[レポート]AWS Solution Days 2019 〜セキュリティ&コンプライアンス〜

こんにちは。プロダクトグループのshoitoです。

2019年1月22日(火)に開催された AWS Solution Days 2019 〜セキュリティ&コンプライアンス〜 に参加してきたのでレポートをまとめます。

基調講演: サイバーセキュリティ研究最前線 2019

国立研究開発法人 情報通信研究機構（NICT） 井上 大介 氏

NICTとは

• サイバーセキュリティ研究室 研究マップ
• Global(無差別型攻撃対策) <---> Local(標的型攻撃対策)
• Passive <---> Active

NICTER

• NICTERとは
• NICTERデモ
• リアルタイムな国内へ流入するパケットのデモ
• 観測統計(2005-)
• 年間1,500億パケット
• 1 IPアドレス辺りの年間総観測パケット数は55,9125
• ルーターや監視カメラなどのウィルス感染IoT機器からのパケットが多い
• 感染機器の分布(2017年): 23/tcp
• 10年前は半数がWindowsからのパケットだったが、今は組み込みLinuxが上位
• Top 3
• 23/tcp (telnet)
• 国内ホームルーター
• 22/tcp (ssh)
• 国内モバイルルーター
• 445/tcp (smb)
• Windows(WannaCry)
• 国内における脆弱性ハンドリング
• 大規模感染の早期検知から感染機器の特定、ユーザーへの注意喚起、ファームウェアアップデートまでの流れ
• 高度化するIoT機器への攻撃
• 2016年以前、2017年、2018年
• デフォルトID/パスワードでログインして感染する簡易的なものから、機器の脆弱性を突くように進化
• (NICTER Blog)
• IoT機器セキュリティ対策6選

1. IoT機器の再起動
2. ファームウェアのアップデート
3. ID/パスワードの変更
4. インターネット側からのアクセス拒否設定
5. ゲートウェイ機器の内側に設置
6. 古い機器は買い換える

- IoT機器ベンダにおけるセキュリティ対策 - セキュアコーディングの徹底 - セキュリティ開発ライフサイクルの整備 - OEMの受け入れ検査強化 - IoT機器導入時のマニュアルの整備 - 2018年観測レポートは今月末に公開予定

NIRVANA改

• NIRVANA改とは
• 解決したい課題
• セキュリティオペレーション現場の悩み(その1)
• 対策をすればするほど、アラートが増えて対応しきれない
• 機能
• トラフィック観測・分析 + アラート収集・分析 + 自動対処 + 可視化
• NIRVANA改のデモ
• InteropのShowNetでのデモ
• NIRVANA改弐とは
• 脆弱性管理プラットフォーム
• NIRVANA改 + Vlus(OSSの脆弱性スキャンツール)
• NIRVANA改弐のデモ
• 特定サーバのスキャン
• 緊急フルスキャン
• AWSでのNIRVANA改の実現
• トラフィック情報の収集
• flow logs
• セキュリティアラートの出力
• AWS WAFなど
• AWS Security Hub + NIRVANA改(まだ実現していない)

WarpDrive

• WarpDriveとは
• Web媒介型攻撃対策
• ユーザーのChromeブラウザにタチコマエージェントを導入してもらう

基調講演: 米国政府および米国防衛関連のセキュリティ概要

Amazon Web Services, Inc. WWPS Principal Business Development, Michael South

アメリカ政府の概要

• クラウドポリシー
• 2010年クラウドファーストを発行
• 2018年クラウドスマートポリシーを発行
• 政府のコンプライアンス
• センシティブデータ保護
• 税データ、犯罪データ、武器データ、...
• フレームワークとプロセス -規格
• NISTサイバーセキュリティフレームワーク(CSF)とは
• バリュープロポジションとユースケース
• バリュープロポジション
• リスク管理関連の一般的な分類
• 技術者、実行者に関連
• ...
• ユースケース
• 医療
• 商用
• 政府機関
• ...
• 2014年、IPAが日本語版を発行
• AWSは本フレームワークに準拠している
• NISTリスク管理フレームワーク(RMF)とは
• 6つのステップ

1. 分類
2. 選択
3. 実装
4. 評価
5. 認可
6. 監視
7. 1へ戻る

- FedRAMP認可の概要 - 運用認定を共通して使っていく - 評価プロセス 1. 文書 2. 評価 3. 認可 4. 監視 - 認可されたCSPサービスはFedRAMP Marcketplaceに登録され、他の期間でも利用可能 - 課題 - CSPサービスのリリースから政府機関が使えるようになるまで18ヶ月かかる - 動向 - 政府機関および職員はクラウドの概念およびテクノロジーの専門家となりつつある - 知識と経験がAWSとの信頼を構築 - AWS GovCloudのデフォルトとしての利用からAWS商業リージョンのデフォルトとしての利用に切り替えが進行 - マイクロサービスに移行

