20190919 JAWS-UG

1. © 2019, Amazon Web Services, Inc. or its Affiliates. All rights reserved. Amazon Confidential and Trademark© 2019, Amazon Web Services, Inc. or its Affiliates. All rights reserved. Amazon Confidential and Trademark
Solutions Architect ⼤松 宏之
2019/09/19
よくご相談いただくセキュリティの
質問と考え⽅

2. © 2019, Amazon Web Services, Inc. or its Affiliates. All rights reserved. Amazon Confidential and Trademark
⾃⼰紹介
⼤松 宏之（おおまつ ひろゆき）
所属︓Solution Architect
経歴︓情報システム部⾨でインフラ（Network, Mail, Web）を担当する傍ら、
某ネットワーク系イベントのチームメンバーを経験、その後AWSへ
好きなAWSサービス︓Amazon GuardDuty, AWS Transit Gateway

3. © 2019, Amazon Web Services, Inc. or its Affiliates. All rights reserved. Amazon Confidential and Trademark
本セッションの⽬的
よくご相談いただく実際のセキュリティの質問を通して、
取り組み⽅を理解していただくこと

4. © 2019, Amazon Web Services, Inc. or its Affiliates. All rights reserved. Amazon Confidential and Trademark
良い機会なのでおさらい

5. © 2019, Amazon Web Services, Inc. or its Affiliates. All rights reserved. Amazon Confidential and Trademark
責任共有モデル

6. © 2019, Amazon Web Services, Inc. or its Affiliates. All rights reserved. Amazon Confidential and Trademark
ホワイトペーパー
AWSセキュリティベストプラクティス
https://d1.awsstatic.com/whitepapers/ja_JP/Security/AWS_Security_Best_Practices.pdf

7. © 2019, Amazon Web Services, Inc. or its Affiliates. All rights reserved. Amazon Confidential and Trademark
Trusted Advisor
AWS環境を⾃動監視し推薦設定をお知らせする
コスト最適化、パフォーマンス、セキュリティ、耐障害性、サービス制限に関
するアドバイス
• 不要リソースやアイドル状態のリソースを検出
• リザーブドインスタンスの利⽤状況を可視化
• セキュリティー脆弱性の通知
• AZ間のリソースのバランスの最適化
• サービス制限の閾値超え通知
https://aws.amazon.com/jp/premiumsupport/trustedadvisor/best-practices/

8. © 2019, Amazon Web Services, Inc. or its Affiliates. All rights reserved. Amazon Confidential and Trademark
よくいただく質問

9. © 2019, Amazon Web Services, Inc. or its Affiliates. All rights reserved. Amazon Confidential and Trademark
Q. セキュリティ対策なにをすべきですか︖
Q. なにか起きた時どう対応すれば良いでしょうか︖

10. © 2019, Amazon Web Services, Inc. or its Affiliates. All rights reserved. Amazon Confidential and Trademark
Q. セキュリティ対策なにをすべきですか︖
Q. なにか起きた時どう対応すれば良いでしょうか︖

11. © 2019, Amazon Web Services, Inc. or its Affiliates. All rights reserved. Amazon Confidential and Trademark
継続的セキュリティをやる意義
環境変化適応 スピード コスト最適
セキュリティ対策
は実施した瞬間
から危殆化する
セキュリティ
侵害は攻撃側
の⽅が速い
リスクベース
のアプローチ
で考える

12. © 2019, Amazon Web Services, Inc. or its Affiliates. All rights reserved. Amazon Confidential and Trademark
セキュリティリスクの⽅程式
脅威 脆弱性 情報資産
Threats Vulnerabilities Assets
標的型攻撃
マルウェア
サイバー攻撃
セキュリティホール
設定ミス
⼼理的要素
機密情報
個⼈情報
知的財産

