AWS
Security
waf
hippa

Security JAWS 【第11回】 勉強会 レポート

こんにちは、ひろかずです。

Security JAWS 【第11回】 勉強会に行ってきたのでレポートします。
会場はソニースクエア大崎
綺麗で大きい会場を貸していただいて感謝感激です!

あっという間に100人以上が押し寄せて満席になりました!

おしながき

  • Session1:「Participation record SANS SEC545: Cloud Security Architecture and Operations」
  • Session2:「Dome9で実現するクラウド時代の新たなセキュリティ対策」
  • Session3:「AWS IoT Device Defender による IoT デバイスのセキュリティ管理」
  • Session4:「フルログのその先。腑に落ちるAWS WAFログ解析基盤を構築してみた。」
  • Session5:「Aws security -医療情報規制への対応-」
  • Session5+:「「医療情報システム向けAWS利用リファレンス」を読む前の準備体操」

Session1:「Participation record SANS SEC545: Cloud Security Architecture and Operations」

Security-JAWS 吉江 瞬さん

細かい受講内容の紹介ではありません。
あしからずー

SANSとは

  • セキュリティトレーニングやGIAC(セキュリティ認定試験)をやってるセキュリティ教育機関
  • 日本の事務局がNRIセキュアがやってる

SEC545の紹介

  • 9:00~17:30
  • 受講料 ¥660,000
  • 40人
  • 秋葉原UDXで開催
  • 日本初開催
  • クラウドセキュリティの基本について
  • ネットワークセキュリティ、アクセスコントロール、フォレンジック、IDS、WAF
  • DevSecOpsオートメーション
  • 同時通訳あり
  • 日本人は半数以下
  • 海外の研修では、インタラクティブに質問している

一日目:Cloud Security Foundation

  • 契約書の内容について
  • Googleサービスをとある州で使うと、Googleが負けるとか

二日目:リスクアセスメント
三日目:DBに対するセキュリティの話
四日目:脆弱性管理、侵入検知(Inspector)
五日目:クラウドセキュリティオートメーション、オーケストレーション

ハンズオン

  • Dockerコンテナ
  • Xenハイパーバイザーを建てて、別のサーバに攻撃を仕掛ける、ログの出方を見る

クラウドCTF

  • flAWS(常にオープンされていて、好きに解いていい)

感想

  • AWSとAzure、時々Salesforce、まれにGCP
  • ハンズオンはAWS
  • Alibabaはなかった
  • k8sやAWS開発環境(Cloud9)などの紹介はあったけど、使わなかった

学べてよかったこと

  • 契約書を読むようになった
  • Lambda書いてFlowlogsの分析とかいい経験になった
  • クラウド向けペネトレーションツール使えてよかった

おすすめしたい人

  • プラクティショナでも、セキュリティに従事している人ならいけるのではないか

研修予算を確保しよう!

紹介されたツール2つ

AWS-IR

  • インシデントレスポンスを行うためのコアエンジン
  • アクセスキーの執行
  • ホストの分離やshutdown
  • スナップショットの取得
  • ケースナンバーと付けられる
  • 作業内容をプラグインで指定

Margarita ショットガン

  • AWS-IRから呼ぶこともできる
  • Linuxのメモリダンプするツール
  • メモリモジュールを指定して実行すれば、dumpが取れる

Secure DevOps ToolChain

  • Vulsも紹介されている!

Session2:「Dome9で実現するクラウド時代の新たなセキュリティ対策」

ソフトバンク株式会社 北山 正姿さん

Dome9はイスラエルの会社
北山さんは、投資をしてインキュベーションする部署
ソフトバンクで戦略的にDome9に投資している
キーワードは、エンドポイントだが、Dome9は対向側のエンドポイント
チェックポイントに買収された

課題1
クラウドのシステム設定状態が把握しにくい

  • 本番環境に変更がどんどん入るケースもある
  • Clarity機能でネットワークの依存関係をセキュリティグループを基に可視化する
  • Inbound/Outboundを

課題2
一貫したセキュリティ設定が保てない

  • complianceエンジンが準拠に必要な評価ルールセットを適用して、評価し続ける
  • ポリシーも独自に作れる。テンプレートもある。

課題3
コンプライアンス準拠の運用管理が困難

  • IAM Safety機能でIAMアカウント設定状況の把握と適正化を図ることができる

紹介動画...

3つのポイント

  • エージェントレス
  • 可視化で見やすい
  • コンプライアンスエンジンが特徴的

ARCプラットフォーム

  • Assess(評価)
  • Remediate(評価)
  • Control(制御)

AWSとAPI連携してクラウド設定情報を管理している

  • Dome9のインフラもAWS

デモ、トライアルはお気軽に連絡をしてください!

  • 連絡から1日くらいで使えるようになるそう

QA

アセットってなに?

  • EC2とRDSが課金対象
  • Lambdaは入ってない(保護や評価の対象ではある)

Session3:「AWS IoT Device Defender による IoT デバイスのセキュリティ管理」

アマゾン ウェブ サービス ジャパン株式会社 園田 修平さん

IoTに関わっている人

  • 5人

AWSのIoTサービス使ったことある人

  • 3人...

