Upgrade to Pro — share decks privately, control downloads, hide ads and more …

TAMとre:Capセキュリティ編 〜拡張脅威検出デモを添えて〜

fujiihda
February 17, 2025
Technology
1
180

TAMとre:Capセキュリティ編 〜拡張脅威検出デモを添えて〜

本資料は 2025/02/17 の「Security-JAWS【第36回】 勉強会」の発表資料です。

■発表動画
https://www.youtube.com/watch?v=23y2U_IKY14&t=1199s

fujiihda

February 17, 2025
Tweet

More Decks by fujiihda

See All by fujiihda
攻撃しながら考えるKubernetesセキュリティ / Considering Kubernetes Security While Attacking 2
fujiihda
10
2.5k
感謝の正拳突き(セキュリティ) / Security Muscle Training
fujiihda
4
2.1k
攻撃しながら考えるKubernetesのセキュリティ / Considering Kubernetes Security While Attacking
fujiihda
16
5.7k
1893件以上のカーネルの不具合修正に貢献した再現用プログラムを自動生成するsyzkallerのテスト自動化技術 / syzkaller Kernel VM Kansai 10th
fujiihda
8
1.8k
OSの機能から考えるコンテナセキュリティ / Considering Container Security
fujiihda
8
3k
Linuxカーネルのファジングツールsyzkaller / Linux kernel fuzzing tool syzkaller
fujiihda
2
3.1k

Other Decks in Technology

See All in Technology
7日間でハッキングをはじめる本をはじめてみませんか?_ITエンジニア本大賞2025
nomizone
2
1.7k
インフラをつくるとはどういうことなのか、 あるいはPlatform Engineeringについて
nwiizo
5
2.4k
Googleマップ/Earthが一般化した
地図タイルのイマ
mapconcierge4agu
1
200
君も受託系GISエンジニアにならないか
sudataka
2
410
偶然 × 行動で人生の可能性を広げよう / Serendipity × Action: Discover Your Possibilities
ar_tama
1
990
滅・サービスクラス🔥 / Destruction Service Class
sinsoku
6
1.6k
関東Kaggler会LT: 人狼コンペとLLM量子化について
nejumi
3
540
Helm , Kustomize に代わる !? 次世代 k8s パッケージマネージャー Glasskube 入門 / glasskube-entry
parupappa2929
0
210
目の前の仕事と向き合うことで成長できる - 仕事とスキルを広げる / Every little bit counts
soudai
24
6.6k
Postmanを使いこなす!2025年ぜひとも押さえておきたいPostmanの10の機能
nagix
2
140
SA Night #2 FinatextのSA思想/SA Night #2 Finatext session
satoshiimai
1
130
転生CISOサバイバル・ガイド / CISO Career Transition Survival Guide
kanny
3
920

Featured

See All Featured
10 Git Anti Patterns You Should be Aware of
lemiorhan
PRO
656
59k
Being A Developer After 40
akosma
89
590k
Understanding Cognitive Biases in Performance Measurement
bluesmoon
27
1.5k
Optimizing for Happiness
mojombo
376
70k
Done Done
chrislema
182
16k
A designer walks into a library…
pauljervisheath
205
24k
Documentation Writing (for coders)
carmenintech
67
4.6k
Building Flexible Design Systems
yeseniaperezcruz
328
38k
Save Time (by Creating Custom Rails Generators)
garrettdimon
PRO
29
1k
Distributed Sagas: A Protocol for Coordinating Microservices
caitiem20
330
21k
For a Future-Friendly Web
brad_frost
176
9.5k
How to Ace a Technical Interview
jacobian
276
23k

Transcript

  1. © 2025, Amazon Web Services, Inc. or its affiliates. All

    rights reserved. TAM と re:Cap セキュリティ編 〜拡張脅威検出デモを添えて〜 Hideyuki Fujii Technical Account Manager 2025/02/17 1 Security-JAWS #36

  2. © 2025, Amazon Web Services, Inc. or its affiliates. All

    rights reserved. 本セッションは Amazon GuardDuty の拡張脅威検出をはじめ とする re:Invent 2024 で発表された内容を取り扱います。 従来、攻撃の兆候を⽰す「点」の情報を検知するサービスで あった GuardDuty に、拡張脅威検出機能が加わることで、点 と点を組み合わせた「線」として、インシデント対応者が問題 の全体像を把握しやすくなることを紹介します。 また、 AWS Security Incident Response、メンバーアカウン トのルートユーザー管理、⼆種類の新しいポリシーと各ポリ シーの⽐較についても紹介します。 本セッションについて 2