セキュリティ目標

• 従来環境では
• 耐性の欠如
• 自動化の程度の低さ
• 高可用性の実現
• 冗長化
• リージョン
• アベイラビリティゾーン
• ELB
• 自動化の実現
• データから人を排除
• 人は間違いを起こすもの
• GuardDuty IDS
• 偵察
• インスタンスの侵害
• アカウントの侵害
• 統合サービスによる自動化

推奨事項

• 標準
• システム認可
• データ保護
• 官民パートナーシップ
• 研修及び国家人材開発

基調講演: AWS Securityの方向性

Amazon Web Services, Inc. Director, Office of the CISO, Mark Ryland

アマゾンウェブサービスジャパン株式会社 Office of the CISO　梅谷　晃宏 氏

こちらは対話形式のセッションでした。

イノベーション|新機能提供のペース

• 2011年は82
• 2018年には1800+
• セキュリティ対応: 239件のセキュリティアップデート
• 現在は分離とコントロールの機能は十分に提供されているため、GovCloudは必要なく商業リージョンで十分
• リアクティブからプロアクティブへとは
• プログラマブルな基盤、ツール
• AWS CloudTrail: ビジビリティを得られた
• AWS Config: ...
• コードを書いて、自動化を実現していく
• データと人間の分離
• 人によるミスのリスク
• 自動是正措置のパターン
• 目指している姿
• 人がバグのないソフトウェアを書いて、デプロイしている。インフラにもこれを適用する。
• 反復的なプロセスは排除する
• ResiliencyやOperationの安全性を上げる
• セキュリティ関連サービスを増やしている理由
• 自動化を進められるようにするため
• インシデント発生からレスポンスまでの時間を短縮
• ソフトウェアで可能なプロセスの拡大
• CI/CDパイプラインのセキュリティ
• アプリケーションとインフラ
• インフラは仮想化できるためソフトで定義できる
• ソフトで定義できるため自動化できる
• 役割分担: 物理的/論理的/SOA
• スーパーユーザーの排除をしている
• データと人間の分離(EC2) - NITROアーキテクチャの紹介
• サーバ（インスタンス)
• NITROシステム
• 仮想ネットワーク
• 仮想ストレージ
• 管理、セキュリティ、モニタリング
• セキュリティに対する期待
• 経営陣による了承
• 60-90分のWeeklyミーティングでユーザーからのフィードバックに目を通している
• セキュリティにフォーカスした事業文化がある
• 主要なパフォーマンス指標

セッション1: AWS Security Hubを使用したCIS AWS Foundations Benchmarkの計測 〜 コンプライアンスの概要〜

Amazon Web Services, Inc. Senior Manager, Security Assurance, Jennifer Gray

CIS AWS Foundations Benchmark

• CISについて
• CIS Controls - サイバー攻撃のリスクを約85%減少
• Basic CIS Controls
• Foundational CIS Controls
• Organizational CIS Controls
• CIS Benchmarks
• セキュリティ設定のベストプラクティス
• CIS AWS Foundations Benchmark
• AWSアカウントを強化するセキュリティ設定のベストプラクティス
• 52のチェック項目
• 適用範囲
• アイデンティティ管理とアクセス管理
• ロギング
• モニタリング
• ネットワーキング
• セキュリティ＆コンプライアンスの利点
• 規範的なガイダンス
• わかりやすい実装手順と評価手順
• 広く使用されている標準で監査が簡単

AWS Security Hub

• 用語と概念
• アカウント
• AWSセキュリティ検出結果
• 検出結果
• インサイト
• 標準
• Security Hubの有効化から使い方まで
• AWS Configが前提
• APN製品との統合
• コンプライアンスチェックの自動化
• 43の完全自動チェック項目はダッシュボードにまとめられる
• レスポンスとアクションの自動化
• ex) SlackやPagerDutyへ通知を送る

要点と次のステップ

• AWS Security HubによるCIS AWS Foundations Benchmarkの自動コンプライアンスチェックの実行
• コンプライアンススコアの取得
• Insightsを使用した処置必要箇所の識別と優先順付け
• AWS CloudWatch Eventsによるカスタム処置の作成

セッション2: AWS Security Hubを活用したコンプライアンスの自動化の実装

Amazon Web Services, Inc. Principal, Office of The CISO, Henrik Johansson

AWSのセキュリティ概要

• 識別 -> 保護 -> 検出 (自動化/調査))-> 応答 -> 復旧 (各フェーズのサービスの解説。ex. GuardDutyが..., WAFが...)

