失敗例から学ぶAWSセキュリティサービスの導入

失敗例から学ぶAWSセキュリティサービスの導⼊
2023.3.14
AWS事業本部コンサルティング部 yhana

View Slide

2
もくじ
１．AWS セキュリティサービスの機能概要
- AWS Security Hub
- Amazon GuardDuty
- Security Hub と GuardDuty の検知の違い
２．失敗例から学ぶ Security Hub / GuardDuty 導⼊時の考慮事項

View Slide

3
クラウドセキュリティを知るには
本⽇は話さない、クラウドセキュリティの考え⽅と
AWS に当てはめた場合の考え⽅を知るには下記の書籍がおすすめ
https://dev.classmethod.jp/articles/start-
cloud-security-with-aws/
https://dev.classmethod.jp/articles/aws-
security-book/

View Slide

4
AWS セキュリティサービスの機能概要

View Slide

5
本日紹介する AWS サービス
AWS のセキュリティサービスのうち、
導⼊することが多い Security Hub と GuardDuty を紹介
識別防御検知対応復旧
AWS Security Hub Amazon GuardDuty

View Slide

6
AWS Security Hub

View Slide

7
AWS Security Hub とは
主な機能
１．セキュリティイベントを集約して管理する機能
２．基準に従って AWS 環境をセキュリティチェックする機能今⽇の話

View Slide

8
セキュリティ基準機能
セキュリティのベストプラスティスに沿っているかをチェック
チェック項⽬（コントロール）の例
EBS (Disk) スナップショットのパブリック公開を検知

View Slide

9
セキュリティ基準機能
セキュリティ基準は 4 種類（2023年2⽉20⽇時点）
明確な要件がない場合は
「AWS 基礎セキュリティのベストプラクティス」がおすすめ
チェック対象となるサービス種類が多く、アップデートも頻繁

View Slide

10
サービス別のコントロール数内訳
「AWS 基礎セキュリティのベストプラクティス」は 205 のチェック項⽬
（2023年2⽉20⽇時点）

View Slide

11
EC2.19
[CRITICAL] セキュリティグループは、リスクの⾼いポートへの無制限のアクセス
を許可してはならない
次のポートに関して全ての送信元IPアドレス開放
20, 21 (FTP)
22 (SSH)
23 (Telnet)
25 (SMTP)
110 (POP3)
135 (RPC)
143 (IMAP)
445 (CIFS)
1433, 1434 (MSSQL)
3000 (Go, Node.js, Ruby)
3306 (MySQL)
3389 (RDP)
4333 (ahsp)
5000 (Python)
5432 (postgresql)
5500 (fcp-addr-srvr1)
5601 (OpenSearch)
8080 (proxy)
8088 (レガシー HTTP)
8888 (代替 HTTP)
9200, 9300 (OpenSearch)
検知理由対応例
修正
修正

View Slide

12
S3.2
[HIGH] S3 バケットはパブリック読み取りアクセスを禁⽌する必要があります
S3 バケットをインターネットに直接公開 CloudFront を利⽤して S3 のデータを公開
または、
⼀時的な資料配布だったためリスク許容
追加設定変更

View Slide

13
S3.2
[HIGH] S3 バケットはパブリック読み取りアクセスを禁⽌する必要があります
S3 バケットをインターネットに直接公開 CloudFront を利⽤して S3 のデータを公開
または、
⼀時的な資料配布だったためリスク許容
追加設定変更
意図せず公開されている場合もある︕

View Slide

14
参考情報
AWS Security Hub 関連ブログ
https://dev.classmethod.jp/articles/lets
-learn-aws-security-hub/
https://dev.classmethod.jp/referencecat/securityhub-fsbp-remediation/

