$30 off During Our Annual Pro Sale. View Details »

AWS 初心者が取り組んだセキュリティ強化の2年間とこれから/Two years of security enhancement efforts by AWS beginners and the future

yayoi_dd
September 24, 2023
Technology
0
1.9k

AWS 初心者が取り組んだセキュリティ強化の2年間とこれから/Two years of security enhancement efforts by AWS beginners and the future

アップデート紹介とちょっぴり DiveDeep する AWS の時間 - AWS re:Inforce デモ祭り【第33回】Security(2023/08/31)
https://pages.awscloud.com/choppiri-divedeep-seminar-series-reg.html

yayoi_dd

September 24, 2023
Tweet

More Decks by yayoi_dd

See All by yayoi_dd
チームはスクラムを始めたけど、相変わらず何かが足りないスクラムマスターの話 / The team started using Scrum, but the Scrum Master is still missing something
yayoi_dd
0
110
固定席サヨナラ!リモートワークになったしオフィスも大改造しよう / Fixed seat goodbye! I'm going to remote work and let's make a big remodel of the office
yayoi_dd
0
92
リモートワークを支えるヘルプデスクの現在と今後の挑戦 / Current and future challenges of help desks that support remote work
yayoi_dd
0
120
【ドタバタ奮闘記】リモートワークインフラ環境整備のお話 / Story of remote work infrastructure environment maintenance
yayoi_dd
0
120
スクラムを通じてアジャイル開発の良さに気づいたPMのはなし / The story of a PM who realized the goodness of Scrum Agile development
yayoi_dd
0
510
問題解決の促進-New Relicの導入から全社活用までの道のり- / Facilitate problem solving
yayoi_dd
0
530
品質廻戦 / QualityBattle CURRY RICE WITH A MISSION
yayoi_dd
0
2.4k
多すぎた「隠し味」-シェフ秘伝のレシピから見えてくるものとは? / Too many “hidden flavors”
yayoi_dd
0
2.5k
美味なるカレーは全て必然~成功要因(スパイス)を見つけ出せ~ / All delicious curry is inevitable
yayoi_dd
0
2.4k

Other Decks in Technology

See All in Technology
DMMプラットフォームにおける GKE を利用した プラットフォームエンジニアリングへの 取り組み
pospome
1
170
エンタープライズSaaSへの挑戦〜顧客の事業を成長させるプロダクトマネジメントとは?〜 / pmconf2023
route06
2
540
How to get involved with Postgres without being a PG Expert | Claire Giordano | PASS Data Summit 2023
clairegiordano
0
570
ミチビク株式会社エンジニアカンパニーデック
knsg16
0
2.1k
LangChainやるならPythonよりTypeScriptの方がいんじゃね?
optimisuke
0
210
Honoが良さそう🔥
is_ryo
0
170
エンジニア不足の中で どう技術的負債と向き合ったのか RevComm Research の場合 -
revcomm_inc
4
3.2k
開発生産性の多角的接点〜1,000名のクリエイター組織 × 開発生産性〜 / Multifaceted touchpoints of development productivity
i35_267
3
440
論文紹介: Improving Implicit Feedback-Based Recommendation through Multi-Behavior Alignment(Xin Xin et al., 2023)
hakubishin3
0
170
The Future of encoding/json
iamshunta
2
240
The future is already here – Mastering the challenges of the coming years
ufried
0
270
APIテスト導入から2年。アジャイルな組織で見えてきたmabl活用の道
bengo4com
0
1.9k

Featured

See All Featured
Build your cross-platform service in a week with App Engine
jlugia
223
17k
Three Pipe Problems
jasonvnalue
89
9.3k
Learning to Love Humans: Emotional Interface Design
aarron
265
39k
Large-scale JavaScript Application Architecture
addyosmani
501
110k
Mobile First: as difficult as doing things right
swwweet
214
8.3k
実際に使うSQLの書き方 徹底解説 / pgcon21j-tutorial
soudai
52
19k
GraphQLとの向き合い方2022年版
quramy
26
12k
Making the Leap to Tech Lead
cromwellryan
120
8.2k
The Pragmatic Product Professional
lauravandoore
23
5.4k
Templates, Plugins, & Blocks: Oh My! Creating the theme that thinks of everything
marktimemedia
16
1.5k
The Brand Is Dead. Long Live the Brand.
mthomps
48
6.2k
RailsConf 2023
tenderlove
0
350

