[レポート]最新の脅威に対応するために ”今” 必要なクラウドのセキュリティ対策 – AWS Security Forum Japan 2023 #aws #awssecurity

皆さん、こんにちは。

明るい笑顔がトレードマーク、ルイボスティーが大好きな芦沢(＠ashi_ssan)です。

今回は2023年10月12日にオフラインで行われたAWS 国内最大のセキュリティイベントであるAWS Security Forum Japan 2023の下記セッションのレポートです。

最新の脅威に対応するために ”今” 必要なクラウドのセキュリティ対策

【スピーカー】 クラウドストライク合同会社 パートナー技術統括本部 チャネル・ソリューション・アーキテクト

菅村 優哉 氏

組織のクラウド利活用が進む中で、最新の脅威へ対応するためには、クラウド環境や端末に対する多層構造の対策が必要です。 本セッションでは、最新の脅威動向と共に、多層防御を実現するためのポイントを整理してお伝えします。具体的には、AWS とクラウドストライクを組み合わせた、お客様のセキュリティを更に向上させていく考え方や対策方法を事例を交えてご紹介しつつ、ソリューションの組み合わせによる効率化・運用コスト削減についても触れ、最新のサイバー攻撃からお客様の資産を保護するために ”今” 何をすべきか解説します。

クラウドストライク合同会社

パートナー技術統括本部 チャネル・ソリューション・アーキテクト

菅村 優哉氏

アマゾン ウェブ サービス ジャパン合同会社

技術統括本部 技術推進本部 セキュリティソリューションアーキテクト

勝原 達也

3行まとめ

• 近年攻撃者はクラウドを理解しクラウドのAPIを悪用する攻撃手法が増えている。
• 包括的なセキュリティ対策のほかに機微情報を含むことが多い仮想マシンやコンテナはより強固にしよう。
• CloudStrikeは、端末のエンドポイントセキュリティ対策だけでなく、クラウド特有のアプローチに対しても一部対策可能。GuardDutyやVerified Access、Security HubをはじめにさまざまなAWSサービスとの連携して、多層防御でAWS環境を守ろう。