View Slide

15
Amazon GuardDuty

View Slide

16
Amazon GuardDuty とは
ユーザー操作ログや通信ログを継続的にモニタリングして、悪意があると
疑われるアクティビティを検出するサービス
C&C (Command & Control) サーバとの通信を検知

View Slide

17
Amazon GuardDuty の検知
リソースやアカウントに対する脅威の検知例
- C&C サーバとの通信
- SSH / RDP ブルートフォースアタック
- 既知の悪意のある IP アドレスから API の呼び出し（操作）
- AWS CloudTrail のログ配信が無効化
対応リソースタイプ︓EC2、IAM
オプションの保護 ︓S3、EKS、RDS、マルウェア検出
重要度 ︓HIGH (⾼)、MEDIUM (中)、LOW (低)

View Slide

18
検知への対応
検知内容への対応イメージ
注意︓Amazon GuardDuty は検知であり、対処は含まれません
例えば、マルウェアの隔離は⾏われません
検知対処
アーカイブ・抑制
検知結果の確認
過検知
問題あり
通知

View Slide

19
参考情報
Amazon GuardDuty 関連ブログ
https://dev.classmethod.jp/articles/re-
introduction-2022-amazon-guardduty/
security-operation-with-guardduty-2021/

View Slide

20
Security Hub と GuardDuty の検知の違い

View Slide

21
Security Hub︓リソースの設定項⽬（Configuration）を確認
設定項⽬（Configuration）※
"configuration": {
"attachments": [
{
"device": "/dev/xvda",
"instanceId": "i-99999999999999999”
}
],
"availabilityZone": "ap-northeast-1a",
"encrypted": true,
"size": 8,
"iops": 3000,
"volumeType": "gp3",
"throughput": 125
}, ※簡略化しています

View Slide

22
Security Hub︓リソースの設定項⽬（Configuration）を確認
GuardDuty ︓VPC フローログ、CloudTrail イベントログ、DNS ログ等を確認
通信ログ（VPC フローログ）
イベントログ（AWS CloudTrail ログ）

View Slide

23
設定項⽬（Configuration）※
"configuration": {
"attachments": [
{
"device": "/dev/xvda",
"instanceId": "i-99999999999999999”
}
],
"availabilityZone": "ap-northeast-1a",
"encrypted": true,
"size": 8,
"iops": 3000,
"volumeType": "gp3",
"throughput": 125
}, ※簡略化しています
通信ログ（VPC フローログ）
イベントログ（AWS CloudTrail ログ）
Security Hub︓リソースの設定項⽬（Conﬁguration）を確認
GuardDuty ︓VPC フローログ、CloudTrail イベントログ、DNS ログ等を確認
両⽅使いましょう︕

View Slide

24
失敗例から学ぶ
Security Hub / GuardDuty 導入時の考慮事項

View Slide

25
ここからは
失敗例・悩みとその改善例を紹介します

View Slide

26
どのような状況でも効果がある対策は
ありませんが、
失敗例を知っておくことで教訓を生かして
検討がスムーズになる場合があります

View Slide

27
それでは失敗例を見ていきます

View Slide

28
すべてのチェック項目を満たそうとして
疲弊する
GuardDuty
Security Hub

View Slide

29
失敗例・悩み
全ての項⽬に必ず対応しなければいけないという思い込みにより疲弊してしまう
コントロール数は継続的に増えており、⼀度にすべて対応するのは難しい
対応には AWS に対する習熟が必要なときもある
205
31
GuardDuty
Security Hub
2年10ヶ⽉

View Slide

30
改善例①
チェック項⽬（コントロール）をすべて満たすことは必須ではない
ベストプラクティスは、あくまで理論上の最善である
対応コストに⾒合わない場合もある
対応しないコントロールは無効化（チェック項⽬から除外）できる
コントロール内で特定リソースだけ抑制できる
無効化
抑制
GuardDuty
Security Hub

View Slide

31
改善例①
社内セキュリティポリシーに応じて利⽤するコントロールを選定することが
望ましいが、難しい場合もある（ポリシーの抽象度が⾼い、オンプレ前提など）
重要度で選定することもある（例︓CRITICAL, HIGH だけ対応）
CRITICAL
HIGH
MEDIUM
LOW
GuardDuty
Security Hub

