AWS Security Automation in TrendMicro DIRECTION 2016

AWSクラウドが貴社の
ビジネス環境を更にセキュアに！
AWSで実現する
セキュリティ・オートメーション
アマゾンウェブサービスジャパン株式会社
セキュリティ・ソリューションアーキテクト
桐山隼人

世界中に広がるAWSの拠点
13リージョン, 35アベイラビリティゾーン, 59エッジロケーション
https://aws.amazon.com/jp/about-aws/global-infrastructure/

AWSにとってセキュリティとは

責任共有モデル
AWS グローバル
インフラストラクチャ
AWS が
クラウドの
セキュリティ
を担当
お客様自身で
クラウドを
統制可能
https://aws.amazon.com/jp/compliance/shared-responsibility-model/

AWSパートナーであるトレンドマイクロ様
https://aws.amazon.com/jp/quickstart/?nc1=h_ls
AWS Partner Network(APN)のAPNアドバンストテ
クノロジーパートナー
Deep Securityは”Security Competency”取得済み
「AWS クイックスタートリファレンス」を提供
• セキュリティと可用性に関するAWSベストプラク
ティスを容易にデプロイ可能
• Trend Micro Deep Security on AWS

本日の内容
オートメーションがもたらすもの
のユースケース
からセキュリティ戦略へ

オートメーションとは
ある機構や機器が、人手
の介入を要することなく、
自動的に制御、動作、連
携すること (IT用語辞典)
「自動化」のこと (Wikipedia)

「自動化」によって得られる効率化
コスト削減生産性向上スピード向上人為ミス削減

効率化だけではない価値
セールスフォースオートメーションマーケティングオートメーション
営業活動の革新
✓ 分析による案件確度判断
✓ 見込み客への集中
マーケティング活動の革新
✓ 案件化率の高いリードの判別
✓ 案件化に至るリソース最適化
営業プロセスの効率化
✓ 報告作業の省力化
✓ 顧客情報データの共有
マーケティングの効率化
✓ リード獲得漏れ防止
✓ ナーチャリング手段確立
「やること」と「やらないこと」を決められる=戦略

オートメーションがもたらすもの
多種多様な
データ集約
可視化と
効果測定
分析による
意思決定
このプロセスを継続することで良い戦略が策定できる

セキュリティ・オートメーションの
ユースケース
何を自動化すべきなのか？

セキュリティ対策の分類
対策主体による分類
• 人による対策・組織による対策・技術による対策
対策対象による分類
• サーバー対策・ネットワーク対策・クライアント対策
対策場所による分類
• 入口対策・内部対策・出口対策
・・・などがあるが、オートメーションを意識した
プロセス・継続性を表現できる分類な何か？

システムの要塞化・隔離
攻撃の抑制
問題の阻止
問題の検出
リスクの検証と優先付け
問題の抑制調査/フォレンジック
設計/モデル変更
回復/修復
定常状態の把握
攻撃の予測
事前のリスク分析
継続的
監視と分析
適応型セキュリティアーキテクチャ
予測防御
検知対応
Gartner’s Adaptive Security Architecture

攻撃の抑制
問題の阻止
問題の検出
回復/修復
攻撃の予測
継続的
監視と分析
「防御」の考慮点
予測防御
検知対応
従来、セキュリティ対策と言われていたもの
標的型攻撃の台頭で100%防御は不可能と言われる
ようになった

攻撃の抑制
問題の阻止
問題の検出
回復/修復
攻撃の予測
継続的
監視と分析
「検知」の考慮点
予測防御
検知対応
高い検知精度(誤検知・検知漏れが少ない)
各種イベントを相関分析したインシデント特定
重要なインシデントの判別・優先順位づけ

攻撃の抑制
問題の阻止
問題の検出
回復/修復
攻撃の予測
継続的
監視と分析
「対応」の考慮点
予測防御
検知対応
一次対応の早さが損害額を最小化する
事後調査を意識したログ設計
恒久的な対応は仕組み化して事故を再発させない

