Security-JAWS 第11回レポート #secjaws #secjaws11 #jawsug

Security JAWS 第11回のレポートです。WAFやIoTの話から、医療関係の対応まで、いろんな内容がありました!レポートをみて気になった方はDoorkeeperからSecurity-JAWSのコミュニティに登録してください!
2018.11.08

この記事は公開されてから1年以上経過しています。情報が古い可能性がありますので、ご注意ください。

こんにちは、臼田です。

Security JAWS 第11回が開催されましたのでレポート致します。

Security JAWS 【第11回】 勉強会 2018年11月8日(木) Security-JAWS | Doorkeeper

レポート

Session1:Security-JAWS 吉江 瞬さん「Participation record SANS SEC545: Cloud Security Architecture and Operations」

  • スライドは後ほど共有されます
  •  SANSのこと知ってますか?
    • 会場半々くらい
  • 受講したことある人はどれくらいいますか?
    • 数人
  • SANS Institute
    • セキュリティトレーニングやGIAC試験を運営している
  • SEC545はクラウドセキュリティのトレーニング
    • 日本初開催
    • 紹介ページ
    • 技術的に深い内容、営業が受けるには難しいレベル
    • 最終的にはDevSecOpsとセキュリティオートメーションの話もあった
  • 当日の様子
    • Dave Shacklefordさんが教えてくれた
    • 日本人と外人半々
    • 通訳は同時通訳してくれた
  • SEC545 1: Cloud Security Foundations
    • クラウドの規約ってちゃんと読んでますか?
    • 同訴訟したら負けるかとか具体的な事例もあった
  • 2: Core Security Controls for Cloud Computing
    • リスクアセスメントとか
  • 3: Cloud Security architecture and Design
    • DBの話
  • 4: Offense and Defense
    • ペネトレーションテスト
    • Metasploitで攻撃
    • Inspectorでの診断
    • AWSでのインシデントレスポンス
  • 5: Automation and Orchestration
    • オートメーション
    • Lamndaを利用した仕組みが紹介された
  • Day 1-5で各種ハンズオンがあった
    • DockerとかZenを利用するものもあった
    • kaliで攻撃する、どういうログが取れるかなど
  • クラウドCTF
  • 今後はどうなるか
    • 内容はAWS/Azure時々Salesforceだった
    • 今後は他のものも増えるかなーと期待
    • Kubernetesは含まれていなかった
  • 学べてよかったこと
    • ちゃんと契約書を読むようになった
    • CASBやモニタリング系のツールを紹介されたので役になっている
  • 受講するのにおすすめしたい人
    • クラウドセキュリティに従事している人
  • Core NetWars Experience
    • 実際に攻撃できる環境が用意されていた
    • USBが配られていてメールログやイベントログが含まれている
  • 申し込み
  • 研修費用を確保しよう
  • Justify Your Tripで作ってみた
    • スライドをみてね!
  • 具体的なテックの内容紹介
    • AWS-IR
      • インシデントレスポンスを行うためのコアエンジン
      • アクセスキーの執行やホスト分離、シャットダウン、スナップショット取得
    • Margarita Shotgun
      • Linuxからメモリダンプを作成するツール
  • フォレンジックの重要性はこちらを参照
  • AWS-IRの使い方
    • 詳細はスライドをみてね!
  • Margarita Shotgun使ってみた
    • 詳細はスライドをみてね!
  • ここまでやったらあとはフォレンジックの専門家に依頼するなど
  • 気になったらぜひ受講してみてね!

感想

すごくテックな内容のセミナーはなかなかないので、ぜひ受けてみたいですね!

