【インフラエンジニアbooks】30分でわかる「AWS継続的セキュリティ実践ガイド」

Transcript

1. 30 分でわかる AWS 継続的セキュリティ実践ガイド # インフラエンジニア Books Hisashi Hibino /

   日比野 恒 ログスペクト株式会社

2. 2 事前アンケート結果 ご協力いただき、ありがとうございました！

3. 3 1. どのような人物なのか 2. 執筆に至った経緯 3. 本書の読み方 4. 本書の解説 5.

   総括 アジェンダ

4. 1. どのような人物なのか

5. 自己紹介 日比野 恒 - Hisashi Hibino @paburoo ログスペクト株式会社 Security Architect

   CISSP, CCSP, CISA, PMP, 情報処理安全確保支援士（000999） [書籍] ➢ Elastic Stack 実践ガイド [Logstash/Beats 編]（インプレス刊） ➢ AWS 継続的セキュリティ実践ガイド （翔泳社刊） [寄稿] ➢ セキュリティログ分析基盤活用入門（ITMedia） ➢ セキュリティ組織にデータ民主化を（ITMedia） ➢ ログスペクト株式会社の技術ブログ（Zenn） ➢ 個人の技術ブログ（Qiita） 5 5. 総括 4. 本書の解説 3. 本書の読み方 2. 執筆に至った経緯 1. どのような人物なのか

6. 6 なぜ、ログにこだわり続けているのか 1. IT 技術が高度化するにつれ、生活がよりシステムに置き換わり 便利になっていく（これは少子高齢化により抗えない） 2. 便利なものは生活を豊かにする反面、人間の身体機能を低下 （使わないと徐々に退化してく）させるリスクもある 3.

   システムの出力結果に対して、人間が考える力（脳力）を 無意識的に低下させていくことに危機感を持っている （茹でガエル状態） 4. 人間が正しい判断するには、システムの挙動を正確に把握し 何が行われているか認知できる能力を持っておくことであり それにはログの読解力が重要になってくる • 幼少期に見たターミネーター 2 の影響を強く受けている 5. 総括 4. 本書の解説 3. 本書の読み方 2. 執筆に至った経緯 1. どのような人物なのか

7. ログ監視基盤 7 転期は Elastic との出会い • 2015 年に金融機関のマイナンバー管理システムのログ監視基盤構築でログにのめり込んでいく rsyslog ファイアウォール

   ログ DB データベース Elasticsearch Kibana ダッシュボード 検索 可視化 Logstash 取り込み Linux サーバー Windows Server Web API syslog 通信ログ auditlog Evenrtlog API Log SQL Auditlog input jdbc input file input file input file input eventlog 監視対象システム 【ハマったポイント】 ➢ 低コストで大量のログを効率よく可視化/分析できた ➢ オープンソースなので、自分好みのログ基盤を作ることができた ➢ 当時、Elastic によるセキュリティ監視のユースケースはなかった 5. 総括 4. 本書の解説 3. 本書の読み方 2. 執筆に至った経緯 1. どのような人物なのか

8. 8 略歴とこれまでのログに関する主な活動 2004 年 SES として外資系通信キャリアに常駐 ✓ ITIL v2 フレームワークに合わせた運用管理体制強化支援などの業務に従事

