById('resourceChart').getContext('2d'); 599 new Chart(resourceCtx, {{ 600 - type: 'horizontalBar', 600 + type: 'bar', 601 data: {{ 問題を修正してもらう AIが作成したコードの問 題点を特定して修復

29. > 29 先⽉のレポート結果と今⽉のレポート結果を⽐較するためのダッシュ ボードを作成したいです。本来は先⽉分のデータが必要ですが、元と なるデータが存在しません。今⽉のレポート結果からタイムスタンプ を変更し、先⽉分のダミーデータを作成してください。 ダミーデータを作成してもらう 先⽉分のデータが無かったので、今⽉の データをもとにダミーデータを作成して もらうように依頼

30. 30 ⏺ 先⽉分のサンプルデータを作成します。現在のデータをベースに、タイム スタンプを1ヶ⽉前に変更し、数値を少し調整して現実的な⽐較データにしま す 変更内容 タイムスタンプ - 今⽉: 2025-08-29

    → 先⽉: 2025-07-29 数値の調整（現実的な変化をシミュレート） - 総検出数: 174 → 189（先⽉の⽅が多い = 改善傾向） - CRITICAL: 5 → 7（2件改善） - HIGH: 7 → 9（2件改善） - MEDIUM: 102 → 108（6件改善） - LOW: 60 → 65（5件改善） ダミーデータを作成してもらう タイムスタンプを変更す るとともに、いい感じに 解釈して改善が⾒られる よう集計値を操作

31. > 31 先⽉分と今⽉分の結果の⽐較ダッシュボードを作成してくださ い。 先程つくったダッシュボードをもとに作成してください。差分 は数字とグラフの両⽅で⾒れるのが好ましいです。 ⽐較ダッシュボードを作成中... 今回の⽬的 - ⽐較ダッシュボード

32. PCI-DSS v4.0.1 対応四半期レポート

33. > 33 AWS環境内のPCI-DSS v4.0.1の四半期監査レポートを作成した いです。レポートの雛形案を作成していただけますか？まずは どんな書式になるかのイメージだけ出⼒してみてください。 ⏺ PCI-DSS v4.0.1の四半期監査レポートの雛形案を作成します。 四半期レポートの雛形を作成してもらう

34. > 34 PCI-DSSの四半期レポートを⾃動⽣成したいと考えています。AWSのログ など各種リソースからのデータを収集することで実現できないかと考えて いるのですが、テンプレートの情報を満たすために必要なサービスおよび データは何を対象にすると良いですか？ ⏺ PCI-DSS四半期レポートの⾃動⽣成に必要なAWSサービスとデータソースを マッピングします。 何のデータが必要か？

    テンプレートを満たすのに必 要なログデータを聞いてみた

35. 35 … ## 9. レポート⽣成 Lambda 関数 … ## まとめ

    ### 必須データソース（優先度順） 1. **Security Hub** - PCI-DSSコンプライアンススコアと検出事項 2. **AWS Config** - リソース設定の準拠状況 3. **IAM** - アクセス制御とMFA状況 4. **CloudTrail** - 監査ログと変更追跡 5. **Systems Manager** - パッチ管理とインベントリ 6. **Inspector** - 脆弱性スキャン結果 7. **GuardDuty** - 脅威検知 8. **VPC/WAF** - ネットワークセキュリティ設定 何のデータが必要か？ ⾃動スケジュール、デー タ収集の⽅法、スクリプ トの提案 必要なデータソースを把 握

36. まとめ 36 1. リアルタイム性やミッションクリティカルな対応が問われるユース ケースでは事前定義の段階で⽣成AIを活⽤する 2. ⽣成AIは⼈間にとって代わるものではなく、⼈間の⽣産性をブース トさせることに活⽤ 3. 机上での学習も⼤事だが、⼿を動かして試してみることで活⽤幅が

    広がる
37. None