攻撃の抑制
問題の阻止
問題の検出
回復/修復
攻撃の予測
継続的
監視と分析
「予測」の考慮点
予測防御
検知対応
異常に気付くには正常な状態を知る必要がある
次の防御策を選択するためのリスク分析

攻撃の抑制
問題の阻止
問題の検出
回復/修復
攻撃の予測
継続的
監視と分析
「継続的監視と分析」の考慮点
予測防御
検知対応
このサイクルを素早く回し、変化に適応させる

AWS サービスのマッピング
AWS
Config
Amazon
Inspector
3rd Party
Data Feed
AWS
Lambda
Amazon EBS
Amazon
SNS
AWS
CloudFormation
Auto Scaling
Amazon VPC
flow logs
3rd Party SIEM
NACL SG
AWS WAF
3rd Party IDS
Amazon
CloudFront
AWS
CloudTrail
Amazon
CloudWatch
予測防御
検知対応

AWS
Config
Amazon
Inspector
Amazon EBS
AWS
CloudFormation
Amazon VPC
flow logs
3rd Party SIEM
NACL SG
3rd Party IDS
AWS
CloudTrail
予測防御
検知対応
不正通信を起点とした入口対策フロー例
Amazon
CloudWatch
3rd Party
Data Feed
AWS WAF
Amazon
CloudFront
Auto Scaling
AWS
Lambda
Amazon
SNS

IPブラックリストをAWS WAFに自動反映
Amazon
CloudWatch
3rd party
レピュテーションリスト
AWS WAF
Amazon
CloudFront
Elastic Load
Balancing
Amazon EC2
Web servers
Amazon RDS
Database
攻撃者
IPレピュテーション
に基づきブロック
AWS
Lambda
ユーザー
送信元IPに基づき
通信許可

Amazon
CloudWatch
3rd party
AWS WAF
Amazon
CloudFront
Elastic Load
Balancing
Amazon EC2
Web servers
Amazon RDS
Database
攻撃者
AWS
Lambda
ユーザー
通信許可
①定期実行

Amazon
CloudWatch
3rd party
AWS WAF
Amazon
CloudFront
Elastic Load
Balancing
Amazon EC2
Web servers
Amazon RDS
Database
攻撃者
AWS
Lambda
ユーザー
通信許可
①定期実行
②SpamhausのDROPリストなど
をダウンロード

Amazon
CloudWatch
3rd party
AWS WAF
Amazon
CloudFront
Elastic Load
Balancing
Amazon EC2
Web servers
Amazon RDS
Database
攻撃者
AWS
Lambda
ユーザー
通信許可
①定期実行
③AWS WAF IPセットを更新

Amazon
CloudWatch
3rd party
AWS WAF
攻撃者
AWS
Lambda
ユーザー
通信許可
①定期実行
③AWS WAF IPセットを更新
④AWS WAF によるブラックIP
からの通信をブロック
Amazon
CloudFront
Elastic Load
Balancing
Amazon EC2
Web servers
Amazon RDS
Database

EC2 インスタンス
アベイラビリティーゾーン 1b
アベイラビリティーゾーン 1a
AutoScalingグループ
Amazon
CloudFront
AWS
Lambda
Amazon
SNS
Elastic Load
Balancing
スケールアウトによる問題の抑制と通知

Amazon
CloudFront
①非ブラックIPからの
大量トラフィック
AWS
Lambda
Amazon
SNS
Elastic Load
Balancing

Amazon
CloudFront
②スケールアウトによる
自動トラフィック分散
AWS
Lambda
Amazon
SNS
Elastic Load
Balancing

Amazon
CloudFront
AWS
Lambda
Amazon
SNS
Elastic Load
Balancing
③スケーリングイベント
の通知

Amazon
CloudFront
AWS
Lambda
Amazon
SNS
Elastic Load
Balancing
③スケーリングイベント
の通知
④任意アクション実行

AWS
Config
Auto Scaling
AWS WAF
Amazon
CloudFront
3rd Party
Data Feed
AWS
CloudFormation
3rd Party SIEM
3rd Party IDS
予測防御
検知対応
Amazon
CloudWatch
高リスク端末に対する内部対策フロー例
Amazon
Inspector
NACL SG
Amazon VPC
flow logs
Amazon EBS
AWS
CloudTrail
AWS
Lambda
Amazon
SNS

