Upgrade to Pro — share decks privately, control downloads, hide ads and more …

Sansan の成長を支えるセキュリティログの活用と Amazon Elasticsearch...

Sansan
October 28, 2020
Technology
1
3.3k

Sansan の成長を支えるセキュリティログの活用と Amazon Elasticsearch Service / Amazon Elasticsearch Service empowers Sansan's business growth to create value and drive innovation through security logs management

■イベント
AWS Security Roadshow Japan
https://aws.amazon.com/jp/about-aws/events/2020/securityroadshow2020/

■登壇概要
タイトル:Sansan の成長を支えるセキュリティログの活用と Amazon Elasticsearch Service
登壇者:CSIRT 松田 健

▼Sansan Builders Blog
https://buildersbox.corp-sansan.com/

Sansan

October 28, 2020
Tweet

More Decks by Sansan

See All by Sansan
学びを仕事に繋げる
sansanbuildersbox
18
7.7k
SansanにおけるエッジAIの実用例とMLOps
sansanbuildersbox
2
1.5k
BtoB SaaSにおけるテナント・ユーザー設計の悩みどころ
sansanbuildersbox
3
780
Introduction to Sansan for Engineers / エンジニア向け会社紹介
sansanbuildersbox
2
8.2k
ARKitを触りながら振り返る
sansanbuildersbox
0
390
RubyKaigiに参加したら新卒でもコントリビュートできた話
sansanbuildersbox
1
2.2k
必要なのはリードであってリーダーではない
sansanbuildersbox
2
2.4k
Bill One 開発エンジニア 紹介資料
sansanbuildersbox
0
4.1k
LINE/Sansan/SmartHR/freee サーバサイドエンジニア 採用説明会
sansanbuildersbox
0
1.5k

Other Decks in Technology

See All in Technology
スクラムチームを立ち上げる〜チーム開発で得られたもの・得られなかったもの〜
ohnoeight
2
350
ドメイン名の終活について - JPAAWG 7th -
mikit
33
20k
適材適所の技術選定 〜GraphQL・REST API・tRPC〜 / Optimal Technology Selection
kakehashi
1
460
マルチプロダクトな開発組織で 「開発生産性」に向き合うために試みたこと / Improving Multi-Product Dev Productivity
sugamasao
1
310
Exadata Database Service on Dedicated Infrastructure(ExaDB-D) UI スクリーン・キャプチャ集
oracle4engineer
PRO
2
3.2k
Platform Engineering for Software Developers and Architects
syntasso
1
520
ISUCONに強くなるかもしれない日々の過ごしかた/Findy ISUCON 2024-11-14
fujiwara3
8
870
Python(PYNQ)がテーマのAMD主催のFPGAコンテストに参加してきた
iotengineer22
0
480
iOSチームとAndroidチームでブランチ運用が違ったので整理してます
sansantech
PRO
0
140
iOS/Androidで同じUI体験をネ イティブで作成する際に気をつ けたい落とし穴
fumiyasac0921
1
110
OCI 運用監視サービス 概要
oracle4engineer
PRO
0
4.8k
Engineer Career Talk
lycorp_recruit_jp
0
170

Featured

See All Featured
Documentation Writing (for coders)
carmenintech
65
4.4k
Product Roadmaps are Hard
iamctodd
PRO
49
11k
ReactJS: Keep Simple. Everything can be a component!
pedronauck
665
120k
Making Projects Easy
brettharned
115
5.9k
What's new in Ruby 2.0
geeforr
343
31k
Learning to Love Humans: Emotional Interface Design
aarron
273
40k
Templates, Plugins, & Blocks: Oh My! Creating the theme that thinks of everything
marktimemedia
26
2.1k
Making the Leap to Tech Lead
cromwellryan
133
8.9k
Speed Design
sergeychernyshev
25
620
Designing on Purpose - Digital PM Summit 2013
jponch
115
7k
Fantastic passwords and where to find them - at NoRuKo
philnash
50
2.9k
How STYLIGHT went responsive
nonsquared
95
5.2k