Transcript

  1. 弥生株式会社
    開発本部 情報システム部 CCoE / インフラ
    峯岸純也
    AWS 初心者が取り組んだ
    セキュリティ強化の 2 年間とこれから

    View Slide

  2.  弥生株式会社 開発本部 情報システム部 CCoE/インフラ TechL(Technical Leader)
     ねぎ(峯岸 純也:みねぎしじゅんや)
     2020年1月に弥生に入社
     インフラ経歴ゼロでインフラチームへ
     AWS経験もゼロ(※ここ大事)
     弥生インフラ領域の何でも屋さんです
     前職はJava / C#メインで開発 etc
     プログラミングが苦手
     自宅にCisco Catalyst 1000あります
     最近のお仕事内容
     AWSセキュリティ/ガバナンス
     オンプレ→AWS移行
     趣味
     お酒ミニボトル集め
    自己紹介
    1

    View Slide

  3. 2
    弥生のAWSにまつわる数字

    View Slide

  4. 3
    弥生のAWSにまつわる数字①
    2021年10月~2022年9月:2件
    2022年10月~2023年8月:0件

    View Slide

  5. 4
     AWS環境でブルートフォースアタックを検知した件数です
    答え
    2021年11月18日に検知
    2022年03月10日に検知
    過去の教訓
    セキュリティを疎かにするとすぐ攻撃される

    View Slide

  6. 5
    弥生のAWSにまつわる数字②
    2021年8月:23
    2022年8月:66
    2023年8月:134

    View Slide

  7. 6
     AWS環境のアカウント数です
    答え
    300~500アカウント
    規模を見据えた運用

    View Slide

  8. 7
     弥生で取り組んでいるセキュリティ施策
     AWS SecurityHubの検知・自動修復対応
    • AWSでの自動化されたセキュリティ対応
    – https://aws.amazon.com/jp/solutions/implementations/automated-security-
    response-on-aws/
     SIEM環境の構築
    • SIEM on Amazon OpenSearch Service
    – https://github.com/aws-samples/siem-on-amazon-opensearch-
    service/blob/main/README_ja.md
    本日のお話

    View Slide

  9. 8
    弥生のAWS環境の役割分担

    View Slide

  10. 9
    AWS環境の役割分担
     共通セキュリティ対策:インフラチーム
    • AWS Security Hub + αのサービスを活用した自動修復+検知
    – 例:SSH/RDPフルオープンのセキュリティグループを自動修復
     共通ガバナンス強化:インフラチーム
    • AWS Control Tower + AWS IAM Identity Centerによる防御、認証認可
    – 例:ルートユーザーとしてのアクションを許可しない
     各アカウント:各サービス担当者
    • 各AWSアカウント内のセキュリティ
    – 例:セキュリティグループ設定の見直し、AWS WAFによる防御
    共通
    ガバナンス
    強化
    各アカウント
    共通
    セキュリティ
    対策
    共通セキュリティ対策 共通ガバナンス強化

    View Slide

  11. 10
    弥生のAWSセキュリティ

    View Slide

  12. 11
    Amazon GuardDuty / AWS Security Hubの検知
    Audit Account
    Amazon GuardDuty Amazon EventBridge AWS Chatbot Slack
    • 検知の仕組みを導入した効果
    – メール通知は1日の受信件数が多くて見逃がすのでSlackへ
    – 全アカウントの検知内容を通知するチャンネルを用意
    AWS Security Hub

    View Slide

  13. 12
    検知の課題
     通知時にアカウントIDしか表示されない
    • 自チームが保有しているAWSアカウントに関する通知なのか、すぐわか
    らないといった声が多数出ていた
     各通知毎のSlackチャンネルに集約していた
    • AWS Health、Amazon GuardDuty、AWS Security Hubの通知を、それぞれ
    1つのSlackチャンネルにしていた
    • AWSアカウント数が増えるにつれて、情報が流れてしまう状況だった
    Slack通知のサンプル

    View Slide

  14. 13
    AWS Lambda
    Health Dashboard
    EventBridge EventBridge
    Amazon DynamoDB AWS Secrets Manager
    ※AWS Health Aware(AHA)
    Health Slack(SOC 用)
    Audit アカウント
    管理アカウント
    AWS Lambda
    EventBridge
    AWS Security Hub
    各チームの Security Hub Slack
    Assume Role
    Health API
    AWS Lambda
    Amazon DynamoDB
    各チームの Health Slack
    Slack URL 取得
    Slack URL 取得
    Account 名取得
    AWS Lambda
    EventBridge
    各チームの GuardDuty Slack
    GuardDuty の検知
    Security Hub の
    検知
    各通知情報を各チームのSlackへ
    ※AWS Health Aware
    https://aws.amazon.com/jp/blogs/news/aws-health-aware-customize-aws-health-alerts-for-organizational-and-personal-aws-accounts/

