背景
- ウチでもAWSとか使ってるけど、インフラのセキュリティ対策状況ってそもそもどんな状況なの❓
- ちゃんとモニタリングしてなにかあったらアラートされるようにしておかないと危なくない❓
OSSにもなったRISKEN使おう
RISKEN is 何❓
システム環境に潜む リスク情報 を継続的に収集・モニタリングするための セキュリティ オペレーション プラットフォーム です
[引用元] RISKEN - RISKEN
- RISKENを利用することでセキュリティの問題を発見することができます
- セキュリティインシデントを未然に防いだり、事故発生時にも調査・対応を行うためのツールとして活用できます
- また、開発チーム、クラウド管理者、セキュリティ担当者の成果を可視化し、プロダクトオーナーとのコミュニケーションにも役立ちます
AWSやGCPなどのパブリッククラウド環境の利用状況をセキュリティの観点でモニタリングを実施し、対応が急がれる リスク 
や
継続してモニタリング対象として管理した方が良い リスク予備軍 
を検知してくれます 
早速、社内AWSアカウントを対象に導入してみた
導入ってどうやるの❓
詳しい説明は マニュアルサイトがあるので、そちらへ譲りますが、
一言でいうと、
「対象のAWSアカウントのアカウントIDとIAMロールを作成して、RISKENへ登録するだけ❗❗」
ご自身のAWSアカウントの情報をデータソースとして設定したら、スキャン可能になります👍
スキャンの仕方はこちら
さて、社内利用のアカウントのスキャン結果は❓❓
検知されたリスク(スコア0.8以上)の件数は下記👇
合計: 105件
意外とあるなー・・・・・という印象
具体的に検知されたリスク内容は下記でした
- 💣 SSHやMySQLポート等のセキュリティグループ全解放
- 💣 Admin権限所持のIAMユーザの存在
- 💣 ルートアカウントの2FAの未設定
- 💣 CloudTrailの全リージョンでの有効化が未完
- 💣 インポートされた過去の証明書の有効期限切れ
これだけ検知されたので急いで対応
💣 SSHやMySQLポート等のセキュリティグループ全解放
✅ 社用VPNや業務利用NWのIPアドレスのみ許可設定をするように対応
💣 Admin権限所持のIAMユーザの存在
✅ PERMAN でのコンソールへのログインをさせる設定を実施
✅ 該当IAMユーザについては不要なものは削除
ちょうどタイミングよく、PERMANについてのブログも公開されていたので、紹介 
💣 ルートアカウントの2FAの未設定
✅ 2FAを設定して対応済み
仮想 Multi-Factor Authentication (MFA) デバイスの有効化 (コンソール) - AWS Identity and Access Management
💣 CloudTrailの全リージョンでの有効化が未完
✅ 全リージョンでのログ取得設定を対応済み
下記のクラスメソッド様の記事を参考に対応ができました。いつもありがとうございます 
CloudTrail全リージョン有効化の詳細と個別リージョン設定からの移行 | DevelopersIO
💣 インポートされた過去の証明書の有効期限切れ
✅ 利用されてないことを確認し、AWS CLIにて削除
マネコンではなぜか削除できなかったのが不思議でした
最終結果 
BEFORE
合計: 105件
AFTER
合計: 11件
9割方撲滅しました❗❗❗❗
残りは過去の古い証明書が多く、削除が大変 ですが、継続して絶賛対応中です 早く終わらせないと 
まとめ
- OSSにもなったRISKENを使って社内AWSアカウントのセキュリティモニタリングを導入した
- 全体のリスクのうち 9割 を撲滅でき、さらに継続して監視されることですぐにリスクが検知される状態になった
- 今後は、コストチェックアラートも導入して、コスト上昇アラートもやれそう
-
RISKEN、チョー便利です❗皆さんもぜひご利用になってみてください