Suche senden
Hochladen
Amazon Inspector v2で脆弱性管理を始めてみた
•
0 gefällt mir
•
226 views
C
cluclu_land
Folgen
2022年12月20日開催「nakanoshima.dev #33 - LT Night!」での発表資料です。
Weniger lesen
Mehr lesen
Präsentationen & Vorträge
Melden
Teilen
Melden
Teilen
1 von 18
Empfohlen
AWS OpsWorksハンズオン
AWS OpsWorksハンズオン
Amazon Web Services Japan
AWS初心者向けWebinar AWSとのネットワーク接続入門
AWS初心者向けWebinar AWSとのネットワーク接続入門
Amazon Web Services Japan
20190226 AWS Black Belt Online Seminar Amazon WorkSpaces
20190226 AWS Black Belt Online Seminar Amazon WorkSpaces
Amazon Web Services Japan
20190319 AWS Black Belt Online Seminar Amazon FSx for Windows Server
20190319 AWS Black Belt Online Seminar Amazon FSx for Windows Server
Amazon Web Services Japan
AWS Black Belt Online Seminar 2017 AWS WAF
AWS Black Belt Online Seminar 2017 AWS WAF
Amazon Web Services Japan
Awsをオンプレドメコンに連携させる
Awsをオンプレドメコンに連携させる
Syuichi Murashima
多要素認証による Amazon WorkSpaces の利用
多要素認証による Amazon WorkSpaces の利用
Amazon Web Services Japan
AWS Black Belt Online Seminar AWS Direct Connect
AWS Black Belt Online Seminar AWS Direct Connect
Amazon Web Services Japan
Empfohlen
AWS OpsWorksハンズオン
AWS OpsWorksハンズオン
Amazon Web Services Japan
AWS初心者向けWebinar AWSとのネットワーク接続入門
AWS初心者向けWebinar AWSとのネットワーク接続入門
Amazon Web Services Japan
20190226 AWS Black Belt Online Seminar Amazon WorkSpaces
20190226 AWS Black Belt Online Seminar Amazon WorkSpaces
Amazon Web Services Japan
20190319 AWS Black Belt Online Seminar Amazon FSx for Windows Server
20190319 AWS Black Belt Online Seminar Amazon FSx for Windows Server
Amazon Web Services Japan
AWS Black Belt Online Seminar 2017 AWS WAF
AWS Black Belt Online Seminar 2017 AWS WAF
Amazon Web Services Japan
Awsをオンプレドメコンに連携させる
Awsをオンプレドメコンに連携させる
Syuichi Murashima
多要素認証による Amazon WorkSpaces の利用
多要素認証による Amazon WorkSpaces の利用
Amazon Web Services Japan
AWS Black Belt Online Seminar AWS Direct Connect
AWS Black Belt Online Seminar AWS Direct Connect
Amazon Web Services Japan
20180509 AWS Black Belt Online Seminar Amazon GuardDuty
20180509 AWS Black Belt Online Seminar Amazon GuardDuty
Amazon Web Services Japan
20200212 AWS Black Belt Online Seminar AWS Systems Manager
20200212 AWS Black Belt Online Seminar AWS Systems Manager
Amazon Web Services Japan
20191126 AWS Black Belt Online Seminar Amazon AppStream 2.0
20191126 AWS Black Belt Online Seminar Amazon AppStream 2.0
Amazon Web Services Japan
AWS Black Belt Online Seminar 2017 AWS Storage Gateway
AWS Black Belt Online Seminar 2017 AWS Storage Gateway
