Upgrade to Pro — share decks privately, control downloads, hide ads and more …

AWS 初心者が取り組んだセキュリティ強化の2年間とこれから/Two years of sec...

yayoi_dd
September 24, 2023
Technology
0
2.3k

AWS 初心者が取り組んだセキュリティ強化の2年間とこれから/Two years of security enhancement efforts by AWS beginners and the future

アップデート紹介とちょっぴり DiveDeep する AWS の時間 - AWS re:Inforce デモ祭り【第33回】Security(2023/08/31)
https://pages.awscloud.com/choppiri-divedeep-seminar-series-reg.html

yayoi_dd

September 24, 2023
Tweet

More Decks by yayoi_dd

See All by yayoi_dd
Lambdaの特徴を理解して活用する/Understanding and utilizing the features of Lambda
yayoi_dd
2
32
SIEM on Amazon OpenSearchで得たOSSを利用する上での教訓/Lessons learned when using OSS
yayoi_dd
1
22
RDS Aurora MySQLを用いたデータ連携でやらかした話/Story about when linking data using RDS Aurora MySQL
yayoi_dd
1
43
ライフサイクル考えられていますか/Do you think about lifecycle
yayoi_dd
1
34
プロンプトエンジニアリングに触れてみよう / Let's try prompt engineering!
yayoi_dd
1
2.4k
ChatGPTによるお手軽データ分析 / Easy data analysis with ChatGPT
yayoi_dd
1
2.4k
ChatGPTでお手軽エンジニアライフハック / Easy engineer life hacks with ChatGPT
yayoi_dd
1
2.3k
ChatGPT APIを使ったツール作成日記 / Diary of tool creation using ChatGPT API
yayoi_dd
1
2.3k
スクラムに出会って「できた」を実感できるようになってきた話 / Scrum makes me feel like I can do it
yayoi_dd
2
2.6k

Other Decks in Technology

See All in Technology
[CV勉強会@関東 ECCV2024 読み会] オンラインマッピング x トラッキング MapTracker: Tracking with Strided Memory Fusion for Consistent Vector HD Mapping (Chen+, ECCV24)
abemii
0
220
Amazon Personalizeの レコメンドシステム構築、実際何するの? 〜大体10分で具体的なイメージをつかむ〜
kniino
1
100
Shopifyアプリ開発における Shopifyの機能活用
sonatard
4
250
DMARC 対応の話 - MIXI CTO オフィスアワー #04
bbqallstars
1
160
AGIについてChatGPTに聞いてみた
blueb
0
130
リンクアンドモチベーション ソフトウェアエンジニア向け紹介資料 / Introduction to Link and Motivation for Software Engineers
lmi
4
300k
フルカイテン株式会社 採用資料
fullkaiten
0
40k
dev 補講: プロダクトセキュリティ / Product security overview
wa6sn
1
2.3k
【令和最新版】AWS Direct Connectと愉快なGWたちのおさらい
minorun365
PRO
5
750
B2B SaaSから見た最近のC#/.NETの進化
sansantech
PRO
0
760
Lexical Analysis
shigashiyama
1
150
マルチプロダクトな開発組織で 「開発生産性」に向き合うために試みたこと / Improving Multi-Product Dev Productivity
sugamasao
1
300

Featured

See All Featured
Happy Clients
brianwarren
98
6.7k
Agile that works and the tools we love
rasmusluckow
327
21k
Designing for Performance
lara
604
68k
A designer walks into a library…
pauljervisheath
204
24k
The Straight Up "How To Draw Better" Workshop
denniskardys
232
140k
How STYLIGHT went responsive
nonsquared
95
5.2k
Building Your Own Lightsaber
phodgson
103
6.1k
Typedesign – Prime Four
hannesfritz
40
2.4k
Building Flexible Design Systems
yeseniaperezcruz
327
38k
Designing Dashboards & Data Visualisations in Web Apps
destraynor
229
52k
[RailsConf 2023] Rails as a piece of cake
palkan
52
4.9k
Fashionably flexible responsive web design (full day workshop)
malarkey
405
65k