   ✓ 通信キャリアの各種回線サービスのサービス内容から設備構成を調べることを没頭 2008 年 国内 IT コンサルティング企業に入社 ✓ 2014 年まで社内情報システム部門所属のネットワークエンジニアとして業務に従事 ✓ ネットワークの要件定義、設計・開発、運用保守、データセンターへのシステム移設を担当 ✓ 2015 年にコンサルティング部門へ異動、インフラアーキテクトとして顧客を支援 ✓ 2016 年 Elastic を使った SIEM ソリューションを開発し、金融・公共機関へ導入 ✓ 2017 年 自治体情報セキュリティクラウドの SIEM 構築案件を担当 ✓ 2018 年 EC 系案件にて AWS 環境のセキュリティログ監視基盤の構築を実施 2019 年 大手 Web 系ユーザー企業に入社 ✓ 2022 年まで SOC 所属のセキュリティアーキテクトとして業務に従事 ✓ 2019 年 Splunk Enterprise のコスト削減対応として次期ログ基盤検討プロジェクトをリード ✓ 2020 年 Elastic Stack 実戦ガイド [Logstash/Beats編] を出版 ✓ 2021 年 50TB を超えるログを分析する基盤を Google BigQuery と Looker で構築 ✓ 2023 年にセキュリティ戦略グループに異動、中長期戦略検討プロジェクトを担当 ✓ 2023 年末 AWS 継続的セキュリティ実践ガイドを出版 2024 年 ログスペクト株式会社を設立 ✓ セキュリティ業務におけるログ活用支援/IT コンサルティングサービスを展開中 5. 総括 4. 本書の解説 3. 本書の読み方 2. 執筆に至った経緯 1. どのような人物なのか ログに目覚めてしまう

9. 2. 執筆に至った経緯

10. ボクの願い 10 ログの読解力向上 ひいては脅威検知力の向上 5. 総括 4. 本書の解説 3. 本書の読み方

    2. 執筆に至った経緯 1. どのような人物なのか

11. 11 感じていた課題感 【目的1】 ログの読解力を上げる 【手段1】 監視ツールを導入する 【目的2】 リスクを検知する 【手段2】 ログの読解力を上げる

    目線レベル1 目線レベル2 【目的3】 リスクを最小化する 【手段3】 リスクを検知する 目線レベル3 【目的4】 ビジネス影響を抑える 【手段4】 リスクを最小化する 目線レベル4 1. 監視ツールを導入することが目的になってしまっている 2. 何を検知できれば良いか分からずに監視ツールを導入している 3. セキュリティの目標がビジネスの目標とリンクしていない ここが最終目的に なってしまっている 上位の目的（ビジネスの達成目標） からちゃんと目線を落とす必要がある 5. 総括 4. 本書の解説 3. 本書の読み方 2. 執筆に至った経緯 1. どのような人物なのか

12. 12 目指すべき方向性 • ログの中身を理解して検知すべきものを把握し、合わせて少しずつツールもレベルアップさせていく 人 システム 5. 総括 4. 本書の解説

    3. 本書の読み方 2. 執筆に至った経緯 1. どのような人物なのか ともに成長していく仕組みづくり スモールスタートで ツール導入 アドホックに解析 ログを理解 監視ロジック開発 ダッシュボード開発 対象ログを拡大 上位エディション購入 SIEM/UEBAのフル活用 （AI/MLなど） 成 長 の ス パ イ ラ ル

13. 13 【参考】ログ活用の全体像 • 本書では、ログ活用のステップとして「探索的分析」「可視化」「監視」の順で定義している 5. 総括 4. 本書の解説 3. 本書の読み方

    2. 執筆に至った経緯 1. どのような人物なのか 出典: 図 3.1 ログ活用の全体像

14. 14 執筆の覚悟を決めた 2021 年 【背景】 ✓ AWS に構築するシステムにて毎度同じようなログ基盤のツール比較検討が行われていた ✓ AWS

    のセキュリティをテーマとした実践的な日本語の書籍がなかった 【目的】 ✓ AWS におけるログ活用のナレッジを体系的にアウトプットしてベースラインを底上げしたい （事前に Qiita で「AWS サービスのログまとめ」という記事を書いたら、そこそこバズった） 5. 総括 4. 本書の解説 3. 本書の読み方 2. 執筆に至った経緯 1. どのような人物なのか 【Qiita】AWS サービスのログまとめ

15. 3. 本書の読み方

16. 16 ✓ すでに AWS を利用しており、これから本格的にセキュリティ運用を検討されている方 ✓ オンプレミス環境からリフト＆シフトして、クラウドネイティブなシステムに移行を検討されている方 ✓ AWS 環境におけるセキュリティ対策として、CSIRT

