© 2017, Amazon Web Services, Inc. or its Affiliates. All rights reserved.

AWS 環境での CSIRT ソリューション

桐山隼人

セキュリティソリューションアーキテクト

アマゾンウェブサービスジャパン株式会社

2017年6月2日

自己紹介

@hkiriyam1

氏名• 桐山隼人

役割• セキュリティソリューションアーキテクト

関心事• Security *by* the Cloud

• Security Automation

• Cloud SOC/CSIRT

• IoT Security

本セッションのポイント

AWSクラウド環境での効率的な

インシデントレスポンス

CSIRT活動を支援する広範なAWS及び

パートナーソリューション

クラウドでCSIRTは変化適応力を得る

AWSクラウド環境での効率的なインシデントレスポンスインフラ可視性、イベント/API連携、プログラマブルIT

CSIRTとは

Computer Security Incident Response Team

コンピュータセキュリティにかかるインシデントに対処するための組織の総称

日本シーサート協議会

http://www.nca.gr.jp/outline/

CSIRTの役割

部門A 部門B 部門C IT部門

SOC CSIRT

経営層 外部ステークホルダー

パートナー

セキュリティベンダー

他CSIRT

顧客

依頼 支援

説明

連携

CSIRTが提供するサービス

JPCERT/CC コンピュータセキュリティインシデント対応チーム（CSIRT）のためのハンドブック

http://www.jpcert.or.jp/research/2007/CSIRT_Handbook.pdf

アラートと警告

インシデント分析

インシデント対応

脆弱性分析

脆弱性対応

アーティファクト分析

アーティファクト対応

技術動向監視

セキュリティ監査

セキュリティ設定

ツール開発

侵入検知サービス

関連情報提供

リスク分析

障害回復計画

コンサルティング

意識向上

教育/トレーニング

製品評価/認定

品質管理サービス

事前対応型サービス

事後対応型サービス

例：ランサムウェア「WannaCry」への対応

インシデント分析

インシデント対応

セキュリティ設定

リスク分析

障害回復計画

CSIRT

全端末の脆弱性診断

FWポート閉SMB停止

ログ監視改竄検知

端末隔離証跡調査

プロビジョニングパッチ適用

例：ランサムウェア「WannaCry」への対応

インシデント分析

インシデント対応

セキュリティ設定

リスク分析

障害回復計画

CSIRT

全端末の脆弱性診断

FWポート閉SMB停止

ログ監視改竄検知

端末隔離証跡調査

プロビジョニングパッチ適用

各部門に通知/依頼

診断漏れの確認

NW担当者に依頼

ユーザーに通知

OSインストールして端末返却

パッチ適用全社通知

拠点で端末押収

ログが不十分

NISTサイバーセキュリティフレームワーク

Framework for Improving Critical Infrastructure Cybersecurity Version 1.0, National Institute of Standards and Technologyhttps://www.nist.gov/sites/default/files/documents/cyberframework/cybersecurity-framework-021214.pdf

回復対応検知保護特定

資産管理

事業環境

ガバナンス

リスク評価

リスク評価戦略

アクセス制御

意識向上/教育

データ保護

保護プロセス

保守

保護技術

異常検知

継続監視

検知プロセス

対応計画

コミュニケーション

分析

緩和

改善

回復計画

改善

コミュニケーション

サブカテゴリ (98のセキュリティ項目)

