失敗例から学ぶAWSセキュリティサービスの導入

Transcript

1. 失敗例から学ぶAWSセキュリティサービスの導⼊ 2023.3.14 AWS事業本部 コンサルティング部 yhana

2. 2 もくじ １．AWS セキュリティサービスの機能概要 - AWS Security Hub - Amazon

   GuardDuty - Security Hub と GuardDuty の検知の違い ２．失敗例から学ぶ Security Hub / GuardDuty 導⼊時の考慮事項

3. 3 クラウドセキュリティを知るには 本⽇は話さない、クラウドセキュリティの考え⽅と AWS に当てはめた場合の考え⽅を知るには下記の書籍がおすすめ https://dev.classmethod.jp/articles/start- cloud-security-with-aws/ https://dev.classmethod.jp/articles/aws- security-book/

4. 4 AWS セキュリティサービスの機能概要

5. 5 本日紹介する AWS サービス AWS のセキュリティサービスのうち、 導⼊することが多い Security Hub と

   GuardDuty を紹介 識別 防御 検知 対応 復旧 AWS Security Hub Amazon GuardDuty

6. 6 AWS Security Hub

7. 7 AWS Security Hub とは 主な機能 １．セキュリティイベントを集約して管理する機能 ２．基準に従って AWS 環境をセキュリティチェックする機能

   今⽇の話

8. 8 セキュリティ基準機能 セキュリティのベストプラスティスに沿っているかをチェック チェック項⽬（コントロール）の例 EBS (Disk) スナップショットのパブリック公開を検知

9. 9 セキュリティ基準機能 セキュリティ基準は 4 種類（2023年2⽉20⽇時点） 明確な要件がない場合は 「AWS 基礎セキュリティのベストプラクティス」がおすすめ チェック対象となるサービス種類が多く、アップデートも頻繁

10. 10 サービス別のコントロール数内訳 「AWS 基礎セキュリティのベストプラクティス」は 205 のチェック項⽬ （2023年2⽉20⽇時点）

11. 11 EC2.19 [CRITICAL] セキュリティグループは、リスクの⾼いポートへの無制限のアクセス を許可してはならない 次のポートに関して全ての送信元IPアドレス開放 20, 21 (FTP) 22

    (SSH) 23 (Telnet) 25 (SMTP) 110 (POP3) 135 (RPC) 143 (IMAP) 445 (CIFS) 1433, 1434 (MSSQL) 3000 (Go, Node.js, Ruby) 3306 (MySQL) 3389 (RDP) 4333 (ahsp) 5000 (Python) 5432 (postgresql) 5500 (fcp-addr-srvr1) 5601 (OpenSearch) 8080 (proxy) 8088 (レガシー HTTP) 8888 (代替 HTTP) 9200, 9300 (OpenSearch) 検知理由 対応例 修正 修正

12. 12 S3.2 [HIGH] S3 バケットはパブリック読み取りアクセスを禁⽌する必要があります 検知理由 対応例 S3 バケットをインターネットに直接公開 CloudFront

    を利⽤して S3 のデータを公開 または、 ⼀時的な資料配布だったためリスク許容 追加 設定変更

13. 13 S3.2 [HIGH] S3 バケットはパブリック読み取りアクセスを禁⽌する必要があります 検知理由 対応例 S3 バケットをインターネットに直接公開 CloudFront

    を利⽤して S3 のデータを公開 または、 ⼀時的な資料配布だったためリスク許容 追加 設定変更 意図せず公開されている場合もある︕

14. 14 参考情報 AWS Security Hub 関連ブログ https://dev.classmethod.jp/articles/lets -learn-aws-security-hub/ https://dev.classmethod.jp/referencecat/securityhub-fsbp-remediation/

15. 15 Amazon GuardDuty

16. 16 Amazon GuardDuty とは ユーザー操作ログや通信ログを継続的にモニタリングして、悪意があると 疑われるアクティビティを検出するサービス C&C (Command & Control)