EC2
インスタンス
端末自動隔離とバックアップ
AWS
Lambda
Amazon
Inspector
Amazon
EBS
Security Group
Network ACL
AWS
CloudTrail
(SNS/LambdaによるAPI呼び出しを一部省略)

EC2
インスタンス
AWS
Lambda
Amazon
Inspector
Amazon
EBS
①セキュリティ評価
の実行
Security Group
Network ACL
AWS
CloudTrail

EC2
インスタンス
AWS
Lambda
Amazon
Inspector
Amazon
EBS
の実行
②脆弱性診断
Security Group
Network ACL
AWS
CloudTrail

EC2
インスタンス
AWS
Lambda
Amazon
Inspector
Amazon
EBS
の実行
②脆弱性診断
③NACL/SGのポートブロック
による端末隔離
Security Group
Network ACL
AWS
CloudTrail

EC2
インスタンス
④ブロックログが
VPC Flow Logsに表示
AWS
Lambda
Amazon
Inspector
Amazon
EBS
の実行
②脆弱性診断
Security Group
Network ACL
AWS
CloudTrail

EC2
インスタンス
⑤スナップショットに
よるバックアップ取得
AWS
Lambda
Amazon
Inspector
Amazon
EBS
の実行
②脆弱性診断
Security Group
Network ACL
AWS
CloudTrail

EC2
インスタンス
⑤スナップショットに
よるバックアップ取得
AWS
Lambda
Amazon
Inspector
Amazon
EBS
の実行
②脆弱性診断
Security Group
Network ACL
AWS
CloudTrail
⑥バックアップログ
保存

ファイア
ウォール
侵入防御不正
プログラム対策
セキュリティ
ログ監視
変更監視
攻撃者
EC2
Deep Security
エージェント
TrendMicro Deep Security on EC2
ホスト型 All-in-One サーバーセキュリティ
情報資産
Trend Micro Deep Security Platform
http://www.trendmicro.com/us/enterprise/cloud-solutions/deep-security/index.html
予防＝ブロック発見＝モニタリング

Deep Security と AWS サービスの連携例
EC2
Amazon
Inspector
Deep Security
エージェント
AWS WAF
AWS
Config
予測・評価検知・防御監査
脆弱性情報（CVE）
を元にルール有効化
インスタンスのアプリ
ケーション情報を元に
WAFルールを実装
社内ルールで決められた
ポリシーが実装されている
かをチェック
監視・対処
Amazon
SNS
SNS経由でのイベント通知
（トリガーにアクションを
自動化も可能）
https://github.com/deep-security/