Amazon Web Services Japan
AWS EC2 Eメール制限解除 - 逆引き(rDNS)設定 申請手順
AWS EC2 Eメール制限解除 - 逆引き(rDNS)設定 申請手順
Amazon Web Services Japan
日本のお客様におけるAmazon Auroraへの移行・検証事例と技術ポイント
日本のお客様におけるAmazon Auroraへの移行・検証事例と技術ポイント
Amazon Web Services Japan
AWS Black Belt online seminar 2017 Snowball
AWS Black Belt online seminar 2017 Snowball
Amazon Web Services Japan
AWSからのメール送信
AWSからのメール送信
Amazon Web Services Japan
AWS Elastic Beanstalk(初心者向け 超速マスター編)JAWSUG大阪
AWS Elastic Beanstalk(初心者向け 超速マスター編)JAWSUG大阪
崇之 清水
20191120 AWS Black Belt Online Seminar Amazon Managed Streaming for Apache Ka...
20191120 AWS Black Belt Online Seminar Amazon Managed Streaming for Apache Ka...
Amazon Web Services Japan
20200818 AWS Black Belt Online Seminar AWS Shield Advanced
20200818 AWS Black Belt Online Seminar AWS Shield Advanced
Amazon Web Services Japan
20200722 AWS Black Belt Online Seminar AWSアカウント シングルサインオンの設計と運用
20200722 AWS Black Belt Online Seminar AWSアカウント シングルサインオンの設計と運用
Amazon Web Services Japan
20180322 AWS Black Belt Online Seminar AWS Snowball Edge
20180322 AWS Black Belt Online Seminar AWS Snowball Edge
Amazon Web Services Japan
20190130 AWS Black Belt Online Seminar AWS Identity and Access Management (AW...
20190130 AWS Black Belt Online Seminar AWS Identity and Access Management (AW...
Amazon Web Services Japan
20190424 AWS Black Belt Online Seminar Amazon Aurora MySQL
20190424 AWS Black Belt Online Seminar Amazon Aurora MySQL
Amazon Web Services Japan
20190129 AWS Black Belt Online Seminar AWS Identity and Access Management (AW...
20190129 AWS Black Belt Online Seminar AWS Identity and Access Management (AW...
Amazon Web Services Japan
20190521 AWS Black Belt Online Seminar Amazon Simple Email Service (Amazon SES)
20190521 AWS Black Belt Online Seminar Amazon Simple Email Service (Amazon SES)
Amazon Web Services Japan
20191029 AWS Black Belt Online Seminar Elastic Load Balancing (ELB)
20191029 AWS Black Belt Online Seminar Elastic Load Balancing (ELB)
Amazon Web Services Japan
AWS Black Belt Techシリーズ Amazon WorkDocs / Amazon WorkMail
AWS Black Belt Techシリーズ Amazon WorkDocs / Amazon WorkMail
Amazon Web Services Japan
20200219 AWS Black Belt Online Seminar オンプレミスとAWS間の冗長化接続
20200219 AWS Black Belt Online Seminar オンプレミスとAWS間の冗長化接続
Amazon Web Services Japan
AWS CloudFormation Guardで遊んでみた
AWS CloudFormation Guardで遊んでみた
cluclu_land
Osc spring 20220311
Osc spring 20220311
Yasuaki Sera
Weitere ähnliche Inhalte
Was ist angesagt?
