【レポート】AWS GuardDuty によるサイバーハイジーンの実現　#AWSSummit

どうもさいちゃんです。2024 年 6 月 20 日、21 日に行われた AWS Summit Japan 2024 に参加し様々なセッションを視聴してきました。本記事は、「AWS GuardDuty によるサイバーハイジーンの実現」というセッションにつてのレポートブログとなります。

登壇者とセッション概要

登壇者

• 立石 浩崇 氏　株式会社日立システムズ　ビジネスサービス事業部 ビジネスクラウド推進センタ

セッション概要

ＮＩＳＴ のサイバーセキュリティフレームワークをセキュリティ根幹と考え、サイバーハイジーンでの潜在的なセキュリティリスクの摘み取りと定常監視による脅威の早期検出といったサイバーレジリエンスでの対応を⽇⽴システムズは提唱し提案しています。本講演では、AWS GuardDuty によるサイバーハイジーンの実現について触れていきます。 AWSSummit Japan セッション一覧

レポート

クラウドセキュリティを取り巻く環境について

• 脆弱性を狙う攻撃の増加
• ランサムウェア被害が７割ほど
• 脆弱性のある危機を狙った探索行為が増加
• 一般社団法人日本情報システム・ユーザー協会の行った「企業IT動向調査2024」という調査
  • IT 投資で企業が解決したい事業課題
  • 1 位が業務プロセス効率化
  • 2 位がセキュリティ強化
  • DX の推進＝セキュリティ強化が切り離せない
• セキュリティ脅威への防止策
  • 脆弱性対策や資産管理といった言葉がよく出る
  • そこだけ出来ればインシデントが起きないわけでもない
  • IT 資産や脆弱性について正確かつタイムリーな把握
  • 迅速なセキュリティパッチの適用
  • 現状のセキュリティ対策が十分であるか銅貨の把握
  • 上記を継続して行っていくのはなかなかハードルが高いと感じる組織も多いのではないか？
  • 行政機関からもガイドラインや取り組み方針が出ている
  • 金融庁や厚生労働省などからも取り組み方針についての資料が公開されている
    • 資産管理や脆弱性管理の「必要性」について資料には記載がある
  • 情報セキュリティリスクとは
  • 潜在的な脅威＝リスク
  • 顕在化したものがインシデント
  • 潜在的なものを摘み取っていく事こそがサイバーハイジーン
  • 資産管理と脆弱性管理への取り組みで「健全な環境」を保つことが必要
  • IT 資産・脆弱性管理の可視化/一元管理によるリアルタイムかつ正確な情報把握と対応
  • インシデント発生時の対応の迅速化
  • 各セキュリティ対策との連携による効果的な対応の実現
  • クラウドサービスを利用した効果的なセキュリティ対策の推奨
  • 特に４つ目がポイント
    • 必要な時必要なものをすぐ調達出来るというクラウドのメリットを活用して効率的にセキュリティ対策を行う

クラウドセキュリティ対策

• 事前対策と事後対策という形で AWS サービスをマッピングした図
• GurdDuty について
  • 脅威リスクを検知 AWS マネージドサービス
  • 潜在的な脅威を検知できる
  • VPC フローログや Cloudtrail を分析し、悪意のあるアクティビティを検出
  • 統合脅威インテリジェンス
  • 検知できるもの代表
  • CryptoCurrency マイニングに使われていることを検知
  • Recon 脆弱性を探そうとしているアクティビティを検知（冒頭の脆弱性の探索）
  • 日立システムズ顧客の GuardDuty の活用状況と課題
  • 活用状況は２割ほど
  • なぜそれだけにとどまったのか
  • 通知が理解しにくい
  • 検知を自動把握できないなどの課題があった
• 日立システムズのクラウドセキュリティについて
  • NIST サイバーセキュリティフレームワークに沿ったプロセス体系
  • セキュリティ対応業務の整理と定義を実施し 25 業務に分ける。
  • さらに上記セキュリティ対応業務を行うために必要な対応を７つのカテゴリに分類
  • 上記を元に顧客とセキュリティ対応業務について相談を行う
  • リスク洗い出し（アセスメント）
  • 洗い出したリスクが７カテゴリ 25 業務のどこに当てはまるのかを調査
  • 実際にやらなければならない範囲の特定を行う
  • 体系化した図とともに提案を行うことによって自身の業務に落とし込みやすい
• GurdDuty
  • GurdDuty で検知した脅威譲情報を SOC 基盤（ServiceNow の ITSM）へ
  • MITRE ATT&CK のフレームを元に脅威情報をマッピング
  • Json 形式で飛んでくるメールをカラムを作り、理解しやすい状態で顧客へ送信する

本日のまとめ

• 潜在的なセキュリティリスクをつぶす為に
  • リスクアセスメントをする
  • TrustetAdviser などの AWS サービスをうまく活用する
  • 上記のようなサービスを使用することでリスクアセスメントがある程度出来たら、どう解決するかについてベンダーと相談するような形でも使える
  • セキュリティポスチャ強化
  • SecurityHub 等を使用して様々なガイドラインやフレームワークに沿った形でセキュリティのリスクなどを検出
  • オンプレ環境でやろうとすると大変なこともクラウドのマネージドサービスを使うことで運用負荷を減らすことが出来る
  • GurdDuty を今回紹介したような形で使用することでよりセキュリティ強化を図ることが可能
• リスクが顕在化する前に摘み取ってしまおう
• サード―パーティのサービスを使うのもあり
• 脆弱性のない環境を作っていくこと＝サイバーハイジーンが重要
• AWS は幅広くサービス展開しているためメリットを享受しながらセキュリティ強化を図る

感想

現在のクラウドセキュリティを取り巻く環境と広がるセキュリティリスクへの対応方法について具体的に紹介してくれるセッションでした。

クラウドセキュリティを強化する上で、どこまでマネージドサービスを活用し、どこから人間が判断を下すのかという悩みの一つの回答として非常に参考になりました。 クラウド移行を検討中の組織や、クラウドを使い始めたばかりの組織の方にとってはもちろん、クラウドセキュリティ対策をより強化したいというお悩みを持つ方におすすめのセッションです。