    サーバとの通信を検知

17. 17 Amazon GuardDuty の検知 リソースやアカウントに対する脅威の検知例 - C&C サーバとの通信 - SSH

    / RDP ブルートフォースアタック - 既知の悪意のある IP アドレスから API の呼び出し（操作） - AWS CloudTrail のログ配信が無効化 対応リソースタイプ︓EC2、IAM オプションの保護 ︓S3、EKS、RDS、マルウェア検出 重要度 ︓HIGH (⾼)、MEDIUM (中)、LOW (低)

18. 18 検知への対応 検知内容への対応イメージ 注意︓Amazon GuardDuty は検知であり、対処は含まれません 例えば、マルウェアの隔離は⾏われません 検知 対処 アーカイブ・抑制

    検知結果の確認 過検知 問題あり 通知

19. 19 参考情報 Amazon GuardDuty 関連ブログ https://dev.classmethod.jp/articles/re- introduction-2022-amazon-guardduty/ https://dev.classmethod.jp/articles/aws- security-operation-with-guardduty-2021/

20. 20 Security Hub と GuardDuty の検知の違い

21. 21 Security Hub と GuardDuty の検知の違い Security Hub︓リソースの設定項⽬（Configuration）を確認 設定項⽬（Configuration）※ "configuration":

    { "attachments": [ { "device": "/dev/xvda", "instanceId": "i-99999999999999999” } ], "availabilityZone": "ap-northeast-1a", "encrypted": true, "size": 8, "iops": 3000, "volumeType": "gp3", "throughput": 125 }, ※簡略化しています

22. 22 Security Hub と GuardDuty の検知の違い Security Hub︓リソースの設定項⽬（Configuration）を確認 GuardDuty ︓VPC

    フローログ、CloudTrail イベントログ、DNS ログ等を確認 通信ログ（VPC フローログ） イベントログ（AWS CloudTrail ログ）

23. 23 Security Hub と GuardDuty の検知の違い 設定項⽬（Configuration）※ "configuration": { "attachments":

    [ { "device": "/dev/xvda", "instanceId": "i-99999999999999999” } ], "availabilityZone": "ap-northeast-1a", "encrypted": true, "size": 8, "iops": 3000, "volumeType": "gp3", "throughput": 125 }, ※簡略化しています 通信ログ（VPC フローログ） イベントログ（AWS CloudTrail ログ） Security Hub︓リソースの設定項⽬（Configuration）を確認 GuardDuty ︓VPC フローログ、CloudTrail イベントログ、DNS ログ等を確認 両⽅使いましょう︕

24. 24 失敗例から学ぶ Security Hub / GuardDuty 導入時の考慮事項

25. 25 ここからは 失敗例・悩みとその改善例を紹介します

26. 26 どのような状況でも効果がある対策は ありませんが、 失敗例を知っておくことで教訓を生かして 検討がスムーズになる場合があります

27. 27 それでは失敗例を見ていきます

28. 28 すべてのチェック項目を満たそうとして 疲弊する GuardDuty Security Hub

29. 29 失敗例・悩み 全ての項⽬に必ず対応しなければいけないという思い込みにより疲弊してしまう コントロール数は継続的に増えており、⼀度にすべて対応するのは難しい 対応には AWS に対する習熟が必要なときもある 205 31 GuardDuty

    Security Hub 2年10ヶ⽉

30. 30 改善例① チェック項⽬（コントロール）をすべて満たすことは必須ではない ベストプラクティスは、あくまで理論上の最善である 対応コストに⾒合わない場合もある 対応しないコントロールは無効化（チェック項⽬から除外）できる コントロール内で特定リソースだけ抑制できる 無効化 抑制 GuardDuty

    Security Hub

31. 31 改善例① 社内セキュリティポリシーに応じて利⽤するコントロールを選定することが 望ましいが、難しい場合もある（ポリシーの抽象度が⾼い、オンプレ前提 など） 重要度で選定することもある（例︓CRITICAL, HIGH だけ対応） CRITICAL HIGH

    MEDIUM LOW GuardDuty Security Hub

32. 32 改善例① 導⼊事例をアウトプットしている企業もあり、コントロール選定の参考にできる DevelopersIO のブログでも紹介されている https://dev.classmethod.jp/articles/ securityhub-9-new-controls-2022- 12-22/ https://dev.classmethod.jp/articles/ securityhub-fsbp-updates-2022-02-

