Sansan の成長を支えるセキュリティログの活用と Amazon Elasticsearch Service / Amazon Elasticsearch Service empowers Sansan's business growth to create value and drive innovation through security logs management

13d936e697fe0f4fa96f926d0a712f6c?s=47 Sansan
October 28, 2020

Sansan の成長を支えるセキュリティログの活用と Amazon Elasticsearch Service / Amazon Elasticsearch Service empowers Sansan's business growth to create value and drive innovation through security logs management

■イベント
AWS Security Roadshow Japan
https://aws.amazon.com/jp/about-aws/events/2020/securityroadshow2020/

■登壇概要
タイトル:Sansan の成長を支えるセキュリティログの活用と Amazon Elasticsearch Service
登壇者:CSIRT 松田 健

▼Sansan Builders Blog
https://buildersbox.corp-sansan.com/

13d936e697fe0f4fa96f926d0a712f6c?s=128

Sansan

October 28, 2020
Tweet

Transcript

  1. © 2020, Amazon Web Services, Inc. or its affiliates. All

    rights reserved. Sansanの成⻑を⽀えるセキュリティログ の活⽤と Amazon Elasticsearch Service f o r A W S S e c u r i t y R o a d s h o w J a p a n O n l i n e 2 0 2 0 Sansan株式会社 CSIRT 松⽥ 健 Amazon Elasticsearch Service empowers Sansan's business growth to create value and drive innovation through security logs management
  2. Profile - 松⽥ 健 Takeshi Matsuda - Sansan株式会社 CSIRT -

    Sansan-CSIRT SOCチーム - AWS利⽤歴 1年くらい - オンプレが⼤好き(でした) - ネットワークが好きです
  3. None
  4. 法⼈向け名刺管理サービス 個⼈向け名刺アプリ

  5. 法⼈向け名刺管理サービス 利⽤企業 ※ 利⽤企業数は、クラウド名刺管理サービス「Sansan」をご利⽤いただいている契約数。 ※ 6,000社

  6. 個⼈向け名刺アプリ ユーザー 270万⼈

  7. None
  8. None
  9. Sansanのセキュリティ組織 社内・社外 CSIRT 経営層 CISO プロダクト開発 兼務者 S3 Sansan Security

    Scrum
  10. - 3つのチームから構成されている CSIRT - まもる対象:組織全体 - 社員からの相談・問い合わせ窓⼝ - 全社的なセキュリティ対策をリードする Sansan-CSIRT

    Red チーム SOC チーム 教育監査 チーム インシデント対応
  11. Premise 「セキュリティと利便性を両⽴させる」

  12. ログ分析基盤

  13. - SIEM - 複数のログを素早く分析 - インシデントを早期に発⾒ - ログを統合的に管理 ログ分析基盤とは

  14. - ログを⻑期間保存し、いつでも検索できること - 分析者のバイアスを取り除くこと ログ分析基盤に求めること

  15. 「当たり前のことを当たり前に」

  16. SOCチームで扱うログ AWS サービス 社内システム セキュリティ対策製品 AWS セキュリティ Elastic Load Balancing

    Amazon Route 53 VPC Flow Logs Amazon Simple Storage Service (Amazon S3) AWS CloudTrail Amazon GuardDuty AD DNS DHCP 無線 AP クラウドストレージ コミュニケーション基盤 and more … WAF IDS/IPS FW 認証基盤 EDR CASB
  17. 「時代はゼロトラスト」

  18. - どこでも安全に⽣産性を落とさずに働ける環境を⽬指す - セキュリティ対策をエンドポイントに寄せて⾏く ゼロトラストに向き合う

  19. 「ゼロトラスト」 × 「ログ分析基盤」

  20. ゼロトラストの弊害 - 可視性が⾼いがログの情報量が多い - ログ量が桁違いに増加する - 可視性の持続性が無い - セキュリティ対策製品で早いもので数週間で消える

  21. ⾒えてきた課題 - ログ量の急激な増加に耐えられない - 運⽤コストが増加し続ける

  22. 「当たり前のことを当たり前に」

  23. 「セキュリティ対策には限界がある…」 シンプルな作りでスケールしやすい基盤に進化させる ➔

  24. Amazon Elasticsearch Service を⽤いた ログ分析基盤構築

  25. - オープンソース Elasticsearch と Kibana を簡単にデプロイ・管理するフルマネー ジドサービス - Open Distro

    for Elasticsearch を活⽤する Amazon Elasticsearch Service(AES) Amazon Elasticsearch Service ➔ Elasticsearch Kibana Open Distro +
  26. S3 Glacier AWS Cloud S3 アーキテクチャ 1 2 fluentd-bucket/ AWS-bucket/

