[レポート]600 アカウントのセキュリティを見る – AWS Security Roadshow Japan 2021 #awscloud #AWSSecurityRoadshow

こんにちは、臼田です。

本日はAWS Security Roadshow Japan 2021で行われた以下の講演のレポートです。

600 アカウントのセキュリティを見る

サイバーエージェントグループでセキュリティはホットなキーワードとなっておりますが、中でも「クラウドセキュリティ」に対する温度感は年々特に高まっております。弊社における AWS セキュリティに対する取組みについてご紹介します。

株式会社サイバーエージェント システムセキュリティ推進グループ エンジニア　小笠原 清志 氏

レポート

• 質問
  • Q1. 社内のクラウド利用費は増えてますか？
    • だいたいyesではないか
  • Q2. セキュリティ事故や事故につながるヒヤリハットの経験はありますか？
    • クラウドの利用が増えたことでセキュリティレベルが下がったとかではない
    • AWSを選択することでセキュリティが上がることが多い
    • DRやロギング、パッチ適用の運用効率化などは自前のデータセンターだと大変
    • 背景
      • クラウド特有のセキュリティを知る
      • 開発者が行う範囲が広がっている
    • 開発者にもネットワークなどに知識が必要であったりする
    • 設定ミスがよく見られる
  • Q3. セキュリティ的に問題があるかを確認するのは大変じゃないですか？
  • Q4. セキュリティ関連のオペレーションって属人化していませんか？
    • インシデントハンドリングなどは属人化しやすい
    • ドキュメンテーションが難しい
    • 継続的に発生しない
  • Q5. 世の中のセキュリティ関連のソリューションって正直高すぎませんか？
    • 多くの企業がそこまで予算が確保できない
  • Q6. クラウドってAWS以外にもありますよね？
    • 企業のセキュリティ担当はAWS以外も見る必要がある
• 悩み
  • 確認作業が辛い
  • 増え続けるクラウド
    • ポイントが増える
    • 継続的に見続けないといけない
  • 属人化
  • お金かかりすぎ
• ツール
  • 作りました
  • RISKENという
  • CAグループで展開
  • セキュリティリスクを可視化するツール
  • いわゆるCSPM
    • クラウドの設定ミスを見つける
  • デモ
    • ログインするとプロジェクトのダッシュボードが出てくる
    • プロジェクトを作ったらAWSの設定を入れる
    • アカウントIDを入れる
    • データソース(スキャナー)を有効にしていく
    • IAM Roleでアクセスできるようにする
    • 外部IDを利用する
    • 設定できると自動でスキャンされる
    • 手動で開始も出来る
    • スキャンした結果の確認
      • スコアを調整しながら確認できる
      • スコアが高いものを確認
      • S3バケットが公開されている検知結果
      • リソースアクティビティ確認画面
      • 操作履歴がRISKEN上で確認できる
      • Configの情報とCloudTrailの情報が時系列に並べられる
      • イベント詳細も見れる
      • errorでフィルターなど、テキストフィルターができる
    • アラートを仕掛けることもできる
      • スコア0.8以上でアラートするルール
      • Slack通知できる
  • 様々なデータを収集し継続的にセキュリティを評価する
    • AWS以外も収集できる
    • 統一的な基準でスコアリングできる
    • フィルターしたり見やすく出来る
    • プロジェクトの一元管理ができる
    • IAM Role1つ用意するだけで開始できる
    • AWSのモニタリングは独自やOSSもある
  • AWSのセキュリティサービスがかなり充実している
    • 無料のものが多い
  • しかし使いこなすにはテクニックや知識が必要
    • RISKENでフォローする
  • 情報漏えいを検知したい
    • IAM Access Analyzerで検知できる
    • 実装難易度は高くないが、手間ではあるのでツールが有るといい
    • 細かいチューニングをしたくなる
      • メンションの有無やレベルを下げるなど
  • AWS以外のモニタリング機能
    • Webサイトやその他のCSP
    • OSINT
    • サーバ証明書やドメインのチェック
• 運用
  • AWSアカウントは636以上ある
  • RISKENアーキテクチャ
    • 小規模なEKSクラスタ
    • 認証はCognito
    • 社内のIdPと連携
    • マイクロサービス毎細かいスペックチューニングできる
    • データストアなどはマネージドサービス利用
  • モニタリング体制
    • 色んな人を巻き込んでセキュリティを見る
    • ツールを中心に
    • サービス側やSREを巻き込む
    • セキュリティの担当者側だけで判断できないことも多い、対応もできない
    • 巻き込みが必要
  • 実績
    • プロジェクト800以上
    • 検知結果500k以上
    • 事故る前に防げている
  • 目指すべきセキュリティ状態
    • 4段階定義
    • リスク定義・特定
    • データ収集・問題検知 ← いまここ
    • 修復・対応・リスク受容
    • 自動化
• 他にも色々やってます
  • EDRやSIEM on Amazon OSSなど
• まとめ
  • 確認作業が辛いところは自動化
  • 増え続けるクラウドに対して横展開するだけの状態にした
  • 属人化に対してモデル化してツールに組み込んだ
  • お金かかりすぎなのは数億円/年から200万円/年になった
• RISKENをOSSとして公開予定
  • GitHubで公開する
  • 公開されてました

感想

ツールや知見が分散してしまうことはよくある問題なので、こういった集約ツールが出てくると非常にありがたいですね！

RISKENのリリースを待ちましょう！

出てました！使いましょう！