20180509 AWS Black Belt Online Seminar Amazon GuardDuty
20180509 AWS Black Belt Online Seminar Amazon GuardDuty
Amazon Web Services Japan
20200212 AWS Black Belt Online Seminar AWS Systems Manager
20200212 AWS Black Belt Online Seminar AWS Systems Manager
Amazon Web Services Japan
20191126 AWS Black Belt Online Seminar Amazon AppStream 2.0
20191126 AWS Black Belt Online Seminar Amazon AppStream 2.0
Amazon Web Services Japan
AWS Black Belt Online Seminar 2017 AWS Storage Gateway
AWS Black Belt Online Seminar 2017 AWS Storage Gateway
Amazon Web Services Japan
AWS EC2 Eメール制限解除 - 逆引き(rDNS)設定 申請手順
AWS EC2 Eメール制限解除 - 逆引き(rDNS)設定 申請手順
Amazon Web Services Japan
日本のお客様におけるAmazon Auroraへの移行・検証事例と技術ポイント
日本のお客様におけるAmazon Auroraへの移行・検証事例と技術ポイント
Amazon Web Services Japan
AWS Black Belt online seminar 2017 Snowball
AWS Black Belt online seminar 2017 Snowball
Amazon Web Services Japan
AWSからのメール送信
AWSからのメール送信
Amazon Web Services Japan
AWS Elastic Beanstalk(初心者向け 超速マスター編)JAWSUG大阪
AWS Elastic Beanstalk(初心者向け 超速マスター編)JAWSUG大阪
崇之 清水
20191120 AWS Black Belt Online Seminar Amazon Managed Streaming for Apache Ka...
20191120 AWS Black Belt Online Seminar Amazon Managed Streaming for Apache Ka...
Amazon Web Services Japan
20200818 AWS Black Belt Online Seminar AWS Shield Advanced
20200818 AWS Black Belt Online Seminar AWS Shield Advanced
Amazon Web Services Japan
20200722 AWS Black Belt Online Seminar AWSアカウント シングルサインオンの設計と運用
20200722 AWS Black Belt Online Seminar AWSアカウント シングルサインオンの設計と運用
Amazon Web Services Japan
20180322 AWS Black Belt Online Seminar AWS Snowball Edge
20180322 AWS Black Belt Online Seminar AWS Snowball Edge
Amazon Web Services Japan
20190130 AWS Black Belt Online Seminar AWS Identity and Access Management (AW...
20190130 AWS Black Belt Online Seminar AWS Identity and Access Management (AW...
Amazon Web Services Japan
20190424 AWS Black Belt Online Seminar Amazon Aurora MySQL
20190424 AWS Black Belt Online Seminar Amazon Aurora MySQL
Amazon Web Services Japan
20190129 AWS Black Belt Online Seminar AWS Identity and Access Management (AW...
20190129 AWS Black Belt Online Seminar AWS Identity and Access Management (AW...
Amazon Web Services Japan
20190521 AWS Black Belt Online Seminar Amazon Simple Email Service (Amazon SES)
20190521 AWS Black Belt Online Seminar Amazon Simple Email Service (Amazon SES)
Amazon Web Services Japan
20191029 AWS Black Belt Online Seminar Elastic Load Balancing (ELB)
20191029 AWS Black Belt Online Seminar Elastic Load Balancing (ELB)
Amazon Web Services Japan
AWS Black Belt Techシリーズ Amazon WorkDocs / Amazon WorkMail
AWS Black Belt Techシリーズ Amazon WorkDocs / Amazon WorkMail
Amazon Web Services Japan
20200219 AWS Black Belt Online Seminar オンプレミスとAWS間の冗長化接続
20200219 AWS Black Belt Online Seminar オンプレミスとAWS間の冗長化接続
Amazon Web Services Japan
Was ist angesagt?
(20)
