Upgrade to Pro — share decks privately, control downloads, hide ads and more …

防衛への一歩!AWSアカウントを不正利用から守るための必須防止対策ナビ

 防衛への一歩!AWSアカウントを不正利用から守るための必須防止対策ナビ

松波 花奈

July 07, 2023
Tweet

More Decks by 松波 花奈

Other Decks in Business

Transcript

  1. 防衛への一歩!
    AWSアカウントを不正利用から
    守るための必須防止対策ナビ
    2023/7/7
    AWS事業本部 松波花奈

    View Slide

  2. 自分の身(アカウント)は
    自分で守ろう
    本セッションのテーマ 2

    View Slide

  3. 自己紹介
    名前:松波 花奈(まつなみ かな)/ おつまみ
    所属:AWS事業本部コンサルティング部
    経歴:Slerでシステムエンジニア(約4年半)
       クラスメソッド(2022/9~)
    好きなサービス:AWS Security Hub
    3

    View Slide

  4. 本セッションの対象者 4
    ●AWSの基本的な概念は知っている方
    ●AWSを使う上でセキュリティ対策に不安がある方
    ●AWSアカウントの管理者

    View Slide

  5. 本セッションのゴール 5
    ●AWSアカウントの不正利用による被害を理解する
    ●実際に不正利用が起きてしまったときのフローを知っ
    ておく
    ●セッション後、すぐに必須防止対策を実施できるように
    なる ゴールに必要なことをお
    話しします

    View Slide

  6. 本題の前に 6
    軽い前置き

    View Slide

  7. 不正利用時の復旧支援サービス 7
    不正利用時の復旧支援

    View Slide

  8. アジェンダ 8
    前半
    1. AWSアカウントの不正利用とは?
    2. AWS不正利用の具体例・被害
    後半
    1. AWS不正利用対策の進め方
    2. 具体的な対策方法
    3. おわりに

    View Slide

  9. アジェンダ 9
    前半
    1. AWSアカウントの不正利用とは?
    2. AWS不正利用の具体例・被害
    後半
    1. AWS不正利用対策の進め方
    2. 具体的な対策方法
    3. おわりに

    View Slide

  10. AWSアカウントの不正利用とは?
    第三者が
    AWSアカウントの認証情報を盗んだり、
    セキュリティの脆弱性をついてAWSリソースに不
    正アクセスしたりすること
    10

    View Slide

  11. AWSアカウントの不正利用による悪影響 11
    多額のコスト
    が要求される
    サービス品質が
    悪化する
    法的・規制上の問題が
    生じることがある

    View Slide

  12. AWSの不正利用は誰も得しない
    12

    View Slide

  13. 13
    AWS利用者
    多額のコスト請求
    無駄なリソース消費
    ステークホルダー全体に悪影響
    エンドユーザー
    サービス利用不可

    View Slide

  14. 14
    不正利用の具体例

    View Slide

  15. ①アクセスキー漏洩 15

    View Slide

  16. ①アクセスキー漏洩 16

    View Slide

  17. ②IAMユーザーのパスワード流出 17

    View Slide

  18. ③アプリケーションの脆弱性をついた攻撃 18
    S3バケットの設
    定ミス

    データ漏洩
    SSHポート開放

    EC2インスタンス
    への不正アクセス
    WAFの設定ミス

    個人情報漏洩

    View Slide

  19. 19
    不正利用による被害

    View Slide

  20. 1. 多額の利用費請求 20

    View Slide

  21. 2. 情報漏洩 21
    データ漏洩 スナップショットから復元
    アクセスキー漏洩

    View Slide

  22. 3. 攻撃の加害者になる 22

    View Slide

  23. 前半まとめ 23
    ●不正利用の具体例
    ○ アクセスキー漏洩
    ○ IAMユーザーのパスワード流出
    ○ アプリケーションの脆弱性をついた攻撃
    ●不正利用の被害
    ○ 多額の利用費請求
    ○ 情報漏洩
    ○ 攻撃の加害者になる

    View Slide

  24. アジェンダ 24
    前半
    1. AWSアカウントの不正利用とは?
    2. AWS不正利用の具体例・被害
    後半
    1. AWS不正利用対策の進め方
    2. 具体的な対策方法
    3. おわりに

