AWS 環境での CSIRT ソリューション

© 2017, Amazon Web Services, Inc. or its Affiliates. All rights reserved.

AWS 環境での CSIRT ソリューション

桐山隼人

セキュリティソリューションアーキテクト

アマゾン ウェブ サービス ジャパン株式会社

2017年6月2日

自己紹介

@hkiriyam1

氏名

• 桐山 隼人

役割

• セキュリティソリューションアーキテクト

関心事

• Security *by* the Cloud

• Security Automation

• Cloud SOC/CSIRT

• IoT Security

本セッションのポイント

AWSクラウド環境での効率的な

インシデントレスポンス

CSIRT活動を支援する広範なAWS及び

パートナーソリューション

クラウドでCSIRTは変化適応力を得る

AWSクラウド環境での効率的な

インシデントレスポンス

CSIRTとは

Computer Security Incident Response Team

コンピュータセキュリティにかかる

インシデントに対処するための組織の総称

日本シーサート協議会

CSIRTの役割

部門A

部門B

部門C

_IT部門

SOC

CSIRT

経営層

外部ステークホルダー

パートナー

セキュリティベンダー

他CSIRT

顧客

依頼

_支援

説明

連携

CSIRTが提供するサービス

JPCERT/CC コンピュータセキュリティインシデント対応チーム（CSIRT）のためのハンドブック http://www.jpcert.or.jp/research/2007/CSIRT_Handbook.pdf

アラー

トと警

告

インシ

デント

分析

インシ

デント

対応

脆弱性

分析

脆弱性

対応

アーティ ファクト 分析 アーティ ファクト 対応

技術動

向監視

セキュ

リティ

監査

セキュ

リティ

設定

ツール

開発

侵入検

知サー

ビス

関連情

報提供

リスク

分析

障害回

復計画

コンサ

ルティ

ング

意識向

上

教育/

トレー

ニング

製品評

価/認

定

品質管理

サービス

事前対応型

サービス

事後対応型

サービス

例：ランサムウェア「WannaCry」への対応

インシ

デント

分析

インシ

デント

対応

セキュ

リティ

設定

リスク

分析

障害回

復計画

CSIRT

全端末の

脆弱性診断

FWポート閉

_SMB停止

ログ監視

改竄検知

端末隔離

証跡調査

プロビジョニング

パッチ適用

例：ランサムウェア「WannaCry」への対応

インシ

デント

分析

インシ

デント

対応

セキュ

リティ

設定

リスク

分析

障害回

復計画

CSIRT

全端末の

脆弱性診断

FWポート閉

_SMB停止

ログ監視

改竄検知

端末隔離

証跡調査

プロビジョニング

パッチ適用

各部門に

通知/依頼

診断漏れ

の確認

NW担当者

に依頼

ユーザー

に通知

OSインストール

して端末返却

パッチ適用

全社通知

拠点で

端末押収

ログが

不十分

NISTサイバーセキュリティフレームワーク

Framework for Improving Critical Infrastructure Cybersecurity Version 1.0, National Institute of Standards and Technology

https://www.nist.gov/sites/default/files/documents/cyberframework/cybersecurity-framework-021214.pdf

回復

対応

検知

保護

特定

資産管理

事業環境

ガバナンス

リスク評価

リスク評価

戦略

アクセス制御

意識向上/教育

データ保護

保護プロセス

保守

保護技術

異常検知

継続監視

検知プロセス

対応計画

コミュニケー

ション

分析

緩和

改善

回復計画

改善

コミュニケー

ション

サブカテゴリ (98のセキュリティ項目)

代表的なAWSサービス

Amazon Inspector Amazon EC2 Systems Manager AWS Config AWS Shield AWS WAF Amazon CloudWatch AWS CloudTrail Amazon VPC Flow Logs Amazon SNS AWS Lambda Amazon Machine Learning snapshot AMI AWS CloudFormation Security Group

回復

対応

検知

保護

特定

例：ランサムウェア「WannaCry」への対応

CSIRT

全端末の

脆弱性診断

FWポート閉

_SMB停止

ログ監視

改竄検知

端末隔離

証跡調査

プロビジョニング

パッチ適用

Amazon Inspector

Security Group Amazon VPC Flow Logs AWS Lambda AMI Amazon EC2 Systems Manager Amazon CloudWatch snapshot AWS CloudFormation