    View Slide

  15. 14
    AWS Security Hub検知の一部

    View Slide

  16. 15
    AWS Security Hubの検知 / 自動修復
    AWSでの自動化されたセキュリティ対応
    https://aws.amazon.com/jp/solutions/implementations/automated-security-response-on-aws/

    View Slide

  17. 16
    AWS Security Hubの検知 / 自動修復

    View Slide

  18. 17
    AWS Security Hubの検知と自動修復
    検知
    自動修復
    2022年9月
    自動修復8件、検知19件
    2023年8月
    自動修復27件、検知86件
    2年間でここまで増加

    View Slide

  19. 18
    検知・自動修復を啓蒙した結果
    本番環境
    18
    pt up
    本番環境以外
    28
    pt up
    認知度
    Up
    開発チームの
    セキュリティ意識
    良い効果が出てきました
    AWS Security Hubスコア

    View Slide

  20. 19
    弥生のSIEM

    View Slide

  21. 20
    SIEM on Amazon OpenSearch Service全体構成図
    各Account
    Amazon Kinesis
    Data Firehose
    Amazon
    OpenSearch Service
    Log Archive Account
    Delivery Stream
    S3 Export
    S3 Export Replication
    S3
    ログ集約用S3
    Audit Account
    SIEM取込み用S3
    Lambda Function
    es-loader
    Replication
    SIEM on Amazon OpenSearch Service
    https://github.com/aws-samples/siem-on-amazon-opensearch-service/blob/main/README_ja.md

    View Slide

  22. 21
    活用方法
     各種検知時
     Amazon Guard Duty
    • Amazon Detectiveと共にCloudTrailやVPC Flow logsなどをSIEM環境で相関分析
     AWS Security Hub
    • SIEM環境で主にCloudTrailを確認して、いつ、だれが、何をやったのか、を調査
     障害発生時
     VPC Flow logsやその他AWSのログ情報を相関分析
    各AWSのアプリケーションログ+オンプレ環境の
    ログ分析も可能なSIEM環境へ

    View Slide

  23. 22
    Amazon OpenSearch Serverless
    Amazon Security Lake
     Amazon OpenSearch Serverless
     管理が容易
    • クラスタのサイジング、スケーリング、チューニング、およびシャードとインデッ
    クスのライフサイクル管理が不要
     速度
    • リソースを自動的にスケールし、高速なデータ取り込みレートとクエリ応答時間を
    一貫して維持
     エコシステム
    • 同じOpenSearchクライアント、パイプライン、APIを使用して数秒で利用を開始で
    きる
     費用対効果
    • 事前のリソースプロビジョニングは不要
     Amazon Security Lake
     セキュリティに特化したデータレイクサービス
     クラウド・オンプレミスおよびカスタムソースからのセキュリティデータを
    データレイクに集約
     セキュリティデータの制御・統制をしながら任意のツールと連携可能

    View Slide

  24. 23
    各Account
    Amazon Kinesis
    Data Firehose
    Delivery Stream
    S3 Export
    S3 Export
    S3
    Audit Account
    Security Lake用S3
    Lambda Function
    es-loader
    シンプルに
    Corporate
    data center Amazon Security Lake
    Source Partners
    オンプレミスのログもAWSへ
    Amazon Security Lake
    Subscriber Partners
    多彩な分析手段
    Amazon Security Lake
    Amazon
    OpenSearch
    Serverless
    Log Archive Account
    ログ集約用S3
    SIEM on Amazon OpenSearchのアーキテクチャ変更
    全てのログ集約と多彩な分析手段の用意

    View Slide

  25. 24
    弥生のこれから

    View Slide

  26. 25
    これからのセキュリティ&ガバナンス
     セキュリティ&ガバナンス向上へ向けた取り組み
     AWS Security Hubのスコア向上→維持への仕組み
    • 各チームメンバーへのセキュリティ意識のさらなる醸成
     SIEM環境の改善と全社展開
    • ログの集約(Amazon Security Lake)
    • 運用負荷軽減(Amazon OpenSearch Serverless)
    • 社内規程整備
    AWS新サービス / ソリューションを積極的に活用

    View Slide

  27. 26
    ご清聴ありがとうございました

    View Slide