Session2:ソフトバンク株式会社 北山 正姿さん「Dome9で実現するクラウド時代の新たなセキュリティ対策」

  • Dome9
    • イスラエルのセキュリティ企業の製品
    • ソフトバンクでは積極的に投資をしている企業
    • 最近チェック・ポイントグループの傘下になった
  • パブリッククラウドの市場はすごく拡大している
    • その分セキュリティへの不安は非常によくある懸念材料
  • クラウドセキュリティの課題
    • クラウドシステムの設定状態が把握しにくい
    • 一貫したセキュリティが設定を保てない
    • コンプライアンス準拠の運用管理が困難
  • Dome9はパブリッククラウド利用時のセキュリティを払拭する製品
  • 機能概要
    • 一つの画面で複数のアカウントを管理
    • システムの状態を可視化
      • セキュリティグループをベースにインターネットにどれくらい開放されているか見える
    • コンプライアンスエンジン
      • 設定状況がルール通りか確認
    • IAM Safety
      • 異なるアカウントやリージョンに対して一括で制限を設ける
      • 制限時間付きの許可が可能
  • Dome9のもう少し詳細
    • ポイント
      • エージェントレスで利用開始できる
      • 可視化による圧倒的なみやすさ
      • コンプライアンスエンジン
      • これらによりセキュリティリスクの低減とワークフローの削減が可能
  • モジュール
    • Clarity
    • コンプライアンスエンジン
    • IAM Safety
  • ARCサイクルの実現で運用時の不安を解消する
    • ARC = 評価・修正・管理
  • Dome9はIAMベースでアカウントの情報を取得
  • ブラウザやAPIでアクセスできる
  • Dome9の基盤自体もAWS上にある
  • アカウントの払い出しはソフトバンクさんに問い合わせるとすぐにできる
  • Clarity
    • セキュリティグループの依存関係を可視化
    • こちらも参考になります

Dome9でSecurityGroupを可視化してみた

  • コンプライアンスエンジン
    • コンプライアンス準拠に必要な評価ルールセット「Bundle」を提供
    • ポリシーの記述はわかりやすい独自の言語
    • 必要なタグの設定ルールとかを自分たちで作れる
  • IAM Safety
    • IAMの状況の把握と適正化を図ることができる
    • 一時的なセキュリティ設定変更権限の付与と制限
      • マネジメントサポート(SSH/RDS)を時間制限で許可するなど

Dome9で管理操作を一時的に許可する

感想

規模が大きくなると、直接AWS基板上でIAMやネットワークの管理は大変になってくるので、Dome9を利用するのは一つの解決策だと思います。

セキュリティグループの可視化は見やすくて強いですね!

Session3:アマゾン ウェブ サービス ジャパン株式会社 園田 修平さん「AWS IoT Device Defender による IoT デバイスのセキュリティ管理」

