[レポート] システムとしてのAWSサイバーセキュリティ (sponsored by Sophos) #SEC327-S #reinvent

2021.12.03

re:Invent 2021 で行われた「AWS cybersecurity as a system (sponsored by Sophos)」セッションのレポートです

セッションはオンデマンドで公開されていますので、レポートを見て興味が出た場合はぜひご確認ください。

セッション概要

セッション名:AWS cybersecurity as a system (sponsored by Sophos)

Success is often defined by your customer base. For Celayix, a thriving SaaS business on AWS, protecting critical data and workloads while allowing applications to be readily available for users and customers was the key to their success. In this session, join Sophos to examine the cybersecurity threat landscape and learn how the team at Celayix layered active threat protection, AWS services, and MDR for a proactive, predictive defense against the latest cyber concerns and security misconfigurations. This presentation is brought to you by Sophos, an AWS Partner. Speakers: Marion Guerin (Sophos) and Bill Prout (Sophos)

スピーカー
Sophos Marion Guerin
Sophos Director of Sales Engineering Bill Prout

レポート

Sophos 社のパブリッククラウド向けのセキュリティ製品の紹介と従業員のシフト管理・勤怠管理を行う SaaS である Celayix への導入事例の紹介を行うセッションです。


セッションの流れ

  • Sophos の紹介
  • パブリッククラウドセキュリティの背景
  • Introducing Celayix
  • Celayix architecture
  • Realizing Celayix’s cybersecurity goals (Celayix のサイバーセキュリティ目標の実現)
  • The way you want cloud security to work (クラウドセキュリティを機能させる方法)
  • 今後の展望


Sophos の紹介

  • 30 年以上の歴史を持つサイバーセキュリティ企業であり、150 カ国以上に展開し、1 億ユーザ以上を保護している
  • AWS マーケットプレイスが開設された当初から AWS と連携している
  • AWS Level 1 MSSP (Managed Security Service Partner)


パブリッククラウドセキュリティの背景

  • 調査の結果、組織の 70%は過去 12ヶ月にパブリッククラウドでセキュリティインシデントを経験
  • ランサムウェアが増加している
  • パブリッククラウドの設定ミスがインシデントの原因の 66%を占める
    • SSH の開放したままにする、ストレージ公開、IAM ロールの権限を最大としている、などのミス
    • 攻撃者が最初の認証を施行するまでの時間は短く、対処するための時間は短い(下記スライド)


Introducing Celayix

  • Celayix は 2000 年に設立され、AI を用いた従業員のシフト管理と勤怠管理を行う SaaS を提供している企業
    • 3 名のみのチームがセキュリティ対策を担っていた
  • データのセキュリティは最優先事項であった(下記スライド)


Celayix architecture

  • Celayix のアーキテクチャ
    • 下記スライドの構成を 2 つのリージョンで冗長化して構築している

  • GDPR(General Data Protection Regulation:一般データ保護規則)の遵守が必要だった
  • 始めは GuardDuty を活用していたが、複雑になっていく環境を守るために Sophos 製品を利用した
    • Sophos Cloud Optix, Sophos Intercept X for server, Sophos Managed Threat を活用
    • アラートやチケット管理システムも含まれる

  • Sophos は AWS が提供する GuardDuty や CloudTrail 等のサービスを導入しつつ、拡張するアプローチを取っている
  • Celayix 社は、始めはクラウドのベストプラクティスに従い、次に AI を活用して大規模な脅威インテリジェンスを行うことで 24 時間 365 日の監視へと拡張していった


Realizing Celayix’s cybersecurity goals

  • セキュリティツール、セキュリティに精通した人材、プロセスを整備することがゴール
    • 人材は外部を利用することもできる
  • Sophos は AWS Level 1 Managed Security Services Partner として 10 種類のサービスを提供している


The way you want cloud security to work

  • Celayix 社にも導入された Sophos のセキュリティパッケージ製品の紹介
    • aws marketplace で販売されている
    • 自社でクラウドセキュリティを行うリソースがない場合は、マネージドな 24 時間 365 日で管理された保護である Managed Threat Service を利用できる
    • 自社のリソースがある場合は、XDR (Extended Detection and Response) 製品 によりエンドポイント、サーバ、ファイアウォールなどのデータを取り込んで統合的に管理できる
    • CloudTrail, GuardDuty, Security Hub 等の AWS サービスの情報も解析する

  • 脆弱性を予防するための機能
    • ネットワークとリソースの可視化
    • セキュリティとコンプライアンスを実行するカスタムポリシー
    • クラウド事業者のセキュリティサービスのアラートのガイド付きの修復と優先度付け
    • コンテナイメージと IaC テンプレートのスキャン
    • IAM の監視

  • セキュリティインシデントを予防する例の紹介
    • MFA 認証が必要な IAM ロールの検出
    • RDS のパブリック公開の特定
    • CloudTrail の分析とリスク優先度付け
    • 特権アクセスの IAM 適切なポリシーに変更(下記スライド)

  • MTR サービスは、お客様向けにレポートも作成する


今後の展望


まとめ

Sophos 社のセキュリティ製品の紹介と導入事例のセッションでした。

セキュリティインシデントを予防するための機能は、CloudTrail や GuardDuty 等の AWS サービスをベースとして拡張する形式で製品を作られていました。

リソースの関係性をグラフデータで表示してくれるため視覚的に分かりやすいのが個人的に好みでした。