    04/ クラスメソッドメンバーズのお客様は Classmethod Cloud Guidebook で⼀覧を⾒れます GuardDuty Security Hub

33. 33 リリース後 / 直前に有効化した結果 対処できない GuardDuty Security Hub

34. 34 失敗例・悩み 構成変更が必要な項⽬、稼働中の対応が難しい項⽬に対処できないパターン 例えば、次の項⽬ではインスタンスの停⽌が必要となる場合がある [EC2.3] 添付済みの EBS ボリュームは、保管中に暗号化する必要があります ０．EC2 インスタンスを停⽌（もしくは静⽌点を作成）

    １．スナップショットを作成 ２．スナップショットをコピーし、その際に暗号化を有効化 ３．コピーしたスナップショットからEBSボリュームを作成 ４．暗号化されたEBSボリュームをEC2インスタンスにアタッチ 【参考】【Security Hub修復⼿順】[EC2.3] 添付済みの EBS ボリュームは、保管中に暗号化する必要があります GuardDuty Security Hub

35. 35 改善例① 開発初期から Security Hub を利⽤する 組織的な対応としてアカウント作成時の初期設定に含めることも多い https://dev.classmethod.jp/articles/ aws-security-operation-bestpractice- on-secure-account/

    クラスメソッドメンバーズのセキュアアカウントの初期設定サービス GuardDuty Security Hub

36. 36 最初だけ頑張ってあとは放置 GuardDuty Security Hub

37. 37 失敗例・悩み 導⼊時は稼働・体制を確保してしっかり対応したが その後は放置して新しいコントロールに対応できていないパターン 継続的に対応することで効果を最⼤化できる 205 31 136 1年前に導⼊ 未対応のコントール

    (新規コントロールを⾃動で有効化する 設定の場合はセキュリティスコアが下 がって気づくこともある) GuardDuty Security Hub

38. 38 改善例① 1週間 〜 1ヶ⽉に⼀度など、定期的に失敗したリソースの対応検討や 新しいコントロールへの対応⽅針を話す時間を事前に確保する 判断を早くするために関係者（インフラ、アプリ、セキュリティ担当など）が 揃っていると進みやすい 【参考】Security-JAWS（YouTube で過去の勉強会を視聴できる）

    AWS Security Hubをちゃんと運⽤した話 GuardDuty Security Hub

39. 39 改善例② Security Hub 対応を組織・プロジェクトの KPI として定める そのためには、マネジメント層の理解が重要となる マネジメント層にセキュリティの AWS

    トレーニングを受講してもらい、 意識付けする場合もある https://dev.classmethod.jp/articles/ aws-training-guide2/ AWS Security Essentials 〜セキュリティ基礎1⽇コース〜 GuardDuty Security Hub

40. 40 有効化するだけで満足してしまう Security Hub GuardDuty

41. 検知 対処 アーカイブ・抑制 検知結果の確認 過検知 問題あり 通知 41 失敗例・悩み GuardDuty

    を有効化しただけで終わるパターン 通知設定をしていないので、有効化していることも忘れてそのうち⾒なくなる ここで⽌まっている Security Hub GuardDuty

42. 42 改善例① メールやチャットツールに通知する、チケット管理システムに登録する 【参考】EventBridge API Destinationsを使ってGuardDuty検知をBacklogに⾃動起票してみた https://dev.classmethod.jp/articles/guard duty-notification-via-securityhub/ Slack への通知例

    Security Hub GuardDuty

43. 43 通知が多すぎて見なくなる （GuardDuty） Security Hub GuardDuty

44. 44 失敗例・悩み 複数のアカウントで運⽤している場合や公開システムが多い環境では 通知が多くなる場合がある Security Hub GuardDuty

45. 45 改善例① 過検知が何度も発⽣する場合は抑制を検討する 抑制は、条件を組み合わせ設定できる - 検出結果タイプ ＋ EC2インスタンスID - 検出結果タイプ

    ＋ 送信元IPアドレス など 参考）GuardDutyの抑制ルールを活⽤してセキュリティ検知のノイズを減らす Security Hub GuardDuty 検知 対処 アーカイブ・抑制 検知結果の確認 過検知 問題あり 通知