Transcript

  1. © 2020, Amazon Web Services, Inc. or its affiliates. All

    rights reserved. Sansanの成⻑を⽀えるセキュリティログ の活⽤と Amazon Elasticsearch Service f o r A W S S e c u r i t y R o a d s h o w J a p a n O n l i n e 2 0 2 0 Sansan株式会社 CSIRT 松⽥ 健 Amazon Elasticsearch Service empowers Sansan's business growth to create value and drive innovation through security logs management

  2. Profile - 松⽥ 健 Takeshi Matsuda - Sansan株式会社 CSIRT -

    Sansan-CSIRT SOCチーム - AWS利⽤歴 1年くらい - オンプレが⼤好き(でした) - ネットワークが好きです
  3. None

  4. 法⼈向け名刺管理サービス 個⼈向け名刺アプリ

  5. 法⼈向け名刺管理サービス 利⽤企業 ※ 利⽤企業数は、クラウド名刺管理サービス「Sansan」をご利⽤いただいている契約数。 ※ 6,000社

  6. 個⼈向け名刺アプリ ユーザー 270万⼈

  7. None
  8. None

  9. Sansanのセキュリティ組織 社内・社外 CSIRT 経営層 CISO プロダクト開発 兼務者 S3 Sansan Security

    Scrum

  10. - 3つのチームから構成されている CSIRT - まもる対象:組織全体 - 社員からの相談・問い合わせ窓⼝ - 全社的なセキュリティ対策をリードする Sansan-CSIRT

    Red チーム SOC チーム 教育監査 チーム インシデント対応

  11. Premise 「セキュリティと利便性を両⽴させる」

  12. ログ分析基盤

  13. - SIEM - 複数のログを素早く分析 - インシデントを早期に発⾒ - ログを統合的に管理 ログ分析基盤とは

  14. - ログを⻑期間保存し、いつでも検索できること - 分析者のバイアスを取り除くこと ログ分析基盤に求めること

  15. 「当たり前のことを当たり前に」

  16. SOCチームで扱うログ AWS サービス 社内システム セキュリティ対策製品 AWS セキュリティ Elastic Load Balancing

    Amazon Route 53 VPC Flow Logs Amazon Simple Storage Service (Amazon S3) AWS CloudTrail Amazon GuardDuty AD DNS DHCP 無線 AP クラウドストレージ コミュニケーション基盤 and more … WAF IDS/IPS FW 認証基盤 EDR CASB

  17. 「時代はゼロトラスト」

  18. - どこでも安全に⽣産性を落とさずに働ける環境を⽬指す - セキュリティ対策をエンドポイントに寄せて⾏く ゼロトラストに向き合う

  19. 「ゼロトラスト」 × 「ログ分析基盤」

  20. ゼロトラストの弊害 - 可視性が⾼いがログの情報量が多い - ログ量が桁違いに増加する - 可視性の持続性が無い - セキュリティ対策製品で早いもので数週間で消える

  21. ⾒えてきた課題 - ログ量の急激な増加に耐えられない - 運⽤コストが増加し続ける

  22. 「当たり前のことを当たり前に」

  23. 「セキュリティ対策には限界がある…」 シンプルな作りでスケールしやすい基盤に進化させる ➔

  24. Amazon Elasticsearch Service を⽤いた ログ分析基盤構築

  25. - オープンソース Elasticsearch と Kibana を簡単にデプロイ・管理するフルマネー ジドサービス - Open Distro

    for Elasticsearch を活⽤する Amazon Elasticsearch Service(AES) Amazon Elasticsearch Service ➔ Elasticsearch Kibana Open Distro +

  26. S3 Glacier AWS Cloud S3 アーキテクチャ 1 2 fluentd-bucket/ AWS-bucket/

    Amazon Elasticsearch Service Hot-Node UltraWarm-Node es-loader 3 4 1: S3に保管する 2: es-loaderで読み込み、ESへロードする 3: ⼀定期間経過後UltraWarmに移動する 4: ⼀定期間経過後アーカイブする 5: ログを検索する 様々なログ Point 部⾨A CSIRT ➔ 5 AWS Services

  27. S3 Glacier AWS Cloud S3 アーキテクチャ 1 2 fluentd-bucket/ AWS-bucket/

    Amazon Elasticsearch Service Hot-Node UltraWarm-Node es-loader 3 4 1: S3に保管する 2: es-loaderで読み込み、ESへロードする 3: ⼀定期間経過後UltraWarmに移動する 4: 一定期間経過後アーカイブする 5: ログを検索する 様々なログ Point 部⾨A CSIRT ➔ 5 AWS Services