20180509 AWS Black Belt Online Seminar Amazon GuardDuty
20180509 AWS Black Belt Online Seminar Amazon GuardDuty
20200212 AWS Black Belt Online Seminar AWS Systems Manager
20200212 AWS Black Belt Online Seminar AWS Systems Manager
20191126 AWS Black Belt Online Seminar Amazon AppStream 2.0
20191126 AWS Black Belt Online Seminar Amazon AppStream 2.0
AWS Black Belt Online Seminar 2017 AWS Storage Gateway
AWS Black Belt Online Seminar 2017 AWS Storage Gateway
AWS EC2 Eメール制限解除 - 逆引き(rDNS)設定 申請手順
AWS EC2 Eメール制限解除 - 逆引き(rDNS)設定 申請手順
日本のお客様におけるAmazon Auroraへの移行・検証事例と技術ポイント
日本のお客様におけるAmazon Auroraへの移行・検証事例と技術ポイント
AWS Black Belt online seminar 2017 Snowball
AWS Black Belt online seminar 2017 Snowball
AWSからのメール送信
AWSからのメール送信
AWS Elastic Beanstalk(初心者向け 超速マスター編)JAWSUG大阪
AWS Elastic Beanstalk(初心者向け 超速マスター編)JAWSUG大阪
20191120 AWS Black Belt Online Seminar Amazon Managed Streaming for Apache Ka...
20191120 AWS Black Belt Online Seminar Amazon Managed Streaming for Apache Ka...
20200818 AWS Black Belt Online Seminar AWS Shield Advanced
20200818 AWS Black Belt Online Seminar AWS Shield Advanced
20200722 AWS Black Belt Online Seminar AWSアカウント シングルサインオンの設計と運用
20200722 AWS Black Belt Online Seminar AWSアカウント シングルサインオンの設計と運用
20180322 AWS Black Belt Online Seminar AWS Snowball Edge
20180322 AWS Black Belt Online Seminar AWS Snowball Edge
20190130 AWS Black Belt Online Seminar AWS Identity and Access Management (AW...
20190130 AWS Black Belt Online Seminar AWS Identity and Access Management (AW...
20190424 AWS Black Belt Online Seminar Amazon Aurora MySQL
20190424 AWS Black Belt Online Seminar Amazon Aurora MySQL
20190129 AWS Black Belt Online Seminar AWS Identity and Access Management (AW...
20190129 AWS Black Belt Online Seminar AWS Identity and Access Management (AW...
20190521 AWS Black Belt Online Seminar Amazon Simple Email Service (Amazon SES)
20190521 AWS Black Belt Online Seminar Amazon Simple Email Service (Amazon SES)
20191029 AWS Black Belt Online Seminar Elastic Load Balancing (ELB)
20191029 AWS Black Belt Online Seminar Elastic Load Balancing (ELB)
AWS Black Belt Techシリーズ Amazon WorkDocs / Amazon WorkMail
AWS Black Belt Techシリーズ Amazon WorkDocs / Amazon WorkMail
20200219 AWS Black Belt Online Seminar オンプレミスとAWS間の冗長化接続
20200219 AWS Black Belt Online Seminar オンプレミスとAWS間の冗長化接続
Ähnlich wie Amazon Inspector v2で脆弱性管理を始めてみた
AWS CloudFormation Guardで遊んでみた
AWS CloudFormation Guardで遊んでみた
cluclu_land
Osc spring 20220311
Osc spring 20220311
Yasuaki Sera
クラウドセキュリティの価値と機会
クラウドセキュリティの価値と機会
Hayato Kiriyama
20130719 CDP Night LightningTalk "Internal Port Concentrator"
20130719 CDP Night LightningTalk "Internal Port Concentrator"
Kazuki Ueki
実践 bashによるサイバーセキュリティ対策を読んでみた(公開版)
実践 bashによるサイバーセキュリティ対策を読んでみた(公開版)
cluclu_land
202204 AWS Black Belt Online Seminar AWS IoT Device Defender
202204 AWS Black Belt Online Seminar AWS IoT Device Defender
Amazon Web Services Japan
2022 0129 jaws-ug_yokohama_43_security_re_cap_slideshare
2022 0129 jaws-ug_yokohama_43_security_re_cap_slideshare
Shinichiro Kawano
なぜ自社で脆弱性診断を行うべきなのか
なぜ自社で脆弱性診断を行うべきなのか
Sen Ueno
Microsoft Azure Update 20151112
Microsoft Azure Update 20151112
Ayako Omori
なぜあなたのプロジェクトのDevSecOpsは形骸化するのか(CloudNative Security Conference 2022)