• 問題

• コンプライアンス
• 複数フォーマット
• 優先順位付け
• 可視化

AWS Security Hubの概要

• 提供プランと価格設定
• 現在(2019/01/22)はパブリックプレビュー
• API/CLI/SDKをフルサポート
• ユーザー
• Airbnb
• GoDaddy
• ...
• APN製品との統合
• Security Hubの有効化から使い方まで
• AWSセキュリティ検出結果フォーマット
• 約100個のJSONフォーマット
• 検出結果タイプ
• 機密データの識別
• ソフトウェアと設定の確認
• 通常と異なる動作
• 戦術、技術、手順(TTP)
• 影響
• 重大度の正規化
• コンプライアンスチェックの自動化
• 43の完全自動チェック項目はダッシュボードにまとめられる
• 注意が必要なリソースを識別するために役立つInsights
• レスポンスとアクションの自動化
• ex) SlackやPagerDutyへ通知を送る
• 覚えていただきたい要点
• 全体的なAWSのセキュリティとコンプライアンス方針の理解と管理
• ...
• Insightsで検出されたセキュリティ問題の分類と照合、および最も重要な問題の識別と優先度付け
• Security Hubのデモ

セッション3：AWS Control Towerを活用したランディングゾーンの構築

Amazon Web Services, Inc. Director, Office of The CISO, Mark Ryland

AWS環境でお客様の期待すること

• 構築
• ビジネスの差別化要因への集中
• 素早い移行
• アイデアの実現
• セキュア
• セキュアでコンプライアンとな環境

深掘り

• セキュア＆コンプライアント(文書化、実証)
• スケーラブル＆柔軟性
• 適合性＆順応性

お客様が直面する課題

• 多種多様なデザインに関する意思決定
• 複数のアカウントとサービスを考慮し構成する必要性
• セキュリティのベースラインとガバナンスの確率

アカウントに関するセキュリティの考慮事項

要求事項のベースライン

• Lock
• AWS Account Oredentialの管理
• Enable
• AWS CloudTrail
• Amazon GuardDuty
• Define
• アカウントのロールと権限の整理
• Federate
• ID管理のソリューションの活用
• Establish
• Infosec用の横断的なロールアカウント
• Identify
• ガバナンスを達成するためのアクションと状態

ネットワークアーキテクチャ上の考慮点

• AWS Services in Your VPC
• VPC Endpoints for Amazon S3
• DNS in-VPC with Amazon Route 53
• Logging VPC Traffic with VPC Flow Logs

マルチアカウントにおけるアプローチ

• AWS Organizations
• Core Accounts
• Security
• Log
• Network
• Shared Services
• Team/Group Accounts
• Developer Accounts
• Developer Sandbox

AWS Control Tower

• AWS Control Towerとは
• AWS Landing Zone作成の自動化
• Guardrailsの有効化

AWS Landing Zone

• AWS Landing Zoneとは
• AWSのベストプラクティスに基づいた、構築済みの、セキュアでスケーラブルなマルチ・アカウントAWS環境
• 新規のマルチアカウント環境のセットアップの自動化を容易にするソリューション
• 利点
• アカウント管理
• IDとアクセス管理
• セキュリティとガバナンス
• 拡張性
• 基本構成
• Organizations Account
• Shared Services Account
• Log Archive
• Security Logs
• Security Account
• Audit/Break-glass
• Account Vending Machine
• AWS Landing Zone Pipeline
• 活用の利点
• 自動化
• スケーラビリティ
• セルフサービス
• 阻止ではなく安全のためのガードレイル
• 監査可能
• 柔軟性
• 運用のオプション
• Well-Operatedの状態
• Well-Operatedに至るまでの考慮事項
• セルフマネージド
• AWSマネージド・サービス via AMS
• パートナー・マネージド
• AWSマネージド + パートナーマネージド

セッション4：本日のまとめ

アマゾンウェブサービスジャパン株式会社 Office of the CISO　梅谷　晃宏 氏

• Security OF the CLOUD
• AWSがやること
• Security IN the CLOUD
• AWSユーザーがやること
• カルチャーと組織
• 迅速性のための組織整備

さいごに

サイバーセキュリティ研究最前線 2019で紹介のあった、NICTERもNIRVANA改もユーザーインターフェース(UI)がゲームのUIのようで可視化のやり方が業務アプリケーションと違い面白いものでした。パケットの流れやファイアウォールの働きを上手く表現できている印象を受けました。

米国政府および米国防衛関連のセキュリティ概要では、CSPと政府機関では時間軸が違い、CSPのサービスリリースから政府機関での採用まで時間のかかってしまうという点の課題は国は違っても似ているのかもしれないと思いました。

AWS Security Hubのセッションで、Jenniferが会場へ「CIS AWS Foundations Benchmarkについて知っているか？」と聞いたところ5%くらいな印象で(目測)、これからより周知が必要なものだと感じています。

AWSを使うときに確認すべき52のセキュリティチェック項目と15分でできる簡単なチェックの方法