Upgrade to Pro
— share decks privately, control downloads, hide ads and more …
Speaker Deck
Features
Speaker Deck
PRO
Sign in
Sign up for free
Search
Search
防衛への一歩!AWSアカウントを不正利用から守るための必須防止対策ナビ
Search
松波 花奈
July 07, 2023
Business
1
4.9k
防衛への一歩!AWSアカウントを不正利用から守るための必須防止対策ナビ
松波 花奈
July 07, 2023
Tweet
Share
More Decks by 松波 花奈
See All by 松波 花奈
1分でわかる! Amazon EC2 I8gインスタンス解説
o2mami
0
84
Amazon Q Developerの 最新アップデート情報まとめ
o2mami
0
1k
AWS re:Invent参加のリアル 〜女性目線で考える健康・美容・安全のベストプラクティス〜
o2mami
1
320
20分で分かる!Control Towerが実現できる効率的なマルチアカウント管理
o2mami
0
390
どこから始める?AWSセキュリティ成熟度モデルで次のアクションを可視化しよう!
o2mami
2
560
払いすぎていませんか?AWSコスト最適化へのはじめの一歩
o2mami
1
1.8k
JAWS-UG 朝会 #58 登壇資料
o2mami
1
620
第24回クラウド女子会 登壇資料
o2mami
1
2k
Hibiya.Tech #1 登壇資料
o2mami
1
2.7k
Other Decks in Business
See All in Business
202412_CultureDeck
todoker
0
110
東京都教育委員会 情報共有掲示板
tokyo_metropolitan_gov_digital_hr
0
280
【エンジニア採用】BuySell Technologies会社説明資料
buyselltechnologies
2
55k
【エンジニア職】中途採用向け会社説明資料(テックファーム株式会社)
techfirm
0
4.2k
Theoria technologies:About Us
theoriatec2024
1
5k
ドローンを活用した汚泥焼却炉内点検のDX
tokyo_metropolitan_gov_digital_hr
0
320
経験やセンスに頼らずに成果を出すためのチームマネジメント実践ガイド / Team Management Without Relying on Experience or Intuition
happy_imafuku
4
11k
合議で決めたいわけではないけれど、 集合知で助けてほしい。_pmconf_2024
tomosooon
1
5.1k
KRAF Impact Report 2024(English)
kraf
0
180
Works Human Intelligence
whisaiyo
1
79k
(16枚)組織と集団の違いとは? 組織の「3要素」とは?
nyattx
PRO
3
2.1k
決算審査意見書自動作成ツール 改良プロジェクト
tokyo_metropolitan_gov_digital_hr
0
290
Featured
See All Featured
CSS Pre-Processors: Stylus, Less & Sass
bermonpainter
356
29k
The Pragmatic Product Professional
lauravandoore
32
6.3k
Fantastic passwords and where to find them - at NoRuKo
philnash
50
2.9k
No one is an island. Learnings from fostering a developers community.
thoeni
19
3k
How to Think Like a Performance Engineer
csswizardry
22
1.2k
個人開発の失敗を避けるイケてる考え方 / tips for indie hackers
panda_program
95
17k
The Myth of the Modular Monolith - Day 2 Keynote - Rails World 2024
eileencodes
17
2.3k
Git: the NoSQL Database
bkeepers
PRO
427
64k
Side Projects
sachag
452
42k
Adopting Sorbet at Scale
ufuk
73
9.1k
Making the Leap to Tech Lead
cromwellryan
133
9k
Principles of Awesome APIs and How to Build Them.