    View Slide

  25. AWSからの〇〇が受け取れるように
    設定されていますか?
    25

    View Slide

  26. AWSからの通知が受け取れるように
    設定されていますか?
    26

    View Slide

  27. メール通知例 27
    件名:Your Amazon EC2 Abuse Report

    View Slide

  28. 2カ所で通知設定できる 28
    参考
    :https://docs.aws.amazon.com/ja_jp/accounts/latest/reference/manage-acct-updat
    e-contact.html

    View Slide

  29. Slackにも連携しよう 29
    参考ブログ:https://dev.classmethod.jp/articles/abuse-chatbot-slack/

    View Slide

  30. メンバーズのお客様はポータルサイトから 30

    View Slide

  31. 不正利用が発生した場合の対応
    STEP 01
    31
    STEP 02 STEP 03
    臨時対応 必須防止対策 恒久対策
    1時間以内 1~2日以内 1ヶ月以内

    View Slide

  32. 32
    1.臨時対応

    View Slide

  33. すぐにアクセスキーを無効化・削除する
    アクセスキー漏洩の場合
    33

    View Slide

  34. AWSアカウントの調査観点 34
    IAM認証情報
    レポート
    IAMよって実行された
    不正なアクションを特定
    CloudTrail
    アカウントに対する不正アク
    セスや変更を特定
    Trusted Advisor
    承認されていないリソース/
    IAM ユーザーの作成を特定
    参考:https://repost.aws/ja/knowledge-center/potential-account-compromise

    View Slide

  35. 詳細な対応について知りたい方 35
    参考ブログ:https://dev.classmethod.jp/articles/leak-accesskey-what-do-i-do

    View Slide

  36. メンバーズのお客様は弊社にて調査実施
    アクセスキー漏洩の場合
    36

    View Slide

  37. 37
    2. 必須防止対策

    View Slide

  38. 必須防止対策 38
    01
    IAMの棚卸し・アクセスキー
    漏洩防止ソリューション導入
    02
    セキュリティサービスの有効化
    03
    Security HubによるAWS環境のセキュリ
    ティ状況スコアリング
    04
    GuardDutyによる
    脅威検知の暫定体制づくり

    View Slide

  39. 必須防止対策 39
    01
    IAMの棚卸し・アクセスキー
    漏洩防止ソリューション導入
    02
    セキュリティサービスの有効化
    03
    Security HubによるAWS環境のセキュリ
    ティ状況スコアリング
    04
    GuardDutyによる
    脅威検知の暫定体制づくり

    View Slide

  40. CloudTrailは有効化されていますか?
    AWS リソースを記録するサービス
    ● 「誰が」
    ● 「いつ」
    ● 「何に対して」
    ● 「どのような」操作をしたのか
    40
    参考ブログ:https://dev.classmethod.jp/articles/securityhub-fsbp-remediation-cloudtrail-1/

    View Slide

  41. CloudTrailのイベント履歴 41
    ユーザー名
    発信元IPアドレス
    対象のリソースなど
    詳細を確認

    View Slide

  42. AWS Configは有効化されていますか?
    AWS リソースの変更の追跡を⼿うこ
    とができるサービス
    42
    参考ブログ:https://dev.classmethod.jp/articles/securityhub-fsbp-remediation-config-1/

    View Slide

  43. Configのタイムライン 43
    イベント時間
    ユーザー名
    イベント名など
    を記録

    View Slide

  44. リソース変更が多い場合は注意 44
    参考ブログ:https://dev.classmethod.jp/articles/aws-config-amazon-athena/

    View Slide

  45. Security Hubは有効化されていますか?
    セキュリティのコンプライアンスとス
    テータスを⼿括で管理できるサービス
    45
    参考ブログ:https://dev.classmethod.jp/articles/lets-learn-aws-security-hub/

    View Slide

  46. Security Hubのセキュリティチェック 46

    View Slide

  47. GuardDutyは有効化されていますか?
    AWS環境を継続的にモニタリングし
    て、セキュリティに関する異常を検出
    してくれるサービス
    47
    参考ブログ
    :https://dev.classmethod.jp/articles/securityhub-fsbp-remediation-guardduty-1/

