SIEMを用いて、セキュリティログ分析の可視化と分析を実現し、PDCAサイクルを回してみた

Copyright coconala Inc. All Rights Reserved. SIEMを用いて、セキュリティログ分析の可視化と分析を実現し、 PDCAサイクルを回してみた
株式会社ココナラ川崎雄太 2024/04/17 DevOpsDays Tokyo 2024 ＠大崎ブライトホール

Copyright coconala Inc. All Rights Reserved. 発表者紹介 2 川崎雄太　Yuta
Kawasaki @yuta_k0911 株式会社ココナラシステムプラットフォーム部部長 / Head of Information SRE / 情シス / セキュリティ領域のEM SRE NEXT 2024のコアメンバー去年の自慢：PR TIMESに3回載った✨

Copyright coconala Inc. All Rights Reserved. ココナラのエンジニア数の変遷 4 事業拡大に合わせて3年で約3倍の組織規模に成長 2020年
2023年フェーズ上場前上場後エンジニア数 20人強 70人強リポジトリ数 45 170以上

Copyright coconala Inc. All Rights Reserved. 6 Agenda ココナラで抱えていたセキュリティの課題セキュリティログ分析への取り組み
セキュリティの課題をどのように解決していったか？ SIEM on Amazon OpenSearch Serviceの導入効果今後の取り組み 2 1 5 3 4

Copyright coconala Inc. All Rights Reserved. ココナラの上場前後でのセキュリティ課題 8 内部脅威・外部脅威に分類し、アセスメントを実施 ※2021年時点の情報
対策度合いを数値で表し、数値が小さい＝優先度高と定義。例えば、この時点では「DDoS攻撃」や「脆弱性攻撃」の対策が弱み。

Copyright coconala Inc. All Rights Reserved. アセスメント後、急いで対策を進めたものの、リアクティブなものばかり…😵 昨今、DDoS攻撃や不正アクセスなど、Web サービスが攻撃にさらされる機会は増えてお
り、何かプロアクティブにできる対策はないかと真剣に考えました🤔 9

Copyright coconala Inc. All Rights Reserved. そこで思いついたことが・・・💡 突然ですが、「セキュリティログ分析」に取り組んでいますか？🤔
10

Copyright coconala Inc. All Rights Reserved. セキュリティログ分析とは？ 11 システムのコンディション把握と打ち手の創出をすること分析、検知、監査、監視など目的は様々だ
が、「ある時点のシステムの状態（コンディション）を把握」し、そこから「対応が必要な場合の打ち手を創出する」ことを目的としている。システムの規模が大きくなればなるほど、ログの量が膨大となるため、分析の仕組みが不可欠となる。

Copyright coconala Inc. All Rights Reserved. セキュリティログ分析をする ↓ 攻撃の痕跡・予兆を見つける ↓
プロアクティブな対策を講じる ↓ これって信頼性向上だし、リアクティブを減らす＝生産性向上では！？💪 12

Copyright coconala Inc. All Rights Reserved. ということで本日のテーマはセキュリティログの分析。セキュリティとSRE /
DevOpsを掛け算することで、より良いシステム運用ができるようになります！😁 13

Copyright coconala Inc. All Rights Reserved. さて、どうやって「セキュリティログ分析」をするか？🤔 1.人に読みやすくない😵 →情報量が多すぎる＆相関関係がわかりにくい
2.ログの量が膨大😵 →WAFログだけで120GB以上/日 15

Copyright coconala Inc. All Rights Reserved. セキュリティログ分析の手段比較 16 無計画だとコストが肥大化するが、容易性の高さが決め手 SIEM
on Amazon OpenSearch Service S3 + Athena メリット可視化・モニタリングが容易継続したモニタリング / アラート発報にも適しているコストが比較的安価特定時点のモニタリングに適しているデメリット取り込むデータ量に応じて、コストが増加継続したモニタリングに不向きアラート発報などの作り込みが必要