13. © 2019, Amazon Web Services, Inc. or its Affiliates. All rights reserved. Amazon Confidential and Trademark
リスクの分析と可視化
リスク分析
情報資産分析脆弱性分析脅威分析
✓異常検知
✓脅威インテリジェンス
✓脆弱性診断
✓ベンチマーク評価
✓ユーザー振る舞い分析
✓情報漏洩防⽌

14. © 2019, Amazon Web Services, Inc. or its Affiliates. All rights reserved. Amazon Confidential and Trademark
リスクの分析と可視化
リスク分析
情報資産分析脆弱性分析脅威分析
✓異常検知
✓脅威インテリジェンス
✓脆弱性診断
✓ベンチマーク評価
✓ユーザー振る舞い分析
✓情報漏洩防⽌
Amazon GuardDuty Amazon Inspector Amazon Macie

15. © 2019, Amazon Web Services, Inc. or its Affiliates. All rights reserved. Amazon Confidential and Trademark
継続的監視と脅威検知 – Amazon GuardDuty
悪意のあるスキャン
インスタンスへの脅威
アカウントへの脅威
HIG
H
MEDIU
M
LOW
検出結果データソース脅威の種類
・ポートスキャン
・総当たり攻撃
・C&Cサーバーとの通信
・アウトバウンドDDoS
・不正なAPIの呼び出し
・予期しないリソースアクセス
機械学習を⽤いたクラウドネイティブな脅威検知サービス
VPC Flow logs
(ネットワークログ)
DNS Logs
(DNSクエリログ)
AWS CloudTrail
(API操作ログ)
Amazon GuardDuty

16. © 2019, Amazon Web Services, Inc. or its Affiliates. All rights reserved. Amazon Confidential and Trademark
プラットフォーム脆弱性分析 – Amazon Inspector
CVEルールに基づいた脆弱性診断結果画⾯
• ホスト型脆弱性診断サービス
• CVE(共通脆弱性識別⼦)やCIS業界ベンチマークに
基づいたリスク評価
• エグゼクティブサマリー含めた評価レポート
BUILD
CO
DE
TEST
CO
NFIGURE
M
O
NITO
R
PLAN
DEPLO
Y
API連携によって開発運⽤プロセスにリスク評価を統合
Amazon Inspector

17. © 2019, Amazon Web Services, Inc. or its Affiliates. All rights reserved. Amazon Confidential and Trademark
Amazon Inspector のルールパッケージ
• ホスト評価のルール
• CVEに基づく⼀般的な脆弱性
• CIS Operating System Security Configuration Benchmarks
• セキュリティのベストプラクティス
• 実⾏時の動作の分析
• ネットワーク到達可能性のルール

18. © 2019, Amazon Web Services, Inc. or its Affiliates. All rights reserved. Amazon Confidential and Trademark
事業価値のあるデータを保護 – Amazon Macie
• 継続的監視によりデータ漏えいや不正
アクセスを検知
• 個⼈特定情報 (PII)、個⼈医療情報
(PHI)、知的財産 (IP)、ソースコード、
認証情報などの機密データを識別
• ユーザー振る舞い分析により、リスク
の⾼い不審なアクティビティを特定
S3に保存データの分類と可視化
CloudTrailイベントの時系列表⽰
情報漏えい防⽌(DLP) + ユーザー振る舞い分析(UEBA)

19. © 2019, Amazon Web Services, Inc. or its Affiliates. All rights reserved. Amazon Confidential and Trademark
リスクの分析と可視化
リスク分析
情報資産分析脆弱性分析脅威分析
✓異常検知
✓脅威インテリジェンス
✓脆弱性診断
✓ベンチマーク評価
✓ユーザー振る舞い分析
✓情報漏洩防⽌
Amazon GuardDuty Amazon Inspector Amazon Macie
AWS Security Hub

20. © 2019, Amazon Web Services, Inc. or its Affiliates. All rights reserved. Amazon Confidential and Trademark
リスク分析ダッシュボード – AWS Security Hub
AWS環境のセキュリティ・コンプライアンス状態を可視化
AWS Security Hub 管理コンソール画
⾯
Amazon
Macie
Amazon
Inspector
Amazon
GuardDuty
Compliance
Check