なぜあなたのプロジェクトのDevSecOpsは形骸化するのか(CloudNative Security Conference 2022)
Masaya Tahara
アマゾンにおけるAWSを用いた社内システム移行事例
アマゾンにおけるAWSを用いた社内システム移行事例
SORACOM, INC
S3 Client-Side Encryption by AWS SDK for Java/Ruby
S3 Client-Side Encryption by AWS SDK for Java/Ruby
真吾 吉田
AWSでセキュリティを高める!
AWSでセキュリティを高める!
Serverworks Co.,Ltd.
OSS+AWSでここまでできるDevSecOps (Security-JAWS第24回)
OSS+AWSでここまでできるDevSecOps (Security-JAWS第24回)
Masaya Tahara
ストレージサービスからの情報漏えいにサヨナラ
ストレージサービスからの情報漏えいにサヨナラ
Masato Nakamura
スタートアップのCEOもおさえておきたい、ITインフラのセキュリティ対策 先生:
スタートアップのCEOもおさえておきたい、ITインフラのセキュリティ対策 先生:
schoowebcampus
世界はつながっている!VyOSで実現するマルチリージョン
世界はつながっている!VyOSで実現するマルチリージョン
Masamitsu Maehara
20120225_クラウド導入におけるポイント
20120225_クラウド導入におけるポイント
Kotaro Tsukui
20130622 JAWS-UG大阪 AWSの共有責任モデル〜クラウドってセキュリティ大丈夫なの?と聞かれたら〜
20130622 JAWS-UG大阪 AWSの共有責任モデル〜クラウドってセキュリティ大丈夫なの?と聞かれたら〜
真吾 吉田
Reinforce2021 recap session2
Reinforce2021 recap session2
Shogo Matsumoto
Ähnlich wie Amazon Inspector v2で脆弱性管理を始めてみた
(20)
AWS CloudFormation Guardで遊んでみた
AWS CloudFormation Guardで遊んでみた
Osc spring 20220311
Osc spring 20220311
クラウドセキュリティの価値と機会
クラウドセキュリティの価値と機会
20130719 CDP Night LightningTalk "Internal Port Concentrator"
20130719 CDP Night LightningTalk "Internal Port Concentrator"
実践 bashによるサイバーセキュリティ対策を読んでみた(公開版)
実践 bashによるサイバーセキュリティ対策を読んでみた(公開版)
202204 AWS Black Belt Online Seminar AWS IoT Device Defender
202204 AWS Black Belt Online Seminar AWS IoT Device Defender
2022 0129 jaws-ug_yokohama_43_security_re_cap_slideshare
2022 0129 jaws-ug_yokohama_43_security_re_cap_slideshare
なぜ自社で脆弱性診断を行うべきなのか
なぜ自社で脆弱性診断を行うべきなのか
Microsoft Azure Update 20151112
Microsoft Azure Update 20151112
なぜあなたのプロジェクトのDevSecOpsは形骸化するのか(CloudNative Security Conference 2022)
なぜあなたのプロジェクトのDevSecOpsは形骸化するのか(CloudNative Security Conference 2022)
アマゾンにおけるAWSを用いた社内システム移行事例
アマゾンにおけるAWSを用いた社内システム移行事例
S3 Client-Side Encryption by AWS SDK for Java/Ruby
S3 Client-Side Encryption by AWS SDK for Java/Ruby
AWSでセキュリティを高める!
AWSでセキュリティを高める!
OSS+AWSでここまでできるDevSecOps (Security-JAWS第24回)
OSS+AWSでここまでできるDevSecOps (Security-JAWS第24回)
ストレージサービスからの情報漏えいにサヨナラ
ストレージサービスからの情報漏えいにサヨナラ
スタートアップのCEOもおさえておきたい、ITインフラのセキュリティ対策 先生:
スタートアップのCEOもおさえておきたい、ITインフラのセキュリティ対策 先生:
世界はつながっている!VyOSで実現するマルチリージョン
世界はつながっている!VyOSで実現するマルチリージョン
20120225_クラウド導入におけるポイント
20120225_クラウド導入におけるポイント
20130622 JAWS-UG大阪 AWSの共有責任モデル〜クラウドってセキュリティ大丈夫なの?と聞かれたら〜
20130622 JAWS-UG大阪 AWSの共有責任モデル〜クラウドってセキュリティ大丈夫なの?と聞かれたら〜
Reinforce2021 recap session2
Reinforce2021 recap session2
Mehr von cluclu_land
レトロゲーム攻略本を読んで当時を振り返ってみた
レトロゲーム攻略本を読んで当時を振り返ってみた
cluclu_land
読書会やったらパーカーもらえた話
読書会やったらパーカーもらえた話
cluclu_land
作業用BGMに使っているレトロゲームサントラCDひたすら晒す(公開版)
作業用BGMに使っているレトロゲームサントラCDひたすら晒す(公開版)
cluclu_land
IT技術書のオススメLT会×Kobe #01
IT技術書のオススメLT会×Kobe #01
cluclu_land
マッスルタワーに挑んでみた(普及版)
マッスルタワーに挑んでみた(普及版)
cluclu_land
セキュリティの○○○を買ってみた
セキュリティの○○○を買ってみた
cluclu_land
Firefox OSアプリをタブレット端末で動かしてみた
Firefox OSアプリをタブレット端末で動かしてみた
cluclu_land
Mehr von cluclu_land
(7)
レトロゲーム攻略本を読んで当時を振り返ってみた
レトロゲーム攻略本を読んで当時を振り返ってみた
読書会やったらパーカーもらえた話
読書会やったらパーカーもらえた話
作業用BGMに使っているレトロゲームサントラCDひたすら晒す(公開版)
作業用BGMに使っているレトロゲームサントラCDひたすら晒す(公開版)
IT技術書のオススメLT会×Kobe #01
IT技術書のオススメLT会×Kobe #01
マッスルタワーに挑んでみた(普及版)
マッスルタワーに挑んでみた(普及版)
セキュリティの○○○を買ってみた
セキュリティの○○○を買ってみた
Firefox OSアプリをタブレット端末で動かしてみた
Firefox OSアプリをタブレット端末で動かしてみた
Amazon Inspector v2で脆弱性管理を始めてみた
1.
