Upgrade to Pro — share decks privately, control downloads, hide ads and more …

セキュリティ検出結果をBedrockで読みやすくしてみた

 セキュリティ検出結果をBedrockで読みやすくしてみた

Bedrock Night in 大阪の登壇資料です。
https://jawsug-ai.connpass.com/event/322964/

mtsukada

July 30, 2024
Tweet

More Decks by mtsukada

Other Decks in Technology

Transcript

  1. ©Mitsubishi Electric Corporation セ キ ュ リ テ ィ 検

    出 結 果 を B e d r o c k で 読 み や す く し て み た 先 進 応 用 開 発 セ ン タ ー 塚 田 真 規 2 0 2 4 - 7 - 3 0
  2. ©Mitsubishi Electric Corporation 自 己 紹 介 2 • 名前:

    • 塚田 真規 (つかだ まさき) • 所属: • 三菱電機株式会社 • 先進応用開発センター(兵庫県三田市) @m_tsukada さんだ • 2024 Japan AWS All Certifications Engineers
  3. ©Mitsubishi Electric Corporation サ ン ド ボ ッ ク ス

    環 境 を 用 い た 学 習 • 人財育成・拡充に向けて、希望者にAWSのサンドボックス環境を提供! 4 • 気軽にクラウドに触れる • 研修で学んだことをトライする • クラウドの費用感を掴む AWS Cloud Amazon EC2 Amazon S3 Amazon Bedrock AWS Lambda Amazon DynamoDB Amazon SageMaker Amazon OpenSearch Service AWS Cost Explorer Amazon CloudWatch サンドボックス利用者
  4. ©Mitsubishi Electric Corporation • 気軽にクラウドに触れる • 研修で学んだことをトライする • クラウドの費用感を掴む •

    どこを見ればいい? • どこに問題があるの? • どう対処すればいいの? サ ン ド ボ ッ ク ス 環 境 を 用 い た 学 習 5 AWS Cloud Amazon EC2 Amazon S3 Amazon Bedrock AWS Security Hub AWS Config Amazon GuardDuty AWS Lambda Amazon DynamoDB Amazon SageMaker Amazon OpenSearch Service AWS Cost Explorer Amazon CloudWatch サンドボックス利用者 セキュリティ意識も 高めてもらおう! これでセキュリティ チェックしてね! 提供者 AWS Cloud • 人財育成・拡充に向けて、希望者にAWSのサンドボックス環境を提供!
  5. ©Mitsubishi Electric Corporation 今 回 や っ て み た

    こ と • Security Hubのセキュリティチェック結果を... • テキスト形式で提供 • 伝えたい情報に絞って提供 • 分かりやすく要約して提供 • 1ファイルに結果をまとめて提供 7 AWS Security Hub どう実現する? 結果抽出&要約 セキュリティ検出結果 ◆対象リソース: ........ ◆重要度: ........ ◆概要: ........ … ◆修正方法: ........ …
  6. ©Mitsubishi Electric Corporation シ ス テ ム 概 要 9

    AWS Security Hub セキュリティ検出結果 ◆対象リソース: ...... ◆重要度: ...... ◆概要: ....... … ◆修正方法: ....... … セキュリティチェック結果 Amazon Bedrock Amazon S3 セキュリティチェック 結果の抽出 Bedrockによる要約 結果の格納 Step Functions でフロー構築
  7. ©Mitsubishi Electric Corporation St e p F u n c

    t i o n s に よ る フ ロ ー 構 築 10 • 検索条件設定 • Security Hubから セキュリティ検出結果の取得 Amazon S3 セキュリティ 検出結果の配列 AWS Security Hub Agents for Amazon Bedrock 要約結果の配列 • Bedrockエージェントで検出結果を要約 ※直接エージェントを呼び出すアクションが ないためLambdaから実行 • 要約結果をS3に保存
  8. ©Mitsubishi Electric Corporation 作 成 し た A I エ