Transcript

  1. 弥生株式会社 開発本部 情報システム部 CCoE / インフラ 峯岸純也 AWS 初心者が取り組んだ セキュリティ強化の

    2 年間とこれから

  2.  弥生株式会社 開発本部 情報システム部 CCoE/インフラ TechL(Technical Leader)  ねぎ(峯岸 純也:みねぎしじゅんや)

     2020年1月に弥生に入社  インフラ経歴ゼロでインフラチームへ  AWS経験もゼロ(※ここ大事)  弥生インフラ領域の何でも屋さんです  前職はJava / C#メインで開発 etc  プログラミングが苦手  自宅にCisco Catalyst 1000あります  最近のお仕事内容  AWSセキュリティ/ガバナンス  オンプレ→AWS移行  趣味  お酒ミニボトル集め 自己紹介 1

  3. 2 弥生のAWSにまつわる数字

  4. 3 弥生のAWSにまつわる数字① 2021年10月~2022年9月:2件 2022年10月~2023年8月:0件

  5. 4  AWS環境でブルートフォースアタックを検知した件数です 答え 2021年11月18日に検知 2022年03月10日に検知 過去の教訓 セキュリティを疎かにするとすぐ攻撃される

  6. 5 弥生のAWSにまつわる数字② 2021年8月:23 2022年8月:66 2023年8月:134

  7. 6  AWS環境のアカウント数です 答え 300~500アカウント 規模を見据えた運用

  8. 7  弥生で取り組んでいるセキュリティ施策  AWS SecurityHubの検知・自動修復対応 • AWSでの自動化されたセキュリティ対応 – https://aws.amazon.com/jp/solutions/implementations/automated-security-

    response-on-aws/  SIEM環境の構築 • SIEM on Amazon OpenSearch Service – https://github.com/aws-samples/siem-on-amazon-opensearch- service/blob/main/README_ja.md 本日のお話

  9. 8 弥生のAWS環境の役割分担

  10. 9 AWS環境の役割分担  共通セキュリティ対策:インフラチーム • AWS Security Hub + αのサービスを活用した自動修復+検知

    – 例:SSH/RDPフルオープンのセキュリティグループを自動修復  共通ガバナンス強化:インフラチーム • AWS Control Tower + AWS IAM Identity Centerによる防御、認証認可 – 例:ルートユーザーとしてのアクションを許可しない  各アカウント:各サービス担当者 • 各AWSアカウント内のセキュリティ – 例:セキュリティグループ設定の見直し、AWS WAFによる防御 共通 ガバナンス 強化 各アカウント 共通 セキュリティ 対策 共通セキュリティ対策 共通ガバナンス強化

  11. 10 弥生のAWSセキュリティ

  12. 11 Amazon GuardDuty / AWS Security Hubの検知 Audit Account Amazon

    GuardDuty Amazon EventBridge AWS Chatbot Slack • 検知の仕組みを導入した効果 – メール通知は1日の受信件数が多くて見逃がすのでSlackへ – 全アカウントの検知内容を通知するチャンネルを用意 AWS Security Hub

  13. 12 検知の課題  通知時にアカウントIDしか表示されない • 自チームが保有しているAWSアカウントに関する通知なのか、すぐわか らないといった声が多数出ていた  各通知毎のSlackチャンネルに集約していた •

    AWS Health、Amazon GuardDuty、AWS Security Hubの通知を、それぞれ 1つのSlackチャンネルにしていた • AWSアカウント数が増えるにつれて、情報が流れてしまう状況だった Slack通知のサンプル

  14. 13 AWS Lambda Health Dashboard EventBridge EventBridge Amazon DynamoDB AWS

    Secrets Manager ※AWS Health Aware(AHA) Health Slack(SOC 用) Audit アカウント 管理アカウント AWS Lambda EventBridge AWS Security Hub 各チームの Security Hub Slack Assume Role Health API AWS Lambda Amazon DynamoDB 各チームの Health Slack Slack URL 取得 Slack URL 取得 Account 名取得 AWS Lambda EventBridge 各チームの GuardDuty Slack GuardDuty の検知 Security Hub の 検知 各通知情報を各チームのSlackへ ※AWS Health Aware https://aws.amazon.com/jp/blogs/news/aws-health-aware-customize-aws-health-alerts-for-organizational-and-personal-aws-accounts/

