Upgrade to Pro — share decks privately, control downloads, hide ads and more …

AWS 初心者が取り組んだセキュリティ強化の2年間とこれから/Two years of security enhancement efforts by AWS beginners and the future

yayoi_dd
September 24, 2023
Technology
0
2.1k

AWS 初心者が取り組んだセキュリティ強化の2年間とこれから/Two years of security enhancement efforts by AWS beginners and the future

アップデート紹介とちょっぴり DiveDeep する AWS の時間 - AWS re:Inforce デモ祭り【第33回】Security(2023/08/31)
https://pages.awscloud.com/choppiri-divedeep-seminar-series-reg.html

yayoi_dd

September 24, 2023
Tweet

More Decks by yayoi_dd

See All by yayoi_dd
スクラムに出会って「できた」を実感できるようになってきた話 / Scrum makes me feel like I can do it
yayoi_dd
2
110
CDKでの自動構築が超簡単で感動した話(超初心者向け) / Automated construction using CDK was easy, impressed
yayoi_dd
0
1.2k
IaCがない環境でインフラ担当じゃない人がAWS触ってみた話 / I tried using AWS in an environment without IaC
yayoi_dd
0
1.1k
CDKの実装のススメ方 / How to proceed with CDK implementation
yayoi_dd
1
1.1k
AWS初心者が苦労してCDKカスタムリソースを作った話 / AWS beginners struggled to create CDK custom resources
yayoi_dd
1
1.2k
AWS CDK 経験者が CDK for Terraform 使ってみた / I tried using CDK for Terraform
yayoi_dd
1
1.2k
Terraform v1.7のTest mocking機能の紹介 / Introducing the Test mocking feature of Terraform v1.7
yayoi_dd
2
1.6k
先人の教えに背いてCDKのスタックを分割した男の末路 / The fate of the man who split the CDK stack
yayoi_dd
1
1.2k
re:Invent2023 参加報告 / reInvent2023 participation report
yayoi_dd
0
3.2k

Other Decks in Technology

See All in Technology
IaCからAWSに入門した初心者が CloudFormationを通して考えた「AWS操作」の使い分け
maimyyym
3
670
【リラン】AIの光と闇?失敗しないために知っておきたいAIリスクとその対応 ①政府の動き編
tkhresk
0
130
Autonomous Database Cloud 技術詳細 / adb-s_technical_detail_jp
oracle4engineer
PRO
15
36k
cgroup v2 で何が変わったのか / TechFeed Experts Night #28
tenforward
2
150
Zero Data Loss Autonomous Recovery Service サービス概要
oracle4engineer
PRO
0
2k
社内での継続的な機械学習勉強会の開催のコツ
yudai00
2
370
自らを知り外と繋がる、日経のエンジニア採用とDevRel活動/devreljp92
nishiuma
2
210
Domain-driven Design: A Complete Example
ewolff
2
230
RailsConf 2024 Keynote "Startups on Rails in 2024"
irinanazarova
0
700
PHP 9 に備えよ - 動的プロパティ、どうすればいぃ?
taisukearase
0
150
Taking Flight with Tailwind CSS
opdavies
0
4.3k
中年男性がメインフレームから クラウドへキャリアシフトしてみた
uechishingo
1
460

Featured

See All Featured
Designing for Performance
lara
601
67k
Building Your Own Lightsaber
phodgson
100
5.7k
Gamification - CAS2011
davidbonilla
77
4.6k
Learning to Love Humans: Emotional Interface Design
aarron
267
39k
Docker and Python
trallard
35
2.7k
Mobile First: as difficult as doing things right
swwweet
217
8.6k
Creating an realtime collaboration tool: Agile Flush - .NET Oxford
marcduiker
14
1.5k
Bash Introduction
62gerente
605
210k
The MySQL Ecosystem @ GitHub 2015
samlambert
244
12k
Code Reviewing Like a Champion
maltzj
515
39k
From Idea to $5000 a Month in 5 Months
shpigford
377
45k
Easily Structure & Communicate Ideas using Wireframe
afnizarnur
188
16k