Copyright coconala Inc. All Rights Reserved. SIEM on Amazon OpenSearch
Serviceとは？ 17 AWSが提供するログ相関分析・可視化のソリューション

Serviceでモニタリングしているもの 18 主には以下の4つ、随時モニタリング可能なものを拡充中 • AWS WAF ⭐後ほど紹介します！ • Amazon Elastic Load Balancing ⭐後ほど紹介します！ • Amazon GuardDuty • AWS CloudTrail

Copyright coconala Inc. All Rights Reserved. セキュリティの課題をどのように解決していったか？ Chapter 03
19

Serviceを用いたWAFログのモニタリング（1/4） 21 日次で傾向把握と分析、過去との比較からパターン化ココナラは国内を中心にサービスをしているため、国内・海外のIPアドレスによるアクセス状況 / ブロック状況 / エラー発生状況などをモニタリングする。アクセス状況を見て、WAFルールの点検などを行い、プロアクティブに攻撃への対策を実施。

Serviceを用いたWAFログのモニタリング（2/4） 22 システム全体のアクセス状況を把握

Serviceを用いたWAFログのモニタリング（3/4） 23 アクセス状況の詳細を把握、分析

Serviceを用いたWAFログのモニタリング（4/4） 24 WAFログ1行1行を人にわかりやすい形で確認

Serviceを用いたELBログのモニタリング（1/3） 25 日次で傾向把握と分析、攻撃の芽を早めに摘む 4xx系と5xx系のリクエストが30秒あたりに100回を超えた場合に怪しいアクセスが増加したと判断し、随時セキュリティログ分析を行う運用をしている。特に不正なURLへのアクセスを多数確認したら、WAFのIPアドレス拒否リストへ追加する運用を実現。

Serviceを用いたELBログのモニタリング（2/3） 26 HTTPレスポンスコードの状況から攻撃の芽を特定する

Serviceを用いたELBログのモニタリング（3/3） 27 IPアドレス別、国別、UA別、URL別のアクセス状況を分析する

Copyright coconala Inc. All Rights Reserved. ココナラで実践しているセキュリティモニタリング運用 28 毎営業日モニタリングを実施し、アクションを創出する毎営業日17:00時
点の情報で定点確認（WAFログ以外も含めて、レポート作成）問題があれば、毎営業日18:00に集まり、確認・議論当日〜翌日以降のアクションを決めて、チケット化 ※↑は定常運用なので、異常が発生した場合は　アラートを発報し、随時調査しています！

Copyright coconala Inc. All Rights Reserved. 実際にセキュリティログ分析をしてみてわかったこと 29 意外と攻撃やお行儀の悪いアクセスは来ている想像以上にお行儀の悪いアクセス・攻撃と思
われるアクセスが頻繁に来ていた。例えば、◯snbotがとんでもない頻度でアクセス（おそらくスクレイピング）していて、閾値に引っかかっていた。怪しいアクセスは「5xx系」ではなく、「403」で返せれば止まることが大多数！

Serviceの導入効果 Chapter 04 30

Copyright coconala Inc. All Rights Reserved. 日次モニタリング運用を効率的・効果的に実現できた 32 可視化・分析結果を確実にアクションまで落とし込めたモニタリングの結果から、悪意のある
or お行儀の悪いアクセスをしているIPアドレスを30以上捕捉し、拒否リストへ登録した。（累計計1億回以上のアクセスをブロック）上記運用を行うことで、ログイン状況 / 新規アクセスなどの事業KPIへのノイズを除去することができた。

Copyright coconala Inc. All Rights Reserved. 状況が見えることで、アクションが打てるようになった 33 可視化 →
分析 → 改善のサイクルを回せるようになったシステム全体のアクセス状況をダッシュボード化し、ドリルダウンによる分析・異常値のを視覚的な把握によって、セキュリティインシデントの予兆検知と発生後の分析高速化を実現した。その結果、前述の拒否リストのアクションまでつなげることができた。