  28. - インデックスを移動してコストを最適化する UltraWarm ノードを活⽤する Firewall Logs AWS Flow Logs Index

    fw-log-yyyy-mm-01 ➔ ➔ Index fw-log-yyyy-mm-02 Index aws-flow-log-yyyy-mm-01 Index aws-flow-log-yyyy-mm-02 Index Pattern fw-log-* Index Pattern aws-flow-log-* ➔ ➔ Index Pattern log-* ➔ 検索 UltraWarm ノードへ移動する UltraWarm ノードへ移動する ログ インデックス インデックスパターン

  29. S3 Glacier AWS Cloud S3 アーキテクチャ 1 AWS Services fluentd-bucket/

    AWS-bucket/ Amazon Elasticsearch Service Hot-Node UltraWarm-Node es-loader 4 1: S3に保管する 2: es-loaderで読み込み、ESへロードする 3: ⼀定期間経過後UltraWarmに移動する 4: ⼀定期間経過後アーカイブする 5: ログを検索する 様々なログ Point 部⾨A CSIRT 5 ➔ 2 3

  30. - ログ分析基盤を CSIRT 以外にも閲覧 可能にする - Cognito との連携し認証を強化する - Kibana

    ユーザ認証・認可を有効化 Open Distro のマルチテナンシー

  31. es-loader https://github.com/aws-samples/siem-on-amazon-elasticsearch

  32. Sansan-CSIRTも開発へ参画!

  33. - ログをシンプルにAESへロードする - 様々なサービスと形式の加⼯に対応している es-loader

  34. 「ログの検索と正規化」

  35. - ログソースごとにフィールド名が異なる - 検索クエリ src_ip:10.10.10.1 OR sip:10.10.10.1 OR source.ip:10.10.10.1 OR

    src:10.10.10.1 OR client_ip:10.10.10.1 - ⼀刻を争うインシデント発⽣時には⾮効率となる ログ検索のための正規化

  36. - Elastic Common Schema へマッピングする - https://www.elastic.co/guide/en/ecs/current/index.htm - 正規化後の検索クエリ source.ip:10.10.10.1

    - 後から直すのではなく、ログソースごとにしっかりと定義する - es-loader で簡単に正規化する 正規化

  37. Amazon Elasticsearch Service を⽤いた ログ分析基盤構築

  38. 1: ログはS3に保管し、⽋損しない状態とする 2: es-loaderでシンプルに検索できる状態とする 3: UltraWarmで検索できる期間のコストを抑える 4: コストを抑えて⻑期間のログ保管を実現する 5: ログを全社的に活⽤できる状態とする

  39. - ログ量の増加にも対応できる - ⼀般的なログ管理製品と⽐較してコストを 1/3 以下に抑えられた - しかし UltraWarm ノードがリザーブドインスタンスに対応していない

    構築し運⽤してみた結果

  40. ⼿軽に導⼊可能 AWS CloudFormation Template S3 AWS CloudFormation による導⼊をサポート AWS Services

    sample-bucket/ AWS-bucket/ Amazon Elasticsearch Service es-loader

  41. 今後の取り組み

  42. - 各事業のログも管理し、横断的に検索できる状態とする - 組織の弱点を特定する - ペネトレーションテスト - パープルチーミング ⻑期間の検索、その先へ

  43. 「当たり前のことをAWSで」

  44. 「事業を⽀えるということ」

  45. 「セキュリティがビジネスの妨げになってはならない」 定期的に⾒直す ➔

  46. 「当たり前のことをコストで」 ⼀番に向き合わなければならない課題に全⼒投球する ➔ ➔

  47. エンジニアに必要な “世界の最新情報”を毎⽉お届け Builders Boxとは、エンジニアのために作られた情報サブスクリプション (無料)です。 先進企業のエンジニアたちに取材した厳選情報を会員限定でお届けします。 詳細・会員登録はこちら https://buildersbox-online.com/ ※登録の際、紹介コードの欄に「 AWS

    Security 」と⼊⼒ください。

  48. © 2020, Amazon Web Services, Inc. or its affiliates. All

    rights reserved.