21. © 2019, Amazon Web Services, Inc. or its Affiliates. All rights reserved. Amazon Confidential and Trademark
リスクベースアプローチによる優先順位づけ
Amazon
Macie
Amazon
Inspector
Amazon
GuardDuty
セキュリティリスク
リスクベースアプローチ
AWS Security Hub
現時点のリスクの偏在を監視

22. © 2019, Amazon Web Services, Inc. or its Affiliates. All rights reserved. Amazon Confidential and Trademark
ベースラインアプローチによる補完
Amazon
Macie
Amazon
Inspector
Amazon
GuardDuty
セキュリティリスク
リスクベースアプローチ
AWS Security Hub
企業の守らなければいけないルールからの逸脱を評価
AWS Config
コンプライアンスルール
Compliance
Check
ベースラインアプローチ

23. © 2019, Amazon Web Services, Inc. or its Affiliates. All rights reserved. Amazon Confidential and Trademark
AWS Config による構成変更の記録

24. © 2019, Amazon Web Services, Inc. or its Affiliates. All rights reserved. Amazon Confidential and Trademark
マルチアカウント環境での統制
セキュリティ管理者アカウントで組織全体を監視
ガバナンス
AWS Organizations
Amazon
Macie
Amazon
Inspector
Amazon
GuardDuty
セキュリティリスク
AWS Config
コンプライアンスルール
Compliance
Check

25. © 2019, Amazon Web Services, Inc. or its Affiliates. All rights reserved. Amazon Confidential and Trademark
マルチアカウント戦略
AWS Organizationsで以下のアカウントを作成・管理
• マスターアカウント
• 共有サービスアカウント
• ログ管理⽤アカウント
• セキュリティアカウント
• セキュリティ管理者への通知
• Security Hub上でメンバーアカウントを監視
• Security HubでFindingsを集約

26. © 2019, Amazon Web Services, Inc. or its Affiliates. All rights reserved. Amazon Confidential and Trademark
Q. セキュリティ対策なにをすべきですか︖
Q. なにか起きた時どう対応すれば良いでしょうか︖

27. © 2019, Amazon Web Services, Inc. or its Affiliates. All rights reserved. Amazon Confidential and Trademark
Answer
リスクを把握
- GuardDuty を全リージョンで有効化
- InspectorでEC2インスタンスを評価
- MacieでS3にある重要データの棚卸し
- Security Hub でデータ集約して可視化
企業ルールとのギャップを認識
- Configで全リソースの設定変更記録
- Security HubでComplaiance Standardsを有効化
セキュリティ管理者アカウントで組織全体の監視
- セキュリティアカウントを作成
- Security Hub上で監視対象のメンバーアカウントを追加
- Security HubでFindingsを集約通知

28. © 2019, Amazon Web Services, Inc. or its Affiliates. All rights reserved. Amazon Confidential and Trademark
Q. セキュリティ対策なにをすべきですか︖
Q. なにか起きた時どう対応すれば良いでしょうか︖

29. © 2019, Amazon Web Services, Inc. or its Affiliates. All rights reserved. Amazon Confidential and Trademark
インシデントレスポンス
- AWS環境内のセキュリティインシデント対応の基本概念の理解
- セキュリティイベントを処理する前に、クラウドインシデント対応には経
験と教育が不可⽋
- クラウドにおけるインシデント対応の成功の秘訣は、教育、準備、訓練、
および反復

30. © 2019, Amazon Web Services, Inc. or its Affiliates. All rights reserved. Amazon Confidential and Trademark
教育 準備（⼈と技術） 訓練 反復

31. © 2019, Amazon Web Services, Inc. or its Affiliates. All rights reserved. Amazon Confidential and Trademark
教育 準備（⼈と技術） 訓練 反復

32. © 2019, Amazon Web Services, Inc. or its Affiliates. All rights reserved. Amazon Confidential and Trademark
責任共有モデル