Copyright coconala Inc. All Rights Reserved. 継続したリファクタリングの実践 35 一度、導入して終わりではなく、継続したリファクタリングを行う攻撃は日々進化しているため、チューニング
/ リファクタリングが必要。怪しいアクセスを403で返されば信頼性は高まると言えるが、油断はできない。・閾値によるモニタリングの脱却 → 機械学習による異常予測検知・AIOpsによる速やかな原因分析・・・and more！

Copyright coconala Inc. All Rights Reserved. 新たなソリューションへの積極的なアプローチ 36 より良いソリューションを積極的にキャッチアップするセキュリティ対策ソリューションも日々進化し
ているので、今のアーキテクチャーや運用が最適解ではなくなるタイミングもいずれは訪れる。急にそのタイミングが訪れてあたふたしないように日々、他社事例の収集や最新ソリューションの動向を追いかけることが大事。

Copyright coconala Inc. All Rights Reserved. 40 ## AWS WAFログのサンプル
{"timestamp":1660500016184,"formatVersion":1,"webaclId":"arn:aws:wafv2:xxxxxxxxxx:x xxxxxxxxxxx:regional/webacl/coconala-xxx-xxx/fxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx","t erminatingRuleId":"Default_Action","terminatingRuleType":"REGULAR","action":"ALLOW ","terminatingRuleMatchDetails":[],"httpSourceName":"ALB","httpSourceId":"xxxxxxxxxxx x-app/coconala-xxxxxxxxx/62e94fe4ea5bbd7d","ruleGroupList": 〜〜中略〜〜 "requestHeadersInserted":null,"responseCodeSent":null,"httpRequest":{"clientIp":"xxx.xx x.xxx.xxx","country":"JP","headers":[{"name":"host","value":"coconala.com"},{"name":"acc ept","value":"application/octet-stream,image/x-icon,image/jpg,image/jpeg,image/png,ima ge/x-win-bitmap,image/ico,image/x-bmp,image/tiff,image/gif,image/bmp,image/x-xbitmap ,binary/octet-stream,image/x-ms-bmp"},{"name":"user-agent","value":"Coconala/x.xx.x (com.coconala.ios.portal; build:x.xx.x; iOS xx.x.x) 〜〜後略〜〜

Copyright coconala Inc. All Rights Reserved. SIEMの仕組みとAWS WAF Bot Controlを組み合わせてみた
42 Botのアクセスを深掘りし、悪意を早期発見 BotとBot以外のアクセス状況をリアルタイムに可視化。Botをカテゴライズして、状況を見ることが可能。ココナラでは、Botによるアクセスが増加した場合、攻撃の可能性もあるため、SIEM を確認する運用を実施。

Serviceを用いたGuardDutyのモニタリング（1/3） 43 日次で傾向把握と分析、攻撃の芽を早めに摘む • ココナラでは、脅威発生状況（脅威の種類、IPアドレス別、国別、など）を確認・分析。 • 脅威を行うIPアドレスはHTTPリクエストとしても攻撃を仕掛けてくる可能性があるので、AWS WAF / ELBログの状況と突き合わせを行い、こちらもWAFのIPアドレス拒否リストへ追加する運用を実現。

Serviceを用いたGuardDutyのモニタリング（2/3） 44 リージョン別、時間帯別の脅威状況を分析する

Serviceを用いたGuardDutyのモニタリング（3/3） 45 種類別、IPアドレス別、ロケーション別の脅威状況を分析する

SIEMを用いて、セキュリティログ分析の可視化と分析を実現し、PDCAサイクルを回してみた

SIEMを用いて、セキュリティログ分析の可視化と分析を実現し、PDCAサイクルを回してみた

More Decks by Yuta Kawasaki

Other Decks in Technology

Featured

Transcript