Amazon Inspector v2で 脆弱性管理を始めてみた 2022年12月20日 chocopurin nakanoshima.dev
#33 - LT Night !
2.
自己紹介 ⚫ 名前:chocopurin ⚫ 職業:とある企業の一般社員 ⚫
主なお仕事歴 ○ 某SIer サーバ構築, 認証ツール開発, システム開発ルールの策定 コンテナの研究, Webアプリ脆弱性診断 ○ 現職 ITインフラの構築/維持管理, セキュア開発基盤の整備, 永遠のAWS見習い ⚫ 直近の出没歴 AWSエバンジェリストシリーズ, 総関西サイバーセキュリティLT大会 Security-JAWS, OWASP Kansai, レトロゲーム勉強会 etc
3.
はじめに 本日のLT内容は、表現の都合上、フィクションとノンフィクション が入り混じっています。予めご了承ください。
4.
情報セキュリティの全体像とLT内容の範囲 【出典】日本CISO協会 情報セキュリティにおける4つの領域と関係性 だいたいこの辺
5.
システムとLT内容の範囲 だいたい この辺 【出典】 新人エンジニアのためのインフラ入門 ーBFT道場 Think
IT支部 第1回 ITインフラの全体像を理解しよう
6.
自社サービスの提供形態の変遷と本件の対象 サービス利用者 オンプレDC サーバ群(約200台) オンプレDC サーバ群 (約160台) 本件の対象 EC2群 (約60台) サーバレス 中心 サービス利用者 サービス利用者
7.
自社サービスの現状と課題 ⚫ サポート切れのインフラソフトウェアを利用し続けているサー バがあり、メンテナンス性が欠如している ○ OS(Linuxディストリビュージョンとバージョン) ○
ミドルウェア ○ ライブラリ ⚫ 過去の経緯から、特にEC2には作りっぱなしで運用担当のアサ インが宙ぶらりんのサーバがいる セキュリティに限らず各種不具合の是正がしづらく、対応未実施に よるリスクの受容もしくは余計な追加作業を余儀なくされる。 また、その状態であることに気づきにくい。
8.
改善案 ⚫ サーバを下記仕様で管理し、Q毎に全社のセキュリティ管理部署 によるチェックを受ける 管理項目 管理対象
管理方法 ● 運用開始日 ● 機器の保守サポート期間 ● 稼働しているOS/MWのバージョン ● 不特定多数のネットワークからの インバウンド通信が可能か否か (プロトコル不問) EC2 ● AWS CLIによる台 数増減確認 ● スキャンツールに よるOS/MWの 状況把握 (本件の対象) オンプレ 機器一覧(運用中) その他 アンケート調査 (運用中)
9.
スキャンツール選定の背景:要件整理 ⚫ ツールに求める機能 ○ スキャン結果と脆弱性への対応状況を一覧で見ることができる ○
取得した結果を外部ファイル化して加工できる ○ 管理対象の動作に影響を与えない ◼ 管理対象を攻撃しない(プラットフォーム脆弱性診断のようなことをしない) ◼ 解析やレポーティング作業が管理対象に負荷を与えない ⚫ ツール候補 ○ Amazon Inspector v2:EC2とECRに対応 ◼ 選定開始当初はInspector v2に脆弱性管理機能があることを知らず、土俵にも 上がってこなかった ○ 某社ツールいくつか:オンプレからクラウドのサーバまで幅広く対応
10.
スキャンツール選定の背景:ツールの比較 ⚫ 料金体系 ○ 契約形態:月額利用料
or 年間契約 ○ 課金単位:台数ないしスキャン回数 ⚫ 自社の運用状況 ○ オンプレサーバに新たに管理の仕組みを入れるメリットが見込めない ◼ オンプレサーバでは、インフラ管理部署による既存の機器一覧の運用が回っている ◼ サービスのフルAWS化により、オンプレサーバはシュリンクする ○ AWS契約の範疇内で決着すると諸々ラク ⚫ TechJoy(技術的に面白いか) ○ 解析方法 ○ トリアージ方法 etc どのツールも概ねこのパターンの いずれかで、半ば価格勝負
11.