View Slide

32
改善例①
導⼊事例をアウトプットしている企業もあり、コントロール選定の参考にできる
DevelopersIO のブログでも紹介されている
https://dev.classmethod.jp/articles/
securityhub-9-new-controls-2022-
12-22/
securityhub-fsbp-updates-2022-02-
04/
クラスメソッドメンバーズのお客様は Classmethod Cloud Guidebook で⼀覧を⾒れます
GuardDuty
Security Hub

View Slide

33
リリース後 / 直前に有効化した結果
対処できない
GuardDuty
Security Hub

View Slide

34
失敗例・悩み
構成変更が必要な項⽬、稼働中の対応が難しい項⽬に対処できないパターン
例えば、次の項⽬ではインスタンスの停⽌が必要となる場合がある
[EC2.3] 添付済みの EBS ボリュームは、保管中に暗号化する必要があります
０．EC2 インスタンスを停⽌（もしくは静⽌点を作成）
１．スナップショットを作成
２．スナップショットをコピーし、その際に暗号化を有効化
３．コピーしたスナップショットからEBSボリュームを作成
４．暗号化されたEBSボリュームをEC2インスタンスにアタッチ
【参考】【Security Hub修復⼿順】[EC2.3] 添付済みの EBS ボリュームは、保管中に暗号化する必要があります
GuardDuty
Security Hub

View Slide

35
改善例①
開発初期から Security Hub を利⽤する
組織的な対応としてアカウント作成時の初期設定に含めることも多い
aws-security-operation-bestpractice-
on-secure-account/
クラスメソッドメンバーズのセキュアアカウントの初期設定サービス
GuardDuty
Security Hub

View Slide

36
最初だけ頑張ってあとは放置
GuardDuty
Security Hub

View Slide

37
失敗例・悩み
導⼊時は稼働・体制を確保してしっかり対応したが
その後は放置して新しいコントロールに対応できていないパターン
継続的に対応することで効果を最⼤化できる
205
31
136
1年前に導⼊
未対応のコントール
(新規コントロールを⾃動で有効化する
設定の場合はセキュリティスコアが下
がって気づくこともある)
GuardDuty
Security Hub

View Slide

38
改善例①
1週間〜 1ヶ⽉に⼀度など、定期的に失敗したリソースの対応検討や
新しいコントロールへの対応⽅針を話す時間を事前に確保する
判断を早くするために関係者（インフラ、アプリ、セキュリティ担当など）が
揃っていると進みやすい
【参考】Security-JAWS（YouTube で過去の勉強会を視聴できる）
AWS Security Hubをちゃんと運⽤した話
GuardDuty
Security Hub

View Slide

39
改善例②
Security Hub 対応を組織・プロジェクトの KPI として定める
そのためには、マネジメント層の理解が重要となる
マネジメント層にセキュリティの AWS トレーニングを受講してもらい、
意識付けする場合もある
aws-training-guide2/
AWS Security Essentials 〜セキュリティ基礎1⽇コース〜
GuardDuty
Security Hub

View Slide

40
有効化するだけで満足してしまう
Security Hub GuardDuty

View Slide

検知対処
過検知
問題あり
通知
41
失敗例・悩み
GuardDuty を有効化しただけで終わるパターン
通知設定をしていないので、有効化していることも忘れてそのうち⾒なくなる
ここで⽌まっている

View Slide

42
改善例①
メールやチャットツールに通知する、チケット管理システムに登録する
【参考】EventBridge API Destinationsを使ってGuardDuty検知をBacklogに⾃動起票してみた
https://dev.classmethod.jp/articles/guard
duty-notification-via-securityhub/
Slack への通知例

View Slide

43
通知が多すぎて見なくなる
（GuardDuty）

View Slide

44
失敗例・悩み
複数のアカウントで運⽤している場合や公開システムが多い環境では
通知が多くなる場合がある

View Slide

45
改善例①
過検知が何度も発⽣する場合は抑制を検討する
抑制は、条件を組み合わせ設定できる
- 検出結果タイプ＋ EC2インスタンスID
- 検出結果タイプ＋送信元IPアドレスなど
参考）GuardDutyの抑制ルールを活⽤してセキュリティ検知のノイズを減らす
検知対処
過検知
問題あり
通知