keavy
126
17k
Transcript
防衛への一歩! AWSアカウントを不正利用から 守るための必須防止対策ナビ 2023/7/7 AWS事業本部 松波花奈
自分の身(アカウント)は 自分で守ろう 本セッションのテーマ 2
自己紹介 名前:松波 花奈(まつなみ かな)/ おつまみ 所属:AWS事業本部コンサルティング部 経歴:Slerでシステムエンジニア(約4年半) クラスメソッド(2022/9~) 好きなサービス:AWS Security
Hub 3
本セッションの対象者 4 •AWSの基本的な概念は知っている方 •AWSを使う上でセキュリティ対策に不安がある方 •AWSアカウントの管理者
本セッションのゴール 5 •AWSアカウントの不正利用による被害を理解する •実際に不正利用が起きてしまったときのフローを知っ ておく •セッション後、すぐに必須防止対策を実施できるように なる ゴールに必要なことをお 話しします
本題の前に 6 軽い前置き
不正利用時の復旧支援サービス 7 不正利用時の復旧支援
アジェンダ 8 前半 1. AWSアカウントの不正利用とは? 2. AWS不正利用の具体例・被害 後半 1. AWS不正利用対策の進め方
2. 具体的な対策方法 3. おわりに
アジェンダ 9 前半 1. AWSアカウントの不正利用とは? 2. AWS不正利用の具体例・被害 後半 1. AWS不正利用対策の進め方
2. 具体的な対策方法 3. おわりに
AWSアカウントの不正利用とは? 第三者が AWSアカウントの認証情報を盗んだり、 セキュリティの脆弱性をついてAWSリソースに不 正アクセスしたりすること 10
AWSアカウントの不正利用による悪影響 11 多額のコスト が要求される サービス品質が 悪化する 法的・規制上の問題が 生じることがある
AWSの不正利用は誰も得しない 12
13 AWS利用者 多額のコスト請求 無駄なリソース消費 ステークホルダー全体に悪影響 エンドユーザー サービス利用不可
14 不正利用の具体例
①アクセスキー漏洩 15
①アクセスキー漏洩 16
②IAMユーザーのパスワード流出 17
③アプリケーションの脆弱性をついた攻撃 18 S3バケットの設 定ミス ↓ データ漏洩 SSHポート開放 ↓ EC2インスタンス への不正アクセス
WAFの設定ミス ↓ 個人情報漏洩
19 不正利用による被害
1. 多額の利用費請求 20
2. 情報漏洩 21 データ漏洩 スナップショットから復元 アクセスキー漏洩
3. 攻撃の加害者になる 22
前半まとめ 23 •不正利用の具体例 ◦ アクセスキー漏洩 ◦ IAMユーザーのパスワード流出 ◦ アプリケーションの脆弱性をついた攻撃 •不正利用の被害
◦ 多額の利用費請求 ◦ 情報漏洩 ◦ 攻撃の加害者になる
アジェンダ 24 前半 1. AWSアカウントの不正利用とは? 2. AWS不正利用の具体例・被害 後半 1. AWS不正利用対策の進め方
2. 具体的な対策方法 3. おわりに
AWSからの〇〇が受け取れるように 設定されていますか? 25
AWSからの通知が受け取れるように 設定されていますか? 26
メール通知例 27 件名:Your Amazon EC2 Abuse Report
2カ所で通知設定できる 28 参考 :https://docs.aws.amazon.com/ja_jp/accounts/latest/reference/manage-acct-updat e-contact.html
Slackにも連携しよう 29 参考ブログ:https://dev.classmethod.jp/articles/abuse-chatbot-slack/
メンバーズのお客様はポータルサイトから 30
不正利用が発生した場合の対応 STEP 01 31 STEP 02 STEP 03 臨時対応 必須防止対策
恒久対策 1時間以内 1~2日以内 1ヶ月以内
32 1.臨時対応
すぐにアクセスキーを無効化・削除する アクセスキー漏洩の場合 33
AWSアカウントの調査観点 34 IAM認証情報 レポート IAMよって実行された 不正なアクションを特定 CloudTrail アカウントに対する不正アク セスや変更を特定 Trusted
Advisor 承認されていないリソース/ IAM ユーザーの作成を特定 参考:https://repost.aws/ja/knowledge-center/potential-account-compromise
詳細な対応について知りたい方 35 参考ブログ:https://dev.classmethod.jp/articles/leak-accesskey-what-do-i-do
メンバーズのお客様は弊社にて調査実施 アクセスキー漏洩の場合 36
37 2. 必須防止対策
必須防止対策 38 01 IAMの棚卸し・アクセスキー 漏洩防止ソリューション導入 02 セキュリティサービスの有効化 03 Security HubによるAWS環境のセキュリ
ティ状況スコアリング 04 GuardDutyによる 脅威検知の暫定体制づくり