33. © 2019, Amazon Web Services, Inc. or its Affiliates. All rights reserved. Amazon Confidential and Trademark
インシデント対応 – 設計⽬標
- 対応⽬標の設定
- クラウドを利⽤した対応
- 持っているものと必要なものを知る
- 再構築メカニズムの利⽤
- 可能な限り⾃動化
- スケーラブルなソリューションの選択
- プロセスの学習と改善

34. © 2019, Amazon Web Services, Inc. or its Affiliates. All rights reserved. Amazon Confidential and Trademark
セキュリティインシデント - 区分
サービス インフラストラクチャ アプリケーション

35. © 2019, Amazon Web Services, Inc. or its Affiliates. All rights reserved. Amazon Confidential and Trademark
セキュリティイベントの指標
ログとモニタリング 請求データ 脅威インテリジェンス パトナーツール AWSからの連絡 連絡先
インシデントとして検知もれしてしまう可能性のあるセキュリティイベントへの対応
いくつかの⽅法を検討して、 AWSクラウド環境でセキュリティ関連のイベントを検出

36. © 2019, Amazon Web Services, Inc. or its Affiliates. All rights reserved. Amazon Confidential and Trademark
教育 準備（⼈と技術） シミュレート 反復

37. © 2019, Amazon Web Services, Inc. or its Affiliates. All rights reserved. Amazon Confidential and Trademark
準備（⼈と技術）
役割と責任の定義
組織内の⼈間の責任と役割の確認
- 第三者が関与する必要があるかどうかの検討
- 信頼できるパートナー
- 影響を受けるアプリケーション・リソースの所有者
依存関係を減らし、応答時間を短縮するためのトレーニングの提供
- AWS認定トレーニング https://aws.amazon.com/jp/training/

38. © 2019, Amazon Web Services, Inc. or its Affiliates. All rights reserved. Amazon Confidential and Trademark
準備（⼈と技術）
対応メカニズムの定義
- 関係者と関連する連絡先を特定
- 適切なアクセス権があることを確認
- システム構成が理解できるドキュメントの準備
- インシデントを調査および修正する⼿順を定義
受け⼊れやすく適応性のあるセキュリティ⽂化を作成
予期しないセキュリティイベントの対応
- 信頼できるセキュリティパートナーと協⼒

39. © 2019, Amazon Web Services, Inc. or its Affiliates. All rights reserved. Amazon Confidential and Trademark
未知なるものへの対応
セキュアである状態の定義
- 確実な状態を認識しておけば、その逆が不明なもの
教育、コミュニケーション、研究
攻撃対象範囲の削減
- 対象を減らし、未知の攻撃に対する時間を増やす
アラート
- 使⽤しない地域またはサービスで発⽣するアクティビティ
機械学習

40. © 2019, Amazon Web Services, Inc. or its Affiliates. All rights reserved. Amazon Confidential and Trademark
教育 準備（⼈と技術） シミュレート 反復

41. © 2019, Amazon Web Services, Inc. or its Affiliates. All rights reserved. Amazon Confidential and Trademark
アカウントへのアクセス準備
インシデントに関係する環境とリソースへのアクセス
- フェデレーション
- クロスアカウント
- 認証

42. © 2019, Amazon Web Services, Inc. or its Affiliates. All rights reserved. Amazon Confidential and Trademark
アカウントへのアクセス準備
想定されるアクセスパターン
間接アクセス
- 専⾨家やインシデント対応チームからの指⽰を受けて対応を実⾏
直接アクセス
- インシデント対応者が直接アクセス
代替アクセス
- インシデントがIDや通信に影響している場合、別のアカウントで対応
⾃動アクセス
- 対応を⾃動化する場合、EC2やLambda⽤に専⽤のロールを作成