View Slide

46
改善例②
重要度毎に通知先を変更して、視認性をよくする
【参考】GuardDutyの通知が重要度でフィルター可能になりました
重要度別にGuardDutyをSlackに通知してみた
HIGH
MEDIUM
LOW
aws-guardduty-high
aws-guardduty-medium
aws-guardduty-low
⼀部の検出結果タイプは異なるチャンネルに通知（作り込みが必要）
重要度 Slack チャンネル

View Slide

47
改善例③
GuardDuty 単独で導⼊ではなく Security Hub とセットで導⼊・対応する
Security Hub のに対応するだけでも
GuardDuty の通知は数件/⽉/アカウント程度になることが多い印象
例えば
UnauthorizedAccess:EC2/SSHBruteForce
UnauthorizedAccess:EC2/RDPBruteForce
の通知の低減が期待できる
対応
HIGH
CRITICAL

View Slide

48
通知が多すぎて見なくなる
（Security Hub）
GuardDuty
Security Hub

View Slide

49
失敗例・悩み
Security Hub の単純な通知設定ではコントロール 1 個に対してメールが⼀通
送信されることから、こうなりがち
⼀度に数⼗件以上の通知
全選択して既読っと
よし︕仕事しよう
GuardDuty
Security Hub

View Slide

50
改善例①/②
重要度でフィルタして現実的な対応数に絞る → 落ち着いたら徐々に拡⼤
重要度毎に通知先を変更して視認性をよくする、低い重要度は通知しない
【参考】Security Hubの通知を重要度でフィルタリング設定する
CRITICAL
HIGH
MEDIUM
CRITICAL CRITICAL
HIGH
CRITICAL
HIGH
MEDIUM
LOW
CRITICAL
HIGH
MEDIUM
LOW
aws-security-hub-critical
aws-security-hub-high
重要度 Slack チャンネル
GuardDuty
Security Hub

View Slide

失敗のコントロール数をサマリにして通知（作り込みが必要）
定期的に確認する前提で Security Hub は通知しない判断もある
通知する仕組みの維持管理負担も少なからず発⽣するため
51
改善例③/④
緊急︓ 1件
⾼ ︓ 3件
中 ︓10件
低 ︓ 4件
A-Project 111111111111 1件
B-Project 222222222222 10件
C-Project 333333333333 4件
GuardDuty
Security Hub
実現⽅法を
確認中

View Slide

52
インシデントと判断したが
何をすればよいか分からない

View Slide

53
失敗例・悩み
GuardDuty の検知からインシデントと判断したが、
どう対処すればよいか分からない、社内のエスカレーション先が分からない
対応が遅れている間に、情報漏えいやマイニングによる料⾦の被害が⼤きなる
可能性がある

View Slide

54
改善例①
事前にインシデント対応フローを整理しておく
組織内の既存インシデント対応フローとの整合性を確保する
参考になるドキュメント
AWS Security Incident Response Guide
- インシデント対応の基本事項の概要
- オンプレミスと異なる点の説明
- Appendix として対応 Playbook のサンプル
security-incident-response-guide/

View Slide

55
改善例①
【参考】JPCERT/CC
インシデントハンドリングマニュアル
CSIRT 運⽤やインシデントハンドリングに
関するフロー、知⾒、ノウハウが掲載
されている

View Slide

56
改善例①
インシデントが発⽣したシステムの担当者の対応を整理しておく
AWS 全体管理者セキュリティ部⾨セキュリティパートナー
プロジェクト担当経営層
インシデント報告
連携
調査依頼
連携して対応
検出結果タイプ⼀次対応・⼿順エスカレーション先
Backdoor:EC2/C&CActivity.B
Backdoor:EC2/C&CActivity.B!DNS
マルウェア感染を確認した場合、
EC2 インスタンスを隔離
（⼿順のリンク）
【Tel】セキュリティ部⾨
【Mail】To︓セキュリティ部⾨ ML
Cc︓AWS全体管理者 ML
Cc︓マネージャー
対応イメージ

