Upgrade to Pro
— share decks privately, control downloads, hide ads and more …
Speaker Deck
Features
Speaker Deck
PRO
Sign in
Sign up for free
Search
Search
AWS Buildercardsで学ぶセキュリティの攻防
Search
ウタカタ
July 16, 2026
26
0
Share
Embed
Copy iframe code
Copy JS code
Copy link
Start on current slide
AWS Buildercardsで学ぶセキュリティの攻防
ウタカタ
July 16, 2026
More Decks by ウタカタ
See All by ウタカタ
AWS Ground Stationの無限の可能性
awanoju_nin
1
53
Refine My Approach
awanoju_nin
0
46
Featured
See All Featured
Learning to Love Humans: Emotional Interface Design
aarron
275
41k
Color Theory Basics | Prateek | Gurzu
gurzu
0
390
HDC tutorial
michielstock
2
740
Data-driven link building: lessons from a $708K investment (BrightonSEO talk)
szymonslowik
1
1.2k
JAMstack: Web Apps at Ludicrous Speed - All Things Open 2022
reverentgeek
1
490
Fashionably flexible responsive web design (full day workshop)
malarkey
408
67k
Chrome DevTools: State of the Union 2024 - Debugging React & Beyond
addyosmani
10
1.2k
Lessons Learnt from Crawling 1000+ Websites
charlesmeaden
PRO
1
1.3k
Code Review Best Practice
trishagee
74
20k
A Soul's Torment
seathinner
6
3k
Exploring the relationship between traditional SERPs and Gen AI search
raygrieselhuber
PRO
2
4.1k
A Modern Web Designer's Workflow
chriscoyier
698
190k
Transcript
AWS BuilderCardsで学ぶ セキュリティの攻防 ウタカタ(@awanoju_nin) Security.any #11 灼熱の攻防セキュリティLT (2026/07/16)
自己紹介 • ウタカタ(@awanoju_nin) • 都内IT企業所属の25卒エンジニア • 業務…某Slerの運用監視(AWS) • 趣味…料理・ダンス・バスケ •
セキュリティ歴…ほぼなし(脆弱性診断するぐらい) • 好きなAWSサービス…CloudWatch, Ground Station • 好きなセキュリティの用語…真正性 • 興味があるセキュリティの分野…NWセキュリティ・SRE ※ Xのアイコン 2
今回発表するきっかけ • 運営のキタジーさん経由でこのイベントを知りました 「エンジニアニメ」という イベントで知り合いました
アジェンダの前に
AWS BuilderCardsのゲーム性 • AWS BuilderCardsは限られた手札で最適なアーキテクチャを 組むゲーム • カードに記されている点数が基準を満たすと強いカード or ポ
イントと交換できる • さいごにポイントが高い人が勝利する
例えば…
セキュリティ拡張パック • セキュリティ拡張パックは通常のゲームにセキュリティ用の カードと新しいルールが追加されたもの • ポイントを引き換える際に、サイコロを振り、出た目で指定さ れたインシデントの種類の中から選択されたカードを選ぶ形式 • インシデントは4種類あり、それぞれ10枚ずつある •
インシデントにはDETECTION(検知)・RESPONSE(対応) の要素があり、これらの要素でしてされているAWSのサービス が設定したアーキテクチャに含まれていないとペナルティが発 生する
POLLY PACKET ・ネットワーク ・インフラ BAD DOGGO ・認証 ・認可 ・アカウント ZERO-DAY
RACCON ・アプリケーション ・ランタイム INSIDE CAT ・データ保護 ・プライバシー
セキュリティ拡張パック(再掲) • セキュリティ拡張パックは通常のゲームにセキュリティ用の カードと新しいルールが追加されたもの • ポイントを引き換える際に、サイコロを振り、出た目で指定さ れたインシデントの種類の中から選択されたカードを選ぶ形式 • インシデントは4種類あり、それぞれ10枚ずつある •
インシデントにはDETECTION(検知)・RESPONSE(対応) の要素があり、これらの要素でしてされているAWSのサービス が設定したアーキテクチャに含まれていないとペナルティが発 生する
セキュリティ拡張パック(再掲) • セキュリティ拡張パックは通常のゲームにセキュリティ用の カードと新しいルールが追加されたもの • ポイントを引き換える際に、サイコロを振り、出た目で指定さ れたインシデントの種類の中から選択されたカードを選ぶ形式 • インシデントは4種類あり、それぞれ10枚ずつある •
インシデントにはDETECTION(検知)・RESPONSE(対応) の要素があり、これらの要素でしてされているAWSのサービス が設定したアーキテクチャに含まれていないとペナルティが発 生する 検知・対応で多く登場するAWS サービスはゲームに限らずセキュリ ティで重要なサービスではないか