    や SOC の立ち上げを検討されている方 ✓ AWS に構築したシステムのシステム管理者やセキュリティ管理者 ✓ クラウドセキュリティに興味を持っているエンジニア（SRE のようなポジションの方々） 本書の想定読者と期待される効果 5. 総括 4. 本書の解説 3. 本書の読み方 2. 執筆に至った経緯 1. どのような人物なのか 1. インシデント対応で AWS のセキュリティマネージドサービスの活用方法をイメージできるようになる 2. AWS サービスでどのようなログが取得可能で、得られる情報（フィールド名とサンプル値）を理解できるようになる 3. ログ基盤を構築する上でどのようなバリエーションがあるのかを理解できるようになる

17. 17 • 2024 年現在においても、AWS のセキュリティをテーマにした日本語の書籍はこの2冊しかない （査読をさせていただいた） （畠中さんに査読してもらった） 著書: AWS ではじめるクラウドセキュリティ

    出版社: テッキーメディア社 著者: 松本 照吾/桐谷 彰一/畠中 亮/前田 駿介 発売日: 2023/2/10 価格: 2,948円 言語: 日本語 単行本: 320ページ 【ステップ1】 入門書的な位置付け 【ステップ2】 より実践的な内容 この順番で読み進めてほしい 5. 総括 4. 本書の解説 3. 本書の読み方 2. 執筆に至った経緯 1. どのような人物なのか

18. 18 • “このツールを使えば最強だよ” というものはない。 どんなスキルの人がログを使って何したいのかによる （リアルタイム監視がしたいのか、分析レポートが作り たいのか ...etc） • 各自のやりたいことや実現したいことに応じて、最適な

    ツールやアーキテクチャにたどり着けるようなものが必 要だと考え、本書を書くことにした • 逆引き本にはしていないが、1 つの課題に対して色々な 選択肢が用意されている中で、その選択肢から自分たち に合ったものを選ぶための考え方や基準は指し示したつ もり 銀の弾丸はないんです！ 5. 総括 4. 本書の解説 3. 本書の読み方 2. 執筆に至った経緯 1. どのような人物なのか

19. 19 Chapter 1 継続的セキュリティ 1-1. クラウドによるセキュリティ 1-2. クラウドにおけるセキュリティ管理策 1-3. 継続的セキュリティの必要性

    1-4. 実現のためのアプローチ Chapter 2 継続的監視に必要なログとは 2-1. ログに期待される役割 2-2. CloudTrail の監査 2-3. セッションアクティビティログの監査 2-4. S3 アクセスログの監査 2-5. RDS/Aurora の SQL クエリログの監査 2-6. CloudFront, ALB, API Gatewayの アクセスログ 2-7. AWS WAF, NetworkFirewall, VPC Flow Logs の通信ログ 2-8. EC2, ECS/Fargate のログ Chapter 3 セキュリティにおけるログ活用方法 3-1. ログの集約 3-2. ログの探索的分析 3-3. ログの可視化 3-4. ログの監視 Chapter 4 AWS サービスによる継続的監視 4-1. セキュリティ基準 4-2. Findings 4-3. インサイト 4-4. 対応と修復 Chapter 5 AWS によるセキュリティの検出結果 5-1. AWS Security Findings Format とは 5-2. GuardDuty による検出 5-3. AWS Config による検出 5-4. Macie による検出 5-5. Inspector による検出 5-6. IAM Access Analyzer による検出 Chapter 6 セキュリティインシデント調査 6-1. インシデント調査のおもな手法 6-2. リスクシナリオ1 – 不正アクセス 6-3. リスクシナリオ2 – 防護回避 6-4. リスクシナリオ3 – データ収集/情報漏洩 6-5. リスクシナリオ4 – DDoS攻撃 ログに関する Chapter Findings に関する Chapter （32頁） （82頁） （50頁） （72頁） （58頁） （44頁） 本書の目次 5. 総括 4. 本書の解説 3. 本書の読み方 2. 執筆に至った経緯 1. どのような人物なのか