必須防止対策 39 01 IAMの棚卸し・アクセスキー 漏洩防止ソリューション導入 02 セキュリティサービスの有効化 03 Security HubによるAWS環境のセキュリ
ティ状況スコアリング 04 GuardDutyによる 脅威検知の暫定体制づくり
CloudTrailは有効化されていますか? AWS リソースを記録するサービス • 「誰が」 • 「いつ」 • 「何に対して」 •
「どのような」操作をしたのか 40 参考ブログ:https://dev.classmethod.jp/articles/securityhub-fsbp-remediation-cloudtrail-1/
CloudTrailのイベント履歴 41 ユーザー名 発信元IPアドレス 対象のリソースなど 詳細を確認
AWS Configは有効化されていますか? AWS リソースの変更の追跡を⼿うこ とができるサービス 42 参考ブログ:https://dev.classmethod.jp/articles/securityhub-fsbp-remediation-config-1/
Configのタイムライン 43 イベント時間 ユーザー名 イベント名など を記録
リソース変更が多い場合は注意 44 参考ブログ:https://dev.classmethod.jp/articles/aws-config-amazon-athena/
Security Hubは有効化されていますか? セキュリティのコンプライアンスとス テータスを⼿括で管理できるサービス 45 参考ブログ:https://dev.classmethod.jp/articles/lets-learn-aws-security-hub/
Security Hubのセキュリティチェック 46
GuardDutyは有効化されていますか? AWS環境を継続的にモニタリングし て、セキュリティに関する異常を検出 してくれるサービス 47 参考ブログ :https://dev.classmethod.jp/articles/securityhub-fsbp-remediation-guardduty-1/
GuardDutyのサマリーダッシュボード 48
必須防止対策 49 01 IAMの棚卸し・アクセスキー 漏洩防止ソリューション導入 02 セキュリティサービスの有効化 03 Security HubによるAWS環境のセキュリ
ティ状況スコアリング 04 GuardDutyによる 脅威検知の暫定体制づくり
IAMの概念知っていますか? 50 AWS Foundations: Securing Your AWS Cloud (Japanese) (⽇本語吹き替え版)
:AWSセキュリティの基本(50分) Introduction to AWS Identity and Access Management (IAM) (Japanese) (⽇本語 吹き替え版) :簡単なIAMの概要(10分)
不要なIAMユーザー・アクセスキーを管理していませんか? 51 参考ブログ:https://dev.classmethod.jp/articles/inventory-iam-users-and-access-keys-in-iam-report/ 削除基準 • 90⼿間以上ログイン・使用されていない • 退職、異動、⼿時的に作成したものが残っている等で、不要となっている
IAMユーザーのパスワードポリシーは強固ですか? 52 参考動画:https://www.youtube.com/watch?v=C2I5JefT8Zg NISCに準拠する場合、パスワード 最小文字数は10文字以上
IAMユーザーのMFAは有効化されていますか? 53 参考ブログ:https://dev.classmethod.jp/articles/mfa-for-iam-user-management/
不要なIAMロールを管理していませんか? 54 参考ブログ:https://dev.classmethod.jp/articles/inventory-iam-resources 削除基準 • 90⼿間以上使用されていない • ⼿時的に作成したものが残っている等で、不要となっている
git-secretsは導入されていますか? 55 参考ブログ:https://dev.classmethod.jp/articles/startup-git-secrets/
IAMユーザー・ロールに強力な権限を与えていませんか? 56 参考ブログ :https://dev.classmethod.jp/articles/inventory-powerful-authority-iam-users-and-roles/
必須防止対策 57 01 IAMの棚卸し・アクセスキー 漏洩防止ソリューション導入 02 セキュリティサービスの有効化 03 Security HubによるAWS環境のセキュリ
ティ状況スコアリング 04 GuardDutyによる 脅威検知の暫定体制づくり
有効化したまま放置していませんか? 58
スコア100%にしましょう! 59 1. 修復⼿順に沿って、修復 2. 修復せずリソースを抑制済みとして登録 3. 修復せずルールを無効化