43. © 2019, Amazon Web Services, Inc. or its Affiliates. All rights reserved. Amazon Confidential and Trademark
プロセスの準備
調査と修復に必要な関連プロセスを定義および準備
- 調査と修復の流れと、その中での⽅針決定のやり⽅を明確化
- 代替アカウント
- View or Copy Data
- EBS スナップショットの共有
- CloudWatch Logs の共有
- 書き換え出来ないストレージ の利⽤
- イベントの近くでのリソースの利⽤
- リソースの分離
- フォレンジックワークステーションの起動

44. © 2019, Amazon Web Services, Inc. or its Affiliates. All rights reserved. Amazon Confidential and Trademark
サポート
AWS Support
- サポートプラン - リソースに影響を与える問題のサポート
- Abuse チーム - Amazon EC2の不正使⽤を報告
- https://support.aws.amazon.com/#/contacts/report-abuse
DDoS 対策
- AWS Shield Standard/Advanced
AWS Shield

45. © 2019, Amazon Web Services, Inc. or its Affiliates. All rights reserved. Amazon Confidential and Trademark
教育 準備（⼈と技術） 訓練 反復

46. © 2019, Amazon Web Services, Inc. or its Affiliates. All rights reserved. Amazon Confidential and Trademark
シミュレーションの価値
- 検証
- シミュレーションとトレーニングスタッフから学ぶ
- コンプライアンスまたは契約上の義務に従う
- コンプライアンスのための成果物の⽣成
- アジャイル
- ⾼速化と改善
- コミュニケーションとエスカレーションの改善
- まれに予想外の良い⽅法を発⾒できる

47. © 2019, Amazon Web Services, Inc. or its Affiliates. All rights reserved. Amazon Confidential and Trademark
シミュレーションベースの訓練
1.重要な問題を想定
2.熟練したセキュリティエンジニアを特定
3.現実的なモデルシステムの構築
4.シナリオ要素の構築とテスト
5.他のセキュリティ担当者と組織横断的な参加者を招待
6.シミュレーションを実⾏
7.振り返り、測定、改善、その繰り返し

48. © 2019, Amazon Web Services, Inc. or its Affiliates. All rights reserved. Amazon Confidential and Trademark
シミュレーションの例
- ネットワーク構成またはリソースへの不正な変更
- 開発者の設定ミスにより誤って公開された資格情報
- 開発者の設定ミスにより誤って公開された機密コンテンツ
- 疑わしい悪意のあるIPアドレスと通信しているWebサーバーの分離
https://scaling-threat-detection.awssecworkshops.jp/

49. © 2019, Amazon Web Services, Inc. or its Affiliates. All rights reserved. Amazon Confidential and Trademark
教育 準備（⼈と技術） 訓練 反復

50. © 2019, Amazon Web Services, Inc. or its Affiliates. All rights reserved. Amazon Confidential and Trademark
Runbooks
- 事前に計画を⽴て、独⾃のセキュリティ対応⼿順を定義
- 繰り返し可能なすべてのタスクは⾃動化を推奨
Runbook の作成
- まずは現在存在するアラートに集中
- 実⾏するプロセスの⼿動対応を定義
- プロセスをテストし、反復処理して、コアロジックを改善
Getting Started
- Trusted Advisor, AWS Config, GuardDuty, Macie によって⽣成されたイベン
トに焦点

51. © 2019, Amazon Web Services, Inc. or its Affiliates. All rights reserved. Amazon Confidential and Trademark
⾃動化
侵害発⽣から修復まで
検出に2〜7⽇ 21％
修復に2〜7⽇ 29％
Incident Response survey by SANS in 2016
https://www.sans.org/reading-room/whitepapers/incident/paper/37047

52. © 2019, Amazon Web Services, Inc. or its Affiliates. All rights reserved. Amazon Confidential and Trademark
イベント駆動対応の例
https://aws.amazon.com/jp/blogs/mt/monitor-changes-and-auto-enable-logging-in-aws-cloudtrail/
Lambda SNSCloudWath
Event
CloudTrailIAM User
1.
disable logging
2.
Change event detected
3.
Triggers the function
4.
Publish message
5.
send email
6.
re-enable logging

