Upgrade to Pro — share decks privately, control downloads, hide ads and more …

Product Security Casual Talk #1 - Datadog を使ったセ...

mrtc0
July 26, 2023

Product Security Casual Talk #1 - Datadog を使ったセキュリティモニタリングと 自動化の取り組み

mrtc0

July 26, 2023
Tweet

More Decks by mrtc0

Other Decks in Technology

Transcript

  1. 市民と行政の接点をデジタルに置き換え、行政手続きの負担をなくす 4 ※2023年6月時点の情報です。サービスの提供状況が変更となる場合があります。 Graffer 手続きガイド ~まずは必要な手続きを簡単に検索~ 1 Graffer スマート申請 ~オンラインで申請から決済まで完結~

    Graffer 窓口予約 ~混雑を避けるため、あらかじめ予約をセット~ Graffer 窓口書類作成 ~窓口でもデジタルで簡単入力~ 2 3 4 選 択 質問に答える 確 認 Graffer市役所 入 力 署 名 決 済 申 請 手続きガイドと連携できる 「書かない窓口」を実現 来庁せずに、スマートフォンで手続きが行える 申請サービス本人確認から決済まですべて手元での実施が可能 簡単な質問に答えていくだけで、 自分に必要な手続きや持ち物が分かる手続き案内サービス 手続きに来庁された市民向けの申請書作成サービス 窓口への来庁予約を簡便に行えるサービス 対面で必要な手続きや相談したい場合 オンラインで できるもの 窓口に 行った後は 日時選択 予約情報入力・確認 完了
  2. 企業向け生成AI活用プラットフォーム:Graffer AI Studio どんな使い方がされているのか、 確認したい AIの学習による漏洩を避けたい LLMの法人利用に対応 ChatGPTを始めとするLLMを、AIに学習されな い環境(オプトアウト)で利用することができ ます。利用履歴も可視化、エクスポートができ

    るため、良い使い方の共有や利用が禁止されて いる使い方の監視が可能です。 プロンプトを組織で共有可能 様々な業務に応用できるプロンプトのテンプ レートを用い、クリック操作でプロンプトを簡 単に作成できます。作成したテンプレートは組 織で共有することもできるため、個人だけでな く組織単位での業務効率改善に役立てることが できます。 プロンプトのアイデアは、組織のナ レッジとして活用したい どのようなプロンプトを入れれば いいのかわからない 「生成AIを活用し、業務変革を進めたい」という企業の声に対し、誰もが安全に生成AIを利活用するための環境を提供 必要に応じてモデルを選べる 1回のチャット毎にGPT-3.5、GPT-4の切り替 えが可能です。(※GPT-4は8K context)今後 はChatGPT以外のモデルにも対応し、各モデル の利用規約や得意分野の理解、契約を当社が担 い、企業内で利用できる対応モデルを拡充し利 活用の幅を広げていきます。 最新のモデルを使いたい 4
  3. セキュリティと自動化 グラファーで取り組んでいる「セキュリティ x 自動化」において、「インフラ / アプリケーションのセキュリティモニタ リング」に絞っていくつかの事例を紹介します。 セキュリティモニタリングのキーポイント • 適切なルール・アラートの設定

    … False Positive を最小限にしつつ、インシデントを見逃さない設定 • Integration … 様々なログ形式、ソースから関連するログを集約し統合して分析できる環境 • AI / 機械学習などの活用 … ルールベースに加えて、パターンや挙動の分析で新規の脅威を検出する セキュリティモニタリングの自動化が難しい理由 • ルール設計とチューニング … 経験や知識への依存、False Positive の増加 • データの多様性 … 異なる形式のログを統合して解析する必要性 5
  4. セキュリティモニタリングと Datadog 理由がない限り、あらゆるセキュリティイベントは Datadog へ集約している。柔軟な検索や可視化が容易であること、 部内全員が一定水準使えるツールであるため。CloudWatch Logs や Athena を使った検索は基本的に使わない。

    AWS EKS Pod Pod Pod App App App • アプリケーションログ・監査ログ • ファイルアクセス・ネットワークアクセス・ システムコール呼び出し • コンテナイメージスキャン / EKS 監査ログ • 構成情報 (AWS Config) • アクティビティ・API ログ (CloudTrail) • 脅威検出 (GuardDuty / Access Analyzer) • などなど... 集約 セキュリティモニタリングで利用している Datadog の機能 Logs / Dashboard / Monitor Posture Management / Workload Security 6 グラファーでのモニタリング活動 各セキュリティイベントのアラート化 / モニタリング定例
  5. セキュリティモニタリング x 自動化 セキュリティモニタリングの自動化が難しい理由 • ルール設計とチューニング … 経験や知識への依存、False Positive の増加

    • データの多様性 … 異なる形式のログを統合して解析する必要性 Datadog を使ったルール設計とチューニング例 Workload Security と Security Profiles コンテナで発生したイベントを学習してイメージの「プロファイ ル」を生成してくれる機能。 過去に記録のないイベントが発生すると「異常」の疑いが強いと 言える。 ルールベースによる検知に対する参考情報として活用できる。 7
  6. セキュリティモニタリング x 自動化 Datadog を使ったルール設計とチューニング例 セキュリティモニタリングの自動化が難しい理由 • ルール設計とチューニング … 経験や知識への依存、False

    Positive の増加 • データの多様性 … 異なる形式のログを統合して解析する必要性 不正ログインの Anomaly Detection ログインログに evt.outcome などの情報を追加[^1]。 認証の成否を Metrics として作成することで、Anomaly Detection が利用できる[^2]。 これにより、以前のログイン数と比較して大きく増加していれば アラートとして通知できる。 [^1] … このあたりはプレイドさんの「Datadogを使った不正ログインのモニタリング実装」とい うブログ記事が参考になりました。https://tech.plaid.co.jp/datadog-login-monitoring [^2] … Anomaly Detection 以外に Application Security Management でも、ルールがあるよう です。Cloud SIEM の機能として Anomaly Detection があるのでしょうか... 8
  7. セキュリティモニタリング x 自動化 経験・知識依存を減らすための取り組み セキュリティモニタリングの自動化が難しい理由 • ルール設計とチューニング … 経験や知識への依存、False Positive

    の増加 • データの多様性 … 異なる形式のログを統合して解析する必要性 Datadog Dashboard を使ったインシデントレスポンス支援 「誰が何をしようとしているのか」という調査を少しでも簡単に するために Playbook として用意。ダッシュボードパラメータに トークンの ID やユーザー名などを入力することで、対象のログ を絞り込み、影響範囲を特定する。訓練でも使ってみるなど。 Workflow Automation も利用することで、よりプログラマ ティックな調査や自動化された対応が可能。 e.g. • 該当 IAM アクセスキーや Personal Access Token で呼び出された API を調査 • 悪意ある IP アドレスをブロックする設定を AWS WAF に追加 9