  15. 14 AWS Security Hub検知の一部

  16. 15 AWS Security Hubの検知 / 自動修復 AWSでの自動化されたセキュリティ対応 https://aws.amazon.com/jp/solutions/implementations/automated-security-response-on-aws/

  17. 16 AWS Security Hubの検知 / 自動修復

  18. 17 AWS Security Hubの検知と自動修復 検知 自動修復 2022年9月 自動修復8件、検知19件 2023年8月 自動修復27件、検知86件

    2年間でここまで増加

  19. 18 検知・自動修復を啓蒙した結果 本番環境 18 pt up 本番環境以外 28 pt up

    認知度 Up 開発チームの セキュリティ意識 良い効果が出てきました AWS Security Hubスコア

  20. 19 弥生のSIEM

  21. 20 SIEM on Amazon OpenSearch Service全体構成図 各Account Amazon Kinesis Data

    Firehose Amazon OpenSearch Service Log Archive Account Delivery Stream S3 Export S3 Export Replication S3 ログ集約用S3 Audit Account SIEM取込み用S3 Lambda Function es-loader Replication SIEM on Amazon OpenSearch Service https://github.com/aws-samples/siem-on-amazon-opensearch-service/blob/main/README_ja.md

  22. 21 活用方法  各種検知時  Amazon Guard Duty • Amazon

    Detectiveと共にCloudTrailやVPC Flow logsなどをSIEM環境で相関分析  AWS Security Hub • SIEM環境で主にCloudTrailを確認して、いつ、だれが、何をやったのか、を調査  障害発生時  VPC Flow logsやその他AWSのログ情報を相関分析 各AWSのアプリケーションログ+オンプレ環境の ログ分析も可能なSIEM環境へ

  23. 22 Amazon OpenSearch Serverless Amazon Security Lake  Amazon OpenSearch

    Serverless  管理が容易 • クラスタのサイジング、スケーリング、チューニング、およびシャードとインデッ クスのライフサイクル管理が不要  速度 • リソースを自動的にスケールし、高速なデータ取り込みレートとクエリ応答時間を 一貫して維持  エコシステム • 同じOpenSearchクライアント、パイプライン、APIを使用して数秒で利用を開始で きる  費用対効果 • 事前のリソースプロビジョニングは不要  Amazon Security Lake  セキュリティに特化したデータレイクサービス  クラウド・オンプレミスおよびカスタムソースからのセキュリティデータを データレイクに集約  セキュリティデータの制御・統制をしながら任意のツールと連携可能

  24. 23 各Account Amazon Kinesis Data Firehose Delivery Stream S3 Export

    S3 Export S3 Audit Account Security Lake用S3 Lambda Function es-loader シンプルに Corporate data center Amazon Security Lake Source Partners オンプレミスのログもAWSへ Amazon Security Lake Subscriber Partners 多彩な分析手段 Amazon Security Lake Amazon OpenSearch Serverless Log Archive Account ログ集約用S3 SIEM on Amazon OpenSearchのアーキテクチャ変更 全てのログ集約と多彩な分析手段の用意

  25. 24 弥生のこれから

  26. 25 これからのセキュリティ&ガバナンス  セキュリティ&ガバナンス向上へ向けた取り組み  AWS Security Hubのスコア向上→維持への仕組み • 各チームメンバーへのセキュリティ意識のさらなる醸成

     SIEM環境の改善と全社展開 • ログの集約(Amazon Security Lake) • 運用負荷軽減(Amazon OpenSearch Serverless) • 社内規程整備 AWS新サービス / ソリューションを積極的に活用

  27. 26 ご清聴ありがとうございました