View Slide

57
改善例①
組織内のクラウド運⽤を CCoE などの全体管理者と役割分担している場合、
インシデント対応は連携して対応する必要がある
AWS 全体管理者側でインシデントを検知して対応開始となることもある
役割分担して AWS 運⽤
連携
調査依頼
連携して対応

View Slide

58
改善例①
⼀次対応や影響調査に関するスキルの事前習熟が望ましい
AWS CloudTrail や Amazon CloudWatch Logs の調査⽅法の把握
調査を効率化できる Amazon Detective の利⽤の検討
連携
調査依頼
連携して対応

View Slide

59
改善例①
影響調査をするには CloudTrail イベントログなどの検索が必要となるため
事前に習熟しておく
マネジメントコンソールからアクセスキーの利⽤を検索
マネジメントコンソールのイベント履歴は 90 ⽇間のみ
検索条件も限定的なため、詳細な調査ができるように S3
に出⼒して Athena で検索できる状態が望ましい
Athena の CloudTrail イベントログの検索
アクセスキーIDを使⽤してアクティビティをフィルタングする例
【参考】特定の IAM ユーザー、ロール、および AWS アクセス
キーのアカウントアクティビティをモニタリングするに
はどうすればよいですか?
SELECT eventTime, eventName, userIdentity.principalId,eventSource
FROM athena-table
WHERE useridentity.accesskeyid like 'AKIAIOSFODNN7EXAMPLEʼ
AND eventTime >= '2023-02-05T00:00:00.000Z'
AND eventTime <= '2023-02-06T00:00:00.000Z'

View Slide

60
改善例①
フォレンジック調査の依頼を迅速に⾏うために、
事前にセキュリティパートナーとの連携⽅法を整備しておくこともある
フォレンジックサービスの提供企業を探すときは IPA の公開ページが役⽴つ
情報セキュリティサービス基準適合サービスリストの公開
連携
調査依頼
連携して対応

View Slide

61
コストが思ったより高くなった

View Slide

62
失敗例・悩み
事前のコスト試算は難しく、想定コストと乖離する場合がある
特に、リソース作成/削除が多い環境は Security Hub のチェック回数が多くなる
https://aws.amazon.com/jp/security-hub/pricing/
AWS Security Hub の料⾦ Amazon GuardDuty の料⾦
https://aws.amazon.com/jp/guardduty/pricing/

View Slide

63
改善例①
無償期間の 30 ⽇間でコストを把握する
Security Hub / GuardDuty を全リージョンで有効化する場合、
よく使うリージョン、グローバルリソースがあるバージニア北部リージョン、
あまり使わないリージョンでそれぞれのコストを把握しておくとよい
Security Hub の使⽤状況の例 GuardDuty の使⽤状況の例

View Slide

64
改善例②
Security Hub は必要に応じて次のコスト削減策ができる
- チェック回数を減らすためにコントロールの無効化
- Security Hub の利⽤前提で有効化する必要のある AWS Config の
コスト削減のために記録リソースを制限（上級者向け）

View Slide

65
組織内に導入したが対応してもらえない

View Slide

66
失敗例・悩み
組織内の全ての AWS アカウントに導⼊したが、対応してもらえない

View Slide

67
改善例①
1週間〜 1ヶ⽉に⼀度など、定期的に失敗したリソースの対応検討や
新しいコントロールへの対応⽅針を話す時間を事前に確保する
判断を早くするために関係者（インフラ、アプリ、セキュリティ担当など）が
揃っていると進みやすい
【参考】Security-JAWS（YouTube で過去の勉強会を視聴できる）
AWS Security Hubをちゃんと運⽤した話
GuardDuty
Security Hub
再掲

View Slide

68
改善例②
Security Hub 対応を組織・プロジェクトの KPI として定める
そのためには、マネジメント層の理解が重要
マネジメント層にセキュリティの AWS トレーニングを受講してもらい、
意識付けする場合もある
aws-training-guide2/
AWS Security Essentials 〜セキュリティ基礎1⽇コース〜
GuardDuty
Security Hub
再掲

