Amazon InspectorとAWS Security Hubを用いた予防的統制におけるリスク分析と運用設計

Transcript

1. 吉江 瞬 Amazon Inspectorと AWS Security Hubを用いた 予防的統制におけるリスク分析と 運用設計 1

   株式会社野村総合研究所 セキュリティコンサルタント AWS Security Hero

2. 自己紹介 2 吉江 瞬 Shun Yoshie 株式会社野村総合研究所所属 セキュリティコンサルタント AWS Security

   Hero 主な業務経歴： • セキュリティサービス運用 • SOC • クラウドセキュリティ監査 • ガイドライン策定 興味： • マルチクラウド • CNAPP コミュニティ/タイトル： • Security-JAWS運営 • JAWS PANKRATION 2024実行委員長

3. Topic: リスクマネジメントと内部統制 CIS(Center for Internet Security) AWSの予防的統制とリスク分析 運用設計・自動化 クラウドセキュリティの今後の展望 3

   セッション概要 今年に入って、Amazon InspectorはCIS Benchmarkをサポートすることになり、 AWS Security Hubと合わせて利用するこ とで、予防的統制に深みをもたせることが できるようになりました。 このセッションでは2つの機能を用いたサ イバーセキュリティにおけるリスク分析を 考慮したアラート対応アプローチと、将来 の展望についてお話します。

4. リスクマネジメントと内 部統制 4 Topic: リスクマネジメントと内部統制 CIS(Center for Internet Security) AWSの予防的統制とリスク分析

   運用設計・自動化 クラウドセキュリティの今後の展望

5. 入口には屈強な門が 設置されているが、 その他の箇所には塀が なく、壁がガラスで 作られた脆弱な家 あなたのAWS、こんなことになっていませんか？ ※画像はAIで作成 5 WAFで入口対策するだけのクラウドセキュリティは クラウドにおいては不十分

6. リスクマネジメント リスクをとらない 6 回 避 リスクの発現や 可能性を見つけ る 検 出

   発現しないように 対策 防 止 リスクを留まらせ る 抑 制 元の状態に戻す 回 復 対策に変更を加 える 訂 正 責任領域内のリスクを特定・解決するために設計された適切な対策を実施すること

7. AWSでのセキュリティコントロール (内部統制) 予防的コントロール (予防的統制 ) 7 イベントの発生を予防するように設計されたコントロール プロアクティブコント ロール 規制に準拠していないリソースが作成されるのを防止するように設計されたコントロール

   検出的コントロール (発見的統制 ) イベントが発生したときに、検出、ログ記録、警告を行うように設計されたコントロール レスポンシブコントロー ル 有害事象や、セキュリティ上の基準線からの逸脱の、修復を早めるように設計された コントロール https://docs.aws.amazon.com/ja_jp/prescriptive-guidance/latest/aws-security-controls/ security-control-types.html 今回のフォーカス

8. リスクマネジメントと内部統制 リスクマネジメントと内部統制の違い - リスクをコントロールする範囲の広さ - すべてにおけるリスク(内外)と内部的リスク 8 ガバナンス 全社的リスクマネジメント (ERM)

   リスクマネジメント (RM) 内部統制

9. AWSの予防的統制ソリューション • AWS Security Hub • Amazon Inspector • AWS

   IAM / AWS IAM Access Analyzer • AWS Config • AWS WAF • AWS Shield • AWS Cloudtrail • Amazon Detective • AWS Trusted Advisor • etc 9 今回のフォーカス CIS Benchmarksをベースに検査することが可能

10. CIS(Center for Internet Security) 10 Topic: リスクマネジメントと内部統制 CIS(Center for Internet

    Security) AWSの予防的統制とリスク分析 運用設計・自動化 クラウドセキュリティの今後の展望

11. CIS(Center for Internet Security) CIS とは 11 米国の複数の政府機関 (米国国家安全保 障局

    (NSA)、国防情報システム局 (DISA)、 米国立標準技術研究所 (NIST) など)と、企 業、学術機関などが協力し、インターネット・ セキュリティ標準化に取り組んでいる米国 団体 https://www.cisecurity.org/ CISのソリューション • CIS Controls • CIS Benchmarks • CIS Hardened Images • CIS-CAT Pro • etc この２つのガイドライン、フレームワー クについて取り上げる

12. CIS Critical Security Controls (CIS Controls) CIS Controlsとは 12 システムとネットワーク全体を保護するため

    のより一般的なガイドライン https://www.cisecurity.org/controls CIS Controlsの特徴 • サイバー攻撃に対する技術的な対策状 況確認が中心 • システムを守る上で効率的な防御策を 優先度順にまとめたフレームワーク • 組織で「最低限行うべきこと」に着目し、 技術的な対策153項目が整理されてい る CIS Controls V8 • PDFとExcel

13. CIS Benchmarks CIS Benchmarksとは 13 システムをセキュアに構成するための 構成基準およびベストプラクティスが 記載されたガイドライン https://www.cisecurity.org/cis-benc hmarks