46. 46 改善例② 重要度毎に通知先を変更して、視認性をよくする 【参考】GuardDutyの通知が重要度でフィルター可能になりました 重要度別にGuardDutyをSlackに通知してみた HIGH MEDIUM LOW aws-guardduty-high aws-guardduty-medium

    aws-guardduty-low ⼀部の検出結果タイプは異なるチャンネルに通知（作り込みが必要） 重要度 Slack チャンネル Security Hub GuardDuty

47. 47 改善例③ GuardDuty 単独で導⼊ではなく Security Hub とセットで導⼊・対応する Security Hub の

    に対応するだけでも GuardDuty の通知は 数件/⽉/アカウント 程度になることが多い印象 例えば UnauthorizedAccess:EC2/SSHBruteForce UnauthorizedAccess:EC2/RDPBruteForce の通知の低減が期待できる 対応 Security Hub GuardDuty HIGH CRITICAL

48. 48 通知が多すぎて見なくなる （Security Hub） GuardDuty Security Hub

49. 49 失敗例・悩み Security Hub の単純な通知設定ではコントロール 1 個に対してメールが⼀通 送信されることから、こうなりがち ⼀度に数⼗件以上の通知 全選択して既読っと

    よし︕仕事しよう GuardDuty Security Hub

50. 50 改善例①/② 重要度でフィルタして現実的な対応数に絞る → 落ち着いたら徐々に拡⼤ 重要度毎に通知先を変更して視認性をよくする、低い重要度は通知しない 【参考】Security Hubの通知を重要度でフィルタリング設定する CRITICAL HIGH

    MEDIUM CRITICAL CRITICAL HIGH CRITICAL HIGH MEDIUM LOW CRITICAL HIGH MEDIUM LOW aws-security-hub-critical aws-security-hub-high 重要度 Slack チャンネル GuardDuty Security Hub

51. 失敗のコントロール数をサマリにして通知（作り込みが必要） 定期的に確認する前提で Security Hub は通知しない判断もある 通知する仕組みの維持管理負担も少なからず発⽣するため 51 改善例③/④ 緊急︓ 1件

    ⾼ ︓ 3件 中 ︓10件 低 ︓ 4件 A-Project 111111111111 1件 B-Project 222222222222 10件 C-Project 333333333333 4件 GuardDuty Security Hub 実現⽅法を 確認中

52. 52 インシデントと判断したが 何をすればよいか分からない Security Hub GuardDuty

53. 53 失敗例・悩み GuardDuty の検知からインシデントと判断したが、 どう対処すればよいか分からない、社内のエスカレーション先が分からない 対応が遅れている間に、情報漏えいやマイニングによる料⾦の被害が⼤きなる 可能性がある Security Hub GuardDuty

54. 54 改善例① 事前にインシデント対応フローを整理しておく 組織内の既存インシデント対応フローとの整合性を確保する 参考になるドキュメント AWS Security Incident Response Guide

    - インシデント対応の基本事項の概要 - オンプレミスと異なる点の説明 - Appendix として 対応 Playbook のサンプル https://dev.classmethod.jp/articles/aws- security-incident-response-guide/ Security Hub GuardDuty

55. 55 改善例① 【参考】JPCERT/CC インシデントハンドリングマニュアル CSIRT 運⽤やインシデントハンドリングに 関するフロー、知⾒、ノウハウが掲載 されている Security Hub

    GuardDuty

56. 56 改善例① インシデントが発⽣したシステムの担当者の対応を整理しておく Security Hub GuardDuty AWS 全体管理者 セキュリティ部⾨ セキュリティパートナー

    プロジェクト担当 経営層 インシデント報告 連携 調査依頼 連携して対応 検出結果タイプ ⼀次対応・⼿順 エスカレーション先 Backdoor:EC2/C&CActivity.B Backdoor:EC2/C&CActivity.B!DNS マルウェア感染を確認した場合、 EC2 インスタンスを隔離 （⼿順のリンク） 【Tel】 セキュリティ部⾨ 【Mail】To︓セキュリティ部⾨ ML Cc︓AWS全体管理者 ML Cc︓マネージャー 対応イメージ

57. 57 改善例① 組織内のクラウド運⽤を CCoE などの全体管理者と役割分担している場合、 インシデント対応は連携して対応する必要がある AWS 全体管理者側でインシデントを検知して対応開始となることもある 役割分担して AWS

