atama plus techblog
☁️

セキュリティインシデント疑似体験 GameDay 参加レポート

2024/06/17に公開

こんにちは、inadyです。
2024年6月3日、AWS目黒オフィスで開催されたセキュリティインシデント疑似体験 GameDayに参加してきました。本記事では、そのイベントの模様や得られた学びについてご紹介します。

私たちは、インフラエンジニア2名とアプリケーションエンジニア1名の計3名で参加しました。
全体としては、チーム数49、参加人数138名と、大盛況のイベントでした。

GameDayとは何か?

GameDayは、AWSが提供する実践的なラーニングイベントで、参加者はリアルタイムにシナリオを解決することを通じてクラウドサービスの深い知識とスキルを得ることができます。
セキュリティ、運用、アーキテクチャなど、さまざまなテーマに基づいたシナリオが用意されており、チームで協力しながら問題解決能力を養います。
ゲーム形式で進行するため、楽しみながら実践的なスキルを身につけることができます。

セキュリティインシデント疑似体験 GameDayに参加する目的・意義とは?

オープニングトークは、アマゾン ウェブ サービス ジャパン合同会社、パブリックセクター技術統括本部長、瀧澤与一様からで、以下のようなお話をしていただきました。

「今回のGameDayは、ゲームというだけあってぜひ楽しんで取り組んでください。
今回のGameDayでの体験を通じて、セキュリティインシデントが発生したときに、自分が何をすればいいのか考える機会にしていただきたい。
また、GameDayを通じて、セキュリティインシデント対応の成功体験を積んでおくことが非常に重要だと考えています。
本番のインシデント対応は胸が痛いですが、それを練習しておき、素早く対応することが重要です。
チームメンバーとコミュニケーションを取り、メンバーの知見を共有しながら取り組んでください。」

実際にこのGameDayに参加してみて、私自身「これなら本当のインシデントのときもうまく立ち回れそう」と思うことができたので、目的は達成できたかなと考えております。

セキュリティインシデント疑似体験 GameDayの流れ

GameDayでは、AWSで稼働しているアプリケーションに対する外部からの攻撃がシナリオとなり、その根本原因や被害範囲を調査するという内容でした。
専用のポータルサイトに一問一答形式のクイズが用意されており、正解するとポイントがたまります。
チームごとのポイント数を競いながら、楽しく学ぶことができました。
クイズの内容は実際のセキュリティインシデント調査の流れに沿って出題され、GuardDutyやCloudTrail、VPC Flow Logs、アプリケーションログなどから答えを探す形式でした。
また、各種ログはOpenSearch Serviceに集約されているため、問題の答えはOpenSearch Serviceの中から探しました。

事前にOpenSearch Serviceの簡単な使い方についてのレクチャーがあった後、ゲームが開始されました。

3種類の難易度別に分かれたストーリーがあったので、最初は各自1つずつ手分けして担当しました。
途中で分からないところはお互い教えあったり、一緒に考えたり、解くストーリーを交換したりするなどして解いていきました。
なお、問題の内容はネタバレになってしまうので記述することができません...

ゲーム終了後、解説パートがあり、どのように調査をするとよかったかや、どのような攻撃手法が使われたかなど、非常に丁寧な説明がありました。
ゲーム自体もとてもに勉強になったのですが、解説パートが非常に丁寧で、たくさんの学びがありました!

得られた学び

GameDayの解説パートで得られた学びは多岐にわたりますが、特に以下の点が重要だと感じました。

ログの重要性

調査には適切なログが必要です。ログがないことには調査できません。
GameDayでは調査に必要なログがある程度そろっていましたが「もしこのログがなかったら?」と考えると、非常に恐ろしく思いました。

自社サービスにおいても、必要なログが取れているかどうかを、改めて確認することとしました。

GuardDutyの有効性

インシデントの検出にはGuardDutyが非常に効果的であることがよくわかりました。
GameDayでは、調査の起点はGuardDutyからになっていましたが、もしGuardDutyを設定していなかったらこのインシデントにそもそも気づけなかっただろうと感じました。

また、危険度がLowであっても、例えばAWSアクセスキーが漏れているなどの重要なインシデントがすでに発生している場合があるため、危険度だけで安易に判断しないことが非常に重要だということを学びました。

VPC Flow Logsの追加設定

VPC Flow Logsに追加で設定することで、tcp-flagsvpc-idregioninstance-id等のフィールドを追加できることを知りました。

例えば、同じインバウンド通信であっても、攻撃者からのリクエストの通信なのか、自社サーバから外部へのリクエストの戻り通信なのかを判断するのは困難です。
そこで、tcp-flagsを使うことで、SYNなのかACKなのかがわかるので、上記のアクセスを区別できます。

この情報がないとGameDayでは調査できない内容もあり、社内のVPC Flow Logsにもさっそく導入を進めることとしました。

SIEMの重要性

今回スムーズにインシデント調査ができたのは、OpenSearch Serviceにセキュリティ関連のログが集約されている環境が最初から用意されていたからということが大きいと感じました。

SIEM on Amazon OpenSearch ServiceというCloudFormation/AWS CDKのサンプルがあると紹介があったので、これを参考に導入を検討しようという話をチーム内でしています。

ゲームの順位は?

2時間のゲームの後、atama+チームは全チームの中で一番高いポイントを獲得しました。
一方で、分からなかった問題も複数あったので、まだまだこれからも勉強していく必要があるなと強く感じました。

今後のGameDayの予定は?

「ご要望があればまたセキュリティインシデント疑似体験 GameDayを実施するかも?」とのことでしたので、ご興味があればお近くのAWS担当者の方に問い合わせてみてはいかがでしょうか?

また、セキュリティインシデント以外のGameDayも定期的に開催されているようです。 AWS Blogs

私も機会があれば、他のGameDayイベントに参加してみたいと考えています。

まとめ

今回のセキュリティインシデント疑似体験 GameDayを通じて、セキュリティ強化(予防)や発見的統制の重要性を改めて感じることができました。
学んだことをさっそく業務に取り入れ、今後のセキュリティ対策に役立てていきます。学び多き、大変有意義なイベントでした。

atama plus techblog
atama plus techblog

Discussion