いつも記事を読んでいただきありがとうございます!
モブエンジニア(@mob-engineer)です!
本日は11/18(月)に参加したSecurity-JAWS【第35回】 勉強会の参加イベントレポートを技術ブログとしてアウトプットしたいと思います。
本記事はSecurity-JAWS【第35回】 勉強会の参加レポートとなります。私個人のAWS・セキュリティ知識のキャッチアップの一環として執筆しておりますので、ご留意いただけますと幸いです。
○ connpass イベントページ
○ Youtube動画
※いくつかブログが上がっていますので、こちらもチェックしてみると解像度が上がるかと思います。
目次
- Session1: クリティカルなシステムの運用を AWS Incident Detection and Response で強化する
- Session2: コンテキスト重視のCNAPP
- Session3: クラウドにおけるマルウェアやコンテンツ改ざんへの対策について
- Session4: VPC Traffic Mirroring と OSS を利用したネットワークフォレンジック基盤の構築・運用
- Session5: 初心者向けAWS Securityの勉強会mini Security-JAWSを9ヶ月ぐらい実施してきての近況
- まとめ
Session1: クリティカルなシステムの運用を AWS Incident Detection and Response で強化する
○AWS公式ドキュメント
○ 事例
- 自己紹介
- AWSで事業開発を担当されている方
- 主にインシデントレスポンス対応を行っている方
- 前提条件
- サポートに関してはサポートプランと有償プランで分かれている
- 有償プランに関しては3年前から登場した
- ユーザへの手厚いフォローのため
- どのサポートプランでもTAMと呼ばれるロールの人間が対応している
- サポートケースをうまく使うことがポイント
- サポートケースの記載方法
- AWSが習熟してきたナレッジをまとめたものをドキュメント化している
- 最近ではSlackとの連携を行っている
- IDRとは何か
- インシデント=セキュリティというよりアベイラビリティを意味したもの
- エンタープライズサポートを利用しているアカウントで利用可能
- サービスリリースのきっかけはユーザからの要望によるもの
- IDRを利用している場合、インシデントマネージャーが常時チェックしているためチケット起票は不要(24/365)
- インシデントマネージャーはRunBookと呼ばれる顧客情報をもとに切り分け対応を行っている
- Runbookに関してはオンボーディング時に設計している
- ユーザがスムーズに体制構築に向け、AWSがハンドリングを行ってくれる
- Runbookに関してはアーキテクチャの変更に応じて修正してくれる
- 国内でのスタートアップ実績はない(エンタープライズ向けサービスのため)
- オンボーディングから約2週間で体制構築可能
- 死活監視以外に外形監視・アプリ監視も行っている
Session2: コンテキスト重視のCNAPP
○ 公式ドキュメント
- 自己紹介
- Tenable社のセキュリティエンジニアの方
- 話すこと
- CNAPPに関する情報整理
- CNAPPとは
- クラウドアプリケーションを保護するソリューション
- CNAPPといっても、様々なサービスが組み合わさっているためひとくくりにはできない
- 脆弱性対策の考え方
- 脆弱性の重要度だけでなくコンテクストを考えてみる
- 脆弱性の重要度が高くても、利用されていないのであれば優先度は低くなる
- 利用用途・利用者などを総合的に判断することが大切
- 脆弱性の重要度だけでなくコンテクストを考えてみる
Session3: クラウドにおけるマルウェアやコンテンツ改ざんへの対策について
○公式ドキュメント
○IPA 10大脅威
- 自己紹介
- 事業会社のセキュリティエンジニア(2年目)
- SecHack365修了生
- IPA10大脅威
- 第1位はランサムウェアによる脅威が上がっていた
- ランサムウェアあれこれ
- メール等でランサムウェアを送り込み、コンテンツ改ざんなどの脅迫を行っていく
- AWSとしてはe-bookなどを通じて対策を公開している
- e-book内容
- アカウントを分けておくことで、侵害されたとしてもアカウント内でとどまる
- WORM ストレージを導入することで、ランサムウェアによる書き込み被害をうけなくなる
- Lock Configuration設定を入れることで、保護も実現できる
- BackUpを実装することで、書き込み被害を受けたとしても復旧を行うことができる
- コンテナを定期的に新規インスタンスにローテートさせることも必要
- IAMポリシーの見直しを行うことも必要
Session4: VPC Traffic Mirroring と OSS を利用したネットワークフォレンジック基盤の構築・運用
○公式ドキュメント
- 自己紹介
- リクルート社のクラウドアーキテクト
- ネットワークフォレンジック基盤の構成
- VPC Traffic Mirrorringを用いた環境構築
- GA時にネットワークフォレンジック基盤を利用できるのではと思い利用開始
- トラフィックミラーリングに関する情報を収集しチェックする必要がある
- 対応サービスが少ないが、本番環境への影響が少ないため利用シーンは多い
- VPC Traffic Mirrorringを用いた環境構築
Session5: 初心者向けAWS Securityの勉強会mini Security-JAWSを9ヶ月ぐらい実施してきての近況
- 自己紹介
- クラスメソッド社のエンジニア
- Mini Security JAWSとは
- 初心者から中級者・上級者へステップアップするための勉強会
- ハンズオン中心で運営を行っている
- 勉強用のコンテンツを収集し、ホームページでアウトプットを行っている
- やってきたこと
- セキュリティ対策を網羅したセミナー
- Webアプリケーション保護に関するセキュリティ実装
- 最近だと、W-Aに関する輪読会を行っている
まとめ
セキュリティ関連のAWSサービスに関する知識が不足していたので、本セミナーを通じて、AWSで提供しているセキュリティサービス、活用方法について解像度を上げることができたと考えています。
そのうえで、今回取り上げた内容を、自身の知識としてキャッチアップするためにハンズオン・技術ブログを通じたアウトプット活動を行っていきたいと思いました。
最後まで記事を読んでいただきありがとうございます!