Transcript

  1. 弥生株式会社 開発本部 情報システム部 CCoE / インフラ 峯岸純也 AWS 初心者が取り組んだ セキュリティ強化の

    2 年間とこれから

  2.  弥生株式会社 開発本部 情報システム部 CCoE/インフラ TechL(Technical Leader)  ねぎ(峯岸 純也:みねぎしじゅんや)

     2020年1月に弥生に入社  インフラ経歴ゼロでインフラチームへ  AWS経験もゼロ(※ここ大事)  弥生インフラ領域の何でも屋さんです  前職はJava / C#メインで開発 etc  プログラミングが苦手  自宅にCisco Catalyst 1000あります  最近のお仕事内容  AWSセキュリティ/ガバナンス  オンプレ→AWS移行  趣味  お酒ミニボトル集め 自己紹介 1

  3. 2 弥生のAWSにまつわる数字

  4. 3 弥生のAWSにまつわる数字① 2021年10月~2022年9月:2件 2022年10月~2023年8月:0件

  5. 4  AWS環境でブルートフォースアタックを検知した件数です 答え 2021年11月18日に検知 2022年03月10日に検知 過去の教訓 セキュリティを疎かにするとすぐ攻撃される

  6. 5 弥生のAWSにまつわる数字② 2021年8月:23 2022年8月:66 2023年8月:134

  7. 6  AWS環境のアカウント数です 答え 300~500アカウント 規模を見据えた運用

  8. 7  弥生で取り組んでいるセキュリティ施策  AWS SecurityHubの検知・自動修復対応 • AWSでの自動化されたセキュリティ対応 – https://aws.amazon.com/jp/solutions/implementations/automated-security-

    response-on-aws/  SIEM環境の構築 • SIEM on Amazon OpenSearch Service – https://github.com/aws-samples/siem-on-amazon-opensearch- service/blob/main/README_ja.md 本日のお話

  9. 8 弥生のAWS環境の役割分担

  10. 9 AWS環境の役割分担  共通セキュリティ対策:インフラチーム • AWS Security Hub + αのサービスを活用した自動修復+検知

    – 例:SSH/RDPフルオープンのセキュリティグループを自動修復  共通ガバナンス強化:インフラチーム • AWS Control Tower + AWS IAM Identity Centerによる防御、認証認可 – 例:ルートユーザーとしてのアクションを許可しない  各アカウント:各サービス担当者 • 各AWSアカウント内のセキュリティ – 例:セキュリティグループ設定の見直し、AWS WAFによる防御 共通 ガバナンス 強化 各アカウント 共通 セキュリティ 対策 共通セキュリティ対策 共通ガバナンス強化

  11. 10 弥生のAWSセキュリティ

  12. 11 Amazon GuardDuty / AWS Security Hubの検知 Audit Account Amazon

    GuardDuty Amazon EventBridge AWS Chatbot Slack • 検知の仕組みを導入した効果 – メール通知は1日の受信件数が多くて見逃がすのでSlackへ – 全アカウントの検知内容を通知するチャンネルを用意 AWS Security Hub

  13. 12 検知の課題  通知時にアカウントIDしか表示されない • 自チームが保有しているAWSアカウントに関する通知なのか、すぐわか らないといった声が多数出ていた  各通知毎のSlackチャンネルに集約していた •

    AWS Health、Amazon GuardDuty、AWS Security Hubの通知を、それぞれ 1つのSlackチャンネルにしていた • AWSアカウント数が増えるにつれて、情報が流れてしまう状況だった Slack通知のサンプル

  14. 13 AWS Lambda Health Dashboard EventBridge EventBridge Amazon DynamoDB AWS

    Secrets Manager ※AWS Health Aware(AHA) Health Slack(SOC 用) Audit アカウント 管理アカウント AWS Lambda EventBridge AWS Security Hub 各チームの Security Hub Slack Assume Role Health API AWS Lambda Amazon DynamoDB 各チームの Health Slack Slack URL 取得 Slack URL 取得 Account 名取得 AWS Lambda EventBridge 各チームの GuardDuty Slack GuardDuty の検知 Security Hub の 検知 各通知情報を各チームのSlackへ ※AWS Health Aware https://aws.amazon.com/jp/blogs/news/aws-health-aware-customize-aws-health-alerts-for-organizational-and-personal-aws-accounts/