20. ログに関する Chapter 20 • Chapter 1 と 6 を順に読んだ上で、残りの Chapter

    は必要に応じて辞書的に活用してほしい （ログ活用で困っている場合は上のルート、Findings を有効活用したい場合は下のルート） Chapter 1 継続的セキュリティ Chapter 6 セキュリティ インシデント調査 Chapter 2 継続的監視に 必要なログとは Chapter 3 セキュリティにおける ログ活用方法 Findings に関する Chapter Chapter 4 AWS サービスによる 継続的監視 Chapter 5 AWS による セキュリティの検出結果 ここは必須、他は任意で良い （もちろん、全部読んでほしいよ） 本書を読み進める順番 5. 総括 4. 本書の解説 3. 本書の読み方 2. 執筆に至った経緯 1. どのような人物なのか

21. 21 Chapter ポイント/コメント 1. 継続的セキュリティ ✓ コラム CSPM（本書の主役である Security Hub

    にうまく絡めてトレンドである CSPM を解説できた） ✓ 図 1.25 Security Hub の全体像（Security Hub の位置付けやどんな機能を持っているのかを理解し易いはず） 2. 継続的監視に必要なログとは ✓ 図 2.4 ログ全体概要図（セキュリティで利用するログを1枚に構成図にまとめ、うまい具合に分類できている） ✓ 表 2.5 CloudTrail の確認方法（CloudTrail の調査方法だけで 6 種類もあり、それぞれの特徴を表にまとめた） ✓ 表 2.10 S3 に関するログの比較（CloudTrail S3 オブジェクトレベルログと S3 サーバーアクセスログの比較） 3. セキュリティにおけるログ活用方法 ✓ 表 3.1 ログの主力先（40種類のログの出力先として S3, CloudWatch Logs, CloudTrail, Kinesis への出力可否） ✓ 表 3.9 ログ分析における Athena と OpenSearch Service の比較 ✓ コラム Amazon OpenSearch Serverless はログ監視基盤に使えるのか 4. AWS サービスによる継続的監視 ✓ 4-1. セキュリティ基準（4種類のセキュリティ基準の特徴や用途について丁寧に解説したつもり） ✓ 図 4.20 Findings とは（「Findings を 1 枚絵で表現しており、わかり易い」とコメントをもらった） ✓ 図 4.34 Findings とログの関係（「良い内容で読んで得した」とコメントをもらった） 5. AWS によるセキュリティの検出結果 ✓ 図 5.4 GuardDuty とは（GuardDuty で出来ることを 1 つの図でうまく表現できたと思っている） ✓ 図 5.8 AWS Config とは（上記同様、AWS Config で出来ることを 1 つの図でうまく表現できたと思っている） ✓ コラム DLP（Macie と絡めてうまく ゼロトラストで改めて脚光を浴びた DLP の話を盛り込むことができた） 6. セキュリティインシデント調査 ✓ Note Elastic SIEM のルール例（Elastic 社のサイトに掲載されているルールが検知ロジックの開発に使える） ✓ 6-3. リスクシナリオ2 – 防護回避（ログ調査の重要性を感じることができるはず） 各章の見どころ（独断と偏見） 5. 総括 4. 本書の解説 3. 本書の読み方 2. 執筆に至った経緯 1. どのような人物なのか