53. © 2019, Amazon Web Services, Inc. or its Affiliates. All rights reserved. Amazon Confidential and Trademark
インシデント対応例

54. © 2019, Amazon Web Services, Inc. or its Affiliates. All rights reserved. Amazon Confidential and Trademark
インシデント対応例 – サービス
例えば、CloudTrail のログの無効化や、意図しない設定変更が発⽣した場合
- アイデンティティ
- AWS CloudTrail、AWS Config、AWS Trusted Advisor、AWS
CloudWatch Eventsなど、AWS CloudTrailロギングが無効になった
ことを識別する複数の検出コントロール
- リソース
- ツールとサービスを使⽤して、セキュリティの誤設定の特定
- Trusted Advisor
- AWS Partner Competency Program
- Configuration and Vulnerability Analysis

55. © 2019, Amazon Web Services, Inc. or its Affiliates. All rights reserved. Amazon Confidential and Trademark
インシデント対応例 - インフラストラクチャ
例えば、EC2インスタンスに異常を検知した場合
1. EC2インスタンスのメタデータ取得
2. インスタンスの削除保護を有効にして、インスタ
ンスを偶発的な終了から保護
3. インスタンスのIPアドレスへのネットワークトラ
フィックを明⽰的に拒否
4. Auto Scalingグループからデタッチ
5. 関連するElastic Load Balancingサービスから
Amazon EC2インスタンスを登録解除
6. EBSデータボリュームのスナップショットを作成
7. 調査のために検疫済みとしてAmazon EC2インス
タンスにタグを付け、調査に関連するトラブルチ
ケットなどの関連するメタデータを追加

56. © 2019, Amazon Web Services, Inc. or its Affiliates. All rights reserved. Amazon Confidential and Trademark
インシデント対応例 - インフラストラクチャ
検討のポイント
- オンライン or オフライン調査の決定
- 揮発性データのキャプチャ
- Systems Manager の活⽤
- キャプチャの⾃動化

57. © 2019, Amazon Web Services, Inc. or its Affiliates. All rights reserved. Amazon Confidential and Trademark
Q. セキュリティ対策なにをすべきですか︖
Q. なにか起きた時どう対応すれば良いでしょうか︖

58. © 2019, Amazon Web Services, Inc. or its Affiliates. All rights reserved. Amazon Confidential and Trademark
Answer
- 基本的なセキュリティインシデント対応の概念を考慮することが重要
- 使⽤可能なコントロール、クラウド機能、および修復オプションを組み合
わせて、クラウド環境のセキュリティを向上
- ⼩規模から始めて応答速度を向上させる⾃動化機能を採⽤しながら繰り返
す

59. © 2019, Amazon Web Services, Inc. or its Affiliates. All rights reserved. Amazon Confidential and Trademark
その他の参考資料
AWS Security Workshop
AWSアカウントをお持ちの⽅であれば、読みながら実施出来る実地ハンズオンのコンテンツ
- https://awssecworkshops.jp
- https://awssecworkshops.com
AWS WAF セキュリティオートメーション
- https://aws.amazon.com/jp/solutions/aws-waf-security-automations/
[AWS Summit Tokyo 2018] AWS によるセキュリティ・オートメーションの実践
- 動画 https://www.youtube.com/watch?v=qRkLV4qoXAY
- 資料 https://d1.awsstatic.com/events/jp/2018/summit/tokyo/aws/38.pdf
[AWS Summit Tokyo 2018] DevSecOps時代のクラウドセキュリティ
- https://d1.awsstatic.com/events/jp/2018/summit/tokyo/partner/15-2.pdf

60. © 2019, Amazon Web Services, Inc. or its Affiliates. All rights reserved. Amazon Confidential and Trademark© 2019, Amazon Web Services, Inc. or its Affiliates. All rights reserved. Amazon Confidential and Trademark
Thank You !