    CIS Benchmarks (AWS関連) • Amazon Linux 2 (3.0.0) • Amazon Linux 2023 (1.0.0) • Amazon Linux 2 STIG (2.0.0) • Amazon Web Services Foundations (3.0.0) • AWS Database Services (1.0.0) • AWS End User Compute Services (1.1.0) • AWS Compute Services (1.0.0) • Amazon Web Services Three-tier Web Architecture (1.0.0) • 他クラウド • Apache HTTP Server/Cassandraなど • ネットワーク機器 • モバイルOSなど CIS Benchmarks (AWS以外) 2024/06/06時点

14. CIS SecureSuite CIS SecureSuiteとは 14 CIS Controls と CIS Benchmarks

    を実装す るためのサイバーセキュリティリソースと ツールのセットへのアクセスを組織に提供し てくれるプログラム 個人参照する分にはCIS Benchmarksを確 認することはできるが、組織内で横展開しよ うとすると、有償契約が必要 https://www.cisecurity.org/cis-secur esuite/pricing-and-categories

15. AWSの予防的統制と リスク分析 15 Topic: リスクマネジメントと内部統制 CIS(Center for Internet Security) AWSの予防的統制とリスク分析

    運用設計・自動化 クラウドセキュリティの今後の展望

16. AWS Security Hub AWS Security Hubとは 16 AWS アカウントとサービス全体からセキュ リティデータを収集し、セキュリティの傾向を

    分析し、環境全体のセキュリティ問題を特 定 AWSが提供するCSPM(クラウドセキュリティ 態勢管理) のサービス AWS Security Hubリファレンス • AWS Foundational Security Best Practices(FSBP) • CIS AWS Foundations Benchmark v1.2.0 • CIS AWS Foundations Benchmark v1.4.0 • CIS AWS Foundations Benchmark v3.0.0 • NIST SP 800-53 Revision 5 • PCI DSS v3.2.1 • AWS Resource Tagging Standard v1.0.0

17. Amazon Inspector Amazon Inspectorとは 17 AWSのワークロードを継続的にスキャン脆 弱性や意図しないNW露出を検出 AWSが提供するVM(脆弱性管理) のサービ ス

    https://aws.amazon.com/jp/about-aws/whats-new/2024/01/ amazon-inspector-cis-benchmark-assessments-operating-systems-ec2-instances/ Amazon Inspector スキャン対象 • Amazon EC2 • Amazon ECR • CI/CD内のコンテナイメージ • AWS Lambda

18. AWS Security Hub Integration 18 https://aws.amazon.com/jp/builders-flash/202401/approach-to-security-hub/ AWS Security Hub にアラート集約

    いくつかの AWS サービスとの統合をサ ポート Amazon Inspectorだけでなく、その他のセ キュリティサービス等も統合が可能

19. CIS ツールで組織のセキュリティ検査 クラウドを扱う自組織においてセキュリティ対策がどの程度できているかを確認することが 可能 19 ガバナンス 全社的リスクマネジメント (ERM) リスクマネジメント (RM)

    内部統制 AWS Security Hub Amazon Inspectorで自動検査 CIS Benchmarks(技術) CIS Controls(方針) で手動検査

20. リスク分析 イベントトリアージにリスク分析を用いて、対策方針・運用設計を検討することを個人的に は推奨 リスクモデル リスク = 発生頻度 x 影響度 20

    総合評価 Severity Low Medium High Critical 脅威イベント の発生確率 Critical High High Critical Critical High Medium High High Critical Medium Low Medium High High Low Low Low Medium High 自組織にあわせて、2軸で考えて 対策スケジュールをひくことを検討 する

21. 運用設計・自動化 21 Topic: リスクマネジメントと内部統制 CIS(Center for Internet Security) AWSの予防的統制とリスク分析 運用設計・自動化

    クラウドセキュリティの今後の展望

22. クラウド利用における運用課題 運用部門の慢性的な人材不足、運用品質の低下が叫ばれている。 人を介在させないことによる、システム品質の冪等性も考える上では、 運用全体を適切にグランドデザインすることが大事 22 https://atmarkit.itmedia.co.jp/ait/articles/2303/29/news013.html

23. 自動化(不都合な真実 ) 自動化は硬直化 標準化(自動化)は、業務を硬 直化させる お役所仕事しかできない低付 加価値な運用現場へ 自動化の寿命は、期待したよ りもずっと短い 資産と思って頑張った自動化

    が、あっという間に負債化(無 価値化) 「やれるところから自動化」は 弊害を生む 保守も変更もできないモノリ シックな自動化群の誕生 23 自動化の寿命は短い 身近から始めるとキメラ化 真実1 真実2 真実3 https://speakerdeck.com/opelab/20171212-automation 提唱者： 波田野 裕一 AWS Community Hero

24. 自動化(対応) 小さく自動化 自動化の寿命は短いものと考 え、手短に作る 陳腐化したらバッサリ捨てて、 次を作る きちんとした設計と、経緯は残 す 疎結合・分散型の小さなツー ルを作る