APIコール

APIコール

イベント通知

APIコール

APIコール

イベント

API連携

「特定」フェーズ：脆弱性診断

EC2 instance Amazon Inspector

CVEルールに基づいた脆弱性診断結果画面

ホスト型脆弱性診断サービス

EC2インスタンスが対象

CVE(共通脆弱性識別子)やCISベンチ

マークに基づいたリスク評価

Amazon Inspector

インフラ

可視性

「特定」フェーズ：パッチ管理

EC2 instance

インベントリ設定画面

ホスト型サーバー管理サービス

EC2インスタンス及びオンプレミス

サーバーが対象

ソフトウェアインベントリ収集、OS

パッチ適用、OS構成変更などをリモー

トから実施可

Amazon EC2 Systems Manager オンプレサーバー Amazon EC2 Systems Manager

インフラ

可視性

「保護」フェーズ：ポート制限

443 IN | 3128 OUT

443 IN | 3128 OUT

EC2インスタンスの仮想ファイヤー

ウォール

ステートフル

デフォルトで全ての通信は禁止

複数のEC2インスタンスをグルーピ

ング可

445/tcp

ブロック

VPC のセキュリティグループ http://docs.aws.amazon.com/ja_jp/AmazonVPC/latest/UserGuide/VPC_SecurityGroups.html Security Group

「検知」フェーズ：通信ログによるアラーム

2 123456789010 eni-1235b8ca 172.31.16.139 203.0.113.12 0 0 1 4

445

1432917094 1432917142 REJECT OK

VPCフローログレコード例：

[version, account, eni, source, destination, srcport, destport=“

445

",

protocol="6", packets, bytes, windowstart, windowend,

action="REJECT", flowlogstatus]

作成する CloudWatch メトリクスフィルタ：

Amazon VPC Flow Logs フローログの CloudWatch メトリクスフィルタとアラームの作成 http://docs.aws.amazon.com/ja_jp/AmazonVPC/latest/UserGuide/flow-logs.html#flow-logs-cw-alarm-example

「検知」フェーズ：通信ログによるアラーム

フローログの CloudWatch メトリクスフィルタとアラームの作成

http://docs.aws.amazon.com/ja_jp/AmazonVPC/latest/UserGuide/flow-logs.html#flow-logs-cw-alarm-example