  3. © 2025, Amazon Web Services, Inc. or its affiliates. All

    rights reserved. ⾃⼰紹介 藤井 秀⾏ アマゾンウェブサービスジャパン テクニカルアカウントマネージャー 3 好きな AWS サービス︓ AWS Support エンタープライズサポートをご契約の企業を 技術の観点でご⽀援しています。

  4. © 2025, Amazon Web Services, Inc. or its affiliates. All

    rights reserved. 1. AWS Security Incident Response 2. AWS Organizations でのルートユーザーアクセスの中央管理 3. AWS Organizations で2種類の新しい管理ポリシー ・リソースコントロールポリシー ・宣⾔型ポリシー 4. Amazon GuardDuty での拡張脅威検出 (デモあり) ご紹介するアップデート 4

  5. © 2025, Amazon Web Services, Inc. or its affiliates. All

    rights reserved. AWS Security Incident Response • お客様のインシデントレスポンスを⽀援する新しい サービス • Amazon GuardDuty, AWS Security Hub と連携し セキュリティ上の検出事項について、サービス側 でトリアージ • インシデント対応を⼀元管理し、対応を迅速化 • AWS Customer Incident Response Team (CIRT) に 24 時間アクセスでき、エスカレーション可能 • ユーザー様セキュリティ担当者がインシデント対 応を⾏う際に⽣じる活動をAWS CIRTがサポート • 東京リージョン対応 (現時点では英語のみ) 5 https://aws.amazon.com/jp/blogs/aws/new-aws-security-incident-response- helps-organizations-respond-to-and-recover-from-security-events/ ⼀ 般 利 ⽤ 開 始

  6. © 2025, Amazon Web Services, Inc. or its affiliates. All

    rights reserved. AWS Organizationsでのルートユーザーアクセスの中央管理 ルートクレデンシャル管理を組織内で簡潔化 • これまで⾮常に強い権限を持つ AWS アカウントのルートユーザーの認証情報は 厳密な管理が強く推奨されていた • 今回の中央管理機能により Organizations の管理者はメンバーアカウントの ルートユーザー認証情報をそもそも削除することで、MFA デバイスの管理や パスワードローテーションなどの管理作業が不要に • なお、メンバーアカウントでのルートユーザーMFA必須化は2025年3⽉24⽇から 代替の特権アクセス • ロックされた S3 バケットの復旧などの特権アクセスは スコープの制限された⼀時クレデンシャルで実施可能 6 https://aws.amazon.com/about-aws/whats-new/2024/11/manage-root-access-aws-identity-access-management/ ⼀ 般 利 ⽤ 開 始

  7. © 2025, Amazon Web Services, Inc. or its affiliates. All

    rights reserved. AWS Organizationsでのリソースコントロールポリシー 7 組織内リソースに対する権限のガードレールを定義し全てのリソースを保護 例えば︓S3 バケットへの TLS アクセス強制や組織外からのアクセス禁⽌などの 制御を組織単位で管理可能 既存のサービスコントロールポリシー (SCP) を補完する位置付けだが、独⽴して利⽤可能 SCP が IAM ロールなどのプリンシパルに付与 する権限を制限するのに対し、RCP ではリソ ースに対してアクセスを制限 例えば、組織外のプリンシパルから⾃組織の S3 バケットに対するアクセス禁⽌が可能 ⼀ 般 利 ⽤ 開 始 https://aws.amazon.com/about-aws/whats-new/2024/11/resource-control-policies-restrict-access-aws-resources/

  8. © 2025, Amazon Web Services, Inc. or its affiliates. All

    rights reserved. AWS Organizationsでの宣⾔型ポリシー • AWS Organizationsで利⽤できる新しい管理ポリ シーとして、宣⾔型ポリシーが⼀般利⽤開始に • たとえば「VPCのパブリックアクセスを禁⽌す る」といったポリシーをアタッチし、組織内に適 ⽤し状況把握が可能 • ポリシーに反する操作を実⾏しようとしたユーザ には、カスタマイズ可能なメッセージを表⽰。ど う対応すべきかをガイドできる • 適⽤前にステータスレポートの⽣成も可能 • 2025年2⽉時点ではEC2/EBS/VPCをサポートし、 他のサービスは順次対応予定 8 https://aws.amazon.com/about-aws/whats-new/2024/12/aws-declarative-policies ⼀ 般 利 ⽤ 開 始

