AWS Solution days 2019 セキュリティ&コンプライアンスに行ってきた

こんにちは。

ブログがイベント参加記録になってしまっているmp_hskです。

今日は AWS Solution days 2019 というセッションに参加してきたのでそのレポートを雑にメモしておきます。

 

サイバーセキュリティ研究最前線 2019

 概要

NICT(国立研究開発法人 情報通信研究機構)による
1. ダークネット(国内未使用IP)観測システム NICTERの観測結果からみる最新のサイバー攻撃動向
2. 組織内セキュリティシステム NIRVANA の AWS上での導入紹介
3. WARP DRIVE プロジェクトの宣伝

 最新のサイバー攻撃動向

これまでは 2016年まではWEBサーバーへの攻撃が大半を占めていたが、昨今は IoT機器への攻撃が増えつつある。
IoT機器は Telnetのポートが明いていることが多く、アカウントもデフォルト設定のままのものが多いため。
今からできる対策としては

  • 怪しい動きをしたらとにかく再起動を行う(IoT機器用のマルウェアは揮発性のものが多いため)
  • ファームウェアを定期的に更新する。更新機能のないものは新しいものに買い替える
  • アカウントの設定をデフォルトから変える。
  • インターネットからのアクセスを禁止する。また、機器をGateway内のセグメントに配置する

2018年の大規模攻撃として特徴なのは 80/tcp 以外に 5555/tcpへの攻撃が多かったこと。
このポートは Androidエミュレータ Blue Stacks が自動で開けてしまうポートでその脆弱性がよく狙われた

これらの NICTER による最新動向、レポートは一般公開しているので興味のある方はこちらも参照のこと。
webでの最新情報 
2017年のレポート ※2018年は鋭意作成中

 NIRVANAAWS上での導入

NIRVANAはリアルタイムでインシデントを監視し、GUI操作でインシデント発生個所の隔離やファイアーウォールへのルール追加を行うことができるシステム。
AWS上では、 CloudWatch, WAF, Lambda 等を用いて構築ができ、すでに導入した実績がある

 WARP DRIVE プロジェクトの宣伝

エンドユーザーのブラウジングからサイバー攻撃同行を探るためのプロジェクト。
エンドユーザーの監視エージェントとして、攻殻機動隊のキャラクターをモチーフにしたエージェント「タチコマ」を配布している
興味がある人はぜひインストールしてプロジェクトに協力してほしい。
インストールはこちら

 米国政府および米国防衛関連のセキュリティ概要

 概要

米国政府のセキュリティ標準に関する紹介

 NIST と RMF

NISTは CSFコア(特定・防衛・検知・対応・復旧)という5つのコアプロセスと
成熟度、評価の仕組を併せ持ったセキュリティ標準のフレームワーク
このフレームワークはリスクベースアプローチで各プロセスを構成しており、そのリスク管理フレームワークをRMFと呼ぶ。
(RMFは6つのサイクルからなるPDCAの上位版みたいなもの)

米国政府で利用するクラウドサービスは必ず NIST に準拠したものでなければならず、
AWSはそれに準拠している(NIST RMFへの準拠認可を FedRAMPと呼ぶ)

 AWSの可用性

AWSはリージョンとアベイラビリティゾーンという構成で可用性を担保している。
下記のような構成が一般的。(DBの部分は Managed Database Serviceに置き換えても可)

Region      
  VPC    
    availability zone  
      Public Subnet
      Application Subnet
      Database Subnet

 AWS Security の方向性

 概要

AWSの今後のセキュリティ方向性について対談形式で議論

 キーワード

  • リアクティブからプロアクティブ
  • データと人間の分離
  • インシデントのレスポンスタイム短縮
    • 自動化によるレスポンスタイムの短縮
  • CI/CDパイプラインのセキュリティ
    • コードコントロールの部分と自動テストで品質を担保していく
  • Codable Infra & Application + Infra
  • マイクロサービス化
    • データと人間の分離とマイクロサービス化の組み合わせで、権限の強いスーパーユーザーを完全に排除

EC2の新しいアーキテクチャでは、マイクロサービス化をフル活用し、VMの CPU・リソース領域、ネットワーク領域、ストレージ領域などを担うマシンを別々にして構築することに成功し、セキュリティ的により大きな効果を上げている。

 AWS Security Hub を活用したCIS AWS Foundations ベンチマーク指標の評価

 概要

CIS AWS Foundations ベンチマークの概要説明とAWS Security Hub のさわりを紹介。

 CIS ベンチマーク

グローバルなセキュリティコミュニティであるNPO法人 CIS が出している指標。
3セクション、20項目の主要なコントロールからなり、準拠することで 約85%ものサイバー攻撃リスクを軽減することができる。

 CIS AWS Foundations

CISをベースにした、AWSアカウントのセキュリティ設定のベストプラクティス。
52のチェック項目からなり、各チェック項目のStep毎の実装ガイドラインなどのドキュメントも付与されている。
新しく発表したサービスである、AWS Security Hub では、利用しているアカウントがこのCIS AWS Foundationsに準拠しているかどうかを自動的にチェックし、警告を出してくれる機能がある。

 AWS Security Hub を活用したコンプライアンスの自動化の実装

 概要

主に AWS Security Hubの説明とデモ

 AWS Security Hub の機能

AWS Security Hubとは、セキュリティ情報を1か所に集約し、ダッシュボード形式で一元管理できるサービス。
一元化できる情報は下記の通り

  • CloudWatch、CloudTrail、GuardDuty などのAWS内のセキュリティサービスの情報
  • CIS AWS Foundationsの準拠状況
  • 様々なサードセキュリティベンダーの製品の情報
    • ファイアーウォールとかIPSとかのアラート情報など、その製品固有の管理画面から、AWS Security Hub の管理画面に集約できる
  • APIAWS Security Hubから情報を取得することも可能で、現在複数の言語で実装されている。
    • 情報収集結果から、Lambdaファンクションなどでの監視・復旧自動化につなげる

 AWS Control Tower を活用したランディングゾーンの構築

 概要

AWS Control Tower と landing Zone の概要説明

 Landing Zone

Landing Zone は昨今、1developer で複数のAWSアカウントを利用するニーズが増えてきたことに起因し、
統一的なセキュリティルールを適用したAWSマルチアカウント環境を作成するものである。
Landing Zoneでのルール設定を行うことで、複数のアカウントの共通のセキュリティルールを適用することができる。
また、Guard rail と呼ばれる、ルールにそぐわないデプロイメントをリジェクトする機能もある。

 AWS Control Tower

まだ発表のみでローンチしていないサービス。
Landing Zoneの作成のためのベストプラクティスを用意したり、Landing Zone、およびマルチアカウントを一元管理するサービス。

 

 

英語同時翻訳を聞いていたので解釈違いがあるかもしれない。。。。

発表資料は後日下記のサイトで公開されるらしいです。

aws.amazon.com