22. X（旧 Twitter）での嬉しい投稿 22 5. 総括 4. 本書の解説 3. 本書の読み方 2.

    執筆に至った経緯 1. どのような人物なのか

23. 発売後に寄せられたコメントを紹介 23 5. 総括 4. 本書の解説 3. 本書の読み方 2. 執筆に至った経緯

    1. どのような人物なのか # セクション 内容 1 1-1. クラウドにおけるセキュリティ クラウド・オンプレミスのメリデメ/セキュリティの原則などを改めて体系立てて理解することができる 説明も順序 だって、説明されており、セキュリティに詳しくない人でも理解できると思った。 2 2-1. ログに期待される役割 [表 2.1 予防的対策と発見的対策に活用可能な AWS サービス/機能の例]は AWS サービスの理解が浅い人向けに全体 内容の把握が可能な図として良い。また、予防的対策と発見的対策の区分けも理解できた。 3 2-2. CloudTrail の監査 「マネージメントコンソールへのログイン操作」の見るべき箇所のポイントは参考になった。ルートでの操作やMFAを 有効化の監視方法は具体的な手法として参考になり、知らない部分でした。 その他、スイッチロールによる操作など 複数の見るべきポイントがまとめられており、実務で経験する内容が書籍で確認できる事は非常に有用だった。 4 2-3. セッションアクティビティログの監査 セッションマネージャーについて何となく理解していた程度だったので、全体像把握から必要性が理解できた。踏み台 サーバーを利用していた環境からSessionマネージャーのメリットや具体的な出力ログの例もあり、理解は非常に容易。 5 2-4. S3アクセスログの監査 下記は非常に参考になる。 --- すべてのバケットを対象にすると予算的に厳しい場合は、外部公開しているバケットに限定したり、高度なイベントセ レクターでイベントを絞ってCloudTrail S3オブジェクトレベルログを取得し たりする方法もあると思います。 6 2-5. RDS/AuroraのSQLクエリログの監査 クエリログ出力を監視する事は難しいと再認識。本書の内容は自分自身の想定と突き合わせができ、参考になる。 7 3-2. ログの探索的分析 [表 3.7 探索的分析に利用するツール]は AWS における各種ツールの特徴やクエリ方法がツール横断的にわかり、導 入の際に参考にしたい。 8 4-1. セキュリティ基準 SecurityHub を利用する際は全てのコントロールを有効化したまま 100% を目指す運用はなく、自組織の要件・ガイ ドラインに沿った内容で無効化をすることを理解。むやみやたらにやりがちであるので、コントロール無効化を検討し ていきたい。無効化の判断は難しいので、無効化の判断理由を記録しておくことは後任のためにも大事だと思った。 9 Chapter 5 全般 GuardDuty、AWS Config、Macie、Inspector、IAM Access Analyzerのぞれぞれの概要と具体的な利用シーンが把 握できて非常に良い。実例を交えた解説は非常に理解しやすく、これから実施する予定の方々は5章を見ながら、設定 と実際の検知時の見方を学ぶ事ができる。

24. 4. 本書の解説

25. 25 継続的セキュリティとは 5. 総括 4. 本書の解説 3. 本書の読み方 2. 執筆に至った経緯

    1. どのような人物なのか API やデータを活用し、企業における情報セキュリティリスクを リアルタイムに検知し、ビジネスの損失を最小限に抑えること 継続的セキュリティ 出典: 図 1.19 継続的セキュリティとは

26. 26 継続的セキュリティに必要なものとは 5. 総括 4. 本書の解説 3. 本書の読み方 2. 執筆に至った経緯

    1. どのような人物なのか Findings（検出結果） 各種ログ（＋ログ基盤） ＋ Chapter 2, 3 Chapter 4, 5 出典: 図 2.4 ログ全体概要図 出典: 図 4.33 AWS サービスの統合（受信）

27. 27 ログと Findings の関係性 ログ Findings 5. 総括 4. 本書の解説

    3. 本書の読み方 2. 執筆に至った経緯 1. どのような人物なのか Findings はログをもとにシステム環境を安全に保つための セキュリティコントロールから逸脱したリスクのある状態を 検出したもので対応者の意思決定に必要な情報 出典: 図 4.23 Findings とログの関係

28. 28 • 多くの日本企業は ISMS ベースのセキュリティ対策となっているため、予防偏重の傾向がある （NIST Cyber Security Framework をベースとした検知力の強化が重要になってきているが、なかなか進んでいない）