Amazon CloudWatch

「対応」フェーズ：フォレンジックと隔離

AWS Lambda Amazon CloudWatch AWS Lambda

プログラ

マブルIT

本番環境

443 IN | 3128 OUT

Amazon EBS Webサーバー

「対応」フェーズ：フォレンジックと隔離

AWS Lambda Amazon CloudWatch AWS Lambda

プログラ

マブルIT

本番環境

443 IN | 3128 OUT

Amazon EBS _snapshot Webサーバー

メモリ

ダンプ

「対応」フェーズ：フォレンジックと隔離

AWS Lambda Amazon CloudWatch AWS Lambda

プログラ

マブルIT

本番環境

クリーンルーム

443 IN | 3128 OUT

Amazon EBS _{snapshot Amazon EBS} Webサーバー

メモリ

ダンプ

調査用イメージ作成

フォレンジック サーバー

「対応」フェーズ：フォレンジックと隔離

AWS Lambda Amazon CloudWatch AWS Lambda

プログラ

マブルIT

本番環境

クリーンルーム

443 IN | 3128 OUT

Amazon EBS _snapshot

n/a IN | n/a OUT

Amazon EBS Webサーバー

隔離

メモリ

ダンプ

調査用イメージ作成

フォレンジック サーバー

「回復」フェーズ：プロビジョニング&復旧

AMI AWS CloudFormation EC2 instance

プログラ

マブルIT

■仮想インスタンスの復旧

■システムの復旧

EC2インスタンスの仮想イメージ

起動に必要な情報を提供する

Marketplaceに登録でき、購入・共有・

販売が可能

AWSリソース群のデプロイ

依存関係、実行時パラメータ記述可

APIによるデプロイ・更新

AMI AWS CloudFormation

AWSサービスを使ったインシデントレスポンス

CSIRT

サービス

AWS

サービス

AWSクラウドが提供する3つの要素でインシデントレスポンスを効率化

回復

対応

検知

保護

特定

インシ

デント

分析

インシ

デント

対応

セキュ

リティ

設定

リスク

分析

障害回

復計画

インフラ

可視性

イベント

API連携

プログラ

マブルIT

+

₊

CSIRT活動を支援する広範なAWS

及びパートナーソリューション

インシデントに対処する力を上げるには？

インシデントに対処する力を上げるには？

試す

①過去やっ

たことを再

度試す

②効果があ

りそうなら

何でも試す

③他人をお

手本に試す

インシデントに対処する力を上げるには？

試す

①過去やっ

たことを再

度試す

②効果があ

りそうなら

何でも試す

③他人をお

手本に試す

自動化

再利用

標準を

使う

スモール

スタート

代表的なAWSサービス（再掲）

Amazon Inspector Amazon EC2 Systems Manager AWS Config AWS Shield AWS WAF Amazon CloudWatch AWS CloudTrail Amazon VPC Flow Logs Amazon SNS AWS Lambda Amazon Machine Learning snapshot AMI AWS CloudFormation Security Group

回復

対応

検知

保護

特定

Amazon Inspector Amazon EC2 Systems Manager AWS Config AWS Shield AWS WAF Amazon CloudWatch AWS CloudTrail Amazon VPC Flow Logs Amazon SNS AWS Lambda Amazon Machine Learning snapshot AMI AWS CloudFormation Security Group

回復

対応

検知

保護

特定

特徴①

プログラマブルな

ITインフラ

自動化・再利用

できる環境

特徴②

セキュリティ

サービスも従量課金

スモールスタート

しやすい環境

AWSサービスの特徴

特徴③ 標準を利用するソリューション

Professional

Services Well- Architected

3rd_Party MSSP AWS Shield DDoSレスポンスチーム AWS Managed Services 3rd_Party フォレンジック サービス 3rd_Party 診断サービス 3rd_Party SOCサービス 3rd_Party システム インテグレータ

回復

対応

検知

保護

特定

AWS

サービス

商用・

オープン

ソース

3

rd

_Party

マネージド

サービス

AWS関連のベストプラクティス

AWS Cloud Adoption

Framework (CAF)

AWS セキュリティ

ベストプラクティス

Center for Internet

_{Security (CIS)}

ベンチマーク

クラウド移行に必要

なスキル・プロセス

のガイダンス

ベストプラクティス

を記載した数多くの

ホワイトペーパー

業界ベンチマークに

基づいた詳細な推奨

設定

[AWS Cloud Adoption Framework] https://d0.awsstatic.com/whitepapers/aws_cloud_adoption_framework.pdf [AWSホワイトペーパー] https://aws.amazon.com/jp/whitepapers/

AWS Well-Architected

分類

項番 質問

発見的統制

4

_{AWSインフラのログを蓄積し分析していますか？}

インフラの保護

5

どのようにネットワークやホストベースの境界防御をしていますか？

7

どのようにEC２上のOSを保護していますか？

インシデント対応 12

_{どのようにして適切にインシデント対応できるようにしていますか？}

Well- Architected

優れたアーキテクチャにするためのフレークワーク

セキュリティ、信頼性、パフォーマンス、コスト最適化、

オペレーションの5つの柱

ソリューションアーキテクトによる支援

セキュリティ質問例：

AWS Well-Architected Framework

AWSのNIST関連情報

https://aws.amazon.com/jp/quickstart/architecture/accelerator-nist/

https://d0.awsstatic.com/whitepapers/compliance/NIST_Cybersecurity_Framework_CSF.pdf

AWS Shield DDoS レスポンスチーム

AWS Shield

24x7でアクセス可能なDDoS専門家チーム

セルフサービス・助言・フルマネージドの3形態

インシデント前

アーキテクチャレビュー

インシデント中

ニアリアルタイム検知

インシデント後

カスタムランブック

AWS Managed Services

Amazon EC2 Amazon CloudFront Amazon S3 Amazon ElastiCache Amazon RDS Amazon VPC Amazon Route 53 AWS Direct Connect Amazon CloudWatch AWS

CloudFormation _CloudTrailAWS AWS Config AWS IAM Amazon SNS Amazon SQS Elastic Load Balancing Amazon EBS Reporting Continuity Management (Backup/Restore) Patch Management Security Management Event and Incident Management Provisioning & Configuration Management Change Management AWS Managed Services