からセキュリティ戦略へ
オートメーションの未来図

オートメーションがもたらすもの(再掲)
多種多様な
データ集約
可視化と
効果測定
分析による
意思決定
このプロセスを継続することで良い戦略が策定できる

CloudTrailのよる監査ログ取得対象サービス※
対応サービス:
分析
• Amazon Elastic Map Reduce
• AWS Data Pipeline
• Amazon Kinesis Firehose
• Amazon Kinesis Streams
• Amazon Redshift
• Amazon Elasticsearch
Service
• Amazon Machine Learning
アプリケーションサービス
• Amazon API Gateway
• Amazon Cloudsearch
• Amazon Elastic Transcoder
• Amazon Simple Email
Service (Amazon SES)
• Amazon Simple Queue
Service (Amazon SQS)
• Amazon Simple Workflow
Service (Amazon SWF)
コンピューティング
• Amazon Elastic Compute
Cloud (Amazon EC2)
• Amazon EC2 Container
Service (Amazon ECS)
• AWS Elastic Beanstalk
• AWS Lambda
• Auto Scaling
• Elastic Load Balancing (ELB)
• Amazon EC2 Container
Registry (Amazon ECR)
データベース
• Amazon DynamoDB
• Amazon ElastiCache
• AWS Database Migration
Service (AWS DMS)
• Amazon Relational Database
Service (Amazon RDS)
開発者ツール
• AWS CodeDeploy
• AWS CodePipeline
エンタープライズアプリケーション
• Amazon WorkDocs
• Amazon WorkSpaces
セキュリティとアイデンティティ
• AWS Certificate Manager
• AWS CloudHSM
• AWS Directory Service
• AWS Identity and Access
Management (AWS IAM)
• Amazon Inspector
• AWS Key Management Service
• AWS Security Token Service
• AWS WAF
ストレージとコンテンツ配信
• Amazon CloudFront
• Amazon Elastic Block Store
• Amazon Simple Storage
Service (Amazon S3)
• Amazon Elastic File System
• Amazon Glacier
• Amazon S3 bucket level
events
• AWS Storage Gateway
サポート
• AWS Support
モノのインターネット
• AWS IoT
ゲーム開発
• Amazon GameLift
管理ツール
• AWS CloudFormation
• AWS CloudTrail
• Amazon CloudWatch
• Amazon CloudWatch Events
• Amazon CloudWatch Logs
• AWS Config
• AWS OpsWorks
• AWS Service Catalog
モバイルサービス
• Amazon Cognito
• AWS Device Farm
• Amazon Simple Notification
Service （Amazon SNS）
ネットワーキング
• AWS Direct Connect
• Amazon Route 53
• Amazon Virtual Private Cloud
※2016年11月時点。最新情報は http://docs.aws.amazon.com/ja_jp/awscloudtrail/latest/userguide/cloudtrail-supported-services.html
データ
集約

AWSインフラ全体のログ取得が可能
Private
Subnet
Public
Subnet
Subnet
NACL NACL
SG SG
社内システム
インターネット
CGWVGW
Private
Subnet
NACL
SG
Private
Subnet
NACL
SG
APP
APP
Jump
Agent
CloudTrail
CloudWatch
Logs
CloudFront
WAF
API操作のログ
ログ
トラフィック
ELBの
アクセスログ
CF/WAFの
アクセスログ
VPC Flow
Logs
S3の
アクセスログ
OS等のログ
データ
集約

セキュリティ・ダッシュボード
https://aws.amazon.com/jp/blogs/security/how-to-optimize-and-visualize-your-security-groups/
VPC Flow Logs/Amazon Elasticsearch Service/Kibana によるセキュリティグループの可視化
プロトコル
許可 or 遮断
宛先ポート
通信IP
アドレス
通信回数
と通信量
可視化

プロトコル
許可 or 遮断
宛先ポート
通信IP
アドレス
通信回数
と通信量
セキュリティ・ダッシュボード
https://aws.amazon.com/jp/blogs/security/how-to-optimize-and-visualize-your-security-groups/
VPC Flow Logs/Amazon Elasticsearch Service/Kibana によるセキュリティグループの可視化
個別の通信ログレコード参照
ドリルダウンによる詳細解析
可視化

データ分析に基づいた意思決定
Amazon QuickSight 提供開始
(2016/11/15(米国時間))
✓ ビジネスインテリジェンス(BI)ソリューション
✓ データ型や関係の自動推論、洞察の共有
✓ 使いやすく、すぐ始められる
https://aws.amazon.com/jp/quicksight/
ヒューリスティック分析
振る舞い分析
異常検知
シミュレーション
など・・・
意思
決定

本日のまとめ
オートメーションで効率化と革新
を手に入れる
AWSやパートナー製品の連携により
自動化セキュリティを達成する
セキュリティ・オートメーションを
セキュリティ戦略の布石にする

アンケートの回答にご協力をお願いします
ご記入後、会場出口にて回収致します
ご回答者の中から、抽選で３名様に、
『Amazon Web Services 企業導入ガイドブック』
荒木靖宏、他（著）、マイナビ出版
を差し上げます！

AWS Security Automation in TrendMicro DIRECTION 2016

AWS Security Automation in TrendMicro DIRECTION 2016

More Related Content

What's hot

Viewers also liked

Similar to AWS Security Automation in TrendMicro DIRECTION 2016

More from Hayato Kiriyama

AWS Security Automation in TrendMicro DIRECTION 2016