© 2017, Amazon Web Services, Inc. or its Affiliates. All rights reserved.
AWS 環境での CSIRT ソリューション
桐山隼人
セキュリティソリューションアーキテクト
アマゾンウェブサービスジャパン株式会社
2017年6月2日
自己紹介
@hkiriyam1
氏名• 桐山隼人
役割• セキュリティソリューションアーキテクト
関心事• Security *by* the Cloud
• Security Automation
• Cloud SOC/CSIRT
• IoT Security
CSIRTとは
Computer Security Incident Response Team
コンピュータセキュリティにかかるインシデントに対処するための組織の総称
日本シーサート協議会
http://www.nca.gr.jp/outline/
CSIRTが提供するサービス
JPCERT/CC コンピュータセキュリティインシデント対応チーム(CSIRT)のためのハンドブック
http://www.jpcert.or.jp/research/2007/CSIRT_Handbook.pdf
アラートと警告
インシデント分析
インシデント対応
脆弱性分析
脆弱性対応
アーティファクト分析
アーティファクト対応
技術動向監視
セキュリティ監査
セキュリティ設定
ツール開発
侵入検知サービス
関連情報提供
リスク分析
障害回復計画
コンサルティング
意識向上
教育/トレーニング
製品評価/認定
品質管理サービス
事前対応型サービス
事後対応型サービス
例:ランサムウェア「WannaCry」への対応
インシデント分析
インシデント対応
セキュリティ設定
リスク分析
障害回復計画
CSIRT
全端末の脆弱性診断
FWポート閉SMB停止
ログ監視改竄検知
端末隔離証跡調査
プロビジョニングパッチ適用
例:ランサムウェア「WannaCry」への対応
インシデント分析
インシデント対応
セキュリティ設定
リスク分析
障害回復計画
CSIRT
全端末の脆弱性診断
FWポート閉SMB停止
ログ監視改竄検知
端末隔離証跡調査
プロビジョニングパッチ適用
各部門に通知/依頼
診断漏れの確認
NW担当者に依頼
ユーザーに通知
OSインストールして端末返却
パッチ適用全社通知
拠点で端末押収
ログが不十分
NISTサイバーセキュリティフレームワーク
Framework for Improving Critical Infrastructure Cybersecurity Version 1.0, National Institute of Standards and Technologyhttps://www.nist.gov/sites/default/files/documents/cyberframework/cybersecurity-framework-021214.pdf
回復対応検知保護特定
資産管理
事業環境
ガバナンス
リスク評価
リスク評価戦略
アクセス制御
意識向上/教育
データ保護
保護プロセス
保守
保護技術
異常検知
継続監視
検知プロセス
対応計画
コミュニケーション
分析
緩和
改善
回復計画
改善
コミュニケーション
サブカテゴリ (98のセキュリティ項目)
代表的なAWSサービス
Amazon Inspector
Amazon EC2Systems Manager
AWSConfig
AWS Shield
AWS WAF
Amazon CloudWatch
AWSCloudTrail
Amazon VPCFlow Logs
AmazonSNS
AWSLambda
Amazon Machine Learning
snapshot
AMI
AWSCloudFormationSecurity Group
回復対応検知保護特定
例:ランサムウェア「WannaCry」への対応
CSIRT
全端末の脆弱性診断
FWポート閉SMB停止
ログ監視改竄検知
端末隔離証跡調査
プロビジョニングパッチ適用
Amazon Inspector
Security Group Amazon VPCFlow Logs
AWSLambda
AMIAmazon EC2Systems Manager
Amazon CloudWatch
snapshot AWSCloudFormation
APIコール APIコール イベント通知 APIコール APIコール
イベントAPI連携
「特定」フェーズ:脆弱性診断
EC2 instance
Amazon Inspector
CVEルールに基づいた脆弱性診断結果画面
ホスト型脆弱性診断サービス
EC2インスタンスが対象
CVE(共通脆弱性識別子)やCISベンチマークに基づいたリスク評価
Amazon Inspector
インフラ可視性
「特定」フェーズ:パッチ管理
EC2 instance インベントリ設定画面
ホスト型サーバー管理サービス
EC2インスタンス及びオンプレミスサーバーが対象
ソフトウェアインベントリ収集、OSパッチ適用、OS構成変更などをリモートから実施可Amazon EC2
Systems Manager
オンプレサーバー
Amazon EC2Systems Manager
インフラ可視性
「保護」フェーズ:ポート制限
443 IN | 3128 OUT 443 IN | 3128 OUT
EC2インスタンスの仮想ファイヤーウォール
ステートフル
デフォルトで全ての通信は禁止
複数のEC2インスタンスをグルーピング可
445/tcpブロック
VPC のセキュリティグループ
http://docs.aws.amazon.com/ja_jp/AmazonVPC/latest/UserGuide/VPC_SecurityGroups.html
Security Group
「検知」フェーズ:通信ログによるアラーム
2 123456789010 eni-1235b8ca 172.31.16.139 203.0.113.12 0 0 1 4 4451432917094 1432917142 REJECT OK
VPCフローログレコード例:
[version, account, eni, source, destination, srcport, destport=“445", protocol="6", packets, bytes, windowstart, windowend, action="REJECT", flowlogstatus]
作成する CloudWatch メトリクスフィルタ:
Amazon VPCFlow Logs
フローログの CloudWatchメトリクスフィルタとアラームの作成
http://docs.aws.amazon.com/ja_jp/AmazonVPC/latest/UserGuide/flow-logs.html#flow-logs-cw-alarm-example
「検知」フェーズ:通信ログによるアラーム
フローログの CloudWatchメトリクスフィルタとアラームの作成
http://docs.aws.amazon.com/ja_jp/AmazonVPC/latest/UserGuide/flow-logs.html#flow-logs-cw-alarm-example
Amazon CloudWatch
「対応」フェーズ:フォレンジックと隔離
AWSLambda
Amazon CloudWatch
AWSLambda
プログラマブルIT
本番環境
443 IN | 3128 OUT
Amazon EBS
Webサーバー
「対応」フェーズ:フォレンジックと隔離
AWSLambda
Amazon CloudWatch
AWSLambda
プログラマブルIT
本番環境
443 IN | 3128 OUT
Amazon EBS snapshot
Webサーバー
メモリダンプ
「対応」フェーズ:フォレンジックと隔離
AWSLambda
Amazon CloudWatch
AWSLambda
プログラマブルIT
本番環境 クリーンルーム
443 IN | 3128 OUT
Amazon EBS snapshot Amazon EBS
Webサーバー
メモリダンプ
調査用イメージ作成
フォレンジックサーバー
「対応」フェーズ:フォレンジックと隔離
AWSLambda
Amazon CloudWatch
AWSLambda
プログラマブルIT
本番環境 クリーンルーム
443 IN | 3128 OUT
Amazon EBS snapshot
n/a IN | n/a OUT
Amazon EBS
Webサーバー
隔離
メモリダンプ
調査用イメージ作成
フォレンジックサーバー
「回復」フェーズ:プロビジョニング&復旧
AMI
AWSCloudFormation
EC2 instance
プログラマブルIT
■仮想インスタンスの復旧
■システムの復旧
EC2インスタンスの仮想イメージ
起動に必要な情報を提供する
Marketplaceに登録でき、購入・共有・販売が可能
AWSリソース群のデプロイ
依存関係、実行時パラメータ記述可
APIによるデプロイ・更新
AMI AWSCloudFormation
AWSサービスを使ったインシデントレスポンス
CSIRTサービス
AWSサービス
AWSクラウドが提供する3つの要素でインシデントレスポンスを効率化
回復対応検知保護特定
インシデント分析
インシデント対応
セキュリティ設定
リスク分析
障害回復計画
インフラ可視性
イベントAPI連携
プログラマブルIT+ +
代表的なAWSサービス(再掲)
Amazon Inspector
Amazon EC2Systems Manager
AWSConfig
AWS Shield
AWS WAF
Amazon CloudWatch
AWSCloudTrail
Amazon VPCFlow Logs
AmazonSNS
AWSLambda
Amazon Machine Learning
snapshot
AMI
AWSCloudFormationSecurity Group
回復対応検知保護特定
Amazon Inspector
Amazon EC2Systems Manager
AWSConfig
AWS Shield
AWS WAF
Amazon CloudWatch
AWSCloudTrail
Amazon VPCFlow Logs
AmazonSNS
AWSLambda
Amazon Machine Learning
snapshot
AMI
AWSCloudFormationSecurity Group
回復対応検知保護特定
特徴①プログラマブルな
ITインフラ
自動化・再利用できる環境
特徴②セキュリティ
サービスも従量課金
スモールスタートしやすい環境
AWSサービスの特徴
特徴③標準を利用するソリューション
ProfessionalServices
Well- Architected
3rd PartyMSSP
AWS ShieldDDoSレスポンスチーム
AWS Managed Services
3rd Partyフォレンジック
サービス
3rd Party診断サービス
3rd PartySOCサービス
3rd Partyシステム
インテグレータ
回復対応検知保護特定
AWSサービス
商用・オープンソース
3rd Partyマネージドサービス
AWS関連のベストプラクティス
AWS Cloud Adoption Framework (CAF)
AWS セキュリティベストプラクティス
Center for Internet Security (CIS)ベンチマーク
クラウド移行に必要なスキル・プロセスのガイダンス
ベストプラクティスを記載した数多くのホワイトペーパー
業界ベンチマークに基づいた詳細な推奨設定
[AWS Cloud Adoption Framework] https://d0.awsstatic.com/whitepapers/aws_cloud_adoption_framework.pdf[AWSホワイトペーパー] https://aws.amazon.com/jp/whitepapers/[CIS AWS Foundations Benchmark] https://d0.awsstatic.com/whitepapers/compliance/AWS_CIS_Foundations_Benchmark.pdf
AWS Well-Architected
分類 項番 質問発見的統制 4 AWSインフラのログを蓄積し分析していますか?インフラの保護 5 どのようにネットワークやホストベースの境界防御をしていますか?