    運⽤ Security Hub GuardDuty AWS 全体管理者 セキュリティ部⾨ セキュリティパートナー プロジェクト担当 経営層 インシデント報告 連携 調査依頼 連携して対応

58. 58 改善例① ⼀次対応や影響調査に関するスキルの事前習熟が望ましい AWS CloudTrail や Amazon CloudWatch Logs の調査⽅法の把握

    調査を効率化できる Amazon Detective の利⽤の検討 Security Hub GuardDuty AWS 全体管理者 セキュリティ部⾨ セキュリティパートナー プロジェクト担当 経営層 インシデント報告 連携 調査依頼 連携して対応

59. 59 改善例① 影響調査をするには CloudTrail イベントログなどの検索が必要となるため 事前に習熟しておく マネジメントコンソールからアクセスキーの利⽤を検索 マネジメントコンソールのイベント履歴は 90 ⽇間のみ

    検索条件も限定的なため、詳細な調査ができるように S3 に出⼒して Athena で検索できる状態が望ましい Athena の CloudTrail イベントログの検索 アクセスキーIDを使⽤してアクティビティをフィルタングする例 【参考】特定の IAM ユーザー、ロール、および AWS アクセス キーのアカウントアクティビティをモニタリングするに はどうすればよいですか? SELECT eventTime, eventName, userIdentity.principalId,eventSource FROM athena-table WHERE useridentity.accesskeyid like 'AKIAIOSFODNN7EXAMPLEʼ AND eventTime >= '2023-02-05T00:00:00.000Z' AND eventTime <= '2023-02-06T00:00:00.000Z' Security Hub GuardDuty

60. 60 改善例① フォレンジック調査の依頼を迅速に⾏うために、 事前にセキュリティパートナーとの連携⽅法を整備しておくこともある フォレンジックサービスの提供企業を探すときは IPA の公開ページが役⽴つ 情報セキュリティサービス基準適合サービスリストの公開 Security Hub

    GuardDuty AWS 全体管理者 セキュリティ部⾨ セキュリティパートナー プロジェクト担当 経営層 インシデント報告 連携 調査依頼 連携して対応

61. 61 コストが思ったより高くなった Security Hub GuardDuty

62. 62 失敗例・悩み 事前のコスト試算は難しく、想定コストと乖離する場合がある 特に、リソース作成/削除が多い環境は Security Hub のチェック回数が多くなる https://aws.amazon.com/jp/security-hub/pricing/ AWS Security

    Hub の料⾦ Amazon GuardDuty の料⾦ https://aws.amazon.com/jp/guardduty/pricing/ Security Hub GuardDuty

63. 63 改善例① 無償期間の 30 ⽇間でコストを把握する Security Hub / GuardDuty を全リージョンで有効化する場合、

    よく使うリージョン、グローバルリソースがあるバージニア北部リージョン、 あまり使わないリージョンでそれぞれのコストを把握しておくとよい Security Hub GuardDuty Security Hub の使⽤状況の例 GuardDuty の使⽤状況の例

64. 64 改善例② Security Hub は必要に応じて次のコスト削減策ができる - チェック回数を減らすためにコントロールの無効化 - Security Hub

    の利⽤前提で有効化する必要のある AWS Config の コスト削減のために記録リソースを制限（上級者向け） Security Hub GuardDuty

65. 65 組織内に導入したが対応してもらえない Security Hub GuardDuty

66. 66 失敗例・悩み 組織内の全ての AWS アカウントに導⼊したが、対応してもらえない Security Hub GuardDuty

67. 67 改善例① 1週間 〜 1ヶ⽉に⼀度など、定期的に失敗したリソースの対応検討や 新しいコントロールへの対応⽅針を話す時間を事前に確保する 判断を早くするために関係者（インフラ、アプリ、セキュリティ担当など）が 揃っていると進みやすい 【参考】Security-JAWS（YouTube で過去の勉強会を視聴できる）

    AWS Security Hubをちゃんと運⽤した話 GuardDuty Security Hub 再掲

68. 68 改善例② Security Hub 対応を組織・プロジェクトの KPI として定める そのためには、マネジメント層の理解が重要 マネジメント層にセキュリティの AWS