セッション概要

• スピーカーについて
  • 菅村さん
    • クラウドストライクの提案を行なっている
    • 以前もセキュリティ企業で働いていた
• CloudStrike社について
  • AWSとの取り組み
    • ISV Partnar of the year 2023を受賞
    • Marketplaceのプライベートオファーも提供
  • サービスについて
    • エンドポイントセキュリティなどのセキュリティプラットフォーム
    • プラットフォームの品質向上に役立てている、脅威インテリジェンス
  • 導入実績がたくさんある
  • 第三者評価でいろんなランキングで１位（Fortune500, Gartnerなど）
• CloudStrike Falcon Platformの全体像
  • エンドポイントセキュリティ、クラウドセキュリティ、脅威インテリジェンス、ID保護、ログ管理など色々
• クラウドセキュリティの最新の脅威状況
  • ブレイクアウトタイム(侵入後の横展開)の短縮
    • 79分が目安
  • KerberstingなどのIDベースの攻撃手法の増加
  • Mac, Linuxへの攻撃
• 攻撃者の状況
  • 攻撃者がクラウドへの理解、クラウドを意識するような攻撃が増えている
  • クラウドAPIの悪用ケースが増えている
• クラウドセキュリティに関するガイドライン(特に利用者側)
  • 組織体制、マニュアルの整備などの運用のあり方
  • セキュリティ設定管理やリスクへの対応
  • IDアクセス管理やログ監視、ストレージ、コンテナ、データベースも対象
  • 仮想マシンやコンテナに対する対策が重要
• なぜ仮想マシン、コンテナが重要なのか？
  • 機微情報が含まれやすいので、攻撃者が標的にしやすいから
• 対策のポイント
  • セキュリティ対策が必要なところを抑えつつ、マシンやコンテナを重点的に守る
• マシン、コンテナの対策ポイント
  • 未知の攻撃も含めた最新の脅威への対応
    • 検知する手段が乏しく、侵入されても検知できないことが問題
    • 対策として、シグネイチャに依存しない検知や侵入後の早期検知・対応の仕組みの実装
  • クラウド特有環境の対策
    • 従来とは異なるアプローチ、動的な構成変化の対応できないことが問題
    • 対策はこの構成でも保護できる仕組みや、ライフサイクルに対応した対策の実装
  • 効率的な運用
    • 分析のためのシステム開発が発生しがち、リソースがないことが多い
    • オンプレミスとクラウドで同じリソースで監視すること
• ここからのスピーカー
  • AWS勝原さん
• セキュリティはAWSの最優先事項
  • AWSにはセキュリティ、ID、コンプライアンスのためのサービスがたくさんある
  • AWS自体もグローバルなセキュリティ・コンプライアンスを考慮して第三者機関からの認証を受けている
• AWSセキュリティに欠かせない特性
  • 高い可視性
    • 何が起きているのかわかる
  • 自動化
    • 運用に関わるところ
• AWSの操作はAPIを通じて行われ、記録される
  • インターフェースはさまざまだが、最終的にAWS APIとして実行される
  • いつ、どこで、誰が、何を、のログ情報を記録できる
• さまざまなサービスを使って可視性の導入し、対処に繋げられる
  • 大規模な運用と自動化に耐えられる基盤をAWSで構築できる
• Amazon GuardDuty
  • 大規模にAWSを運用する上位２０００社の９０％が利用している
  • 検出結果のイメージ
    • 悪意ある既知のIPアドレスからの偵察行為
    • ビットコインマイニング特有のアクティビティ
    • アクセスキーなど一時クレデンシャルを悪用した動作
  • 簡単に有効化でき、使い始められる
  • 既知の脅威検出インテリジェンスについて、CloudStrikeと密に連携している
  • さまざまなインシデント対応と自動化に繋げられる
  • 脅威を検出するための拡張機能
    • オブジェクトストレージ、データベース、サーバレス、ブロックストレージ、コンテナに対する対策
• GuardDutyとCloudStrikeを連携させる活用イメージ
  • GuardDury
    • EC2インスタンスに対するAPIアクセスなどコンピュートに関する外形的な挙動をモニタリング
    • AWS環境のセキュリティ脅威を総合的に検出
  • CloudStrike
    • Agentベースでコンピュート内部の挙動を検出
• 組み合わせでAWSセキュリティ特性を拡張する
  • 多層的アプローチによってセキュリティを高めていく
• ここからのスピーカーと話題
  • 再び菅村さん
  • CloudStrikeのソリューション概要について
• なぜ必要なのか？
  • 攻撃を未然に防御して防ぐため
• CloudStrikeの全体像
  • 次世代アンチウイルス、EDR、クラウドセキュリティ、脅威ハンティング
  • マシン上のあらゆる挙動を収集して常時監視、未知の攻撃に対する未然の防御、製品で検知が難しい箇所に対応する人の目による脅威ハンティング
• NGAV機能
  • 機械学習を活用した検知手法と、脅威インテリジェンスにより、既知・未知の攻撃のブロック
  • 世界中の脅威情報をリアルタイムに収集・活用して、全世界のユーザーに届ける
• EDR機能
  • 端末上のプロセスの流れをプロセスツリーで全体を可視化
  • 通信先やDNSなど詳細情報のリアルタイム把握、リモート接続による侵害の事後対応、再発防止アクション
• 脅威ハンティング
  • ハンティングチームが２４３６５で体制を作って対応している
  • OverWatchサービスと呼ばれる
• MDR: Falcon Complete
  • 運用サービス（MDR）による運用負荷軽減
• クラウド環境特有のアプローチ
  • IaCチェック、コンテナイメージスキャン、ランタイム保護など
  • 今日話すのは、エージェントライフサイクル管理とCSPM機能を紹介
• エージェントライフサイクル管理
  • SSM Distribution Packageにデプロイし、EC2やAutoscalingをターゲットに関連付けする
  • Automationやドキュメントに登録し、インストール・アンインストールを実行する
  • CloudStrike上でインストール・アンインストールのライフサイクルを管理できる
• CSPM機能
  • 設定の可視化や設定ミスの検知と自動修復
  • 設定ミスだけでなく、攻撃活動に使われた設定項目も可視化できる
• AWSとの連携
  • かなり多くのサービスと連携できるが、例を2つ紹介
  • AWSVerified Accessと連携し、マシンの信頼性のスコアリング
  • CloudStrikeで検知した内容をSecurity Hubに連携
• AWS Verified AccessとCloudStrikeの連携
  • リモートユーザーの端末とデバイス管理をCloudStrikeで管理
  • Verified Accessと連携してユーザーのアイデンティティ管理を実現
• AWS Security Hubへの集約
  • CloudStrikeの検知情報をAPIで連携して整形、Security Hubに連携することで集約できる
• お客様事例
  • クラウドサービス事業者
    • PoC時のパフォーマンス影響が少なかった
    • PoCでK8s環境の１０％のワーカーノードに連携したが問題なく、3週間で全社展開できた
    • SOCの主役になっている

最後に

AWSは、GuardDutyなどのサービスを利用したCloudTrailで記録するAPIのログやVPC　Flow Logsなどを利用したAWS内を経由するような脅威検出は得意です。

ただ、AWSコンソールへアクセスする端末に対するセキュリティ対策（EDRなどエンドポイントセキュリティ）はAWSだけでは難しいので、パートナーソリューションを活用する必要があります。

エンドポイントセキュリティはMicrosoft Defender for Endpointを始めとして色々なセキュリティソリューションがありますが、CloudStrikeもその1つだと理解できました。

個人的に、GuardDutyの既知の脅威インテリジェンスについて、AWSとCloudStrikeと密に連携して管理していることを初めて知ったので驚きました。

以上、芦沢(＠ashi_ssan)でした。