AWSのIoTサービス

モノ

  • FreeRTOS
  • モノがAWSに接続できる
  • マイコン向けのMicroOS
  • アップデートもフォロー

Greengrass

  • デバイスにアクセスしなくても情報を参照できる

IoT Core

  • IoTデバイスからの通信の受け口

AWS IoTのセキュリティ

  • デバイス単位の認証と認可ができる仕組みをサポート
  • プライベートキーや証明書ベースでの認証
  • 何ができるのかをポリシーにして、デバイスにアタッチする
  • 各デバイスはユニークな秘密鍵と証明書を利用する
  • 権限は必要最低限にする
  • デバイス毎に秘密鍵と証明書が別であれば、対象のデバイスだけをリボークできる
  • ポリシーは、自分のIDと一致しないとアクセスできないとか、細かく設定すること

IoTにおけるセキュリティの課題

  • 明日の安全な状態は保証できない(脆弱性の発見等)
  • IoTデバイスの安全の維持が課題
  • 必要なのはメカニズム
  • 安全でない状態や異常な振る舞いを検知して、管理者に通知し、進化することが必要
  • 単機能のIoTデバイスの異常を振る舞いの検知するのは比較的用意
  • 今の運用にアラートを乗せられること

IoT Defender機能の詳細

デバイスの監査機能

  • フルマネージドでベストプラクティスに乗っていないものを検出
  • 定期実行やオンデマンド実行ができる
  • 証明書の有効期限やCA証明書の有効期限の検出
  • リボークされた焼鶏処の利用を検出
  • 過剰な権限が付与されているデバイスやコグニートIDの検出
  • 同じクライアントIDのでの接続を検出
  • 証明書の共通利用の検出
  • IoT Coreのログが無効になっていることの検出

デバイスの振る舞いのモニタリング

  • メッセージの発信間隔とか
  • サーバー側でわかることはAWSが検出する
  • クライアントの状態は、デバイスが自己申告する(オープンポートとか)

セキュリティ課題の対応

  • OTAアップデート
  • Demo...
  • サーバーの監査は数クリックでできる

QA

使えないリージョンはある?

  • ある

Session4:「フルログのその先。腑に落ちるAWS WAFログ解析基盤を構築してみた。」

株式会社セキュアスカイ・テクノロジー 宇田川 稔さん

激震

  • AWS WAFのフルログが取れるようになった
  • AWS WAF -> Kinesis Data Firehose -> s3
  • このログどうしよう
  • 解析基盤を作ってみた

考えられる解析基盤

  • RedashをEC2上に構築(構築、設定、運用が大変だった)
  • Splunk, Sumo Logic(データの外出しがきになる。費用も。)
  • AWS ESSにログデータを流し込む(インスタンスサイズやディスクサイズを調整しないと行けない。Kibanaの設定も無視できない)

そんなとき

  • Security Analistic
  • WAF -> Kinesis Data Firehose -> s3 -> Glue -> Athena -> QuickSight
  • 良さそう!
  • やってみた。30分でできた
  • 世界地図作ったけど、日本とインドがマップされない...(QuickSightの仕様。US以外はCountry情報はマップされてほしい)
  • ログにルール名が表示されない(フルログに検知したルールが入ってない)
  • おしい。思ってたのと違う

どうにか実現したい

  • フルログの保存の流れをこうした
  • WAF -> Kinesis Data Firehose -> Lambda(緯度経度,ルール名を追加,階層がないように整形) -> Kinesis Data Firehose -> s3
  • ピボットテーブルで、UAの統計を取れるようになった

SSTでの利用例

  • OWASP TOP 10のルールやサードパーティのマネージドルールについて、SSTが持っている攻撃データを使って試してみた

構築手順は?

  • 時間オーバーになってしまう
  • SSTエンジニアブログに公開しています!

QA

おたかいんでしょ?

  • ブログ書きます
  • QuickSightは60日間無料

QuickSightは自動でリロードしないよね

  • AWSさんに聞いてもらっていいですか?
  • 予定は...??話は聞いているが...

Session5:「Aws security -医療情報規制への対応-」

アマゾン ウェブ サービス ジャパン株式会社 梅谷 晃宏さん

話は聞く。やるかどうかは別だけど。話して始めて始まる

日本のガイドライン、compliance対応

  • 金融(FISC)
  • 成約医療機器(GXP)
  • 政府省庁(NISC)
  • 個人情報(AWS)
  • 医療情報(HIPPA)

AWSのヘルスケア・ライフケアの事例

  • Philips
  • 東芝メディカルシステムズ

HIPPA対応

  • 2012年から取り組みは始まっている
  • 医療関連データの電子化の推進と、プライバシー保護のための標準規格
  • 病院をまたがっての情報のやり取り等
  • 病院からの依頼で医療情報の処理に管理する業者(AWS)。医療機関と契約する

HITECH

  • 情報漏えい時の罰則規定

AWS HIPPA関連ホワイトペーパー

  • 日本語訳は梅谷さんがやった
  • サービスインスコープのサービスを使うこと。これが書かれている。
  • 責任共有モデルの利用者側がやらなければならないことについて書かれている
  • 暗号化にこだわりがある特徴
  • s3のメタデータに患者名を使わないとか(暗号化できない)

リファレンスアーキテクチャHIPPA

  • FintechリファレンスアーキテクチャのHIPPA版
  • 個々でどうか?ではなく、全体でどう使うか?ということが書かれている

日本の医療ガイドライン、complianceの対応

Session5+:「「医療情報システム向けAWS利用リファレンス」を読む前の準備体操」

日本電気株式会社 大竹 孝昌さん

医療情報システム向けリファレンスの入手先
Zipファイルの中身には、印刷用のデータもある
Excelシートが本丸

  • ガイドラインの要求事項に対して、Webサイトやホワイトペーパー名のdの情報を基に回答を書いている

たどるべき場所
FISC
SOC
PCIDSS
ISO

  • 27001
  • 27017
  • 27018
  • 9001(AWSにおける品質について)

Artifact経由でSOCの情報を入手(要NDA)
インスタンスのリタイヤについて

以下のURL配下にある各種情報を参照するといいです!

今日はここまでです。
お疲れ様でした。