    「ミス低減」と「付加価値増加」 の両方を自動化で実現 原則として、自動化は可能な 限り外側(他組織、顧客との接 点)からやる 自動化には重要なのは、外部 影響を把握&制御すること 24 自動化は使い捨て 外側から自動化 対応1 対応2 対応3 https://speakerdeck.com/opelab/20171212-automation 提唱者： 波田野 裕一 AWS Community Hero

25. CSPMをトリガーにした究極の自動化？ CSPMを使った究極の自動化 is • 組織のガバナンス、リスク、コンプライアンスに基づき、 • 自前のクラウド環境を総スキャンして、 • 最新のルールに基づいて自動でアラートを挙げて、 •

    自動でトリアージして、 • 挙がったアラート内容に自動で修復・対応してくれる そんなことは不可能です。以下は阻害要因 • 組織のガバナンス、リスク、コンプライアンスの変化 • 採用されているアーキテクチャ・技術スタックの変化 • CSPMのルールの変化 • 上述の変化によるトリアージの変化 • 上述内容からくる修復・対応内容のミス 25 小さく自動化 外側から自動化 自動化は使い捨て が大事!!

26. AWS Security Hub Automation Amazon EventBridgeを用いて以下のアクションを呼び出し・自動化 a. AWS Lambda 関数の呼び出し

    b. Amazon EC2 run コマンドの呼び出し c. イベントを Amazon Kinesis Data Streams に中継する d. AWS Step Functions ステートマシンのアクティブ化 e. Amazon SNS トピックまたは Amazon SQS キューへの通知 f. 結果をサードパーティのチケット発行、チャット、SIEM、またはインシデント対応およ び管理ツールに送信する • a)〜d)は a. 手段。その先にある外部影響の把握を行うこと b. 陳腐化しやすいので、設計や経緯、タスク内容を分かりやすく残すこと。 後述するプレイブックの活用をおすすめします 26 https://docs.aws.amazon.com/securityhub/latest/userguide/ securityhub-cloudwatch-events.html

27. AWS Security Hub Automation Amazon EventBridgeを用いて以下のアクションを呼び出し・自動化 a. AWS Lambda 関数の呼び出し

    b. Amazon EC2 run コマンドの呼び出し c. イベントを Amazon Kinesis Data Streams に中継する d. AWS Step Functions ステートマシンのアクティブ化 e. Amazon SNS トピックまたは Amazon SQS キューへの通知 f. 結果をサードパーティのチケット発行、チャット、SIEM、またはインシデント対応およ び管理ツールに送信する • e)〜f)は最も外側にある目的のための自動化。実装もしやすく、変化も起きにくい。 27 https://docs.aws.amazon.com/securityhub/latest/userguide/ securityhub-cloudwatch-events.html

28. Automated Security Response on AWS AWSが用意するセキュリティレスポンスのためのプレイブックは有効に活用しよう https://docs.aws.amazon.com/solutions/latest/automated-security-response-on-a ws/playbooks-1.html 例) •

    使われていないIAMユーザーの クレデンシャルを自動で破棄 利用するにも、設計や経緯は 残しておきましょう 28

29. AWS Security Hub Automation AWS Security Hubの自動化として、Security Hub の検出結果を自動的に更新 ▪

    重要なリソースに関連する検出結果の重大度を引き上げ ▪ 運用アカウントのリソースに関連する検出結果の重大度を引き上げ ▪ 重大度が INFORMATIONAL である特定の結果を SUPPRESSED に割り当て • 組織にて設けた基準に該当させるために、レベルを引き上げたい場合におすすめ 29 https://aws.amazon.com/jp/about-aws/whats-new/2023/06 /aws-security-hub-automation-rules/

30. クラウドセキュリティの 今後の展望 30 Topic: リスクマネジメントと内部統制 CIS(Center for Internet Security) AWSの予防的統制とリスク分析

    運用設計・自動化 クラウドセキュリティの今後の展望

31. CSAの責任共有モデルと CNAPPの関係 Cloud Security Alliance (CSA) が公開する責任共有モデルと CNAPP の関係は以下 ※CNAPP:

    Cloud Native Application Protection Platform 31 https://cloudsecurityalliance.org/ https://event.cloudnativedays.jp/cnsec2022/talks/1450

32. 変化し続ける CNAPP クラウドセキュリティエコシステムにおいて、CSPMやVM、CWPPといったものだけでは対策 がやはり物足りないと感じる。 サードパーティが CNAPP の機能拡充をし続けるなら、AWSも追従することは必須 AWS が今後実装することにより、より多角的にセキュリティ課題を解決してくれる機能とは？ ⇛

    口頭で説明します 32 https://www.nri-secure.co.jp/blog/ever-changing-cnapp https://medium.com/@metal.preacher/ever-changing-cnapp-22d4f66cc809

33. おわりに 以下についてお話しました。 • CIS が提供するフレームワークを使った組織とクラウドの検査方法の提示 • AWS Security Hub /

    Amazon Inspector • 運用設計・自動化の活用 • クラウドセキュリティの今後の展望 セキュリティはすべてのビジネスの基盤です。 未来のセキュリティのために、予防的統制と自動化でその基盤を強化しましょう。 33

34. Thank you! Shun Yoshie X: Typhon666_death LN: Shun Yoshie 34