代表的なAWSサービス

Amazon Inspector

Amazon EC2Systems Manager

AWSConfig

AWS Shield

AWS WAF

Amazon CloudWatch

AWSCloudTrail

Amazon VPCFlow Logs

AmazonSNS

AWSLambda

Amazon Machine Learning

snapshot

AMI

AWSCloudFormationSecurity Group

回復対応検知保護特定

例：ランサムウェア「WannaCry」への対応

CSIRT

全端末の脆弱性診断

FWポート閉SMB停止

ログ監視改竄検知

端末隔離証跡調査

プロビジョニングパッチ適用

Amazon Inspector

Security Group Amazon VPCFlow Logs

AWSLambda

AMIAmazon EC2Systems Manager

Amazon CloudWatch

snapshot AWSCloudFormation

APIコール APIコール イベント通知 APIコール APIコール

イベントAPI連携

「特定」フェーズ：脆弱性診断

EC2 instance

Amazon Inspector

CVEルールに基づいた脆弱性診断結果画面

ホスト型脆弱性診断サービス

EC2インスタンスが対象

CVE(共通脆弱性識別子)やCISベンチマークに基づいたリスク評価

Amazon Inspector

インフラ可視性

「特定」フェーズ：パッチ管理

EC2 instance インベントリ設定画面

ホスト型サーバー管理サービス

EC2インスタンス及びオンプレミスサーバーが対象

ソフトウェアインベントリ収集、OSパッチ適用、OS構成変更などをリモートから実施可Amazon EC2

Systems Manager

オンプレサーバー

Amazon EC2Systems Manager

インフラ可視性

「保護」フェーズ：ポート制限

443 IN | 3128 OUT 443 IN | 3128 OUT

EC2インスタンスの仮想ファイヤーウォール

ステートフル

デフォルトで全ての通信は禁止

複数のEC2インスタンスをグルーピング可

445/tcpブロック

VPC のセキュリティグループ

http://docs.aws.amazon.com/ja_jp/AmazonVPC/latest/UserGuide/VPC_SecurityGroups.html

Security Group

「検知」フェーズ：通信ログによるアラーム

2 123456789010 eni-1235b8ca 172.31.16.139 203.0.113.12 0 0 1 4 4451432917094 1432917142 REJECT OK

VPCフローログレコード例：

[version, account, eni, source, destination, srcport, destport=“445", protocol="6", packets, bytes, windowstart, windowend, action="REJECT", flowlogstatus]

作成する CloudWatch メトリクスフィルタ：

Amazon VPCFlow Logs

フローログの CloudWatchメトリクスフィルタとアラームの作成

http://docs.aws.amazon.com/ja_jp/AmazonVPC/latest/UserGuide/flow-logs.html#flow-logs-cw-alarm-example

「検知」フェーズ：通信ログによるアラーム

フローログの CloudWatchメトリクスフィルタとアラームの作成

http://docs.aws.amazon.com/ja_jp/AmazonVPC/latest/UserGuide/flow-logs.html#flow-logs-cw-alarm-example

