[レポート]Panasonic AvionicsのAWS Security Hubによるセキュリティポスチャーモニタリング #reinvent #SEC205

こんにちは、岩城です。

セッション概要

SPEAKERS

• Anand Desikan
• Himanshu Verma

DESCRIPTION

このセッションでは、データを積極的に監視、識別、保護することで、少ない運用投資でセキュリティとコンプライアンスを維持する方法をご紹介します。パナソニック アビオニクス社は、Amazon S3への移行により、データセンターのコストを85%以上削減しながら、安全性を維持し、包括的な業界規制に準拠するための強固なセキュリティソリューションを紹介します。Amazon Macieを使用してデータを監視し、Amazon GuardDutyを使用して脅威を検出する方法を学び、応答を自動化することでデータを保護し、コンプライアンス要件を満たすことができる方法を検討するために、レイヤードセキュリティを導入するためのベストプラクティスをご覧ください。AWS Security Hubを中央監視とポスチャー管理のコントロールポイントとしてどのように使用できるかを検討します。

SESSION LEVEL

• 200 - Intermediate

レポート

イントロダクション

• 前半:データ保護の重要性と、AWSネイティブサービスを活用したレイヤードセキュリティ戦略の概要を説明する
• 後半:Panasonic Avionics社におけるAWS　Security Hubよるセキュリティポスチャーモニタリングについて話す

レイヤードセキュリティとコンプライアンス戦略

• 各レイヤーでセキュリティ対策するセキュリティアプローチモデルのひとつ
• NISTやその他サイバーセキュリティフレームワークの中にも、こうした対策を求めるものがある
• データ保護のリスクを軽減する基本事項
  • すべてのデータがどこにあるかを正確に把握する
  • 保護する必要のあるすべての重要データを把握する
  • すべての脅威をリアルタイムで監視、アクションを起こして対応する
  • インフラを継続的に監視・評価して、セキュリティベストプラクティス基準が守られていることを確認し、どこにギャップがあるか可視化する
  • そのギャップにすぐに対応できるようオペレーションを自動化すること

リスク定義のための基本サービス

• これらのサービスを利用することで継続的で拡張性のある、レイヤードセキュリティのアプローチを取れる
• また、他のAWSサービスと統合するための拡張性を得られる

Amazon Macie

• 2020年5月にリニューアルしたサービスで、センシティブなデータを大規模に発見することに100%特化した
• コア機能
  • 機械学習のパターンマッチングを用いて、センシティブなデータがどこにあるかを発見する
  • データのセキュリティ状態（公開、共有、暗号化）を把握する
• AWSアカウント個別に利用することもできるし、AWS Organizationsと統合して組織レベルに利用できる

• 検索ジョブを利用して、ターゲットをバケットを選択したり、バケットレベルのポリシーを定義し、自動的にスキャンできる
• マネージドな識別子のパターンに基づきスキャンできるし、正規表現を使いながら独自のカスタム識別子を定義できる
• APIサポートされており、EventBridgeからLambdaをトリガーして、センシティブなデータを発見した場合、対応や修復を自動化できる
• さらに重要なことはSecurity Hubに統合されていること

Amazon GuardDuty for Amazon S3 Protection

• 2020年9月、GuardDutyの新機能としてS3の保護が追加された
• CloudTrailのS3データイベントを監視している
• S3に対する疑わしい、悪意あるアクティビティを検出、通知する
• Security Hubと統合可能で、GuardDutyでの検出をトリガーに自動的に対応や修復が可能

