re:Invent 2018 SE参加レポート第2弾「クラウドのインシデントレスポンスってどうなの?」

公開日
2018年12月19日

こんにちは!トレンドマイクロの宮林です。2018年11月最終週に開催されたAWS最大のグローバルカンファレンス、re:Invent 2018のインシデントレスポンス関係のセッションに参加しましたので、内容についてご紹介いたします。なお、参加した(しようとした)セッションは下記となります。

・SEC371 Incident Response in AWS
・SEC392 Netflix Cloud Forensics(残念ながら中止に…)

SEC371については、講師の方がプレゼンテーションをして多数の参加者が拝聴するというセッションではなく、ビルダーズセッションといって、AWSの講師の方お一人と参加者数名がテーブルを囲んでディスカッションする少人数グループセッションでした。最初に参加者全員で簡単な自己紹介をしたのですが、CSIRTやSOCで働いている方がほとんどだったように思います。そういった現場の方にとってIncident Responseは切実な課題なのだろうなと伺い知ることができました。

講師の方は、AWSのインシデントレスポンスでは、CloudTrail, Amazon CloudWatch, AWS Config等を使用して、各種イベントの追跡、監視、分析及び監査を実施することもできるが、これらのあるがままの利用を推奨していませんでした。なぜなら、1つ1つを確認しようとするととても大変な作業(寝られない状況)になるからです。それなら、それらのログの一部を自動的に分析するGuardDutyを有効にして、ある条件を満たしたときSNS等で通知したり、Lambdaと連携して対象インスタンスのスナップショットを取得して、対象インスタンスを隔離して、新しいインスタンスを作成(スケール)したりすることも可能だ、ということをお話されていました。すなわち、インシデントの発見を自動化して、AWSで稼働しているシステムはそのままに、何かしらの脅威が見つかったときに詳細な調査をすればよいのではないか、ということをお話されていたように思います。

Forensicsについてはテーマ外だったので深く言及されていませんでしたが、インスタンス隔離が簡単にできるという点と、各種ログに加えてスナップショットやメモリダンプを取得できれば、証拠保全ができますので、後日詳細な調査するための材料を揃えるのは比較的容易なのではないかと感じました。なお、AWSのスナップショットや各種ログはOSとは関連性のないところに保管されていると思いますので、攻撃者によって改変される心配がまずないと言えるかと思います。攻撃者の中にはログを削除し痕跡を残さないようにすることを常套手段にする者もいる為、Forensicsをされる方にとってはクライアント端末の調査をするよりはAWS環境上の準備されたインスタンスの方が調査しやすいのではないかと思われます。

さて、話をIncident Responseに戻させて頂くと、ディスカッションを通じて、監視を自動化することを推奨されているように聞こえました。確かに、各種ログを全てリアルタイムで目視確認することは現実的ではありませんし、重大なアラートがあったとしても予めLambdaでインスタンスを隔離してさらに新しいインスタンスをスケールすることが定義できていれば、(もちろん条件/要件にもよりますが)すぐに誰かが対応しなくても、事業の継続とインシデントレスポンスに必要な情報の保全はできるかと思います。

そうなるとインシデントのトリガーが課題になるのではないかと思います。もちろんGuardDutyのイベントを監視することも大事なことですが、AWS環境上で発生するログ全てを網羅している訳ではありませんので、当社のようなAWSのIR-related Partner Solution製品(当社製品ではTrend Micro Deep Security)も使ってインシデントを検出して、通知等の連携をすることも大事な要素になると考えています。

本カンファレンスの中でSecurity HubというAWSが提供しているセキュリティ機能+当社のようなAWS Security Hub Partners製品を監視するコンソールが発表されておりましたが、当社製品も今後Security HubでDeep Securityで検出したイベントの管理が実現できるようにしていくものと思います。

(AWS Security Hub発表時の写真です。わかりづらいですが当社のロゴも画面右下の方にございます)

最後に

AWSでのインシデントレスポンスはどうなっているのだろうか、と思いセッションに参加させて頂いた結果、AWSの機能(GuardDutyなど)を中心にインシデントに実際に気付く手段は用意されていることを改めて確認することができました。今後Security Hubを通して当社含むAPNパートナー製品のログも管理ができるようになり、インシデントに気付く手段は今後も増えていくものと考えられます。ぜひ当社製品との連携もお試し頂きまして、みなさまのAWS環境を守るお手伝いをさせて頂ければと存じます。

トレンドマイクロ株式会社
セキュリティエキスパート本部
エンタープライズ CSM 部
東日本 CSM 課
宮林 孝至

お問い合わせ窓口一覧

メールでのお問い合わせ
aws@trendmicro.co.jp

Copyright © 2019 Trend Micro Incorporated. All rights reserved.