セキュリティリスク検出機能を生かした継続的モニタリングと脅威検出の実践
前述のとおり、今回のre:Inventではセキュリティリスクの検出に関するアップデートが多く発表されました。こういった検出の機能を使って、何を検出すべきなのか、検出した後に何をするのかを企業ごとに考える必要があります。それらを考える上でのヒントとなるようなChalkTalk(スピーカーと参加者がテーマごとに議論するセッション)に参加してきましたのでご紹介します。
発見的統制をAWSにおいて実現するには、継続的なモニタリングと脅威検知を行うことが必要です。AWSのソリューションアーキテクトにより、継続的なモニタリングと脅威検知を実現するソリューションの紹介が行われました。これらのソリューションを踏まえ、顧客が検出すべき脅威、使う上でのポイントなどが参加者とともに議論されました。
セッションの中では典型的な外部攻撃者のシナリオを以下のように定義しています。
- RDP経由のブルートフォース攻撃
- RAT(Remote Access Tools)のインストール
- DNSを悪用したデータの抽出
- 一時クレデンシャルを使ったAPIの調査
- アカウントへの不正アクセスの実行

このようなシナリオの攻撃を検出する手段として、前述のGuardDutyやMacieに加え、環境のルールに準拠しているかをチェックするAWS Configのような発見的統制をサポートするサービスと、これらのサービスの情報を集約するSecurity Hubやこれらのベストプラクティスが紹介されました。
例えば、GuardDutyのベストプラクティスとして、明示的に通信を管理することや、GuardDutyの検知結果に基づき、SNS(利用者に通知を行うことができるサービス)による通知を行うことが挙げられていました。検出手段に加えて、インシデントが発生した後の対処の重要性についても本セッションで言及されています。次の図のような検出した後のワークフローを構築することが迅速な事象の特定と是正の高速化につながります。

事象を素早く正確に把握するには、Tagging戦略を確立することも重要であることが述べられていました。発生したインシデントから学びを得て、検出機構の見直しと情報の集約を行い、シミュレーションを行うというサイクルを繰り返すことで日々進化を続けるクラウド上での正しいインシデントへの対応が実現できると述べられていました。

本ChalkTalkではただの機能の紹介だけでなく、ワークフローなどAWSのテクノロジー以外の要素についても言及されていました。技術はもちろん、組織の体制やルール作りを行うことが継続的なモニタリングや脅威検出を実践する上で重要になると感じました。