7 どのようにEC2上のOSを保護していますか?インシデント対応 12 どのようにして適切にインシデント対応できるようにしていますか?
Well- Architected
優れたアーキテクチャにするためのフレークワーク
セキュリティ、信頼性、パフォーマンス、コスト最適化、オペレーションの5つの柱
ソリューションアーキテクトによる支援
セキュリティ質問例:
AWS Well-Architected Framework https://d0.awsstatic.com/whitepapers/architecture/AWS_Well-Architected_Framework.pdf
AWSのNIST関連情報
https://aws.amazon.com/jp/quickstart/architecture/accelerator-nist/https://d0.awsstatic.com/whitepapers/compliance/NIST_Cybersecurity_Framework_CSF.pdf
NIST CSF ホワイトペーパー AWSクイックスタート - NIST Compliance on AWS
AWS Shield DDoS レスポンスチームAWS Shield
24x7でアクセス可能なDDoS専門家チーム
セルフサービス・助言・フルマネージドの3形態
インシデント前アーキテクチャレビュー
インシデント中ニアリアルタイム検知
インシデント後カスタムランブック
AWS Managed Services
Amazon
EC2
Amazon
CloudFront
Amazon
S3
Amazon
ElastiCacheAmazon
RDS
Amazon
VPC
Amazon
Route 53AWS
Direct
Connect
Amazon
CloudWatch
AWS
CloudFormationAWS
CloudTrail
AWS
Config
AWS
IAM
Amazon
SNS
Amazon
SQS
Elastic Load
Balancing
Amazon
EBS
Reporting
Continuity Management (Backup/Restore)
Patch Management
Security Management
Event and Incident Management
Provisioning & Configuration Management
Change Management
AWS Managed Services
AWS専門家によるインフラ運用のフルマネージドサービス
お客様はアプリやサービスに設計/開発/運用に集中できる
AWSマネージドサービス
https://aws.amazon.com/jp/managed-services/
INFRASTRUCTURESECURITY
LOGGING & MONITORING
CONFIGURATION & VULNERABILITY ANALYSIS
DATAPROTECTION
aws.amazon.com/mp/security
IDENTITY & ACCESS MANAGEMENT
Deep Security-as-a-Service
VM-Series Next-Generation Firewall
Bundle 2
vSEC
Web Application Firewall
Unified Threat Management 9
FortiGate-VM
SecureSphere WAF
CloudInsight
Security Platform (ESP) for AWS
SecOps
Log Management & Analytics
Enterprise
Cost & Security Management
DataControl
Transparent Encryption for AWS
SafeNet ProtectV
Identity & Access Management or AWS
Security Manager
OneLogin for AWS
Identity Management for the Cloud
▪ One-click launch▪ Ready-to-run on AWS▪ Pay only for what you use
AWS Marketplace
AWS IR
AWS IRhttps://github.com/ThreatResponse/aws_ir
オープンソースのインシデントレスポンスツール
インスタンスやアクセスキーへのセキュリティ侵害の対応
セキュリティに求められるもの
正当性と説明力 統制から管理へコミュニティ連携
外部環境 内部環境パートナー環境
ステークホルダーの多様化
企業買収・合弁リストラクチャ
サプライチェーンの分業と統合
CSIRTは事業環境変化に合わせたセキュリティ実現の要
これからのCSIRTに求められるもの
部門A 部門B 部門C IT部門
SOC CSIRT
経営層 外部ステークホルダー
パートナー
セキュリティベンダー
他CSIRT
顧客
管理力の向上
説明力の向上
連携力の向上
クラウドがCSIRTにもたらす価値
部門A 部門B 部門C IT部門
SOC CSIRT
経営層 外部ステークホルダー
パートナー
セキュリティベンダー
他CSIRT
顧客
管理力の向上
説明力の向上
連携力の向上
クラウドがCSIRTにもたらす価値
部門A 部門B 部門C IT部門
SOC CSIRT
経営層 外部ステークホルダー
パートナー
セキュリティベンダー
他CSIRT
顧客
管理力の向上プログラマブルIT
API連携
インフラ可視性 説明力の向上
連携力の向上
ビジネスセキュリティとCSIRT
ビジネスセキュリティとは、組織の中の様々な事業活動が滞りなく循環し、ダイナミックな平衡状態を保つこと
CSIRTは、セキュリティインシデントにより瞬間的に平衡状態が崩れても、再び平衡を取り戻す「変化に適応する」組織でなければならない
関連セッション
D2T1-1(AWS Techトラック 1)2017/5/31 12:20 ~ 13:00
AWS Well-Architected フレームワークによるクラウドベストプラクティス
D3T2-5(AWS Techトラック 2)2017/6/1 16:20 ~ 17:00
AWS で実現するセキュリティ・オートメーション
D4T1-1(AWS Techトラック 1)2017/6/2 12:20 ~ 13:00
AWS Cloud Adoption Framework で作成するクラウド導入ロードマップ