  9. © 2025, Amazon Web Services, Inc. or its affiliates. All

    rights reserved. (参考) 各ポリシーの⽐較 サービスコントロールポリシー リソースコントロールポリシー 宣⾔型ポリシー ⽬的 組織の全ての IAM プリンシパルの アクセス権を中央で制御 組織の全てのリソースの アクセス権を中央で制御 AWSサービスのベースライン設定 を中央管理 アプローチ プリンシパルに付与する 最⼤の権限をAPIレベルで定義 リソースに付与する最⼤の アクセス許可をAPIレベルで定義 AWSサービスのあるべき設定を APIに依存せずに強制 Service- linked role の制御 No No Yes エラー メッセージ カスタマイズ不可 カスタマイズ不可 エラーメッセージのカスタマイズ が可能 例 特定リージョンへのアクセスを 禁⽌ リソースへの暗号化されていない 通信を禁⽌ 許可された AMI 以外の起動を制限 9 サービスコントロールポリシーが組織内のプリンシパルに対してのアクセス許可を⼀元的に制御で きるように、リソースコントロールポリシーは組織内のリソースの単位で⼀元的にアクセス許可を 制御できる。宣⾔型ポリシーは、組織内のサービスの設定のあるべき姿を定義することで設定を簡 素化できる。

  10. © 2025, Amazon Web Services, Inc. or its affiliates. All

    rights reserved. (参考) 2025年2⽉時点でサポートされるポリシー • VPC Block Public Access • インスタンスの Serial Console アクセスの制御 • 組織内で利⽤可能な AMI • デフォルトの IMDS バージョン • AMI の Public Access のブロック • スナップショットの Public Access のブロック 10

  11. © 2025, Amazon Web Services, Inc. or its affiliates. All

    rights reserved. Amazon GuardDuty で拡張脅威検出機能を発表 • ⾼度な多段階攻撃を検知・特定できる拡張脅威検出 機能が利⽤可能に • ⼀つ⼀つの検出結果の関連性を分析して⼀連の攻 撃を多段階攻撃として検出できるようになった • ⻑期間にわたって複数のリソースやデータソース を対象にするような攻撃を「攻撃シーケンス」と してカバー • ⼀つの検出結果⾃体は重⼤度が低いが、重要な攻 撃のシグナルとなりうるものを⾒過ごすことなく 発⾒できるように • 拡張脅威検出は追加コストなしでデフォルト有効化 (保護プランの⼿動有効化で検出範囲が増える設計) 11 https://aws.amazon.com/jp/blogs/aws/introducing-amazon-guardduty-extended-threat- detection-aiml-attack-sequence-identification-for-enhanced-cloud-security/ ⼀ 般 利 ⽤ 開 始

  12. © 2025, Amazon Web Services, Inc. or its affiliates. All

    rights reserved. (参考) Amazon GuardDuty ワンクリックで⾃動的にログを分析し、AWS アカウントとワークロードに対する 不審なアクティビティを継続的にモニタリングすることができる脅威検知サービス 12 AWS 上のシステム・リソース ユーザー / アカウント (AWS IAM) オブジェクトストレージ (Amazon S3) Database (Amazon RDS) インスタンス (Amazon EC2) コンテナ (Amazon ECS/EKS) サーバーレス (AWS Lambda) GuardDuty による⾃動分析・検出 検出結果 基礎データソース CloudTrail Log VPC flow logs DNS logs 追加データソース EKS audit logs Lambda NW Logs EBS Snapshot RDS login activity EC2 agent S3 data plane event 機械学習ベースの アノマリ検知 脅威インテリジェンス マルウェアスキャン セキュリティ 担当者 / 運⽤担当者 ⾃動化システム SIEM / SOARなど

  13. © 2025, Amazon Web Services, Inc. or its affiliates. All

    rights reserved. (拡張脅威検出のデモ) 13

  14. © 2025, Amazon Web Services, Inc. or its affiliates. All

    rights reserved. (参考) インシデント調査は Amazon Detective が本職では︖ • 回答︓はい、その通りです。それぞれ使い所の軸⾜が違います。差分が気になる ⽅はぜひ先⽇リリースされた Blackbelt Online Seminar をご参照ください。 Amazon Detective【AWS Black Belt】 https://www.youtube.com/watch?v=BJGoaeJQQGE Amazon GuardDuty 基礎編【AWS Black Belt】 https://www.youtube.com/watch?v=xl4fJzj4wNI 14

  15. © 2025, Amazon Web Services, Inc. or its affiliates. All

    rights reserved. • AWS Security Incident Response はお客様のインシデントレスポ ンスを⽀援 • メンバーアカウントのルートユーザー認証情報を削除することで個 別の管理作業が不要に • 2種類の新しい管理ポリシーによってさらに厳密な統制が可能に • 拡張脅威検出によって単発の脅威の組み合わせを⼀連の攻撃シーケ ンスとしてひとまとめにして扱えるように まとめ 15