★アジェンダ • GuardDutyはなぜ広範囲に検知できるのか(5分) • 【小ネタ】ちょっと気になるCVEトピック(3分) • DDoS攻撃の種類とHTTP Slow攻撃について(5分)
GuardDutyはなぜ検知でき る領域が広いのか
AWS BuilderCardsのGuardDuty • ゲーム内でCloudWatchに次いで2番目の検知できる量がある (18/40) • 認証・認可のインシデントの全てでGuardDutyが検知している
Amazon GuardDutyとは • セキュリティの観点から脅威リスクを検知し機械学習で抑制 ルールを整備 • 分析のデータ…CloudTrailログ、VPCフローログ、DNSログ ソース AWS Black
Belt Online Seminar『 GuardDuty基礎編』から引用
認証・認可に強い理由 • CloudTrail…AWSのアカウントで行われた操作を記録し、ログ として証跡を残すことができるサービス • GuardDuty(機械学習による検知ルール設定)+CloudTrail (AWSアカウント内の作業証跡)=認証・認可のインシデント を検知するときに相性が良い
相性がいいGuardDuty + CloudTrail
検知範囲が広い理由 ⇒AWSのアカウントの操作を記録するCloudTrailとデータを基に 機械学習で抑制ルールを作れるGuardDutyは相性が良いため • VPCフローログやDNSログソースを活用するためネットワーク セキュリティも検知できる <用語> • VPCフローログ…VPC内のネットワークインターフェースを通 過するIPトラフィックを記録・収集する機能
• DNSログソース…DNSに対する問い合わせ履歴や処理結果の記 録元
GuardDutyの更なる機能 • 検出した脅威に優先度をつけることができる • マルウェア検知
【小ネタ】 ちょっと気になるCVE
None
Azure Orbital Spatioって何? • Azure Orbitalは地上局のクラウドサービス • Azureの文脈で語られるSpatioは「地理空間」という文脈で語 られる場合が多いらしい(断言できる情報はなく…) •
今回の脆弱性は危険なタイプのファイルの無制限アップロード に関する脆弱性 Spaticalは(空間 の)という意味。 Azure Mapsで語 られることもある
用語説明①地上局(Ground Station) ⇒人工衛星などの宇宙機との間で通信を行う為に地上に設置するパラ ボラアンテナとデータ送受信装置等を指す • 通信を行う場合は地上局と人口衛星 が通信を行える位置が合わさる必要がある ⇒例えば、ブラジルの上空に日本の 人工衛星があるときは通信できない(MRで解決) •
従来型の地上局はJAXAやNASAで使われる オンプレミスのサービスだったが、 クラウド化により一般でも利用できるようになった • Azure OrbitalやAWS Ground Stationが該当 22 (例)JAXA地上局
セキュリティの攻防は宇宙でも 繰り広げれるようになるかも…
宇宙空間での攻防…?
宇宙で戦争(攻防)と言えばガンダム • 宇宙空間のITインフラを攻撃するために、 モビルスーツが登場するだろうか… ex)AWSのアラブのリージョンは戦火の影響で 今も復旧しておらず • 声優の池田秀一さんが好きなので、 シャア・アズナブルのモビルスーツを 貼っておきます
本題に戻ります
DDos攻撃の種類と Slow HTTP攻撃
主なDDoS攻撃の種類 • TCPフラッド攻撃 • HTTPフラッド攻撃 • ACKフラッド攻撃 • DNSフラッド攻撃 •
Slow HTTP DoS攻撃 フラッド攻撃とは、ターゲッ トに大量のデータやリクエス トを送り付け、システムや ネットワークを過負荷にして サービスを妨害する攻撃
Slow HTTP DoS攻撃の概要 • サーバーのリソースを枯渇させるために意図的にHTTPリクエ ストを遅いペースで送る攻撃 • TCPセッションを占有することで通常ユーザーのアクセスを妨 害する •
大量のリソースを必要とする必要がないためDDoS攻撃ではな くDoS攻撃に含む場合もある
対策をBuilderCardsに聞いてみた • BuilderCardsによると… ・CloudFrontとWAFがいいらしい <用語の説明> • CloudFront…AWSのCDNサービス。Web コンテンツをキャッシュし、地理的に近い サーバーから配信することで低遅延が実現 •
WAF…Webアプリケーションファイアウォール の略で、アプリケーションを狙った攻撃を検知・ 防御する。レイヤー7(HTTP/HTTPS)で機能 ※スローロリスはSlow HTTP 攻撃を発生させるツール
AWS Cloud VPC User Amazon CloudFront AWS WAF ALB Amazon
EC2 Amazon EC2 AWS Shield
CloudFrontの効果 • CloudFrontを設置することでオリジンサーバーに直接接続しな い状態になり、Slow HTTP攻撃やスローロリスが届かない状態 にすることができる • キャッシュサーバーを複数使う特性上、攻撃の負荷分散につな がる ※CloudFrontを使えない場合は、オリジンサーバーのALBの
セッションタイムアウトの時間をデフォルトの60秒より短くす ることでSlow HTTP攻撃のサーバー負荷を抑える方法もある
AWS WAFで行うこと • 攻撃元のIPアドレスをWeb ACLで拒否する設定を作成する • ルールを設定し、リクエストに対する検査方法と、リクエスト が検査条件に一致した場合の処理を定義する ex) 海外からのリクエストを拒否するルールを設定する
まとめ • AWS BuilderCardsを使いセキュリティの学習を理解できた • GuardDutyの検知できる範囲が広い理由を理解した ⇒CloudTrailと相性が良いこと • Slow HTTP攻撃と対策について理解
⇒CloudFlontとWAFの設定
長時間のご清聴 ありがとうございました