  • AWSが提供するIoTサービス
    • クラウド側のサービスだけではなくデバイス側のサービスも提供している
      • FreeRTOSはエッジのデバイスで動作するOS
        • デバイス展開後のアップデートとかも考慮されている
      • Greengrass
        • エッジ側にAWSの機能の一部を持っていくことができる
    • AWS IoT Core
      • IoTデバイスの接続やスケーラビリティの提供
    • Device Management
      • デバイス管理
    • IoT Analytics
      • データ分析
    • IoT Defender
      • 新しくGAになった
  • AWS IoTにおけるセキュリティ
    • デバイスとクラウド、ユーザとの接続など複数の視点がある
    • AWS IoTがデバイスに提供するセキュリティ
      • デバイス単位の認証認可の仕組みをサポート
    • AWS IoTではデバイス個々に秘密鍵と証明書を埋め込む必要がある
    • AWS IoTにおける認可
      • そのモノが何をしてよいかポリシーとして定義して制御する
      • 定義したポリシーは証明書にアタッチされる
    • デバイスをセキュアにするベストプラクティス
      • デバイスごとユニークな秘密鍵と証明書を利用する
      • ポリシーは最低限の権限を保持する
    • 全デバイスで固有の秘密鍵を利用する場合
      • あるデバイスの鍵がリークしても対象のデバイスのみrevokeできる
    • ポリシー設定ではResourceで特定のリソースだけ指定する
  • AWS IoT Defenderで解決したい課題
    • 今日が安全でも明日も安全な状態とは限らない
    • どうすればIoTデバイスの安全を維持できるのか
    • 安全でなくなった状態を検出
    • 運用者に通知
    • 進化する脅威に対応すべくデバイスも進化する
  • 提供する価値
    • IoTデバイスの設定をセキュアに保つ
      • Miraiとか、新しい脅威が出てきても設定をしっかりすれば大丈夫
    • 異常なふるまいの検出
      • 利用していないポートへの攻撃の検出など
    • アラートを受け取る
      • 自分たちの運用システムに合う通知が欲しい
      • 証明書の期限切れとか、ありがち
      • アラートに気づく必要がある
    • 問題を修正する
      • 検知したらどうやって治すかが重要
  • 詳細
    • セキュアに保つ
      • デバイスの監査設定
        • 証明書やポリシーがセキュリティのベストプラクティスに沿っているかを監査
        • 定期的な監査が可能
        • 監査項目
          • 証明書やCAの有効期限が近い
          • Revokeされた証明書が使われている
          • 過剰な権限のデバイスがないか
          • 過剰な権限のCognito IDがないか
          • 同じクライアントIDでの接続を検出
            • 証明書が抜かれている場合に有効
          • 証明書が共通で利用されていることを検出
          • IoT Coreのログが無効になっていることを検出
    • 異常なふるまいの検知
      • デバイスの振る舞いをモニタリング
        • このデバイスは1分おきに通信がある、など
        • デバイスの振る舞いを定義しておく
    • アラート
      • CloudWatchやAmazon SNSに送信できる
      • Lambdaと組み合わせて自動化も可能
    • 修正
      • 検出結果に詳細な情報がある
      • それをもとに修正
      • OTAアップデートが可能
  • デモ
    • ポリシーが過剰なものがないか診断
      • オンデマンドですぐに始めることが可能
      • どのデバイスが駄目か、何が駄目かがすぐに見れる
    • Client IDが重複しているか確認
      • 履歴をたどるので2時間とかかかる
    • 検出
      • どのポートが空いているかなど設定
      • デバイスに適用するとリアルタイムに検出できる
  • まとめ
    • IoT Device Defenderを利用することでセキュアに保ち続けて脆弱性を検出、通知を受けて対応できる
    • 数クリックで利用できるので使ってみて!

感想

多数のデバイスを管理するのは大変ですが、クラウド側で集中管理できるのはありがたいですね。

かつ、振る舞いを見てくれるので細かいところを設定しなくても動いてくれるのは力強いです!ぜひ使ってみましょう。

Session4:株式会社セキュアスカイ・テクノロジー 宇田川 稔さん「フルログのその先。腑に落ちるAWS WAFログ解析基盤を構築してみた。」

  • AWS WAFにフルログ機能が登場した
    • ログ保存はWAFからKinesis Data Firehoseを経由してS3に保存される
  • 保存した先、どうしよう?
  • フルログの解析基盤を構築してみたのでその紹介
  • どういう手法があるか考えてみた
    • RedashをEC2上に立てた
      • 構築・設定・運用が大変だった
    • サードパーティ
      • SplunkやSumo Logicなど
      • 結構料金が掛かりそう
      • 承認を取るのは大変
      • データを外にだすのでアクセス権周りの設定が気になる
    • AWSサービス
      • Kinesis Data FirehoseからElasticsearch Serviceに送れる
      • Kibanaで可視化できる
      • インスタンスタイプやサイズ調整なども少し大変
  • そんなとき、Security Analytics Using AWS WAF Full Logging が公開された
    • Quick Sightで可視化する内容
    • 動画の後半で詳細に説明
    • 30分ぐらいで作れた!
  • どんなものが見れるか、グラフを作ってみた
    • リクエスト数国別円グラフ
    • 世界地図
      • 日本とインドが適切にマップしてくれなかった
    • 時間別検知ルール
      • ログにルール名がない
      • rule idは取れるがどれが何かわからない
  • 思ってたのとちょっと違った
    • US以外マップされない
      • QuickSightの仕様
      • US以外は緯度経度の情報が必要
    • ログの検知内容はルール名がない
  • フルログの内容を見てみてた
    • ログはID
    • JPと出るが無視される
  • 改善したい
    • フルログの流れでFirehoseを通る
    • Firehoseの中でLambdaを挟んでルール名や緯度経度を反映させるようにしてみた!
    • 一応オリジンのログは別でとった
    • GeoIP2でIPから緯度経度追加
    • ルール名追加
    • ログ階層も変更
      • 構造がぐちゃぐちゃでselectするだけでも大変
      • 階層がない状態に変更した
  • 結果、地図もルール名も見やすくなった
  • ログをフラット化したのでクエリを見やすくなった
  • 検知状況の調査の利用例
    • AWSが提供しているOWASP Top10やサードパーティのルールに対してSSTさんの攻撃データを利用
    • ヘッダーにカテゴリ等を追加して分析しやすいようにしている
    • 具体的な検知結果についてはモザイクしてるよ
    • 各ルールが検知する内容はSST社内でナレッジがあるので、お客様の環境に合わせて提案できます
  • まとめ