    View Slide

  48. GuardDutyのサマリーダッシュボード 48

    View Slide

  49. 必須防止対策 49
    01
    IAMの棚卸し・アクセスキー
    漏洩防止ソリューション導入
    02
    セキュリティサービスの有効化
    03
    Security HubによるAWS環境のセキュリ
    ティ状況スコアリング
    04
    GuardDutyによる
    脅威検知の暫定体制づくり

    View Slide

  50. IAMの概念知っていますか? 50
    AWS Foundations: Securing Your AWS Cloud (Japanese) (⽇本語吹き替え版)
    :AWSセキュリティの基本(50分)
    Introduction to AWS Identity and Access Management (IAM) (Japanese) (⽇本語
    吹き替え版) :簡単なIAMの概要(10分)

    View Slide

  51. 不要なIAMユーザー・アクセスキーを管理していませんか? 51
    参考ブログ:https://dev.classmethod.jp/articles/inventory-iam-users-and-access-keys-in-iam-report/
    削除基準
    ● 90⼿間以上ログイン・使用されていない
    ● 退職、異動、⼿時的に作成したものが残っている等で、不要となっている

    View Slide

  52. IAMユーザーのパスワードポリシーは強固ですか? 52
    参考動画:https://www.youtube.com/watch?v=C2I5JefT8Zg
    NISCに準拠する場合、パスワード
    最小文字数は10文字以上

    View Slide

  53. IAMユーザーのMFAは有効化されていますか? 53
    参考ブログ:https://dev.classmethod.jp/articles/mfa-for-iam-user-management/

    View Slide

  54. 不要なIAMロールを管理していませんか? 54
    参考ブログ:https://dev.classmethod.jp/articles/inventory-iam-resources
    削除基準
    ● 90⼿間以上使用されていない
    ● ⼿時的に作成したものが残っている等で、不要となっている

    View Slide

  55. git-secretsは導入されていますか? 55
    参考ブログ:https://dev.classmethod.jp/articles/startup-git-secrets/

    View Slide

  56. IAMユーザー・ロールに強力な権限を与えていませんか? 56
    参考ブログ
    :https://dev.classmethod.jp/articles/inventory-powerful-authority-iam-users-and-roles/

    View Slide

  57. 必須防止対策 57
    01
    IAMの棚卸し・アクセスキー
    漏洩防止ソリューション導入
    02
    セキュリティサービスの有効化
    03
    Security HubによるAWS環境のセキュリ
    ティ状況スコアリング
    04
    GuardDutyによる
    脅威検知の暫定体制づくり

    View Slide

  58. 有効化したまま放置していませんか? 58

    View Slide

  59. スコア100%にしましょう! 59
    1. 修復⼿順に沿って、修復
    2. 修復せずリソースを抑制済みとして登録
    3. 修復せずルールを無効化

    View Slide

  60. 修復必須項目 ※2023.7時点
    ●CloudFront.1
    ●CloudTrail.1
    ●CodeBuild.1
    ●CodeBuild.2
    ●Config.1
    ●EC2.1
    ●EC2.2
    ●EC2.16
    ●EC2.18
    ●EC2.19
    ●ECS.1
    60
    ●ECS.2
    ●ECS.3
    ●ECS.4
    ●ElasticBeanstalk.2
    ●GuardDuty.1
    ●IAM.1
    ●IAM.5
    ●IAM.7
    ●IAM.8
    ●IAM.21
    ●Lambda.1
    ●Lambda.2
    ●RDS.1
    ●RDS.2
    ●RDS.18
    ●Redshift.1
    ●Redshift.7
    ●S3.2
    ●S3.3
    ●S3.6
    ●S3.8
    ●SSM.4

    View Slide

  61. 参考:修復手順ブログ 61
    https://dev.classmethod.jp/referencecat/securityhub-fsbp-remediation/

    View Slide

  62. 参考:Classmethod Cloud Guidebook 62
    参考ブログ:https://dev.classmethod.jp/articles/how-to-use-ccg/

    View Slide

  63. 必須防止対策 63
    01
    IAMの棚卸し・アクセスキー
    漏洩防止ソリューション導入
    02
    セキュリティサービスの有効化
    03
    Security HubによるAWS環境のセキュリ
    ティ状況スコアリング
    04
    GuardDutyによる
    脅威検知の暫定体制づくり