    ー ジ ェ ン ト • Agents for Amazon Bedrock • Amazon Bedrockの機能の一つ • マネージドコンソール上でBedrockやLambdaと連携したAIエージェントの構築が可能 11 エージェント 基盤モデル アクショングループ AWS Security Hub 不足情報を Webから取得 指示書 AWS Security Finding Formatを元に以下を出力してください (a). 対象リソース (b).検出日時 ・・・
  9. ©Mitsubishi Electric Corporation 出 力 結 果 例 12 (a)

    対象となるリソース: AWS::EC2::SecurityGroup (セキュリティグループ sg-01097dd28446ef376) (b) 検出した日時: 2024-07-17T12:38:13.216Z (最初に検出) 2024-07-19T20:38:29.874Z (最後に検出) (c) 重大度: HIGH (高) (d) 問題の概要: VPCのデフォルトセキュリティグループが、すべての受信トラフィックを許可し、すべての送信トラフィックを許可するように設定されています。このセキュ リティグループはリソースが明示的に割り当てられていない場合に自動的に割り当てられるため、セキュリティリスクがあります。 (e) 問題を放置することのリスク: デフォルトのセキュリティグループ設定では、意図しないトラフィックが許可される可能性があります。これにより、悪意のある攻撃者がリソースにアク セスしたり、データが漏洩したりする危険性が高まります。 (f) 具体的な修正方法: 1. 新しい最小権限のセキュリティグループを作成する 2. リソース(EC2インスタンスなど)に新しいセキュリティグループを割り当てる 3. デフォルトのセキュリティグループからすべての受信規則と送信規則を削除する (g) 必要コスト概要: セキュリティグループの作成と管理には追加コストはかかりません。AWSの価格ポリシーに従えば、この修正を行うための直接的な追加コストはあり ません。
  10. ©Mitsubishi Electric Corporation よ り 良 い ソ リ ュ

    ー シ ョ ン を 目 指 し て • よりよいAIエージェント・情報提供を目指して... • エージェントへの指示書の改良 • ノウハウを蓄積したナレッジベースの追加 13 「Prompt flows」プレビューリリース! @AWS Summit New York Step FunctionsをPrompt Flowsに 置き換えられるのでは? やってみた そんな矢先
  11. ©Mitsubishi Electric Corporation P r o m p t F

    l o w s に よ る フ ロ ー 構 築 14 • 要約結果をS3に保存 • 検索条件設定 • セキュリティ検出結果の取得 • Bedrockエージェントによる要約 ※IteratorノードとCollectorノードで 反復処理を実現
  12. ©Mitsubishi Electric Corporation P r o m p t f

    l o w s と St e p F u n c t i o n s の 比 較 15 Prompt flows Step Functions Bedrockとの連携 「Prompt」ノードでプロンプトを 直接入力可能 入力パラメータから必要な情報を抽出し、 JSON形式で指定するため若干の慣れが必要 実行時エラー調査 どのノードでエラーが発生したか、 各ノードで調査が必要 成功したステップ、失敗したステップが グラフィカルにわかる エラー時の再実行 未対応 可能 連携可能なサービス 利用可能ノードが限定的 多様なサービスが利用可能 ループ処理 IteratorノードとCollectorノードで実現 同時実行数は指定できない(?) Mapフローで実現 同時実行数の上限が指定可能 その他 動作が不安定? ※タイムアウトがある? フローをコード出力できる 今後のアップデートに期待! ※7/22時点の内容 個人的な意見です
  13. ©Mitsubishi Electric Corporation ま と め • BedrockエージェントでSecurity Hubチェック結果を要約 •

    シンプルなエージェントでも理解しやすい形式へ要約可能 • Step Functionsでワークフロー構築 • より理解しやすい要約を目指して「エージェントへの指示書」の改良、 「ノウハウ蓄積ナレッジベース」の追加を計画 • Prompt flowsプレビュー版を試用 • Bedrock機能との連携は簡単 • さらなるアップデートに期待! 16