AWS Security Hub

• Security Hubは、3つの重要な要素を解決するのに役立つ
• 1つ目、安全であるかどうかをチェックできる
  • アカウントレベルで複数の設定を自動的に継続的に評価する
  • AWSセキュリティベストプラクティス、CISベンチマーク、PCI DSSなどの外部基準に対して評価する
• 2つ目、セキュリティイベントに対し、どのような対応をすべきか把握したり、優先順位をつけられる
• 3つ目、AWS Security Findingフォーマットに正規化し、対応を自動化できる
• AWS Organizationsとの統合により、組織内のすべてのAWSアカウントを管理できる
• Macie、GuardDuty、Inspectorなどのサービス、3rd Party製品のFindings(検知内容）を一箇所に集約できる
• 最近では、リージョンを超えて一箇所に集約できる機能も追加され、すべてのAWSアカウントを一箇所のリージョンで管理できるようになった

• Security Hubで検知したことをトリガーにEventBridge、Lambdaを連携させて、メールだけじゃなくSlackやモニタリングツールに連携できる

• MacieやGuardDutyをSecurity Hubに統合し、Security Hubに集約されたイベントをトリガーにEventBridgeを使って、対応や修復を自動化できる

Panasonic Avionics社のレイヤードセキュリティアプローチ

• デジタルトランスフォーメーションに着手した際の方針
  • 軽量化
  • ネイティブクラウドファースト
  • すべて自動化

• 飛行場のデータソースがあり、リアルタイムストリーミング、バッチアップロードしている

• マルチテナント・マルチアカウントモデルにセグメント化されている

• この原則を元に、アプリケーションレビュー、セキュリティアーキテクチャレビュー、デプロイメントアーキテクチャレビューしている
• まずAWSサービスを利用する
• 当社が導入しているサービスの97%はマネージドサービス
• コストを抑え、開発者に多様な実装方法を提供している
• AWSにないサービスを開発する時でも、AWSならどうするか？を考え最小限に実装し、代替可能なAWSサービスが出てきたら交換する
• セキュリティポスチャの例
  • 最初はGuardDutyの導入から始め、CloudTrail、Config、Macieを導入した
  • Security Hubが登場したことで、これまでの基本的な実装を超えて、より強固な実装に拡張することができるようになった
  • セキュリティファーストは当社のアプローチに含まれる主要な要素
  • すべてのサービスはセキュリティサービスと統合され例外はない

• AWSの優れたWell-Archフレームワークを活用し、以下が実装方法の核となっている
  • オペレーションはコードで行う
  • セキュリティはすべてのレイヤーで実装する
  • 高可用性のあるアプリケーションデザイン
  • サーバーレスアーキテクチャ
  • マネージドサービスを利用する

• GuardDutyとMacieが自動的に問題を検出することで、かなりの量のアップサイドを得られるようになった
• 複数アカウントのアーキテクチャで発見された多くの情報をSecurity Hubに集約した
• EventBridgeを使用して対応や修復を自動化できた
• QuickSightダッシュボードを活用し、データレイクやセキュリティ対策の状況を完全に可視化した

感想

前半はS3のデータどのように保護するかを中心に、Macie、GuardDuty、Security Hubの基本的な説明と具体的な利用方法について知ることができました。

Security Hubはセキュリティイベントを集約できるだけじゃなく、AWSアカウント上のセキュリティ設定を自動で継続的に評価できます。

なにより、先日のアップデートで1箇所のリージョンに集約できるようになったので、Security Hubどんどん使い勝手良くなっていますし、ガンガン使っていこうと思える内容でした。

後半はPanasonic Avionics社の事例紹介でした。

セキュリティファースト、マネージドサービスの利用、サーバーレス、オペレーションは手作業しないなど、クラウドネイティブな思想で活動されていました。

特に、AWSサービスに無くて自分たちで実装するサービスは、いずれAWSサービスが出てきた時に入れ替えられるよう、AWSサービスだったらどのように実装するかを考えて、最小限に実装しているのは驚きました。

Security Hubにイベントを集約させ、EventBridgeを使って対応を自動化させるだけじゃなく、QuickSightも使ってセキュリティ状況を可視化しているのもすごいです。

本エントリがどなたかのお役に立てれば幸いです。

ご参考

本エントリで登場したサービスについて説明されている記事です。