    トレーニングを受講してもらい、 意識付けする場合もある https://dev.classmethod.jp/articles/ aws-training-guide2/ AWS Security Essentials 〜セキュリティ基礎1⽇コース〜 GuardDuty Security Hub 再掲

69. 69 改善例③ Security Hub の重要なチェック項⽬の対応放置は、 時間経過でプロジェクト管理者への通知や経営層が出席する会議に付議する プロジェクト担当者 プロジェクト管理者 経営陣 AWS

    全体管理者 会議に付議 通知 通知 0〜1⽇ 1ヶ⽉ 6ヶ⽉ GuardDuty Security Hub

70. 70 改善例④ 通知を⾒やすく加⼯する 何も加⼯しなければ JSON 形式のため中⾝を⾒ようと思われない 【参考】GuardDutyからのイベント通知をちょっと⾒やすくして通知する Security Hub イベントを⾒やすく加⼯して

    Eメール通知してみる Security Hub GuardDuty

71. ポジティブな通知や達成のお祝いをしてモチベーションを上げる 71 改善例⑤ https://dev.classmethod.jp/articles/dev io-2022-how2make-strongest-aws- secure-accounts/ スコアを低い順ではなく⾼い順に表⽰ 達成はみんなでお祝い 周りの巻き込み⽅の紹介 具体的なアクションをリクエストする通知

    GuardDuty Security Hub

72. 72 改善例⑥ システムの重要度に応じて満たすべきコントロールを変更する 最も厳しい要件のシステム（⼈命に関わるシステム、重要情報を扱うシステムなど）を 中⼼に⼀律で社内ルールが定められている場合、ビジネススピードが遅くなる 懸念がある GuardDuty Security Hub 個⼈情報、お客様情報を扱うシステム

    その他のシステム コントロール コントロール コントロール コントロール コントロール コントロール コントロール コントロール コントロール コントロール コントロール

73. 73 AWS Control Tower 注目の機能 Security Hub を⾃由に設定・運⽤したいプロジェクト担当と、 最低限満たしてほしいコントロールがある全体管理者の要望を両⽴できる機能 GuardDuty

    Security Hub AWS 基礎セキュリティのベストプラクティス v1.0.0 CIS AWS Foundations Benchmark v1.2.0 CIS AWS Foundations Benchmark v1.4.0 PCI DSS v3.2.1 サービスマネージド標準: AWS Control Tower プロジェクト担当者 AWS 全体管理者 【参考】 [アップデート]AWS Security Hubのセキュリティ標準で『Service-Managed Standard: Control Tower』が利⽤可能になりました

74. 74 その他

75. 75 その他いろいろ ▪AWS 基礎セキュリティベストプラクティス (AFSBP) で⼗分だったため、 後からデフォルト有効化されている CIS Benchmark v1.2

    基準を無効化したく なったが、組織内でセキュリティを弱める判断を下すのが難しい → AFSBP は項⽬数が多く、CIS Benchmark と被っている内容もあるため まずは AFSBP で運⽤してみて他基準を検討する進め⽅もある ▪Security Hub のコントロールに対応する AWS Config のリソースが記録されて おらず、チェックできていなかった → AWS Config の記録リソースは全てのリソースが推奨である ただし、コストが許容できない場合は記録リソースの精査も要検討となる

76. 76 その他いろいろ ▪Security Hub / GuardDuty の機能が組織内の運⽤⽅針と合わずに利⽤し なくなった → 運⽤をサービスに合わせる

    サードパーティ製品の利⽤を検討する ぜひ機能改善要望を出してください︕

77. 77 さいごに

78. 78 さいごに AWS セキュリティサービスの導⼊に関する失敗例・悩みを紹介しました 世の中のキラキラした成功事例ばかりが気になってしまいがちですが、 成功事例になるまでには多くの失敗もあったのではないかと思います 本セッション内容が、少しでも前進するためのヒントになれば幸いです

79. 79 謝辞 失敗事例のご提供をありがとうございました

80. yhana AWS事業本部 コンサルティング部 エキスパートソリューションアーキテクト 2022 APN AWS Top Engineers (Security)

    80 自己紹介
81. None