  15. 14 AWS Security Hub検知の一部

  16. 15 AWS Security Hubの検知 / 自動修復 AWSでの自動化されたセキュリティ対応 https://aws.amazon.com/jp/solutions/implementations/automated-security-response-on-aws/

  17. 16 AWS Security Hubの検知 / 自動修復

  18. 17 AWS Security Hubの検知と自動修復 検知 自動修復 2022年9月 自動修復8件、検知19件 2023年8月 自動修復27件、検知86件

    2年間でここまで増加

  19. 18 検知・自動修復を啓蒙した結果 本番環境 18 pt up 本番環境以外 28 pt up

    認知度 Up 開発チームの セキュリティ意識 良い効果が出てきました AWS Security Hubスコア

  20. 19 弥生のSIEM

  21. 20 SIEM on Amazon OpenSearch Service全体構成図 各Account Amazon Kinesis Data

    Firehose Amazon OpenSearch Service Log Archive Account Delivery Stream S3 Export S3 Export Replication S3 ログ集約用S3 Audit Account SIEM取込み用S3 Lambda Function es-loader Replication SIEM on Amazon OpenSearch Service https://github.com/aws-samples/siem-on-amazon-opensearch-service/blob/main/README_ja.md

  22. 21 活用方法  各種検知時  Amazon Guard Duty • Amazon

    Detectiveと共にCloudTrailやVPC Flow logsなどをSIEM環境で相関分析  AWS Security Hub • SIEM環境で主にCloudTrailを確認して、いつ、だれが、何をやったのか、を調査  障害発生時  VPC Flow logsやその他AWSのログ情報を相関分析 各AWSのアプリケーションログ+オンプレ環境の ログ分析も可能なSIEM環境へ

  23. 22 Amazon OpenSearch Serverless Amazon Security Lake  Amazon OpenSearch

    Serverless  管理が容易 • クラスタのサイジング、スケーリング、チューニング、およびシャードとインデッ クスのライフサイクル管理が不要  速度 • リソースを自動的にスケールし、高速なデータ取り込みレートとクエリ応答時間を 一貫して維持  エコシステム • 同じOpenSearchクライアント、パイプライン、APIを使用して数秒で利用を開始で きる  費用対効果 • 事前のリソースプロビジョニングは不要  Amazon Security Lake  セキュリティに特化したデータレイクサービス  クラウド・オンプレミスおよびカスタムソースからのセキュリティデータを データレイクに集約  セキュリティデータの制御・統制をしながら任意のツールと連携可能

  24. 23 各Account Amazon Kinesis Data Firehose Delivery Stream S3 Export

    S3 Export S3 Audit Account Security Lake用S3 Lambda Function es-loader シンプルに Corporate data center Amazon Security Lake Source Partners オンプレミスのログもAWSへ Amazon Security Lake Subscriber Partners 多彩な分析手段 Amazon Security Lake Amazon OpenSearch Serverless Log Archive Account ログ集約用S3 SIEM on Amazon OpenSearchのアーキテクチャ変更 全てのログ集約と多彩な分析手段の用意

  25. 24 弥生のこれから

  26. 25 これからのセキュリティ&ガバナンス  セキュリティ&ガバナンス向上へ向けた取り組み  AWS Security Hubのスコア向上→維持への仕組み • 各チームメンバーへのセキュリティ意識のさらなる醸成

     SIEM環境の改善と全社展開 • ログの集約(Amazon Security Lake) • 運用負荷軽減(Amazon OpenSearch Serverless) • 社内規程整備 AWS新サービス / ソリューションを積極的に活用

  27. 26 ご清聴ありがとうございました