スキャンツール選定の背景:ツールの比較 ⚫ 料金体系 ○ 契約形態:月額利用料
or 年間契約 ○ 課金単位:台数ないしスキャン回数 ⚫ 自社の運用状況 ○ オンプレサーバに新たに管理の仕組みを入れるメリットが見込めない ◼ オンプレサーバでは、インフラ管理部署による既存の機器一覧の運用が回っている ◼ サービスのフルAWS化により、オンプレサーバはシュリンクする ○ AWS契約の範疇内で決着すると諸々ラク ⚫ TechJoy(技術的に面白いか) ○ 解析方法 ○ トリアージ方法 etc どのツールも概ねこのパターンの いずれかで、半ば価格勝負 技術的には某ツールを採用したかったが、 他の要素でAmazon Inspector v2が優位すぎた
12.
Amazon Inspector v2 ⚫
ざっくり動作の流れ※1 1. 管理対象に導入されたSystems Manager(SSM)Agentが、サーバ内 の情報を吸い上げて、それをAmazon Inspectorに投げる 2. Amazon Inspectorは投げられた情報を、各種脆弱性情報や稼働してい るネットワーク環境の状況などを踏まえて診断する 3. (必要に応じて)診断結果はCSVやJSON形式でエクスポートできる ⚫ 必要なもの※2 ○ 管理対象へのSSM Agentの導入 ◼ Amazon Linux 2ならデフォルトで導入済み ◼ 個別導入の場合もyumなどのパッケージ管理コマンド一発で入る ○ 管理対象へのAmazonSSMManagedInstanceCoreポリシーを含んだ ロールのアタッチ ※1※2:細かい部分は公式ドキュメントや先駆者のやってみた記事を見れば何とかなる
13.
Amazon Inspector v2 Amazon Inspector SSM Agent Amazon
EC2 Instances Amazon ECS Container KMS key Amazon S3 Backet ブラウザ閲覧 サーバ情報 SSM Agent サーバ情報 Inspector利用者 CSV or JSON ファイル … 解析 ⚫ 基本的な流れ
14.
Amazon Inspector v2 【例】2022年11月2日公開のOpenSSL(libssl3) 脆弱性やインスタンス毎にソートや フィルタしてトリアージができる 結果をS3経由でCSVや JSONに出力可能
15.
Amazon Inspector v2 【例】CSVレポート
16.
Amazon Inspector v2による脆弱性管理 Amazon Inspector SSM Agent Amazon
EC2 Instances Amazon ECS Container KMS key Amazon S3 Backet ブラウザ閲覧 サーバ情報 CSV or JSON ファイル … SSM Agent サーバ情報 インフラ管理者 全社セキュリティ 管理者 CSV or JSON ファイル … 解析 経営層
17.
Inspector導入における課題と対策 サーバ種別 問題点 対処方法 既存
大半がオンプレのVMをポーティングした 非Amazon Linuxである NW構成を見ながら優先度をつけて導入する (お客さまに近いものを優先する) OSバージョンが古すぎてSSM Agentの システム要件を満たさない そもそも廃止かリプレースするべしの旨で合意形成 できるように仕向ける 新規 運用担当アサインやパッチ適用などの運用 ルールが不十分である 最低限のサーバ運用要件を再整備したうえで、全社の PJルールにする 新規サーバにSSM Agentと AmazonSSMManagedInstanceCoreポリシーがデ フォルトで導入される仕組みを整える ・Amazon Linuxをベースにする ・(非Amazon Linuxの場合)構築スクリプト パッチ適用の自動化(OSもしくはInspectorの機能) ⚫ 課題:SSM Agent未導入のサーバが存在する (今後も増える可能性がある) ⚫ 対策:地道にルールと仕組みの両輪で縛る
18.
まとめ ⚫ サーバスキャンツール導入時に発生する事項をまとめた ⚫ これまで手付かずだったEC2の脆弱性管理を実現できるめどが ついたことで、自社の課題解決に一歩近づいた ⚫
今回の仕組みを継続運用する方法の整備が次の課題である ○ 既存の仕組みとの整合性の調整 【例】脆弱性のトリアージ ◼ CVSSやAWS独自指標の考え方 ◼ 優先度付けルール ○ Amazon LinuxのEOL問題(2024年6月) ⚫ 本日のLT内容は情報セキュリティ全体およびITシステム全体の ほんの一部分を扱ったにすぎず、今回の内容だけで自社のセ キュリティは万事OKでは決してありません