View Slide

69
改善例③
Security Hub の重要なチェック項⽬の対応放置は、
時間経過でプロジェクト管理者への通知や経営層が出席する会議に付議する
プロジェクト担当者プロジェクト管理者経営陣
AWS 全体管理者
会議に付議
通知
通知
0〜1⽇
1ヶ⽉
6ヶ⽉
GuardDuty
Security Hub

View Slide

70
改善例④
通知を⾒やすく加⼯する
何も加⼯しなければ JSON 形式のため中⾝を⾒ようと思われない
【参考】GuardDutyからのイベント通知をちょっと⾒やすくして通知する
Security Hub イベントを⾒やすく加⼯して Eメール通知してみる

View Slide

ポジティブな通知や達成のお祝いをしてモチベーションを上げる
71
改善例⑤
https://dev.classmethod.jp/articles/dev
io-2022-how2make-strongest-aws-
secure-accounts/
スコアを低い順ではなく⾼い順に表⽰達成はみんなでお祝い
周りの巻き込み⽅の紹介
具体的なアクションをリクエストする通知
GuardDuty
Security Hub

View Slide

72
改善例⑥
システムの重要度に応じて満たすべきコントロールを変更する
最も厳しい要件のシステム（⼈命に関わるシステム、重要情報を扱うシステムなど）を
中⼼に⼀律で社内ルールが定められている場合、ビジネススピードが遅くなる
懸念がある
GuardDuty
Security Hub
個⼈情報、お客様情報を扱うシステムその他のシステム
コントロール
コントロール
コントロール
コントロール
コントロール
コントロール
コントロール
コントロール
コントロール
コントロール
コントロール

View Slide

73
AWS Control Tower 注目の機能
Security Hub を⾃由に設定・運⽤したいプロジェクト担当と、
最低限満たしてほしいコントロールがある全体管理者の要望を両⽴できる機能
GuardDuty
Security Hub
AWS 基礎セキュリティのベストプラクティス v1.0.0
CIS AWS Foundations Benchmark v1.2.0
CIS AWS Foundations Benchmark v1.4.0
PCI DSS v3.2.1
サービスマネージド標準: AWS Control Tower
プロジェクト担当者
AWS 全体管理者
【参考】 [アップデート]AWS Security Hubのセキュリティ標準で『Service-Managed
Standard: Control Tower』が利⽤可能になりました

View Slide

74
その他

View Slide

75
その他いろいろ
■AWS 基礎セキュリティベストプラクティス (AFSBP) で⼗分だったため、
後からデフォルト有効化されている CIS Benchmark v1.2 基準を無効化したく
なったが、組織内でセキュリティを弱める判断を下すのが難しい
→ AFSBP は項⽬数が多く、CIS Benchmark と被っている内容もあるため
まずは AFSBP で運⽤してみて他基準を検討する進め⽅もある
■Security Hub のコントロールに対応する AWS Conﬁg のリソースが記録されて
おらず、チェックできていなかった
→ AWS Conﬁg の記録リソースは全てのリソースが推奨である
ただし、コストが許容できない場合は記録リソースの精査も要検討となる

View Slide

76
その他いろいろ
■Security Hub / GuardDuty の機能が組織内の運⽤⽅針と合わずに利⽤し
なくなった
→ 運⽤をサービスに合わせる
サードパーティ製品の利⽤を検討する
ぜひ機能改善要望を出してください︕

View Slide

77
さいごに

View Slide

78
さいごに
AWS セキュリティサービスの導⼊に関する失敗例・悩みを紹介しました
世の中のキラキラした成功事例ばかりが気になってしまいがちですが、
成功事例になるまでには多くの失敗もあったのではないかと思います
本セッション内容が、少しでも前進するためのヒントになれば幸いです

View Slide

79
謝辞
失敗事例のご提供をありがとうございました

View Slide

yhana
AWS事業本部コンサルティング部
エキスパートソリューションアーキテクト
2022 APN AWS Top Engineers (Security)
80
自己紹介

View Slide

View Slide

失敗例から学ぶAWSセキュリティサービスの導入

失敗例から学ぶAWSセキュリティサービスの導入

yhana

More Decks by yhana

Other Decks in Technology

Featured

Transcript