    Amazon Elasticsearch Service Hot-Node UltraWarm-Node es-loader 3 4 1: S3に保管する 2: es-loaderで読み込み、ESへロードする 3: ⼀定期間経過後UltraWarmに移動する 4: ⼀定期間経過後アーカイブする 5: ログを検索する 様々なログ Point 部⾨A CSIRT ➔ 5 AWS Services
  27. S3 Glacier AWS Cloud S3 アーキテクチャ 1 2 fluentd-bucket/ AWS-bucket/

    Amazon Elasticsearch Service Hot-Node UltraWarm-Node es-loader 3 4 1: S3に保管する 2: es-loaderで読み込み、ESへロードする 3: ⼀定期間経過後UltraWarmに移動する 4: 一定期間経過後アーカイブする 5: ログを検索する 様々なログ Point 部⾨A CSIRT ➔ 5 AWS Services
  28. - インデックスを移動してコストを最適化する UltraWarm ノードを活⽤する Firewall Logs AWS Flow Logs Index

    fw-log-yyyy-mm-01 ➔ ➔ Index fw-log-yyyy-mm-02 Index aws-flow-log-yyyy-mm-01 Index aws-flow-log-yyyy-mm-02 Index Pattern fw-log-* Index Pattern aws-flow-log-* ➔ ➔ Index Pattern log-* ➔ 検索 UltraWarm ノードへ移動する UltraWarm ノードへ移動する ログ インデックス インデックスパターン
  29. S3 Glacier AWS Cloud S3 アーキテクチャ 1 AWS Services fluentd-bucket/

    AWS-bucket/ Amazon Elasticsearch Service Hot-Node UltraWarm-Node es-loader 4 1: S3に保管する 2: es-loaderで読み込み、ESへロードする 3: ⼀定期間経過後UltraWarmに移動する 4: ⼀定期間経過後アーカイブする 5: ログを検索する 様々なログ Point 部⾨A CSIRT 5 ➔ 2 3
  30. - ログ分析基盤を CSIRT 以外にも閲覧 可能にする - Cognito との連携し認証を強化する - Kibana

    ユーザ認証・認可を有効化 Open Distro のマルチテナンシー
  31. es-loader https://github.com/aws-samples/siem-on-amazon-elasticsearch

  32. Sansan-CSIRTも開発へ参画!

  33. - ログをシンプルにAESへロードする - 様々なサービスと形式の加⼯に対応している es-loader

  34. 「ログの検索と正規化」

  35. - ログソースごとにフィールド名が異なる - 検索クエリ src_ip:10.10.10.1 OR sip:10.10.10.1 OR source.ip:10.10.10.1 OR

    src:10.10.10.1 OR client_ip:10.10.10.1 - ⼀刻を争うインシデント発⽣時には⾮効率となる ログ検索のための正規化
  36. - Elastic Common Schema へマッピングする - https://www.elastic.co/guide/en/ecs/current/index.htm - 正規化後の検索クエリ source.ip:10.10.10.1

    - 後から直すのではなく、ログソースごとにしっかりと定義する - es-loader で簡単に正規化する 正規化
  37. Amazon Elasticsearch Service を⽤いた ログ分析基盤構築

  38. 1: ログはS3に保管し、⽋損しない状態とする 2: es-loaderでシンプルに検索できる状態とする 3: UltraWarmで検索できる期間のコストを抑える 4: コストを抑えて⻑期間のログ保管を実現する 5: ログを全社的に活⽤できる状態とする

  39. - ログ量の増加にも対応できる - ⼀般的なログ管理製品と⽐較してコストを 1/3 以下に抑えられた - しかし UltraWarm ノードがリザーブドインスタンスに対応していない

    構築し運⽤してみた結果
  40. ⼿軽に導⼊可能 AWS CloudFormation Template S3 AWS CloudFormation による導⼊をサポート AWS Services

    sample-bucket/ AWS-bucket/ Amazon Elasticsearch Service es-loader
  41. 今後の取り組み

  42. - 各事業のログも管理し、横断的に検索できる状態とする - 組織の弱点を特定する - ペネトレーションテスト - パープルチーミング ⻑期間の検索、その先へ

  43. 「当たり前のことをAWSで」

  44. 「事業を⽀えるということ」

  45. 「セキュリティがビジネスの妨げになってはならない」 定期的に⾒直す ➔

  46. 「当たり前のことをコストで」 ⼀番に向き合わなければならない課題に全⼒投球する ➔ ➔

  47. エンジニアに必要な “世界の最新情報”を毎⽉お届け Builders Boxとは、エンジニアのために作られた情報サブスクリプション (無料)です。 先進企業のエンジニアたちに取材した厳選情報を会員限定でお届けします。 詳細・会員登録はこちら https://buildersbox-online.com/ ※登録の際、紹介コードの欄に「 AWS

    Security 」と⼊⼒ください。
  48. © 2020, Amazon Web Services, Inc. or its affiliates. All

    rights reserved.