    View Slide

  64. GuardDutyの通知先は設定されていますか? 64
    参考動画:https://www.youtube.com/watch?v=ExK6MJWT1y0

    View Slide

  65. 65
    参考ブログ:https://dev.classmethod.jp/articles/notify_guardduty_by_severity/
    Slack連携もおすすめ

    View Slide

  66. 66
    脅威を検知した際の対応方法を把握していますか?
    参考:https://dev.classmethod.jp/articles/guardduty-firstaction/
    https://docs.aws.amazon.com/ja_jp/guardduty/latest/ug/guardduty_finding-types-active.html
    重要度別に関わらず、
    基本全て対応

    View Slide

  67. 67
    GuardDutyの通知が多すぎて困っていませんか?
    抑制方針
    ●実際に通知があった検出結果のみを抑制。
    検出される前から抑制ルールを作成することは避ける。
    ●繰り返し通知があった検出結果に対して抑制ルールを作成。
    ●可能な限り細かい単位で抑制ルールを作成。
    (例:S3のブロックパブリックアクセス無効の通知を抑制する際は
    Bucket nameも必ず条件に加える)

    View Slide

  68. 68
    参考ブログ:https://dev.classmethod.jp/articles/aws-guardduty-suppression-rules-2022/
    抑制ルールでノイズを減らしましょう

    View Slide

  69. すべて対応できていましたか? 69
    01
    IAMの棚卸し・アクセスキー
    漏洩防止ソリューション導入
    02
    セキュリティサービスの有効化
    03
    Security HubによるAWS環境のセキュリ
    ティ状況スコアリング
    04
    GuardDutyによる
    脅威検知の暫定体制づくり

    View Slide

  70. 70
    3. 恒久対策

    View Slide

  71. 恒久対策(1/3)
    ●セキュリティ管理体制の確立
    ○ 会社全体のセキュリティを管理するチーム(セキュリティ部門
    ・CSIRT・SOC等)の確立
    ○ クラウドを利用した環境の開発・運用のガイドライン策定や支援の体
    制づくり
    ○ アーキテクチャのセキュリティや実装のレビューフロー整備
    ■ Well-Architectedフレームワークに沿った設計・構築レビュー
    ○ 人材育成・有資格者確保(AWS Certified Security - Specialty等)
    71

    View Slide

  72. 恒久対策(2/3)
    ●AWS環境全体設計
    ○ AWSアカウント情報集約
    ○ AWSアカウント発行フロー整備
    ○ AWSアカウント管理者・責任範囲の明文化
    ●予防的統制
    ○ IAM Access Analyzerの使用
    ●発見的統制
    ○ Detectiveの利用
    72

    View Slide

  73. 恒久対策(3/3)
    ●アプリレイヤーのセキュリティ管理
    ○ 脆弱性管理(OS/コンテナ/ミドルウェア/言語ライブラリ)・診断
    ○ アンチマルウェア
    ○ 多層防御(IDS/IPS/変更管理)
    ○ モニタリング・ロギング
    ○ アプリケーション保護
    ○ CI/CD
    73

    View Slide

  74. 中級〜上級の対策がおすすめ 74
    参考ブログ:https://dev.classmethod.jp/articles/aws-security-all-in-one-2021/

    View Slide

  75. 75
    まとめ

    View Slide

  76. 本セッションのゴール 76
    ●AWSアカウントの不正利用による被害を理解する
    ●実際に不正利用が起きてしまったときのフローを知っ
    ておく
    ●セッション後、すぐに必須防止対策を実施できるように
    なる ゴールに必要なことをお
    話ししました

    View Slide

  77. 謝辞 77
    ●今回ご紹介したブログを執筆してくださった皆様
    ●日々DevelopersIOを読んでくださる皆様
    ●今回このセッションを視聴しにきてくださった皆様
    ●今回ご紹介したブログを執筆してくださった皆様
    ●日々DevelopersIOを読んでくださる皆様
    ●今回このセッションを視聴しにきてくださった皆様
    ありがとうございました!

    View Slide

  78. View Slide