感想

WAFフルログは来ましたが、AWS WAFの運用はまだまだ一筋縄では行かないところがあります。

この内容はちょーいいですね!

やりたい人はやってみて、頼りたい人はSSTさんに頼ってみてはいかがでしょうか?

Session5:アマゾン ウェブ サービス ジャパン株式会社 梅谷 晃宏さん「Aws security -医療情報規制への対応-」

  • AWSでは日本でもガイドライン、コンプライアンスの対応をパートナーと一緒に行っている
  • 金融が先立って対応して、そのご製薬・医療機器、政府・省庁など行っている
  • 国内でも事例もある
  • HIPAA
    • 医療関連データについての電子化の推進
    • 医療データについてのセキュリティ及びプライバシー保護のための標準規格
  • HITECH
    • 違反に対する罰則など
  • HIPAAのBAとBAA
    • BAは取引先
    • BAAを酌み交わすことにより取引できる
  • AWS HIPAA関連ホワイトペーパー
    • HIPAAで要求されている運用技術物理の保護手段をサポートしている
    • 米国保健福祉章のガイダンスに従ってどう暗号化するか
    • 具体的な実装方法も書いてある
      • EBSのデータ暗号化を利用すれば満たせる
      • S3の保存時にはHTTPSを使ってください
      • バケット名などは条件に含めないでください
  • HIPAA on AWS - Quick Start
    • HIPAAのリファレンスアーキテクチャ
  • 日本の医療ガイドライン、コンプライアンスの対応
    • 各パートナーと連携して作成
    • 活用イメージは下記の通り

感想

ガイドライン準拠はなかなか大変なので、これらの情報を活用して対応していきたいですね

Session5+:日本電気株式会社 大竹 孝昌さん「「医療情報システム向けAWS利用リファレンス」を読む前の準備体操」

  • 医療情報システム向けリファレンスは好きなベンダーからダウンロードしてください
    • 利用規約
    • 概要の説明
    • 印刷用PDF
    • AWS利用リファレンス
  • リファレンスの中身
    • AWSのインフラストラクチャー関連
    • AWSサービス関連
    • お客様の該当事項
    • 推奨される追加の実施事項
    • AWS認証情報
  • AWSのインフラストラクチャー関連をすこし掘り下げ
    • 関連ドキュメントとしてはISO、FISC、SOC等もある
      • 法務関連としてAWS適正利用規約
      • AWSにおける品質の定義
      • SOC等のレポートはartifactを利用する
      • 個々のドキュメントもピックアップ
    • リージョンやAZ
    • データセンター関連
      • 物理的なストレージデバイスの破棄
      • 空調とか人のアクセスについてのモニタリング
      • データレイヤー
      • BCP
      • 環境レイヤー
      • 日本のデータセンターのレジリエンシー
      • データプライバシー
    • 各種関連ホワイトペーパーも引用
      • 結構古いものもある

感想

普段気にしていないけど、AWSの役に立つドキュメントはすごくいっぱいありますね。

こういった業界団体のガイドラインに対応していくのであれば、より積極的に問い合わせて対応していきたいですね。

さいごに

バラエティに富んだ内容でした。気になるものはあったでしょうか?

SANSのトレーニングはぜひ受けてみたいですね。あとWAFの可視化は僕もすごく気になっていたのでやってみようと思います。

今後もいろんな内容をピックアップしていくので、気になる方はDoorkeeperに登録してください!