Amazon CloudWatch

「対応」フェーズ：フォレンジックと隔離

AWSLambda

Amazon CloudWatch

AWSLambda

プログラマブルIT

本番環境

443 IN | 3128 OUT

Amazon EBS

Webサーバー

「対応」フェーズ：フォレンジックと隔離

AWSLambda

Amazon CloudWatch

AWSLambda

プログラマブルIT

本番環境

443 IN | 3128 OUT

Amazon EBS snapshot

Webサーバー

メモリダンプ

「対応」フェーズ：フォレンジックと隔離

AWSLambda

Amazon CloudWatch

AWSLambda

プログラマブルIT

本番環境 クリーンルーム

443 IN | 3128 OUT

Amazon EBS snapshot Amazon EBS

Webサーバー

メモリダンプ

調査用イメージ作成

フォレンジックサーバー

「対応」フェーズ：フォレンジックと隔離

AWSLambda

Amazon CloudWatch

AWSLambda

プログラマブルIT

本番環境 クリーンルーム

443 IN | 3128 OUT

Amazon EBS snapshot

n/a IN | n/a OUT

Amazon EBS

Webサーバー

隔離

メモリダンプ

調査用イメージ作成

フォレンジックサーバー

「回復」フェーズ：プロビジョニング&復旧

AMI

AWSCloudFormation

EC2 instance

プログラマブルIT

■仮想インスタンスの復旧

■システムの復旧

EC2インスタンスの仮想イメージ

起動に必要な情報を提供する

Marketplaceに登録でき、購入・共有・販売が可能

AWSリソース群のデプロイ

依存関係、実行時パラメータ記述可

APIによるデプロイ・更新

AMI AWSCloudFormation

AWSサービスを使ったインシデントレスポンス

CSIRTサービス

AWSサービス

AWSクラウドが提供する3つの要素でインシデントレスポンスを効率化

回復対応検知保護特定

インシデント分析

インシデント対応

セキュリティ設定

リスク分析

障害回復計画

インフラ可視性

イベントAPI連携

プログラマブルIT+ +

CSIRT活動を支援する広範なAWS

及びパートナーソリューション自動化・再利用、スモールスタート、標準

インシデントに対処する力を上げるには？

インシデントに対処する力を上げるには？

試す

インシデントに対処する力を上げるには？

試す①過去やったことを再度試す

②効果がありそうなら何でも試す

③他人をお手本に試す

インシデントに対処する力を上げるには？

試す①過去やったことを再度試す

②効果がありそうなら何でも試す

③他人をお手本に試す

自動化再利用

標準を使う

スモールスタート

代表的なAWSサービス（再掲）

Amazon Inspector

Amazon EC2Systems Manager

AWSConfig

AWS Shield

AWS WAF

Amazon CloudWatch

AWSCloudTrail

Amazon VPCFlow Logs

AmazonSNS

AWSLambda

Amazon Machine Learning

snapshot

AMI

AWSCloudFormationSecurity Group

回復対応検知保護特定

Amazon Inspector

Amazon EC2Systems Manager

AWSConfig

AWS Shield

AWS WAF

Amazon CloudWatch

AWSCloudTrail

Amazon VPCFlow Logs

AmazonSNS

AWSLambda

Amazon Machine Learning

snapshot

AMI

AWSCloudFormationSecurity Group

回復対応検知保護特定

特徴①プログラマブルな

ITインフラ

自動化・再利用できる環境

特徴②セキュリティ

サービスも従量課金

スモールスタートしやすい環境

AWSサービスの特徴

特徴③標準を利用するソリューション

ProfessionalServices

Well- Architected

3rd PartyMSSP

AWS ShieldDDoSレスポンスチーム

AWS Managed Services

3rd Partyフォレンジック

サービス

3rd Party診断サービス

3rd PartySOCサービス

3rd Partyシステム

インテグレータ

回復対応検知保護特定

AWSサービス

商用・オープンソース

3rd Partyマネージドサービス

AWS関連のベストプラクティス

AWS Cloud Adoption Framework (CAF)

AWS セキュリティベストプラクティス

Center for Internet Security (CIS)ベンチマーク

クラウド移行に必要なスキル・プロセスのガイダンス

ベストプラクティスを記載した数多くのホワイトペーパー

業界ベンチマークに基づいた詳細な推奨設定

[AWS Cloud Adoption Framework] https://d0.awsstatic.com/whitepapers/aws_cloud_adoption_framework.pdf[AWSホワイトペーパー] https://aws.amazon.com/jp/whitepapers/[CIS AWS Foundations Benchmark] https://d0.awsstatic.com/whitepapers/compliance/AWS_CIS_Foundations_Benchmark.pdf

AWS Well-Architected

分類 項番 質問発見的統制 4 AWSインフラのログを蓄積し分析していますか？インフラの保護 5 どのようにネットワークやホストベースの境界防御をしていますか？

7 どのようにEC２上のOSを保護していますか？インシデント対応 12 どのようにして適切にインシデント対応できるようにしていますか？

Well- Architected

優れたアーキテクチャにするためのフレークワーク

セキュリティ、信頼性、パフォーマンス、コスト最適化、オペレーションの5つの柱

ソリューションアーキテクトによる支援

セキュリティ質問例：

AWS Well-Architected Framework https://d0.awsstatic.com/whitepapers/architecture/AWS_Well-Architected_Framework.pdf

AWSのNIST関連情報

https://aws.amazon.com/jp/quickstart/architecture/accelerator-nist/https://d0.awsstatic.com/whitepapers/compliance/NIST_Cybersecurity_Framework_CSF.pdf

NIST CSF ホワイトペーパー AWSクイックスタート - NIST Compliance on AWS

AWS Shield DDoS レスポンスチームAWS Shield

24x7でアクセス可能なDDoS専門家チーム

セルフサービス・助言・フルマネージドの3形態

インシデント前アーキテクチャレビュー

インシデント中ニアリアルタイム検知

インシデント後カスタムランブック

AWS Managed Services

Amazon

EC2

Amazon

CloudFront

Amazon

S3

Amazon

ElastiCacheAmazon

RDS

Amazon

VPC

Amazon

Route 53AWS

Direct

Connect

Amazon

CloudWatch

AWS

CloudFormationAWS

CloudTrail

AWS

Config

AWS

IAM

Amazon

SNS

Amazon

SQS

Elastic Load

Balancing

Amazon

EBS

Reporting

Continuity Management (Backup/Restore)