    予防対策 （やられないようにする） 日本企業におけるセキュリティ対策の課題感 サイバー攻撃の脅威増大により ログを保存しているだけでは 資産保護できなくなってきた （検知力の重要性増加中） 識別 (Identify) 防御 (Protect) 検知 (Detect) 対応 (Respond) 復旧 (Recover) NIST Cyber Security Framework ISO27001 (ISMS) NIST SP800-171 5. 総括 4. 本書の解説 3. 本書の読み方 2. 執筆に至った経緯 1. どのような人物なのか 【参考】NIST CyberSecurity Framework: https://www.nist.gov/cyberframework 出典: 図 1.18 NIST CSF と ISMS

29. 29 • インシデントの 95% 以上はクラウドの設定ミスと言われており、CSPM 導入が急速に進んでいる （ログの書籍を書くつもりが、Findings の話がメインになっているような気もする...） 本書の主役は Security

    Hub 5. 総括 4. 本書の解説 3. 本書の読み方 2. 執筆に至った経緯 1. どのような人物なのか 【主な特徴】 ➢ AWS Security Hub は AWS の CSPM サービス ➢ ベースラインアプローチとリスクベースアプローチの両方に対応 ➢ 継続的セキュリティを実現する上で欠かせない存在 出典: 図 1.25 Security Hub の全体像

30. 30 • Chapter 6 では、MITRE ATT&CK をもとに代表的なリスクシナリオを選出し 具体例を用いてインシデント調査対応（攻撃の概要、検知と特定方法、復旧方法）を解説 MITRE ATT&CK

    フレームワーク 5. 総括 4. 本書の解説 3. 本書の読み方 2. 執筆に至った経緯 1. どのような人物なのか 6-2. 不正アクセス ✓ AWS マネジメントコンソールへの不正なログイン行為を想定した攻撃 ✓ GuardDuty の脅威リストに登録された IP アドレスからアクセスするパターン と日本以外の4ヶ国から同一ユーザーで同時にアクセスするパターンで実施 6-3. 防護回避 ✓ S3 バケットのオブジェクト ACL 設定変更を想定した攻撃 ✓ すでに AWS マネジメントコンソールにはログイン成功済みでデータの不正持 ち出しの準備 6-4. データ収集/情報漏洩 ✓ S3 バケットに保存している機密データへの不正アクセスを想定した攻撃 ✓ Macie を用いて、不正アクセスの痕跡のあったバケットに対する機密データの スキャン（影響調査） 6-5. DDoS攻撃 ✓ 個人の力で AWS 環境に DDoS 攻撃のペネトレーションテストは実施できない ため、机上のウォークスルーで検知方法や対策、復旧方法を解説 【参考】MITRE ATT&CK: https://attack.mitre.org/ 出典: 図 6.4 リスクシナリオの概要

31. インシデント調査対応では 31 • 下記図の環境を用いて、攻撃の特定から業務再開に向けた復旧対応まで行う 5. 総括 4. 本書の解説 3. 本書の読み方

    2. 執筆に至った経緯 1. どのような人物なのか GuardDuty、Macie、AWS Config で検出した Findings を Security Hub に統合、Detective も活用しながら脅威を特定する CloudTrail の監査ログを SIEM on Amazon OpenSearch Servie に取り込み、検知ロジックを実行 する Slack で通知されるイベント をトリガーに OpenSearch Servie、Security Hub、 Detective を使い、深堀調査 を実施する Chapter 5 Chapter 3 Chapter 4 Chapter 2 出典: 図 6.5 インシデント調査環境

32. 5. 総括

33. 本日、伝えたかったこと 33 ✓ ツール導入することよりも、ログの読解力を積み上げていくことが重要である （手段の目的化には常々気をつけよう） ✓ 予防は大前提、サイバーセキュリティ領域では検知力の差がビジネスを守る （ISMS は情報セキュリティ、NIIST CSF

    はサイバーセキュリティ） ✓ まずは数日間 Security Hub を有効化し、自社システムの健康診断をしてみよう （クラウドの設定ミスや不正侵入後の防護回避を検出するには CSPM が有効） 5. 総括 4. 本書の解説 3. 本書の読み方 2. 執筆に至った経緯 1. どのような人物なのか ログは宝の山です！！ 読解力を身につけて未来の人類を守ろう！
34. None