AWS専門家によるインフラ運用のフルマネージドサービス

お客様はアプリやサービスに設計/開発/運用に集中できる

AWSマネージドサービス https://aws.amazon.com/jp/managed-services/

INFRASTRUCTURE

SECURITY _{& MONITORING}LOGGING _{& VULNERABILITY ANALYSIS}CONFIGURATION

DATA PROTECTION

aws.amazon.com/mp/security

IDENTITY & ACCESS MANAGEMENT Deep Security-as-a-Service VM-Series Next-Generation Firewall Bundle 2 vSEC Web Application Firewall Unified Threat Management 9 FortiGate-VM SecureSphere WAF CloudInsight Security Platform (ESP) for AWS

SecOps Log Management & Analytics

Enterprise Cost & Security Management

DataControl

Transparent Encryption for AWS

SafeNet ProtectV

Identity & Access Management or AWS

Security Manager

OneLogin for AWS

Identity Management for the Cloud

▪ One-click launch

▪ Ready-to-run on AWS

▪ Pay only for what you use

AWS IR

AWS IR

https://github.com/ThreatResponse/aws_ir

オープンソースのインシデントレスポンスツール

クラウドでCSIRTは変化適応力を

得る

事業環境の変化

外部環境

パートナー環境

内部環境

ステークホルダー

の多様化

企業買収・合弁

リストラクチャ

サプライチェーン

の分業と統合

セキュリティに求められるもの

正当性と説明力

コミュニティ連携

統制から管理へ

外部環境

パートナー環境

内部環境

ステークホルダー

の多様化

企業買収・合弁

リストラクチャ

サプライチェーン

の分業と統合

セキュリティに求められるもの

正当性と説明力

コミュニティ連携

統制から管理へ

外部環境

パートナー環境

内部環境

ステークホルダー

の多様化

企業買収・合弁

リストラクチャ

サプライチェーン

の分業と統合

CSIRTは事業環境変化に合わせたセキュリティ実現の要

CSIRTの役割

部門A

部門B

部門C

_IT部門

SOC

CSIRT

経営層

外部ステークホルダー

パートナー

セキュリティベンダー

他CSIRT

顧客

依頼

_支援

説明

連携

これからのCSIRTに求められるもの

部門A

部門B

部門C

_IT部門

SOC

CSIRT

経営層

外部ステークホルダー

パートナー

セキュリティベンダー

他CSIRT

顧客

管理力の向上

説明力の向上

連携力の向上

クラウドがCSIRTにもたらす価値

部門A

部門B

部門C

_IT部門

SOC

CSIRT

経営層

外部ステークホルダー

パートナー

セキュリティベンダー

他CSIRT

顧客

管理力の向上

説明力の向上

連携力の向上

クラウドがCSIRTにもたらす価値

部門A

部門B

部門C

_IT部門

SOC

CSIRT

経営層

外部ステークホルダー

パートナー

セキュリティベンダー

他CSIRT

顧客

管理力の向上

プログラマブルIT

API連携

インフラ可視性

説明力の向上

連携力の向上

クラウドがCSIRTにもたらす価値

管理力の向上

プログラマブルIT

API連携

インフラ可視性

説明力の向上

連携力の向上

変化

適応力

ビジネスセキュリティとCSIRT

ビジネスセキュリティとは、組織の中の様々な事業活動が

滞りなく循環し、

ダイナミックな平衡状態

を保つこと

CSIRTは、セキュリティインシデントにより瞬間的に平衡

状態が崩れても、再び平衡を取り戻す

「変化に適応する」

組織でなければならない

本セッションのポイント（再掲）

AWSクラウド環境での効率的な

インシデントレスポンス

CSIRT活動を支援する広範なAWS及び

パートナーソリューション

クラウドでCSIRTは変化適応力を得る

関連セッション

D2T1-1（AWS Techトラック 1）2017/5/31

12:20 ～ 13:00

AWS Well-Architected フレームワークによるクラウド ベスト

プラクティス

D3T2-5（AWS Techトラック 2）2017/6/1

16:20 ～ 17:00

AWS で実現するセキュリティ・オートメーション

D4T1-1（AWS Techトラック 1）2017/6/2

12:20 ～ 13:00

AWS Cloud Adoption Framework で作成するクラウド導入ロー

ドマップ

本セッションのFeedbackをお願いします

受付でお配りしたアンケートに本セッションの満足度やご感想などをご記入ください

アンケートをご提出いただきました方には、もれなく

素敵なAWSオリジナルグッズ

を

プレゼントさせていただきます