修復必須項目 ※2023.7時点 •CloudFront.1 •CloudTrail.1 •CodeBuild.1 •CodeBuild.2 •Config.1 •EC2.1 •EC2.2 •EC2.16
•EC2.18 •EC2.19 •ECS.1 60 •ECS.2 •ECS.3 •ECS.4 •ElasticBeanstalk.2 •GuardDuty.1 •IAM.1 •IAM.5 •IAM.7 •IAM.8 •IAM.21 •Lambda.1 •Lambda.2 •RDS.1 •RDS.2 •RDS.18 •Redshift.1 •Redshift.7 •S3.2 •S3.3 •S3.6 •S3.8 •SSM.4
参考:修復手順ブログ 61 https://dev.classmethod.jp/referencecat/securityhub-fsbp-remediation/
参考:Classmethod Cloud Guidebook 62 参考ブログ:https://dev.classmethod.jp/articles/how-to-use-ccg/
必須防止対策 63 01 IAMの棚卸し・アクセスキー 漏洩防止ソリューション導入 02 セキュリティサービスの有効化 03 Security HubによるAWS環境のセキュリ
ティ状況スコアリング 04 GuardDutyによる 脅威検知の暫定体制づくり
GuardDutyの通知先は設定されていますか? 64 参考動画:https://www.youtube.com/watch?v=ExK6MJWT1y0
65 参考ブログ:https://dev.classmethod.jp/articles/notify_guardduty_by_severity/ Slack連携もおすすめ
66 脅威を検知した際の対応方法を把握していますか? 参考:https://dev.classmethod.jp/articles/guardduty-firstaction/ https://docs.aws.amazon.com/ja_jp/guardduty/latest/ug/guardduty_finding-types-active.html 重要度別に関わらず、 基本全て対応
67 GuardDutyの通知が多すぎて困っていませんか? 抑制方針 •実際に通知があった検出結果のみを抑制。 検出される前から抑制ルールを作成することは避ける。 •繰り返し通知があった検出結果に対して抑制ルールを作成。 •可能な限り細かい単位で抑制ルールを作成。 (例:S3のブロックパブリックアクセス無効の通知を抑制する際は Bucket nameも必ず条件に加える)
68 参考ブログ:https://dev.classmethod.jp/articles/aws-guardduty-suppression-rules-2022/ 抑制ルールでノイズを減らしましょう
すべて対応できていましたか? 69 01 IAMの棚卸し・アクセスキー 漏洩防止ソリューション導入 02 セキュリティサービスの有効化 03 Security HubによるAWS環境のセキュリ
ティ状況スコアリング 04 GuardDutyによる 脅威検知の暫定体制づくり
70 3. 恒久対策
恒久対策(1/3) •セキュリティ管理体制の確立 ◦ 会社全体のセキュリティを管理するチーム(セキュリティ部門 ・CSIRT・SOC等)の確立 ◦ クラウドを利用した環境の開発・運用のガイドライン策定や支援の体 制づくり ◦ アーキテクチャのセキュリティや実装のレビューフロー整備
▪ Well-Architectedフレームワークに沿った設計・構築レビュー ◦ 人材育成・有資格者確保(AWS Certified Security - Specialty等) 71
恒久対策(2/3) •AWS環境全体設計 ◦ AWSアカウント情報集約 ◦ AWSアカウント発行フロー整備 ◦ AWSアカウント管理者・責任範囲の明文化 •予防的統制 ◦
IAM Access Analyzerの使用 •発見的統制 ◦ Detectiveの利用 72
恒久対策(3/3) •アプリレイヤーのセキュリティ管理 ◦ 脆弱性管理(OS/コンテナ/ミドルウェア/言語ライブラリ)・診断 ◦ アンチマルウェア ◦ 多層防御(IDS/IPS/変更管理) ◦ モニタリング・ロギング
◦ アプリケーション保護 ◦ CI/CD 73
中級〜上級の対策がおすすめ 74 参考ブログ:https://dev.classmethod.jp/articles/aws-security-all-in-one-2021/
75 まとめ
本セッションのゴール 76 •AWSアカウントの不正利用による被害を理解する •実際に不正利用が起きてしまったときのフローを知っ ておく •セッション後、すぐに必須防止対策を実施できるように なる ゴールに必要なことをお 話ししました
謝辞 77 •今回ご紹介したブログを執筆してくださった皆様 •日々DevelopersIOを読んでくださる皆様 •今回このセッションを視聴しにきてくださった皆様 •今回ご紹介したブログを執筆してくださった皆様 •日々DevelopersIOを読んでくださる皆様 •今回このセッションを視聴しにきてくださった皆様 ありがとうございました!
None