Patch Management

Security Management

Event and Incident Management

Provisioning & Configuration Management

Change Management

AWS Managed Services

AWS専門家によるインフラ運用のフルマネージドサービス

お客様はアプリやサービスに設計/開発/運用に集中できる

AWSマネージドサービス

https://aws.amazon.com/jp/managed-services/

INFRASTRUCTURESECURITY

LOGGING & MONITORING

CONFIGURATION & VULNERABILITY ANALYSIS

DATAPROTECTION

aws.amazon.com/mp/security

IDENTITY & ACCESS MANAGEMENT

Deep Security-as-a-Service

VM-Series Next-Generation Firewall

Bundle 2

vSEC

Web Application Firewall

Unified Threat Management 9

FortiGate-VM

SecureSphere WAF

CloudInsight

Security Platform (ESP) for AWS

SecOps

Log Management & Analytics

Enterprise

Cost & Security Management

DataControl

Transparent Encryption for AWS

SafeNet ProtectV

Identity & Access Management or AWS

Security Manager

OneLogin for AWS

Identity Management for the Cloud

▪ One-click launch▪ Ready-to-run on AWS▪ Pay only for what you use

AWS Marketplace

AWS IR

AWS IRhttps://github.com/ThreatResponse/aws_ir

オープンソースのインシデントレスポンスツール

インスタンスやアクセスキーへのセキュリティ侵害の対応

クラウドでCSIRTは変化適応力を得る説明力、連携力、管理力の向上

事業環境の変化

外部環境 内部環境パートナー環境

ステークホルダーの多様化

企業買収・合弁リストラクチャ

サプライチェーンの分業と統合

セキュリティに求められるもの

正当性と説明力 統制から管理へコミュニティ連携

外部環境 内部環境パートナー環境

ステークホルダーの多様化

企業買収・合弁リストラクチャ

サプライチェーンの分業と統合

セキュリティに求められるもの

正当性と説明力 統制から管理へコミュニティ連携

外部環境 内部環境パートナー環境

ステークホルダーの多様化

企業買収・合弁リストラクチャ

サプライチェーンの分業と統合

CSIRTは事業環境変化に合わせたセキュリティ実現の要

CSIRTの役割

部門A 部門B 部門C IT部門

SOC CSIRT

経営層 外部ステークホルダー

パートナー

セキュリティベンダー

他CSIRT

顧客

依頼 支援

説明

連携

これからのCSIRTに求められるもの

部門A 部門B 部門C IT部門

SOC CSIRT

経営層 外部ステークホルダー

パートナー

セキュリティベンダー

他CSIRT

顧客

管理力の向上

説明力の向上

連携力の向上

クラウドがCSIRTにもたらす価値

部門A 部門B 部門C IT部門

SOC CSIRT

経営層 外部ステークホルダー

パートナー

セキュリティベンダー

他CSIRT

顧客

管理力の向上

説明力の向上

連携力の向上

クラウドがCSIRTにもたらす価値

部門A 部門B 部門C IT部門

SOC CSIRT

経営層 外部ステークホルダー

パートナー

セキュリティベンダー

他CSIRT

顧客

管理力の向上プログラマブルIT

API連携

インフラ可視性 説明力の向上

連携力の向上

クラウドがCSIRTにもたらす価値

管理力の向上プログラマブルIT

API連携

インフラ可視性 説明力の向上

連携力の向上変化適応力

ビジネスセキュリティとCSIRT

ビジネスセキュリティとは、組織の中の様々な事業活動が滞りなく循環し、ダイナミックな平衡状態を保つこと

CSIRTは、セキュリティインシデントにより瞬間的に平衡状態が崩れても、再び平衡を取り戻す「変化に適応する」組織でなければならない

本セッションのポイント（再掲）

AWSクラウド環境での効率的な

インシデントレスポンス

CSIRT活動を支援する広範なAWS及び

パートナーソリューション

クラウドでCSIRTは変化適応力を得る

関連セッション

D2T1-1（AWS Techトラック 1）2017/5/31 12:20 ～ 13:00

AWS Well-Architected フレームワークによるクラウドベストプラクティス

D3T2-5（AWS Techトラック 2）2017/6/1 16:20 ～ 17:00

AWS で実現するセキュリティ・オートメーション

D4T1-1（AWS Techトラック 1）2017/6/2 12:20 ～ 13:00

AWS Cloud Adoption Framework で作成するクラウド導入ロードマップ

ありがとうございました

本セッションのFeedbackをお願いします

受付でお配りしたアンケートに本セッションの満足度やご感想などをご記入くださいアンケートをご提出いただきました方には、もれなく素敵なAWSオリジナルグッズをプレゼントさせていただきます

アンケートは受付、パミール3FのEXPO展示会場内にて回収させて頂きます